රුසියාවේ සහ ලෝකයේ වලාකුළු ඉලෙක්ට්‍රොනික අත්සන

සුභ සන්ධ්‍යාවක්, හිතවත් පාඨකයා!
මම කලක සිට ඩිජිටල් ආර්ථිකය වැඩසටහනේ යාවත්කාලීන කිරීම් සහ ප්‍රවෘත්ති ක්‍රියාකාරීව අනුගමනය කරමින් සිටිමි. EGAIS පද්ධතියේ අභ්යන්තර සේවකයෙකුගේ දෘෂ්ටි කෝණයෙන්, ඇත්ත වශයෙන්ම, ක්රියාවලිය දශක ගනනාවක් පවතිනු ඇත. සංවර්ධනයේ දෘෂ්ටි කෝණයෙන් සහ පරීක්ෂා කිරීම, ආපසු හැරවීම සහ තවදුරටත් ක්රියාත්මක කිරීම යන දෘෂ්ටි කෝණයෙන්, සියලු වර්ගවල දෝෂ වල නොවැළැක්විය හැකි සහ වේදනාකාරී ගැලපීම් අනුගමනය කරයි. කෙසේ වෙතත්, කාරණය අවශ්ය, වැදගත් සහ හදිසි වේ. මේ සියලු විනෝදයේ ප්‍රධාන පාරිභෝගිකයා සහ රියදුරු, ඇත්ත වශයෙන්ම, රාජ්‍යය වේ. ඇත්ත වශයෙන්ම, ලොව පුරා මෙන්.
සියලුම ක්‍රියාදාමයන් බොහෝ කලක සිට ඩිජිටල් වෙත මාරු වී හෝ ඒ වෙත ගමන් කරමින් පවතී. මෙය තවමත් අපූරු ය. කෙසේ වෙතත්, විශිෂ්ටත්වය සඳහා පදක්කම් සඳහා අවාසි ඇත. මම ඩිජිටල් අත්සනින් නිරන්තරයෙන් වැඩ කරන කෙනෙක්. මම සමහර විට "ඊයේ", නමුත් "පැරණි තාලයේ" විශ්වාසවන්ත සහ ටෝකන භාවිතයෙන් ඉලෙක්ට්‍රොනික අත්සන් ආරක්ෂා කිරීමේ ජයග්‍රාහී ක්‍රමවල ආධාරකරුවෙකි. නමුත් ඩිජිටල්කරණය අපට පෙන්නුම් කරන්නේ සෑම දෙයක්ම දිගු කලක් තිස්සේ "වලාකුළු" තුළ පවතින අතර CEP ද එහි අවශ්ය වන අතර ඉතා ඉක්මනින් අවශ්ය වේ.
මම ව්‍යවස්ථාදායක සහ තාක්‍ෂණික රාමුවේ මට්ටමින්, හැකි සෑම විටම, මෙහි සහ යුරෝපයේ වලාකුළු ඉලෙක්ට්‍රොනික අත්සන් සමඟ දේවල් පවතින්නේ කෙසේදැයි සොයා ගැනීමට උත්සාහ කළෙමි. ඇත්ත වශයෙන්ම, මෙම මාතෘකාව පිළිබඳ විද්යාත්මක නිබන්ධන එකකට වඩා දැනටමත් ප්රකාශයට පත් කර ඇත. එබැවින්, මාතෘකාව සංවර්ධනය කිරීමට සම්බන්ධ වීමට අපි මෙම කාරණය සම්බන්ධයෙන් වෘත්තිකයන් දිරිමත් කරමු.
වලාකුළු තුළ CEP ආකර්ෂණීය වන්නේ ඇයි? ඇත්ත වශයෙන්ම, වාසි ඇත. මෙම වාසි ප්රමාණවත් තරම් තිබේ. එය වේගවත් සහ පහසුයි. එය වෙළඳ ප්‍රචාරණ සටන් පාඨයක් මෙන් පෙනේ, ඔබ එකඟ වනු ඇත, නමුත් මේවා වලාකුළු ඩිජිටල් අත්සනක වෛෂයික ලක්ෂණ වේ.
වේගය යනු ටෝකන හෝ ස්මාර්ට් කාඩ්පත් සමඟ සම්බන්ධ නොවී ලේඛන අත්සන් කිරීමේ හැකියාවයි. ඩෙස්ක්ටොප් එක පමණක් භාවිතා කිරීමට අපට බල නොකරයි. ඕනෑම OS සහ බ්‍රව්සර් සඳහා සියයට සියයක් හරස් වේදිකා කතාව. මෙය විශේෂයෙන්ම සත්‍ය වන්නේ ඇපල් නිෂ්පාදනවල රසිකයින් සඳහා වන අතර, ඔවුන් සඳහා MAC පද්ධතියේ ඉලෙක්ට්‍රොනික අත්සන් සඳහා සහය දැක්වීමේ යම් යම් දුෂ්කරතා ඇත. ලෝකයේ ඕනෑම තැනක සිට පිටවීම, CAs තෝරා ගැනීමේ නිදහස (රුසියානු නොවන ඒවා පවා). CEP දෘඩාංග මෙන් නොව, වලාකුළු තාක්ෂණය මඟින් මෘදුකාංග සහ දෘඪාංගවල ගැළපුම සමඟ දුෂ්කරතා මඟහරවා ගැනීමට ඔබට ඉඩ සලසයි. කුමන, ඔව්, පහසු, සහ, ඔව්, වේගවත්.
එවැනි සුන්දරත්වයට යමෙකු නොමඟ යන්නේ කෙසේද? යක්ෂයා විස්තර වල ඇත. ආරක්ෂාව ගැන කතා කරමු.
රුසියාවේ "වලාකුළු" CEP
වලාකුළු විසඳුම්වල ආරක්ෂාව සහ විශේෂයෙන්ම ඩිජිටල් අත්සන්, ආරක්ෂක වෘත්තිකයන් සඳහා ප්රධාන වේදනා ලක්ෂ්යයකි. මම හරියටම අකමැති කුමක්ද, පාඨකයා මගෙන් අසනු ඇත, මන්ද සෑම කෙනෙකුම දිගු කලක් තිස්සේ වලාකුළු සේවා භාවිතා කර ඇති අතර SMS සමඟ බැංකු හුවමාරුවක් සිදු කිරීම වඩාත් විශ්වාසදායකය.
ඇත්ත වශයෙන්ම, නැවතත්, අපි විස්තර වෙත ආපසු යමු. වලාකුළු ඩිජිටල් අත්සන යනු තර්ක කිරීමට අපහසු අනාගතයකි. නමුත් දැන් නොවේ. මෙය සිදු කිරීම සඳහා, වලාකුළු ඩිජිටල් අත්සන් වල හිමිකරු ආරක්ෂා කරන නියාමන වෙනස්කම් සිදු විය යුතුය.
අද අපට ඇත්තේ කුමක්ද? ඩිජිටල් අත්සන, ඉලෙක්ට්‍රොනික ලේඛන කළමනාකරණය (EDF), මෙන්ම තොරතුරු ආරක්ෂණය සහ දත්ත සංසරණය පිළිබඳ නීති යන සංකල්පය නිර්වචනය කරන ලියකියවිලි ගණනාවක් තිබේ. විශේෂයෙන්, ඔබ ලේඛනවල ඉලෙක්ට්රොනික අත්සන් භාවිතා කිරීම නියාමනය කරන සිවිල් සංග්රහය (රුසියානු සමූහාණ්ඩුවේ සිවිල් සංග්රහය) සැලකිල්ලට ගත යුතුය.
63/06.04.2011/XNUMX දිනැති ෆෙඩරල් නීතිය අංක XNUMX-FZ "විද්යුත් අත්සන් මත". විවිධ වර්ගවල ගනුදෙනු කිරීමේදී සහ සේවා සැපයීමේදී ඩිජිටල් අත්සන් භාවිතා කිරීමේ පොදු අර්ථය විස්තර කරන මූලික සහ රාමු නීතිය.
ෆෙඩරල් නීතිය අංක 149-FZ "27.07.2006 ජූලි XNUMX දිනැති තොරතුරු, තොරතුරු තාක්ෂණ සහ තොරතුරු ආරක්ෂණය පිළිබඳ. මෙම ලේඛනය ඉලෙක්ට්‍රොනික ලේඛනයක් පිළිබඳ සංකල්පය සහ ඊට අදාළ සියලුම කොටස් නියම කරයි.
EDI නියාමනය සඳහා සම්බන්ධ වන අතිරේක නීතිමය පනත් තිබේ
402 දෙසැම්බර් 06.12.2011 දිනැති ෆෙඩරල් නීතිය XNUMX-FZ "ගිණුම්කරණය මත". ඉලෙක්ට්රොනික ආකාරයෙන් ගිණුම්කරණ සහ ගිණුම් ලේඛන සඳහා අවශ්යතා ක්රමානුකූල කිරීම සඳහා ව්යවස්ථාදායක පනත සපයයි.
ඇතුළු ඔබට රුසියානු සමූහාණ්ඩුවේ බේරුම්කරණ පටිපාටි සංග්රහය සැලකිල්ලට ගත හැකිය, උසාවියේදී සාක්ෂි ලෙස විද්යුත් අත්සනක් මගින් අත්සන් කරන ලද ලේඛනවලට ඉඩ ලබා දේ.
ගුප්තකේතන ආරක්ෂණ මාධ්‍යයන් සඳහා අපගේ ප්‍රමිතීන් FSB විසින් සපයනු ලබන අතර අනුකූලතා සහතික නිකුත් කිරීම සහතික කරන බැවින් ආරක්ෂාව පිළිබඳ ගැටළුව ගැඹුරින් සොයා බැලීමට මට සිදු වූයේ මෙහිදීය. පෙබරවාරි 18 වන දින නව GOST ප්රමිති හඳුන්වා දෙන ලදී. මේ අනුව, වලාකුළෙහි ගබඩා කර ඇති යතුරු FSTEC සහතික මගින් සෘජුවම ආරක්ෂා නොවේ. යතුරු තමන් විසින්ම ආරක්ෂා කර ගැනීම සහ "වලාකුළට" ආරක්ෂිතව ඇතුල් වීම අප තවමත් විසඳා නැති මුල් ගලයි. ඊළඟට, මම යුරෝපීය සංගමයේ නියාමනය පිළිබඳ උදාහරණය දෙස බලමි, එය වඩාත් දියුණු ආරක්ෂක පද්ධතියක් පැහැදිලිව පෙන්නුම් කරනු ඇත.
වලාකුළු ඩිජිටල් අත්සන් භාවිතා කිරීමේ යුරෝපීය අත්දැකීම්
ප්රධාන දෙය සමඟ ආරම්භ කරමු - වලාකුළු තාක්ෂණයන්, ඩිජිටල් අත්සන් පමණක් නොව පැහැදිලි ප්රමිතියක් ඇත. පදනම වන්නේ යුරෝපීය විදුලි සංදේශ ප්‍රමිති ආයතනයේ (ETSI) Cloud Standard Coordination (CSC) කණ්ඩායමයි. කෙසේ වෙතත්, විවිධ රටවල දත්ත ආරක්ෂණ ප්‍රමිතීන්හි තවමත් වෙනස්කම් පවතී.
තොරතුරු ආරක්ෂණ කළමනාකරණ පද්ධති සඳහා ISO 27001: 2013 අනුව සපයන්නන් සඳහා විස්තීර්ණ දත්ත ආරක්ෂාව සඳහා පදනම අනිවාර්ය සහතික කිරීමකි (අනුරූප රුසියානු GOST R ISO / IEC 27001-2006 මෙම ප්‍රමිතියේ 2006 අනුවාදය මත පදනම් වේ).
ISO 27017 මඟින් ISO 27002 වෙතින් අතුරුදහන් වූ වලාකුළ සඳහා අමතර ආරක්‍ෂක අංග සපයයි. මෙම ප්‍රමිතියේ සම්පූර්ණ නිල නාමය වන්නේ “Cloud සේවා සඳහා ISO/IEC 27002 මත පදනම් වූ තොරතුරු ආරක්‍ෂක පාලනයන් සඳහා වන පුහුණු සංග්‍රහයයි.” ISO/IEC 27002 ක්ලවුඩ් සේවා සඳහා ")
2014 ගිම්හානයේදී, ISO විසින් වලාකුළෙහි පුද්ගලික දත්ත ආරක්ෂා කිරීම පිළිබඳ ISO 27018:2015 ප්‍රමිතිය ප්‍රකාශයට පත් කරන ලද අතර 2015 අගභාගයේදී, ISO 27017:2015 වලාකුළු විසඳුම් සඳහා තොරතුරු ආරක්ෂණ පාලනයන් පිළිබඳව ප්‍රකාශයට පත් කරන ලදී.
2014 අගභාගයේදී, යුරෝපීය පාර්ලිමේන්තුවේ අංක 910/2014 eIDAS නමින් නව යෝජනාවක් බලාත්මක විය. නව නීති මගින් පරිශීලකයින්ට EPC යතුර ගබඩා කිරීමට සහ භාවිතා කිරීමට ඉඩ සලසන පිළිගත් විශ්වාසදායක සේවා සපයන්නෙකුගේ, ඊනියා TSP (විශ්වාස සේවා සපයන්නා) සේවාදායකයේ.
2013 ඔක්තෝම්බර් මාසයේදී, ප්‍රමිතිකරණය සඳහා වූ යුරෝපීය කමිටුව (CEN) CEN/TS 419241 තාක්ෂණික පිරිවිතර "විශ්වසනීය පද්ධති සහය සේවාදායක අත්සන් සඳහා ආරක්ෂණ අවශ්‍යතා", වලාකුළු ඩිජිටල් අත්සන් නියාමනය සඳහා කැප කරන ලදී. ලේඛනය ආරක්ෂක අනුකූලතා මට්ටම් කිහිපයක් විස්තර කරයි. උදාහරණයක් ලෙස, සුදුසුකම් ලත් ඉලෙක්ට්‍රොනික අත්සනක් උත්පාදනය කිරීමට අවශ්‍ය “2 මට්ටමේ” අනුකූලතාවයට ශක්තිමත් පරිශීලක සත්‍යාපන විකල්ප සඳහා සහය අවශ්‍ය වේ. මෙම මට්ටමේ අවශ්‍යතා අනුව, පරිශීලක සත්‍යාපනය කෙලින්ම අත්සන සේවාදායකය මත සිදු වේ, උදාහරණයක් ලෙස, තමන් වෙනුවෙන් අත්සන සේවාදායකයට ප්‍රවේශ වන යෙදුමක “1 මට්ටම” සඳහා අවසර දී ඇති සත්‍යාපනයට ප්‍රතිවිරුද්ධව. එසේම, මෙම පිරිවිතරයට අනුකූලව, සුදුසුකම් ලත් ඉලෙක්ට්‍රොනික අත්සනක් ජනනය කිරීම සඳහා පරිශීලක අත්සන විශේෂිත ආරක්ෂිත උපාංගයක (දෘඪාංග ආරක්ෂණ මොඩියුලය, HSM) මතකයේ ගබඩා කළ යුතුය.
ක්ලවුඩ් සේවාවක පරිශීලක සත්‍යාපනය අවම වශයෙන් සාධක දෙකක විය යුතුය. රීතියක් ලෙස, වඩාත්ම ප්‍රවේශ විය හැකි සහ භාවිතයට පහසු විකල්පය වන්නේ SMS පණිවිඩයකින් ලැබුණු කේතයක් හරහා පුරනය වීම තහවුරු කිරීමයි. නිදසුනක් වශයෙන්, රුසියානු බැංකුවල පුද්ගලික RBS ගිණුම් බොහොමයක් ක්රියාත්මක කර ඇත. සාමාන්‍ය ගුප්ත ලේඛන ටෝකන වලට අමතරව, ස්මාර්ට් ජංගම දුරකතනයේ යෙදුමක් සහ එක් වරක් මුරපද උත්පාදක යන්ත්‍ර (OTP ටෝකන) සත්‍යාපනය කිරීමේ මාධ්‍යයක් ලෙස භාවිතා කළ හැකිය.
දැනට, Cloud CEPs තවමත් සෑදෙමින් පවතින බවත්, දෘඪාංග වලින් ඉවත් වීමට කල් වැඩි බවත් මට අතුරු නිගමනයකට එළඹිය හැකිය. ප්‍රතිපත්තිමය වශයෙන්, මෙය ස්වාභාවික ක්‍රියාවලියක් වන අතර, යුරෝපයේ පවා (අනේ, විශිෂ්ටයි!) වැඩි හෝ අඩු නිවැරදි ප්‍රමිතීන් වර්ධනය වන තෙක් වසර 13-14 ක් පමණ පැවතුනි.
අපගේ වලාකුළු සේවා නියාමනය කරන හොඳ GOST ප්‍රමිතීන් වර්ධනය කරන තෙක්, දෘඩාංග විසඳුම් සම්පූර්ණයෙන්ම අත්හැර දැමීම ගැන කතා කිරීමට කල් වැඩියි. ඒ වෙනුවට, ඔවුන් දැන්, ඊට පටහැනිව, "දෙමුහුන්" දෙසට ගමන් කිරීමට පටන් ගනී, එනම්, වලාකුළු අත්සන් සමඟද වැඩ කරයි. Cloud සමඟ වැඩ කිරීම සඳහා යුරෝපීය ප්රමිතීන් සපුරාලන සමහර උදාහරණ දැනටමත් ක්රියාත්මක කර ඇත. නමුත් අපි මේ ගැන ටිකක් විස්තරාත්මකව නව ද්රව්යයක් තුළ කතා කරමු.

මූලාශ්රය: www.habr.com