Magandang hapon, mahal na mambabasa!
Aktibo kong sinusubaybayan ang mga update at balita ng programang Digital Economy sa loob ng ilang panahon. Mula sa pananaw ng isang panloob na empleyado ng sistema ng EGAIS, siyempre, ang proseso ay tatagal ng mga dekada. Parehong mula sa punto ng view ng pag-unlad, at mula sa punto ng view ng pagsubok, rollback at karagdagang pagpapatupad, na sinusundan ng hindi maiiwasan at masakit na mga pagsasaayos ng lahat ng uri ng mga bug. Gayunpaman, ang bagay ay kinakailangan, mahalaga at apurahan. Ang pangunahing customer at driver ng lahat ng kasiyahang ito ay, siyempre, ang estado. Actually, parang sa buong mundo.
Ang lahat ng mga proseso ay matagal nang lumipat sa digital o papunta na dito. Ito ay kahanga-hanga pa rin. Gayunpaman, may mga downsides sa mga medalya para sa kahusayan. Ako ay isang tao na patuloy na gumagawa ng mga digital na lagda. Ako ay isang tagasuporta ng marahil "kahapon", ngunit "makaluma" na maaasahan at win-win na mga paraan ng pagprotekta sa mga electronic na lagda gamit ang mga token. Ngunit ipinapakita sa atin ng digitalization na ang lahat ay nasa "ulap" sa mahabang panahon at kailangan din ang CEP doon at kailangan nang napakabilis.
Sinubukan kong alamin, sa antas ng pambatasan at teknikal na balangkas, kung saan posible, kung paano nakatayo ang mga bagay sa cloud electronic na mga lagda dito at sa Europa. Sa katunayan, higit sa isang siyentipikong disertasyon ang nai-publish na sa paksang ito. Samakatuwid, hinihikayat namin ang mga propesyonal sa bagay na ito na sumali sa pagbuo ng paksa.
Bakit kaakit-akit ang CEP sa cloud? Sa katunayan, may mga pakinabang. Mayroong sapat na mga pakinabang na ito. Ito ay mabilis at maginhawa. Mukhang isang slogan sa advertising, sasang-ayon ka, ngunit ito ang mga layunin na katangian ng isang cloud digital signature.
Ang bilis ay nakasalalay sa kakayahang pumirma ng mga dokumento nang hindi nakatali sa mga token o smart card. Hindi nag-oobliga sa amin na gamitin lamang ang desktop. Isang daang porsyentong cross-platform na kwento para sa anumang OS at browser. Ito ay totoo lalo na para sa mga tagahanga ng mga produkto ng Apple, kung saan may ilang mga paghihirap sa pagsuporta sa mga electronic na lagda sa MAC system. Lumabas sa kahit saan sa mundo, kalayaan sa pagpili ng mga CA (kahit na hindi Ruso). Hindi tulad ng CEP hardware, pinapayagan ka ng mga teknolohiya ng cloud na maiwasan ang mga paghihirap sa compatibility ng software at hardware. Alin, oo, ay maginhawa, at, oo, mabilis.
At paanong hindi maakit ang isang tao sa gayong kagandahan? Ang diyablo ay nasa mga detalye. Pag-usapan natin ang tungkol sa kaligtasan.
"Cloud" CEP sa Russia
Ang seguridad ng mga solusyon sa ulap, at lalo na ang mga digital na lagda, ay isa sa mga pangunahing punto ng sakit para sa mga propesyonal sa seguridad. Ano nga ba ang hindi ko gusto, tatanungin ako ng mambabasa, dahil ang lahat ay gumagamit ng mga serbisyo ng ulap sa loob ng mahabang panahon, at sa SMS ay mas maaasahan pa ang paggawa ng bank transfer.
Sa totoo lang, muli, bumalik tayo sa mga detalye. Ang cloud digital signature ay isang hinaharap na mahirap pagtalunan. Pero hindi ngayon. Para magawa ito, dapat mangyari ang mga pagbabago sa regulasyon na magpoprotekta sa may-ari ng cloud digital signatures.
Ano ang mayroon tayo ngayon? Mayroong ilang mga dokumento na tumutukoy sa konsepto ng digital signature, electronic document management (EDF), pati na rin ang mga batas sa proteksyon ng impormasyon at sirkulasyon ng data. Sa partikular, kailangan mong isaalang-alang ang Civil Code (Civil Code of the Russian Federation), na kinokontrol ang paggamit ng mga electronic na lagda sa mga dokumento.
Pederal na Batas Blg. 63-FZ "Sa Electronic Signatures" na may petsang 06.04.2011/XNUMX/XNUMX. Ang pangunahing at balangkas ng batas na naglalarawan sa pangkalahatang kahulugan ng paggamit ng mga digital na lagda kapag gumagawa ng mga transaksyon ng iba't ibang uri at nagbibigay ng mga serbisyo.
Pederal na Batas Blg. 149-FZ "Sa impormasyon, mga teknolohiya ng impormasyon at proteksyon ng impormasyon na may petsang Hulyo 27.07.2006, XNUMX. Tinutukoy ng dokumentong ito ang konsepto ng isang elektronikong dokumento at lahat ng nauugnay na mga segment.
Mayroong karagdagang mga gawaing pambatasan na kasangkot sa regulasyon ng EDI
Pederal na Batas 402-FZ "Sa Accounting" na may petsang Disyembre 06.12.2011, XNUMX. Ang batas na pambatasan ay nagbibigay para sa systematization ng mga kinakailangan para sa mga dokumento ng accounting at accounting sa electronic form.
Incl. Maaari mong isaalang-alang ang Arbitration Procedural Code ng Russian Federation, na nagpapahintulot sa mga dokumento na nilagdaan ng isang electronic signature bilang ebidensya sa korte.
At dito naisip ko na mas malalim ang pag-aaral sa isyu ng seguridad, dahil ang aming mga pamantayan para sa crypto-protection na paraan ay ibinibigay ng FSB at tinitiyak ang pagpapalabas ng mga certificate of conformity. Noong Pebrero 18, ipinakilala ang mga bagong pamantayan ng GOST. Kaya, ang mga susi na nakaimbak sa cloud ay hindi direktang protektado ng mga sertipiko ng FSTEC. Ang pagpoprotekta sa mga susi mismo at pag-secure ng pagpasok sa "cloud" ay ang mga pundasyon na hindi pa namin nalutas. Susunod, titingnan ko ang halimbawa ng regulasyon sa European Union, na malinaw na magpapakita ng mas advanced na sistema ng seguridad.
Karanasan sa Europe sa paggamit ng cloud digital signatures
Magsimula tayo sa pangunahing bagay - mga teknolohiya ng ulap, hindi lamang mga digital na lagda ang may malinaw na pamantayan. Ang batayan ay ang Cloud Standard Coordination (CSC) na grupo ng European Telecommunications Standards Institute (ETSI). Gayunpaman, may mga pagkakaiba pa rin sa mga pamantayan sa proteksyon ng data sa iba't ibang bansa.
Ang batayan para sa komprehensibong proteksyon ng data ay mandatoryong sertipikasyon para sa mga provider ayon sa ISO 27001:2013 para sa mga sistema ng pamamahala ng seguridad ng impormasyon (ang kaukulang Russian GOST R ISO/IEC 27001-2006 ay batay sa 2006 na bersyon ng pamantayang ito).
Nagbibigay ang ISO 27017 ng mga karagdagang elemento ng seguridad para sa cloud na nawawala sa ISO 27002. Ang buong opisyal na pangalan ng pamantayang ito ay "Code of practice para sa mga kontrol sa seguridad ng impormasyon batay sa ISO/IEC 27002 para sa mga serbisyo ng cloud." ISO/IEC 27002 para sa mga serbisyo ng cloud ").
Noong tag-araw ng 2014, inilathala ng ISO ang pamantayang ISO 27018:2015 sa pagprotekta sa personal na data sa cloud, at noong huling bahagi ng 2015, ISO 27017:2015 sa mga kontrol sa seguridad ng impormasyon para sa mga solusyon sa cloud.
Noong taglagas ng 2014, isang bagong Resolusyon ng European Parliament No. 910/2014, na tinatawag na eIDAS, ay nagpatupad. Ang mga bagong panuntunan ay nagpapahintulot sa mga user na mag-imbak at gamitin ang EPC key sa server ng isang kinikilalang pinagkakatiwalaang service provider, ang tinatawag na TSP (Trust Service Provider).
Noong Oktubre 2013, pinagtibay ng European Committee for Standardization (CEN) ang teknikal na detalye ng CEN/TS 419241 "Mga Kinakailangan sa Seguridad para sa Mga Mapagkakatiwalaang System na Sumusuporta sa Pag-sign ng Server", na nakatuon sa regulasyon ng mga digital na lagda sa cloud. Inilalarawan ng dokumento ang ilang antas ng pagsunod sa seguridad. Halimbawa, ang pagsunod sa "antas 2" na kinakailangan upang makabuo ng isang kwalipikadong electronic signature ay nangangailangan ng suporta para sa malakas na mga opsyon sa pag-authenticate ng user. Ayon sa mga kinakailangan ng antas na ito, ang pagpapatotoo ng user ay nangyayari nang direkta sa signature server, sa kaibahan, halimbawa, sa pagpapatotoo na pinapayagan para sa "antas 1" sa isang application na nag-a-access sa signature server sa sarili nitong ngalan. Gayundin, alinsunod sa detalyeng ito, ang mga signature key ng user para sa pagbuo ng isang kwalipikadong electronic signature ay dapat na nakaimbak sa memorya ng isang espesyal na secure na device (hardware security module, HSM).
Ang pagpapatotoo ng user sa isang cloud service ay dapat na hindi bababa sa dalawang-factor. Bilang isang tuntunin, ang pinaka-naa-access at madaling gamitin na opsyon ay upang kumpirmahin ang pag-login sa pamamagitan ng isang code na natanggap sa isang mensaheng SMS. Halimbawa, karamihan sa mga personal na RBS account ng mga bangko sa Russia ay ipinatupad. Bilang karagdagan sa karaniwang mga cryptographic na token, ang isang application sa isang smartphone at isang beses na mga generator ng password (mga OTP token) ay maaari ding gamitin bilang isang paraan ng pagpapatunay.
Sa ngayon, makakagawa ako ng pansamantalang konklusyon hinggil sa katotohanan na ang mga cloud CEP ay kakabubuo pa lang at masyadong maaga para lumayo sa hardware. Sa prinsipyo, ito ay isang natural na proseso, na kahit na sa Europa (oh, mahusay!) ay tumagal ng mga 13-14 taon hanggang sa mas marami o hindi gaanong tumpak na mga pamantayan ay binuo.
Hanggang sa makabuo kami ng magagandang pamantayan ng GOST na kumokontrol sa aming mga serbisyo sa cloud, masyadong maaga para pag-usapan ang tungkol sa kumpletong pag-abandona sa mga solusyon sa hardware. Sa halip, sila ngayon, sa kabaligtaran, ay magsisimulang lumipat patungo sa "hybrids", iyon ay, nagtatrabaho din sa mga lagda ng ulap. Naipatupad na ang ilang halimbawa na nakakatugon sa mga pamantayang European para sa pagtatrabaho sa Cloud. Ngunit pag-uusapan natin ito nang mas detalyado sa isang bagong materyal.
Pinagmulan: www.habr.com