God ettermiddag, kjære leser!
Jeg har fulgt aktivt med på oppdateringene og nyhetene om Digital Economy-programmet en stund. Fra synspunktet til en intern ansatt i EGAIS-systemet, vil prosessen selvfølgelig vare i flere tiår. Både fra utviklingssynspunktet, og med tanke på testing, tilbakerulling og videre implementering, etterfulgt av uunngåelige og smertefulle justeringer av alle slags feil. Likevel er saken nødvendig, viktig og presserende. Hovedkunden og driveren for all denne moroa er selvfølgelig staten. Faktisk, akkurat som over hele verden.
Alle prosesser har for lengst gått over i det digitale eller er på vei til det. Dette er fortsatt fantastisk. Imidlertid er det ulemper med medaljer for fortreffelighet. Jeg er en person som hele tiden jobber med digitale signaturer. Jeg er tilhenger av kanskje «gårsdagens», men «gammeldagse» pålitelige og vinn-vinn-metoder for å beskytte elektroniske signaturer ved hjelp av tokens. Men digitaliseringen viser oss at alt har vært i "skyene" i lang tid, og CEP er også nødvendig der og trengs veldig raskt.
Jeg prøvde å finne ut, på nivået av det lovgivende og tekniske rammeverket, der det var mulig, hvordan det står til med elektroniske skysignaturer her og i Europa. Faktisk er det allerede publisert mer enn én vitenskapelig avhandling om dette emnet. Derfor oppfordrer vi fagfolk i denne saken til å være med på utviklingen av temaet.
Hvorfor er CEP i skyen attraktiv? Faktisk er det fordeler. Det er nok av disse fordelene. Det er raskt og praktisk. Det høres ut som et reklameslagord, du vil være enig, men dette er de objektive egenskapene til en digital skysignatur.
Hastighet ligger i muligheten til å signere dokumenter uten å være bundet til tokens eller smartkort. Forplikter oss ikke til kun å bruke skrivebordet. Hundre prosent historie på tvers av plattformer for alle operativsystemer og nettlesere. Dette gjelder spesielt for fans av Apple-produkter, for hvem det er visse vanskeligheter med å støtte elektroniske signaturer i MAC-systemet. Gå ut fra hvor som helst i verden, valgfrihet for CAer (selv ikke-russiske). I motsetning til CEP-maskinvare lar skyteknologier deg unngå problemer med kompatibiliteten til programvare og maskinvare. Som, ja, er praktisk, og ja, raskt.
Og hvordan kan man ikke la seg forføre av slik skjønnhet? Djevelen er i detaljene. La oss snakke om sikkerhet.
"Cloud" CEP i Russland
Sikkerheten til skyløsninger, og spesielt digitale signaturer, er et av de viktigste smertepunktene for sikkerhetseksperter. Hva er det jeg egentlig ikke liker, vil leseren spørre meg om, for alle har brukt skytjenester lenge, og med SMS er det enda mer pålitelig å gjøre en bankoverføring.
Faktisk, igjen, la oss gå tilbake til detaljene. Sky digital signatur er en fremtid det er vanskelig å argumentere med. Men ikke nå. For å gjøre dette, må det skje regulatoriske endringer som vil beskytte eieren av digitale skysignaturer.
Hva har vi i dag? Det finnes en rekke dokumenter som definerer begrepet digital signatur, elektronisk dokumenthåndtering (EDF), samt lover om informasjonsbeskyttelse og datasirkulasjon. Spesielt må du ta hensyn til Civil Code (Civil Code of the Russian Federation), som regulerer bruken av elektroniske signaturer i dokumenter.
Føderal lov nr. 63-FZ "Om elektroniske signaturer" datert 06.04.2011. Grunn- og rammeloven som beskriver den generelle betydningen av å bruke digitale signaturer ved transaksjoner av ulike typer og yte tjenester.
Føderal lov nr. 149-FZ "Om informasjon, informasjonsteknologi og informasjonsbeskyttelse datert 27.07.2006. juli XNUMX. Dette dokumentet spesifiserer konseptet for et elektronisk dokument og alle relaterte segmenter.
Det er flere rettsakter som er involvert i reguleringen av EDI
Føderal lov 402-FZ "On Accounting" datert 06.12.2011. desember XNUMX. Lovloven legger opp til systematisering av krav til regnskaps- og regnskapsdokumenter i elektronisk form.
Inkl. Du kan ta hensyn til den russiske føderasjonens voldgiftsprosesskode, som tillater dokumenter signert med en elektronisk signatur som bevis i retten.
Og det var her det falt meg å gå dypere inn i spørsmålet om sikkerhet, fordi våre standarder for kryptobeskyttelsesmidler er levert av FSB og sikrer utstedelse av samsvarssertifikater. 18. februar ble nye GOST-standarder introdusert. Dermed er nøkler som er lagret i skyen ikke direkte beskyttet av FSTEC-sertifikater. Beskyttelse av selve nøklene og sikker adgang til "skyen" er hjørnesteinene som vi ennå ikke har løst. Deretter vil jeg se på eksemplet med regulering i EU, som tydelig vil demonstrere et mer avansert sikkerhetssystem.
Europeisk erfaring med bruk av digitale skysignaturer
La oss starte med det viktigste – skyteknologier, ikke bare digitale signaturer har en klar standard. Grunnlaget er Cloud Standard Coordination (CSC)-gruppen til European Telecommunications Standards Institute (ETSI). Imidlertid er det fortsatt forskjeller i databeskyttelsesstandarder mellom forskjellige land.
Grunnlaget for omfattende databeskyttelse er obligatorisk sertifisering for leverandører i henhold til ISO 27001:2013 for styringssystemer for informasjonssikkerhet (den tilsvarende russiske GOST R ISO/IEC 27001-2006 er basert på 2006-versjonen av denne standarden).
ISO 27017 gir ytterligere sikkerhetselementer for skyen som mangler i ISO 27002. Det fulle offisielle navnet på denne standarden er "Code of practice for informasjonssikkerhetskontroller basert på ISO/IEC 27002 for skytjenester." ISO/IEC 27002 for skytjenester. ").
Sommeren 2014 publiserte ISO ISO 27018:2015-standarden for beskyttelse av personopplysninger i skyen, og på slutten av 2015 ISO 27017:2015 om informasjonssikkerhetskontroller for skyløsninger.
Høsten 2014 trådte en ny resolusjon fra Europaparlamentet nr. 910/2014, kalt eIDAS, i kraft. De nye reglene lar brukere lagre og bruke EPC-nøkkelen på serveren til en akkreditert pålitelig tjenesteleverandør, den såkalte TSP (Trust Service Provider).
I oktober 2013 vedtok European Committee for Standardization (CEN) den tekniske spesifikasjonen CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», dedikert til regulering av sky digitale signaturer. Dokumentet beskriver flere nivåer av sikkerhetsoverholdelse. For eksempel krever "nivå 2"-overholdelse som kreves for å generere en kvalifisert elektronisk signatur støtte for sterke brukerautentiseringsalternativer. I henhold til kravene på dette nivået skjer brukerautentisering direkte på signaturserveren, i motsetning til for eksempel godkjenningen som er tillatt for "nivå 1" i en applikasjon som får tilgang til signaturserveren på egne vegne. I samsvar med denne spesifikasjonen må brukersignaturnøkler for å generere en kvalifisert elektronisk signatur lagres i minnet til en spesialisert sikker enhet (hardware security module, HSM).
Brukerautentisering i en skytjeneste må være minst tofaktor. Som regel er det mest tilgjengelige og brukervennlige alternativet å bekrefte pålogging via en kode mottatt i en SMS-melding. For eksempel er de fleste av de personlige RBS-kontoene til russiske banker implementert. I tillegg til de vanlige kryptografiske tokene, kan en applikasjon på en smarttelefon og engangspassordgeneratorer (OTP-tokens) også brukes som autentiseringsmiddel.
Foreløpig kan jeg trekke en foreløpig konklusjon angående det faktum at sky-CEP-er fortsatt bare blir dannet, og det er for tidlig å gå bort fra maskinvare. I prinsippet er dette en naturlig prosess, som selv i Europa (oh, flott!) varte i ca 13-14 år til mer eller mindre nøyaktige standarder ble utviklet.
Før vi utvikler gode GOST-standarder som regulerer skytjenestene våre, er det for tidlig å snakke om en fullstendig forlatelse av maskinvareløsninger. Snarere vil de nå, tvert imot, begynne å bevege seg mot «hybrider», det vil si å jobbe med skysignaturer også. Noen eksempler som oppfyller europeiske standarder for arbeid med Cloud er allerede implementert. Men vi skal snakke om dette litt mer detaljert i et nytt materiale.
Kilde: www.habr.com