Применение и определение облачной электронной подписи

Обычно электронная подпись (ЭЦП) — это информация, хранящаяся на защищенном ключевом носителе. Это могут быть токены или смарт-карты, которые используются вместе с криптопровайдерами и иными системными средствами. Однако существует еще одна концепция хранения и использования электронных подписей, связанная с «облачными вычислениями» и называемая «ЭЦП в облаке».

Что такое электронная цифровая подпись в облаке

Облачная электронная подпись — это закрытая вычислительная система, которая дает возможность создания и проверки ЭЦП через интернет, а также интегрирует эти функции в бизнес-процессы прочих систем. Данное определение позволяет использовать для облачной ЭЦП и локальное средство. При работе с КриптоПро DSS Lite пользователь может заверять электронный документ через браузер при помощи ЭЦП, установленной на его ПК или планшете. В этом случае ключ ЭЦП остается на стандартном носителе, а облачная подпись используется с локальным средством ЭЦП.

Обланая ЭЦП на смартфоне

Еще один вариант облачной подписи использует только средства ЭЦП, размещенные в облаке. Такой способ подразумевает полностью облачную ЭЦП и помещает закрытый ключ электронной подписи в облако.

Применение облачной ЭЦП

Электронная подпись, хранящаяся в облаке, может быть использована аналогично стандартному варианту для заверения документов любой значимости. Ее также применяют для внутреннего документооборота, для входа на электронные торговые площадки и в информационные системы и т.д.

Облачная подпись в России

Проблема развития облачной подписи в России заключается в отсутствии нормативно-правовой базы, регулирующей этот вопрос. На уровне Федерального законодательства существует ряд понятия, определяющих электронную цифровую подпись и электронный документооборот, а также оборот данных и защиту информации. Отдельно рассмотрен регламент использования ЭЦП в документах в статьях Гражданского кодекса РФ.

Основной закон об электронной подписи — ФЗ-63, а в Федеральном законе 149 конкретизируется термин электронного документа и связанных с ним сегментов. Дополнительно разработаны правовые акты, регулирующие работу электронного документооборота и предусматривающие требования к документам, в т.ч. и к банковским. Также при работе со стандартной электронной подписью учитывают и требования Арбитражного процессуального кодекса РФ, который определяет юридическую силу квалифицированной подписи и приравнивает ее к собственноручной.

Использование облачной электронной подписи в России пока ограничено недостаточностью и сертифицированных ФСБ средств защиты. Даже метод аутентификации, отвечающий строгим европейским критериям безопасности (CEN/TS 419241), пока не имеет сертификата соответствия ФСБ.

Опыт использования облачной подписи в Европе

Все облачные технологии, используемые в странах Европы, имеют четкий стандарт. К основным стандартам относят:

  • Cloud Standard Coordination, CSC);
  • European Telecommunications Standards Institute, ETSI.

Схема работы облачной ЭЦП

Для комплексной защиты информации предусмотрена обязательная сертификация провайдеров по ISO 27001:2013. В 2017 г. ISO включила в стандарт безопасности дополнительные элементы для облачного хранилища, а полное название нового стандарта звучит так: Code of practice for information security controls based on ISO/IEC 27002 for cloud services (перевод: Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов).

Первый свод стандартов был выпущен в 2014 г. и постоянно дорабатывался в соответствии с требованиями безопасности и с развитием технологий. В 2014 г. также вступило в силу Постановление Европарламента под номером 910. eIDAS устанавливает новые правила использования и хранения ключей квалифицированной электронной подписи на сервере поставщика доверенных услуг с аккредитацией (Trust Service Provider).

В октябре 2013 г. Европейский комитет по стандартизации принял и утвердил спецификацию CEN/TS 41924, регулирующую работу облачной цифровой подписи. Документ определяет уровни безопасности и соответствия ЭЦП, а также поддержку строгих методов аутентификации пользователей. Т.е. аутентификация пользователя происходит на сервере электронной подписи, а не в приложении, формирующем запрос к серверу. Пользовательские ключи квалифицированной подписи, согласно этому документу, хранятся только в памяти защищенного электронного устройства.

Защита персональных данных
Защита персональных данных на облачных серверах

В облачном сервере аутентификация пользователя должна быть двухфакторной (минимум). Обычно это подтверждение входа при помощи кода, полученного в смс-сообщении или генератор одноразовых паролей в приложении на ПК или смартфоне.

Преимущества облачной ЭЦП

Несмотря на то что в РФ использование облачной ЭЦП очень ограничено, она имеет ряд преимуществ перед стандартной ЭЦП.

Облачная ЭЦП освобождает пользователя от привязки к конкретному рабочему месту и дает больше мобильности. Серверные программные компоненты берут на себя работу по настройке криптографических форматов и механизмов, а также по управлению ключами ЭЦП. При соблюдении требований к аутентификации и при введении в эксплуатацию соответствующих документов облачная ЭЦП по уровню безопасности превзойдет ЭЦП на стандартном носителе. Хранилище ключей от КриптоПро HSM имеет встроенные датчики вскрытия и механизмы доверенной генерации ключей.

Еще одно преимущество — производительность. Программные и системные ресурсы позволяют получить высокую скорость вычисления ключа ЭЦП. К плюсам можно отнести и отсутствие риска потери или порчи ключевого носителя, что сделает невозможным использование ЭЦП в течение определенного времени. При необходимости пользователь может создать дублирование ключа ЭЦП.

Облачная ЭЦП в ВТБ банке
Облачная ЭЦП запущена в ВТБ банке

Удобнее использовать облачную ЭЦП и со стороны экономической выгоды. Она отменяет потребность в настройке рабочего места, установку и приобретение локальных средств и т.п.

Повсеместное внедрение и использование облачной электронной подписи — это проблема времени, сдерживаемая только отсутствием правовой базы в РФ. Облачная ЭЦП дает своему владельцу большую мобильность и безопасность, а ее использование возможно во всех рабочих и личных сферах. В Европе первые правовые акты, регулирующие требования к безопасности и методам аутентификации пользователя, появились еще в 2014 г. В России Федеральный закон пока регулирует только работу стандартной электронной подписи, но в ближайшем времени должны появиться документы, определяющие юридическую силу, уровень безопасности, а также методы подтверждения пользователя.

Ссылка на основную публикацию
Adblock
detector