İyi günler sevgili okuyucu!
Bir süredir Dijital Ekonomi programının güncellemelerini ve haberlerini aktif olarak takip ediyorum. EGAIS sisteminin dahili çalışanı açısından bakıldığında süreç elbette onlarca yıl sürecek. Hem geliştirme açısından hem de test etme, geri alma ve daha fazla uygulama açısından, bunu her türlü hatanın kaçınılmaz ve acı verici ayarlamaları takip ediyor. Ancak konu gerekli, önemli ve acildir. Tüm bu eğlencenin asıl müşterisi ve itici gücü elbette devlettir. Aslında tüm dünyada olduğu gibi.
Tüm süreçler çoktan dijitale geçti veya dijitalleşme yolunda. Bu yine de harika. Ancak mükemmellik madalyalarının dezavantajları da var. Sürekli dijital imzalarla çalışan bir insanım. Ben jeton kullanarak elektronik imzaları korumaya yönelik belki "dünün" ama "eski moda" güvenilir ve kazan-kazan yöntemlerinin destekçisiyim. Ancak dijitalleşme bize uzun zamandır her şeyin “bulutların” içinde olduğunu ve YSÖP'e orada da ihtiyaç duyulduğunu ve çok hızlı bir şekilde ihtiyaç duyulduğunu gösteriyor.
Mümkün olduğu durumlarda yasal ve teknik çerçeve düzeyinde, burada ve Avrupa'da bulut elektronik imzalarla ilgili işlerin nasıl yürüdüğünü anlamaya çalıştım. Aslında bu konuyla ilgili birden fazla bilimsel tez yayınlanmıştır. Bu nedenle, bu konudaki profesyonelleri konunun geliştirilmesine katılmaya teşvik ediyoruz.
Buluttaki CEP neden çekici? Aslında avantajları da var. Bu avantajlardan yeterince var. Hızlı ve kullanışlıdır. Kulağa bir reklam sloganı gibi geldiğini kabul edeceksiniz, ancak bunlar bir bulut dijital imzanın nesnel özellikleridir.
Hız, jetonlara veya akıllı kartlara bağlı kalmadan belgeleri imzalayabilme yeteneğinde yatmaktadır. Bizi sadece masaüstünü kullanmak zorunda bırakmıyor. Tüm işletim sistemleri ve tarayıcılar için yüzde yüz platformlar arası hikaye. Bu, özellikle MAC sisteminde elektronik imzaları desteklemede belirli zorluklar yaşayan Apple ürünlerinin hayranları için geçerlidir. Dünyanın her yerinden çıkış, CA'ları (hatta Rus olmayanları) seçme özgürlüğü. Bulut teknolojileri, CEP donanımından farklı olarak yazılım ve donanım uyumunda yaşanan sıkıntıların önüne geçmenizi sağlar. Evet, kullanışlı ve evet hızlı.
Peki böyle bir güzellik karşısında nasıl baştan çıkarılmaz? Şeytan Ayrıntıda. Güvenlik hakkında konuşalım.
Rusya'da "Bulut" CEP
Bulut çözümlerinin güvenliği ve özellikle dijital imzalar, güvenlik profesyonellerinin en önemli sorunlarından biridir. Okuyucu bana tam olarak neyi sevmediğimi soracak çünkü herkes uzun süredir bulut hizmetlerini kullanıyor ve SMS ile banka transferi yapmak daha da güvenilir.
Aslında yine ayrıntılara dönelim. Bulut dijital imzası tartışılması zor bir gelecek. Fakat şimdi değil. Bunun için bulut dijital imzaların sahibini koruyacak düzenleme değişikliklerinin yapılması gerekiyor.
Bugün neyimiz var? Dijital imza kavramını, elektronik belge yönetimini (EDF) ve ayrıca bilgi koruma ve veri dolaşımına ilişkin yasaları tanımlayan çok sayıda belge bulunmaktadır. Özellikle belgelerde elektronik imzaların kullanımını düzenleyen Medeni Kanunu (Rusya Federasyonu Medeni Kanunu) dikkate almanız gerekir.
63/06.04.2011/XNUMX tarihli ve XNUMX-FZ sayılı “Elektronik İmzalara İlişkin” Federal Kanun. Çeşitli türde işlemler yaparken ve hizmet sunarken dijital imza kullanmanın genel anlamını açıklayan temel ve çerçeve kanun.
149-FZ Sayılı Federal Kanun “27.07.2006 Temmuz XNUMX tarihli Bilgi, bilgi teknolojileri ve bilgilerin korunması hakkında. Bu belge, elektronik belge kavramını ve ilgili tüm bölümleri belirtir.
EDI'nin düzenlenmesinde yer alan ek yasal düzenlemeler vardır.
402 Aralık 06.12.2011 tarihli XNUMX-FZ sayılı “Muhasebe Hakkında” Federal Kanunu. Yasal düzenleme, muhasebe ve muhasebe belgeleri için gerekliliklerin elektronik biçimde sistemleştirilmesini sağlar.
Dahil. Elektronik imzayla imzalanan belgelerin mahkemede delil olarak kullanılmasına izin veren Rusya Federasyonu Tahkim Usul Kanununu dikkate alabilirsiniz.
Güvenlik konusunu daha derinlemesine incelemek aklıma geldi, çünkü kripto koruma araçlarına yönelik standartlarımız FSB tarafından sağlanıyor ve uygunluk sertifikalarının verilmesini sağlıyor. 18 Şubat'ta yeni GOST standartları tanıtıldı. Dolayısıyla bulutta saklanan anahtarlar doğrudan FSTEC sertifikaları tarafından korunmaz. Anahtarların korunması ve "bulut"a güvenli giriş henüz çözemediğimiz temel taşlarıdır. Daha sonra, daha gelişmiş bir güvenlik sistemini açıkça ortaya koyacak olan Avrupa Birliği'ndeki düzenleme örneğine bakacağım.
Bulut dijital imzalarını kullanma konusunda Avrupa deneyimi
Ana şeyle başlayalım - bulut teknolojilerinin, yalnızca dijital imzaların net bir standardı yoktur. Temeli, Avrupa Telekomünikasyon Standartları Enstitüsü'nün (ETSI) Bulut Standartları Koordinasyonu (CSC) grubudur. Ancak farklı ülkeler arasında veri koruma standartlarında hala farklılıklar bulunmaktadır.
Kapsamlı veri korumasının temeli, bilgi güvenliği yönetim sistemleri için ISO 27001:2013 uyarınca sağlayıcılar için zorunlu sertifikasyondur (ilgili Rus GOST R ISO/IEC 27001-2006, bu standardın 2006 versiyonunu temel almaktadır).
ISO 27017, bulut için ISO 27002'de eksik olan ek güvenlik öğeleri sağlar. Bu standardın tam resmi adı “Bulut hizmetleri için ISO/IEC 27002'yi temel alan bilgi güvenliği kontrolleri için uygulama kodu”dur. Bulut hizmetleri için ISO/IEC 27002 ").
ISO, 2014 yazında buluttaki kişisel verilerin korunmasına ilişkin ISO 27018:2015 standardını, 2015 sonlarında ise bulut çözümlerine yönelik bilgi güvenliği kontrollerine ilişkin ISO 27017:2015 standardını yayınladı.
2014 sonbaharında, Avrupa Parlamentosu'nun eIDAS adı verilen 910/2014 sayılı yeni Kararı yürürlüğe girdi. Yeni kurallar, kullanıcıların EPC anahtarını TSP (Güven Hizmet Sağlayıcısı) olarak adlandırılan akredite güvenilir bir hizmet sağlayıcının sunucusunda saklamasına ve kullanmasına olanak tanır.
Ekim 2013'te Avrupa Standardizasyon Komitesi (CEN), bulut dijital imzalarının düzenlenmesine yönelik CEN/TS 419241 "Sunucu İmzalamayı Destekleyen Güvenilir Sistemler için Güvenlik Gereksinimleri" teknik spesifikasyonunu kabul etti. Belgede çeşitli güvenlik uyumluluğu düzeyleri açıklanmaktadır. Örneğin, nitelikli bir elektronik imza oluşturmak için gereken "seviye 2" uyumluluğu, güçlü kullanıcı kimlik doğrulama seçeneklerinin desteklenmesini gerektirir. Bu seviyenin gerekliliklerine göre, kullanıcı kimlik doğrulaması, örneğin imza sunucusuna kendi adına erişen bir uygulamada "seviye 1" için izin verilen kimlik doğrulamanın aksine, doğrudan imza sunucusunda gerçekleşir. Ayrıca bu spesifikasyona uygun olarak, nitelikli elektronik imzanın oluşturulabilmesi için kullanıcı imza anahtarlarının özel bir güvenli cihazın (donanım güvenlik modülü, HSM) hafızasında saklanması gerekmektedir.
Bir bulut hizmetinde kullanıcı kimlik doğrulaması en az iki faktörlü olmalıdır. Kural olarak, en erişilebilir ve kullanımı kolay seçenek, SMS mesajıyla alınan kod aracılığıyla girişi onaylamaktır. Örneğin, Rus bankalarının kişisel RBS hesaplarının çoğu uygulamaya konmuştur. Her zamanki kriptografik belirteçlere ek olarak, akıllı telefondaki bir uygulama ve tek kullanımlık şifre oluşturucular (OTP belirteçleri) de kimlik doğrulama aracı olarak kullanılabilir.
Şimdilik bulut CEP'lerin henüz yeni oluştuğu ve donanımdan uzaklaşmak için henüz erken olduğu konusunda geçici bir sonuç çıkarabilirim. Prensip olarak bu, Avrupa'da bile (oh, harika!) Aşağı yukarı doğru standartlar geliştirilinceye kadar yaklaşık 13-14 yıl süren doğal bir süreçtir.
Bulut hizmetlerimizi düzenleyen iyi GOST standartları geliştirinceye kadar donanım çözümlerinden tamamen vazgeçilmesinden bahsetmek için henüz çok erken. Daha doğrusu artık tam tersine “melezlere”, yani bulut imzalarla çalışmaya doğru ilerlemeye başlayacaklar. Bulutla çalışmaya ilişkin Avrupa standartlarını karşılayan bazı örnekler halihazırda uygulamaya konmuştur. Ancak yeni bir materyalde bunun hakkında biraz daha ayrıntılı olarak konuşacağız.
Kaynak: habr.com