четверг, 4 августа 2016 г.

Франция: Электронный сейф «под разными соусами»


Данная заметка Кристиана Дюбура (Christian Dubourg – на фото), вице-президента по безопасности и архитектуре компании Ever-Team Software и члена комитета CN171 французского органа по стандартизации AFNOR, была опубликована 26 июля 2016 года в социальной сети LinkedIn.

Вы наверняка знаете, что тема «электронного сейфа» часто поднимается игроками в сфере управления контентом. В последние годы она стала «горячей». 20 июля 2016 года Национальное Собрание Франции одобрило текст законопроекта, подготовленного г-жой Аксель Лемэр (Axelle Lemaire – госсекретарь французского правительства по вопросам внедрения электронно-цифровых технологий – Н.Х.), где есть статья 40AB, допускающая появление услуг электронного сейфа!

Мой комментарий: Имеется в виду законопроект «Об электронной Республике» (Projet de Loi pour une République numérique), текст которого доступен по адресу http://www.assemblee-nationale.fr/14/ta/ta0802.asp . Статья 40AB содержит следующие положения:
Услуга «электронного сейфа» - это услуга, предусматривающая:

1. Получение, хранение, удаление и передача данных или электронных документов в условиях, позволяющих подтвердить их целостность и точное происхождение;

2. Прослеживаемость операций с этими документами и данными, а также наличие у пользователя возможности воспользоваться этим механизмом;

3. Идентификацию пользователя при получении доступа к услуге посредством электронной идентификации в соответствии с положениями статьи L.136 Кодекса;

4. Обеспечение эксклюзивного доступа к электронным документам, пользовательским данные или данным, связанные с использованием услуги данным  пользователем, - третьим сторонам (помимо поставщика услуги электронного сейфа), которым пользователь явным образом авторизовал доступ к этим документам и данным; либо, где это применимо, поставщику услуг электронного сейфа, обеспечивающему обработку таких документов или данные исключительно в интересах пользователя и после получения его явного согласия, в соответствии с Законом № 78-17 от 6 января 1978 года об информатике, файлах и гражданских свободах (loi n° 78-17 du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés,  см. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000886460Н.Х.);

5. Предоставление пользователю возможности извлекать хранимые документы и данные в открытом стандартном формате, облегчающим их повторное использование и обработку в автоматизированных системах обработки данных, - за исключением документов, которые изначально были переданы на хранение в  неоткрытом формате или в виде, не способствующем повторному использованию. Такие материалы могут быть возвращены пользователю в их первоначальном формате, в соответствии с условиями, определенными декретом.

В рамках услуги электронного сейфа могут также предоставлять услуги в области доверия, как это определено в принятой Европейским парламентом и Советом норме № 910-2014 от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC» (Règlement (UE) n° 910/2014 du Parlement européen et du Conseil du 23 juillet 2014 sur l’identification électronique et les services de confiance pour les transactions électroniques au sein du marché intérieur et abrogeant la directive 1999/93/CE, http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG , о ней см. также http://rusrim.blogspot.ru/2014/09/blog-post_95.html - Н.Х.).

Такая услуга электронного сейфа может выиграть от получения сертификации в соответствии со спецификациям, предложенными национальным уполномоченным органом в сфере безопасности информационных систем после консультаций с Национальной комиссии по информатике и свободам граждан, и утвержденными приказом министра, отвечающего за внедрение электронно-цифровых технологий.

Порядок оказания услуг электронного сейфа и их сертификации государством определяются декретом Государственного совета, публикуемым после консультаций с Национальной комиссией по информатике и свободам граждан.»
Но тогда всё то, что раньше считалось «электронным сейфом», уже больше не будет рассматриваться как таковой?

Электронный сейф «под соусом» французского органа по стандартизации AFNOR

Технический комитет CN171 национального органа по стандартизации AFNOR занимался разработкой стандарта для «компоненты «электронный сейф»» (Composant Coffre-Fort Numérique, CNBC, об этом см. также http://rusrim.blogspot.ru/2012/03/nf-z-42-020.html - Н.Х.). В результате этих усилий в июле 2012 года появился национальный стандарт NF Z 42-020, который полезен в плане описания компонентов программного обеспечения, но абсолютно не подходит для регламентации соответствующей услуги. Целью данного стандарта является определение минимальных функциональных возможностей такой компоненты, работой которой управляет продукт или сервис, отвечающие за реализацию основных функций, связанных с этой компонентой.

Электронный сейф «под соусом» Национального агентства по безопасности информационных систем ANSSI и присваиваемой им сертификации «первого уровня» CSPN

Национальное агентство по безопасности информационных систем (l'Agence Nationale de la Sécurité des Systèmes d'Information, ANSSI) создало систему «сертификации по безопасности первого уровня» (certification de sécurité de premier niveau, CSPN) для систем защищённого хранения. В 2010-2011 годах эта сертификация позволила квалифицировать некоторые решения как «электронные сейфы» на основе целевых показателей безопасности, установленных поставщиками и Центром оценки безопасности информационных технологий (Centre d'Évaluation de la Sécurité des Technologies de l'Information, CESTI).

Электронный сейф «под соусом» уполномоченного органа по защите персональных данных CNIL

Несколько позже Национальная комиссия по информатике и свободам граждан (Commission nationale de l'informatique et des libertés, CNIL, http://www.cnil.fr/  - во Франции является уполномоченным органом по вопросам защиты персональных данных – Н.Х.) также решила обратиться к теме услуг «электронного сейфа», с тем, чтобы на центральное место поставить пользователя сейфа и дать ему возможность защитить свои персональные данные. Учитывая большое количество появляющихся в интернете услуг, с января 2014 года был введён отличительный знак CNIL для услуг электронного сейфа (о нем см. также  http://rusrim.blogspot.ru/2014/03/cnil.html - Н.Х.). Это знак выдается на основании соответствия спецификациям CNIL, содержащим ряд хорошо проработанных требований. Подробности можно найти в «Официальном журнале Французской республики» (Journal Officiel de la République Française, JORF) № 0032 от 7 февраля 2014 года, текст № 76 (см. https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000028569235&idJO=JORFCONT000028568705 ).

Электронный сейф «под соусом» от Аксель Лемэр

Несмотря на проделанную CNIL работу по введению отличительного знака «Электронный сейф», в рамках которой, казалось бы, были установлены четкие рамки для функционального определения «электронного сейфа», -  на этот раз уже через предложенный Аксель Лемэр проект закона «Об электронной Республике» услуга электронного сейфа находит своё место в правовом и юридическом арсенале, посредством внесения соответствующих поправок в Кодекс почтовых услуг и электронных коммуникаций (Code des postes et des communications électroniques). В одобренном 20 июля 2016 года Национальным собранием «тексте 802» статья 40AB посвящена определению понятия услуги электронного сейфа в контексте статей по «упрощению использования».

Как ни странно, в тексте отличительный знак CNIL вообще не упоминается!!! Национальное агентство по безопасности информационных систем ANSSI названо как орган, который может организовать сертификацию услуги электронного сейфа после консультаций с CNIL.

Слишком много соусов могут вызвать расстройство желудка

И, наконец, не является сама ли упомянутая статья 40AB тем самым лишним соусом, который способен спровоцировать расстройство желудка? Зачем включать ее в закон после появления отличительного знака CNIL, который теперь, кажется, будет в конечном итоге обречен на забвение? Являются ли достаточным тому оправданием присутствующие в законопроекте Лемэр ссылки на новое европейское законодательство eIDAS, позволяющее расширить сферу услуг, оказываемых доверенными поставщиками? Или же данный текст появился под давлением мощного лобби?

Кто же в конечном счете больше всего проиграет, - защита персональных данных пользователей электронных сейфов? Возможно. Если только не  ...

А Вы, какой соус Вы предпочитаете?

Кристиан Дюбур (Christian Dubourg)

Источник: LinkedIn
https://www.linkedin.com/pulse/coffre-fort-num%C3%A9rique-%C3%A0-toutes-les-sauces-christian-dubourg

Комментариев нет:

Отправить комментарий