Bon après-midi, cher lecteur!
Je suis activement les mises à jour et les nouvelles du programme Économie numérique depuis un certain temps. Du point de vue d'un employé interne du système EGAIS, bien sûr, un processus depuis des décennies. Et du point de vue du développement, et du point de vue des tests, des retours en arrière et de la mise en œuvre ultérieure, suivis des ajustements inévitables et douloureux de toutes sortes de bogues. Néanmoins, la question est nécessaire, importante et tardive. Le principal client et moteur de tout ce plaisir, bien sûr, est l'État. En fait, comme partout dans le monde.
Tous les processus ont depuis longtemps coulé vers le numérique ou sont en passe de le devenir. C'est toujours merveilleux. Cependant, il existe également des revers de médailles pour la distinction. Je suis une personne qui travaille constamment avec une signature numérique. Je suis partisan des méthodes peut-être "d'hier", mais "à l'ancienne", fiables et gagnant-gagnant de protection d'une signature électronique à l'aide de jetons. Mais la numérisation nous montre que tout est dans les « nuages » depuis longtemps et que CEP aussi doit y aller et en a besoin très rapidement.
J'ai essayé de comprendre, jusqu'à présent au niveau de la base législative et technique, où c'était possible, comment ça se passe avec le cloud ES dans notre pays et en Europe. En fait, plus d'une thèse scientifique a déjà été publiée sur ce sujet. Dès lors, ils font appel aux pros en la matière pour se connecter au développement du sujet.
Pourquoi le CEP dans le cloud est-il attractif ? En fait, il y a du positif. Ces avantages suffisent. C'est rapide et pratique. Cela ressemble à un slogan publicitaire, vous en conviendrez, mais ce sont les caractéristiques objectives d'un EDS basé sur le cloud.
La rapidité réside dans la capacité à signer des documents sans être lié à des jetons ou à des cartes à puce. Cela ne nous oblige pas à n'utiliser que le bureau. Historique multiplateforme à cent pour cent pour tous les systèmes d'exploitation et navigateurs. Cela est particulièrement vrai pour les fans de produits Apple, pour lesquels il existe certaines difficultés à prendre en charge ES dans le système MAC. Sortie de n'importe où dans le monde, liberté de choix du CA (même pas russe). Contrairement au matériel CEP, le cloud computing évite la complexité de la compatibilité logicielle et matérielle. Ce qui est, oui, pratique et, oui, rapide.
Et comment ne pas être tenté par une telle beauté ? Le diable est dans les détails. Parlons sécurité.
CEP "nuageux" en Russie
La sécurité des solutions cloud, et en particulier la signature numérique, est l'un des principaux soucis des professionnels de la sécurité. Ce que je n'aime pas exactement, me demandera le lecteur, car tout le monde utilise les services cloud depuis longtemps, et avec les SMS, il est encore plus fiable d'effectuer un virement bancaire.
En fait, encore une fois, revenons aux détails. Cloud EDS est l'avenir, ce qui est difficile à discuter. Mais pas maintenant. Pour ce faire, il doit y avoir des changements réglementaires et juridiques qui protégeront le propriétaire du cloud EDS.
Qu'avons-nous aujourd'hui ? Il existe un certain nombre de documents qui définissent le concept d'ES, de gestion électronique de documents (EDF), ainsi que des lois sur la protection de l'information et la circulation des données. En particulier, il est nécessaire de prendre en compte le Code civil (Code civil de la Fédération de Russie), qui réglemente l'utilisation de l'ES dans les documents.
Loi fédérale n° 63-FZ "Sur la signature électronique" du 06.04.2011 avril XNUMX. La loi principale et cadre décrivant le sens général de l'utilisation des signatures électroniques dans les transactions de diverses natures et la prestation de services.
Loi fédérale n° 149-FZ « sur l'information, les technologies de l'information et la protection de l'information » du 27.07.2006 juillet XNUMX. Le présent document spécifie le concept de document électronique et tous les segments associés.
Il existe des actes législatifs supplémentaires qui interviennent dans la régulation d'EDF
Loi fédérale 402-FZ "Sur la comptabilité" du 06.12.2011. L'acte législatif prévoit la systématisation des exigences en matière de comptabilité et de documents comptables sous forme électronique.
Incl. vous pouvez prendre en compte le Code de procédure d'arbitrage de la Fédération de Russie, qui autorise les documents signés par ES comme preuve devant un tribunal.
Et c'est là qu'il m'est venu à l'esprit d'approfondir la question de la sécurité, car nos standards d'outils de crypto-protection sont fournis par le FSB et assurent la délivrance de certificats de conformité. Depuis le 18 février, de nouveaux GOST ont été introduits. Ainsi, les clés stockées dans le cloud ne sont pas directement protégées par les certificats FSTEC. La protection des clés elles-mêmes et l'entrée sécurisée dans le "cloud" sont les pierres angulaires sur lesquelles nous n'avons pas encore décidé. Ensuite, je prendrai un exemple de réglementation dans l'Union européenne, qui démontrera clairement un système de sécurité plus avancé.
Expérience européenne dans l'utilisation du cloud ES
Commençons par l'essentiel - les technologies cloud, pas seulement ES, ont une norme claire. La base du groupe Cloud Standard Coordination (CSC) de l'Institut européen des normes de télécommunications (ETSI). Cependant, il existe encore des différences dans les normes de protection des données d'un pays à l'autre.
La base d'une protection complète des données est la certification obligatoire des fournisseurs selon la norme ISO 27001:2013 pour les systèmes de gestion de la sécurité de l'information (la norme russe GOST R ISO / IEC 27001-2006 est basée sur la version 2006 de cette norme).
L'ISO 27017 fournit des éléments de sécurité supplémentaires pour le cloud qui ne figurent pas dans l'ISO 27002. Le titre officiel complet de cette norme est "Code de pratique pour les contrôles de sécurité de l'information basé sur l'ISO/IEC 27002 pour les services cloud" ("Code de pratique pour la sécurité de l'information contrôles basés sur la norme ISO/IEC 27002 pour les services cloud »).
À l'été 2014, l'ISO a publié la norme ISO 27018:2015 sur la protection des données personnelles dans le cloud, et fin 2015, la norme ISO 27017:2015 sur les contrôles de sécurité de l'information pour les solutions cloud.
À l'automne 2014, le nouveau règlement du Parlement européen n° 910/2014, appelé eIDAS, est entré en vigueur. Les nouvelles règles permettent aux utilisateurs de stocker et d'utiliser la clé CEP sur le serveur d'un fournisseur de services de confiance accrédité, le soi-disant TSP (Trust Service Provider).
Le Comité Européen de Normalisation (CEN) a adopté en octobre 2013 la spécification technique CEN/TS 419241 « Security Requirements for Trustworthy Systems Supporting Server Signing », dédiée à la régulation du cloud EDS. Le document décrit plusieurs niveaux de conformité de sécurité. Par exemple, se conformer au "niveau 2" requis pour la formation d'une signature électronique qualifiée, c'est supporter des options fortes d'authentification des utilisateurs. Selon les exigences de ce niveau, l'authentification de l'utilisateur se fait directement sur le serveur de signature, contrairement par exemple à l'authentification autorisée pour le "niveau 1" dans une application qui, pour son propre compte, accède au serveur de signature. Aussi, conformément à cette spécification, les clés de signature d'utilisateur pour la formation d'un ES qualifié doivent être stockées dans la mémoire d'un dispositif sécurisé spécialisé (module de sécurité matériel, HSM).
L'authentification de l'utilisateur dans le service cloud doit comporter au moins deux facteurs. En règle générale, l'option la plus accessible et la plus facile à utiliser consiste à confirmer l'entrée via le code reçu dans un message SMS. Ainsi, par exemple, la plupart des comptes personnels de RBS des banques russes ont été mis en place. En plus des tokens cryptographiques habituels, une application sur smartphone et des générateurs de mots de passe à usage unique (OTP tokens) peuvent également être utilisés comme moyen d'authentification.
Je peux résumer un résultat intermédiaire pour le moment, concernant le fait que des CEP cloud sont encore en train de se former dans notre pays et qu'il est trop tôt pour s'éloigner du fer. En principe, il s'agit d'un processus naturel qui, même en Europe (oh, super !) A duré environ 13-14 ans, jusqu'à ce que des normes plus ou moins précises soient élaborées.
Jusqu'à ce que nous développions de bons GOST qui régulent nos services cloud, il est trop tôt pour parler d'un rejet complet des solutions matérielles. Au contraire, ils vont maintenant, au contraire, commencer à s'orienter vers des "hybrides", c'est-à-dire travailler également avec des signatures cloud. Quelques exemples correspondant aux standards européens pour travailler avec le Cloud ont déjà été mis en place. Mais plus à ce sujet dans un nouvel article.
Source: habr.com