Boas tardes, querido lector!
Levo tempo seguindo activamente as actualizacións e novidades do programa de Economía Dixital. Dende o punto de vista dun empregado interno do sistema EGAIS, por suposto, o proceso durará décadas. Tanto desde o punto de vista do desenvolvemento, como desde o punto de vista das probas, reversión e posterior implementación, seguidos de inevitables e penosos axustes de todo tipo de erros. Con todo, o asunto é necesario, importante e urxente. O principal cliente e impulsor de toda esta diversión é, por suposto, o Estado. En realidade, como en todo o mundo.
Todos os procesos pasaron moito tempo ao dixital ou están en camiño. Isto aínda é marabilloso. Non obstante, as medallas á excelencia teñen desvantaxes. Son unha persoa que traballa constantemente coa sinatura dixital. Son partidario de métodos fiables e beneficiosos para protexer as sinaturas electrónicas mediante tokens quizais "de onte", pero "antigo de moda". Pero a dixitalización móstranos que todo está nas "nubes" dende hai moito tempo e alí tamén se precisa CEP e fai falta moi rapidamente.
Tentei descubrir, a nivel do marco lexislativo e técnico, sempre que foi posible, como están as cousas coas sinaturas electrónicas na nube aquí e en Europa. De feito, xa se publicou máis dunha tese científica sobre este tema. Por iso, animamos aos profesionais desta materia a sumarse ao desenvolvemento do tema.
Por que é atractivo CEP na nube? De feito, hai vantaxes. Hai bastantes destas vantaxes. É rápido e cómodo. Parece un slogan publicitario, estarás de acordo, pero estas son as características obxectivas dunha sinatura dixital na nube.
A velocidade reside na posibilidade de asinar documentos sen estar atado a fichas ou tarxetas intelixentes. Non nos obriga a utilizar só o escritorio. Historia cen por cento multiplataforma para calquera sistema operativo e navegador. Isto é especialmente certo para os fans dos produtos Apple, para os que hai certas dificultades para admitir sinaturas electrónicas no sistema MAC. Saída de calquera parte do mundo, liberdade de elección de CA (incluso as non rusas). A diferenza do hardware CEP, as tecnoloxías na nube permítenche evitar dificultades coa compatibilidade de software e hardware. O que, si, é cómodo, e, si, rápido.
E como non deixarse seducir por tanta beleza? O demo está nos detalles. Falemos de seguridade.
CEP "Cloud" en Rusia
A seguridade das solucións na nube, e especialmente das sinaturas dixitais, é un dos principais problemas para os profesionais da seguridade. O que non me gusta exactamente, preguntarame o lector, porque todo o mundo leva moito tempo usando os servizos na nube, e con SMS é aínda máis fiable facer unha transferencia bancaria.
En realidade, de novo, volvamos aos detalles. A sinatura dixital na nube é un futuro que é difícil de discutir. Pero agora non. Para iso, deben producirse cambios normativos que protexen ao propietario das sinaturas dixitais na nube.
Que temos hoxe? Existen unha serie de documentos que definen o concepto de sinatura dixital, xestión electrónica de documentos (EDF), así como leis sobre protección da información e circulación de datos. En particular, cómpre ter en conta o Código Civil (Código Civil da Federación Rusa), que regula o uso de sinaturas electrónicas nos documentos.
Lei Federal no 63-FZ “Sobre sinatura electrónica” do 06.04.2011/XNUMX/XNUMX. A lei básica e marco que describe o sentido xeral da utilización da sinatura dixital na realización de transaccións de diversos tipos e na prestación de servizos.
Lei Federal no 149-FZ “De información, tecnoloxías da información e protección da información do 27.07.2006 de xullo de XNUMX. Este documento especifica o concepto de documento electrónico e todos os segmentos relacionados.
Existen actos lexislativos adicionais que están implicados na regulación do EDI
Lei federal 402-FZ "de contabilidade" do 06.12.2011 de decembro de XNUMX. O acto lexislativo prevé a sistematización dos requisitos para os documentos contables e contables en formato electrónico.
Incl. Podes ter en conta o Código de procedemento de arbitraxe da Federación Rusa, que permite documentos asinados mediante unha sinatura electrónica como proba no xulgado.
E foi aquí onde se me ocorreu afondar no tema da seguridade, porque os nosos estándares de medios de protección criptográfica son proporcionados polo FSB e garanten a emisión de certificados de conformidade. O 18 de febreiro introducíronse novos estándares GOST. Así, as claves almacenadas na nube non están protexidas directamente polos certificados FSTEC. Protexer as propias chaves e a entrada segura na "nube" son as pedras angulares que aínda non solucionamos. A continuación, vou ver o exemplo de regulación na Unión Europea, que demostrará claramente un sistema de seguridade máis avanzado.
Experiencia europea no uso de sinaturas dixitais na nube
Comecemos polo principal: as tecnoloxías na nube, non só as sinaturas dixitais teñen un estándar claro. A base é o grupo Cloud Standard Coordination (CSC) do Instituto Europeo de Estándares de Telecomunicacións (ETSI). Non obstante, aínda hai diferenzas nos estándares de protección de datos entre os distintos países.
A base para unha protección integral de datos é a certificación obrigatoria dos provedores segundo a norma ISO 27001:2013 para os sistemas de xestión de seguridade da información (a correspondente GOST R ISO/IEC 27001-2006 rusa está baseada na versión 2006 desta norma).
ISO 27017 proporciona elementos de seguridade adicionais para a nube que faltan na ISO 27002. O nome oficial completo desta norma é "Código de prácticas para controis de seguridade da información baseado na ISO/IEC 27002 para servizos na nube". ISO/IEC 27002 para servizos na nube. ").
No verán de 2014, ISO publicou o estándar ISO 27018:2015 sobre protección de datos persoais na nube e, a finais de 2015, ISO 27017:2015 sobre controis de seguridade da información para solucións na nube.
No outono de 2014 entrou en vigor unha nova Resolución do Parlamento Europeo no 910/2014, denominada eIDAS. As novas regras permiten aos usuarios almacenar e utilizar a clave EPC no servidor dun provedor de servizos de confianza acreditado, o chamado TSP (Trust Service Provider).
En outubro de 2013, o Comité Europeo de Normalización (CEN) adoptou a especificación técnica CEN/TS 419241 "Requisitos de seguridade para sistemas fiables que admiten a sinatura do servidor", dedicada á regulación das sinaturas dixitais na nube. O documento describe varios niveis de cumprimento de seguridade. Por exemplo, o cumprimento do "nivel 2" necesario para xerar unha sinatura electrónica cualificada require compatibilidade con opcións de autenticación de usuarios fortes. Segundo os requisitos deste nivel, a autenticación do usuario prodúcese directamente no servidor de sinaturas, en contraste, por exemplo, coa autenticación permitida para o "nivel 1" nunha aplicación que accede ao servidor de sinaturas por conta propia. Así mesmo, segundo esta especificación, as claves de sinatura do usuario para xerar unha sinatura electrónica cualificada deben almacenarse na memoria dun dispositivo seguro especializado (módulo de seguridade de hardware, HSM).
A autenticación do usuario nun servizo na nube debe ser polo menos de dous factores. Como regra xeral, a opción máis accesible e fácil de usar é confirmar o inicio de sesión mediante un código recibido nunha mensaxe SMS. Por exemplo, implementáronse a maioría das contas persoais RBS dos bancos rusos. Ademais dos tokens criptográficos habituais, tamén se pode utilizar unha aplicación nun teléfono intelixente e xeradores de contrasinais únicos (tokens OTP) como medio de autenticación.
Polo momento, podo sacar unha conclusión provisional sobre o feito de que os CEPs na nube aínda se están formando e é demasiado cedo para afastarse do hardware. En principio, este é un proceso natural, que mesmo en Europa (oh, xenial!) durou uns 13-14 anos ata que se desenvolveron estándares máis ou menos precisos.
Ata que non desenvolvamos bos estándares GOST que regulen os nosos servizos na nube, é demasiado cedo para falar dun abandono total das solucións de hardware. Máis ben, agora, pola contra, comezarán a avanzar cara aos "híbridos", é dicir, traballar tamén con sinaturas na nube. Xa se implementaron algúns exemplos que cumpren os estándares europeos para traballar coa nube. Pero disto falaremos un pouco máis en detalle nun novo material.
Fonte: www.habr.com