Laba diena, brangus skaitytojau!
Jau kurį laiką aktyviai seku Skaitmeninės ekonomikos programos atnaujinimus ir naujienas. Vidinio EGAIS sistemos darbuotojo požiūriu, žinoma, procesas truks dešimtmečius. Tiek kūrimo, tiek testavimo, atšaukimo ir tolesnio diegimo požiūriu, po kurio seka neišvengiami ir skausmingi įvairiausių klaidų koregavimai. Nepaisant to, reikalas yra būtinas, svarbus ir skubus. Pagrindinis visų šių linksmybių užsakovas ir variklis, be abejo, yra valstybė. Tiesą sakant, kaip ir visame pasaulyje.
Visi procesai jau seniai persikėlė į skaitmeninius arba jau artėja prie jo. Tai vis dar nuostabu. Tačiau medaliai už meistriškumą turi ir minusų. Esu žmogus, nuolat dirbantis su skaitmeniniais parašais. Aš palaikau gal „vakarykščius“, bet „senamadiškus“ patikimus ir visiems naudingus elektroninio parašo apsaugos metodus naudojant žetonus. Bet skaitmenizacija mums parodo, kad viskas jau seniai buvo „debesyse“ ir CEP ten taip pat reikalingas ir reikalingas labai greitai.
Įstatyminės ir techninės bazės lygmeniu bandžiau išsiaiškinti, kur įmanoma, kaip yra su debesų elektroniniais parašais čia ir Europoje. Tiesą sakant, šia tema jau paskelbta ne viena mokslinė disertacija. Todėl skatiname šio klausimo profesionalus prisijungti prie temos plėtojimo.
Kodėl CEP debesyje yra patrauklus? Tiesą sakant, yra privalumų. Šių privalumų pakanka. Tai greita ir patogu. Sutikite, tai skamba kaip reklaminis šūkis, tačiau tai yra objektyvios skaitmeninio parašo debesyje savybės.
Greitis slypi galimybėje pasirašyti dokumentus neprisirišant prie žetonų ar intelektualiųjų kortelių. Neįpareigoja mūsų naudoti tik darbalaukio. Šimtaprocentinė kelių platformų istorija bet kuriai OS ir naršyklėms. Tai ypač aktualu Apple produktų gerbėjams, kuriems kyla tam tikrų sunkumų palaikant elektroninį parašą MAC sistemoje. Išvykimas iš bet kurios pasaulio vietos, CA (net ir ne rusiškų) pasirinkimo laisvė. Skirtingai nuo CEP aparatinės įrangos, debesų technologijos leidžia išvengti programinės ir techninės įrangos suderinamumo problemų. Kas, taip, patogu ir, taip, greita.
Ir kaip tokiu grožiu nesusigundyti? Velnias slypi detalėse. Pakalbėkime apie saugumą.
„Debesis“ CEP Rusijoje
Debesijos sprendimų, o ypač skaitmeninių parašų, saugumas yra vienas iš pagrindinių saugumo specialistų problemų. Kas konkrečiai man nepatinka, paklaus manęs skaitytojas, nes visi jau seniai naudojasi debesų paslaugomis, o su SMS dar patikimiau atlikti banko pavedimą.
Tiesą sakant, vėl grįžkime prie smulkmenų. Skaitmeninis parašas debesyje yra ateitis, su kuria sunku ginčytis. Bet ne dabar. Norėdami tai padaryti, turi būti atlikti reguliavimo pakeitimai, kurie apsaugotų debesies skaitmeninių parašų savininką.
Ką mes turime šiandien? Yra nemažai dokumentų, apibrėžiančių skaitmeninio parašo, elektroninio dokumentų valdymo (EDF) sąvoką, taip pat informacijos apsaugos ir duomenų apyvartos įstatymus. Visų pirma, reikia atsižvelgti į Civilinį kodeksą (Rusijos Federacijos civilinį kodeksą), kuris reglamentuoja elektroninio parašo naudojimą dokumentuose.
63-06.04.2011-XNUMX Federalinis įstatymas Nr. XNUMX-FZ „Dėl elektroninių parašų“. Pagrindinis ir pagrindų įstatymas, apibūdinantis bendrą skaitmeninio parašo naudojimo prasmę atliekant įvairių rūšių sandorius ir teikiant paslaugas.
149 m. liepos 27.07.2006 d. federalinis įstatymas Nr. XNUMX-FZ „Dėl informacijos, informacinių technologijų ir informacijos apsaugos. Šiame dokumente nurodoma elektroninio dokumento sąvoka ir visi susiję segmentai.
Yra papildomų teisės aktų, kurie yra susiję su EDI reguliavimu
402 m. gruodžio 06.12.2011 d. Federalinis įstatymas XNUMX-FZ „Dėl apskaitos“. Įstatymo galią turintis aktas numato apskaitos ir apskaitos dokumentų elektroninės formos reikalavimų sisteminimą.
Įsk. Galite atsižvelgti į Rusijos Federacijos Arbitražo proceso kodeksą, kuris leidžia elektroniniu parašu pasirašytus dokumentus kaip įrodymus teisme.
Ir čia man kilo mintis pasigilinti į saugumo klausimą, nes mūsų standartus kriptovaliutų apsaugos priemonėms pateikia FSB ir užtikrina atitikties sertifikatų išdavimą. Vasario 18 dieną buvo įvesti nauji GOST standartai. Taigi, debesyje saugomi raktai nėra tiesiogiai apsaugoti FSTEC sertifikatais. Pačių raktų apsauga ir saugus patekimas į „debesį“ yra kertiniai akmenys, kurių dar neišsprendėme. Toliau pažvelgsiu į reguliavimo Europos Sąjungoje pavyzdį, kuris aiškiai parodys pažangesnę apsaugos sistemą.
Europos patirtis naudojant debesies skaitmeninius parašus
Pradėkime nuo pagrindinio dalyko – debesų technologijos, ne tik skaitmeniniai parašai turi aiškų standartą. Pagrindas yra Europos telekomunikacijų standartų instituto (ETSI) debesų standartų koordinavimo (CSC) grupė. Tačiau skirtingose šalyse duomenų apsaugos standartai vis dar skiriasi.
Visapusiškos duomenų apsaugos pagrindas yra privalomas tiekėjų sertifikavimas pagal ISO 27001:2013 informacijos saugumo valdymo sistemoms (atitinkamas rusiškas GOST R ISO/IEC 27001-2006 pagrįstas 2006 m. šio standarto versija).
ISO 27017 suteikia papildomų debesies saugos elementų, kurių trūksta ISO 27002. Visas oficialus šio standarto pavadinimas yra „Informacijos saugos kontrolės, pagrįstos ISO/IEC 27002, debesijos paslaugų praktikos kodeksas“. ISO/IEC 27002 debesijos paslaugoms. “).
2014 metų vasarą ISO paskelbė ISO 27018:2015 standartą dėl asmens duomenų apsaugos debesyje, o 2015 metų pabaigoje – ISO 27017:2015 dėl debesų sprendimų informacijos saugos kontrolės.
2014 metų rudenį įsigaliojo naujas Europos Parlamento nutarimas Nr.910/2014, pavadintas eIDAS. Naujosios taisyklės leidžia vartotojams saugoti ir naudoti EPC raktą akredituoto patikimo paslaugų teikėjo, vadinamojo TSP (Trust Service Provider), serveryje.
2013 m. spalio mėn. Europos standartizacijos komitetas (CEN) priėmė techninę specifikaciją CEN/TS 419241 „Saugos reikalavimai patikimoms sistemoms, palaikančioms serverio pasirašymą“, skirtą debesijos skaitmeninių parašų reguliavimui. Dokumente aprašomi keli saugumo atitikties lygiai. Pavyzdžiui, norint sugeneruoti kvalifikuotą elektroninį parašą, reikalingas „2 lygio“ atitikimas reikalauja stiprių vartotojo autentifikavimo parinkčių palaikymo. Pagal šio lygio reikalavimus vartotojo autentifikavimas vyksta tiesiogiai parašo serveryje, priešingai, pavyzdžiui, „1 lygio“ autentifikavimui programoje, kuri savo vardu pasiekia parašo serverį. Taip pat pagal šią specifikaciją vartotojo parašo raktai kvalifikuotam elektroniniam parašui generuoti turi būti saugomi specializuoto saugaus įrenginio (aparatinės įrangos apsaugos modulio, HSM) atmintyje.
Naudotojo autentifikavimas debesies paslaugoje turi būti bent dviejų veiksnių. Paprastai prieinamiausia ir lengviausiai naudojama galimybė yra patvirtinti prisijungimą SMS žinute gautu kodu. Pavyzdžiui, buvo įdiegta dauguma asmeninių Rusijos bankų RBS sąskaitų. Be įprastų kriptografinių žetonų, kaip autentifikavimo priemonę taip pat galima naudoti programą išmaniajame telefone ir vienkartinius slaptažodžių generatorius (OTP žetonus).
Kol kas galiu padaryti tarpinę išvadą dėl to, kad debesų CEP dar tik formuojasi ir per anksti atsitraukti nuo aparatinės įrangos. Iš principo tai natūralus procesas, kuris net Europoje (o, puiku!) truko apie 13-14 metų, kol buvo sukurti daugiau ar mažiau tikslūs standartai.
Kol nesukursime gerų GOST standartų, reglamentuojančių mūsų debesijos paslaugas, dar anksti kalbėti apie visišką aparatinės įrangos sprendimų atsisakymą. Atvirkščiai, dabar jie pradės judėti link „hibridų“, tai yra, dirbs ir su debesų parašais. Kai kurie pavyzdžiai, atitinkantys Europos standartus dirbant su „Cloud“, jau įgyvendinti. Tačiau apie tai pakalbėsime šiek tiek plačiau naujoje medžiagoje.
Šaltinis: www.habr.com