Boa tarde, querido leitor!
Há algum tempo, acompanho ativamente as atualizações e notícias do programa Economia Digital. Do ponto de vista do funcionário interno do sistema EGAIS, é claro, o processo dura décadas. E do ponto de vista do desenvolvimento e do ponto de vista dos testes, reversões e implementação adicional com as subsequentes correções inevitáveis e dolorosas de vários bugs. No entanto, um negócio necessário, importante e amadurecido. O principal cliente e condutor de toda essa diversão, é claro, é o estado. Na verdade, como no mundo inteiro.
Todos os processos há muito se espalham para o digital ou a caminho dele. Isso é maravilhoso. No entanto, existem também os lados opostos das medalhas por distinção. Sou uma pessoa que trabalha constantemente com uma assinatura digital. Sou um defensor de talvez "ontem", mas "avô" de métodos confiáveis e ganha-ganha para proteger assinaturas eletrônicas usando tokens. Mas a digitalização nos mostra que tudo está nas "nuvens" e o CEP também é necessário lá e é muito rapidamente.
Tentei descobrir até agora, ao nível da base legislativa e técnica, onde era possível, qual é a situação do PE nublado no nosso país e na Europa. De fato, mais de uma dissertação científica foi publicada sobre esse assunto. Portanto, eles pedem aos profissionais desta edição que se conectem ao desenvolvimento do tópico.
Por que o CEP na nuvem é atraente? De fato, há vantagens. Essas vantagens são suficientes. É rápido e conveniente. Parece um slogan publicitário. Concordo, no entanto, essas são características objetivas de uma assinatura digital em nuvem.
A velocidade reside na capacidade de assinar documentos sem estar vinculado a tokens ou cartões inteligentes. Não nos obriga a usar apenas a área de trabalho. Histórico de cem por cento de plataforma cruzada para qualquer sistema operacional e navegador. Especialmente verdade para os fãs de produtos Apple, para os quais existem algumas dificuldades no suporte ao ES no sistema MAC. Saia de qualquer lugar do mundo, a liberdade de escolher uma autoridade de certificação (nem mesmo a russa). Diferentemente do hardware CEP, a tecnologia em nuvem evita a complexidade da compatibilidade de software e hardware. O que, sim, é conveniente e, sim, rápido.
E como alguém não pode ser tentado por tanta beleza? O diabo está nos detalhes. Fale sobre segurança.
Nublado CEP na Rússia
A segurança das soluções em nuvem, e especialmente a EDS - é um dos principais problemas de segurança. O que exatamente eu não gosto, o leitor me perguntará, porque todo mundo usa serviços em nuvem há muito tempo e, com o SMS, é ainda mais confiável fazer uma transferência bancária.
De fato, novamente, voltemos aos detalhes. O Cloud EDS é um futuro difícil de discutir. Mas agora não. Para fazer isso, mudanças regulatórias devem ocorrer para proteger o proprietário das assinaturas digitais da nuvem.
O que temos hoje? Existem vários documentos que definem o conceito de assinatura eletrônica, gerenciamento eletrônico de documentos (EDI), bem como leis sobre a proteção da informação e circulação de dados. Incluindo, é necessário levar em conta o Código Civil (Código Civil da Federação Russa), que rege o uso da assinatura eletrônica em documentos.
Lei Federal nº 63- Sobre assinaturas eletrônicas de 04/06/2011. A lei principal e a estrutura que descreve o significado geral do uso de assinaturas eletrônicas em transações de várias naturezas e na prestação de serviços.
Lei Federal No. 149- Sobre Informação, Tecnologias da Informação e Proteção de Informação de 27.7.2006. Este documento especifica o conceito de um documento eletrônico e todos os segmentos associados a ele.
Existem leis adicionais envolvidas na regulamentação do EDI
Lei Federal 402- "Sobre Contabilidade" de 06/12/2011. O ato legislativo prevê a sistematização de requisitos para documentos contábeis e contábeis em formato eletrônico.
Incluindo Você pode levar em conta o Código de Procedimento de Arbitragem da Federação Russa, que permite documentos assinados pelo PE como prova em tribunal.
E foi aqui que me ocorreu aprofundar a questão da segurança, porque temos os padrões de proteção de criptografia fornecidos pelo FSB e a emissão de certificados de conformidade. Em 18 de fevereiro, novos GOSTs foram introduzidos. Portanto, as chaves armazenadas na nuvem não são diretamente protegidas pelos certificados FSTEC. Proteger as próprias chaves e garantir o acesso à "nuvem" são os pilares que ainda não decidimos. A seguir, considerarei um exemplo de regulamentação na União Europeia, que demonstrará claramente um sistema de segurança mais avançado.
Experiência européia usando ES baseado em nuvem
Vamos começar com o principal: tecnologias em nuvem, não apenas os ESs têm um padrão claro. A base da Coordenação de Padrão de Nuvem (CSC) do Instituto Europeu de Padrões de Telecomunicações (ETSI). No entanto, em diferentes países, ainda existem diferenças nos padrões de proteção de dados.
A base para a proteção abrangente de dados é obrigatória para a certificação de fornecedores de acordo com a ISO 27001: 2013 para sistemas de gerenciamento de segurança da informação (o correspondente russo GOST R ISO / IEC 27001-2006 é baseado na versão desta norma de 2006).
A ISO 27017 fornece recursos de segurança adicionais para a nuvem que não são encontrados na ISO 27002. O nome oficial completo para este padrão é "Código de prática para controles de segurança da informação com base em" com base na ISO / IEC 27002 para serviços em nuvem. ISO / IEC 27002 para serviços em nuvem ").
No verão de 2014, a ISO publicou a norma ISO 27018: 2015 sobre a proteção de dados pessoais na nuvem e, no final de 2015, a ISO 27017: 2015 sobre controles de segurança da informação para soluções em nuvem.
No outono de 2014, entrou em vigor um novo decreto do Parlamento Europeu n.º 910/2014, denominado eIDAS. As novas regras permitem que os usuários armazenem e usem a chave CEP no servidor de um provedor credenciado de serviços confiáveis, o chamado TSP (Trust Service Provider).
O Comitê Europeu de Normalização (CEN), em outubro de 2013, adotou a especificação técnica CEN / TS 419241 "Requisitos de segurança para assinatura de servidor de suporte a sistemas confiáveis", dedicada à regulamentação do EDS na nuvem. O documento descreve vários níveis de conformidade de segurança. Por exemplo, cumprir o "nível 2" apresentado para a formação de uma assinatura eletrônica qualificada é oferecer suporte a opções fortes para autenticação do usuário. De acordo com os requisitos desse nível, a autenticação do usuário ocorre diretamente no servidor de assinaturas, ao contrário, por exemplo, da autenticação aceitável para o "nível 1" no aplicativo, que acessa o servidor de assinaturas em seu próprio nome. Além disso, de acordo com esta especificação, as chaves de assinatura do usuário para a formação de um ES qualificado devem ser armazenadas na memória de um dispositivo seguro especializado (módulo de segurança de hardware em inglês, HSM).
A autenticação do usuário no serviço de nuvem deve ter pelo menos dois fatores. Como regra, a opção mais acessível e fácil de usar é a confirmação da entrada através do código recebido na mensagem SMS. Assim, por exemplo, a maioria das contas pessoais da RB dos bancos russos foi implementada. Além dos tokens criptográficos comuns, um aplicativo em um smartphone e geradores de senha descartáveis (tokens OTP) também podem ser usados como uma ferramenta de autenticação.
Até agora, posso resumir um resultado intermediário, com relação ao fato de os CECs da nuvem ainda estarem sendo formados e é muito cedo para deixar ferro. Em princípio, esse é um processo natural que, mesmo na Europa (oh, ótimo!), Durou cerca de 13 a 14 anos, até que padrões mais ou menos precisos foram desenvolvidos.
Até desenvolvermos bons GOSTs que governam nossos serviços em nuvem, é muito cedo para falar sobre uma rejeição completa das soluções de hardware. Pelo contrário, agora eles começarão a avançar para "híbridos", isto é, também trabalharão com assinaturas de nuvens. Alguns exemplos que atendem aos padrões europeus para trabalhar com Cloud já foram implementados. Mas mais sobre isso no novo material.