Mirëdita, lexues i dashur!
Prej disa kohësh ndjek në mënyrë aktive përditësimet dhe lajmet e programit të Ekonomisë Dixhitale. Nga këndvështrimi i një punonjësi të brendshëm të sistemit EGAIS, natyrisht, procesi do të zgjasë për dekada. Si nga pikëpamja e zhvillimit, ashtu edhe nga pikëpamja e testimit, rikthimit dhe zbatimit të mëtejshëm, të ndjekur nga rregullime të pashmangshme dhe të dhimbshme të të gjitha llojeve të gabimeve. Megjithatë, çështja është e nevojshme, e rëndësishme dhe urgjente. Klienti dhe shtytësi kryesor i gjithë këtij argëtimi është, natyrisht, shteti. Në fakt, ashtu si në të gjithë botën.
Të gjitha proceset kanë kaluar prej kohësh në dixhital ose janë në rrugën drejt tij. Kjo është ende e mrekullueshme. Megjithatë, medaljet për përsosmëri kanë dobësi. Unë jam një person që punoj vazhdimisht me nënshkrimet dixhitale. Unë jam një mbështetës i metodave ndoshta "të djeshme", por "të modës së vjetër" të besueshme dhe të favorshme për mbrojtjen e nënshkrimeve elektronike duke përdorur shenja. Por dixhitalizimi na tregon se gjithçka ka qenë në “re” për një kohë të gjatë dhe CEP-i është gjithashtu i nevojshëm dhe i nevojshëm shumë shpejt.
Unë u përpoqa të kuptoja, në nivelin e kuadrit legjislativ dhe teknik, aty ku ishte e mundur, se si qëndrojnë gjërat me nënshkrimet elektronike të cloud këtu dhe në Evropë. Në fakt, më shumë se një disertacion shkencor është botuar tashmë për këtë temë. Prandaj, ne inkurajojmë profesionistët në këtë çështje që të bashkohen në zhvillimin e temës.
Pse CEP në cloud është tërheqës? Në fakt, ka avantazhe. Ka mjaft nga këto avantazhe. Është i shpejtë dhe i përshtatshëm. Duket si një slogan reklamimi, do të pajtoheni, por këto janë karakteristikat objektive të një nënshkrimi dixhital cloud.
Shpejtësia qëndron në aftësinë për të nënshkruar dokumente pa u lidhur me tokena ose karta inteligjente. Nuk na detyron të përdorim vetëm desktopin. Histori njëqind për qind ndër-platformë për çdo OS dhe shfletues. Kjo është veçanërisht e vërtetë për tifozët e produkteve Apple, për të cilët ka vështirësi të caktuara në mbështetjen e nënshkrimeve elektronike në sistemin MAC. Dalje nga kudo në botë, liria e zgjedhjes së AK-ve (madje edhe atyre jo-ruse). Ndryshe nga hardueri CEP, teknologjitë cloud ju lejojnë të shmangni vështirësitë me përputhshmërinë e softuerit dhe harduerit. E cila, po, është e përshtatshme dhe, po, e shpejtë.
Dhe si mund të mos joshet nga një bukuri e tillë? Djalli është në detaje. Le të flasim për sigurinë.
"Cloud" CEP në Rusi
Siguria e zgjidhjeve cloud, dhe veçanërisht e nënshkrimeve dixhitale, është një nga pikat kryesore të dhimbjes për profesionistët e sigurisë. Çfarë saktësisht nuk më pëlqen, do të më pyesë lexuesi, sepse të gjithë kanë përdorur shërbime cloud për një kohë të gjatë, dhe me SMS është edhe më e besueshme të bësh një transfertë bankare.
Në fakt, përsëri, le të kthehemi te detajet. Nënshkrimi dixhital në renë kompjuterike është një e ardhme me të cilën është e vështirë të debatohet. Por jo tani. Për ta bërë këtë, duhet të ndodhin ndryshime rregullatore që do të mbrojnë pronarin e nënshkrimeve dixhitale të cloud.
Çfarë kemi sot? Ekzistojnë një sërë dokumentesh që përcaktojnë konceptin e nënshkrimit dixhital, menaxhimit elektronik të dokumenteve (EDF), si dhe ligjeve për mbrojtjen e informacionit dhe qarkullimin e të dhënave. Në veçanti, duhet të merrni parasysh Kodin Civil (Kodi Civil i Federatës Ruse), i cili rregullon përdorimin e nënshkrimeve elektronike në dokumente.
Ligji Federal Nr. 63-FZ "Për Nënshkrimet Elektronike" datë 06.04.2011/XNUMX/XNUMX. Ligji bazë dhe kornizë që përshkruan kuptimin e përgjithshëm të përdorimit të nënshkrimeve dixhitale gjatë kryerjes së transaksioneve të llojeve të ndryshme dhe ofrimit të shërbimeve.
Ligji Federal Nr. 149-FZ "Për informacionin, teknologjitë e informacionit dhe mbrojtjen e informacionit, datë 27.07.2006 korrik XNUMX. Ky dokument specifikon konceptin e një dokumenti elektronik dhe të gjitha segmentet përkatëse.
Ka akte legjislative shtesë që përfshihen në rregullimin e EDI
Ligji Federal 402-FZ "Për Kontabilitetin" i datës 06.12.2011 dhjetor XNUMX. Akti legjislativ parashikon sistemimin e kërkesave për dokumentet e kontabilitetit dhe kontabilitetit në formë elektronike.
Përfshirë Ju mund të merrni parasysh Kodin Procedural të Arbitrazhit të Federatës Ruse, i cili lejon dokumentet e nënshkruara me një nënshkrim elektronik si provë në gjykatë.
Dhe ishte këtu që më ndodhi të thellohesha më thellë në çështjen e sigurisë, sepse standardet tona për mjetet e kripto-mbrojtjes sigurohen nga FSB dhe sigurojnë lëshimin e certifikatave të konformitetit. Më 18 shkurt, u prezantuan standardet e reja GOST. Kështu, çelësat e ruajtur në re nuk mbrohen drejtpërdrejt nga certifikatat FSTEC. Mbrojtja e vetë çelësave dhe hyrja e sigurt në "re" janë gurët e themelit që nuk i kemi zgjidhur ende. Më pas, do të shikoj shembullin e rregullimit në Bashkimin Evropian, i cili do të demonstrojë qartë një sistem sigurie më të avancuar.
Përvoja evropiane në përdorimin e nënshkrimeve dixhitale cloud
Le të fillojmë me gjënë kryesore - teknologjitë cloud, jo vetëm nënshkrimet dixhitale kanë një standard të qartë. Baza është grupi Cloud Standard Coordination (CSC) i Institutit Evropian të Standardeve të Telekomunikacionit (ETSI). Megjithatë, ka ende dallime në standardet e mbrojtjes së të dhënave në vende të ndryshme.
Baza për mbrojtjen gjithëpërfshirëse të të dhënave është certifikimi i detyrueshëm për ofruesit sipas ISO 27001:2013 për sistemet e menaxhimit të sigurisë së informacionit (GOST R përkatëse ruse ISO/IEC 27001-2006 bazohet në versionin 2006 të këtij standardi).
ISO 27017 ofron elemente shtesë sigurie për cloud që mungojnë nga ISO 27002. Emri i plotë zyrtar i këtij standardi është “Kodi i praktikës për kontrollet e sigurisë së informacionit bazuar në ISO/IEC 27002 për shërbimet cloud.” ISO/IEC 27002 për shërbimet cloud. ").
Në verën e vitit 2014, ISO publikoi standardin ISO 27018:2015 për mbrojtjen e të dhënave personale në cloud, dhe në fund të vitit 2015, ISO 27017:2015 mbi kontrollet e sigurisë së informacionit për zgjidhjet cloud.
Në vjeshtën e vitit 2014, hyri në fuqi një rezolutë e re e Parlamentit Evropian nr. 910/2014, e quajtur eIDAS. Rregullat e reja lejojnë përdoruesit të ruajnë dhe përdorin çelësin EPC në serverin e një ofruesi të besuar të shërbimit të akredituar, i ashtuquajturi TSP (Trust Service Provider).
Në tetor 2013, Komiteti Evropian për Standardizim (CEN) miratoi specifikimin teknik CEN/TS 419241 “Kërkesat e sigurisë për sistemet e besueshme që mbështesin nënshkrimin e serverit”, kushtuar rregullimit të nënshkrimeve dixhitale cloud. Dokumenti përshkruan disa nivele të pajtueshmërisë së sigurisë. Për shembull, pajtueshmëria e "nivelit 2" që kërkohet për të gjeneruar një nënshkrim elektronik të kualifikuar kërkon mbështetje për opsionet e forta të vërtetimit të përdoruesit. Sipas kërkesave të këtij niveli, vërtetimi i përdoruesit ndodh drejtpërdrejt në serverin e nënshkrimit, në kontrast, për shembull, me vërtetimin e lejuar për "nivelin 1" në një aplikacion që akseson serverin e nënshkrimit në emër të tij. Gjithashtu, në përputhje me këtë specifikim, çelësat e nënshkrimit të përdoruesit për gjenerimin e një nënshkrimi elektronik të kualifikuar duhet të ruhen në memorien e një pajisjeje të specializuar të sigurt (moduli i sigurisë së harduerit, HSM).
Autentifikimi i përdoruesit në një shërbim cloud duhet të jetë së paku me dy faktorë. Si rregull, opsioni më i arritshëm dhe i lehtë për t'u përdorur është të konfirmoni hyrjen përmes një kodi të marrë në një mesazh SMS. Për shembull, shumica e llogarive personale RBS të bankave ruse janë zbatuar. Përveç shenjave të zakonshme kriptografike, një aplikacion në një smartphone dhe gjeneratorë të fjalëkalimeve një herë (OTP) mund të përdoren gjithashtu si një mjet vërtetimi.
Tani për tani, mund të nxjerr një përfundim të përkohshëm në lidhje me faktin se CEP-të e cloud janë ende duke u formuar dhe është shumë herët për t'u larguar nga hardueri. Në parim, ky është një proces i natyrshëm, i cili edhe në Evropë (oh, shumë mirë!) zgjati rreth 13-14 vjet derisa u zhvilluan standarde pak a shumë të sakta.
Derisa të zhvillojmë standarde të mira GOST që rregullojnë shërbimet tona cloud, është shumë herët të flasim për një braktisje të plotë të zgjidhjeve harduerike. Përkundrazi, ata tani, përkundrazi, do të fillojnë të lëvizin drejt "hibrideve", domethënë, duke punuar edhe me nënshkrimet e cloud. Disa shembuj që plotësojnë standardet evropiane për të punuar me Cloud tashmë janë zbatuar. Por ne do të flasim për këtë më në detaje në një material të ri.
Burimi: www.habr.com