Өдрийн мэнд, эрхэм уншигч!
Би "Дижитал эдийн засаг" хөтөлбөрийн шинэчлэлт, мэдээг идэвхтэй дагаж байгаад багагүй хугацаа өнгөрч байна. EGAIS системийн дотоод ажилтны үүднээс авч үзвэл мэдээжийн хэрэг үйл явц хэдэн арван жил үргэлжилнэ. Хөгжлийн үүднээс ч, туршилт, буцаах, цаашдын хэрэгжилтийн үүднээс авч үзвэл бүх төрлийн алдааг зайлшгүй, зовлонтой залруулга хийдэг. Гэсэн хэдий ч энэ асуудал зайлшгүй, чухал, яаралтай юм. Энэ бүх зугаа цэнгэлийн гол захиалагч, хөдөлгөгч нь мэдээж төр. Үнэндээ дэлхий даяарх шиг.
Бүх процессууд дижитал руу шилжсэн эсвэл түүн рүү явж байна. Энэ бол гайхалтай хэвээр байна. Гэхдээ онцлох медалийн хувьд сул тал бий. Би тоон гарын үсгээр байнга ажилладаг хүн. Би цахим гарын үсгийг жетон ашиглан хамгаалах "өчигдрийн" боловч "хуучин үеийн" найдвартай, хожсон аргуудыг дэмжигч. Гэхдээ дижиталчлал нь бүх зүйл "үүлэнд" удаан хугацаагаар байсаар ирсэн бөгөөд ТЭХС бас тэнд хэрэгтэй бөгөөд маш хурдан хэрэгтэй байгааг харуулж байна.
Би энд болон Европт үүлэн цахим гарын үсэг ямар байгааг хууль тогтоомж, техникийн тогтолцооны түвшинд аль болох ойлгохыг хичээсэн. Үнэн хэрэгтээ энэ сэдвээр нэгээс илүү эрдэм шинжилгээний ажил хэвлэгдсэн байна. Тиймээс бид энэ сэдвээр мэргэжлийн хүмүүсийг сэдвийг боловсруулахад нэгдэхийг уриалж байна.
CEP нь үүлэнд яагаад сонирхолтой байдаг вэ? Үнэндээ давуу тал бий. Эдгээр давуу талууд хангалттай бий. Энэ нь хурдан бөгөөд тохиромжтой. Энэ нь сурталчилгааны уриа лоозон шиг сонсогдож байна, та санал нийлэх болно, гэхдээ эдгээр нь үүлэн тоон гарын үсгийн объектив шинж чанарууд юм.
Хурд нь жетон эсвэл смарт карттай холбоогүй баримт бичигт гарын үсэг зурах чадварт оршдог. Энэ нь биднийг зөвхөн ширээний компьютер ашиглахыг шаарддаггүй. Аливаа үйлдлийн систем болон хөтчүүдэд зориулсан зуун хувь хөндлөн платформ түүх. Энэ нь ялангуяа MAC систем дэх цахим гарын үсгийг дэмжихэд тодорхой бэрхшээлтэй тулгардаг Apple-ийн бүтээгдэхүүний шүтэн бишрэгчдэд үнэн юм. Дэлхийн хаанаас ч гарах, CA-г сонгох эрх чөлөө (орос бус ч гэсэн). CEP техник хангамжаас ялгаатай нь үүлэн технологи нь програм хангамж, техник хангамжийн нийцтэй байдлын бэрхшээлээс зайлсхийх боломжийг олгодог. Энэ нь тохиромжтой, тиймээс хурдан юм.
Ийм гоо үзэсгэлэнд хүн яаж уруу татагдахгүй байх вэ? Чөтгөр нь нарийн ширийн зүйлд байдаг. Аюулгүй байдлын талаар ярилцъя.
ОХУ-д "Үүлэн" СЭП
Үүлний шийдлүүдийн аюулгүй байдал, ялангуяа тоон гарын үсгийн аюулгүй байдал нь аюулгүй байдлын мэргэжилтнүүдийн гол зовлонгийн нэг юм. Надад яг юу таалагдахгүй байна вэ, уншигч надаас асуух болно, учир нь хүн бүр үүлэн үйлчилгээг удаан хугацаанд ашиглаж байгаа бөгөөд SMS ашиглан банкны шилжүүлэг хийх нь илүү найдвартай байдаг.
Үнэндээ дахин дэлгэрэнгүй мэдээлэл рүүгээ орцгооё. Үүл тоон гарын үсэг бол маргахад хэцүү ирээдүй юм. Гэхдээ одоо биш. Үүнийг хийхийн тулд үүлэн тоон гарын үсгийн эзэмшигчийг хамгаалах зохицуулалтын өөрчлөлт хийх ёстой.
Өнөөдөр бидэнд юу байгаа вэ? Тоон гарын үсэг, цахим баримт бичгийн менежмент (EDF), мэдээллийн хамгаалалт, мэдээллийн эргэлтийн тухай хуулиудыг тодорхойлсон хэд хэдэн баримт бичиг байдаг. Ялангуяа та баримт бичигт цахим гарын үсгийг ашиглахыг зохицуулдаг Иргэний хууль (ОХУ-ын Иргэний хууль) -ийг анхаарч үзэх хэрэгтэй.
63 оны 06.04.2011-р сарын XNUMX-ны өдрийн XNUMX-ФЗ "Цахим гарын үсгийн тухай" Холбооны хууль. Төрөл бүрийн гүйлгээ хийх, үйлчилгээ үзүүлэхдээ тоон гарын үсгийг ашиглах ерөнхий утгыг тодорхойлсон үндсэн болон суурь хууль.
149 оны 27.07.2006-р сарын XNUMX-ны өдрийн XNUMX-ФЗ Холбооны хууль "Мэдээлэл, мэдээллийн технологи, мэдээлэл хамгаалах тухай. Энэхүү баримт бичиг нь цахим баримт бичгийн тухай ойлголт болон холбогдох бүх сегментийг тодорхойлдог.
EDI зохицуулалттай холбоотой нэмэлт хууль тогтоомжийн актууд байдаг
402 оны 06.12.2011-р сарын XNUMX-ны өдрийн XNUMX-ФЗ "Нягтлан бодох бүртгэлийн тухай" Холбооны хууль. Хууль тогтоомжийн акт нь нягтлан бодох бүртгэл, нягтлан бодох бүртгэлийн баримт бичигт тавигдах шаардлагыг цахим хэлбэрээр системчлэх боломжийг олгодог.
Incl. Та цахим гарын үсгээр гарын үсэг зурсан баримт бичгийг шүүхэд нотлох баримт болгон зөвшөөрдөг ОХУ-ын Арбитрын байцаан шийтгэх хуулийг анхаарч үзэх боломжтой.
Манай крипто хамгаалах хэрэгслийн стандартыг FSB гаргаж, тохирлын гэрчилгээ олгохыг баталгаажуулдаг тул аюулгүй байдлын асуудлыг илүү гүнзгийрүүлэх нь надад эндээс төрсөн юм. 18-р сарын XNUMX-нд ГОСТ-ийн шинэ стандартыг нэвтрүүлсэн. Тиймээс үүлэн дотор хадгалагдсан түлхүүрүүд нь FSTEC гэрчилгээгээр шууд хамгаалагдаагүй болно. Түлхүүрийг өөрсдөө хамгаалж, "үүл" рүү аюулгүй нэвтрэх нь бидний шийдэж амжаагүй тулгын чулуунууд юм. Дараа нь би аюулгүй байдлын илүү дэвшилтэт системийг тодорхой харуулах Европын Холбооны зохицуулалтын жишээг авч үзэх болно.
Үүлэн тоон гарын үсгийг ашиглах Европын туршлага
Хамгийн гол зүйлээс эхэлье - зөвхөн тоон гарын үсэг нь тодорхой стандарттай байдаггүй үүлэн технологиудаас эхэлье. Үүний үндэс нь Европын цахилгаан холбооны стандартын хүрээлэнгийн (ETSI) Cloud Standard Coordination (CSC) бүлэг юм. Гэсэн хэдий ч өөр өөр улс орнуудад өгөгдөл хамгаалах стандартын ялгаа байсаар байна.
Мэдээллийг иж бүрэн хамгаалах үндэс нь мэдээллийн аюулгүй байдлын удирдлагын тогтолцооны ISO 27001:2013 стандартын дагуу үйлчилгээ үзүүлэгчдийг заавал баталгаажуулах явдал юм (ОХУ-ын ГОСТ Р ISO/IEC 27001-2006 нь энэ стандартын 2006 оны хувилбар дээр үндэслэсэн болно).
ISO 27017 нь ISO 27002-д байхгүй байгаа үүлэнд зориулсан хамгаалалтын нэмэлт элементүүдээр хангадаг. Энэхүү стандартын албан ёсны бүтэн нэр нь “Үүлэн үйлчилгээнд зориулсан ISO/IEC 27002 стандартад суурилсан мэдээллийн аюулгүй байдлын хяналтын дүрэм” юм. Үүлэн үйлчилгээний ISO/IEC 27002. ").
2014 оны зун ISO нь үүлэн дэх хувийн мэдээллийг хамгаалах ISO 27018:2015 стандартыг, 2015 оны сүүлээр үүлэн шийдлүүдийн мэдээллийн аюулгүй байдлын хяналтын ISO 27017:2015 стандартыг нийтэлсэн.
2014 оны намар Европын парламентын 910/2014 тоот eIDAS нэртэй шинэ тогтоол хүчин төгөлдөр болсон. Шинэ дүрмүүд нь EPC түлхүүрийг TSP (Итгэмжлэгдсэн үйлчилгээ үзүүлэгч) гэж нэрлэгддэг итгэмжлэгдсэн итгэмжлэгдсэн үйлчилгээ үзүүлэгчийн сервер дээр хадгалах, ашиглах боломжийг олгодог.
2013 оны 419241-р сард Европын Стандартчиллын хороо (CEN) нь үүлэн тоон гарын үсгийг зохицуулахад зориулагдсан CEN/TS 2 "Серверийн гарын үсэг зурахыг дэмждэг найдвартай системд тавигдах аюулгүй байдлын шаардлага" техникийн тодорхойлолтыг баталсан. Баримт бичиг нь аюулгүй байдлын дагаж мөрдөх хэд хэдэн түвшинг тодорхойлдог. Жишээлбэл, шаардлага хангасан цахим гарын үсэг үүсгэхийн тулд "1-р түвшний" шаардлагад нийцсэн байх нь хэрэглэгчийн баталгаажуулалтын хүчтэй сонголтуудыг дэмжихийг шаарддаг. Энэ түвшний шаардлагын дагуу хэрэглэгчийн баталгаажуулалт гарын үсгийн сервер дээр шууд явагддаг бөгөөд жишээлбэл, гарын үсгийн серверт өөрийн нэрийн өмнөөс ханддаг програмын "XNUMX-р түвшний" баталгаажуулалтаас ялгаатай. Мөн энэхүү техникийн нөхцөлийн дагуу мэргэшсэн цахим гарын үсэг үүсгэх хэрэглэгчийн гарын үсгийн түлхүүрүүдийг тусгай хамгаалалтын төхөөрөмжийн санах ойд (тоног төхөөрөмжийн хамгаалалтын модуль, HSM) хадгалах ёстой.
Үүлэн үйлчилгээнд хэрэглэгчийн баталгаажуулалт дор хаяж хоёр хүчин зүйлтэй байх ёстой. Дүрмээр бол хамгийн хүртээмжтэй, ашиглахад хялбар сонголт бол SMS мессежээр хүлээн авсан кодоор нэвтрэхийг баталгаажуулах явдал юм. Жишээлбэл, Оросын банкуудын хувийн RBS дансны ихэнх нь хэрэгжсэн. Ердийн криптографийн токенуудаас гадна ухаалаг гар утсан дээрх програм, нэг удаагийн нууц үг үүсгэгч (OTP жетон) нь баталгаажуулалтын хэрэгсэл болгон ашиглаж болно.
Одоохондоо би үүлэн СЭП-ууд дөнгөж байгуулагдаж байгаа бөгөөд техник хангамжаас татгалзахад эрт байна гэсэн түр зуурын дүгнэлтийг хийж чадна. Зарчмын хувьд энэ нь Европт хүртэл (өө, гайхалтай!) илүү их эсвэл бага нарийвчлалтай стандартыг боловсруулах хүртэл 13-14 жил үргэлжилсэн байгалийн үйл явц юм.
Бид үүлэн үйлчилгээгээ зохицуулах сайн ГОСТ стандартыг боловсруулах хүртэл техник хангамжийн шийдлүүдийг бүрэн орхих тухай ярихад эрт байна. Харин тэд одоо эсрэгээрээ "эрлийз" рүү шилжиж, өөрөөр хэлбэл үүл гарын үсэгтэй ажиллах болно. Cloud-тай ажиллах Европын стандартад нийцсэн зарим жишээг аль хэдийн хэрэгжүүлсэн. Гэхдээ бид шинэ материал дээр энэ талаар бага зэрэг дэлгэрэнгүй ярих болно.
Эх сурвалж: www.habr.com