Доброго дня, любий читачу!
Я деякий час активно стежив за оновленнями та новинами програми «Цифрова економіка». З погляду внутрішнього співробітника системи ЄДАІС, звісно, процес на десятиліття. І з точки зору розробки, і з точки зору тестування, відкатки та подальшого впровадження з наступними неминучими та болісними коригуваннями різноманітних багів. Проте справа необхідна, важлива і назріла. Основний замовник і драйвер всіх цих веселощів, звичайно, держава. Власне, як і в усьому світі.
Усі процеси вже давно перетекли у цифру чи на шляху до неї. Це таки чудово. Тим не менш, існують і зворотні сторони медалек за відзнаки. Я людина, яка працює постійно з цифровим підписом. Я прихильник може і «вчорашніх», але «по-дідівськи» надійних та безпрограшних методів захисту електронного підпису за допомогою токенів. Але цифровізація показує нам, що все вже давно в «хмарах» та КЕП теж туди потрібно і потрібно дуже швидко.
Я постарався розібратися, поки на рівні законодавчої та технічної бази, де було можливо, як справи з хмарними ЕП у нас і в Європі. Насправді на цю тему навіть уже не одна наукова дисертація вийшла. Тому закликають профі у цьому питанні підключатися до розвитку теми.
Чому КЕП у «хмарі» приваблива? Насправді є плюси. Цих плюсів достатньо. Це швидко та зручно. Звучить як рекламний слоган, погодьтеся, однак це об'єктивні характеристики хмарної ЕЦП.
Швидкість полягає у можливості підписувати документи без прив'язки до токенів чи смарт-карт. Не зобов'язує нас використовувати лише робочий стіл. Сто відсотків кросплатформова історія для будь-яких ОС та браузерів. Особливо актуально для фанатів продукції Apple, котрим є певні складнощі підтримки ЕП у системі MAC. Вихід із будь-якої точки світу, свобода вибору УЦ (навіть не Російських). На відміну від апаратних засобів КЕП, хмарні технології дозволяють уникнути складнощів із сумісністю програмного та апаратного забезпечення. Що так, зручно, і, так, швидко.
І як тут не спокуситися на таку красу? Він криється в деталях. Поговоримо про безпеку.
«Хмарна» КЕП у Росії
Безпека хмарних рішень, а особливо ЕЦП – це обна з основних болів безпечників. Що саме мені не подобається, запитає мене читач, адже вже всі давно використовують хмарні сервіси, а з СМС ще надійніше зробити банківський переказ.
Насправді, знову ж таки, повернемось до деталей. Хмарна ЕЦП – це майбутнє, з яким важко сперечатися. Але не зараз. Для цього мають відбутися нормативно-правові зміни, які дозволять б захищати власника хмарних ЕЦП.
Що ми маємо сьогодні? Існує ряд документів, що визначають поняття ЕП, електронного документообігу (ЕДО), а також закони про захист інформації та обіг даних. У тому числі слід враховувати і Цивільний кодекс (ГК РФ), який регламентує використання ЕП у документах.
Федеральний закон №63-ФЗ «Про електронний підпис» від 06.04.2011. Основний і рамковий закон описує загальний сенс використання ЕП під час угод різного характеру та надання послуг.
Федеральний закон №149-ФЗ «Про інформацію, інформаційні технології та захист інформації від 27.07.2006. У цьому документі конкретизується поняття електронного документа та всіх пов'язаних із ним сегментів.
Є додаткові законодавчі акти, які причетні до регулювання ЕДО
Федеральний закон 402-ФЗ "Про бухгалтерський облік" від 06.12.2011. Законодавчий акт передбачає систематизацію вимог до бухгалтерії та бухгалтерських документів в електронному вигляді.
В т.ч. можна врахувати Арбітражний процесуальний кодекс РФ, які допускають документи, підписані ЕП як докази в суді.
І саме тут і спало мені на думку поколупатися у питанні забезпечення безпеки, адже у нас стандарти для засобів крипто-захисту забезпечує ФСБ та забезпечує видачу сертифікатів відповідності. З 18 лютого ввели-таки нові ГОСТи. Таким чином, ключі, що зберігаються у хмарі, безпосередньо не захищені сертифікатами ФСТЕК. Захист самих ключів та безпечного входу в «хмару» і є наріжним камінням, яке поки що ми не вирішили. Далі розгляну приклад регулювання в Євросоюзі, що продемонструє більш просунуту систему безпеки.
Європейський досвід використання хмарних ЕП
Почнемо з головного – хмарні технології, які не тільки ЕП мають чіткий стандарт. Основою є Група координації хмарних стандартів (Cloud Standard Coordination, CSC) Європейського інституту телекомунікаційних стандартів (European Telecommunications Standards Institute, ETSI). Однак на території різних держав все ще існують відмінності в стандартах захисту даних.
Базою для комплексного захисту даних є обов'язкова для провайдерів сертифікація ISO 27001:2013 на системи менеджменту інформаційної безпеки (відповідний російський ГОСТ Р ИСО/МЭК 27001-2006 базується на версії цього стандарту від 2006 року).
В ISO 27017 передбачаються додаткові елементи безпеки для хмари, відсутні в ISO 27002. Повна офіційна назва цього стандарту: «Зведення правил для засобів управління інформаційною безпекою на базі ISO/IEC 27002 для хмарних сервісів» (Code of practice for information security controls based on ISO/IEC 27002 for cloud services»).
Влітку 2014 року ISO опублікувала стандарт ISO 27018:2015 щодо захисту персональних даних у хмарі, а наприкінці 2015 року – ISO 27017:2015 щодо засобів контролю інформаційної безпеки для хмарних рішень.
Восени 2014 року набула чинності нова Постанова Європарламенту №910/2014, яка отримала назву eIDAS. Нові правила дозволяють користувачам зберігати та використовувати ключ КЕП на сервері акредитованого постачальника довірених послуг, так званого TSP (Trust Service Provider).
Європейський комітет зі стандартизації (CEN) у жовтні 2013 року прийняв технічну специфікацію CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing», присвячену регулюванню хмарної ЕЦП. У документі описано кілька рівнів безпеки. Наприклад, для відповідності «рівня 2», що висувається для формування кваліфікованого електронного підпису, є підтримка суворих варіантів автентифікації користувачів. За вимогами даного рівня автентифікація користувача відбувається безпосередньо на сервері підпису, на відміну, наприклад, від допустимої для «рівня 1» автентифікації у додатку, яке від імені звертається до сервера підпису. Так само відповідно до цієї специфікації, ключі користувача підписи для формування кваліфікованої ЕП повинні обов'язково зберігатися в пам'яті спеціалізованого захищеного пристрою (англ. hardware security module, HSM).
Автентифікація користувача у хмарному сервісі мусить бути щонайменше двухфакторной. Як правило, найбільш доступний і простий у використанні варіант — це підтвердження входу через код, отриманий в SMS-повідомленні. Приміром, реалізовано більшість приватних кабінетів ДБО російських банків. Крім звичних криптографічних токенів як засіб аутентифікації може застосовуватися також додаток на смартфоні, і генератори одноразових паролів ( OTP-токени )
Можу підвести поки що проміжний підсумок, щодо того, що хмарні КЕП поки що у нас ще тільки формуються і відходити від заліза рано. В принципі, це природний процес, який і в Європі (о, велика!) тривав близько 13-14 років, поки були вироблені більш-менш точні стандарти.
Поки що ми не розробимо хороших ГОСТів, що регулюють наші хмарні сервіси, рано говорити про повну відмову від апаратних рішень. Швидше, вони зараз, навпаки, рухатимуться у бік «гібридів», тобто працюватимуть з хмарними підписами зокрема. Деякі приклади, що відповідають євростандартам, роботи з Cloud вже реалізовані. Але про це трохи докладніше і у новому матеріалі.
Джерело: habr.com