Добар дан, драги читаоче!
Већ неко време активно пратим ажурирања и вести програма Дигитална економија. Са становишта интерног запосленог у систему ЕГАИС, наравно, процес који траје деценијама. И са становишта развоја, и са становишта тестирања, враћања и даље имплементације, праћене неизбежним и болним прилагођавањем свих врста грешака. Ипак, ствар је неопходна, важна и закаснела. Главни купац и покретач све ове забаве, наравно, је држава. У ствари, као у целом свету.
Сви процеси су одавно прешли у дигитално или на путу до њега. И даље је дивно. Међутим, постоје и полеђине медаља за одликовање. Ја сам особа која стално ради са дигиталним потписом. Ја сам присталица можда „јучерашњих“, али „старомодних“ поузданих и вин-вин метода заштите електронског потписа помоћу токена. Али дигитализација нам показује да је све већ дуго у „облацима“ и да ЦЕП такође треба да оде тамо и треба то веома брзо.
Покушао сам да докучим, до сада на нивоу законодавне и техничке базе, где је то било могуће, како стоје ствари са цлоуд ЕС-ом код нас и у Европи. Заправо, на ову тему је већ објављено више од једне научне дисертације. Стога позивају професионалце у овој ствари да се повежу са развојем теме.
Зашто је ЦЕП у облаку привлачан? У ствари, има позитивних. Ови плусеви су довољни. То је брзо и згодно. Звучи као рекламни слоган, сложићете се, али ово су објективне карактеристике ЕДС-а заснованог на облаку.
Брзина лежи у могућности потписивања докумената без везивања за токене или паметне картице. То нас не обавезује да користимо само десктоп. Сто постотна историја на више платформи за било који ОС и претраживаче. Ово посебно важи за љубитеље Аппле производа, за које постоје одређене потешкоће у подршци ЕС у МАЦ систему. Излаз са било ког места на свету, слобода избора ЦА (чак ни руских). За разлику од ЦЕП хардвера, рачунарство у облаку избегава сложеност софтверске и хардверске компатибилности. Што је, да, згодно, и, да, брзо.
И како да не буде искушен таквом лепотом? Ђаво је у детаљима. Хајде да причамо о безбедности.
"Облачан" ЦЕП у Русији
Безбедност решења у облаку, а посебно дигиталног потписа, један је од главних проблема људи у области безбедности. Шта ми се тачно не допада, питаће ме читалац, јер сви већ дуго користе услуге у облаку, а са СМС-ом је још поузданије извршити банковни трансфер.
У ствари, опет, назад на детаље. Цлоуд ЕДС је будућност, са којом је тешко расправљати. Али не сада. Да бисте то урадили, морају постојати регулаторне и законске промене које ће заштитити власника цлоуд ЕДС-а.
Шта имамо данас? Постоји низ докумената који дефинишу појам ЕС, електронско управљање документима (ЕДФ), као и закони о заштити информација и циркулацији података. Посебно је потребно узети у обзир Грађански законик (Грађански законик Руске Федерације), који регулише употребу ЕС у документима.
Федерални закон број 63-ФЗ "О електронском потпису" од 06.04.2011. априла XNUMX. године. Главни и оквирни закон који описује опште значење употребе електронског потписа у трансакцијама различите природе и пружању услуга.
Федерални закон бр. 149-ФЗ „О информацијама, информационим технологијама и заштити информација“ од 27.07.2006. јула XNUMX. године. Овај документ прецизира концепт електронског документа и све повезане сегменте.
Постоје додатни законодавни акти који су укључени у регулисање ЕДФ-а
Федерални закон 402-ФЗ "О рачуноводству" од 06.12.2011. Законодавни акт предвиђа систематизацију захтева за рачуноводствене и рачуноводствене документе у електронском облику.
Инцл. можете узети у обзир Закон о арбитражном поступку Руске Федерације, који дозвољава документе потписане од ЕС као доказ на суду.
И ту ми је пало на памет да дубље закопам у питање безбедности, јер наше стандарде за алате за крипто-заштиту обезбеђује ФСБ и обезбеђују издавање сертификата о усаглашености. Од 18. фебруара уведени су нови ГОСТ-ови. Дакле, кључеви ускладиштени у облаку нису директно заштићени ФСТЕЦ сертификатима. Заштита самих кључева и сигуран улазак у „облак” су камен темељац за који се још нисмо определили. Затим ћу размотрити пример регулативе у Европској унији, који ће јасно показати напреднији систем безбедности.
Европско искуство у коришћењу цлоуд ЕС
Почнимо од главне ствари - технологије облака, не само ЕС, имају јасан стандард. Основа Групе за координацију стандарда у облаку (ЦСЦ) Европског института за телекомуникацијске стандарде (ЕТСИ). Међутим, и даље постоје разлике у стандардима заштите података међу земљама.
Основа за свеобухватну заштиту података је обавезна сертификација за провајдере према ИСО 27001:2013 за системе управљања безбедношћу информација (одговарајући руски ГОСТ Р ИСО / ИЕЦ 27001-2006 заснован је на верзији овог стандарда из 2006. године).
ИСО 27017 обезбеђује додатне безбедносне елементе за облак који нису у ИСО 27002. Пун званични назив овог стандарда је „Кодекс праксе за контролу безбедности информација на основу ИСО/ИЕЦ 27002 за услуге у облаку“ („Кодекс праксе за безбедност информација контроле засноване на ИСО/ИЕЦ 27002 за услуге у облаку“).
У лето 2014. ИСО је објавио ИСО 27018:2015 о заштити личних података у облаку, а крајем 2015. ИСО 27017:2015 о контролама безбедности информација за решења у облаку.
У јесен 2014. године ступила је на снагу нова Уредба Европског парламента бр. 910/2014 под називом еИДАС. Нова правила омогућавају корисницима да чувају и користе ЦЕП кључ на серверу акредитованог провајдера услуга од поверења, такозваног ТСП (Труст Сервице Провидер).
Европски комитет за стандардизацију (ЦЕН) је у октобру 2013. усвојио техничку спецификацију ЦЕН / ТС 419241 „Сигурносни захтеви за поуздане системе који подржавају потписивање сервера“, посвећену регулацији цлоуд ЕДС-а. Документ описује неколико нивоа усклађености безбедности. На пример, поштовање „нивоа 2“ потребног за формирање квалификованог електронског потписа значи подржавање јаких опција за аутентификацију корисника. Према захтевима овог нивоа, аутентификација корисника се дешава директно на серверу потписа, за разлику, на пример, од аутентификације дозвољене за „ниво 1“ у апликацији која, у своје име, приступа серверу потписа. Такође, у складу са овом спецификацијом, кључеви корисничког потписа за формирање квалификованог ЕС морају бити ускладиштени у меморији специјализованог безбедног уређаја (хардверски сигурносни модул, ХСМ).
Аутентификација корисника у клауд сервису мора бити најмање двофакторна. По правилу, најприступачнија и најједноставнија опција је потврда уноса путем кода примљеног у СМС поруци. Тако је, на пример, имплементирана већина личних рачуна РБС руских банака. Поред уобичајених криптографских токена, као средство аутентификације могу се користити и апликација на паметном телефону и генератори једнократних лозинки (ОТП токени).
За сада могу да сумирам међурезултат, у вези са чињеницом да се код нас још увек формирају Цлоуд ЦЕП-ови и да је рано да се удаљимо од гвожђа. У принципу, ово је природан процес, који је чак и у Европи (о, супер!) трајао око 13-14 година, док се нису развили мање-више тачни стандарди.
Док не развијемо добре ГОСТ-ове који регулишу наше услуге у облаку, прерано је говорити о потпуном одбијању хардверских решења. Уместо тога, они ће сада, напротив, почети да се крећу ка „хибридима“, односно да раде и са потписима у облаку. Неки примери који одговарају европским стандардима за рад са Цлоуд-ом су већ имплементирани. Али више о томе у новом чланку.
Извор: ввв.хабр.цом