Wara nofsinhar it-tajjeb, għeżież qarrej!
Ilni nsegwi b'mod attiv l-aġġornamenti u l-aħbarijiet tal-programm Ekonomija Diġitali għal xi żmien. Mill-perspettiva ta 'impjegat intern tas-sistema EGAIS, ovvjament, il-proċess se jdum għal għexieren ta' snin. Kemm mil-lat ta 'żvilupp, kif ukoll mil-lat ta' ttestjar, rollback u implimentazzjoni ulterjuri, segwit minn aġġustamenti inevitabbli u bl-uġigħ ta 'kull tip ta' bugs. Madankollu, il-kwistjoni hija meħtieġa, importanti u urġenti. Il-klijent ewlieni u x-xufier ta 'dan il-gost kollu huwa, ovvjament, l-istat. Fil-fatt, bħad-dinja kollha.
Il-proċessi kollha ilhom mċaqalqa lejn diġitali jew qegħdin fi triqitha. Dan għadu sabiħ. Madankollu, hemm aspetti negattivi għall-midalji għall-eċċellenza. Jiena persuna li kontinwament taħdem b'firem diġitali. Jiena sostenitur ta 'metodi ta' forsi "tal-bieraħ", iżda "qadima" affidabbli u win-win biex nipproteġu firem elettroniċi bl-użu ta 'tokens. Iżda d-diġitalizzazzjoni turina li kollox ilu fis-“sħab” għal żmien twil u s-CEP huwa meħtieġ hemm ukoll u meħtieġ malajr ħafna.
Ippruvajt nifhem, fil-livell tal-qafas leġiżlattiv u tekniku, fejn possibbli, kif inhuma l-affarijiet bil-firem elettroniċi cloud hawn u fl-Ewropa. Fil-fatt, diġà ġiet ippubblikata aktar minn dissertazzjoni xjentifika waħda dwar dan is-suġġett. Għalhekk, inħeġġu lill-professjonisti f'din il-kwistjoni biex jingħaqdu fl-iżvilupp tas-suġġett.
Għaliex is-CEP in the cloud huwa attraenti? Fil-fatt, hemm vantaġġi. Hemm biżżejjed minn dawn il-vantaġġi. Huwa mgħaġġel u konvenjenti. Jidher bħal slogan ta 'reklamar, inti taqbel, iżda dawn huma l-karatteristiċi oġġettivi ta' firma diġitali sħaba.
Il-veloċità tinsab fil-kapaċità li tiffirma dokumenti mingħajr ma tkun marbuta ma 'tokens jew smart cards. Ma jobbliganiex nużaw biss id-desktop. Storja mija fil-mija cross-platform għal kwalunkwe OS u browsers. Dan jgħodd speċjalment għal fannijiet tal-prodotti Apple, li għalihom hemm ċerti diffikultajiet fl-appoġġ tal-firem elettroniċi fis-sistema MAC. Ħruġ minn kullimkien fid-dinja, libertà ta 'għażla ta' CAs (anke dawk mhux Russi). B'differenza mill-ħardwer tas-CEP, it-teknoloġiji tas-sħab jippermettulek tevita diffikultajiet bil-kompatibilità tas-softwer u l-ħardwer. Li, iva, huwa konvenjenti, u, iva, veloċi.
U kif jista’ wieħed ma jiġix seduced minn sbuħija bħal din? Ix-xitan jinsab fid-dettalji. Ejja nitkellmu dwar is-sigurtà.
CEP "Cloud" fir-Russja
Is-sigurtà tas-soluzzjonijiet tal-cloud, u speċjalment il-firem diġitali, hija waħda mill-punti ewlenin ta 'uġigħ għall-professjonisti tas-sigurtà. X'ma nħobbx eżattament, il-qarrej jistaqsini, għax kulħadd ilu juża s-servizzi tal-cloud għal żmien twil, u bl-SMS huwa saħansitra aktar affidabbli li jsir trasferiment bankarju.
Fil-fatt, għal darb'oħra, ejja mmorru lura għad-dettalji. Il-firma diġitali tal-cloud hija futur li huwa diffiċli li wieħed jargumenta miegħu. Imma mhux issa. Biex tagħmel dan, iridu jseħħu bidliet regolatorji li jipproteġu lis-sid tal-firem diġitali tal-cloud.
X’għandna llum? Hemm għadd ta’ dokumenti li jiddefinixxu l-kunċett ta’ firma diġitali, ġestjoni tad-dokumenti elettroniċi (EDF), kif ukoll liġijiet dwar il-protezzjoni tal-informazzjoni u ċ-ċirkolazzjoni tad-dejta. B'mod partikolari, trid tqis il-Kodiċi Ċivili (Kodiċi Ċivili tal-Federazzjoni Russa), li jirregola l-użu tal-firem elettroniċi fid-dokumenti.
Liġi Federali Nru 63-FZ "Dwar Firem Elettroniċi" datata 06.04.2011/XNUMX/XNUMX. Il-liġi bażika u qafas li tiddeskrivi t-tifsira ġenerali tal-użu ta’ firem diġitali meta jsiru tranżazzjonijiet ta’ diversi tipi u jiġu pprovduti servizzi.
Liġi Federali Nru 149-FZ “Dwar l-informazzjoni, it-teknoloġiji tal-informazzjoni u l-protezzjoni tal-informazzjoni datata 27.07.2006 ta’ Lulju XNUMX. Dan id-dokument jispeċifika l-kunċett ta' dokument elettroniku u s-segmenti kollha relatati.
Hemm atti leġiżlattivi addizzjonali li huma involuti fir-regolamentazzjoni tal-EDI
Liġi Federali 402-FZ "Dwar il-Kontabilità" datata 06.12.2011 ta' Diċembru XNUMX. L-att leġiżlattiv jipprovdi għas-sistematizzazzjoni tar-rekwiżiti għad-dokumenti tal-kontabilità u tal-kontabilità f'forma elettronika.
Inkl. Tista' tieħu kont tal-Kodiċi Proċedurali tal-Arbitraġġ tal-Federazzjoni Russa, li tippermetti dokumenti ffirmati b'firma elettronika bħala evidenza fil-qorti.
U kien hawn li seħħet li nidħol aktar fil-fond fil-kwistjoni tas-sigurtà, minħabba li l-istandards tagħna għall-mezzi ta 'kripto-protezzjoni huma pprovduti mill-FSB u jiżguraw il-ħruġ ta' ċertifikati ta 'konformità. Fit-18 ta 'Frar, ġew introdotti standards ġodda GOST. Għalhekk, iċ-ċwievet maħżuna fis-sħab mhumiex protetti direttament minn ċertifikati FSTEC. Il-protezzjoni taċ-ċwievet infushom u d-dħul sigur fis-"sħaba" huma l-pedamenti li għadna ma solvejniex. Sussegwentement, se nħares lejn l-eżempju ta' regolamentazzjoni fl-Unjoni Ewropea, li se turi b'mod ċar sistema ta' sigurtà aktar avvanzata.
Esperjenza Ewropea fl-użu tal-firem diġitali tal-cloud
Nibdew bil-ħaġa prinċipali - teknoloġiji sħaba, mhux biss firem diġitali għandhom standard ċar. Il-bażi hija l-grupp Cloud Standard Coordination (CSC) tal-Istitut Ewropew tal-Istandards tat-Telekomunikazzjoni (ETSI). Madankollu, għad hemm differenzi fl-istandards tal-protezzjoni tad-dejta fost pajjiżi differenti.
Il-bażi għall-protezzjoni tad-dejta komprensiva hija ċertifikazzjoni obbligatorja għall-fornituri skont ISO 27001:2013 għal sistemi ta 'ġestjoni tas-sigurtà tal-informazzjoni (ir-Russu GOST R ISO/IEC 27001-2006 korrispondenti huwa bbażat fuq il-verżjoni tal-2006 ta' dan l-istandard).
L-ISO 27017 jipprovdi elementi ta’ sigurtà addizzjonali għall-cloud li huma neqsin mill-ISO 27002. L-isem uffiċjali sħiħ ta’ dan l-istandard huwa “Kodiċi ta’ prattika għall-kontrolli tas-sigurtà tal-informazzjoni bbażati fuq ISO/IEC 27002 għas-servizzi tal-cloud.” ISO/IEC 27002 għas-servizzi tal-cloud. ").
Fis-sajf tal-2014, l-ISO ppubblikat l-istandard ISO 27018:2015 dwar il-protezzjoni tad-dejta personali fil-cloud, u lejn l-aħħar tal-2015, l-ISO 27017:2015 dwar il-kontrolli tas-sigurtà tal-informazzjoni għal soluzzjonijiet tal-cloud.
Fil-ħarifa tal-2014, daħlet fis-seħħ Riżoluzzjoni ġdida tal-Parlament Ewropew Nru 910/2014, imsejħa eIDAS. Ir-regoli l-ġodda jippermettu lill-utenti jaħżnu u jużaw iċ-ċavetta EPC fuq is-server ta’ fornitur ta’ servizz ta’ fiduċja akkreditat, l-hekk imsejjaħ TSP (Trust Service Provider).
F'Ottubru 2013, il-Kumitat Ewropew għall-Istandardizzazzjoni (CEN) adotta l-ispeċifikazzjoni teknika CEN/TS 419241 "Rekwiżiti ta 'Sigurtà għal Sistemi Trustworthy Supporting Server Signing", iddedikata għar-regolamentazzjoni tal-firem diġitali cloud. Id-dokument jiddeskrivi diversi livelli ta' konformità tas-sigurtà. Pereżempju, il-konformità tal-"livell 2" meħtieġa biex tiġġenera firma elettronika kwalifikata teħtieġ appoġġ għal għażliet b'saħħithom ta' awtentikazzjoni tal-utent. Skont ir-rekwiżiti ta 'dan il-livell, l-awtentikazzjoni tal-utent isseħħ direttament fuq is-server tal-firem, b'kuntrast, pereżempju, mal-awtentikazzjoni permessa għal "livell 1" f'applikazzjoni li taċċessa s-server tal-firem f'isimha stess. Ukoll, skont din l-ispeċifikazzjoni, iċ-ċwievet tal-firma tal-utent għall-ġenerazzjoni ta 'firma elettronika kwalifikata għandhom jinħażnu fil-memorja ta' apparat sikur speċjalizzat (modulu tas-sigurtà tal-ħardwer, HSM).
L-awtentikazzjoni tal-utent f'servizz tal-cloud trid tkun tal-inqas b'żewġ fatturi. Bħala regola, l-aktar għażla aċċessibbli u faċli biex tużah hija li tikkonferma l-login permezz ta’ kodiċi li wasal f’messaġġ SMS. Pereżempju, il-biċċa l-kbira tal-kontijiet RBS personali tal-banek Russi ġew implimentati. Minbarra t-tokens kriptografiċi tas-soltu, applikazzjoni fuq smartphone u ġeneraturi ta 'password ta' darba (tokens OTP) jistgħu jintużaw ukoll bħala mezz ta 'awtentikazzjoni.
Għalissa, nista' niġbed konklużjoni interim dwar il-fatt li s-CEPs tas-sħab għadhom qed jiġu ffurmati u għadu kmieni wisq biex titbiegħed mill-ħardwer. Fil-prinċipju, dan huwa proċess naturali, li anke fl-Ewropa (oh, kbir!) dam madwar 13-14-il sena sakemm ġew żviluppati standards bejn wieħed u ieħor preċiżi.
Sakemm niżviluppaw standards GOST tajbin li jirregolaw is-servizzi tal-cloud tagħna, għadu kmieni wisq biex nitkellmu dwar abbandun sħiħ tas-soluzzjonijiet tal-ħardwer. Pjuttost, issa, għall-kuntrarju, jibdew jimxu lejn "ibridi", jiġifieri, jaħdmu bil-firem tas-sħab ukoll. Xi eżempji li jissodisfaw l-istandards Ewropej għall-ħidma mal-Cloud diġà ġew implimentati. Imma se nitkellmu dwar dan fi ftit aktar dettall f'materjal ġdid.
Sors: www.habr.com