Buenas tardes, querido lector!
Durante algún tiempo he estado siguiendo activamente las actualizaciones y noticias del programa de Economía Digital. Desde el punto de vista del empleado interno del sistema EGAIS, por supuesto, el proceso es por décadas. Y desde el punto de vista del desarrollo, y desde el punto de vista de las pruebas, los retrocesos y la implementación posterior con correcciones posteriores inevitables y dolorosas de varios errores. Sin embargo, un negocio necesario, importante y maduro. El principal cliente y conductor de toda esta diversión, por supuesto, es el estado. En realidad, como en todo el mundo.
Todos los procesos se han extendido por mucho tiempo a lo digital o en camino. Esto es maravilloso Sin embargo, también hay otros lados de las medallas para la distinción. Soy una persona que trabaja constantemente con una firma digital. Soy partidario de tal vez "ayer", pero "abuelo" de métodos confiables y beneficiosos para proteger las firmas electrónicas utilizando tokens. Pero la digitalización nos muestra que todo ha estado en las "nubes" durante mucho tiempo y que CEP también se necesita allí y se necesita muy rápidamente.
Traté de resolverlo, hasta ahora a nivel de la base legislativa y técnica, donde fue posible, cuál es la situación con el EP nublado en nuestro país y en Europa. De hecho, más de una disertación científica ha salido sobre este tema. Por lo tanto, instan a los profesionales de este tema a conectarse con el desarrollo del tema.
¿Por qué es atractivo el CEP en la nube? De hecho, hay ventajas. Estas ventajas son suficientes. Es rápido y conveniente. Suena como un eslogan publicitario, de acuerdo, sin embargo, estas son características objetivas de una firma digital en la nube.
La velocidad radica en la capacidad de firmar documentos sin estar vinculado a tokens o tarjetas inteligentes. No nos obliga a usar solo el escritorio. Historial cien por ciento multiplataforma para cualquier sistema operativo y navegador. Especialmente cierto para los fanáticos de los productos de Apple, para los cuales existen ciertas dificultades para admitir ES en el sistema MAC. Salga de cualquier parte del mundo, la libertad de elegir una CA (ni siquiera una rusa). A diferencia del hardware CEP, la tecnología en la nube evita la complejidad de la compatibilidad de software y hardware. Lo cual, sí, es conveniente, y sí, rápido.
¿Y cómo puede uno no ser tentado por tanta belleza? El diablo está en los detalles. Habla sobre seguridad.
CEP nublado en Rusia
La seguridad de las soluciones en la nube, y especialmente EDS, es uno de los principales problemas de seguridad. Lo que no me gusta exactamente, me preguntará el lector, porque todos han estado utilizando servicios en la nube durante mucho tiempo, y con SMS, es aún más confiable hacer una transferencia bancaria.
De hecho, nuevamente, volviendo a los detalles. Cloud EDS es un futuro difícil de discutir. Pero ahora no. Para hacer esto, deben ocurrir cambios regulatorios que protejan al propietario de las firmas digitales en la nube.
¿Qué tenemos hoy? Existen varios documentos que definen el concepto de firma electrónica, gestión de documentos electrónicos (EDI), así como leyes sobre la protección de la información y la circulación de datos. Incluso es necesario tener en cuenta el Código Civil (Código Civil de la Federación de Rusia), que regula el uso de la firma electrónica en los documentos.
Ley Federal N ° 63- sobre firmas electrónicas del 06/04/2011. La ley principal y marco que describe el significado general del uso de firmas electrónicas en transacciones de diversa naturaleza y la provisión de servicios.
Ley Federal N ° 149- sobre información, tecnologías de la información y protección de la información del 27/07/2006. Este documento especifica el concepto de un documento electrónico y todos los segmentos asociados con él.
Hay leyes adicionales que están involucradas en la regulación de EDI
Ley Federal 402- "Sobre Contabilidad" de fecha 12/06/2011. El acto legislativo prevé la sistematización de los requisitos de contabilidad y documentos contables en formato electrónico.
Incluyendo Puede tener en cuenta el Código de Procedimiento de Arbitraje de la Federación de Rusia, que permite documentos firmados por el PE como prueba en los tribunales.
Y fue aquí donde se me ocurrió profundizar en el tema de la seguridad, porque tenemos los estándares para la protección criptográfica proporcionados por el FSB y la emisión de certificados de cumplimiento. El 18 de febrero, se introdujeron nuevos GOST. Por lo tanto, las claves almacenadas en la nube no están directamente protegidas por certificados FSTEC. La protección de las claves y el acceso seguro a la "nube" son las piedras angulares que aún no hemos decidido. A continuación, consideraré un ejemplo de regulación en la Unión Europea, que demostrará claramente un sistema de seguridad más avanzado.
Experiencia europea con ES basado en la nube
Comencemos con lo principal: las tecnologías en la nube, no solo los ES tienen un estándar claro. La base de la Coordinación de estándares en la nube (CSC) del Instituto Europeo de Estándares de Telecomunicaciones (ETSI). Sin embargo, en diferentes países todavía hay diferencias en los estándares de protección de datos.
La base para la protección integral de datos es obligatoria para la certificación de proveedores de acuerdo con ISO 27001: 2013 para los sistemas de gestión de seguridad de la información (el correspondiente GOST R ISO / IEC 27001-2006 ruso se basa en la versión de esta norma de 2006).
ISO 27017 proporciona características de seguridad adicionales para la nube que no se encuentran en ISO 27002. El nombre oficial completo de esta norma es: "Código de práctica para controles de seguridad de la información basado en ISO / IEC 27002 para servicios en la nube ").
En el verano de 2014, ISO publicó el estándar ISO 27018: 2015 sobre la protección de datos personales en la nube, y a finales de 2015, ISO 27017: 2015 sobre controles de seguridad de la información para soluciones en la nube.
En el otoño de 2014, entró en vigor un nuevo Decreto del Parlamento Europeo n. ° 910/2014, denominado eIDAS. Las nuevas reglas permiten a los usuarios almacenar y usar la clave CEP en el servidor de un proveedor acreditado de servicios de confianza, el llamado TSP (Trust Service Provider).
El Comité Europeo de Normalización (CEN) en octubre de 2013 adoptó la especificación técnica CEN / TS 419241 "Requisitos de seguridad para sistemas confiables que respaldan la firma del servidor", dedicada a la regulación de EDS en la nube. El documento describe varios niveles de cumplimiento de seguridad. Por ejemplo, cumplir con el "nivel 2" presentado para la formación de una firma electrónica calificada, es admitir opciones sólidas para la autenticación del usuario. De acuerdo con los requisitos de este nivel, la autenticación del usuario ocurre directamente en el servidor de firmas, en contraste, por ejemplo, de la autenticación aceptable para el "nivel 1" en la aplicación, que accede al servidor de firmas en su propio nombre. Además, de acuerdo con esta especificación, las claves de firma del usuario para la formación de un ES calificado deben almacenarse en la memoria de un dispositivo seguro especializado (módulo de seguridad de hardware en inglés, HSM).
La autenticación del usuario en el servicio en la nube debe ser al menos de dos factores. Como regla general, la opción más accesible y fácil de usar es la confirmación de entrada a través del código recibido en el mensaje SMS. Así, por ejemplo, se han implementado la mayoría de las cuentas personales de la RB de los bancos rusos. Además de los tokens criptográficos habituales, una aplicación en un teléfono inteligente y generadores de contraseñas de un solo uso (tokens OTP) también se pueden utilizar como herramienta de autenticación.
Puedo resumir un resultado intermedio hasta ahora, con respecto al hecho de que las CEC en la nube todavía se están formando y es demasiado pronto para dejar el hierro. En principio, este es un proceso natural, que incluso en Europa (¡oh, genial!) Duró entre 13 y 14 años, hasta que se desarrollaron estándares más o menos precisos.
Hasta que desarrollemos buenos GOST que gobiernen nuestros servicios en la nube, es demasiado pronto para hablar sobre un rechazo total de las soluciones de hardware. Por el contrario, ahora, por el contrario, comenzarán a moverse hacia "híbridos", es decir, trabajarán también con firmas de nubes. Ya se han implementado algunos ejemplos que cumplen con los estándares europeos para trabajar con Cloud. Pero más sobre eso en el nuevo material.