Қайырлы күн, құрметті оқырман!
Мен біраз уақыттан бері «Цифрлық экономика» бағдарламасының жаңартулары мен жаңалықтарын белсенді түрде қадағалап жүрмін. EGAIS жүйесінің ішкі қызметкері тұрғысынан, әрине, процесс ондаған жылдарға созылады. Даму тұрғысынан да, тестілеу, кері қайтару және одан әрі енгізу тұрғысынан да қателердің барлық түрлерін сөзсіз және ауыр түзетулер. Соған қарамастан, бұл мәселе қажет, маңызды және шұғыл. Осы қызықтардың басты тапсырысшысы да, жүргізушісі де, әрине, мемлекет. Шын мәнінде, бүкіл әлем сияқты.
Барлық процестер сандық жүйеге әлдеқашан көшті немесе оған жету жолында. Бұл әлі де керемет. Дегенмен, үздік медальдардың кемшіліктері де бар. Мен электронды цифрлық қолтаңбамен үнемі жұмыс істейтін адаммын. Мен электрондық қолтаңбаларды токендерді қолдану арқылы қорғаудың «кешегі», бірақ «ескі» сенімді және тиімді әдістерін жақтаймын. Бірақ цифрландыру бізге бәрі ұзақ уақыт бойы «бұлтта» болғанын және CEP де қажет және өте тез қажет екенін көрсетеді.
Мен заңнамалық және техникалық база деңгейінде, мүмкіндігінше, мұнда және Еуропада бұлтты электрондық қолтаңбалардың қалай жұмыс істейтінін анықтауға тырыстым. Шындығында, бұл тақырыпта бір емес, бірнеше ғылыми диссертациялар жарияланған. Сондықтан біз осы мәселедегі кәсіби мамандарды тақырыпты дамытуға қатысуға шақырамыз.
Неліктен бұлттағы CEP тартымды? Шын мәнінде, артықшылықтар бар. Бұл артықшылықтар жеткілікті. Бұл жылдам және ыңғайлы. Бұл жарнамалық ұран сияқты естіледі, сіз келісесіз, бірақ бұл бұлтты цифрлық қолтаңбаның объективті сипаттамалары.
Жылдамдық токендерге немесе смарт-карталарға байланбай, құжаттарға қол қою мүмкіндігінде жатыр. Бізді тек жұмыс үстелін пайдалануға міндеттемейді. Кез келген ОЖ және браузерлер үшін жүз пайыз кросс-платформалық оқиға. Бұл, әсіресе, MAC жүйесінде электрондық қолтаңбаларды қолдауда белгілі бір қиындықтары бар Apple өнімдерінің жанкүйерлеріне қатысты. Әлемнің кез келген нүктесінен шығу, CA таңдау еркіндігі (тіпті ресейлік емес). CEP аппараттық құралдарынан айырмашылығы, бұлттық технологиялар бағдарламалық және аппараттық құралдардың үйлесімділігімен қиындықтарды болдырмауға мүмкіндік береді. Бұл иә, ыңғайлы және иә, жылдам.
Ал мұндай сұлулыққа қалай еліктірмейді? Шайтан егжей-тегжейлі. Қауіпсіздік туралы сөйлесейік.
Ресейдегі «Бұлтты» КЭП
Бұлтты шешімдердің, әсіресе цифрлық қолтаңбалардың қауіпсіздігі қауіпсіздік мамандары үшін негізгі ауыртпалықтардың бірі болып табылады. Маған нақты не ұнамайды, оқырман менен сұрайды, өйткені бәрі бұлтты қызметтерді ұзақ уақыт бойы пайдаланады, ал SMS арқылы банктік аударым жасау әлдеқайда сенімді.
Шындығында, тағы да егжей-тегжейге оралайық. Бұлтты цифрлық қолтаңба - бұл дауласу қиын болашақ. Бірақ қазір емес. Ол үшін бұлтты цифрлық қолтаңбаның иесін қорғайтын нормативтік өзгерістер болуы керек.
Бүгін бізде не бар? Электрондық цифрлық қолтаңба, электрондық құжат айналымы (ЭҚҚ) ұғымын анықтайтын бірқатар құжаттар, сондай-ақ ақпаратты қорғау және деректер айналымы туралы заңдар бар. Атап айтқанда, құжаттарда электрондық қолтаңбаны пайдалануды реттейтін Азаматтық кодексті (Ресей Федерациясының Азаматтық кодексі) ескеру қажет.
«Электрондық қолтаңбалар туралы» 63 жылғы № 06.04.2011-ФЗ Федералдық заңы. Түрлі түрдегі транзакцияларды жасау және қызметтерді көрсету кезінде электрондық цифрлық қолтаңбаны пайдаланудың жалпы мағынасын сипаттайтын негізгі және негіздік заң.
«Ақпарат, ақпараттық технологиялар және ақпаратты қорғау туралы» 149 жылғы 27.07.2006 шілдедегі № XNUMX-ФЗ Федералдық заңы. Бұл құжат электрондық құжат түсінігін және оған қатысты барлық сегменттерді көрсетеді.
ЭДИ реттеуге қатысатын қосымша заңнамалық актілер бар
402 жылғы 06.12.2011 желтоқсандағы «Бухгалтерлік есеп туралы» XNUMX-ФЗ Федералдық заңы. Заңнамалық акт электрондық нысандағы бухгалтерлік және бухгалтерлік құжаттарға қойылатын талаптарды жүйелеуді көздейді.
Оның ішінде Сіз сотта дәлел ретінде электронды қолтаңбамен қол қойылған құжаттарға рұқсат беретін Ресей Федерациясының Төрелік іс жүргізу кодексін ескеруге болады.
Дәл осы жерде маған қауіпсіздік мәселесіне тереңірек үңілу келді, өйткені біздің криптоқорғау құралдарының стандарттарын ФСБ қамтамасыз етеді және сәйкестік сертификаттарын беруді қамтамасыз етеді. 18 ақпанда жаңа ГОСТ стандарттары енгізілді. Осылайша, бұлтта сақталған кілттер FSTEC сертификаттарымен тікелей қорғалмайды. Кілттердің өзін қорғау және «бұлтқа» қауіпсіз кіру - бұл біз әлі шешпеген іргетас тастар. Әрі қарай, мен Еуропалық Одақтағы реттеудің мысалын қарастырамын, ол неғұрлым жетілдірілген қауіпсіздік жүйесін айқын көрсетеді.
Бұлтты цифрлық қолтаңбаны пайдаланудағы еуропалық тәжірибе
Ең бастысы - бұлтты технологиялардан бастайық, тек қана цифрлық қолтаңбалар нақты стандартқа ие емес. Негізі Еуропалық телекоммуникациялық стандарттар институтының (ETSI) Cloud Standard Coordination (CSC) тобы болып табылады. Дегенмен, әртүрлі елдерде деректерді қорғау стандарттарында әлі де айырмашылықтар бар.
Деректерді кешенді қорғаудың негізі ақпараттық қауіпсіздікті басқару жүйелеріне арналған ISO 27001:2013 стандартына сәйкес жеткізушілер үшін міндетті сертификаттау болып табылады (тиісті ресейлік ГОСТ Р ISO/IEC 27001-2006 осы стандарттың 2006 жылғы нұсқасына негізделген).
ISO 27017 бұлт үшін ISO 27002 стандартында жоқ қосымша қауіпсіздік элементтерін қамтамасыз етеді. Бұл стандарттың толық ресми атауы «Бұлттық қызметтерге арналған ISO/IEC 27002 негізіндегі ақпараттық қауіпсіздікті басқару практикасының коды». Бұлттық қызметтерге арналған ISO/IEC 27002. «).
2014 жылдың жазында ISO бұлттағы жеке деректерді қорғау бойынша ISO 27018:2015 стандартын және 2015 жылдың соңында бұлттық шешімдер үшін ақпараттық қауіпсіздікті басқару бойынша ISO 27017:2015 стандартын жариялады.
2014 жылдың күзінде Еуропалық Парламенттің eIDAS деп аталатын № 910/2014 жаңа қарары күшіне енді. Жаңа ережелер пайдаланушыларға EPC кілтін TSP (Сенімді қызмет провайдері) деп аталатын аккредиттелген сенімді қызмет провайдерінің серверінде сақтауға және пайдалануға мүмкіндік береді.
2013 жылдың қазан айында Еуропалық стандарттау комитеті (CEN) бұлттық цифрлық қолтаңбаларды реттеуге арналған CEN/TS 419241 «Серверге қол қоюды қолдайтын сенімді жүйелердің қауіпсіздік талаптары» техникалық ерекшелігін қабылдады. Құжат қауіпсіздік талаптарын сақтаудың бірнеше деңгейін сипаттайды. Мысалы, білікті электрондық қолтаңбаны жасау үшін қажет «2-деңгей» сәйкестігі күшті пайдаланушы аутентификация опцияларына қолдау көрсетуді қажет етеді. Осы деңгейдің талаптарына сәйкес, пайдаланушының аутентификациясы тікелей қолтаңба серверінде жүзеге асырылады, мысалы, қолтаңба серверіне өз атынан қатынасатын қолданбадағы «1-деңгейге» рұқсат етілген аутентификациядан айырмашылығы. Сондай-ақ, осы спецификацияға сәйкес білікті электрондық қолтаңбаны генерациялауға арналған пайдаланушы қолтаңбасының кілттері мамандандырылған қорғалған құрылғының (аппараттық қауіпсіздік модулі, HSM) жадында сақталуы керек.
Бұлттық қызметтегі пайдаланушының аутентификациясы кемінде екі факторлы болуы керек. Әдетте, ең қолжетімді және пайдалану оңай опция - SMS хабарламасында алынған код арқылы кіруді растау. Мысалы, ресейлік банктердің жеке RBS шоттарының көпшілігі жүзеге асырылды. Кәдімгі криптографиялық таңбалауыштардан басқа, аутентификация құралы ретінде смартфондағы қолданба және бір реттік пароль генераторлары (OTP токендері) де пайдаланылуы мүмкін.
Әзірге мен бұлтты CEP әлі де қалыптасып келе жатқандығы және аппараттық құралдардан кетуге әлі ерте екендігі туралы аралық қорытынды жасай аламын. Негізінде, бұл Еуропада (о, керемет!) азды-көпті дәл стандарттар әзірленгенше шамамен 13-14 жылға созылған табиғи процесс.
Біз бұлттық қызметтерімізді реттейтін жақсы ГОСТ стандарттарын әзірлемейінше, аппараттық шешімдерден толық бас тарту туралы айту әлі ерте. Керісінше, олар енді, керісінше, «гибридтерге» қарай жылжи бастайды, яғни бұлтты қолтаңбалармен де жұмыс істейді. Бұлтпен жұмыс істеудің еуропалық стандарттарына сәйкес келетін кейбір мысалдар қазірдің өзінде енгізілген. Бірақ біз бұл туралы жаңа материалда толығырақ сөйлесетін боламыз.
Ақпарат көзі: www.habr.com