Bună ziua, dragă cititor!
Urmăresc activ de ceva vreme actualizările și știrile programului Economia digitală. Din punctul de vedere al unui angajat intern al sistemului EGAIS, desigur, un proces de zeci de ani. Și din punct de vedere al dezvoltării și din punct de vedere al testării, rollback-urilor și implementării ulterioare, urmate de ajustările inevitabile și dureroase ale tot felul de bug-uri. Cu toate acestea, chestiunea este necesară, importantă și întârziată. Principalul client și motorul acestei distracții este, desigur, statul. De fapt, ca peste tot în lume.
Toate procesele au trecut de mult în digital sau pe drumul către acesta. Este încă minunat. Cu toate acestea, există și reversul medaliilor pentru distincție. Sunt o persoană care lucrează constant cu o semnătură digitală. Sunt un susținător al metodelor poate „de ieri”, dar „de modă veche” fiabile și câștigătoare pentru a proteja o semnătură electronică folosind jetoane. Dar digitalizarea ne arată că totul a fost în „nori” de mult timp și și CEP trebuie să meargă acolo și are nevoie de el foarte repede.
Am încercat să-mi dau seama, până acum la nivelul bazei legislative și tehnice, unde a fost posibil, cum stau lucrurile cu cloud ES la noi și în Europa. De fapt, mai mult de o disertație științifică a fost deja publicată pe această temă. Prin urmare, ei cheamă profesioniștii în această chestiune să se conecteze la dezvoltarea subiectului.
De ce este atractiv CEP în cloud? De fapt, există aspecte pozitive. Aceste plusuri sunt suficiente. Este rapid și convenabil. Sună ca un slogan publicitar, vei fi de acord, dar acestea sunt caracteristicile obiective ale unui EDS bazat pe cloud.
Viteza constă în capacitatea de a semna documente fără a fi legat de jetoane sau carduri inteligente. Nu ne obligă să folosim doar desktopul. Istoricul multiplatformă sută la sută pentru orice sistem de operare și browser. Acest lucru este valabil mai ales pentru fanii produselor Apple, pentru care există anumite dificultăți în susținerea ES în sistemul MAC. Ieșire din oriunde în lume, libertate de alegere a CA (nici măcar rusești). Spre deosebire de hardware-ul CEP, cloud computing evită complexitatea compatibilității software și hardware. Ceea ce este, da, convenabil și, da, rapid.
Și cum să nu fii ispitit de o asemenea frumusețe? Diavolul sta in detalii. Să vorbim despre securitate.
CEP „Înnorat” în Rusia
Securitatea soluțiilor cloud, și în special semnătura digitală, este una dintre principalele dureri ale oamenilor de securitate. Ce anume nu îmi place, mă va întreba cititorul, pentru că toată lumea folosește servicii cloud de mult timp, iar cu SMS-ul este și mai fiabil să faci un transfer bancar.
De fapt, din nou, înapoi la detalii. Cloud EDS este viitorul, cu care este greu de discutat. Dar nu acum. Pentru a face acest lucru, trebuie să existe modificări de reglementare și legale care să protejeze proprietarul cloud EDS.
Ce avem azi? Există o serie de documente care definesc conceptul de ES, managementul electronic al documentelor (EDF), precum și legi privind protecția informațiilor și circulația datelor. În special, este necesar să se țină cont de Codul civil (Codul civil al Federației Ruse), care reglementează utilizarea ES în documente.
Legea federală nr. 63-FZ „Cu privire la semnătura electronică” din 06.04.2011 aprilie XNUMX. Legea principală și-cadru care descrie sensul general al utilizării semnăturilor electronice în tranzacții de natură variată și în prestarea de servicii.
Legea federală nr. 149-FZ „Cu privire la informații, tehnologii informaționale și protecția informațiilor” din 27.07.2006 iulie XNUMX. Acest document specifică conceptul de document electronic și toate segmentele aferente.
Există acte legislative suplimentare care sunt implicate în reglementarea EDF
Legea federală 402-FZ „Cu privire la contabilitate” din 06.12.2011. Actul legislativ prevede sistematizarea cerințelor pentru documentele contabile și contabile în formă electronică.
Incl. puteți lua în considerare Codul de procedură de arbitraj al Federației Ruse, care permite documentele semnate de ES ca probe în instanță.
Și aici mi-a trecut prin minte să aprofundez problema securității, deoarece standardele noastre pentru instrumentele de cripto-protecție sunt furnizate de FSB și asigură eliberarea certificatelor de conformitate. Din 18 februarie, au fost introduse noi GOST. Astfel, cheile stocate în cloud nu sunt protejate direct de certificate FSTEC. Protecția cheilor în sine și intrarea sigură în „nor” sunt pietrele de temelie asupra cărora încă nu ne-am hotărât. În continuare, voi lua în considerare un exemplu de reglementare în Uniunea Europeană, care va demonstra clar un sistem de securitate mai avansat.
Experiență europeană în utilizarea cloud ES
Să începem cu principalul lucru - tehnologiile cloud, nu numai ES, au un standard clar. Baza Grupului Cloud Standard Coordination (CSC) al Institutului European de Standarde de Telecomunicații (ETSI). Cu toate acestea, există încă diferențe în standardele de protecție a datelor între țări.
Baza pentru protecția cuprinzătoare a datelor este certificarea obligatorie pentru furnizori conform ISO 27001:2013 pentru sistemele de management al securității informațiilor (GOST R ISO / IEC 27001-2006 corespunzătoare din Rusia se bazează pe versiunea 2006 a acestui standard).
ISO 27017 oferă elemente de securitate suplimentare pentru cloud care nu sunt în ISO 27002. Titlul oficial complet al acestui standard este „Cod de practică pentru controalele de securitate a informațiilor bazat pe ISO/IEC 27002 pentru serviciile cloud” („Codul de practică pentru securitatea informațiilor”. controale bazate pe ISO/IEC 27002 pentru serviciile cloud").
În vara anului 2014, ISO a publicat ISO 27018:2015 privind protecția datelor cu caracter personal în cloud, iar la sfârșitul lui 2015, ISO 27017:2015 privind controalele de securitate a informațiilor pentru soluțiile cloud.
În toamna anului 2014 a intrat în vigoare noul Regulamentul Parlamentului European nr. 910/2014, denumit eIDAS. Noile reguli permit utilizatorilor să stocheze și să utilizeze cheia CEP pe serverul unui furnizor de servicii de încredere acreditat, așa-numitul TSP (Trust Service Provider).
Comitetul European de Standardizare (CEN) a adoptat în octombrie 2013 specificația tehnică CEN/TS 419241 „Cerințe de securitate pentru sistemele de încredere care suportă semnarea serverelor”, dedicată reglementării cloud EDS. Documentul descrie mai multe niveluri de conformitate cu securitatea. De exemplu, a respecta „nivelul 2” necesar pentru formarea unei semnături electronice calificate, înseamnă a accepta opțiuni puternice pentru autentificarea utilizatorului. Conform cerințelor acestui nivel, autentificarea utilizatorului are loc direct pe serverul de semnături, spre deosebire, de exemplu, de autentificarea permisă pentru „nivelul 1” într-o aplicație care, în nume propriu, accesează serverul de semnături. De asemenea, în conformitate cu această specificație, cheile de semnătură ale utilizatorului pentru formarea unui ES calificat trebuie să fie stocate în memoria unui dispozitiv securizat specializat (modul de securitate hardware, HSM).
Autentificarea utilizatorului în serviciul cloud trebuie să aibă cel puțin doi factori. De regulă, cea mai accesibilă și mai ușor de utilizat opțiune este confirmarea introducerii prin codul primit într-un mesaj SMS. Deci, de exemplu, majoritatea conturilor personale ale RBS ale băncilor rusești au fost implementate. Pe lângă jetoanele criptografice obișnuite, o aplicație pe un smartphone și generatoare de parole unice (token-uri OTP) pot fi, de asemenea, folosite ca mijloc de autentificare.
Pot rezuma deocamdată un rezultat intermediar, referitor la faptul că în țara noastră încă se formează cloud CEP-uri și este prea devreme să se îndepărteze de fier. În principiu, acesta este un proces firesc, care chiar și în Europa (o, grozav!) a durat vreo 13-14 ani, până când s-au dezvoltat standarde mai mult sau mai puțin exacte.
Până când vom dezvolta GOST bune care să reglementeze serviciile noastre cloud, este prea devreme să vorbim despre o respingere completă a soluțiilor hardware. Mai degrabă, acum, dimpotrivă, vor începe să se îndrepte către „hibrizi”, adică să lucreze și cu semnături cloud. Câteva exemple care corespund standardelor europene de lucru cu Cloud au fost deja implementate. Dar mai multe despre asta într-un articol nou.
Sursa: www.habr.com