Hyvää iltapäivää, rakas lukija!
Olen seurannut aktiivisesti Digitalousohjelman päivityksiä ja uutisia jo jonkin aikaa. EGAIS-järjestelmän sisäisen työntekijän näkökulmasta prosessi kestää tietysti vuosikymmeniä. Sekä kehityksen että testauksen, palautuksen ja jatkototeutuksen näkökulmasta, mitä seuraa väistämätön ja tuskallinen kaikenlaisten bugien säätö. Asia on kuitenkin tarpeellinen, tärkeä ja kiireellinen. Kaiken tämän hauskan pääasiakas ja kuljettaja on tietysti valtio. Itse asiassa, kuten kaikkialla maailmassa.
Kaikki prosessit ovat jo pitkään siirtyneet digitaalisiksi tai ovat matkalla siihen. Tämä on edelleen ihanaa. Huippuosaamisen mitaleissa on kuitenkin varjopuolensa. Olen henkilö, joka työskentelee jatkuvasti digitaalisten allekirjoitusten kanssa. Kannatan ehkä "eilisiä", mutta "vanhanaikaisia" luotettavia ja kaikille osapuolille hyödyllisiä menetelmiä suojata sähköisiä allekirjoituksia tunnuksilla. Mutta digitalisaatio osoittaa meille, että kaikki on ollut "pilvissä" pitkään ja CEP:tä tarvitaan myös siellä ja tarvitaan erittäin nopeasti.
Yritin selvittää lainsäädännöllisen ja teknisen kehyksen tasolla mahdollisuuksien mukaan, miten pilvipohjaisten sähköisten allekirjoitusten tilanne on täällä ja Euroopassa. Itse asiassa tästä aiheesta on julkaistu jo useampi kuin yksi tieteellinen väitöskirja. Siksi kannustamme alan ammattilaisia mukaan aiheen kehittämiseen.
Miksi CEP pilvessä on houkutteleva? Itse asiassa on etuja. Näitä etuja riittää. Se on nopea ja kätevä. Se kuulostaa mainoslauseelta, olette samaa mieltä, mutta nämä ovat pilvidigitaalisen allekirjoituksen objektiivisia ominaisuuksia.
Nopeus on kyky allekirjoittaa asiakirjoja ilman, että se on sidottu rahakkeisiin tai älykortteihin. Ei velvoita meitä käyttämään vain työpöytää. Sataprosenttinen alustojen välinen tarina kaikille käyttöjärjestelmille ja selaimille. Tämä koskee erityisesti Apple-tuotteiden faneja, joilla on tiettyjä vaikeuksia tukea sähköisiä allekirjoituksia MAC-järjestelmässä. Poistu mistä päin maailmaa tahansa, CA:iden (myös ei-venäläisten) valinnanvapaus. Toisin kuin CEP-laitteisto, pilviteknologian avulla voit välttää ohjelmiston ja laitteiston yhteensopivuusongelmia. Mikä, kyllä, on kätevää ja kyllä nopeaa.
Ja kuinka tällainen kauneus voi olla viettelemättä? Paholainen on yksityiskohdissa. Puhutaanpa turvallisuudesta.
"Cloud" CEP Venäjällä
Pilviratkaisujen ja erityisesti digitaalisten allekirjoitusten turvallisuus on yksi tietoturva-ammattilaisten keskeisistä kipupisteistä. Mistä en tarkalleen pidä, lukija kysyy minulta, koska kaikki ovat käyttäneet pilvipalveluita pitkään ja tekstiviestillä pankkisiirron tekeminen on vielä luotettavampaa.
Itse asiassa, palataanpa taas yksityiskohtiin. Pilvidigitaalinen allekirjoitus on tulevaisuus, josta on vaikea väitellä. Mutta ei nyt. Tätä varten on tehtävä sääntelymuutoksia, jotka suojaavat pilvidigitaalisen allekirjoituksen omistajaa.
Mitä meillä on tänään? On olemassa lukuisia asiakirjoja, jotka määrittelevät digitaalisen allekirjoituksen, sähköisen dokumentinhallinnan (EDF) käsitteen sekä tietoturvaa ja tiedonkiertoa koskevia lakeja. Erityisesti sinun on otettava huomioon siviililaki (Venäjän federaation siviililaki), joka säätelee sähköisten allekirjoitusten käyttöä asiakirjoissa.
Liittovaltion laki nro 63-FZ "Sähköisistä allekirjoituksista", päivätty 06.04.2011. Perus- ja puitelaki, joka kuvaa digitaalisen allekirjoituksen käytön yleistä merkitystä erityyppisissä asioissa ja palveluissa.
Liittovaltion laki nro 149-FZ "Tiedosta, tietotekniikasta ja tietojen suojasta, päivätty 27.07.2006. heinäkuuta XNUMX. Tässä asiakirjassa määritellään sähköisen asiakirjan käsite ja kaikki siihen liittyvät segmentit.
EDI:n sääntelyyn liittyy muitakin säädöksiä
Liittovaltion laki 402-FZ "kirjanpidosta", päivätty 06.12.2011. joulukuuta XNUMX. Laissa säädetään kirjanpidon ja sähköisten kirjanpitoasiakirjojen vaatimusten systematisoinnista.
Sisältää Voit ottaa huomioon Venäjän federaation välimiesmenettelylain, joka sallii sähköisellä allekirjoituksella allekirjoitetut asiakirjat todisteena tuomioistuimessa.
Ja juuri täällä minulle tuli mieleeni syventää turvallisuuskysymystä, koska FSB tarjoaa salaussuojauskeinoja koskevat standardimme ja takaavat vaatimustenmukaisuustodistusten myöntämisen. 18. helmikuuta otettiin käyttöön uudet GOST-standardit. Näin ollen pilveen tallennettuja avaimia ei suojata suoraan FSTEC-sertifikaateilla. Itse avainten suojaaminen ja turvallinen pääsy "pilveen" ovat kulmakiviä, joita emme ole vielä ratkaisseet. Seuraavaksi tarkastelen esimerkkiä Euroopan unionin sääntelystä, joka osoittaa selvästi kehittyneemmän turvajärjestelmän.
Eurooppalainen kokemus pilvipohjaisten digitaalisten allekirjoitusten käytöstä
Aloitetaan pääasiasta - pilvitekniikoilla, ei vain digitaalisilla allekirjoituksilla, on selkeä standardi. Perustana on ETSI:n (European Telecommunications Standards Institute) Cloud Standard Coordination (CSC) -ryhmä. Tietosuojastandardeissa on kuitenkin edelleen eroja eri maiden välillä.
Kattavan tietosuojan perustana on pakollinen sertifiointi palveluntarjoajille ISO 27001:2013 -standardin mukaisesti tietoturvan hallintajärjestelmille (vastaava venäläinen GOST R ISO/IEC 27001-2006 perustuu tämän standardin vuoden 2006 versioon).
ISO 27017 tarjoaa pilveen lisätietoturvaelementtejä, jotka puuttuvat ISO 27002:sta. Tämän standardin koko virallinen nimi on "ISO/IEC 27002:een perustuvien tietoturvaohjausten käytäntö pilvipalveluille." ISO/IEC 27002 pilvipalveluille. ").
Kesällä 2014 ISO julkaisi ISO 27018:2015 -standardin henkilötietojen suojaamisesta pilvessä ja vuoden 2015 lopulla ISO 27017:2015 pilviratkaisujen tietoturvaohjauksista.
Syksyllä 2014 astui voimaan uusi Euroopan parlamentin päätöslauselma nro 910/2014, eIDAS. Uudet säännöt sallivat käyttäjien tallentaa ja käyttää EPC-avainta akkreditoidun luotettavan palveluntarjoajan, niin sanotun TSP:n (Trust Service Provider), palvelimella.
Lokakuussa 2013 Euroopan standardointikomitea (CEN) hyväksyi teknisen spesifikaation CEN/TS 419241 "Security Requirements for Trustworthy Systems Supporting Server Signing", joka on omistettu pilvipohjaisten digitaalisten allekirjoitusten sääntelylle. Asiakirjassa kuvataan useita suojausvaatimusten tasoja. Esimerkiksi hyväksytyn sähköisen allekirjoituksen luomiseen vaadittava "tason 2" vaatimustenmukaisuus edellyttää vahvojen käyttäjän todennusvaihtoehtojen tukea. Tämän tason vaatimusten mukaisesti käyttäjän todennus tapahtuu suoraan allekirjoituspalvelimella, toisin kuin esimerkiksi "tasolle 1" sallitussa sovelluksessa, joka käyttää allekirjoituspalvelinta omasta puolestaan. Lisäksi tämän spesifikaation mukaisesti käyttäjän allekirjoitusavaimet hyväksytyn sähköisen allekirjoituksen luomiseksi on tallennettava erikoissuojatun laitteen (hardware security module, HSM) muistiin.
Pilvipalvelussa käyttäjän todennuksen on oltava vähintään kaksivaiheinen. Pääsääntöisesti saavutettavin ja helpoin vaihtoehto on vahvistaa sisäänkirjautuminen tekstiviestissä vastaanotetulla koodilla. Esimerkiksi suurin osa venäläisten pankkien henkilökohtaisista RBS-tileistä on otettu käyttöön. Tunnistuskeinona voidaan käyttää tavallisten kryptografisten tokenien lisäksi älypuhelimen sovellusta ja kertakäyttöisiä salasanageneraattoreita (OTP-tokeneja).
Toistaiseksi voin tehdä välipäätelmän siitä, että pilvi-CEP:t ovat vasta muodostumassa ja on liian aikaista siirtyä pois laitteistosta. Periaatteessa tämä on luonnollinen prosessi, joka jopa Euroopassa (oh, hienoa!) kesti noin 13-14 vuotta, kunnes enemmän tai vähemmän tarkkoja standardeja kehitettiin.
Ennen kuin kehitämme pilvipalvelujamme sääteleviä hyviä GOST-standardeja, on liian aikaista puhua laitteistoratkaisujen täydellisestä luopumisesta. Pikemminkin ne nyt alkavat päinvastoin siirtyä kohti "hybridejä", eli työskentelemään myös pilviallekirjoitusten kanssa. Joitakin esimerkkejä, jotka täyttävät eurooppalaiset pilvipalvelustandardit, on jo otettu käyttöön. Mutta puhumme tästä hieman yksityiskohtaisemmin uudessa materiaalissa.
Lähde: will.com