Buon pomeriggio, caro lettore!
Seguo attivamente da tempo gli aggiornamenti e le novità del programma Economia Digitale. Dal punto di vista di un dipendente interno del sistema EGAIS, ovviamente, il processo durerà decenni. Sia dal punto di vista dello sviluppo, sia dal punto di vista del test, del rollback e dell'ulteriore implementazione, seguiti da inevitabili e dolorosi aggiustamenti di tutti i tipi di bug. Tuttavia la questione è necessaria, importante e urgente. Il principale cliente e motore di tutto questo divertimento è, ovviamente, lo Stato. In realtà, proprio come in tutto il mondo.
Tutti i processi sono passati da tempo al digitale o sono sulla buona strada per farlo. Questo è ancora meraviglioso. Tuttavia, ci sono degli svantaggi nelle medaglie per eccellenza. Sono una persona che lavora costantemente con la firma digitale. Sono un sostenitore di metodi affidabili e vantaggiosi forse "di ieri", ma "vecchio stile" per proteggere le firme elettroniche utilizzando token. Ma la digitalizzazione ci mostra che tutto è rimasto a lungo nelle “nuvole” e che anche lì il CEP è necessario e necessario molto rapidamente.
Ho cercato di capire, a livello di quadro legislativo e tecnico, ove possibile, come stanno le cose con le firme elettroniche in cloud qui e in Europa. Su questo argomento, infatti, è già stata pubblicata più di una tesi scientifica. Pertanto, incoraggiamo i professionisti in questa materia a partecipare allo sviluppo dell'argomento.
Perché il CEP nel cloud è interessante? In effetti, ci sono dei vantaggi. Ci sono abbastanza di questi vantaggi. È veloce e conveniente. Sembra uno slogan pubblicitario, sarete d'accordo, ma queste sono le caratteristiche oggettive di una firma digitale in cloud.
La velocità sta nella capacità di firmare documenti senza essere vincolati a gettoni o smart card. Non ci obbliga a utilizzare solo il desktop. Storia multipiattaforma al cento per cento per qualsiasi sistema operativo e browser. Ciò è particolarmente vero per gli appassionati dei prodotti Apple, per i quali esistono alcune difficoltà nel supportare le firme elettroniche nel sistema MAC. Uscita da qualsiasi parte del mondo, libertà di scelta delle AC (anche non russe). A differenza dell'hardware CEP, le tecnologie cloud consentono di evitare difficoltà con la compatibilità di software e hardware. Il che, sì, è conveniente e, sì, veloce.
E come non lasciarsi sedurre da tanta bellezza? Il diavolo è nei dettagli. Parliamo di sicurezza.
CEP "Cloud" in Russia
La sicurezza delle soluzioni cloud, e in particolare delle firme digitali, è uno dei principali punti critici per i professionisti della sicurezza. Cosa non mi piace esattamente, mi chiederà il lettore, perché tutti utilizzano i servizi cloud da molto tempo, e con gli SMS è ancora più affidabile effettuare un bonifico.
In realtà, ancora una volta, torniamo ai dettagli. La firma digitale cloud è un futuro con cui è difficile discutere. Ma non ora. Per fare ciò è necessario che si verifichino modifiche normative che tutelino il titolare delle firme digitali in cloud.
Cosa abbiamo oggi? Esistono numerosi documenti che definiscono il concetto di firma digitale, gestione elettronica dei documenti (EDF), nonché leggi sulla protezione delle informazioni e sulla circolazione dei dati. In particolare, è necessario tenere conto del Codice Civile (Codice Civile della Federazione Russa), che regola l'uso delle firme elettroniche nei documenti.
Legge federale n. 63-FZ "Sulle firme elettroniche" del 06.04.2011/XNUMX/XNUMX. La legge fondamentale e quadro che descrive il significato generale dell'uso della firma digitale quando si effettuano transazioni di vario tipo e si forniscono servizi.
Legge federale n. 149-FZ “Sull'informazione, le tecnologie dell'informazione e la protezione delle informazioni del 27.07.2006 luglio XNUMX. Questo documento specifica il concetto di documento elettronico e tutti i segmenti correlati.
Esistono ulteriori atti legislativi coinvolti nella regolamentazione dell'EDI
Legge federale 402-FZ "Contabilità" del 06.12.2011 dicembre XNUMX. L'atto legislativo prevede la sistematizzazione dei requisiti per i documenti contabili e contabili in formato elettronico.
incl. Puoi prendere in considerazione il Codice procedurale arbitrale della Federazione Russa, che consente i documenti firmati con firma elettronica come prova in tribunale.
Ed è stato qui che mi è venuto in mente di approfondire la questione della sicurezza, perché i nostri standard per i mezzi di criptoprotezione sono forniti dall'FSB e garantiscono il rilascio di certificati di conformità. Il 18 febbraio sono stati introdotti i nuovi standard GOST. Pertanto, le chiavi archiviate nel cloud non sono direttamente protette dai certificati FSTEC. La protezione delle chiavi stesse e l’ingresso sicuro nel “cloud” sono i pilastri che non abbiamo ancora risolto. Successivamente, esaminerò l’esempio della regolamentazione nell’Unione Europea, che dimostrerà chiaramente un sistema di sicurezza più avanzato.
Esperienza europea nell’utilizzo delle firme digitali cloud
Cominciamo con la cosa principale: le tecnologie cloud, non solo le firme digitali, hanno uno standard chiaro. La base è il gruppo Cloud Standard Coordination (CSC) dell’European Telecommunications Standards Institute (ETSI). Tuttavia, esistono ancora differenze negli standard di protezione dei dati tra i diversi paesi.
La base per una protezione completa dei dati è la certificazione obbligatoria per i fornitori secondo la norma ISO 27001:2013 per i sistemi di gestione della sicurezza delle informazioni (il corrispondente russo GOST R ISO/IEC 27001-2006 si basa sulla versione 2006 di questo standard).
La norma ISO 27017 fornisce ulteriori elementi di sicurezza per il cloud che mancano nella norma ISO 27002. Il nome ufficiale completo di questo standard è "Codice di condotta per i controlli di sicurezza delle informazioni basato su ISO/IEC 27002 per i servizi cloud". ").
Nell’estate del 2014, l’ISO ha pubblicato lo standard ISO 27018:2015 sulla protezione dei dati personali nel cloud e, alla fine del 2015, lo standard ISO 27017:2015 sui controlli di sicurezza delle informazioni per le soluzioni cloud.
Nell'autunno del 2014 è entrata in vigore una nuova Risoluzione del Parlamento Europeo n. 910/2014, denominata eIDAS. Le nuove regole consentono agli utenti di memorizzare e utilizzare la chiave EPC sul server di un fornitore di servizi fidati accreditato, il cosiddetto TSP (Trust Service Provider).
Nell’ottobre 2013 il Comitato Europeo di Standardizzazione (CEN) ha adottato la specifica tecnica CEN/TS 419241 “Requisiti di sicurezza per sistemi affidabili che supportano la firma dei server”, dedicata alla regolamentazione delle firme digitali in cloud. Il documento descrive diversi livelli di conformità alla sicurezza. Ad esempio, la conformità di “livello 2” richiesta per generare una firma elettronica qualificata richiede il supporto di opzioni di autenticazione avanzata dell’utente. Secondo i requisiti di questo livello, l'autenticazione dell'utente avviene direttamente sul server delle firme, contrariamente ad esempio all'autenticazione consentita per il "livello 1" in un'applicazione che accede per proprio conto al server delle firme. Inoltre, in conformità con questa specifica, le chiavi di firma dell'utente per generare una firma elettronica qualificata devono essere archiviate nella memoria di un dispositivo sicuro specializzato (modulo di sicurezza hardware, HSM).
L'autenticazione dell'utente in un servizio cloud deve essere basata almeno su due fattori. Di norma, l'opzione più accessibile e facile da usare è confermare l'accesso tramite un codice ricevuto in un messaggio SMS. Ad esempio, la maggior parte dei conti personali RBS delle banche russe sono stati implementati. Come mezzo di autenticazione, oltre ai consueti token crittografici, è possibile utilizzare anche un'applicazione su smartphone e generatori di password monouso (token OTP).
Per ora, posso trarre una conclusione provvisoria riguardo al fatto che i CEP cloud sono ancora in fase di formazione ed è troppo presto per abbandonare l’hardware. In linea di principio, questo è un processo naturale, che anche in Europa (oh, fantastico!) è durato circa 13-14 anni finché non sono stati sviluppati standard più o meno accurati.
Fino a quando non svilupperemo buoni standard GOST che regolano i nostri servizi cloud, è troppo presto per parlare di un completo abbandono delle soluzioni hardware. Piuttosto, ora, al contrario, inizieranno a muoversi verso gli “ibridi”, cioè a lavorare anche con le firme cloud. Alcuni esempi che soddisfano gli standard europei per lavorare con il Cloud sono già stati implementati. Ma di questo ne parleremo un po’ più in dettaglio in un nuovo materiale.
Fonte: habr.com