Բարի երեկո, սիրելի ընթերցող:
Որոշ ժամանակ է, ինչ ակտիվորեն հետևում եմ Թվային տնտեսություն ծրագրի թարմացումներին և նորություններին։ EGAIS համակարգի ներքին աշխատակցի տեսանկյունից, իհարկե, գործընթացը կտևի տասնամյակներ։ Ե՛վ զարգացման տեսանկյունից, և՛ փորձարկման, հետադարձ կապի և հետագա իրականացման տեսանկյունից, որին հաջորդում են բոլոր տեսակի սխալների անխուսափելի և ցավոտ ճշգրտումները: Այնուամենայնիվ, գործն անհրաժեշտ է, կարևոր և հրատապ։ Այս ամբողջ զվարճանքի հիմնական պատվիրատուն ու շարժիչը, իհարկե, պետությունն է։ Իրականում, ինչպես ամբողջ աշխարհում։
Բոլոր գործընթացները վաղուց տեղափոխվել են թվային կամ դրան հասնելու ճանապարհին են: Սա դեռ հրաշալի է։ Այնուամենայնիվ, գերազանցության համար մեդալները բացասական կողմեր ունեն: Ես մարդ եմ, ով անընդհատ աշխատում է թվային ստորագրությամբ։ Ես միգուցե «երեկվա», բայց «հնաոճ» վստահելի և շահավետ մեթոդների կողմնակիցն եմ էլեկտրոնային ստորագրությունները ժետոնների միջոցով պաշտպանելու համար: Բայց թվայնացումը մեզ ցույց է տալիս, որ ամեն ինչ վաղուց «ամպերի» մեջ է, և CEP-ը նույնպես անհրաժեշտ է այնտեղ և շատ արագ անհրաժեշտ է:
Ես փորձեցի պարզել օրենսդրական և տեխնիկական դաշտի մակարդակով, որտեղ հնարավոր էր, թե ինչպես են գործերն այստեղ և Եվրոպայում ամպային էլեկտրոնային ստորագրությունների հետ կապված: Փաստորեն, այս թեմայով արդեն մեկից ավելի գիտական ատենախոսություն է հրապարակվել։ Ուստի մենք խրախուսում ենք այս հարցում մասնագետներին միանալ թեմայի մշակմանը:
Ինչու՞ է CEP-ը գրավիչ ամպի մեջ: Իրականում կան առավելություններ. Այս առավելությունները բավականաչափ կան: Դա արագ և հարմար է: Դա հնչում է որպես գովազդային կարգախոս, կհամաձայնեք, բայց սրանք են ամպային թվային ստորագրության օբյեկտիվ բնութագրերը։
Արագությունը կայանում է նրանում, որ փաստաթղթերը ստորագրելու ունակության մեջ է` առանց ժետոնների կամ խելացի քարտերի հետ կապվելու: Չի պարտավորեցնում մեզ օգտագործել միայն աշխատասեղան: Հարյուր տոկոս խաչաձեւ հարթակ պատմություն ցանկացած ՕՀ-ի և բրաուզերի համար: Սա հատկապես վերաբերում է Apple-ի արտադրանքի սիրահարներին, որոնց համար կան որոշակի դժվարություններ MAC համակարգում էլեկտրոնային ստորագրություններին աջակցելու հարցում: Ելք աշխարհի ցանկացած կետից, CA-ների ընտրության ազատություն (նույնիսկ ոչ ռուսական): Ի տարբերություն CEP ապարատային, ամպային տեխնոլոգիաները թույլ են տալիս խուսափել ծրագրային ապահովման և սարքավորումների համատեղելիության հետ կապված դժվարություններից: Ինչը, այո, հարմար է, և, այո, արագ:
Իսկ ինչպե՞ս կարելի է չհրապուրվել նման գեղեցկությամբ։ Սատանան մանրամասների մեջ է. Եկեք խոսենք անվտանգության մասին:
«Cloud» CEP Ռուսաստանում
Ամպային լուծումների և հատկապես թվային ստորագրությունների անվտանգությունը անվտանգության մասնագետների հիմնական ցավոտ կետերից մեկն է: Կոնկրետ ինչն ինձ դուր չի գալիս, ընթերցողն ինձ կհարցնի, քանի որ բոլորը երկար ժամանակ օգտվում են ամպային ծառայություններից, իսկ SMS-ով էլ ավելի հուսալի է բանկային փոխանցում կատարելը։
Փաստորեն, նորից վերադառնանք մանրամասներին։ Ամպային թվային ստորագրությունը ապագա է, որի հետ դժվար է վիճել: Բայց ոչ հիմա. Դա անելու համար պետք է տեղի ունենան կարգավորող փոփոխություններ, որոնք կպաշտպանեն ամպային թվային ստորագրությունների սեփականատիրոջը:
Ի՞նչ ունենք այսօր։ Կան մի շարք փաստաթղթեր, որոնք սահմանում են թվային ստորագրության, էլեկտրոնային փաստաթղթերի կառավարման (EDF), ինչպես նաև տեղեկատվության պաշտպանության և տվյալների շրջանառության մասին օրենքները: Մասնավորապես, պետք է հաշվի առնել Քաղաքացիական օրենսգիրքը (Ռուսաստանի Դաշնության Քաղաքացիական օրենսգիրքը), որը կարգավորում է փաստաթղթերում էլեկտրոնային ստորագրությունների օգտագործումը:
Դաշնային օրենքը թիվ 63-FZ «Էլեկտրոնային ստորագրությունների մասին» 06.04.2011/XNUMX/XNUMX թ. Հիմնական և շրջանակային օրենքը, որը նկարագրում է թվային ստորագրությունների օգտագործման ընդհանուր իմաստը տարբեր տեսակի գործարքներ կատարելիս և ծառայություններ մատուցելիս:
149 թվականի հուլիսի 27.07.2006-ի «Տեղեկատվության, տեղեկատվական տեխնոլոգիաների և տեղեկատվության պաշտպանության մասին» թիվ XNUMX-FZ դաշնային օրենքը: Այս փաստաթուղթը հստակեցնում է էլեկտրոնային փաստաթղթի հայեցակարգը և դրա հետ կապված բոլոր հատվածները:
Կան լրացուցիչ օրենսդրական ակտեր, որոնք ներգրավված են EDI-ի կարգավորման մեջ
Դաշնային օրենքը 402-FZ «Հաշվապահական հաշվառման մասին» 06.12.2011 թվականի դեկտեմբերի XNUMX-ի: Օրենսդրական ակտը նախատեսում է էլեկտրոնային ձևով հաշվապահական հաշվառման և հաշվառման փաստաթղթերին ներկայացվող պահանջների համակարգում:
Ներառյալ Դուք կարող եք հաշվի առնել Ռուսաստանի Դաշնության արբիտրաժային դատավարական օրենսգիրքը, որը թույլ է տալիս էլեկտրոնային ստորագրությամբ ստորագրված փաստաթղթերը որպես ապացույց դատարանում:
Եվ այստեղ էր, որ մտքովս անցավ ավելի խորանալ անվտանգության հարցում, քանի որ կրիպտոպաշտպանության միջոցների մեր ստանդարտները տրամադրվում են FSB-ի կողմից և ապահովում են համապատասխանության վկայագրերի տրամադրումը։ Փետրվարի 18-ին ներկայացվեցին ԳՕՍՏ նոր ստանդարտները։ Այսպիսով, ամպում պահվող բանալիներն ուղղակիորեն պաշտպանված չեն FSTEC վկայագրերով: Բանալին պաշտպանելն ու «ամպի» մեջ անվտանգ մուտքն այն հիմնաքարերն են, որոնք մենք դեռ չենք լուծել: Հաջորդիվ ես կանդրադառնամ Եվրամիության կանոնակարգման օրինակին, որն ակնհայտորեն ցույց կտա ավելի առաջադեմ անվտանգության համակարգ:
Ամպային թվային ստորագրությունների օգտագործման եվրոպական փորձ
Սկսենք գլխավորից՝ ամպային տեխնոլոգիաներից, ոչ միայն թվային ստորագրություններն ունեն հստակ ստանդարտ։ Հիմքը Եվրոպական հեռահաղորդակցության ստանդարտների ինստիտուտի (ETSI) Cloud Standard Coordination (CSC) խումբն է: Այնուամենայնիվ, տարբեր երկրներում տվյալների պաշտպանության ստանդարտներում դեռևս կան տարբերություններ:
Տվյալների համապարփակ պաշտպանության հիմքը մատակարարների համար պարտադիր հավաստագրումն է՝ համաձայն ISO 27001:2013 տեղեկատվական անվտանգության կառավարման համակարգերի (համապատասխան ռուսական ԳՕՍՏ Ռ ԻՍՕ/ԻԷԿ 27001-2006-ը հիմնված է այս ստանդարտի 2006թ. տարբերակի վրա):
ISO 27017-ը ապահովում է լրացուցիչ անվտանգության տարրեր ամպի համար, որոնք բացակայում են ISO 27002-ից: Այս ստանդարտի ամբողջական պաշտոնական անվանումն է «Ամպային ծառայությունների համար ISO/IEC 27002-ի վրա հիմնված տեղեկատվական անվտանգության վերահսկման պրակտիկայի կանոնագիրքը»: ISO/IEC 27002 ամպային ծառայությունների համար: »):
2014 թվականի ամռանը ISO-ն հրապարակեց ISO 27018:2015 ստանդարտը ամպում անձնական տվյալների պաշտպանության մասին, իսկ 2015 թվականի վերջին ISO 27017:2015-ը ամպային լուծումների տեղեկատվական անվտանգության վերահսկման վերաբերյալ:
2014 թվականի աշնանը ուժի մեջ է մտել Եվրախորհրդարանի նոր թիվ 910/2014 բանաձեւը, որը կոչվում է eIDAS։ Նոր կանոնները թույլ են տալիս օգտվողներին պահել և օգտագործել EPC բանալին հավատարմագրված վստահելի ծառայություններ մատուցողի՝ այսպես կոչված TSP (Trust Service Provider) սերվերում:
2013 թվականի հոկտեմբերին Ստանդարտացման եվրոպական կոմիտեն (CEN) ընդունել է CEN/TS 419241 «Անվտանգության պահանջներ վստահելի համակարգերի համար, որոնք աջակցում են սերվերի ստորագրմանը», որը նվիրված է ամպային թվային ստորագրությունների կարգավորմանը: Փաստաթուղթը նկարագրում է անվտանգության համապատասխանության մի քանի մակարդակ: Օրինակ՝ «2-րդ մակարդակի» համապատասխանությունը, որն անհրաժեշտ է որակյալ էլեկտրոնային ստորագրություն ստեղծելու համար, պահանջում է աջակցություն օգտատերերի նույնականացման ուժեղ տարբերակների համար: Այս մակարդակի պահանջների համաձայն՝ օգտատիրոջ նույնականացումը տեղի է ունենում անմիջապես ստորագրության սերվերի վրա, ի տարբերություն, օրինակ, «մակարդակի 1»-ի համար թույլատրված վավերացման այն հավելվածում, որն իր անունից մուտք է գործում ստորագրության սերվեր: Նաև, սույն բնութագրին համապատասխան, որակավորված էլեկտրոնային ստորագրություն ստեղծելու համար օգտագործողի ստորագրության բանալիները պետք է պահվեն մասնագիտացված անվտանգ սարքի հիշողության մեջ (ապարատային անվտանգության մոդուլ, HSM):
Ամպային ծառայության մեջ օգտագործողի նույնականացումը պետք է լինի առնվազն երկու գործոն: Որպես կանոն, առավել մատչելի և հեշտ օգտագործման տարբերակն է մուտքի հաստատումը SMS հաղորդագրության մեջ ստացված կոդի միջոցով: Օրինակ, ռուսական բանկերի անձնական RBS հաշիվների մեծ մասն իրականացվել է։ Բացի սովորական կրիպտոգրաֆիկ նշաններից, որպես նույնականացման միջոց կարող են օգտագործվել նաև սմարթֆոնի հավելվածը և մեկանգամյա գաղտնաբառերի գեներատորները (OTP tokens):
Առայժմ ես կարող եմ միջանկյալ եզրակացություն անել այն փաստի վերաբերյալ, որ ամպային CEP-ները դեռ նոր են ձևավորվում, և դեռ վաղ է հեռանալ սարքաշարից: Սկզբունքորեն սա բնական պրոցես է, որը նույնիսկ Եվրոպայում (օ՜, հիանալի!) տևեց մոտ 13-14 տարի, մինչև որ քիչ թե շատ ճշգրիտ չափորոշիչներ մշակվեցին։
Քանի դեռ չենք մշակել մեր ամպային ծառայությունները կարգավորող լավ ԳՕՍՏ ստանդարտներ, դեռ վաղ է խոսել ապարատային լուծումների ամբողջական հրաժարման մասին: Ավելի շուտ, նրանք այժմ, ընդհակառակը, կսկսեն շարժվել դեպի «հիբրիդներ», այսինքն՝ աշխատել նաև ամպային ստորագրությունների հետ։ Որոշ օրինակներ, որոնք համապատասխանում են Cloud-ի հետ աշխատելու եվրոպական չափանիշներին, արդեն ներդրվել են։ Բայց մենք այս մասին մի փոքր ավելի մանրամասն կխոսենք նոր նյութում:
Source: www.habr.com