Chào buổi chiều, độc giả thân mến!
Tôi đã tích cực theo dõi các thông tin cập nhật và tin tức của chương trình Kinh tế số được một thời gian. Tất nhiên, theo quan điểm của một nhân viên nội bộ của hệ thống EGAIS, quá trình này sẽ kéo dài hàng thập kỷ. Cả từ quan điểm phát triển và từ quan điểm thử nghiệm, khôi phục và triển khai thêm, sau đó là những điều chỉnh không thể tránh khỏi và đau đớn đối với tất cả các loại lỗi. Tuy nhiên, đây là vấn đề cần thiết, quan trọng và cấp bách. Tất nhiên, khách hàng và động lực chính của tất cả niềm vui này là nhà nước. Thực ra thì cũng giống như ở khắp nơi trên thế giới.
Tất cả các quy trình từ lâu đã chuyển sang kỹ thuật số hoặc đang trên đường chuyển sang kỹ thuật số. Điều này vẫn còn tuyệt vời. Tuy nhiên, huy chương xuất sắc cũng có nhược điểm. Tôi là người thường xuyên làm việc với chữ ký số. Tôi là người ủng hộ các phương pháp có lẽ là “của ngày hôm qua”, nhưng “lỗi thời” và đáng tin cậy và đôi bên cùng có lợi trong việc bảo vệ chữ ký điện tử bằng cách sử dụng mã thông báo. Nhưng số hóa cho chúng ta thấy mọi thứ đã ở trên “mây” từ lâu và CEP cũng cần ở đó và cần rất nhanh.
Tôi đã cố gắng tìm hiểu, ở cấp độ khung pháp lý và kỹ thuật, nếu có thể, mọi thứ sẽ diễn ra như thế nào với chữ ký điện tử trên đám mây ở đây và ở Châu Âu. Trên thực tế, đã có nhiều luận văn khoa học được công bố về chủ đề này. Vì vậy, chúng tôi khuyến khích các chuyên gia trong lĩnh vực này tham gia phát triển chủ đề.
Tại sao CEP trên đám mây lại hấp dẫn? Trong thực tế, có những lợi thế. Có đủ những lợi thế này. Thật nhanh chóng và thuận tiện. Nghe có vẻ giống một khẩu hiệu quảng cáo, bạn sẽ đồng ý, nhưng đây là những đặc điểm khách quan của chữ ký số trên đám mây.
Tốc độ nằm ở khả năng ký tài liệu mà không bị ràng buộc với token hay thẻ thông minh. Không bắt buộc chúng tôi chỉ sử dụng máy tính để bàn. Câu chuyện một trăm phần trăm đa nền tảng cho mọi hệ điều hành và trình duyệt. Điều này đặc biệt đúng đối với những người hâm mộ các sản phẩm của Apple, những người gặp khó khăn nhất định trong việc hỗ trợ chữ ký điện tử trong hệ thống MAC. Thoát khỏi mọi nơi trên thế giới, tự do lựa chọn CA (ngay cả những CA không phải của Nga). Không giống như phần cứng CEP, công nghệ đám mây cho phép bạn tránh những khó khăn về khả năng tương thích giữa phần mềm và phần cứng. Vâng, thuận tiện và nhanh chóng.
Và làm sao người ta có thể không bị quyến rũ bởi vẻ đẹp như vậy? Ma quỷ là trong các chi tiết. Hãy nói về sự an toàn.
“Đám mây” CEP ở Nga
Tính bảo mật của các giải pháp đám mây và đặc biệt là chữ ký số là một trong những điểm yếu chính của các chuyên gia bảo mật. Chính xác thì tôi không thích điều gì, người đọc sẽ hỏi tôi, bởi vì mọi người đều đã sử dụng dịch vụ đám mây từ lâu và với SMS, việc chuyển khoản ngân hàng càng đáng tin cậy hơn.
Trên thực tế, một lần nữa, hãy quay lại chi tiết. Chữ ký số trên nền tảng đám mây là một tương lai khó có thể tranh cãi. Nhưng không phải bây giờ. Để làm được điều này, những thay đổi về quy định phải diễn ra để bảo vệ chủ sở hữu chữ ký số trên đám mây.
Chúng ta có gì hôm nay? Đã có một số văn bản quy định khái niệm chữ ký số, quản lý tài liệu điện tử (EDF) cũng như các luật về bảo vệ thông tin và lưu thông dữ liệu. Đặc biệt, bạn cần phải tính đến Bộ luật Dân sự (Bộ luật Dân sự Liên bang Nga), quy định việc sử dụng chữ ký điện tử trong các văn bản.
Luật Liên bang số 63-FZ “Về chữ ký điện tử” ngày 06.04.2011/XNUMX/XNUMX. Luật cơ bản và khung mô tả ý nghĩa chung của việc sử dụng chữ ký số khi thực hiện các loại giao dịch khác nhau và cung cấp dịch vụ.
Luật Liên bang số 149-FZ “Về thông tin, công nghệ thông tin và bảo vệ thông tin ngày 27.07.2006 tháng XNUMX năm XNUMX. Tài liệu này quy định khái niệm về tài liệu điện tử và tất cả các phân đoạn liên quan.
Có các hành vi lập pháp bổ sung liên quan đến quy định về EDI
Luật Liên bang 402-FZ “Về Kế toán” ngày 06.12.2011 tháng XNUMX năm XNUMX. Đạo luật lập pháp quy định việc hệ thống hóa các yêu cầu đối với chứng từ kế toán và kế toán dưới dạng điện tử.
Bao gồm. Bạn có thể tính đến Bộ luật tố tụng trọng tài của Liên bang Nga, cho phép các tài liệu được ký bằng chữ ký điện tử làm bằng chứng trước tòa.
Và tại đây, tôi chợt nảy ra ý định nghiên cứu sâu hơn về vấn đề bảo mật, bởi vì các tiêu chuẩn của chúng tôi về phương tiện bảo vệ tiền điện tử do FSB cung cấp và đảm bảo việc cấp giấy chứng nhận tuân thủ. Vào ngày 18 tháng XNUMX, các tiêu chuẩn GOST mới đã được giới thiệu. Do đó, các khóa được lưu trữ trên đám mây không được bảo vệ trực tiếp bởi chứng chỉ FSTEC. Việc tự bảo vệ chìa khóa và truy cập an toàn vào “đám mây” là những nền tảng mà chúng tôi vẫn chưa giải quyết được. Tiếp theo, tôi sẽ xem xét ví dụ về quy định ở Liên minh Châu Âu, nơi sẽ thể hiện rõ ràng một hệ thống bảo mật tiên tiến hơn.
Kinh nghiệm của Châu Âu trong việc sử dụng chữ ký số đám mây
Hãy bắt đầu với điều chính - công nghệ đám mây, không chỉ chữ ký số mới có tiêu chuẩn rõ ràng. Cơ sở là nhóm Điều phối Tiêu chuẩn Đám mây (CSC) của Viện Tiêu chuẩn Viễn thông Châu Âu (ETSI). Tuy nhiên, vẫn có sự khác biệt về tiêu chuẩn bảo vệ dữ liệu ở các quốc gia khác nhau.
Cơ sở để bảo vệ dữ liệu toàn diện là chứng nhận bắt buộc đối với các nhà cung cấp theo tiêu chuẩn ISO 27001:2013 về hệ thống quản lý bảo mật thông tin (GOST R ISO/IEC 27001-2006 tương ứng của Nga dựa trên phiên bản 2006 của tiêu chuẩn này).
ISO 27017 cung cấp các yếu tố bảo mật bổ sung cho đám mây còn thiếu trong ISO 27002. Tên chính thức đầy đủ của tiêu chuẩn này là “Quy tắc thực hành để kiểm soát bảo mật thông tin dựa trên ISO/IEC 27002 cho dịch vụ đám mây”. ").
Vào mùa hè năm 2014, ISO đã công bố tiêu chuẩn ISO 27018:2015 về bảo vệ dữ liệu cá nhân trên đám mây và vào cuối năm 2015, ISO 27017:2015 về kiểm soát bảo mật thông tin cho các giải pháp đám mây.
Vào mùa thu năm 2014, Nghị quyết mới của Nghị viện Châu Âu số 910/2014, được gọi là eIDAS, đã có hiệu lực. Các quy tắc mới cho phép người dùng lưu trữ và sử dụng khóa EPC trên máy chủ của nhà cung cấp dịch vụ đáng tin cậy được công nhận, được gọi là TSP (Nhà cung cấp dịch vụ tin cậy).
Vào tháng 2013 năm 419241, Ủy ban Tiêu chuẩn hóa Châu Âu (CEN) đã thông qua thông số kỹ thuật CEN/TS 2 “Yêu cầu bảo mật đối với việc ký kết máy chủ hỗ trợ hệ thống đáng tin cậy”, dành riêng cho quy định về chữ ký số trên đám mây. Tài liệu mô tả một số mức độ tuân thủ bảo mật. Ví dụ: cần phải tuân thủ “cấp 1” để tạo chữ ký điện tử đủ tiêu chuẩn, yêu cầu hỗ trợ các tùy chọn xác thực người dùng mạnh mẽ. Theo yêu cầu của cấp độ này, việc xác thực người dùng diễn ra trực tiếp trên máy chủ chữ ký, ngược lại, chẳng hạn như xác thực được phép ở “cấp XNUMX” trong một ứng dụng thay mặt chính nó truy cập vào máy chủ chữ ký. Ngoài ra, theo thông số kỹ thuật này, khóa chữ ký người dùng để tạo chữ ký điện tử đủ tiêu chuẩn phải được lưu trữ trong bộ nhớ của thiết bị bảo mật chuyên dụng (mô-đun bảo mật phần cứng, HSM).
Xác thực người dùng trong dịch vụ đám mây phải có ít nhất hai yếu tố. Theo quy định, tùy chọn dễ tiếp cận và dễ sử dụng nhất là xác nhận đăng nhập thông qua mã nhận được trong tin nhắn SMS. Ví dụ: hầu hết tài khoản RBS cá nhân của các ngân hàng Nga đã được triển khai. Ngoài các mã thông báo mật mã thông thường, một ứng dụng trên điện thoại thông minh và trình tạo mật khẩu một lần (mã thông báo OTP) cũng có thể được sử dụng làm phương tiện xác thực.
Hiện tại, tôi có thể đưa ra kết luận tạm thời về thực tế là CEP trên nền tảng đám mây vẫn mới được hình thành và còn quá sớm để rời bỏ phần cứng. Về nguyên tắc, đây là một quá trình tự nhiên, mà ngay cả ở Châu Âu (ồ, tuyệt vời!) đã kéo dài khoảng 13-14 năm cho đến khi các tiêu chuẩn ít nhiều chính xác được phát triển.
Cho đến khi chúng tôi phát triển các tiêu chuẩn GOST tốt để điều chỉnh các dịch vụ đám mây của mình, vẫn còn quá sớm để nói về việc từ bỏ hoàn toàn các giải pháp phần cứng. Đúng hơn, bây giờ, ngược lại, họ sẽ bắt đầu chuyển sang “kết hợp”, tức là làm việc với chữ ký đám mây. Một số ví dụ đáp ứng các tiêu chuẩn Châu Âu để làm việc với Đám mây đã được triển khai. Nhưng chúng ta sẽ nói về điều này chi tiết hơn một chút trong một tài liệu mới.
Nguồn: www.habr.com