Добро попладне, драг читател!
Веќе некое време активно ги следам ажурирањата и новостите на програмата Дигитална економија. Од гледна точка на внатрешен вработен во системот EGAIS, се разбира, процес со децении. И од гледна точка на развој, и од гледна точка на тестирање, враќања и понатамошна имплементација, проследени со неизбежните и болни прилагодувања на сите видови грешки. Сепак, работата е неопходна, важна и задоцнета. Главниот клиент и двигател на сета оваа забава, секако, е државата. Всушност, како и во целиот свет.
Сите процеси одамна се влеваа во дигитална или на пат кон неа. Сè уште е прекрасно. Сепак, постојат и обратни страни на медалите за разлика. Јас сум личност која постојано работи со дигитален потпис. Јас сум поддржувач на можеби „вчера“, но „старомодни“ сигурни и победнички методи за заштита на електронски потпис користејќи токени. Но, дигитализацијата ни покажува дека сè е одамна во „облаците“ и CEP исто така треба да оди таму и му треба многу брзо.
Се обидов да сфатам, досега на ниво на законодавна и техничка база, каде е можно, како стојат работите со cloud ES кај нас и во Европа. Всушност, на оваа тема веќе е објавена повеќе од една научна дисертација. Оттаму ги повикуваат добрите во оваа работа да се поврзат со развојот на темата.
Зошто CEP во облакот е привлечен? Всушност, има позитивни. Овие плус се доволни. Брзо е и удобен. Звучи како рекламен слоган, ќе се согласите, но ова се објективни карактеристики на EDS базиран на облак.
Брзината лежи во способноста да се потпишуваат документи без да се врзуваат за токени или паметни картички. Не обврзува да користиме само десктоп. Стопроцентна историја на повеќе платформи за кој било оперативен систем и прелистувачи. Ова особено важи за љубителите на производите на Apple, за кои има одредени потешкотии во поддршката на ES во системот MAC. Излез од каде било во светот, слобода на избор на CA (дури ни руски). За разлика од CEP хардверот, cloud computing ја избегнува сложеноста на софтверската и хардверската компатибилност. Што е, да, погодно и, да, брзо.
И како човек да не биде искушуван од таква убавина? Ѓаволот е во деталите. Ајде да зборуваме за безбедноста.
„Облачно“ CEP во Русија
Безбедноста на облак решенијата, а особено на дигиталниот потпис, е една од главните болки на луѓето од безбедноста. Што точно не ми се допаѓа, читателот ќе ме праша, бидејќи сите долго време користат облак услуги, а со СМС е уште посигурно да се направи банкарски трансфер.
Всушност, повторно, назад кон деталите. Cloud EDS е иднината, со која е тешко да се расправаме. Но не сега. За да го направите ова, мора да има регулаторни и законски промени кои ќе го заштитат сопственикот на облак EDS.
Што имаме денес? Постојат голем број на документи кои го дефинираат концептот на ES, управување со електронски документи (EDF), како и закони за заштита на информации и циркулација на податоци. Особено, неопходно е да се земе предвид Граѓанскиот законик (Граѓанскиот законик на Руската Федерација), кој ја регулира употребата на ЕС во документите.
Федерален закон бр. 63-ФЗ "За електронски потпис" од 06.04.2011 април XNUMX година. Главниот и рамковниот закон што го опишува општото значење на употребата на електронски потписи при трансакции од различна природа и обезбедување услуги.
Федерален закон бр. 149-ФЗ „За информации, информациски технологии и заштита на информации“ од 27.07.2006 јули XNUMX година. Овој документ го специфицира концептот на електронски документ и сите поврзани сегменти.
Постојат дополнителни законски акти кои се вклучени во регулирањето на ЕДФ
Федерален закон 402-ФЗ "За сметководство" од 06.12.2011 година. Законскиот акт предвидува систематизација на барањата за сметководствени и сметководствени документи во електронска форма.
Вкл. можете да го земете предвид Кодексот за арбитражна постапка на Руската Федерација, кој дозволува документи потпишани од ЕС како доказ во судот.
И токму тука ми падна на памет да копам подлабоко во прашањето за безбедноста, бидејќи нашите стандарди за алатки за крипто-заштита се обезбедени од ФСБ и обезбедуваат издавање сертификати за усогласеност. Од 18 февруари, воведени се нови ГОСТ. Така, клучевите складирани во облакот не се директно заштитени со FSTEC сертификати. Заштитата на самите клучеви и сигурното влегување во „облакот“ се темелите за кои се уште не сме се одлучиле. Следно, ќе разгледам пример за регулација во Европската унија, што јасно ќе демонстрира понапреден безбедносен систем.
Европско искуство во користењето на облак ES
Да почнеме со главната работа - облак технологиите, не само ES, имаат јасен стандард. Основа на Групата за координација на стандарди за облак (CSC) на Европскиот институт за телекомуникациски стандарди (ETSI). Сепак, сè уште има разлики во стандардите за заштита на податоците меѓу земјите.
Основата за сеопфатна заштита на податоците е задолжителна сертификација за давателите на услуги според ISO 27001:2013 за системи за управување со безбедноста на информациите (соодветниот руски ГОСТ Р ISO / IEC 27001-2006 се базира на верзијата на овој стандард од 2006 година).
ISO 27017 обезбедува дополнителни безбедносни елементи за облакот кои не се во ISO 27002. Целосниот официјален наслов на овој стандард е „Кодекс на пракса за контроли за безбедност на информации базиран на ISO/IEC 27002 за облак услуги“ („Кодекс на пракса за информациска безбедност контроли базирани на ISO/IEC 27002 за облак услуги“).
Во летото 2014 година, ISO го објави ISO 27018:2015 за заштита на личните податоци во облакот, а на крајот на 2015 година, ISO 27017:2015 за контроли за безбедност на информации за решенија за облак.
Во есента 2014 година, стапи на сила новата Регулатива на Европскиот парламент бр. 910/2014, наречена eIDAS. Новите правила им овозможуваат на корисниците да го складираат и користат CEP клучот на серверот на акредитиран доверлив давател на услуги, таканаречениот TSP (Trust Service Provider).
Европскиот комитет за стандардизација (CEN) во октомври 2013 година ја усвои техничката спецификација CEN / TS 419241 „Безбедносни барања за доверливи системи што поддржуваат потпишување на сервери“, посветена на регулирање на облак EDS. Документот опишува неколку нивоа на безбедносна усогласеност. На пример, за усогласување со „ниво 2“ потребно за формирање на квалификуван електронски потпис, значи поддршка на силни опции за автентикација на корисникот. Според барањата на ова ниво, автентикацијата на корисникот се случува директно на серверот за потпис, за разлика, на пример, од автентикацијата дозволена за „ниво 1“ во апликација која, во свое име, пристапува до серверот за потпис. Исто така, во согласност со оваа спецификација, клучевите за потпис на корисникот за формирање на квалификуван ES мора да се складираат во меморијата на специјализиран безбеден уред (хардверски безбедносен модул, HSM).
Автентикацијата на корисникот во услугата облак мора да биде најмалку двофакторна. Како по правило, најпристапната и најлесна за употреба опција е да се потврди влезот преку кодот добиен во СМС-порака. Така, на пример, имплементирани се повеќето од личните сметки на РБС на руските банки. Покрај вообичаените криптографски токени, апликација на паметен телефон и еднократни генератори на лозинки (OTP токени) исто така може да се користат како средство за автентикација.
Можам да сумирам среден резултат засега, во врска со тоа што кај нас сè уште се формираат CEP-ови на облак и рано е да се оддалечиме од железото. Во принцип, ова е природен процес, кој дури и во Европа (ох, одлично!) Траеше околу 13-14 години, додека не беа развиени повеќе или помалку точни стандарди.
Сè додека не развиеме добри ГОСТ кои ги регулираат нашите облак услуги, рано е да се зборува за целосно отфрлање на хардверските решенија. Наместо тоа, тие сега, напротив, ќе почнат да се движат кон „хибриди“, односно да работат и со потписи на облак. Веќе се имплементирани некои примери кои одговараат на европските стандарди за работа со Cloud. Но, повеќе за ова во нова статија.
Извор: www.habr.com