Dzień dobry, drogi czytelniku!
Od jakiegoś czasu aktywnie śledzę aktualizacje i nowości programu Gospodarka Cyfrowa. Z punktu widzenia wewnętrznego pracownika systemu EGAIS proces ten będzie oczywiście trwał dziesięciolecia. Zarówno z punktu widzenia rozwoju, jak i z punktu widzenia testowania, wycofywania i dalszej implementacji, po której następują nieuniknione i bolesne poprawki wszelkiego rodzaju błędów. Niemniej jednak sprawa jest konieczna, ważna i pilna. Głównym klientem i motorem całej tej zabawy jest oczywiście państwo. Właściwie tak jak na całym świecie.
Wszystkie procesy już dawno przeszły do technologii cyfrowej lub są w drodze do niej. To wciąż jest cudowne. Medale za doskonałość mają jednak wady. Jestem osobą, która stale pracuje z podpisami cyfrowymi. Jestem zwolennikiem może „wczorajszych”, ale „staromodnych” niezawodnych i korzystnych dla obu stron metod ochrony podpisów elektronicznych za pomocą tokenów. Ale cyfryzacja pokazuje nam, że wszystko od dawna było w „chmurach” i tam też CEP jest potrzebny i to bardzo szybko.
Tam, gdzie to możliwe, próbowałem dowiedzieć się, na poziomie ram prawnych i technicznych, jak wygląda sytuacja z podpisami elektronicznymi w chmurze tutaj i w Europie. Tak naprawdę na ten temat ukazała się już niejedna rozprawa naukowa. Dlatego zachęcamy profesjonalistów zajmujących się tą tematyką do włączenia się w rozwój tematu.
Dlaczego CEP w chmurze jest atrakcyjny? Faktycznie, są zalety. Tych zalet jest wystarczająco dużo. To szybkie i wygodne. Zgodzisz się, że brzmi to jak slogan reklamowy, ale takie są obiektywne cechy podpisu cyfrowego w chmurze.
Szybkość polega na możliwości podpisywania dokumentów bez przywiązania do tokenów lub kart inteligentnych. Nie zobowiązuje nas do korzystania wyłącznie z pulpitu. Stuprocentowa wieloplatformowa historia dla dowolnego systemu operacyjnego i przeglądarki. Dotyczy to szczególnie fanów produktów Apple, dla których występują pewne trudności w obsłudze podpisów elektronicznych w systemie MAC. Wyjście z dowolnego miejsca na świecie, swoboda wyboru urzędów certyfikacji (nawet nierosyjskich). W przeciwieństwie do sprzętu CEP, technologie chmurowe pozwalają uniknąć problemów z kompatybilnością oprogramowania i sprzętu. Co, tak, jest wygodne i, tak, szybkie.
I jak tu nie dać się uwieść takiemu pięknu? Diabeł tkwi w szczegółach. Porozmawiajmy o bezpieczeństwie.
„Chmura” CEP w Rosji
Bezpieczeństwo rozwiązań chmurowych, a zwłaszcza podpisów cyfrowych, jest jednym z głównych problemów specjalistów ds. bezpieczeństwa. Co mi się dokładnie nie podoba, zapyta mnie czytelnik, ponieważ wszyscy od dawna korzystają z usług w chmurze, a dzięki SMS-om jeszcze bezpieczniej jest wykonać przelew bankowy.
Właściwie to jeszcze raz wróćmy do szczegółów. Podpis cyfrowy w chmurze to przyszłość, z którą trudno polemizować. Ale nie teraz. Aby to było możliwe, muszą nastąpić zmiany regulacyjne, które będą chronić właściciela podpisów cyfrowych w chmurze.
Co mamy dzisiaj? Istnieje szereg dokumentów definiujących pojęcie podpisu cyfrowego, elektronicznego zarządzania dokumentami (EDF), a także przepisów prawnych dotyczących ochrony informacji i obiegu danych. W szczególności należy wziąć pod uwagę Kodeks cywilny (Kodeks cywilny Federacji Rosyjskiej), który reguluje stosowanie podpisów elektronicznych w dokumentach.
Ustawa federalna nr 63-FZ „O podpisach elektronicznych” z dnia 06.04.2011. Ustawa podstawowa i ramowa opisująca ogólny sens stosowania podpisów cyfrowych przy dokonywaniu różnego rodzaju transakcji i świadczeniu usług.
Ustawa federalna nr 149-FZ „O informacjach, technologiach informacyjnych i ochronie informacji z dnia 27.07.2006 lipca XNUMX r. W dokumencie tym określono koncepcję dokumentu elektronicznego i wszystkich powiązanych z nim segmentów.
Istnieją dodatkowe akty prawne, które są związane z regulacją EDI
Ustawa federalna 402-FZ „O rachunkowości” z dnia 06.12.2011 grudnia XNUMX r. Akt ustawodawczy przewiduje usystematyzowanie wymagań dotyczących dokumentów księgowych i księgowych w formie elektronicznej.
Zawiera Możesz wziąć pod uwagę Kodeks postępowania arbitrażowego Federacji Rosyjskiej, który dopuszcza dokumenty podpisane podpisem elektronicznym jako dowód w sądzie.
I właśnie tutaj przyszło mi do głowy zagłębić się w kwestię bezpieczeństwa, ponieważ nasze standardy dotyczące środków kryptoochrony są dostarczane przez FSB i zapewniają wydawanie certyfikatów zgodności. 18 lutego wprowadzono nowe standardy GOST. Tym samym klucze przechowywane w chmurze nie są bezpośrednio chronione certyfikatami FSTEC. Ochrona samych kluczy i bezpieczne wejście do „chmury” to kamienie węgielne, których jeszcze nie rozwiązaliśmy. Następnie przyjrzę się przykładowi regulacji w Unii Europejskiej, który wyraźnie pokaże bardziej zaawansowany system bezpieczeństwa.
Europejskie doświadczenia w korzystaniu z podpisów cyfrowych w chmurze
Zacznijmy od najważniejszego – technologie chmurowe, nie tylko podpisy cyfrowe, mają jasny standard. Podstawą jest grupa ds. koordynacji standardów chmurowych (CSC) Europejskiego Instytutu Norm Telekomunikacyjnych (ETSI). Nadal jednak istnieją różnice w standardach ochrony danych w różnych krajach.
Podstawą kompleksowej ochrony danych jest obowiązkowa certyfikacja dostawców zgodnie z normą ISO 27001:2013 w zakresie systemów zarządzania bezpieczeństwem informacji (odpowiednia rosyjska norma GOST R ISO/IEC 27001-2006 opiera się na wersji tej normy z 2006 roku).
ISO 27017 zapewnia dodatkowe elementy bezpieczeństwa chmury, których brakuje w ISO 27002. Pełna oficjalna nazwa tej normy to „Kodeks postępowania dotyczący kontroli bezpieczeństwa informacji w oparciu o ISO/IEC 27002 dla usług w chmurze”. ISO/IEC 27002 dla usług w chmurze „).
Latem 2014 roku ISO opublikowało normę ISO 27018:2015 dotyczącą ochrony danych osobowych w chmurze, a pod koniec 2015 roku ISO 27017:2015 dotyczącą kontroli bezpieczeństwa informacji w rozwiązaniach chmurowych.
Jesienią 2014 roku weszła w życie nowa uchwała Parlamentu Europejskiego nr 910/2014 pod nazwą eIDAS. Nowe zasady pozwalają użytkownikom przechowywać i wykorzystywać klucz EPC na serwerze akredytowanego zaufanego dostawcy usług, tzw. TSP (Trust Service Provider).
W październiku 2013 roku Europejski Komitet Normalizacyjny (CEN) przyjął specyfikację techniczną CEN/TS 419241 „Wymagania bezpieczeństwa dla godnych zaufania systemów obsługujących podpisywanie serwerów”, poświęconą regulacjom podpisów cyfrowych w chmurze. W dokumencie opisano kilka poziomów zgodności z bezpieczeństwem. Na przykład zgodność „poziomu 2” wymagana do wygenerowania kwalifikowanego podpisu elektronicznego wymaga obsługi opcji silnego uwierzytelniania użytkownika. Zgodnie z wymogami tego poziomu uwierzytelnianie użytkownika odbywa się bezpośrednio na serwerze podpisów, w przeciwieństwie do np. uwierzytelniania dozwolonego dla „poziomu 1” w aplikacji, która we własnym imieniu uzyskuje dostęp do serwera podpisów. Ponadto, zgodnie z tą specyfikacją, klucze podpisu użytkownika służące do generowania kwalifikowanego podpisu elektronicznego muszą być przechowywane w pamięci specjalizowanego bezpiecznego urządzenia (sprzętowy moduł bezpieczeństwa, HSM).
Uwierzytelnianie użytkownika w usłudze w chmurze musi być co najmniej dwuetapowe. Z reguły najbardziej przystępną i łatwą w użyciu opcją jest potwierdzenie logowania kodem otrzymanym w wiadomości SMS. Na przykład wdrożono większość kont osobistych RBS rosyjskich banków. Oprócz zwykłych tokenów kryptograficznych, jako sposób uwierzytelnienia można wykorzystać także aplikację na smartfonie oraz generatory haseł jednorazowych (tokeny OTP).
Na razie mogę wyciągnąć tymczasowy wniosek odnośnie tego, że chmurowe CEP dopiero się kształtują i jest za wcześnie na odejście od sprzętu. W zasadzie jest to proces naturalny, który nawet w Europie (och, wspaniale!) trwał około 13-14 lat, aż do opracowania mniej lub bardziej dokładnych standardów.
Dopóki nie wypracujemy dobrych standardów GOST regulujących nasze usługi chmurowe, jest za wcześnie, aby mówić o całkowitej rezygnacji z rozwiązań sprzętowych. Przeciwnie, teraz zaczną zmierzać w kierunku „hybryd”, czyli pracy również z podpisami w chmurze. Kilka przykładów spełniających europejskie standardy pracy z Cloud zostało już wdrożonych. Ale o tym porozmawiamy bardziej szczegółowo w nowym materiale.
Źródło: www.habr.com