Selamat petang, pembaca yang dikasihi!
Saya telah mengikuti secara aktif kemas kini dan berita program Ekonomi Digital untuk beberapa lama. Dari sudut pandangan pekerja dalaman sistem EGAIS, sudah tentu proses itu akan berlangsung selama beberapa dekad. Kedua-dua dari sudut pandangan pembangunan, dan dari sudut pandangan ujian, rollback dan pelaksanaan selanjutnya dengan pelarasan yang tidak dapat dielakkan dan menyakitkan berikutnya bagi semua jenis pepijat. Namun begitu, perkara itu perlu, penting dan mendesak. Pelanggan dan pemandu utama semua keseronokan ini, sudah tentu, negeri. Sebenarnya, sama seperti di seluruh dunia.
Semua proses telah lama beralih ke digital atau sedang dalam perjalanan ke sana. Ini masih indah. Walau bagaimanapun, terdapat kelemahan kepada pingat untuk kecemerlangan. Saya seorang yang sentiasa bekerja dengan tandatangan digital. Saya penyokong mungkin kaedah "semalam", tetapi "kuno" yang boleh dipercayai dan menang-menang untuk melindungi tandatangan elektronik menggunakan token. Tetapi pendigitalan menunjukkan kepada kita bahawa segala-galanya telah berada dalam "awan" untuk masa yang lama dan CEP juga diperlukan di sana dan diperlukan dengan cepat.
Saya cuba memikirkan, pada peringkat rangka kerja perundangan dan teknikal, jika boleh, bagaimana keadaan dengan tandatangan elektronik awan di sini dan di Eropah. Malah, lebih daripada satu disertasi saintifik telah pun diterbitkan mengenai topik ini. Oleh itu, kami menggalakkan profesional dalam perkara ini untuk menyertai pembangunan topik.
Mengapa CEP dalam awan menarik? Sebenarnya ada kelebihan. Cukuplah kelebihan ini. Ia pantas dan mudah. Bunyinya seperti slogan pengiklanan, anda akan bersetuju, tetapi ini adalah ciri objektif tandatangan digital awan.
Kelajuan terletak pada keupayaan untuk menandatangani dokumen tanpa terikat dengan token atau kad pintar. Tidak mewajibkan kami menggunakan desktop sahaja. Seratus peratus cerita merentas platform untuk mana-mana OS dan penyemak imbas. Ini adalah benar terutamanya untuk peminat produk Apple, yang mana terdapat kesukaran tertentu dalam menyokong tandatangan elektronik dalam sistem MAC. Keluar dari mana-mana sahaja di dunia, kebebasan memilih CA (walaupun bukan Rusia). Tidak seperti perkakasan CEP, teknologi awan membolehkan anda mengelakkan kesukaran dengan keserasian perisian dan perkakasan. Yang, ya, mudah, dan, ya, cepat.
Dan bagaimana seseorang tidak boleh tergoda oleh kecantikan seperti itu? Syaitan ada dalam butirannya. Mari bercakap tentang keselamatan.
CEP "Cloud" di Rusia
Keselamatan penyelesaian awan, dan terutamanya tandatangan digital, adalah salah satu titik kesakitan utama bagi profesional keselamatan. Apa sebenarnya yang saya tidak suka, pembaca akan bertanya kepada saya, kerana semua orang telah menggunakan perkhidmatan awan untuk masa yang lama, dan dengan SMS ia lebih dipercayai untuk membuat pemindahan bank.
Sebenarnya, sekali lagi, mari kita kembali kepada butiran. Tandatangan digital awan adalah masa depan yang sukar untuk dipertikaikan. Tapi bukan sekarang. Untuk melakukan ini, perubahan peraturan mesti berlaku yang akan melindungi pemilik tandatangan digital awan.
Apa yang kita ada hari ini? Terdapat beberapa dokumen yang mentakrifkan konsep tandatangan digital, pengurusan dokumen elektronik (EDF), serta undang-undang mengenai perlindungan maklumat dan peredaran data. Khususnya, anda perlu mengambil kira Kanun Sivil (Kod Awam Persekutuan Rusia), yang mengawal penggunaan tandatangan elektronik dalam dokumen.
Undang-undang Persekutuan No. 63-FZ "Mengenai Tandatangan Elektronik" bertarikh 06.04.2011/XNUMX/XNUMX. Undang-undang asas dan rangka kerja yang menerangkan maksud umum menggunakan tandatangan digital apabila membuat transaksi pelbagai jenis dan menyediakan perkhidmatan.
Undang-undang Persekutuan No. 149-FZ “Mengenai maklumat, teknologi maklumat dan perlindungan maklumat bertarikh 27.07.2006 Julai XNUMX. Dokumen ini menentukan konsep dokumen elektronik dan semua segmen yang berkaitan.
Terdapat akta perundangan tambahan yang terlibat dalam peraturan EDI
Undang-undang Persekutuan 402-FZ “Mengenai Perakaunan” bertarikh 06.12.2011 Disember XNUMX. Akta perundangan memperuntukkan sistematisasi keperluan untuk dokumen perakaunan dan perakaunan dalam bentuk elektronik.
Incl. Anda boleh mengambil kira Kod Prosedur Timbang Tara Persekutuan Rusia, yang membenarkan dokumen yang ditandatangani oleh tandatangan elektronik sebagai bukti di mahkamah.
Dan di sinilah saya terfikir untuk mendalami isu keselamatan, kerana piawaian kami untuk cara perlindungan kripto disediakan oleh FSB dan memastikan pengeluaran sijil pematuhan. Pada 18 Februari, piawaian GOST baharu telah diperkenalkan. Oleh itu, kunci yang disimpan dalam awan tidak dilindungi secara langsung oleh sijil FSTEC. Melindungi kunci itu sendiri dan selamat masuk ke dalam "awan" adalah asas yang belum kami selesaikan. Seterusnya, saya akan melihat contoh peraturan di Kesatuan Eropah, yang jelas akan menunjukkan sistem keselamatan yang lebih maju.
Pengalaman Eropah dalam menggunakan tandatangan digital awan
Mari kita mulakan dengan perkara utama - teknologi awan, bukan sahaja tandatangan digital mempunyai standard yang jelas. Asasnya ialah kumpulan Cloud Standard Coordination (CSC) dari European Telecommunications Standards Institute (ETSI). Walau bagaimanapun, masih terdapat perbezaan dalam piawaian perlindungan data di seluruh negara yang berbeza.
Asas untuk perlindungan data komprehensif ialah pensijilan mandatori untuk pembekal mengikut ISO 27001:2013 untuk sistem pengurusan keselamatan maklumat (GOST R ISO/IEC 27001-2006 Rusia yang sepadan adalah berdasarkan versi 2006 piawaian ini).
ISO 27017 menyediakan elemen keselamatan tambahan untuk awan yang tiada daripada ISO 27002. Nama rasmi penuh standard ini ialah "Kod amalan untuk kawalan keselamatan maklumat berdasarkan ISO/IEC 27002 untuk perkhidmatan awan." ISO/IEC 27002 untuk perkhidmatan awan ").
Pada musim panas 2014, ISO menerbitkan standard ISO 27018:2015 tentang melindungi data peribadi dalam awan, dan pada akhir 2015, ISO 27017:2015 mengenai kawalan keselamatan maklumat untuk penyelesaian awan.
Pada musim luruh tahun 2014, Resolusi baharu Parlimen Eropah No. 910/2014, dipanggil eIDAS, mula berkuat kuasa. Peraturan baharu itu membenarkan pengguna menyimpan dan menggunakan kunci EPC pada pelayan penyedia perkhidmatan dipercayai bertauliah, yang dipanggil TSP (Penyedia Perkhidmatan Amanah).
Pada Oktober 2013, Jawatankuasa Penyeragaman Eropah (CEN) mengguna pakai spesifikasi teknikal CEN/TS 419241 "Keperluan Keselamatan untuk Penandatanganan Pelayan Menyokong Sistem Boleh Dipercayai", khusus untuk pengawalseliaan tandatangan digital awan. Dokumen ini menerangkan beberapa tahap pematuhan keselamatan. Sebagai contoh, pematuhan "tahap 2" yang diperlukan untuk menjana tandatangan elektronik yang layak memerlukan sokongan untuk pilihan pengesahan pengguna yang kukuh. Mengikut keperluan tahap ini, pengesahan pengguna berlaku secara langsung pada pelayan tandatangan, sebaliknya, sebagai contoh, kepada pengesahan yang dibenarkan untuk "tahap 1" dalam aplikasi yang mengakses pelayan tandatangan bagi pihaknya sendiri. Selain itu, menurut spesifikasi ini, kunci tandatangan pengguna untuk menjana tandatangan elektronik yang layak mesti disimpan dalam memori peranti selamat khusus (modul keselamatan perkakasan, HSM).
Pengesahan pengguna dalam perkhidmatan awan mestilah sekurang-kurangnya dua faktor. Sebagai peraturan, pilihan yang paling mudah diakses dan mudah digunakan ialah mengesahkan log masuk melalui kod yang diterima dalam mesej SMS. Sebagai contoh, kebanyakan akaun RBS peribadi bank Rusia telah dilaksanakan. Sebagai tambahan kepada token kriptografi biasa, aplikasi pada telefon pintar dan penjana kata laluan sekali (token OTP) juga boleh digunakan sebagai cara pengesahan.
Buat masa ini, saya boleh membuat kesimpulan sementara mengenai fakta bahawa CEP awan masih baru dibentuk dan terlalu awal untuk beralih daripada perkakasan. Pada dasarnya, ini adalah proses semula jadi, yang walaupun di Eropah (oh, hebat!) berlangsung kira-kira 13-14 tahun sehingga piawaian yang lebih atau kurang tepat dibangunkan.
Sehingga kami membangunkan piawaian GOST yang baik yang mengawal selia perkhidmatan awan kami, masih terlalu awal untuk bercakap tentang pengabaian lengkap penyelesaian perkakasan. Sebaliknya, mereka kini, sebaliknya, mula bergerak ke arah "hibrid", iaitu, bekerja dengan tandatangan awan juga. Beberapa contoh yang memenuhi piawaian Eropah untuk bekerja dengan Cloud telah pun dilaksanakan. Tetapi kita akan membincangkan perkara ini dengan lebih terperinci dalam bahan baharu.
Sumber: www.habr.com