Законодательный уровень применения цифровой подписи
Во многих странах мира, в том числе и в нашей стране, электронная цифровая подпись (ЭЦП) уже достаточно широко используется в хозяйственном обороте. Банк России и другие банки Российской Федерации активно используют ЭЦП для осуществления своих операций путем пересылки банковских электронных документов по корпоративным и общедоступным телекоммуникационным сетям.
Вместе с тем основой для легитимного применения ЭЦП до последнего времени являлся только Гражданский кодекс Российской Федерации, в принципе, признающий возможность использования электронной цифровой подписи или других аналогов собственноручной подписи при совершении сделок и иных гражданских актов в электронной форме на территории России. Также применялся Федеральный закон “Об информации, информатизации и защите информации“, предусматривающий возможность использования электронной цифровой подписи для придания юридической силы документам, хранимым, обрабатываемым и передаваемым с помощью автоматизированных информационных и телекоммуникационных систем. Однако общезначимый, единый для всех, правовой механизм применения электронной цифровой подписи в России отсутствовал. Это, по существу, вынуждало участников электронного документооборота использовать ЭЦП как техническое средство подтверждения волеизъявления конкретного юридического или физического лица исключительно на основании предварительных договоренностей, оформленных в соответствии с нормами Гражданского кодекса.
Очевидно, что в торговых отношениях, а также при осуществлении информационного обмена между субъектами, не связанными предварительной договоренностью, неизбежны существенные трудности в разрешении конфликтов сторон. Регулирование подобных отношений должно осуществляться законодательно и регламентировать действия субъектов информационных отношений независимо от каких—либо корпоративных соглашений. Именно поэтому и был принят Федеральный закон “Об электронной цифровой подписи“.
Следует отметить, что хотя данный закон и вводит (кстати, впервые в отечественной юридической практике) собственно понятие “электронного документа“, он не охватывает своим регулирующим воздействием все правовые стороны применения таковых. Закон имеет перед собой более узкую задачу, а именно: “обеспечение правовых условий для использования ЭЦП в электронных документах, при соблюдении которых ЭЦП в электронном документе признается юридически равнозначной собственноручной подписи в документе на бумажном носителе“. Выделение этой узкой сферы регулирования и позволило создать, на наш взгляд, указанный законодательный акт. Проблема урегулирования одним нормативным документом всего многообразия отношений, возникающих при внедрении электронного документооборота, представляется практически неподъемной. Ведь электронный документ является всего лишь частным случаем документа вообще, а закона о документе нет ни в российской, ни в какой—либо иной цивилизованной правовой системе. Проблема состоит в том, что в силу многообразия электронных документов, выработать некие детальные унифицированные требования к их реквизитам и содержимому принципиально невозможно. Совершенно очевидно, что требования к тому или иному документу существенным образом зависят от сферы его обращения. Однако упорядочить сами процессы обмена электронными документами можно и нужно. Продолжая данную мысль, следует сказать, что в настоящее время в различной степени готовности находится ряд так называемых “электронных“ законопроектов: “Об электронной торговле“, “О предоставлении электронных финансовых услуг“, “Об электронных сделках“ и т.д. Все они направлены на регулирование той или иной области использования электронных документов и опираются на применение законодательно закрепленных надежных способов и методов обеспечения подлинности и целостности электронных документов или сообщений. При этом уже принятый Федеральный закон “Об электронной цифровой подписи“ явится краеугольным камнем для правового обеспечения становления и развития электронной коммерции в России.
Таким образом, необходимо четко понимать, что принятый закон признает электронной цифровой подписью только подпись, выработанную на основе асимметричного криптографического преобразования, и отражает особенности использования только такого типа ЭЦП в электронном документообороте. На сегодняшний день существуют и иные “некриптографические“ способы подтверждения неизменности содержимого, а также авторства документа. Однако реальных “конкурентов“ по эффективности, простоте применения, а главное - надежности у ЭЦП пока нет. Возможно в дальнейшем и появятся претенденты на роль аналогов собственноручной подписи, но это станет уже предметом будущих нормативных правовых актов.
В этой связи в ходе работы над пакетом так называемых “электронных“ законов Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ) последовательно настаивает на сохранении возможности применения иных (отличных по технологии от ЭЦП) аналогов собственноручной подписи, при условии, что они будут определены законодательно.
Содержащиеся в Федеральном законе “Об электронной цифровой подписи“ подходы согласуются с аналогичными зарубежными законодательными актами и учитывают мировой опыт использования ЭЦП. Большинство зарубежных законодательных актов признает аналогом собственноручной подписи исключительно электронную цифровую подпись, реализованную на основе применения асимметричного криптографического преобразования. Так, законодательные акты штатов Вашингтон и Юта также опираются на признание свойств асимметричных криптографических алгоритмов. Вместе с тем Федеральный закон США об электронных подписях в национальной и глобальной коммерции в отличие от упомянутых законодательных актов отдельных штатов этого не делает, за что и подвергается критике. По заключению ряда американских экспертов, этот закон, введенный в действие с 1 октября 2000 года, не обеспечивает сколько—нибудь существенной защиты потребителя от фальсификации, так как в нем не зафиксированы надежные (криптографические) методы обеспечения ее подлинности. Интересно отметить принятый в прошлом году венгерский закон об электронной подписи. Закон признает возможность использования в обращении трех различных видов электронной подписи. Но при этом устанавливает, что только документ, подписанный электронной подписью, выполненной на основе асимметричной криптографии, имеет ту же юридическую силу, что и документ на бумажном носителе, собственноручно подписанный человеком.
Одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. В этой связи следует сказать, что рассматриваемый закон содержит подробную регламентацию порядка подтверждения подлинности ЭЦП в открытых и корпоративных информационных системах, как это и положено такому нормативному акту.
Для правового использования ЭЦП инфраструктура открытых ключей носит принципиальный характер. Дело в том, что применение подписи, выполненной на базе асимметричной криптографии, в качестве аналога собственноручной подписи возможно лишь в случаях уверенности в ее подлинности для того лица, которому предназначается подписанный ЭЦП документ. Эта процедура имеет два аспекта - технический и юридический. Технический аспект заключается в установлении некоторого тождества при сравнении открытой части ключа ЭЦП, текста и собственно электронной цифровой подписи, что реализуется техническими методами. На юридическом аспекте остановимся подробнее. Если мы воспринимаем математическое соотношение открытого ключа, ЭЦП и текста как некую аксиому, то принадлежность открытого ключа ЭЦП, открыто опубликованного или полученного из открытой информационной системы, данному конкретному лицу еще необходимо как раз доказать. Для этого могут использоваться только два правовых способа: либо стороны на основе некоего договора заранее обусловливают, что переданный одной стороне другой открытый ключ признается в качестве подлинного, либо необходимо наличие третьего независимого субъекта, который на свой риск подтверждает принадлежность открытого проверочного ключа конкретному, претендующему на это субъекту. Первый способ применим только в корпоративных информационных системах, второй - в открытых. Оба эти способа и их юридическое содержание в достаточной степени развернуто представлены в отечественном законе об ЭЦП.
Вообще технологически удостоверяющие центры являются некоторыми особыми точками инфраструктуры открытых ключей, которые, говоря языком криптографов, должны быть некомпрометируемыми. В связи с этим к удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций. Поэтому в целях защиты прав участников электронного документооборота государство берет на себя регулирование деятельности этих центров посредством выдачи лицензии на их работу со стороны соответствующего уполномоченного государственного органа. Подобная норма не является российским “ноу—хау“, и при ее законодательном закреплении тщательно изучался и учитывался международный опыт. Одновременно большинство зарубежных законодательных актов содержат общие требования к организациям и физическим лицам, желающим исполнять обязанности удостоверяющих центров. Во—первых, эти требования касаются безусловного законопослушания и благонадежности как самих организаций, осуществляющих подобную деятельность, так и их персонала. Во—вторых, - квалификации персонала. В—третьих, наличия соответствующих финансовых ресурсов для возмещения возможного ущерба, возникающего в результате ненадлежащего исполнения удостоверяющим центром своих обязанностей.
Российский закон устанавливает, что удостоверяющим центром для информационных систем общего пользования может быть коммерческая организация, осуществляющая свою деятельность на основании лицензии. При оформлении лицензии организация, претендующая на ее получение, должна представить обоснование своей способности нести гражданскую ответственность. К сожалению, в данном законе не удалось решить, каким именно способом такая организация должна обосновывать наличие у нее необходимых материальных и финансовых возможностей выполнять функции удостоверяющего центра. В результате, отечественный законодатель отнес выработку требований к материальным и финансовым возможностям удостоверяющих центров к компетенции Правительства Российской Федерации и федерального органа исполнительной власти, уполномоченного на регистрацию сертификатов ключей подписи собственно удостоверяющих центров.
В этой связи необходимо отметить, что четко урегулировать данный вопрос в странах ЕС тоже смогли лишь недавно. В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам приводится к единому знаменателю. Вообще говоря, данная директива, направлена в целом на гармонизацию национальных законодательных актов стран - членов ЕС, регулирующих электронный документооборот и определяющих порядок применения ЭЦП. В числе основных положений директивы следует отметить требование одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:- наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;
- подтверждение этой суммы банковской гарантией;
- наличие страховки.
Представляется, что в нашей стране также можно идти похожим путем, определив некоторый минимальный собственный капитал (выразив его, однако, в относительных цифрах, например, минимальной заработной платы) и требовать от соискателей страховки.
Что касается иных требований к удостоверяющим центрам, то они заложены в текст принятого закона и полностью соответствуют указанной директиве ЕС. Как уже отмечалось, принятый закон установил, что деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством России. Действующий в настоящее время Федеральный закон “О лицензировании отдельных видов деятельности“ в редакции 2001 года дал обобщенную формулировку, в соответствии с которой лицензированию подлежит деятельность по регистрации, изготовлению криптографических ключей и сертификатов подписи. По нашему мнению, такая формулировка позволяет разнести в пространстве и времени выполнение некоторых функций удостоверяющего центра, что, учитывая размеры нашей страны, представляется немаловажным. Данное обстоятельство при правильной организации дела позволит обеспечить получение необходимых ключей и сертификатов не только жителям российских столиц и больших городов, но и небольших населенных пунктов, где имеется только нотариус, отделение Сбербанка или почтовое отделение. В совокупности законы “О лицензировании отдельных видов деятельности“ и “Об ЭЦП“ однозначно разрешили существовавшую много лет правовую коллизию, связанную со статьей 5 Федерального закона “Об информации, информатизации и защите информации“, в соответствии с которой право производить удостоверение подлинности ЭЦП в Российской Федерации может осуществляться только на основании лицензии. Теперь, наконец, (как это и трактовалось всегда ФАПСИ) однозначно установлено, что использование средств ЭЦП участниками как информационных систем общего пользования, так и корпоративных систем лицензированию не подлежит.
Зарубежные законодательные акты об ЭЦП требуют от удостоверяющих центров гарантий качества используемых технических и программных средств электронной цифровой подписи. Вместе с тем большинство этих законов не отражают конкретных требований по уровню специальных качеств используемых криптографических средств формирования и подтверждения подлинности ЭЦП, но содержат отсылочные нормы, в соответствии с которыми необходимый и достаточный уровень безопасности определяется нормативными актами правительства или компетентными уполномоченными государственными органами. В частности, в соответствии с немецким законодательством об ЭЦП “для создания и хранения ключей подписи, а также изготовления и проверки цифровых подписей должны использоваться такие технические средства, которые с высокой степенью надежности позволяют гарантировать уверенное выявление подделок цифровых подписей и защищенных ими данных. При этом технические средства должны подвергаться проверкам с учетом требований, предъявляемых состоянием науки и техники, и получать подтверждение относительно их соответствия нормам, установленным компетентной инстанцией“.
Федеральный закон “Об электронной цифровой подписи“ включает требование об обязательной сертификации средств ЭЦП используемых при создании ключей ЭЦП в информационных системах общего пользования, а также средств ЭЦП, применяемых в корпоративных информационных системах федеральных органов исполнительной власти, органов власти субъектов Российской Федерации и органов местного самоуправления. В других корпоративных системах решение об использовании тех или иных средств ЭЦП принимается владельцем или соглашением между участниками системы.
Вместе с тем нельзя не сказать, что практическая задача по созданию надежных средств ЭЦП решается во всем мире введением целой системы государственных и межнациональных стандартов, разработанных с привлечением высококвалифицированных разработчиков из криптографических ведомств. Примерами являются стандарты DSS американского института ANSI, созданные с участием Агентства национальной безопасности США; разработки международной платежной системы VISA, базирующиеся на DSS и т.п.
Для России относительно средств формирования и проверки подписи в части криптографической (математической) стороны дела можно констатировать, что имеющиеся государственные стандарты электронной цифровой подписи ГОСТ Р 34.10—2001, 34.11—94 вполне обеспечивают криптографические основы и возможность построения надежной системы электронного документооборота. Конкретные вариации будут касаться выбранных криптографических протоколов и реализаций служб сети и безусловно должны выполняться компетентными разработчиками — организациями и компаниями, имеющими все необходимые лицензии, в том числе лицензии ФАПСИ.
Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей в системах электронного документооборота и электронной торговли.
Термин “инфраструктура открытых ключей“ включает в себя полный комплекс программно—аппаратных средств, а также организационно—технических мероприятий, необходимых для использования открытых ключей.
Основным компонентом инфраструктуры является собственно система удостоверяющих центров.
Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур, используемые при создании информационные технологии.
Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.
В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой степени зависит надежность всей системы в целом и степень доверия к ней.
Как уже было сказано выше, предполагается, что федеральная инфраструктура по управлению открытыми ключами подписи строится по иерархическому принципу с учетом территориально—организационного деления субъектов федерации и федеральных органов власти. При этом дополнительно может быть использована и сетевая архитектура для обеспечения, при необходимости, включения в создаваемую федеральную инфраструктуру центров из коммерческих сетей.
Предлагаемая структура никак не ограничивает возможности коммерческого развития систем электронного обмена. Для обеспечения взаимодействия пользователей федерального уровня с пользователями, входящими в коммерческие сети, использующие различные архитектуры иерархии открытых ключей, центры сертификации соответствующего уровня и центр сертификации коммерческой сети могут производить взаимную сертификацию (выпускать кросс—сертификаты).
Процесс создания системы удостоверяющих центров в масштабах такого государства, как Россия, занимает продолжительное время и потребует привлечения значительных ресурсов. Поэтому поэтапное создание системы, начиная с верхнего, наиболее важного с точки зрения государственного управления уровня иерархии, позволит, с одной стороны, сэкономить ресурсы (поскольку центры нижнего уровня могут создаваться как государственными, так и коммерческими структурами, по мере вовлечения их в электронный документооборот), с другой стороны, позволит относительно быстро включить в электронный документооборот масштабные системы государственного управления федеральных округов России.
Создание подобной инфраструктуры центров весьма дорогостоящая процедура. Несмотря на то, что первая редакция немецкого закона о цифровой подписи была принята 1 августа 1997 года, Германский правительственный центр начал работу только 22 сентября 1998 года в г. Майнце. И соответствующую лицензию получило пока ограниченное число операторов в Германии. По немецким данным, стоимость создания такого центра колебалась от 2 до 5 млн. марок, включая лицензирование.
В заключение, хотелось бы сказать, что пока в практической реализации принятого Федерального закона “Об электронной цифровой подписи“ вопросов, пожалуй, больше, чем ответов. И мы готовы к конструктивному обсуждению всех существующих проблем с позиций, обеспечивающих информационную безопасность государства и личности.
Список литературы
1. Информатика: Учебник / Под ред. И.В. Макаровой. – М.: Финансы и статистика, 2012. – 768 с.
2. Информатика. Базовый курс/Симонович С.В. и др. – СПб.: Изд-во «Питер», 2010. – 640 с.
3. Компьютер для студентов./ Под ред. Комягина В.Б. – М.: Лучшие книги, 2011.– 224 с.
4. Буряковский В.В. Финансовый анализ. / В.В. Буряковский // Финансы предприятий [Электронный ресурс]. – Электрон. учебник. – 2012.
5. Уэйлс Д. Свободная энциклопедия [Электронный ресурс]. – Режим доступа: ru.wikipedia.org.//Дата доступа 27.12.2014.
6. Информационный бизнес портал [Электронный ресурс]. – Режим доступа: http://market-pages.ru.//Дата доступа 01.01.2015.