Xayrli kun, aziz o'quvchi!
Men bir muncha vaqtdan beri Raqamli Iqtisodiyot dasturining yangilanishlari va yangiliklarini faol ravishda kuzatib boraman. EGAIS tizimining ichki xodimi nuqtai nazaridan, albatta, o'nlab yillar davomida jarayon. Rivojlanish nuqtai nazaridan ham, sinovdan o'tkazish, orqaga qaytarish va keyinchalik amalga oshirish nuqtai nazaridan, har xil xatolarning muqarrar va og'riqli tuzatishlari. Shunga qaramay, bu masala zarur, muhim va kechiktirilgan. Bu zavqning asosiy mijozi va haydovchisi, albatta, davlatdir. Aslida, butun dunyoda bo'lgani kabi.
Barcha jarayonlar allaqachon raqamli shaklga o'tgan yoki unga yo'lda. Bu hali ham ajoyib. Biroq, farqlash uchun medallarning teskari tomonlari ham mavjud. Men doimiy ravishda raqamli imzo bilan ishlaydigan odamman. Men, ehtimol, "kecha", ammo tokenlar yordamida elektron imzoni himoya qilishning "eski uslubdagi" ishonchli va g'alaba qozonish usullari tarafdoriman. Ammo raqamlashtirish bizga hamma narsa uzoq vaqt davomida "bulutlarda" bo'lganini ko'rsatadi va CEP ham u erga borishi kerak va juda tez kerak.
Men hozirga qadar qonunchilik va texnik baza darajasida, qaerda mumkin bo'lganligini, bizning mamlakatimizda va Evropada bulutli ES bilan qanday ishlayotganini aniqlashga harakat qildim. Darhaqiqat, ushbu mavzu bo'yicha bir nechta ilmiy dissertatsiyalar nashr etilgan. Shuning uchun ular ushbu masala bo'yicha mutaxassislarni mavzuni rivojlantirishga ulanishga chaqiradilar.
Nega bulutdagi CEP jozibador? Aslida, ijobiy tomonlari bor. Bu ortiqcha narsalar etarli. Bu tez va qulay. Bu reklama shioriga o'xshaydi, siz rozi bo'lasiz, ammo bu bulutga asoslangan ERIning ob'ektiv xususiyatlari.
Tezlik tokenlar yoki smart-kartalarga bog'lanmasdan hujjatlarni imzolash qobiliyatidadir. Bu bizni faqat ish stolidan foydalanishga majburlamaydi. Har qanday OS va brauzerlar uchun yuz foiz o'zaro faoliyat platformalar tarixi. Bu, ayniqsa, MAC tizimida ES-ni qo'llab-quvvatlashda ma'lum qiyinchiliklarga duch keladigan Apple mahsulotlarining muxlislari uchun to'g'ri keladi. Dunyoning istalgan joyidan chiqish, CA ni tanlash erkinligi (hatto ruscha emas). CEP uskunasidan farqli o'laroq, bulutli hisoblash dasturiy ta'minot va apparat mosligining murakkabligidan qochadi. Bu ha, qulay va tez.
Va qanday qilib bunday go'zallikka vasvasaga tushmaslik mumkin? Shayton tafsilotlarda. Keling, xavfsizlik haqida gapiraylik.
Rossiyada "bulutli" CEP
Bulutli yechimlarning, xususan, raqamli imzoning xavfsizligi xavfsizlik xodimlarining asosiy muammolaridan biridir. Menga nima yoqmaydi, o'quvchi mendan so'raydi, chunki hamma uzoq vaqtdan beri bulut xizmatlaridan foydalanmoqda va SMS orqali bank o'tkazmasini amalga oshirish yanada ishonchli.
Aslida, yana tafsilotlarga qayting. Cloud EDS - bu kelajak, bu bilan bahslashish qiyin. Lekin hozir emas. Buning uchun bulutli EDS egasini himoya qiladigan me'yoriy va huquqiy o'zgarishlar bo'lishi kerak.
Bugun bizda nima bor? ES tushunchasini, elektron hujjat aylanishini (EDF), shuningdek, axborotni muhofaza qilish va ma'lumotlar aylanishiga oid qonunlarni belgilaydigan bir qator hujjatlar mavjud. Xususan, hujjatlarda ESdan foydalanishni tartibga soluvchi Fuqarolik Kodeksini (Rossiya Federatsiyasi Fuqarolik Kodeksi) hisobga olish kerak.
63 yil 06.04.2011 apreldagi "Elektron imzo to'g'risida" gi XNUMX-FZ-sonli Federal qonuni. Turli xarakterdagi operatsiyalarda va xizmatlar ko'rsatishda elektron imzolardan foydalanishning umumiy ma'nosini tavsiflovchi asosiy va asosiy qonun.
149 yil 27.07.2006 iyuldagi "Axborot, axborot texnologiyalari va axborotni himoya qilish to'g'risida" gi XNUMX-FZ-sonli Federal qonuni. Ushbu hujjat elektron hujjat tushunchasini va barcha tegishli segmentlarni belgilaydi.
EDFni tartibga solish bilan bog'liq qo'shimcha qonun hujjatlari mavjud
402 yildagi "Buxgalteriya hisobi to'g'risida" gi 06.12.2011-FZ Federal qonuni. Qonun hujjatlarida elektron shaklda buxgalteriya hisobi va buxgalteriya hujjatlariga qo'yiladigan talablarni tizimlashtirish nazarda tutilgan.
Shu jumladan sudda dalil sifatida ES tomonidan imzolangan hujjatlarga ruxsat beruvchi Rossiya Federatsiyasining Arbitraj protsessual kodeksini hisobga olishingiz mumkin.
Va bu erda men xavfsizlik masalasini chuqurroq o'rganish xayolimga keldi, chunki kripto-himoya vositalari uchun bizning standartlarimiz FSB tomonidan taqdim etilgan va muvofiqlik sertifikatlari berilishini ta'minlaydi. 18 fevraldan boshlab yangi GOSTlar joriy etildi. Shunday qilib, bulutda saqlanadigan kalitlar FSTEC sertifikatlari bilan bevosita himoyalanmagan. Kalitlarning o'zini himoya qilish va "bulut" ga xavfsiz kirish - bu biz hali qaror qilmagan burchak toshlari. Keyinchalik, men Evropa Ittifoqidagi tartibga solish misolini ko'rib chiqaman, u yanada rivojlangan xavfsizlik tizimini aniq namoyish etadi.
Bulutli ESdan foydalanish bo'yicha Evropa tajribasi
Asosiy narsadan boshlaylik - bulutli texnologiyalar, nafaqat ES, aniq standartga ega. Evropa Telekommunikatsiya Standartlari Institutining (ETSI) Cloud Standard Coordination (CSC) guruhining asosi. Biroq, ma'lumotlarni himoya qilish standartlarida mamlakatlarda hali ham farqlar mavjud.
Axborot xavfsizligini boshqarish tizimlari uchun ISO 27001:2013 bo'yicha provayderlar uchun majburiy sertifikatlash ma'lumotlarni har tomonlama himoya qilish uchun asosdir (mos keladigan Rossiya GOST R ISO / IEC 27001-2006 ushbu standartning 2006 yildagi versiyasiga asoslangan).
ISO 27017 bulut uchun ISO 27002 standartida boʻlmagan qoʻshimcha xavfsizlik elementlarini taqdim etadi. Ushbu standartning toʻliq rasmiy nomi “Bulutli xizmatlar uchun ISO/IEC 27002 asosidagi axborot xavfsizligini boshqarish amaliyoti kodeksi” (“Axborot xavfsizligi amaliyoti kodeksi”). bulutli xizmatlar uchun ISO/IEC 27002 ga asoslangan boshqaruv").
2014 yilning yozida ISO bulutdagi shaxsiy maʼlumotlarni himoya qilish boʻyicha ISO 27018:2015 standartini, 2015 yil oxirida esa bulutli yechimlar uchun axborot xavfsizligini boshqarish boʻyicha ISO 27017:2015 standartini chop etdi.
2014 yilning kuzida Yevropa Parlamentining eIDAS deb nomlangan 910/2014-sonli yangi reglamenti kuchga kirdi. Yangi qoidalar foydalanuvchilarga CEP kalitini TSP (Ishonchli xizmat ko'rsatuvchi provayder) deb ataladigan akkreditatsiyalangan ishonchli xizmat ko'rsatuvchi provayder serverida saqlash va ishlatish imkonini beradi.
Evropa standartlashtirish qo'mitasi (CEN) 2013 yil oktyabr oyida bulutli EDSni tartibga solishga bag'ishlangan CEN / TS 419241 "Server imzolashni qo'llab-quvvatlovchi ishonchli tizimlar uchun xavfsizlik talablari" texnik spetsifikatsiyasini qabul qildi. Hujjat xavfsizlik talablariga rioya qilishning bir necha darajalarini tavsiflaydi. Masalan, malakali elektron imzoni shakllantirish uchun zarur bo'lgan "2-daraja" ga rioya qilish, foydalanuvchi autentifikatsiyasining kuchli variantlarini qo'llab-quvvatlashdir. Ushbu darajadagi talablarga ko'ra, foydalanuvchi autentifikatsiyasi to'g'ridan-to'g'ri imzo serverida amalga oshiriladi, masalan, imzo serveriga o'z nomidan kiradigan dasturda "1-daraja" uchun ruxsat etilgan autentifikatsiyadan farqli o'laroq. Shuningdek, ushbu spetsifikatsiyaga muvofiq, malakali ESni shakllantirish uchun foydalanuvchi imzosi kalitlari maxsus himoyalangan qurilma (apparat xavfsizlik moduli, HSM) xotirasida saqlanishi kerak.
Bulutli xizmatda foydalanuvchi autentifikatsiyasi kamida ikki faktorli bo'lishi kerak. Qoida tariqasida, eng qulay va foydalanish uchun qulay variant - SMS-xabarda olingan kod orqali kirishni tasdiqlash. Masalan, Rossiya banklarining RBS shaxsiy hisobvaraqlarining aksariyati amalga oshirildi. Oddiy kriptografik tokenlardan tashqari autentifikatsiya vositasi sifatida smartfondagi ilova va bir martalik parol generatorlari (OTP tokenlari) ham ishlatilishi mumkin.
Hozircha oraliq natijani umumlashtira olaman, chunki bizning mamlakatimizda bulutli KES hali ham shakllanmoqda va temirdan uzoqlashishga hali erta. Aslida, bu tabiiy jarayon bo'lib, hatto Evropada ham (oh, ajoyib!) Ko'proq yoki kamroq aniq standartlar ishlab chiqilgunga qadar taxminan 13-14 yil davom etgan.
Bulutli xizmatlarimizni tartibga soluvchi yaxshi GOSTlarni ishlab chiqmagunimizcha, apparat yechimlaridan butunlay voz kechish haqida gapirishga hali erta. Aksincha, ular endi, aksincha, "gibridlar" ga o'tishni boshlaydilar, ya'ni bulutli imzolar bilan ham ishlaydi. Cloud bilan ishlash uchun Evropa standartlariga mos keladigan ba'zi misollar allaqachon amalga oshirilgan. Ammo bu haqda ko'proq yangi maqolada.
Manba: www.habr.com