しばらくの間、デジタルエコノミープログラムの更新とニュースを積極的にフォローしました。 EGAISシステムの内部従業員の観点からは、もちろん、プロセスは数十年です。 そして、開発の観点から、およびテストの観点から、さまざまなバグの必然的で苦しい修正を伴うロールバックおよびさらなる実装。 それにもかかわらず、必要かつ重要で成熟したビジネス。 もちろん、このすべての楽しみの主な顧客とドライバーは州です。 実際、全世界のように。
すべてのプロセスは、長い間デジタルに、またはその途中にありました。 これは素晴らしい。 それにも関わらず、メダルの表裏には区別があります。 私はデジタル署名を常に使用する人です。 私は多分「昨日」のサポーターですが、トークンを使用して電子署名を保護する信頼性の高いウィンウィン方式の「祖父」です。 しかし、デジタル化により、すべてが長年「クラウド」にあり、CEPも必要であり、非常に迅速に必要であることがわかります。
これまで、私たちの国とヨーロッパの曇ったEPの場合のように、可能な限り立法上および技術上のレベルでそれを把握しようとしました。 実際、このテーマに関して複数の科学論文が発表されています。 したがって、彼らはこの問題のプロにトピックの開発に接続するよう促します。
クラウドのCEPが魅力的なのはなぜですか? 実際、プラスもあります。 これらのプラスは十分です。 速くて便利です。 広告のスローガンのように聞こえますが、これらはクラウドデジタル署名の客観的な特性です。
速度は、トークンやスマートカードに縛られることなくドキュメントに署名できることにあります。 デスクトップのみを使用する義務はありません。 あらゆるOSおよびブラウザの100%のクロスプラットフォーム履歴。 MACシステムでESをサポートするのに一定の困難があるApple製品のファンに特に関連します。 世界のどこからでも、CAを自由に選択できます(ロシアのCAでさえも)。 CEPハードウェアとは異なり、クラウドテクノロジーは、ソフトウェアとハードウェアの互換性の複雑さを回避します。 これは、はい、便利で、そしてはい、高速です。
そして、どうしてそのような美しさに誘惑されないのでしょうか? 悪魔は詳細にあります。 セキュリティについて話します。
ロシアの曇りCEP
クラウドソリューション、特にEDSのセキュリティは、セキュリティの主な問題の1つです。 私がまったく好きではないことは、読者が私に尋ねるでしょう、なぜなら誰もが長い間クラウドサービスを使用しており、SMSでは、銀行振込を行うことがさらに信頼できるからです。
実際、再び、詳細に戻ります。 クラウドEDSは議論の余地のない未来です。 しかし、今ではありません。 これを行うには、クラウドデジタル署名の所有者を保護する規制の変更を行う必要があります。
今日は何がありますか? 電子文書の概念、電子文書管理(EDI)、および情報の保護とデータの流通に関する法律を定義する多くの文書があります。 特に、文書での電子署名の使用を管理する民法(ロシア連邦の民法)を考慮する必要があります。
2011年6月6日の電子署名に関する連邦法第63-。 さまざまな性質のトランザクションおよびサービスの提供で電子署名を使用する一般的な意味を説明する主な枠組み法。
2006年7月27日の情報、情報技術、および情報保護に関する連邦法No.149-。 このドキュメントは、電子ドキュメントの概念とそれに関連するすべてのセグメントを指定します。
EDIの規制に関係する追加の法律があります
連邦法402-「会計処理について」2011年12月6日付。 立法は、電子形式の会計および会計文書の要件の体系化を規定しています。
含む ロシア連邦の仲裁手続コードを考慮することができます。これは、裁判所で証拠としてEPによって署名された文書を許可します。
そして、FSBによって提供される暗号保護の標準とコンプライアンス証明書の発行があるため、セキュリティの問題をさらに深く掘り下げることになりました。 2月18日、新しいGOSTが導入されました。 したがって、クラウドに保存されているキーは、FSTEC証明書によって直接保護されていません。 キー自体を保護し、「クラウド」への安全なアクセスは、私たちがまだ決定していない基礎です。 次に、より高度なセキュリティシステムを明確に示す欧州連合の規制の例を検討します。
クラウドベースのESを使用したヨーロッパの経験
主なことから始めましょう-ESだけでなく、クラウドテクノロジーも明確な標準を備えています。 欧州電気通信標準化機構(ETSI)のクラウド標準調整(CSC)の基礎。 ただし、国によってデータ保護基準にはまだ違いがあります。
包括的なデータ保護の基礎は、情報セキュリティ管理システムのISO 27001:2013に準拠したプロバイダー認証に必須です(対応するロシアのGOST R ISO / IEC 27001-2006は、2006年のこの規格のバージョンに基づいています)。
ISO 27017は、ISO 27002にはない追加のセキュリティ機能をクラウドに提供します。この標準の正式な正式名称は、クラウドサービスのISO / IEC 27002に基づく「情報セキュリティ管理に基づく実践規範」です。クラウドサービスのISO / IEC 27002」)。
2014年の夏に、ISOはクラウド内の個人データの保護に関するISO 27018:2015標準を公開し、2015年の終わりに、クラウドソリューションの情報セキュリティ制御に関するISO 27017:2015を公開しました。
2014年の秋に、eIDASと呼ばれる新しい欧州議会第910/2014号令が発効しました。 新しいルールにより、ユーザーは、信頼されたサービスの認定プロバイダー、いわゆるTSP(Trust Service Provider)のサーバーにCEPキーを格納および使用できます。
2013年10月の欧州標準化委員会(CEN)は、クラウドEDSの規制に特化した技術仕様CEN / TS 419241「サーバー署名をサポートする信頼できるシステムのセキュリティ要件」を採用しました。 このドキュメントでは、セキュリティコンプライアンスのいくつかのレベルについて説明しています。 たとえば、資格のある電子署名の形成のために提示された「レベル2」に準拠するには、ユーザーの強力な認証オプションをサポートします。 このレベルの要件に従って、ユーザー認証は、たとえば署名サーバーにアクセスするアプリケーションの「レベル1」で受け入れられる認証とは対照的に、署名サーバーで直接行われます。 また、この仕様に従って、資格のあるESを形成するためのユーザー署名キーは、専用の安全なデバイス(英語のハードウェアセキュリティモジュール、HSM)のメモリに保存する必要があります。
クラウドサービスでのユーザー認証は、少なくとも2要素である必要があります。 原則として、最もアクセスしやすく使いやすいオプションは、SMSメッセージで受信したコードによる入力の確認です。 したがって、たとえば、ロシアの銀行のRBの個人口座のほとんどは実装されています。 通常の暗号化トークンに加えて、スマートフォン上のアプリケーションとワンタイムパスワードジェネレーター(OTPトークン)も認証ツールとして使用できます。
これまでのところ、クラウドCECがまだ形成されており、鉄を残すには時期尚早であるという事実に関する中間結果を要約できます。 原則として、これは自然なプロセスであり、ヨーロッパでも(おお、すごい!)およそ13〜14年続き、多少正確な標準が開発されました。
クラウドサービスを管理する優れたGOSTを開発するまで、ハードウェアソリューションの完全な拒否について話すのは時期尚早です。 むしろ、彼らは今、反対に、「ハイブリッド」に向かって動き始めます。つまり、クラウド署名も同様に動作します。 クラウドを使用するためのヨーロッパの基準を満たすいくつかの例がすでに実装されています。 しかし、それについては新しい資料で詳しく説明します。