Guten Tag, lieber Leser!
Seit einiger Zeit verfolge ich aktiv die Aktualisierungen und Neuigkeiten des Digital Economy-Programms. Aus Sicht des internen Mitarbeiters des EGAIS-Systems ist der Prozess natürlich jahrzehntelang. Und unter dem Gesichtspunkt der Entwicklung und unter dem Gesichtspunkt des Testens, Rollbacks und der weiteren Implementierung mit anschließenden unvermeidlichen und schmerzhaften Korrekturen verschiedener Fehler. Trotzdem ein notwendiges, wichtiges und ausgereiftes Geschäft. Der Hauptkunde und Treiber all dieses Spaßes ist natürlich der Staat. Eigentlich wie auf der ganzen Welt.
Alle Prozesse sind längst digital oder auf dem Weg dorthin übergegangen. Das ist wunderbar. Dennoch gibt es auch die Kehrseiten von Medaillen zur Unterscheidung. Ich bin eine Person, die ständig mit einer digitalen Signatur arbeitet. Ich bin ein Befürworter von vielleicht "gestern", aber "großväterlich" von zuverlässigen und Win-Win-Methoden zum Schutz elektronischer Signaturen mit Token. Die Digitalisierung zeigt uns jedoch, dass sich alles schon lange in den "Wolken" befindet und auch CEP dort benötigt wird und sehr schnell benötigt wird.
Ich habe versucht, auf der Ebene der gesetzgeberischen und technischen Basis, wo es möglich war, herauszufinden, wie die Situation mit dem wolkigen EP in unserem Land und in Europa ist. Tatsächlich ist mehr als eine wissenschaftliche Dissertation zu diesem Thema erschienen. Daher fordern sie die Profis in dieser Ausgabe auf, sich mit der Entwicklung des Themas zu verbinden.
Warum ist CEP in der Cloud attraktiv? In der Tat gibt es Pluspunkte. Diese Pluspunkte sind genug. Es ist schnell und bequem. Es klingt wie ein Werbeslogan, stimmt jedoch zu, dass dies objektive Merkmale einer digitalen Cloud-Signatur sind.
Geschwindigkeit liegt in der Fähigkeit, Dokumente zu signieren, ohne an Token oder Smartcards gebunden zu sein. Es verpflichtet uns nicht, nur den Desktop zu verwenden. Ein hundertprozentiger plattformübergreifender Verlauf für jedes Betriebssystem und jeden Browser. Dies gilt insbesondere für Fans von Apple-Produkten, bei denen es gewisse Schwierigkeiten gibt, ES im MAC-System zu unterstützen. Verlassen Sie von überall auf der Welt die Freiheit, eine CA zu wählen (nicht einmal eine russische). Im Gegensatz zur CEP-Hardware vermeidet die Cloud-Technologie die Komplexität der Software- und Hardwarekompatibilität. Was ja bequem und schnell ist.
Und wie kann man sich von solcher Schönheit nicht verführen lassen? Der Teufel steckt im Detail. Sprechen Sie über Sicherheit.
Bewölktes CEP in Russland
Die Sicherheit von Cloud-Lösungen und insbesondere von EDS ist eines der Hauptprobleme bei der Sicherheit. Was genau ich nicht mag, wird mich der Leser fragen, denn jeder nutzt Cloud-Dienste schon lange und mit SMS ist es noch zuverlässiger, eine Überweisung vorzunehmen.
In der Tat noch einmal zurück zu den Details. Cloud EDS ist eine Zukunft, mit der man sich nur schwer auseinandersetzen kann. Aber nicht jetzt. Dazu müssen regulatorische Änderungen vorgenommen werden, die den Eigentümer digitaler Cloud-Signaturen schützen.
Was haben wir heute? Es gibt eine Reihe von Dokumenten, die das Konzept der elektronischen Signatur, des elektronischen Dokumentenmanagements (EDI) sowie Gesetze zum Schutz von Informationen und zur Verbreitung von Daten definieren. Darunter muss auch das Bürgerliche Gesetzbuch (Zivilgesetzbuch der Russischen Föderation) berücksichtigt werden, das die Verwendung der elektronischen Signatur in Dokumenten regelt.
Bundesgesetz Nr. 63- Über elektronische Signaturen vom 04.06.2011. Das Haupt- und Rahmengesetz beschreibt die allgemeine Bedeutung der Verwendung elektronischer Signaturen bei Transaktionen verschiedener Art und der Erbringung von Dienstleistungen.
Bundesgesetz Nr. 149- über Information, Informationstechnologien und Informationsschutz vom 27.07.2006. Dieses Dokument gibt das Konzept eines elektronischen Dokuments und alle damit verbundenen Segmente an.
Es gibt zusätzliche Gesetze, die an der Regulierung von EDI beteiligt sind
Bundesgesetz 402- "Über die Rechnungslegung" vom 12.06.2011. Der Gesetzgebungsakt sieht die Systematisierung der Anforderungen an die Rechnungslegung und die Rechnungslegungsunterlagen in elektronischer Form vor.
Einschließlich Sie können die Schiedsgerichtsordnung der Russischen Föderation berücksichtigen, die vom EP unterzeichnete Dokumente als Beweismittel vor Gericht zulässt.
Und hier kam mir der Gedanke, mich eingehender mit dem Thema Sicherheit zu befassen, da wir über die vom FSB bereitgestellten Standards für den Kryptoschutz und die Ausstellung von Konformitätszertifikaten verfügen. Am 18. Februar wurden neue GOSTs eingeführt. In der Cloud gespeicherte Schlüssel sind daher nicht direkt durch FSTEC-Zertifikate geschützt. Der Schutz der Schlüssel selbst und der sichere Zugriff auf die "Cloud" sind die Eckpfeiler, für die wir uns noch nicht entschieden haben. Als nächstes werde ich ein Beispiel für eine Regulierung in der Europäischen Union betrachten, das ein fortschrittlicheres Sicherheitssystem deutlich machen wird.
Europäische Erfahrung mit Cloud-basierter ES
Beginnen wir mit der Hauptsache: Cloud-Technologien, nicht nur ES haben einen klaren Standard. Grundlage der Cloud Standard Coordination (CSC) des European Telecommunications Standards Institute (ETSI). In verschiedenen Ländern gibt es jedoch immer noch Unterschiede bei den Datenschutzstandards.
Die Grundlage für einen umfassenden Datenschutz ist für die Zertifizierung von Anbietern nach ISO 27001: 2013 für Informationssicherheits-Managementsysteme obligatorisch (die entsprechende russische GOST R ISO / IEC 27001-2006 basiert auf der Version dieser Norm aus dem Jahr 2006).
ISO 27017 bietet zusätzliche Sicherheitsfunktionen für die Cloud, die in ISO 27002 nicht enthalten sind. Der vollständige offizielle Name für diese Norm lautet: „Verhaltenskodex für Informationssicherheitskontrollen basierend auf ISO / IEC 27002 für Cloud-Dienste ").
Im Sommer 2014 veröffentlichte die ISO die Norm ISO 27018: 2015 zum Schutz personenbezogener Daten in der Cloud und Ende 2015 die Norm ISO 27017: 2015 zur Kontrolle der Informationssicherheit für Cloud-Lösungen.
Im Herbst 2014 trat ein neues Dekret des Europäischen Parlaments Nr. 910/2014 mit dem Namen eIDAS in Kraft. Mit den neuen Regeln können Benutzer den CEP-Schlüssel auf dem Server eines akkreditierten Anbieters vertrauenswürdiger Dienste, des sogenannten TSP (Trust Service Provider), speichern und verwenden.
Das Europäische Komitee für Normung (CEN) hat im Oktober 2013 die technische Spezifikation CEN / TS 419241 "Sicherheitsanforderungen für vertrauenswürdige Systeme zur Unterstützung der Serversignierung" verabschiedet, die der Regulierung von Cloud-EDS gewidmet ist. Das Dokument beschreibt verschiedene Sicherheitsstufen. Um beispielsweise die für die Bildung einer qualifizierten elektronischen Signatur vorgestellte „Stufe 2“ einzuhalten, müssen starke Optionen für die Benutzerauthentifizierung unterstützt werden. Gemäß den Anforderungen dieser Ebene erfolgt die Benutzerauthentifizierung direkt auf dem Signaturserver, im Gegensatz beispielsweise zu der für „Ebene 1“ in der Anwendung akzeptablen Authentifizierung, die in eigenem Namen auf den Signaturserver zugreift. Gemäß dieser Spezifikation müssen Benutzersignaturschlüssel für die Bildung eines qualifizierten ES im Speicher eines speziellen sicheren Geräts (englisches Hardware-Sicherheitsmodul, HSM) gespeichert werden.
Die Benutzerauthentifizierung im Cloud-Dienst muss mindestens zwei Faktoren umfassen. In der Regel ist die Bestätigung der Eingabe über den in der SMS-Nachricht empfangenen Code die am leichtesten zugängliche und benutzerfreundlichste Option. So wurden zum Beispiel die meisten persönlichen Konten des RB russischer Banken implementiert. Zusätzlich zu den üblichen kryptografischen Token können eine Anwendung auf einem Smartphone und Einmalkennwortgeneratoren (OTP-Token) auch als Authentifizierungstool verwendet werden.
Ich kann ein Zwischenergebnis zusammenfassen, das sich auf die Tatsache bezieht, dass sich noch Wolken-CECs bilden und es zu früh ist, Eisen zu verlassen. Im Prinzip ist dies ein natürlicher Prozess, der selbst in Europa (oh, großartig!) Etwa 13 bis 14 Jahre dauerte, bis mehr oder weniger genaue Standards entwickelt wurden.
Bis wir gute GOSTs entwickeln, die unsere Cloud-Services steuern, ist es noch zu früh, um über eine vollständige Ablehnung von Hardwarelösungen zu sprechen. Vielmehr werden sie sich jetzt im Gegenteil in Richtung "Hybriden" bewegen, dh auch mit Wolkensignaturen arbeiten. Einige Beispiele, die den europäischen Standards für die Arbeit mit Cloud entsprechen, wurden bereits implementiert. Aber mehr dazu im neuen Material.