15 мая

Технологическое и нормативное обеспечение цифровых сервисов доверия в Российской Федерации

Блог компании ГазинформсервисИнформационная безопасностьКриптография
Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.
Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).

В законодательстве РФ данное понятие появилось с подписанием международного документа «Договор о Евразийском экономическом союзе» (Подписан в г. Астане 29.05.2014), который определяет вопросы экономической интеграции на пространстве ЕАЭС. Договор содержит Приложение №3 «Протокол об информационно-коммуникационных технологиях и информационном взаимодействии в рамках евразийского экономического союза». Данный протокол является правовой основой для решения задачи обеспечения доверия к трансграничным документам с электронной подписью путем использования технологии ДТС. Другой особенностью Договора является то, что он предусматривает решение данной задачи только для отношений между органами власти (G2G). В соответствии со «Стратегией развития трансграничного пространства доверия», утвержденной решением Коллегии ЕЭК от «27» сентября 2016 г. № 105 (далее — Стратегия):
«Субъектами электронного взаимодействия также могут стать органы государственной власти третьих государств (их должностные лица и сотрудники), физические и юридические лица (представители юридических лиц), должностные лица и сотрудники интеграционных объединений, международных организаций при условии заключения соответствующих международных договоров».
На втором этапе развития трансграничного пространства доверия (до 2020 года) предусматривается:
«возможность электронного взаимодействия физических и юридических лиц между собой, а также с органами государственной власти государств-членов при нахождении физических и юридических лиц на территориях своих государств».

Таким образом, правовые, организационные и технологические условия для обеспечения доверия иностранным электронным подписям юридических и физических лиц в рамках трансграничного пространства доверия ЕАЭС, в соответствии со Стратегией, должны быть созданы в ЕАЭС уже в текущем году.

В законодательствах стран Евразийского экономического союза (ЕАЭС), обеспечение юридической силы, как свойства электронных документов, базируется на гарантиях аутентичности и целостности документов. При этом в основном*, для обеспечения свойств аутентичности и целостности электронных документов используются криптографические методы, а правовые основы закладываются в международном и национальном законодательстве. Значительное количество стран- экономических партнёров РФ, основывают своё законодательство в области юридической значимости электронных документов на типовом законе UNCITRAL 2001 года «Об электронных подписях», в качестве технологической основы которого предусмотрена именно криптографическая электронная подпись (digital signature) (табл.1).

Перечень стран, законодательство которых основано на типовом законе UNCITRAL 2001 года «Об электронных подписях»*2



Таким образом, задача организации трансграничного защищенного электронного юридически-значимого взаимодействия сводится к согласованию между странами-участниками отличий правового регулирования (например, требований к условиям применения криптографических средств) и отличий в средствах и способах обеспечения заданных значений защищенности.

Например, для организации защищенного электронного документооборота в странах ЕС и ЕАЭС используются криптографические средства.

При этом, многие страны развивают собственную криптографию, имеют собственные стандарты криптографических алгоритмов, используемых для создания и проверки ЭП (ЭЦП) и собственные механизмы реализации данных алгоритмов (средства электронной подписи и их аналоги).*3

В общем случае, эти решения между собой несовместимы, т.е. электронный документ, подписанный ЭЦП на основе криптографических стандартов, например, Республики Беларусь, не может быть проверен при помощи средств ЭЦП Республики Казахстан и российских средств ЭП.

Рассмотрим далее возможные технологические решения данной проблемы.

Вариант 1: Наиболее очевидным решением в этой ситуации, казалось бы, является использование общего, единого для участников информационного взаимодействия криптографического стандарта для процедур электронной подписи (рис.1).



В пользу этого подхода на постсоветском пространстве говорит наличие криптографических стандартов СНГ — ГОСТ 34.310-2002. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования». В то же время значительное количество стран использует встроенные в операционные системы решения, основанные на криптографических разработках США.

Но такой подход противоречит принципу национального суверенитета, который определяет рациональность использования сертифицированных по национальным стандартам средств электронной подписи, а также определяет возможность специфики правовой основы применения электронной подписи в разных странах. Отличия могут быть существенные, начиная с терминов, заканчивая смысловым содержанием аналогов собственноручной подписи. По этим причинам «вариант 1» не может рассматриваться как универсальное решение для обеспечения признания иностранной электронной подписи, особенно в Российской Федерации.

Вариант 2: Другим очевидным решением, казалось бы, должен стать подход на основе импорта/экспорта средств электронной подписи (СКЗИ) партнеров, взаимный легальный обмен ими, для оснащения национальных информационных систем и национальных пользователей иностранных информационных систем (рис. 2).



Но этот вариант имеет большое количество организационных и технических сложностей, и кроме того не разрешает весь перечень проблем. Прежде всего, средства электронной подписи являются шифровальными (криптографическими) средствами, а их экспорт и импорт имеет ряд существенных ограничений, затрудняющих реализацию данного варианта. В соответствии с «Положением о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств»:
«Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий, выдаваемых уполномоченным органом государства — участника таможенного союза, на территории которого зарегистрирован заявитель».
Кроме того, ряд вопросов, связанных с использованием средств электронной подписи требует их периодического обслуживания провайдерами сертификационных услуг (например, удостоверяющими центрами), которые функционируют в соответствии с требованиями национальных законодательств и получение таких сервисов за пределами страны присутствия затруднено. Даже при решении задачи ввоза-вывоза средств электронной подписи для конкретной информационной системы, при масштабировании системы организационные проблемы возникают вновь, так как они требуют поэкземплярного учета этих средств, и каждый случай ввоза или вывоза требует оформления разовой лицензии.

К техническим особенностям данного варианта следует отнести, так же, необходимость оснащения всех информационных систем и всех поставщиков полным набором средств электронной подписи, что в настоящее время, кроме организационной затруднений, осложняется и отсутствием совместимости, при работе на одном средстве вычислительной техники наиболее распространенных СКЗИ.

К правовым недостаткам данного варианта следует отнести то, что в этом случае сторонам не предоставляется возможность получения документального подтверждения правомерности применения сертификата ключа проверки подписи для подписания конкретного типа документов в соответствии с законодательством страны происхождения электронного документа. В результате, каждый из контрагентов должен принимать решение о доверии электронному документу, не имея на это достаточных правовых оснований.

Таким образом, вариант 2, основанный на вывозе и ввозе СКЗИ, не является технологичным и неприменим для массового использования, для развивающихся информационных систем и для информационных систем, предполагающих наличие четких правовых условий применения электронных документов.

Для реализации защищенного трансграничного электронного юридически-значимого документооборота на основе криптографических средств целесообразно использовать иные подходы, позволяющие реализовать по существу эквивалентные (по обеим сторонам границы) уровни криптографической защиты информационных потоков и достаточные правовые основания для признания юридической силы электронных документов, т.е. методы, обеспеченные достаточной нормативной базой.

Вариант 3: Это вариант Доверенной третьей стороны, который реализуется в соответствии с тремя базовыми принципами:

  1. для создания «пространства доверия» на основе технологий информационной безопасности и в строгом соответствии с нормами международного и национального права, необходимо чтобы каждая из взаимодействующих сторон оставалась в своем национальном правовом поле;
  2. необходимо чтобы каждая из взаимодействующих сторон использовала собственные национальные криптографические стандарты;
  3. решение вопросов гармонизации технологий криптографической защиты и юридически-значимого оформления «пространства доверия» должно быть делегировано специализированным операторам, функционирующим по принципу Доверенной третьей стороны (ДТС)*4.

Схема взаимодействия сторон при реализации этих базовых принципов представлена на рис.3.



В соответствии с поправками, внесенными Федеральным законом N 476-ФЗ («О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля») в ст.7:
«3. Признание электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, соответствующими признакам усиленной электронной подписи, и их применение в правоотношениях в соответствии с законодательством Российской Федерации осуществляются в случаях, установленных международными договорами Российской Федерации. Такие электронные подписи признаются действительными в случае подтверждения соответствия их требованиям указанных международных договоров аккредитованной доверенной третьей стороной, аккредитованным удостоверяющим центром, иным лицом, уполномоченными на это международным договором Российской Федерации, с учетом настоящего Федерального закона».

Таким образом, с учетом данных положений, основу правовой модели взаимного признания трансграничных электронных подписей должны составлять международные договоры Российской Федерации. После вступления в силу указанных поправок (на момент написания данной статьи вступление в силу определено на 1 июля 2020 года), мы будем следить за появлением подобных международных договоров и анализировать практику работы указанных операторов при решении данной задачи.

В следующих статьях данного цикла мы постараемся рассмотреть другие задачи, связанные с электронной подписью, которые, в свете актуального законодательства РФ, могут и будут возлагаться на доверенную третью сторону.

* Есть исключения, в частности Федеральный закон РФ № 63-ФЗ от 06.04.2011 предусматривает возможность использования некриптографической простой электронной подписи, которая в данном материале рассматриваться не будет, как неприменимая для рассматриваемых прикладных задач.

*2 На основе:

  • Общее руководство по законодательству в области ЭП: краткое изложение законодательства и исполнимости по странам/ Adobe Systems Incorporated 2016.
  • Глобальный индекс кибербезопасности и профили по киберблагополучию. Отчет. Исследовательская группа ABI Research по заказу группы кибербезопасности МСЭ. Апрель 2015 г.
  • Исследования группы компаний “Газиформсервис” 2018-2020 г.г.

*3 В основе стандартов стран ЕАЭС лежат общие подходы, но в настоящее время национальные реализации «навстречу» несовместимы.

*4 Доверенная третья сторона (ДТС) это организация или представитель организации, который оказывает одну или несколько услуг безопасности, и является доверенным для других субъектов относительно действий, связанных с этими услугами безопасности. (ITU IT Recommendation X.842. Information technology – Security Techniques – Guidelines for the use and management of trusted third party services).

Сергей Анатольевич Кирюшкин,
к.т.н., советник Генерального директора ООО «Газинформсервис»

Кустов Владимир Николаевич,
д.т.н., профессор, советник Генерального директора ООО «УЦ ГИС»
Теги:дтскриптографияэлектронная подписьтрансграничный документооборот
Хабы: Блог компании Газинформсервис Информационная безопасность Криптография
+2
761 4
Комментировать
Лучшие публикации за сутки