Selamat siang, pembaca yang budiman!
Untuk beberapa waktu saya aktif mengikuti pembaruan dan berita program Ekonomi Digital. Dari sudut pandang karyawan internal sistem EGAIS, tentu saja, prosesnya berlangsung selama beberapa dekade. Dan dari sudut pandang pengembangan, dan dari sudut pandang pengujian, kemunduran dan implementasi lebih lanjut dengan perbaikan berbagai bug yang tak terhindarkan dan menyakitkan berikutnya. Namun demikian, bisnis yang diperlukan, penting dan matang. Pelanggan dan pengemudi utama dari semua kesenangan ini, tentu saja, adalah negara bagian. Sebenarnya, seperti di seluruh dunia.
Semua proses telah lama menyebar ke digital atau dalam perjalanan ke sana. Ini luar biasa. Namun demikian, ada juga sisi lain dari medali untuk pembedaan. Saya adalah orang yang bekerja terus menerus dengan tanda tangan digital. Saya seorang pendukung mungkin "kemarin", tetapi "kakek" metode yang dapat diandalkan dan menang-menang untuk melindungi tanda tangan elektronik menggunakan token. Tetapi digitalisasi menunjukkan kepada kita bahwa semuanya telah lama berada di "awan" dan CEP juga diperlukan di sana dan dibutuhkan dengan sangat cepat.
Saya mencoba mencari tahu sejauh ini di tingkat basis legislatif dan teknis, di mana dimungkinkan, bagaimana situasi dengan ES berbasis cloud di negara kita dan di Eropa. Bahkan, lebih dari satu disertasi ilmiah telah keluar tentang masalah ini. Oleh karena itu, mereka mendesak pro dalam masalah ini untuk terhubung ke pengembangan topik.
Mengapa CEP di awan menarik? Bahkan, ada plusnya. Nilai plus ini sudah cukup. Cepat dan nyaman. Kedengarannya seperti slogan iklan, setuju, namun, ini adalah karakteristik objektif dari tanda tangan digital cloud.
Kecepatan terletak pada kemampuan untuk menandatangani dokumen tanpa terikat pada token atau kartu pintar. Itu tidak mengharuskan kita untuk hanya menggunakan desktop. Sejarah lintas platform seratus persen untuk semua OS dan browser. Terutama berlaku untuk penggemar produk Apple, yang ada kesulitan tertentu dalam mendukung ES dalam sistem MAC. Keluar dari mana saja di dunia, kebebasan untuk memilih CA (bahkan bukan yang Rusia). Tidak seperti perangkat keras CEP, teknologi cloud menghindari kompleksitas kompatibilitas perangkat lunak dan perangkat keras. Yang, ya, nyaman, dan, ya, cepat.
Dan bagaimana mungkin seseorang tidak tergoda oleh keindahan seperti itu? Iblis ada dalam perinciannya. Bicara tentang keamanan.
CEP Berawan di Rusia
Keamanan solusi cloud, dan terutama EDS - adalah salah satu rasa sakit utama untuk keamanan. Apa yang sebenarnya tidak saya sukai, pembaca akan bertanya kepada saya, karena semua orang telah menggunakan layanan cloud untuk waktu yang lama, dan dengan SMS, bahkan lebih dapat diandalkan untuk melakukan transfer bank.
Bahkan, kembali lagi ke detail. Cloud EDS adalah masa depan yang sulit untuk diperdebatkan. Tapi tidak sekarang. Untuk melakukan ini, harus ada perubahan peraturan yang akan melindungi pemilik tanda tangan digital cloud.
Apa yang kita miliki hari ini? Ada sejumlah dokumen yang mendefinisikan konsep tanda tangan elektronik, manajemen dokumen elektronik (EDI), serta undang-undang tentang perlindungan informasi dan sirkulasi data. Termasuk perlu untuk mempertimbangkan Kode Sipil (Kode Sipil Federasi Rusia), yang mengatur penggunaan tanda tangan elektronik dalam dokumen.
Undang-Undang Federal No. 63- Tentang Tanda Tangan Elektronik 04/06/2011. Undang-undang utama dan kerangka kerja yang menjelaskan makna umum menggunakan tanda tangan elektronik dalam transaksi yang bersifat beragam dan penyediaan layanan.
Undang-Undang Federal No. 149- Tentang Informasi, Teknologi Informasi, dan Perlindungan Informasi pada 07.27.2006. Dokumen ini menentukan konsep dokumen elektronik dan semua segmen yang terkait dengannya.
Ada hukum tambahan yang terlibat dalam regulasi EDI
Undang-Undang Federal 402- "Tentang Akuntansi" tanggal 12/06/2011. Undang-undang legislatif menyediakan sistematisasi persyaratan untuk akuntansi dan dokumen akuntansi dalam bentuk elektronik.
Termasuk Anda dapat mempertimbangkan Kode Prosedur Arbitrase Federasi Rusia, yang memungkinkan dokumen yang ditandatangani oleh EP sebagai bukti di pengadilan.
Dan di sinilah saya terpikir untuk menggali lebih dalam masalah keamanan, karena kami memiliki standar untuk perlindungan crypto yang disediakan oleh FSB dan penerbitan sertifikat kepatuhan. Pada 18 Februari, GOST baru diperkenalkan. Dengan demikian, kunci yang disimpan di cloud tidak secara langsung dilindungi oleh sertifikat FSTEC. Melindungi kunci itu sendiri dan mengamankan akses ke "cloud" adalah pilar yang belum kita putuskan. Selanjutnya, saya akan mempertimbangkan contoh regulasi di Uni Eropa, yang jelas akan menunjukkan sistem keamanan yang lebih maju.
Pengalaman Eropa menggunakan ES berbasis cloud
Mari kita mulai dengan hal utama - teknologi cloud, bukan hanya ES yang memiliki standar yang jelas. Dasar dari Koordinasi Standar Cloud (CSC) dari Institut Standar Telekomunikasi Eropa (ETSI). Namun, di berbagai negara masih ada perbedaan dalam standar perlindungan data.
Dasar untuk perlindungan data yang komprehensif adalah wajib untuk sertifikasi penyedia sesuai dengan ISO 27001: 2013 untuk sistem manajemen keamanan informasi (Rusia GOST R ISO / IEC 27001-2006 yang sesuai didasarkan pada versi standar ini dari 2006).
ISO 27017 menyediakan fitur keamanan tambahan untuk cloud yang tidak ditemukan dalam ISO 27002. Nama resmi lengkap untuk standar ini adalah "Kode praktik untuk kontrol keamanan informasi berdasarkan" berdasarkan ISO / IEC 27002 untuk layanan cloud. ISO / IEC 27002 untuk layanan cloud ").
Pada musim panas 2014, ISO menerbitkan standar ISO 27018: 2015 tentang perlindungan data pribadi di cloud, dan pada akhir 2015, ISO 27017: 2015 tentang kontrol keamanan informasi untuk solusi cloud.
Pada musim gugur 2014, Keputusan baru Parlemen Eropa No. 910/2014, yang disebut eIDAS, mulai berlaku. Aturan baru memungkinkan pengguna untuk menyimpan dan menggunakan kunci CEP di server penyedia terakreditasi layanan tepercaya, yang disebut TSP (Trust Service Provider).
Komite Eropa untuk Standardisasi (CEN) pada Oktober 2013 mengadopsi spesifikasi teknis CEN / TS 419241 "Persyaratan Keamanan untuk Sistem Penandatanganan Server yang Mendukung Sistem yang Dapat Dipercaya", yang didedikasikan untuk regulasi cloud EDS. Dokumen tersebut menjelaskan beberapa tingkat kepatuhan keamanan. Misalnya, untuk mematuhi "level 2" yang disajikan untuk pembentukan tanda tangan elektronik yang memenuhi syarat, adalah untuk mendukung opsi kuat untuk otentikasi pengguna. Menurut persyaratan tingkat ini, otentikasi pengguna terjadi langsung pada server tanda tangan, sebaliknya, misalnya, dari otentikasi yang dapat diterima untuk "level 1" dalam aplikasi, yang mengakses server tanda tangan atas namanya sendiri. Juga, sesuai dengan spesifikasi ini, kunci tanda tangan pengguna untuk pembentukan ES yang memenuhi syarat harus disimpan dalam memori perangkat aman khusus (modul keamanan perangkat keras bahasa Inggris, HSM).
Otentikasi pengguna dalam layanan cloud setidaknya harus dua faktor. Sebagai aturan, opsi yang paling mudah diakses dan mudah digunakan adalah konfirmasi entri melalui kode yang diterima dalam pesan SMS. Jadi, misalnya, sebagian besar akun pribadi BPR bank Rusia telah dilaksanakan. Selain token kriptografi yang biasa, aplikasi pada smartphone dan generator kata sandi satu kali (token OTP) juga dapat digunakan sebagai alat otentikasi.
Saya dapat meringkas hasil antara sejauh ini, mengenai fakta bahwa CEC awan masih terbentuk dan terlalu dini untuk meninggalkan besi. Pada prinsipnya, ini adalah proses alami, yang bahkan di Eropa (oh, hebat!) Berlangsung sekitar 13-14 tahun, hingga standar yang kurang lebih tepat dikembangkan.
Sampai kami mengembangkan GOST yang baik yang mengatur layanan cloud kami, masih terlalu dini untuk membicarakan penolakan lengkap terhadap solusi perangkat keras. Sebaliknya, mereka sekarang, sebaliknya, akan mulai bergerak ke arah "hibrida", yaitu, bekerja dengan tanda tangan cloud juga. Beberapa contoh yang memenuhi standar Eropa untuk bekerja dengan Cloud telah diterapkan. Tetapi lebih banyak tentang itu dalam materi baru.