Mchana mzuri, msomaji mpendwa!
Nimekuwa nikifuatilia kwa makini masasisho na habari za mpango wa Uchumi wa Dijiti kwa muda. Kutoka kwa mtazamo wa mfanyakazi wa ndani wa mfumo wa EGAIS, bila shaka, mchakato wa miongo kadhaa. Na kutoka kwa mtazamo wa maendeleo, na kutoka kwa mtazamo wa kupima, kurudi nyuma na utekelezaji zaidi, ikifuatiwa na marekebisho ya kuepukika na maumivu ya kila aina ya mende. Walakini, jambo hilo ni muhimu, muhimu na limechelewa. Mteja mkuu na dereva wa furaha hii yote, bila shaka, ni serikali. Kwa kweli, kama ulimwenguni kote.
Michakato yote imeingia kwa muda mrefu kwenye dijiti au njiani kuiendea. Bado ni ajabu. Walakini, pia kuna pande za nyuma za medali za kutofautisha. Mimi ni mtu ambaye hufanya kazi mara kwa mara na sahihi ya dijiti. Mimi ni msaidizi wa labda "jana", lakini "mtindo wa zamani" wa kuaminika na kushinda-kushinda mbinu za kulinda saini ya elektroniki kwa kutumia ishara. Lakini digitalization inatuonyesha kwamba kila kitu kimekuwa kwenye "mawingu" kwa muda mrefu na CEP pia inahitaji kwenda huko na inahitaji haraka sana.
Nilijaribu kufikiri, hadi sasa katika ngazi ya msingi wa kisheria na kiufundi, ambapo inawezekana, jinsi mambo yalivyo na wingu ES katika nchi yetu na Ulaya. Kwa kweli, zaidi ya tasnifu moja ya kisayansi tayari imechapishwa juu ya mada hii. Kwa hiyo, wanatoa wito kwa faida katika suala hili kuunganishwa na maendeleo ya mada.
Kwa nini CEP kwenye wingu inavutia? Kwa kweli, kuna mazuri. Hizi pluses zinatosha. Ni haraka na rahisi. Inaonekana kama kauli mbiu ya utangazaji, utakubali, lakini hizi ndizo sifa za lengo la EDS inayotegemea wingu.
Kasi iko katika uwezo wa kusaini hati bila kufungwa kwa tokeni au kadi mahiri. Haitulazimu kutumia eneo-kazi pekee. Asilimia mia moja ya historia ya jukwaa-msingi kwa OS na vivinjari vyovyote. Hii ni kweli hasa kwa mashabiki wa bidhaa za Apple, ambao kuna matatizo fulani katika kusaidia ES katika mfumo wa MAC. Toka kutoka popote duniani, uhuru wa uchaguzi wa CA (hata Kirusi). Tofauti na maunzi ya CEP, kompyuta ya wingu huepuka ugumu wa utangamano wa programu na maunzi. Ambayo ni, ndiyo, rahisi, na, ndiyo, haraka.
Na mtu hawezije kujaribiwa na uzuri huo? Ibilisi yuko katika maelezo. Tuzungumzie usalama.
"Mawingu" CEP nchini Urusi
Usalama wa suluhu za wingu, na haswa sahihi ya dijiti, ni moja ya maumivu kuu ya watu wa usalama. Nini hasa siipendi, msomaji ataniuliza, kwa sababu kila mtu amekuwa akitumia huduma za wingu kwa muda mrefu, na kwa SMS ni ya kuaminika zaidi kufanya uhamisho wa benki.
Kwa kweli, tena, nyuma kwa maelezo. Cloud EDS ni siku zijazo, ambayo ni ngumu kubishana nayo. Lakini si sasa. Kwa kufanya hivyo, kuna lazima iwe na mabadiliko ya udhibiti na ya kisheria ambayo yatamlinda mmiliki wa EDS ya wingu.
Tuna nini leo? Kuna idadi ya nyaraka zinazofafanua dhana ya ES, usimamizi wa hati za elektroniki (EDF), pamoja na sheria za ulinzi wa habari na mzunguko wa data. Hasa, ni muhimu kuzingatia Kanuni ya Kiraia (Kanuni ya Kiraia ya Shirikisho la Urusi), ambayo inasimamia matumizi ya ES katika nyaraka.
Sheria ya Shirikisho Nambari 63-FZ "Kwenye Sahihi ya Kielektroniki" ya tarehe 06.04.2011 Aprili XNUMX. Sheria kuu na ya mfumo inayoelezea maana ya jumla ya matumizi ya saini za elektroniki katika shughuli za asili mbalimbali na utoaji wa huduma.
Sheria ya Shirikisho Nambari 149-FZ "Katika Habari, Teknolojia ya Habari na Ulinzi wa Habari" ya Julai 27.07.2006, XNUMX. Hati hii inabainisha dhana ya hati ya elektroniki na sehemu zote zinazohusiana.
Kuna vitendo vya ziada vya kisheria vinavyohusika katika udhibiti wa EDF
Sheria ya Shirikisho 402-FZ "Katika Uhasibu" ya tarehe 06.12.2011. Sheria ya kisheria hutoa utaratibu wa mahitaji ya hati za uhasibu na uhasibu katika fomu ya elektroniki.
Pamoja unaweza kuzingatia Kanuni ya Utaratibu wa Usuluhishi wa Shirikisho la Urusi, ambayo inaruhusu nyaraka zilizosainiwa na ES kama ushahidi mahakamani.
Na ilikuwa hapa kwamba ilitokea kwangu kuchimba zaidi katika suala la usalama, kwa sababu viwango vyetu vya zana za ulinzi wa crypto hutolewa na FSB na kuhakikisha utoaji wa vyeti vya kuzingatia. Tangu Februari 18, GOST mpya zimeanzishwa. Kwa hivyo, funguo zilizohifadhiwa kwenye wingu hazijalindwa moja kwa moja na vyeti vya FSTEC. Ulinzi wa funguo wenyewe na kuingia salama ndani ya "wingu" ni mawe ya msingi ambayo bado hatujaamua. Ifuatayo, nitazingatia mfano wa udhibiti katika Umoja wa Ulaya, ambao utaonyesha wazi mfumo wa juu zaidi wa usalama.
Uzoefu wa Ulaya katika matumizi ya wingu ES
Hebu tuanze na jambo kuu - teknolojia za wingu, sio tu ES, zina kiwango cha wazi. Msingi wa Kundi la Cloud Standard Coordination (CSC) la Taasisi ya Viwango vya Mawasiliano ya Ulaya (ETSI). Hata hivyo, bado kuna tofauti katika viwango vya ulinzi wa data katika nchi zote.
Msingi wa ulinzi wa data wa kina ni uthibitisho wa lazima kwa watoa huduma kulingana na ISO 27001:2013 kwa mifumo ya usimamizi wa usalama wa habari (ya Kirusi GOST R ISO / IEC 27001-2006 inayolingana inategemea toleo la 2006 la kiwango hiki).
ISO 27017 hutoa vipengele vya ziada vya usalama kwa wingu ambavyo haviko katika ISO 27002. Jina rasmi kamili la kiwango hiki ni "Kanuni za utendaji za udhibiti wa usalama wa habari kulingana na ISO/IEC 27002 kwa huduma za wingu" ("Kanuni za utendaji za usalama wa habari. vidhibiti kulingana na ISO/IEC 27002 kwa huduma za wingu").
Katika majira ya joto ya 2014, ISO ilichapisha ISO 27018:2015 kuhusu ulinzi wa data ya kibinafsi katika wingu, na mwishoni mwa 2015, ISO 27017:2015 kuhusu vidhibiti vya usalama wa habari kwa suluhu za wingu.
Katika vuli ya 2014, Kanuni mpya ya Bunge la Ulaya No. 910/2014, inayoitwa eIDAS, ilianza kutumika. Sheria mpya huruhusu watumiaji kuhifadhi na kutumia ufunguo wa CEP kwenye seva ya mtoa huduma anayeaminika aliyeidhinishwa, anayeitwa TSP (Mtoa Huduma wa Kuaminika).
Kamati ya Ulaya ya Kudhibiti (CEN) mnamo Oktoba 2013 ilipitisha vipimo vya kiufundi CEN / TS 419241 "Mahitaji ya Usalama kwa Mifumo ya Kuaminika Inayosaidia Kusaini Seva", iliyowekwa kwa udhibiti wa EDS ya wingu. Hati inaelezea viwango kadhaa vya kufuata usalama. Kwa mfano, kutii "kiwango cha 2" kinachohitajika ili kuunda sahihi ya kielektroniki iliyohitimu, ni kuunga mkono chaguo kali za uthibitishaji wa mtumiaji. Kulingana na mahitaji ya kiwango hiki, uthibitishaji wa mtumiaji hutokea moja kwa moja kwenye seva ya saini, kwa kulinganisha, kwa mfano, kwa uthibitishaji unaoruhusiwa kwa "kiwango cha 1" katika programu ambayo, kwa niaba yake mwenyewe, inapata seva ya sahihi. Pia, kwa mujibu wa maelezo haya, funguo za saini za mtumiaji kwa ajili ya kuunda ES iliyohitimu lazima zihifadhiwe kwenye kumbukumbu ya kifaa maalum cha usalama (moduli ya usalama wa vifaa, HSM).
Uthibitishaji wa mtumiaji katika huduma ya wingu lazima uwe angalau sababu mbili. Kama sheria, chaguo linalopatikana zaidi na rahisi kutumia ni kudhibitisha kuingia kupitia nambari iliyopokelewa katika ujumbe wa SMS. Kwa hiyo, kwa mfano, akaunti nyingi za kibinafsi za RBS za benki za Kirusi zimetekelezwa. Mbali na ishara za kawaida za siri, programu kwenye simu mahiri na jenereta za nenosiri za wakati mmoja (tokeni za OTP) pia zinaweza kutumika kama njia ya uthibitishaji.
Ninaweza kuhitimisha matokeo ya kati kwa wakati huu, kuhusu ukweli kwamba CEP za wingu bado zinaundwa katika nchi yetu na ni mapema sana kuachana na chuma. Kimsingi, hii ni mchakato wa asili, ambayo hata katika Ulaya (oh, kubwa!) Ilidumu kuhusu miaka 13-14, mpaka viwango sahihi zaidi au chini vilitengenezwa.
Hadi tutakapotengeneza GOST nzuri zinazodhibiti huduma zetu za wingu, ni mapema sana kuzungumza juu ya kukataliwa kabisa kwa suluhisho za maunzi. Badala yake, sasa, kinyume chake, wataanza kuelekea "mahuluti", yaani, kufanya kazi na saini za wingu pia. Baadhi ya mifano ambayo inalingana na viwango vya Ulaya vya kufanya kazi na Cloud tayari imetekelezwa. Lakini zaidi kuhusu hili katika makala mpya.
Chanzo: mapenzi.com