مساء الخير ، عزيزي القارئ!
منذ بعض الوقت أتابع بنشاط تحديثات وأخبار برنامج الاقتصاد الرقمي. من وجهة نظر الموظف الداخلي لنظام EGAIS ، بطبيعة الحال ، فإن العملية تستغرق عقودًا. ومن وجهة نظر التنمية ، ومن وجهة نظر الاختبار ، التراجع والمزيد من التنفيذ مع تصحيحات لا مفر منها ومؤلمة من الحشرات المختلفة. ومع ذلك ، عمل ضروري ، مهم ونضج. العميل والسائق الرئيسي لكل هذه المتعة ، بالطبع ، هو الدولة. في الواقع ، كما هو الحال في العالم كله.
جميع العمليات قد امتدت إلى رقمي أو في الطريق إليها. هذا رائع ومع ذلك ، هناك أيضا الوجه الآخر للميداليات للتمييز. أنا شخص يعمل باستمرار مع توقيع رقمي. أنا من مؤيدي ربما "الأمس" ، ولكن "جدي" لأساليب موثوقة ومربحة في حماية التوقيعات الإلكترونية باستخدام الرموز. لكن الرقمنة تبين لنا أن كل شيء كان موجودًا منذ فترة طويلة في "السحب" ، وهناك حاجة أيضًا إلى CEP ، وهناك حاجة سريعة جدًا.
لقد حاولت معرفة ذلك ، حتى الآن على مستوى القاعدة التشريعية والتقنية ، حيث كان ذلك ممكناً ، ما هو الوضع مع EP الغائم في بلدنا وفي أوروبا. في الواقع ، ظهرت أكثر من رسالة علمية حول هذا الموضوع. لذلك ، يحثون الايجابيات في هذه المسألة على الاتصال لتطوير الموضوع.
لماذا CEP في السحابة جذابة؟ في الواقع ، هناك إيجابيات. هذه الإيجابيات كافية. إنه سريع ومريح. يبدو وكأنه شعار الإعلان ، توافق ، ومع ذلك ، هذه هي الخصائص الموضوعية للتوقيع سحابة الرقمية.
تكمن السرعة في القدرة على توقيع المستندات دون ربط الرموز المميزة أو البطاقات الذكية. لا يلزمنا باستخدام سطح المكتب فقط. مائة في المئة عبر منصة التاريخ لأي نظام التشغيل والمتصفح. ينطبق ذلك بشكل خاص على محبي منتجات Apple ، حيث توجد صعوبات معينة في دعم ES في نظام MAC. الخروج من أي مكان في العالم ، وحرية اختيار المرجع المصدق (ولا حتى الروسية). على عكس أجهزة CEP ، تتجنب التكنولوجيا السحابية تعقيد توافق البرامج والأجهزة. التي ، نعم ، مريحة ، ونعم ، بسرعة.
وكيف لا يمكن إغراء المرء بمثل هذا الجمال؟ الشيطان هو في التفاصيل. التحدث عن الأمن.
غائم CEP في روسيا
يعد أمان الحلول السحابية ، وخاصة EDS - أحد المشاكل الرئيسية للأمان. ما لا يعجبني بالضبط ، سوف يسألني القارئ ، لأن الجميع يستخدمون الخدمات السحابية لفترة طويلة ، ومع الرسائل النصية القصيرة ، أصبح التحويل المصرفي أكثر موثوقية.
في الواقع ، مرة أخرى ، والعودة إلى التفاصيل. سحابة EDS هو المستقبل الذي من الصعب الجدال معه. لكن ليس الآن. للقيام بذلك ، يجب أن تحدث تغييرات تنظيمية تحمي مالك التوقيعات السحابية الرقمية.
ماذا لدينا اليوم؟ هناك عدد من الوثائق التي تحدد مفهوم التوقيع الإلكتروني ، وإدارة الوثائق الإلكترونية (EDI) ، فضلاً عن قوانين حماية المعلومات وتداول البيانات. بما في ذلك أنه من الضروري أن تأخذ في الاعتبار القانون المدني (القانون المدني للاتحاد الروسي) ، الذي يحكم استخدام التوقيع الإلكتروني في الوثائق.
القانون الاتحادي رقم 63- بشأن التوقيعات الإلكترونية بتاريخ 04/06/2011. القانون الأساسي والإطاري الذي يصف المعنى العام لاستخدام التوقيعات الإلكترونية في المعاملات ذات الطبيعة المختلفة وتقديم الخدمات.
القانون الاتحادي رقم 149- بشأن المعلومات وتكنولوجيا المعلومات وحماية المعلومات بتاريخ 07.27/2006. تحدد هذه الوثيقة مفهوم المستند الإلكتروني وجميع القطاعات المرتبطة به.
هناك قوانين إضافية تشارك في تنظيم التبادل الإلكتروني للبيانات
القانون الاتحادي رقم 402 "بشأن المحاسبة" تاريخ 12/06/2011. ينص القانون التشريعي على تنظيم متطلبات المستندات المحاسبية والمحاسبة في شكل إلكتروني.
بما فيه يمكنك أن تأخذ في الاعتبار قانون إجراءات التحكيم في الاتحاد الروسي ، والذي يسمح بالوثائق الموقعة من EP كدليل في المحكمة.
وهنا حدث لي أن أتعمق في مسألة الأمن ، لأن لدينا معايير حماية التشفير التي يوفرها FSB وإصدار شهادات الامتثال. في 18 فبراير ، تم تقديم GOSTs جديدة. وبالتالي ، فإن المفاتيح المخزنة في السحابة ليست محمية بشكل مباشر بواسطة شهادات FSTEC. إن حماية المفاتيح بأنفسهم والوصول الآمن إلى "السحابة" هما حجر الزاوية الذي لم نتخذه بعد. بعد ذلك ، سأنظر في مثال على التنظيم في الاتحاد الأوروبي ، والذي سيوضح بوضوح وجود نظام أمني أكثر تقدمًا.
التجربة الأوروبية باستخدام ES المستندة إلى مجموعة النظراء
لنبدأ مع الشيء الرئيسي - تقنيات السحابة ، ليس فقط ESS لديها معيار واضح. أساس التنسيق السحابي القياسي (CSC) للمعهد الأوروبي لمعايير الاتصالات (ETSI). ومع ذلك ، في مختلف البلدان لا تزال هناك اختلافات في معايير حماية البيانات.
يعد أساس الحماية الشاملة للبيانات إلزاميًا للحصول على شهادة مقدمي الخدمات وفقًا للمواصفة القياسية ISO 27001: 2013 لأنظمة إدارة أمن المعلومات (تعتمد النسخة الروسية المقابلة من GOST R ISO / IEC 27001-2006 على إصدار هذا المعيار من عام 2006).
توفر ISO 27017 ميزات أمان إضافية للسحابة غير موجودة في ISO 27002. الاسم الرسمي الكامل لهذا المعيار هو "قواعد الممارسة لعناصر تحكم أمان المعلومات استنادًا إلى" بناءً على ISO / IEC 27002 للخدمات السحابية. ISO / IEC 27002 للخدمات السحابية ").
في صيف عام 2014 ، نشرت ISO معيار ISO 27018: 2015 بشأن حماية البيانات الشخصية في السحابة ، وفي نهاية عام 2015 ، ISO 27017: 2015 بشأن ضوابط أمن المعلومات للحلول السحابية.
في خريف عام 2014 ، دخل مرسوم جديد صادر عن البرلمان الأوروبي رقم 910/2014 ، يسمى eIDAS ، حيز التنفيذ. تسمح القواعد الجديدة للمستخدمين بتخزين واستخدام مفتاح CEP على خادم موفر معتمد للخدمات الموثوقة ، ما يسمى TSP (موفر خدمة موثوق).
اعتمدت اللجنة الأوروبية للتوحيد القياسي (CEN) في أكتوبر 2013 المواصفات الفنية CEN / TS 419241 "متطلبات الأمان لتوقيع خادم دعم الأنظمة الجديرة بالثقة" ، والمخصصة لتنظيم سحابة EDS. يصف المستند عدة مستويات من التوافق الأمني. على سبيل المثال ، للامتثال "المستوى 2" المقدم لتشكيل توقيع إلكتروني مؤهل ، هو دعم خيارات قوية لمصادقة المستخدم. وفقًا لمتطلبات هذا المستوى ، تتم مصادقة المستخدم مباشرةً على خادم التوقيع ، على سبيل المثال ، من المصادقة المقبولة لـ "المستوى 1" في التطبيق ، الذي يصل إلى خادم التوقيع نيابةً عن نفسه. أيضًا ، وفقًا لهذه المواصفات ، يجب تخزين مفاتيح توقيع المستخدم لتشكيل ES مؤهل في ذاكرة جهاز آمن متخصص (وحدة أمان الأجهزة الإنجليزية ، HSM).
يجب أن تكون مصادقة المستخدم في الخدمة السحابية عاملين على الأقل. كقاعدة عامة ، فإن الخيار الأكثر سهولة وسرعة الاستخدام هو تأكيد الدخول من خلال الرمز الذي تم استلامه في رسالة SMS. لذلك ، على سبيل المثال ، تم تنفيذ معظم الحسابات الشخصية لبنك الاحتياطي الروسي من البنوك الروسية. بالإضافة إلى الرموز المشفرة المعتادة ، يمكن أيضًا استخدام تطبيق على الهاتف الذكي ومولدات كلمة المرور لمرة واحدة (رموز OTP) كأداة مصادقة.
أستطيع أن ألخص نتيجة وسيطة حتى الآن ، فيما يتعلق بحقيقة أن CECs السحابية لا تزال تتشكل وأنه من السابق لأوانه ترك الحديد. من حيث المبدأ ، هذه عملية طبيعية ، والتي استمرت حتى في أوروبا (يا عظيم!) حوالي 13-14 سنة ، حتى تم وضع معايير أكثر أو أقل دقة.
حتى نطور GOSTs الجيدة التي تحكم خدماتنا السحابية ، من السابق لأوانه الحديث عن الرفض الكامل لحلول الأجهزة. بدلاً من ذلك ، فإنهم الآن ، على العكس من ذلك ، سيبدأون في التحرك نحو "الهجينة" ، أي العمل بالتوقيعات السحابية أيضًا. تم بالفعل تطبيق بعض الأمثلة التي تفي بالمعايير الأوروبية للعمل مع Cloud. ولكن المزيد عن ذلك في المواد الجديدة.