สวัสดีตอนบ่ายผู้อ่านที่รัก!
ฉันได้ติดตามการอัปเดตและข่าวสารของโครงการ Digital Economy มาระยะหนึ่งแล้ว จากมุมมองของพนักงานภายในของระบบ EGAIS แน่นอนว่าเป็นกระบวนการที่มีมานานหลายทศวรรษ และจากมุมมองของการพัฒนาและจากมุมมองของการทดสอบ การย้อนกลับและการใช้งานเพิ่มเติม ตามมาด้วยการปรับเปลี่ยนข้อบกพร่องทุกชนิดที่หลีกเลี่ยงไม่ได้และเจ็บปวด ทั้งที่เป็นเรื่องจำเป็น สำคัญ และค้างชำระอยู่ แน่นอนว่าลูกค้าหลักและตัวขับเคลื่อนของความสนุกทั้งหมดนี้คือรัฐ จริง ๆ แล้วก็เหมือนทั่วโลกนั่นแหละ
กระบวนการทั้งหมดได้ไหลไปสู่ดิจิทัลมานานแล้ว มันยังคงยอดเยี่ยม อย่างไรก็ตาม ยังมีเหรียญรางวัลอีกด้านสำหรับความแตกต่าง ฉันเป็นคนที่ทำงานอย่างต่อเนื่องกับลายเซ็นดิจิทัล ฉันเป็นผู้สนับสนุนวิธีการ "เมื่อวาน" แต่ "ล้าสมัย" ที่เชื่อถือได้และ win-win ในการปกป้องลายเซ็นอิเล็กทรอนิกส์โดยใช้โทเค็น แต่การแปลงเป็นดิจิทัลแสดงให้เราเห็นว่าทุกอย่างอยู่ใน "คลาวด์" มาเป็นเวลานาน และ CEP ก็จำเป็นต้องไปที่นั่นและต้องการอย่างรวดเร็ว
ฉันพยายามที่จะคิดให้ออกจนถึงระดับของฐานกฎหมายและฐานทางเทคนิค ซึ่งเป็นไปได้ว่าสิ่งต่าง ๆ เป็นอย่างไรกับระบบคลาวด์ ES ในประเทศของเราและในยุโรป อันที่จริงแล้ว วิทยานิพนธ์ทางวิทยาศาสตร์มากกว่าหนึ่งเรื่องได้รับการตีพิมพ์ในหัวข้อนี้แล้ว ดังนั้นพวกเขาจึงเรียกร้องให้ผู้เชี่ยวชาญในเรื่องนี้เชื่อมโยงกับการพัฒนาหัวข้อนี้
เหตุใด CEP ในระบบคลาวด์จึงน่าดึงดูดใจ ในความเป็นจริงมีผลบวก ข้อดีเหล่านี้เพียงพอแล้ว รวดเร็วและสะดวกสบาย ฟังดูเหมือนสโลแกนโฆษณา คุณจะเห็นด้วย แต่สิ่งเหล่านี้เป็นลักษณะวัตถุประสงค์ของ EDS บนคลาวด์
ความเร็วอยู่ที่ความสามารถในการเซ็นเอกสารโดยไม่ต้องผูกติดกับโทเค็นหรือสมาร์ทการ์ด ไม่ได้บังคับให้เราใช้เฉพาะเดสก์ท็อปเท่านั้น ประวัติการข้ามแพลตฟอร์มหนึ่งร้อยเปอร์เซ็นต์สำหรับระบบปฏิบัติการและเบราว์เซอร์ใดๆ นี่เป็นเรื่องจริงโดยเฉพาะอย่างยิ่งสำหรับแฟน ๆ ของผลิตภัณฑ์ Apple ซึ่งมีปัญหาบางประการในการรองรับ ES ในระบบ MAC ออกจากที่ใดก็ได้ในโลก เสรีภาพในการเลือก CA (ไม่แม้แต่รัสเซีย) ซึ่งแตกต่างจากฮาร์ดแวร์ CEP การประมวลผลแบบคลาวด์จะหลีกเลี่ยงความซับซ้อนของความเข้ากันได้ของซอฟต์แวร์และฮาร์ดแวร์ ซึ่งใช่สะดวกและใช่รวดเร็ว
แล้วจะไม่ถูกล่อลวงด้วยความงามเช่นนี้ได้อย่างไร? ปีศาจอยู่ในรายละเอียด พูดคุยเกี่ยวกับความปลอดภัย
CEP "มีเมฆมาก" ในรัสเซีย
ความปลอดภัยของโซลูชันระบบคลาวด์และโดยเฉพาะอย่างยิ่งลายเซ็นดิจิทัลเป็นหนึ่งในปัญหาหลักของผู้รักษาความปลอดภัย สิ่งที่ฉันไม่ชอบผู้อ่านจะถามฉันเพราะทุกคนใช้บริการคลาวด์มาเป็นเวลานานและด้วย SMS ทำให้การโอนเงินผ่านธนาคารน่าเชื่อถือยิ่งขึ้น
ในความเป็นจริงอีกครั้งกลับไปที่รายละเอียด Cloud EDS คืออนาคตที่ยากจะโต้แย้ง แต่ไม่ใช่ตอนนี้. ในการทำเช่นนี้ จะต้องมีการเปลี่ยนแปลงข้อบังคับและกฎหมายที่จะปกป้องเจ้าของ Cloud EDS
วันนี้เรามีอะไร มีเอกสารจำนวนหนึ่งที่กำหนดแนวคิดของ ES การจัดการเอกสารอิเล็กทรอนิกส์ (EDF) ตลอดจนกฎหมายเกี่ยวกับการคุ้มครองข้อมูลและการหมุนเวียนข้อมูล โดยเฉพาะอย่างยิ่งจำเป็นต้องคำนึงถึงประมวลกฎหมายแพ่ง (ประมวลกฎหมายแพ่งของสหพันธรัฐรัสเซีย) ซึ่งควบคุมการใช้ ES ในเอกสาร
กฎหมายของรัฐบาลกลางฉบับที่ 63-FZ "บนลายเซ็นอิเล็กทรอนิกส์" ลงวันที่ 06.04.2011 เมษายน XNUMX กฎหมายหลักและกรอบที่อธิบายความหมายทั่วไปของการใช้ลายเซ็นอิเล็กทรอนิกส์ในการทำธุรกรรมในลักษณะต่างๆ และการให้บริการ
กฎหมายของรัฐบาลกลางฉบับที่ 149-FZ “เกี่ยวกับข้อมูล เทคโนโลยีสารสนเทศ และการคุ้มครองข้อมูล” ลงวันที่ 27.07.2006 กรกฎาคม XNUMX เอกสารนี้ระบุแนวคิดของเอกสารอิเล็กทรอนิกส์และส่วนงานที่เกี่ยวข้องทั้งหมด
มีกฎหมายเพิ่มเติมที่เกี่ยวข้องในกฎระเบียบของ EDF
กฎหมายของรัฐบาลกลาง 402-FZ "ในการบัญชี" ลงวันที่ 06.12.2011 กฎหมายกำหนดให้จัดระบบข้อกำหนดสำหรับการบัญชีและเอกสารทางบัญชีในรูปแบบอิเล็กทรอนิกส์
รวม คุณสามารถคำนึงถึงรหัสกระบวนการอนุญาโตตุลาการของสหพันธรัฐรัสเซียซึ่งอนุญาตให้ใช้เอกสารที่ลงนามโดย ES เพื่อเป็นหลักฐานในศาล
และที่นี่เองที่ฉันได้ขุดลึกลงไปในประเด็นด้านความปลอดภัย เนื่องจากมาตรฐานของเราสำหรับเครื่องมือป้องกันการเข้ารหัสลับนั้นจัดทำโดย FSB และรับรองการออกใบรับรองความสอดคล้อง ตั้งแต่วันที่ 18 กุมภาพันธ์ GOST ใหม่ได้รับการแนะนำ ดังนั้น คีย์ที่จัดเก็บไว้ในระบบคลาวด์จึงไม่ได้รับการปกป้องโดยตรงจากใบรับรอง FSTEC การป้องกันกุญแจเองและการเข้าสู่ "คลาวด์" อย่างปลอดภัยเป็นรากฐานที่สำคัญที่เรายังไม่ได้ตัดสินใจ ต่อไป ฉันจะพิจารณาตัวอย่างกฎระเบียบในสหภาพยุโรป ซึ่งจะแสดงให้เห็นอย่างชัดเจนถึงระบบความปลอดภัยขั้นสูง
ประสบการณ์การใช้งานระบบคลาวด์ ES ในยุโรป
เริ่มจากสิ่งสำคัญ - เทคโนโลยีคลาวด์ ไม่เพียง แต่ ES เท่านั้นที่มีมาตรฐานที่ชัดเจน พื้นฐานของกลุ่ม Cloud Standard Coordination (CSC) ของ European Telecommunications Standards Institute (ETSI) อย่างไรก็ตาม ยังคงมีความแตกต่างในมาตรฐานการปกป้องข้อมูลในแต่ละประเทศ
พื้นฐานสำหรับการปกป้องข้อมูลที่ครอบคลุมคือการรับรองภาคบังคับสำหรับผู้ให้บริการตามมาตรฐาน ISO 27001:2013 สำหรับระบบการจัดการความปลอดภัยของข้อมูล (GOST R ISO / IEC 27001-2006 ของรัสเซียที่สอดคล้องกันอิงตามเวอร์ชันปี 2006 ของมาตรฐานนี้)
ISO 27017 ให้องค์ประกอบความปลอดภัยเพิ่มเติมสำหรับระบบคลาวด์ที่ไม่อยู่ในมาตรฐาน ISO 27002 ชื่อเต็มอย่างเป็นทางการของมาตรฐานนี้คือ "หลักปฏิบัติสำหรับการควบคุมความปลอดภัยของข้อมูลตามมาตรฐาน ISO/IEC 27002 สำหรับบริการระบบคลาวด์" ("หลักปฏิบัติสำหรับความปลอดภัยของข้อมูล การควบคุมตามมาตรฐาน ISO/IEC 27002 สำหรับบริการคลาวด์")
ในช่วงฤดูร้อนปี 2014 ISO ได้เผยแพร่ ISO 27018:2015 ว่าด้วยการปกป้องข้อมูลส่วนบุคคลในระบบคลาวด์ และในปลายปี 2015 ก็ได้ออก ISO 27017:2015 ว่าด้วยการควบคุมความปลอดภัยของข้อมูลสำหรับโซลูชันระบบคลาวด์
ในฤดูใบไม้ร่วงปี 2014 ระเบียบรัฐสภายุโรปฉบับใหม่ที่ 910/2014 เรียกว่า eIDAS มีผลบังคับใช้ กฎใหม่อนุญาตให้ผู้ใช้จัดเก็บและใช้คีย์ CEP บนเซิร์ฟเวอร์ของผู้ให้บริการที่เชื่อถือได้ที่ได้รับการรับรอง ซึ่งเรียกว่า TSP (Trust Service Provider)
คณะกรรมการมาตรฐานยุโรป (CEN) ในเดือนตุลาคม 2013 ได้นำข้อกำหนดทางเทคนิค CEN / TS 419241 "ข้อกำหนดด้านความปลอดภัยสำหรับระบบที่น่าเชื่อถือที่สนับสนุนการลงนามเซิร์ฟเวอร์" ซึ่งอุทิศให้กับข้อบังคับของ cloud EDS เอกสารอธิบายการปฏิบัติตามความปลอดภัยหลายระดับ ตัวอย่างเช่น เพื่อให้สอดคล้องกับ "ระดับ 2" ที่จำเป็นสำหรับการสร้างลายเซ็นอิเล็กทรอนิกส์ที่มีคุณสมบัติเหมาะสม คือการสนับสนุนตัวเลือกที่แข็งแกร่งสำหรับการรับรองความถูกต้องของผู้ใช้ ตามข้อกำหนดของระดับนี้ การรับรองความถูกต้องของผู้ใช้จะเกิดขึ้นโดยตรงบนเซิร์ฟเวอร์ลายเซ็น ตรงกันข้าม ตัวอย่างเช่น การรับรองความถูกต้องที่อนุญาตสำหรับ "ระดับ 1" ในแอปพลิเคชันที่เข้าถึงเซิร์ฟเวอร์ลายเซ็นในนามของตนเอง นอกจากนี้ ตามข้อกำหนดนี้ คีย์ลายเซ็นผู้ใช้สำหรับการสร้าง ES ที่ผ่านการรับรองจะต้องจัดเก็บไว้ในหน่วยความจำของอุปกรณ์รักษาความปลอดภัยเฉพาะ (โมดูลความปลอดภัยฮาร์ดแวร์ HSM)
การยืนยันตัวตนผู้ใช้ในบริการคลาวด์ต้องมีสองปัจจัยเป็นอย่างน้อย ตามกฎแล้ว ตัวเลือกที่เข้าถึงได้และใช้งานง่ายที่สุดคือการยืนยันรายการผ่านรหัสที่ได้รับในข้อความ SMS ตัวอย่างเช่น มีการใช้บัญชีส่วนบุคคลส่วนใหญ่ของ RBS ของธนาคารรัสเซีย นอกจากโทเค็นการเข้ารหัสตามปกติแล้ว ยังสามารถใช้แอปพลิเคชันบนสมาร์ทโฟนและตัวสร้างรหัสผ่านแบบใช้ครั้งเดียว (โทเค็น OTP) เป็นวิธีการตรวจสอบสิทธิ์ได้อีกด้วย
ฉันสามารถสรุปผลลัพธ์ขั้นกลางได้ในขณะนี้ เกี่ยวกับข้อเท็จจริงที่ว่า Cloud CEPs ยังคงก่อตัวขึ้นในประเทศของเรา และยังเร็วเกินไปที่จะย้ายออกจากธาตุเหล็ก โดยหลักการแล้วนี่เป็นกระบวนการทางธรรมชาติซึ่งแม้แต่ในยุโรป (โอ้เยี่ยมมาก!) ใช้เวลาประมาณ 13-14 ปีจนกระทั่งมีการพัฒนามาตรฐานที่แม่นยำขึ้นหรือน้อยลง
จนกว่าเราจะพัฒนา GOST ที่ดีซึ่งควบคุมบริการคลาวด์ของเรา ยังเร็วเกินไปที่จะพูดถึงการปฏิเสธโซลูชันฮาร์ดแวร์โดยสิ้นเชิง ในทางกลับกัน ตอนนี้พวกเขาจะเริ่มก้าวไปสู่ "ไฮบริด" นั่นคือทำงานร่วมกับลายเซ็นบนคลาวด์เช่นกัน ตัวอย่างบางส่วนที่สอดคล้องกับมาตรฐานยุโรปสำหรับการทำงานกับ Cloud ได้ถูกนำมาใช้แล้ว แต่เพิ่มเติมเกี่ยวกับเรื่องนี้ในบทความใหม่
ที่มา: will.com