Bonjour, cher lecteur!
Pendant un certain temps, j'ai suivi activement les mises à jour et les actualités du programme Digital Economy. Du point de vue de l'employé interne du système EGAIS, bien sûr, le processus dure des décennies. Et du point de vue du développement, et du point de vue des tests, des annulations et de la mise en œuvre ultérieure avec des corrections inévitables et douloureuses ultérieures de divers bogues. Néanmoins, une entreprise nécessaire, importante et mûrie. Le principal client et conducteur de tout ce plaisir, bien sûr, est l'État. En fait, comme dans le monde entier.
Tous les processus ont longtemps débordé sur le numérique ou sur le chemin de celui-ci. C'est magnifique. Néanmoins, il y a aussi le revers des médailles pour la distinction. Je suis une personne qui travaille constamment avec une signature numérique. Je suis partisan de peut-être «hier», mais «grand-père» de méthodes fiables et gagnant-gagnant pour protéger les signatures électroniques à l'aide de jetons. Mais la numérisation nous montre que tout est depuis longtemps dans les "nuages" et que le CEP est également nécessaire là-bas et est nécessaire très rapidement.
J'ai essayé de comprendre, jusqu'à présent au niveau de la base législative et technique, où c'était possible, quelle était la situation avec le PE nuageux dans notre pays et en Europe. En fait, plus d'une thèse scientifique a été publiée sur ce sujet. Par conséquent, ils invitent les pros de ce numéro à se connecter au développement du sujet.
Pourquoi le CEP dans le cloud est-il attrayant? En fait, il y a des avantages. Ces avantages suffisent. C'est rapide et pratique. Cela ressemble à un slogan publicitaire, d'accord, cependant, ce sont des caractéristiques objectives d'une signature numérique dans le cloud.
La vitesse réside dans la possibilité de signer des documents sans être lié à des jetons ou des cartes à puce. Cela ne nous oblige pas à utiliser uniquement le bureau. Un historique multiplateforme à cent pour cent pour tout système d'exploitation et navigateur. Cela est particulièrement vrai pour les fans des produits Apple, pour lesquels il existe certaines difficultés à prendre en charge ES dans le système MAC. Sortez de n'importe où dans le monde, la liberté de choisir une autorité de certification (pas même russe). Contrairement au matériel CEP, la technologie cloud évite la complexité de la compatibilité logicielle et matérielle. Ce qui, oui, est pratique et, oui, rapide.
Et comment ne pas être tenté par une telle beauté? Le diable est dans les détails. Parlez de sécurité.
CEP nuageux en Russie
La sécurité des solutions cloud, et en particulier EDS - est l'un des principaux problèmes de sécurité. Ce que je n'aime pas exactement, me demandera le lecteur, car tout le monde utilise les services cloud depuis longtemps, et avec les SMS, il est encore plus fiable d'effectuer un virement bancaire.
En fait, encore une fois, revenons aux détails. Cloud EDS est un avenir difficile à discuter. Mais pas maintenant. Pour ce faire, des changements réglementaires doivent se produire afin de protéger le propriétaire des signatures numériques du cloud.
Qu'avons-nous aujourd'hui? Il existe un certain nombre de documents définissant le concept de signature électronique, de gestion électronique des documents (EDI), ainsi que des lois sur la protection des informations et la circulation des données. Y compris, il est nécessaire de prendre en compte le Code civil (Code civil de la Fédération de Russie), qui régit l'utilisation de la signature électronique dans les documents.
Loi fédérale n ° 63- sur les signatures électroniques du 04/06/2011. La loi principale et la loi-cadre décrivant le sens général de l'utilisation de signatures électroniques dans des transactions de nature diverse et la prestation de services.
Loi fédérale n ° 149- sur l'information, les technologies de l'information et la protection de l'information du 27/07/2006. Ce document spécifie le concept d'un document électronique et tous les segments qui lui sont associés.
Il y a des lois supplémentaires qui sont impliquées dans la réglementation de l'EDI
Loi fédérale 402- "sur la comptabilité" du 12/06/2011. L'acte législatif prévoit la systématisation des exigences relatives à la comptabilité et aux documents comptables sous forme électronique.
Y compris Vous pouvez prendre en compte le Code de procédure d'arbitrage de la Fédération de Russie, qui autorise les documents signés par le PE comme preuve en justice.
Et c'est ici que j'ai pensé à approfondir la question de la sécurité, car nous avons les normes de protection cryptographique fournies par le FSB et la délivrance de certificats de conformité. Le 18 février, de nouveaux GOST ont été introduits. Ainsi, les clés stockées dans le cloud ne sont pas directement protégées par les certificats FSTEC. La protection des clés elles-mêmes et un accès sécurisé au "cloud" sont les pierres angulaires que nous n'avons pas encore décidées. Ensuite, je considérerai un exemple de réglementation dans l'Union européenne, qui démontrera clairement un système de sécurité plus avancé.
Expérience européenne en utilisant ES basé sur le cloud
Commençons par l'essentiel - les technologies cloud, non seulement les ES ont un standard clair. La base de la Cloud Standard Coordination (CSC) de l'Institut européen des normes de télécommunications (ETSI). Cependant, dans différents pays, il existe encore des différences dans les normes de protection des données.
La base d'une protection complète des données est obligatoire pour la certification des fournisseurs selon ISO 27001: 2013 pour les systèmes de gestion de la sécurité de l'information (la norme russe GOST R ISO / IEC 27001-2006 correspondante est basée sur la version de cette norme de 2006).
ISO 27017 fournit des fonctionnalités de sécurité supplémentaires pour le cloud qui ne figurent pas dans ISO 27002. Le nom officiel complet de cette norme est «Code de bonnes pratiques pour les contrôles de sécurité de l'information basé sur» basé sur ISO / IEC 27002 pour les services cloud. ISO / CEI 27002 pour les services cloud ").
À l'été 2014, l'ISO a publié la norme ISO 27018: 2015 sur la protection des données personnelles dans le cloud et, fin 2015, ISO 27017: 2015 sur les contrôles de sécurité de l'information pour les solutions cloud.
À l'automne 2014, un nouveau décret du Parlement européen n ° 910/2014, appelé eIDAS, est entré en vigueur. Les nouvelles règles permettent aux utilisateurs de stocker et d'utiliser la clé CEP sur le serveur d'un fournisseur accrédité de services de confiance, le TSP (Trust Service Provider).
Le Comité européen de normalisation (CEN) a adopté en octobre 2013 la spécification technique CEN / TS 419241 "Exigences de sécurité pour les systèmes fiables prenant en charge la signature de serveur", dédiée à la réglementation de l'EDS cloud. Le document décrit plusieurs niveaux de conformité de sécurité. Par exemple, se conformer au «niveau 2» présenté pour la formation d'une signature électronique qualifiée, c'est soutenir des options fortes pour l'authentification des utilisateurs. Selon les exigences de ce niveau, l'authentification de l'utilisateur se produit directement sur le serveur de signature, contrairement, par exemple, à l'authentification acceptable pour le «niveau 1» dans l'application, qui accède au serveur de signature pour son propre compte. De plus, conformément à cette spécification, les clés de signature d'utilisateur pour la formation d'un ES qualifié doivent être stockées dans la mémoire d'un appareil sécurisé spécialisé (module de sécurité matériel anglais, HSM).
L'authentification des utilisateurs dans le service cloud doit être au moins à deux facteurs. En règle générale, l'option la plus accessible et la plus facile à utiliser est la confirmation de l'entrée via le code reçu dans le message SMS. Ainsi, par exemple, la plupart des comptes personnels du RB des banques russes ont été mis en place. En plus des jetons cryptographiques habituels, une application sur un smartphone et des générateurs de mots de passe à usage unique (jetons OTP) peuvent également être utilisés comme outil d'authentification.
Je peux résumer un résultat intermédiaire jusqu'à présent, concernant le fait que les CEC des nuages sont encore en cours de formation et qu'il est trop tôt pour quitter le fer. En principe, c'est un processus naturel qui, même en Europe (oh, super!), A duré environ 13-14 ans, jusqu'à ce que des normes plus ou moins précises soient développées.
Jusqu'à ce que nous développions de bons GOST qui régissent nos services cloud, il est trop tôt pour parler d'un rejet complet des solutions matérielles. Au contraire, ils vont maintenant, au contraire, commencer à s'orienter vers des "hybrides", c'est-à-dire à travailler avec des signatures cloud également. Certains exemples qui répondent aux normes européennes pour travailler avec le cloud ont déjà été mis en œuvre. Mais plus à ce sujet dans le nouveau matériel.