God eftermiddag kära läsare!
Jag har aktivt följt uppdateringarna och nyheterna om programmet Digital Economy under en tid. Ur synvinkeln av en intern anställd i EGAIS-systemet kommer processen naturligtvis att pågå i årtionden. Både ur utvecklingssynpunkt, och ur testsynpunkt, rollback och vidare implementering, följt av oundvikliga och smärtsamma justeringar av alla typer av buggar. Ändå är frågan nödvändig, viktig och brådskande. Huvudkunden och drivkraften för allt det här roliga är förstås staten. Egentligen, precis som över hela världen.
Alla processer har sedan länge flyttat över till digitala eller är på väg dit. Det här är fortfarande underbart. Det finns dock nackdelar med medaljer för excellens. Jag är en person som ständigt jobbar med digitala signaturer. Jag är en anhängare av kanske "gårdagens", men "gammaldags" pålitliga och vinn-vinn-metoder för att skydda elektroniska signaturer med hjälp av tokens. Men digitaliseringen visar oss att allt har funnits i "molnen" länge och CEP behövs också där och behövs väldigt snabbt.
Jag försökte ta reda på, på nivån för den rättsliga och tekniska ramen, där det var möjligt, hur det ser ut med elektroniska molnsignaturer här och i Europa. Faktum är att mer än en vetenskaplig avhandling redan har publicerats om detta ämne. Därför uppmuntrar vi yrkesverksamma i denna fråga att delta i utvecklingen av ämnet.
Varför är CEP i molnet attraktivt? Det finns faktiskt fördelar. Det finns tillräckligt med dessa fördelar. Det är snabbt och bekvämt. Det låter som en reklamslogan, du kommer att hålla med, men dessa är de objektiva egenskaperna hos en digital molnsignatur.
Snabbheten ligger i förmågan att signera dokument utan att vara bunden till tokens eller smarta kort. Förpliktar oss inte att endast använda skrivbordet. Hundra procent plattformsoberoende historia för alla operativsystem och webbläsare. Detta gäller särskilt för fans av Apple-produkter, för vilka det finns vissa svårigheter med att stödja elektroniska signaturer i MAC-systemet. Utgång från var som helst i världen, valfrihet för CA:er (även icke-ryska). Till skillnad från CEP-hårdvara tillåter molnteknik dig att undvika problem med kompatibiliteten mellan mjukvara och hårdvara. Vilket, ja, är bekvämt och, ja, snabbt.
Och hur kan man inte bli förförd av sådan skönhet? Djävulen är i detaljerna. Låt oss prata om säkerhet.
"Cloud" CEP i Ryssland
Säkerheten för molnlösningar, och särskilt digitala signaturer, är en av de största smärtpunkterna för säkerhetspersonal. Vad exakt gillar jag inte, kommer läsaren att fråga mig, eftersom alla har använt molntjänster länge, och med SMS är det ännu mer tillförlitligt att göra en banköverföring.
Faktiskt, igen, låt oss gå tillbaka till detaljerna. Digital signatur i molnet är en framtid som är svår att argumentera mot. Men inte nu. För att göra detta måste regeländringar ske som skyddar ägaren av digitala molnsignaturer.
Vad har vi idag? Det finns ett antal dokument som definierar begreppet digital signatur, elektronisk dokumenthantering (EDF), samt lagar om informationsskydd och datacirkulation. I synnerhet måste du ta hänsyn till civillagen (Ryska federationens civillag), som reglerar användningen av elektroniska signaturer i dokument.
Federal lag nr 63-FZ "Om elektroniska signaturer" daterad 06.04.2011/XNUMX/XNUMX. Grund- och ramlagen som beskriver den allmänna innebörden av att använda digitala signaturer vid transaktioner av olika slag och tillhandahållande av tjänster.
Federal lag nr 149-FZ "Om information, informationsteknik och informationsskydd av den 27.07.2006 juli XNUMX. Detta dokument specificerar konceptet för ett elektroniskt dokument och alla relaterade segment.
Det finns ytterligare rättsakter som är involverade i regleringen av EDI
Federal Law 402-FZ "On Accounting" daterad 06.12.2011 december XNUMX. Lagstiftningen föreskriver systematisering av krav på redovisnings- och redovisningshandlingar i elektronisk form.
Inkl. Du kan ta hänsyn till Ryska federationens skiljeförfarandelag, som tillåter dokument undertecknade med en elektronisk signatur som bevis i domstol.
Och det var här som det föll mig in att fördjupa mig i frågan om säkerhet, eftersom våra standarder för kryptoskyddsmedel tillhandahålls av FSB och säkerställer utfärdandet av certifikat om överensstämmelse. Den 18 februari infördes nya GOST-standarder. Således är nycklar som lagras i molnet inte direkt skyddade av FSTEC-certifikat. Att skydda själva nycklarna och säkra inträde i "molnet" är hörnstenarna som vi ännu inte har löst. Därefter kommer jag att titta på exemplet med reglering i Europeiska unionen, som tydligt kommer att visa ett mer avancerat säkerhetssystem.
Europeisk erfarenhet av att använda digitala molnsignaturer
Låt oss börja med det viktigaste - molnteknik, inte bara digitala signaturer har en tydlig standard. Grunden är Cloud Standard Coordination-gruppen (CSC) från European Telecommunications Standards Institute (ETSI). Det finns dock fortfarande skillnader i dataskyddsstandarder mellan olika länder.
Grunden för ett omfattande dataskydd är obligatorisk certifiering för leverantörer enligt ISO 27001:2013 för ledningssystem för informationssäkerhet (motsvarande ryska GOST R ISO/IEC 27001-2006 är baserad på 2006 års version av denna standard).
ISO 27017 tillhandahåller ytterligare säkerhetselement för molnet som saknas i ISO 27002. Det fullständiga officiella namnet på denna standard är "Code of Practice för informationssäkerhetskontroller baserade på ISO/IEC 27002 för molntjänster." ISO/IEC 27002 för molntjänster. ").
Sommaren 2014 publicerade ISO standarden ISO 27018:2015 om skydd av personuppgifter i molnet och i slutet av 2015 ISO 27017:2015 om informationssäkerhetskontroller för molnlösningar.
Hösten 2014 trädde en ny resolution från Europaparlamentet nr 910/2014, kallad eIDAS, i kraft. De nya reglerna tillåter användare att lagra och använda EPC-nyckeln på servern hos en ackrediterad betrodd tjänsteleverantör, den så kallade TSP (Trust Service Provider).
I oktober 2013 antog European Committee for Standardization (CEN) den tekniska specifikationen CEN/TS 419241 "Säkerhetskrav för pålitliga system som stödjer serversignering", tillägnad reglering av digitala molnsignaturer. Dokumentet beskriver flera nivåer av säkerhetsefterlevnad. Till exempel, "nivå 2"-efterlevnad som krävs för att generera en kvalificerad elektronisk signatur kräver stöd för starka alternativ för användarautentisering. Enligt kraven på denna nivå sker användarautentisering direkt på signaturservern, i motsats till till exempel den autentisering som tillåts för "nivå 1" i en applikation som åtkomst till signaturservern för egen räkning. Dessutom måste, i enlighet med denna specifikation, användarsignaturnycklar för generering av en kvalificerad elektronisk signatur lagras i minnet hos en specialiserad säker enhet (hårdvarusäkerhetsmodul, HSM).
Användarautentisering i en molntjänst måste vara minst tvåfaktors. Som regel är det mest tillgängliga och lättanvända alternativet att bekräfta inloggningen via en kod som tas emot i ett SMS. Till exempel har de flesta av ryska bankers personliga RBS-konton implementerats. Utöver de vanliga kryptografiska tokens kan även en applikation på en smartphone och engångslösenordsgeneratorer (OTP-tokens) användas som autentiseringsmedel.
För nu kan jag dra en interimistisk slutsats angående det faktum att moln CEP:er fortfarande håller på att bildas och det är för tidigt att gå bort från hårdvara. I princip är detta en naturlig process, som även i Europa (åh, bra!) varade i cirka 13-14 år tills mer eller mindre exakta standarder utvecklades.
Tills vi utvecklar bra GOST-standarder som reglerar våra molntjänster, är det för tidigt att tala om ett fullständigt övergivande av hårdvarulösningar. Snarare kommer de nu tvärtom att börja röra sig mot "hybrider", det vill säga att jobba med molnsignaturer också. Några exempel som uppfyller europeiska standarder för att arbeta med moln har redan implementerats. Men vi kommer att prata om detta lite mer i detalj i ett nytt material.
Källa: will.com