Dobar dan, dragi čitatelju!
Već neko vrijeme aktivno pratim ažuriranja i novosti programa Digitalna ekonomija. Sa stajališta internog zaposlenika sustava EGAIS, naravno, proces će trajati desetljećima. Kako sa stajališta razvoja, tako i sa stajališta testiranja, vraćanja i daljnje implementacije, nakon čega slijede neizbježne i bolne prilagodbe svakojakih bugova. Ipak, stvar je nužna, važna i hitna. Glavni kupac i pokretač sve te zabave je, naravno, država. Zapravo, kao i u cijelom svijetu.
Svi su procesi odavno prešli u digital ili su na putu ka tome. Ovo je još uvijek divno. Međutim, medalje za izvrsnost imaju svoje nedostatke. Ja sam osoba koja stalno radi s digitalnim potpisima. Pobornik sam možda "jučerašnjih", ali "staromodnih" pouzdanih i obostrano pobjedničkih metoda zaštite elektroničkih potpisa pomoću tokena. Ali digitalizacija nam pokazuje da je sve već dugo u “oblacima” i tu treba i CEP i to vrlo brzo.
Pokušao sam na razini zakonodavnog i tehničkog okvira, gdje je to moguće, dokučiti kako stoje stvari s elektroničkim potpisom u oblaku kod nas iu Europi. Zapravo, već je više od jedne znanstvene disertacije objavljeno na ovu temu. Stoga potičemo stručnjake u ovom pitanju da se pridruže razvoju teme.
Zašto je CEP u oblaku privlačan? Zapravo, postoje prednosti. Dosta je tih prednosti. Brz je i praktičan. Zvuči kao reklamni slogan, složit ćete se, ali to su objektivne karakteristike digitalnog potpisa u oblaku.
Brzina leži u mogućnosti potpisivanja dokumenata bez vezivanja za tokene ili pametne kartice. Ne obvezuje nas da koristimo samo desktop. Sto posto priča o više platformi za bilo koji OS i preglednike. To se posebno odnosi na ljubitelje Apple proizvoda, za koje postoje određene poteškoće u podržavanju elektroničkih potpisa u MAC sustavu. Izlaz s bilo kojeg mjesta u svijetu, sloboda izbora CA (čak i onih koji nisu ruski). Za razliku od CEP hardvera, tehnologije u oblaku omogućuju izbjegavanje poteškoća s kompatibilnošću softvera i hardvera. Što je, da, zgodno i, da, brzo.
I kako se čovjek ne zavesti takvom ljepotom? Vrag je u detaljima. Razgovarajmo o sigurnosti.
"Cloud" CEP u Rusiji
Sigurnost rješenja u oblaku, a posebno digitalnih potpisa, jedna je od glavnih bolnih točaka za sigurnosne stručnjake. Što mi se točno ne sviđa, pitat će me čitatelj jer već odavno svi koriste cloud usluge, a s SMS-om je još pouzdanije napraviti bankovni transfer.
Zapravo, opet, vratimo se na detalje. Digitalni potpis u oblaku je budućnost s kojom je teško raspravljati. Ali ne sad. Da bi se to postiglo, moraju se dogoditi regulatorne promjene koje će zaštititi vlasnika digitalnih potpisa u oblaku.
Što imamo danas? Postoji niz dokumenata koji definiraju pojam digitalnog potpisa, upravljanja elektroničkim dokumentima (EDF), kao i zakoni o zaštiti informacija i prometu podataka. Posebno morate uzeti u obzir Građanski zakonik (Građanski zakonik Ruske Federacije), koji regulira korištenje elektroničkih potpisa u dokumentima.
Savezni zakon br. 63-FZ „O elektroničkim potpisima” od 06.04.2011. Temeljni i okvirni zakon koji opisuje opće značenje korištenja digitalnog potpisa pri obavljanju transakcija raznih vrsta i pružanju usluga.
Savezni zakon br. 149-FZ „O informacijama, informacijskim tehnologijama i zaštiti informacija od 27.07.2006. srpnja XNUMX. Ovim dokumentom pobliže se definira pojam elektroničkog dokumenta i svi povezani segmenti.
Postoje dodatni zakonodavni akti koji su uključeni u reguliranje EDI-ja
Savezni zakon 402-FZ "O računovodstvu" od 06.12.2011. prosinca XNUMX. Zakonodavni akt predviđa sistematizaciju zahtjeva za računovodstvo i računovodstvene dokumente u elektroničkom obliku.
uklj. Možete uzeti u obzir Zakon o arbitražnom postupku Ruske Federacije, koji dopušta dokumente potpisane elektroničkim potpisom kao dokaz na sudu.
I tu mi je palo na pamet da dublje zađem u pitanje sigurnosti, jer naše standarde za sredstva kriptozaštite daje FSB i osiguravaju izdavanje certifikata o sukladnosti. 18. veljače uvedeni su novi GOST standardi. Dakle, ključevi pohranjeni u oblaku nisu izravno zaštićeni FSTEC certifikatima. Zaštita samih ključeva i siguran ulazak u “oblak” kamen su temeljac koji još nismo riješili. Zatim ću se osvrnuti na primjer regulacije u Europskoj uniji, koji će jasno pokazati napredniji sigurnosni sustav.
Europsko iskustvo u korištenju digitalnog potpisa u oblaku
Počnimo s glavnom stvari - tehnologije oblaka, ne samo digitalni potpisi imaju jasan standard. Osnova je Cloud Standard Coordination (CSC) grupa Europskog instituta za telekomunikacijske standarde (ETSI). Međutim, još uvijek postoje razlike u standardima zaštite podataka u različitim zemljama.
Temelj sveobuhvatne zaštite podataka je obvezna certifikacija za pružatelje prema ISO 27001:2013 za sustave upravljanja sigurnošću informacija (odgovarajući ruski GOST R ISO/IEC 27001-2006 temelji se na verziji ove norme iz 2006.).
ISO 27017 pruža dodatne sigurnosne elemente za oblak koji nedostaju u ISO 27002. Puni službeni naziv ove norme je “Kodeks prakse za kontrole sigurnosti informacija temeljen na ISO/IEC 27002 za usluge u oblaku.” ISO/IEC 27002 za usluge u oblaku. ").
U ljeto 2014. ISO je objavio standard ISO 27018:2015 o zaštiti osobnih podataka u oblaku, a krajem 2015. ISO 27017:2015 o kontrolama informacijske sigurnosti za rješenja u oblaku.
U jesen 2014. godine na snagu je stupila nova Rezolucija Europskog parlamenta br. 910/2014 pod nazivom eIDAS. Nova pravila omogućuju korisnicima da pohrane i koriste EPC ključ na poslužitelju akreditiranog pružatelja usluga od povjerenja, tzv. TSP (Trust Service Provider).
U listopadu 2013. Europski odbor za standardizaciju (CEN) usvojio je tehničku specifikaciju CEN/TS 419241 “Sigurnosni zahtjevi za pouzdane sustave koji podržavaju potpisivanje poslužitelja”, posvećenu regulaciji digitalnih potpisa u oblaku. Dokument opisuje nekoliko razina sigurnosne usklađenosti. Na primjer, usklađenost "razine 2" potrebna za generiranje kvalificiranog elektroničkog potpisa zahtijeva podršku za jake opcije autentifikacije korisnika. Prema zahtjevima ove razine, provjera autentičnosti korisnika događa se izravno na poslužitelju potpisa, za razliku, na primjer, od provjere autentičnosti dopuštene za "razinu 1" u aplikaciji koja pristupa poslužitelju potpisa u vlastito ime. Također, sukladno ovoj specifikaciji, korisnički potpisni ključevi za generiranje kvalificiranog elektroničkog potpisa moraju biti pohranjeni u memoriji specijaliziranog sigurnosnog uređaja (hardverski sigurnosni modul, HSM).
Autentifikacija korisnika u usluzi u oblaku mora biti najmanje dvostruka. U pravilu, najpristupačnija i najjednostavnija opcija je potvrda prijave putem koda primljenog u SMS poruci. Na primjer, implementirana je većina osobnih RBS računa ruskih banaka. Osim uobičajenih kriptografskih tokena, kao sredstvo autentifikacije može poslužiti i aplikacija na pametnom telefonu te generatori jednokratnih lozinki (OTP tokeni).
Za sada mogu izvući međuzaključak o tome da su CEP-ovi u oblaku još u fazi formiranja i prerano je odmicati se od hardvera. U principu, to je prirodan proces, koji je čak iu Europi (o, super!) trajao oko 13-14 godina dok se nisu razvili više ili manje točni standardi.
Sve dok ne razvijemo dobre GOST standarde koji reguliraju naše usluge u oblaku, prerano je govoriti o potpunom napuštanju hardverskih rješenja. Umjesto toga, sada će se, naprotiv, početi kretati prema "hibridima", odnosno raditi i s potpisima u oblaku. Neki primjeri koji zadovoljavaju europske standarde za rad s Cloudom već su implementirani. Ali o tome ćemo govoriti malo detaljnije u novom materijalu.
Izvor: www.habr.com