ФСБ: «Облачная» электронная подпись – на самом деле «удалённая»

Представитель ведомства Александр Бондаренко на PKI-Форуме 2020 рассказал о том, как ФСБ оценивает инфраструктуру удаленной электронной подписи для обеспечения доверенных отношений в цифровом мире. 

Ключевую задачу федеральной программы «Цифровая экономика РФ» – создание устойчивой и безопасной информационно-телекоммуникационной инфраструктуры – можно решить благодаря формированию глобальной доверенной среды, в рамках которой удаленные субъекты смогут безопасно взаимодействовать. «Понятие доверенной среды многогранно и в значительной степени масштабируемо. Поэтому одним из основных аспектов, связанных с обменом электронными документами, является обеспечение их целостности, достоверности, невозможности отказа от авторства и ряда других свойств», – отметил спикер. 

В ФСБ считают, что использование понятия «облачная ЭП» (которое, к тому же, законодательно не закреплено) может ввести в замешательство некоторых специалистов – и предлагают взять на вооружение термин «удаленная ЭП» или «дистанционная ЭП». Столь важная функция, безусловно, должна быть организована прежде всего с построением доверенной среды для самой электронной подписи. Правовые основы инфраструктуры удаленной квалифицированной ЭП содержатся в новой редакции федерального законодательства об ЭП. В соответствии с ним, удаленная ЭП должна реализовываться аккредитованными удостоверяющими центрами, а также УЦ налоговых органов, Федерального казначейства и ЦБ. 

Организационные основы удаленной ЭП связаны с обеспечением безопасности взаимодействия между компонентами ее инфраструктуры: аккредитованный УЦ, сервер ЭП, мобильное приложение клиента, сервер документооборота. «Самая очевидная и опасная угроза для этой инфраструктуры, по нашему мнению, исходит от внутреннего нарушителя сервера удаленной ЭП – например, члена группы администраторов, поскольку техническими мерами блокировать такого нарушителя практически невозможно», – уточняет Александр Бондаренко. Не менее актуален и комплекс угроз, связанных с мобильным приложением владельца сертификата: хищение устройства, перехват и кража аутентифицирующей информации, персональных данных, а также аппаратная платформа и ОС самого мобильного устройства. Противостоять им можно используя криптографические методы защиты. 

Впрочем, во всей этой истории есть один огромный нюанс. «Поскольку в настоящее время формирование правовых основ инфраструктуры удаленной ЭП не завершено, удостоверяющие центры, предоставляющие такие услуги, пока должны отсутствовать», – пояснил спикер.

15 сентября, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

07.07.2026
Apple ускоряет выпуск ИБ-обновлений в ответ на ИИ-риски
07.07.2026
«Значимые действия» всё же будут подтверждать через MAX?
06.07.2026
Вступление в силу крипторегулирующего закона сдвинули на 1 сентября
06.07.2026
Минцифры получит 20 новых полномочий (?)
06.07.2026
В NCSC объяснили, как усложнить работу атакующим
06.07.2026
Лжеагенты Интерпола заражают ИТ-системы предпринимателей зловредом
06.07.2026
Microsoft уволит тысячи сотрудников, чтобы тратить миллиарды на ИИ
06.07.2026
ФБР и Google заблокировали прокси-сеть NetNut
03.07.2026
Утечка данных из Telega «технически невозможна»
03.07.2026
В России появился антимошеннический оперштаб

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных