Gudde Mëtteg, léif Lieser!
Ech hunn d'Aktualiséierungen an d'Nouvelle vum Digital Economy Programm fir eng Zäit aktiv gefollegt. Aus der Siicht vun engem internen Employé vum EGAIS System wäert de Prozess natierlech fir Joerzéngte daueren. Souwuel aus der Siicht vun der Entwécklung, wéi och aus der Siicht vun Testen, Rollback a weider Ëmsetzung, gefollegt vun inévitabel a schmerzhafte Upassunge vun all Zorte vu Bugs. Trotzdem ass d'Saach néideg, wichteg an dréngend. Den Haaptclient an de Chauffeur vun all deem Spaass ass natierlech de Staat. Eigentlech, grad wéi op der ganzer Welt.
All Prozesser sinn laang an digital geplënnert oder sinn um Wee fir et. Dëst ass nach ëmmer wonnerbar. Wéi och ëmmer, et ginn Nodeeler fir Medaillen fir Exzellenz. Ech sinn eng Persoun déi permanent mat digitale Ënnerschrëften schafft. Ech sinn Supporter vu vläicht "gëschter", awer "almoudesch" zouverlässeg a win-win Methoden fir elektronesch Ënnerschrëften ze schützen mat Stongen. Awer d'Digitaliséierung weist eis, datt alles scho laang an de "Wolleken" war an CEP och do gebraucht gëtt a ganz séier gebraucht gëtt.
Ech hu probéiert, um Niveau vum legislativen an technesche Kader, wou méiglech, erauszefannen, wéi et hei an an Europa mat elektroneschen Cloud-Ënnerschrëfte steet. Tatsächlech ass méi wéi eng wëssenschaftlech Dissertatioun iwwer dëst Thema scho publizéiert. Dofir encouragéiere mir Professionnelen an dëser Matière an der Entwécklung vum Thema matzemaachen.
Firwat ass CEP an der Wollek attraktiv? Tatsächlech ginn et Virdeeler. Et gi genuch vun dëse Virdeeler. Et ass séier a praktesch. Et kléngt wéi e Reklamm Slogan, Dir wäert d'accord sinn, awer dëst sinn déi objektiv Charakteristike vun enger Cloud Digital Signature.
Geschwindegkeet läit an der Fäegkeet Dokumenter z'ënnerschreiwen ouni un Tokens oder Smartkaarten gebonnen ze sinn. Verpflicht eis net nëmmen den Desktop ze benotzen. Honnert Prozent Cross-Plattform Geschicht fir all OS a Browser. Dëst ass virun allem wouer fir Fans vun Apple Produkter, fir déi et bestëmmte Schwieregkeeten sinn elektronesch Ënnerschrëften am MAC System z'ënnerstëtzen. Sortie vun iwwerall op der Welt, Fräiheet vun Choix vun CAs (och Net-Russesch). Am Géigesaz zu CEP Hardware, Cloud Technologien erlaben Iech Schwieregkeeten mat der Kompatibilitéit vu Software an Hardware ze vermeiden. Wat, jo, ass bequem, an, jo, séier.
A wéi kann een net vun esou Schéinheet verféieren? Den Däiwel ass an den Detailer. Loosst eis iwwer Sécherheet schwätzen.
"Cloud" CEP an Russland
D'Sécherheet vu Cloud-Léisungen, a besonnesch digital Ënnerschrëften, ass ee vun den Haaptschmerzen fir Sécherheetsfachleit. Wat ech genee net gär hunn, freet de Lieser mech, well jidderee fir eng laang Zäit Cloud-Servicer benotzt, a mat SMS ass et nach méi zouverlässeg eng Bankiwwerweisung ze maachen.
Eigentlech, erëm, loosst eis zréck an d'Detailer goen. Cloud digital Ënnerschrëft ass eng Zukunft mat där et schwéier ass ze streiden. Awer net elo. Fir dëst ze maachen, musse reglementaresche Ännerunge geschéien, déi de Besëtzer vun digitale Cloud Signaturen schützen.
Wat hu mir haut? Et ginn eng Rei vun Dokumenter, déi d'Konzept vun der digitaler Ënnerschrëft, elektronescher Dokumentverwaltung (EDF) definéieren, souwéi Gesetzer iwwer Informatiounsschutz an Datesirkulatioun. Besonnesch musst Dir de Code Civil (Code Civil vun der Russescher Federatioun) berücksichtegen, déi d'Benotzung vun elektroneschen Ënnerschrëften an Dokumenter reguléiert.
Bundesgesetz Nr 63-FZ "Op elektronesch Ënnerschrëften" vum 06.04.2011/XNUMX/XNUMX. D'Basis- a Kadergesetz dat d'allgemeng Bedeitung vum Gebrauch vun digitale Ënnerschrëften beschreift wann Dir Transaktioune vu verschiddenen Typen a Servicer ubitt.
Bundesgesetz Nr 149-FZ "Iwwer Informatioun, Informatiounstechnologien an Informatiounsschutz vum 27.07.2006. Juli XNUMX. Dëst Dokument spezifizéiert d'Konzept vun engem elektroneschen Dokument an all verbonne Segmenter.
Et ginn zousätzlech legislativ Akten déi an der Reguléierung vun EDI involvéiert sinn
Bundesgesetz 402-FZ "Op Comptabilitéit" vum 06.12.2011. Dezember XNUMX. D'Gesetzgebung gesäit fir d'Systematiséierung vun Viraussetzunge fir Comptablesmethod an Comptablesmethod Dokumenter an elektronescher Form.
Inkl. Dir kënnt d'Arbitratiounsprozedural Code vun der Russescher Federatioun berücksichtegen, wat Dokumenter erlaabt, déi duerch elektronesch Ënnerschrëft als Beweis am Geriicht ënnerschriwwe ginn.
An et war hei, datt et mir opgefall ass, méi déif an d'Fro vun der Sécherheet ze verdéiwen, well eis Norme fir Krypto-Schutzmëttelen vun der FSB geliwwert ginn an d'Emissioun vun Konformitéitszertifikater garantéieren. Den 18. Februar goufen nei GOST-Standarden agefouert. Also, Schlësselen, déi an der Wollek gespäichert sinn, sinn net direkt vu FSTEC Zertifikater geschützt. D'Schlëssel selwer schützen a sécheren Entrée an d'"Wollek" sinn d'Eckpläng déi mir nach net geléist hunn. Als nächst kucken ech d'Beispill vun der Regulatioun an der Europäescher Unioun, déi kloer e méi fortgeschratt Sécherheetssystem weist.
Europäesch Erfahrung beim Benotze vu Cloud Digital Signatures
Loosst eis mat der Haaptsaach ufänken - Cloud Technologien, net nëmmen digital Ënnerschrëften hunn e klore Standard. D'Basis ass de Cloud Standard Coordination (CSC) Grupp vum European Telecommunications Standards Institute (ETSI). Wéi och ëmmer, et ginn nach ëmmer Differenzen an Dateschutznormen a verschiddene Länner.
D'Basis fir ëmfaassend Dateschutz ass obligatoresch Zertifizéierung fir Ubidder no ISO 27001:2013 fir Informatiounssécherheetsmanagement Systemer (de entspriechende russesche GOST R ISO/IEC 27001-2006 baséiert op der 2006 Versioun vun dësem Standard).
ISO 27017 bitt zousätzlech Sécherheetselementer fir d'Wollek, déi am ISO 27002 fehlen. De kompletten offiziellen Numm vun dësem Standard ass "Code of Practice fir Informatiounssécherheetskontrolle baséiert op ISO/IEC 27002 fir Cloud Servicer." ISO/IEC 27002 fir Cloud Servicer. ").
Am Summer 2014 huet d'ISO den ISO 27018:2015 Standard iwwer de Schutz vu perséinlechen Donnéeën an der Wollek publizéiert, an Enn 2015 ISO 27017:2015 iwwer Informatiounssécherheetskontrolle fir Cloud Léisungen.
Am Hierscht 2014 koum eng nei Resolutioun vum Europaparlament 910/2014, eIDAS, a Kraaft. Déi nei Regelen erlaben d'Benotzer den EPC-Schlëssel um Server vun engem akkreditéierte vertrauenswürdege Serviceprovider ze späicheren an ze benotzen, de sougenannten TSP (Trust Service Provider).
Am Oktober 2013 huet den Europäesche Comité fir Standardiséierung (CEN) d'technesch Spezifizéierung CEN/TS 419241 "Sécherheetsfuerderunge fir vertrauenswürdeg Systemer déi Server Ënnerstëtzung ënnerstëtzen", ugeholl, gewidmet fir d'Reguléierung vun digitale Cloud Signatures. D'Dokument beschreift verschidde Niveaue vu Sécherheetskonformitéit. Zum Beispill, "Niveau 2" Konformitéit erfuerderlech fir eng qualifizéiert elektronesch Ënnerschrëft ze generéieren erfuerdert Ënnerstëtzung fir staark Benotzerauthentifikatiounsoptiounen. No den Ufuerderunge vun dësem Niveau, geschitt d'Benotzer Authentifikatioun direkt op der Ënnerschrëft Server, am Géigesaz, zum Beispill, zu der Authentifikatioun erlaabt fir "Niveau 1" an enger Applikatioun déi Zougang zu der Ënnerschrëft Server op säin eegene Numm. Och, am Aklang mat dëser Spezifizéierung, Benotzer Ënnerschrëft Schlësselen fir eng qualifizéiert elektronesch Ënnerschrëft generéieren mussen an der Erënnerung vun engem spezialiséiert sécher Apparat gespäichert ginn (Hardware Sécherheet Modul, HSM).
Benotzer Authentifikatioun an engem Cloud Service muss op d'mannst zwee-Faktor sinn. Als Regel, ass déi zougänglechst an einfach-ze-benotzen Optioun de Login ze bestätegen iwwer e Code deen an engem SMS Message kritt. Zum Beispill, sinn déi meescht vun de perséinlechen RBS Konte vun russesch Banken ëmgesat. Zousätzlech zu den üblechen kryptografeschen Tokens kann eng Applikatioun op engem Smartphone an eemolege Passwuert Generatoren (OTP Tokens) och als Authentifikatiounsmëttel benotzt ginn.
Fir de Moment kann ech eng Tëschenzäit Conclusioun zéien iwwer d'Tatsaach datt Cloud CEPs nach just geformt ginn an et ass ze fréi fir vun der Hardware ewech ze goen. Am Prinzip ass dëst en natierleche Prozess, deen och an Europa (oh, super!) ongeféier 13-14 Joer gedauert huet bis méi oder manner genee Standarden entwéckelt goufen.
Bis mir gutt GOST-Standarden entwéckelen, déi eis Cloud-Servicer reguléieren, ass et ze fréi fir iwwer e komplette Verzicht vun Hardwareléisungen ze schwätzen. Éischter wäerte se elo am Géigendeel ufänken a Richtung "Hybriden" ze beweegen, dat heescht och mat Cloud-Signaturen ze schaffen. E puer Beispiller, déi europäesch Standards entspriechen fir mat Cloud ze schaffen, si scho implementéiert ginn. Mä mir wäerten iwwer dëst an e bësse méi Detail an engem neie Material schwätzen.
Source: will.com