Jó napot, kedves olvasó!
Egy ideje aktívan követem a Digitális Gazdaság program frissítéseit, híreit. Az EGAIS rendszer belső munkatársa szempontjából a folyamat természetesen évtizedekig tart. Mind a fejlesztés, mind a tesztelés, a visszaállítás és a további implementáció szempontjából, amit mindenféle bug elkerülhetetlen és fájdalmas korrekciója követ. Ennek ellenére az ügy szükséges, fontos és sürgős. Ennek a szórakozásnak a fő megrendelője és mozgatója természetesen az állam. Tulajdonképpen, mint az egész világon.
Minden folyamat már régóta átkerült a digitális technológiába, vagy annak felé halad. Ez még mindig csodálatos. A kiválósági érmeknek azonban vannak árnyoldalai is. Olyan ember vagyok, aki folyamatosan digitális aláírással dolgozik. Támogatom a talán „tegnapi”, de „régimódi” megbízható és mindenki számára előnyös módszereket az elektronikus aláírások tokenekkel történő védelmére. De a digitalizáció azt mutatja, hogy már régóta minden a „felhőkben” van, és ott is szükség van a CEP-re, és nagyon gyorsan.
Megpróbáltam a jogszabályi és technikai keretek szintjén kideríteni, ahol lehetséges, hogyan állnak a dolgok a felhőalapú elektronikus aláírásokkal itt és Európában. Valójában nem egy tudományos értekezés jelent meg már ebben a témában. Ezért bátorítjuk az ezzel foglalkozó szakembereket, hogy kapcsolódjanak be a téma kidolgozásába.
Miért vonzó a CEP a felhőben? Valójában vannak előnyei. Ezekből az előnyökből van elég. Gyors és kényelmes. Ez egy reklámszlogennek hangzik, ezzel egyetértesz, de ezek a felhőalapú digitális aláírás objektív jellemzői.
A sebesség abban rejlik, hogy képes aláírni a dokumentumokat anélkül, hogy tokenekhez vagy intelligens kártyákhoz lenne kötve. Nem kötelez bennünket arra, hogy csak az asztali gépet használjuk. Száz százalékos platformfüggetlen történet bármilyen operációs rendszerhez és böngészőhöz. Ez különösen igaz az Apple termékek rajongóira, akiknek bizonyos nehézségekbe ütközik az elektronikus aláírás támogatása a MAC rendszerben. Kilépés a világ bármely pontjáról, a CA-k megválasztásának szabadsága (még a nem oroszok is). A CEP hardverétől eltérően a felhőtechnológiák lehetővé teszik a szoftverek és hardverek kompatibilitásával kapcsolatos nehézségek elkerülését. Ami igen, kényelmes, és igen, gyors is.
És hogy lehet nem csábítani egy ilyen szépségtől? Az ördög a részletekben rejlik. Beszéljünk a biztonságról.
"Cloud" CEP Oroszországban
A felhőmegoldások, és különösen a digitális aláírások biztonsága az egyik fő fájdalompont a biztonsági szakemberek számára. Pontosan mit nem szeretek, megkérdezi tőlem az olvasó, mert mindenki régóta használja a felhőszolgáltatásokat, és SMS-sel még megbízhatóbb a banki átutalás.
Valójában ismét térjünk vissza a részletekhez. A felhőalapú digitális aláírás olyan jövő, amellyel nehéz vitatkozni. De nem most. Ehhez olyan szabályozási változásokat kell végrehajtani, amelyek megvédik a felhőalapú digitális aláírások tulajdonosát.
Mi van ma? Számos dokumentum határozza meg a digitális aláírás, az elektronikus dokumentumkezelés (EDF) fogalmát, valamint az információvédelmi és adatforgalmi törvények. Különösen figyelembe kell vennie a Polgári Törvénykönyvet (Az Orosz Föderáció Polgári Törvénykönyve), amely szabályozza az elektronikus aláírások használatát a dokumentumokban.
63-FZ „Az elektronikus aláírásokról” szóló szövetségi törvény, 06.04.2011. Az alap- és kerettörvény, amely leírja a digitális aláírás használatának általános jelentését különböző típusú tranzakciók lebonyolítása és szolgáltatásnyújtás során.
149. július 27.07.2006-i XNUMX-FZ szövetségi törvény „Az információról, az információs technológiákról és az információvédelemről. Ez a dokumentum meghatározza az elektronikus dokumentum fogalmát és az összes kapcsolódó szegmenst.
Az EDI szabályozásában további jogi aktusok is szerepet játszanak
A számvitelről szóló 402-FZ szövetségi törvény 06.12.2011. december XNUMX-án. A jogalkotási aktus rendelkezik a számvitelre és a számviteli bizonylatokra vonatkozó követelmények rendszerezéséről elektronikus formában.
Incl. Figyelembe veheti az Orosz Föderáció választottbírósági eljárási kódexét, amely lehetővé teszi az elektronikus aláírással aláírt dokumentumokat bizonyítékként a bíróságon.
És itt jutott eszembe, hogy mélyebben elmélyüljek a biztonság kérdésében, mert a titkosítási védelmi eszközökre vonatkozó szabványainkat az FSB biztosítja, és biztosítják a megfelelőségi tanúsítványok kiállítását. Február 18-án új GOST szabványokat vezettek be. Így a felhőben tárolt kulcsokat nem védik közvetlenül az FSTEC tanúsítványok. Maguk a kulcsok védelme és a „felhőbe” való biztonságos bejutás azok a sarokkövek, amelyeket még nem oldottunk meg. Ezt követően az Európai Unió szabályozásának példáját tekintem át, amely egyértelműen bemutat egy fejlettebb biztonsági rendszert.
Európai tapasztalat a felhőalapú digitális aláírások használatában
Kezdjük a fő dologgal - a felhőtechnológiáknak, nem csak a digitális aláírásoknak van egyértelmű szabványa. Az alap az Európai Távközlési Szabványügyi Intézet (ETSI) Cloud Standard Coordination (CSC) csoportja. Az egyes országokban azonban továbbra is eltérések vannak az adatvédelmi szabványok között.
Az átfogó adatvédelem alapja a szolgáltatók számára az ISO 27001:2013 szabvány szerinti kötelező tanúsítvány az információbiztonsági irányítási rendszerekre vonatkozóan (a megfelelő orosz GOST R ISO/IEC 27001-2006 ennek a szabványnak a 2006-os verzióján alapul).
Az ISO 27017 további biztonsági elemeket biztosít a felhő számára, amelyek hiányoznak az ISO 27002 szabványból. Ennek a szabványnak a teljes hivatalos neve „Az ISO/IEC 27002 szabványon alapuló információbiztonsági ellenőrzések gyakorlati kódexe felhőszolgáltatásokhoz.” ISO/IEC 27002 a felhőszolgáltatásokhoz. ").
2014 nyarán az ISO közzétette a személyes adatok felhőben való védelméről szóló ISO 27018:2015 szabványt, 2015 végén pedig a felhőmegoldások információbiztonsági ellenőrzéseiről szóló ISO 27017:2015 szabványt.
2014 őszén lépett hatályba az Európai Parlament új, 910/2014. számú határozata, az eIDAS. Az új szabályok lehetővé teszik a felhasználók számára, hogy az EPC kulcsot egy akkreditált megbízható szolgáltató, az úgynevezett TSP (Trust Service Provider) szerverén tárolják és használják.
2013 októberében az Európai Szabványügyi Bizottság (CEN) elfogadta a CEN/TS 419241 „Biztonsági követelmények a szerveraláírást támogató megbízható rendszerekre” című műszaki specifikációt, amely a felhőalapú digitális aláírások szabályozására irányul. A dokumentum a biztonsági megfelelés több szintjét írja le. Például a minősített elektronikus aláírás létrehozásához szükséges „2. szintű” megfeleléshez erős felhasználói hitelesítési lehetőségek támogatása szükséges. Ennek a szintnek a követelményei szerint a felhasználói hitelesítés közvetlenül az aláírásszerveren történik, ellentétben például az „1. szintű” hitelesítéssel, amely az aláírásszerverhez saját nevében hozzáférő alkalmazásokban engedélyezett. Ezenfelül ennek a specifikációnak megfelelően a minősített elektronikus aláírás létrehozásához szükséges felhasználói aláírási kulcsokat egy speciális biztonsági eszköz (hardver biztonsági modul, HSM) memóriájában kell tárolni.
A felhőszolgáltatásban a felhasználói hitelesítésnek legalább kéttényezősnek kell lennie. Általános szabály, hogy a leginkább elérhető és legkönnyebben használható lehetőség a bejelentkezés megerősítése egy SMS-ben kapott kóddal. Például az orosz bankok személyes RBS-számláinak többsége bevezetésre került. A szokásos kriptográfiai tokenek mellett az okostelefonon lévő alkalmazás és az egyszeri jelszógenerátorok (OTP tokenek) is használhatók hitelesítési eszközként.
Egyelőre egy köztes következtetést tudok levonni azzal kapcsolatban, hogy a felhőalapú CEP-ek még csak kialakulóban vannak, és még korai lenne eltávolodni a hardvertől. Ez elvileg egy természetes folyamat, ami még Európában is (ó, remek!) körülbelül 13-14 évig tartott, amíg többé-kevésbé pontos szabványok születtek.
Amíg nem dolgozunk ki a felhőszolgáltatásainkat szabályozó jó GOST szabványokat, korai a hardveres megoldások teljes elhagyásáról beszélni. Most éppen ellenkezőleg, elkezdenek elmozdulni a „hibridek” felé, vagyis a felhő aláírásokkal is dolgoznak. Néhány olyan példa, amely megfelel a felhővel való együttműködés európai szabványainak, már megvalósult. De erről egy új anyagban egy kicsit részletesebben fogunk beszélni.
Forrás: will.com