Dober dan, dragi bralec!
Že nekaj časa aktivno spremljam posodobitve in novice programa Digitalna ekonomija. Z vidika notranjega zaposlenega v sistemu EGAIS bo proces seveda trajal desetletja. Tako z vidika razvoja, kot z vidika testiranja, vračanja in nadaljnje implementacije, ki ji sledijo neizogibne in boleče prilagoditve najrazličnejših hroščev. Kljub temu je zadeva nujna, pomembna in nujna. Glavni kupec in gonilo vse te zabave je seveda država. Pravzaprav tako kot povsod po svetu.
Vsi procesi so že zdavnaj prešli v digitalizacijo oziroma so na poti k temu. To je še vedno čudovito. Vendar pa obstajajo slabosti medalj za odličnost. Sem oseba, ki nenehno dela z digitalnimi podpisi. Sem zagovornik morda "včerajšnjih", a "staromodnih" zanesljivih in zmagovalnih metod zaščite elektronskih podpisov z uporabo žetonov. Toda digitalizacija nam kaže, da je že dolgo vse v »oblakih« in je CEP tudi tam potreben in zelo hitro potreben.
Poskušal sem na ravni zakonodajnega in tehničnega okvira, kjer je to mogoče, ugotoviti, kako je z elektronskim podpisom v oblaku pri nas in v Evropi. Pravzaprav je bila na to temo objavljena že več kot ena znanstvena disertacija. Zato spodbujamo strokovnjake na tem področju, da se pridružijo razvoju teme.
Zakaj je CEP v oblaku privlačen? Pravzaprav obstajajo prednosti. Teh prednosti je dovolj. Je hiter in priročen. Sliši se kot reklamni slogan, se strinjate, a to so objektivne lastnosti digitalnega podpisa v oblaku.
Hitrost je v zmožnosti podpisovanja dokumentov, ne da bi bili vezani na žetone ali pametne kartice. Ne zavezuje nas k uporabi samo namizja. Stoodstotna zgodba o več platformah za kateri koli operacijski sistem in brskalnik. To še posebej velja za ljubitelje izdelkov Apple, za katere obstajajo določene težave pri podpiranju elektronskih podpisov v sistemu MAC. Izhod od koder koli na svetu, svoboda izbire CA (tudi neruskih). Za razliko od strojne opreme CEP vam tehnologije v oblaku omogočajo, da se izognete težavam z združljivostjo programske in strojne opreme. Kar je, da, priročno in, da, hitro.
In kako človeka ne zapeljati takšna lepota? Hudič je v podrobnostih. Pogovorimo se o varnosti.
"Cloud" CEP v Rusiji
Varnost rešitev v oblaku, predvsem pa digitalnih podpisov, je ena glavnih bolečih točk varnostnih strokovnjakov. Kaj točno mi ni všeč, me bo vprašal bralec, saj vsi že dolgo uporabljajo oblačne storitve, z SMS-i pa je bančno nakazilo še bolj zanesljivo.
Pravzaprav se spet vrnimo k podrobnostim. Digitalni podpis v oblaku je prihodnost, ki ji je težko nasprotovati. Ampak ne zdaj. Da bi to naredili, se morajo zgoditi regulativne spremembe, ki bodo zaščitile lastnika digitalnih podpisov v oblaku.
Kaj imamo danes? Obstaja vrsta dokumentov, ki opredeljujejo pojem digitalnega podpisa, elektronskega upravljanja z dokumenti (EDF), pa tudi zakona o varstvu informacij in o kroženju podatkov. Zlasti morate upoštevati Civilni zakonik (Civilni zakonik Ruske federacije), ki ureja uporabo elektronskih podpisov v dokumentih.
Zvezni zakon št. 63-FZ "O elektronskih podpisih" z dne 06.04.2011. Temeljni in okvirni zakon, ki opisuje splošni pomen uporabe digitalnega podpisa pri opravljanju različnih vrst poslov in opravljanju storitev.
Zvezni zakon št. 149-FZ “O informacijah, informacijskih tehnologijah in varstvu informacij z dne 27.07.2006. julija XNUMX. Ta dokument določa pojem elektronskega dokumenta in vse povezane segmente.
Obstajajo dodatni zakonodajni akti, ki so vključeni v ureditev EDI
Zvezni zakon 402-FZ "O računovodstvu" z dne 06.12.2011. decembra XNUMX. Zakonodajni akt predvideva sistematizacijo zahtev za računovodske in računovodske dokumente v elektronski obliki.
vklj. Upoštevate lahko Arbitražni procesni zakonik Ruske federacije, ki dovoljuje dokumente, podpisane z elektronskim podpisom, kot dokaz na sodišču.
In tu mi je prišlo na misel, da bi se poglobil v vprašanje varnosti, saj naše standarde za sredstva za kripto zaščito zagotavlja FSB in zagotavljajo izdajo certifikatov o skladnosti. 18. februarja so bili uvedeni novi standardi GOST. Tako ključi, shranjeni v oblaku, niso neposredno zaščiteni s certifikati FSTEC. Zaščita samih ključev in varen vstop v »oblak« sta temelja, ki ju še nismo rešili. V nadaljevanju si bom ogledal primer regulacije v Evropski uniji, ki bo nazorno pokazal naprednejši varnostni sistem.
Evropske izkušnje pri uporabi digitalnih podpisov v oblaku
Začnimo z glavno stvarjo - tehnologije v oblaku, ne le digitalni podpisi, imajo jasen standard. Osnova je skupina Cloud Standard Coordination (CSC) Evropskega inštituta za telekomunikacijske standarde (ETSI). Vendar pa še vedno obstajajo razlike v standardih varstva podatkov v različnih državah.
Osnova za celovito zaščito podatkov je obvezno certificiranje ponudnikov po standardu ISO 27001:2013 za sisteme upravljanja varnosti informacij (ustrezni ruski GOST R ISO/IEC 27001-2006 temelji na različici tega standarda iz leta 2006).
ISO 27017 zagotavlja dodatne varnostne elemente za oblak, ki manjkajo v standardu ISO 27002. Polno uradno ime tega standarda je »Kodeks ravnanja za nadzor varnosti informacij, ki temelji na standardu ISO/IEC 27002 za storitve v oblaku.« ISO/IEC 27002 za storitve v oblaku. ").
Poleti 2014 je ISO objavil standard ISO 27018:2015 o varovanju osebnih podatkov v oblaku, konec leta 2015 pa ISO 27017:2015 o nadzoru informacijske varnosti za rešitve v oblaku.
Jeseni 2014 je začela veljati nova Resolucija Evropskega parlamenta št. 910/2014, imenovana eIDAS. Nova pravila uporabnikom omogočajo shranjevanje in uporabo ključa EPC na strežniku akreditiranega ponudnika zaupanja vrednih storitev, tako imenovanega TSP (Trust Service Provider).
Oktobra 2013 je Evropski odbor za standardizacijo (CEN) sprejel tehnično specifikacijo CEN/TS 419241 »Varnostne zahteve za zaupanja vredne sisteme, ki podpirajo podpisovanje strežnikov«, namenjeno regulaciji digitalnih podpisov v oblaku. Dokument opisuje več ravni varnostne skladnosti. Na primer, skladnost »2. stopnje«, potrebna za generiranje kvalificiranega elektronskega podpisa, zahteva podporo za močne možnosti avtentikacije uporabnika. V skladu z zahtevami te ravni se avtentikacija uporabnika izvede neposredno na podpisnem strežniku, v nasprotju na primer z avtentikacijo, ki je dovoljena za "nivo 1" v aplikaciji, ki dostopa do podpisnega strežnika v svojem imenu. Prav tako morajo biti v skladu s to specifikacijo uporabniški podpisni ključi za generiranje kvalificiranega elektronskega podpisa shranjeni v pomnilniku specializirane varovalne naprave (hardware security module, HSM).
Avtentikacija uporabnika v storitvi v oblaku mora biti vsaj dvofaktorska. Praviloma je najbolj dostopna in enostavna možnost potrditve prijave s kodo, prejeto v SMS sporočilu. Na primer, večina osebnih računov RBS ruskih bank je bila implementirana. Poleg običajnih kriptografskih žetonov lahko kot sredstvo za avtentikacijo uporabimo tudi aplikacijo na pametnem telefonu in generatorje enkratnih gesel (žetoni OTP).
Zaenkrat lahko potegnem vmesni zaključek, da se oblačni CEP šele oblikujejo in je prezgodaj za odmik od strojne opreme. Načeloma je to naraven proces, ki je tudi v Evropi (o, super!) trajal približno 13-14 let, dokler niso bili razviti bolj ali manj natančni standardi.
Dokler ne razvijemo dobrih standardov GOST, ki urejajo naše storitve v oblaku, je prezgodaj govoriti o popolni opustitvi strojnih rešitev. Namesto tega se bodo zdaj, nasprotno, začeli premikati proti "hibridom", torej delati tudi z oblačnimi podpisi. Nekaj primerov, ki ustrezajo evropskim standardom za delo z oblakom, je že implementiranih. Toda o tem bomo podrobneje govorili v novem gradivu.
Vir: www.habr.com