Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).
В законодательстве РФ данное понятие появилось с подписанием международного документа «Договор о Евразийском экономическом союзе» (Подписан в г. Астане 29.05.2014), который определяет вопросы экономической интеграции на пространстве ЕАЭС. Договор содержит Приложение №3 «Протокол об информационно-коммуникационных технологиях и информационном взаимодействии в рамках евразийского экономического союза». Данный протокол является правовой основой для решения задачи обеспечения доверия к трансграничным документам с электронной подписью путем использования технологии ДТС. Другой особенностью Договора является то, что он предусматривает решение данной задачи только для отношений между органами власти (G2G). В соответствии со «Стратегией развития трансграничного пространства доверия», утвержденной решением Коллегии ЕЭК от «27» сентября 2016 г. № 105 (далее — Стратегия):
«Субъектами электронного взаимодействия также могут стать органы государственной власти третьих государств (их должностные лица и сотрудники), физические и юридические лица (представители юридических лиц), должностные лица и сотрудники интеграционных объединений, международных организаций при условии заключения соответствующих международных договоров».На втором этапе развития трансграничного пространства доверия (до 2020 года) предусматривается:
«возможность электронного взаимодействия физических и юридических лиц между собой, а также с органами государственной власти государств-членов при нахождении физических и юридических лиц на территориях своих государств».
Таким образом, правовые, организационные и технологические условия для обеспечения доверия иностранным электронным подписям юридических и физических лиц в рамках трансграничного пространства доверия ЕАЭС, в соответствии со Стратегией, должны быть созданы в ЕАЭС уже в текущем году.
В законодательствах стран Евразийского экономического союза (ЕАЭС), обеспечение юридической силы, как свойства электронных документов, базируется на гарантиях аутентичности и целостности документов. При этом в основном*, для обеспечения свойств аутентичности и целостности электронных документов используются криптографические методы, а правовые основы закладываются в международном и национальном законодательстве. Значительное количество стран- экономических партнёров РФ, основывают своё законодательство в области юридической значимости электронных документов на типовом законе UNCITRAL 2001 года «Об электронных подписях», в качестве технологической основы которого предусмотрена именно криптографическая электронная подпись (digital signature) (табл.1).
Перечень стран, законодательство которых основано на типовом законе UNCITRAL 2001 года «Об электронных подписях»*2
Таким образом, задача организации трансграничного защищенного электронного юридически-значимого взаимодействия сводится к согласованию между странами-участниками отличий правового регулирования (например, требований к условиям применения криптографических средств) и отличий в средствах и способах обеспечения заданных значений защищенности.
Например, для организации защищенного электронного документооборота в странах ЕС и ЕАЭС используются криптографические средства.
При этом, многие страны развивают собственную криптографию, имеют собственные стандарты криптографических алгоритмов, используемых для создания и проверки ЭП (ЭЦП) и собственные механизмы реализации данных алгоритмов (средства электронной подписи и их аналоги).*3
В общем случае, эти решения между собой несовместимы, т.е. электронный документ, подписанный ЭЦП на основе криптографических стандартов, например, Республики Беларусь, не может быть проверен при помощи средств ЭЦП Республики Казахстан и российских средств ЭП.
Рассмотрим далее возможные технологические решения данной проблемы.
Вариант 1: Наиболее очевидным решением в этой ситуации, казалось бы, является использование общего, единого для участников информационного взаимодействия криптографического стандарта для процедур электронной подписи (рис.1).
В пользу этого подхода на постсоветском пространстве говорит наличие криптографических стандартов СНГ — ГОСТ 34.310-2002. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования». В то же время значительное количество стран использует встроенные в операционные системы решения, основанные на криптографических разработках США.
Но такой подход противоречит принципу национального суверенитета, который определяет рациональность использования сертифицированных по национальным стандартам средств электронной подписи, а также определяет возможность специфики правовой основы применения электронной подписи в разных странах. Отличия могут быть существенные, начиная с терминов, заканчивая смысловым содержанием аналогов собственноручной подписи. По этим причинам «вариант 1» не может рассматриваться как универсальное решение для обеспечения признания иностранной электронной подписи, особенно в Российской Федерации.
Вариант 2: Другим очевидным решением, казалось бы, должен стать подход на основе импорта/экспорта средств электронной подписи (СКЗИ) партнеров, взаимный легальный обмен ими, для оснащения национальных информационных систем и национальных пользователей иностранных информационных систем (рис. 2).
Но этот вариант имеет большое количество организационных и технических сложностей, и кроме того не разрешает весь перечень проблем. Прежде всего, средства электронной подписи являются шифровальными (криптографическими) средствами, а их экспорт и импорт имеет ряд существенных ограничений, затрудняющих реализацию данного варианта. В соответствии с «Положением о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств»:
«Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий, выдаваемых уполномоченным органом государства — участника таможенного союза, на территории которого зарегистрирован заявитель».Кроме того, ряд вопросов, связанных с использованием средств электронной подписи требует их периодического обслуживания провайдерами сертификационных услуг (например, удостоверяющими центрами), которые функционируют в соответствии с требованиями национальных законодательств и получение таких сервисов за пределами страны присутствия затруднено. Даже при решении задачи ввоза-вывоза средств электронной подписи для конкретной информационной системы, при масштабировании системы организационные проблемы возникают вновь, так как они требуют поэкземплярного учета этих средств, и каждый случай ввоза или вывоза требует оформления разовой лицензии.
К техническим особенностям данного варианта следует отнести, так же, необходимость оснащения всех информационных систем и всех поставщиков полным набором средств электронной подписи, что в настоящее время, кроме организационной затруднений, осложняется и отсутствием совместимости, при работе на одном средстве вычислительной техники наиболее распространенных СКЗИ.
К правовым недостаткам данного варианта следует отнести то, что в этом случае сторонам не предоставляется возможность получения документального подтверждения правомерности применения сертификата ключа проверки подписи для подписания конкретного типа документов в соответствии с законодательством страны происхождения электронного документа. В результате, каждый из контрагентов должен принимать решение о доверии электронному документу, не имея на это достаточных правовых оснований.
Таким образом, вариант 2, основанный на вывозе и ввозе СКЗИ, не является технологичным и неприменим для массового использования, для развивающихся информационных систем и для информационных систем, предполагающих наличие четких правовых условий применения электронных документов.
Для реализации защищенного трансграничного электронного юридически-значимого документооборота на основе криптографических средств целесообразно использовать иные подходы, позволяющие реализовать по существу эквивалентные (по обеим сторонам границы) уровни криптографической защиты информационных потоков и достаточные правовые основания для признания юридической силы электронных документов, т.е. методы, обеспеченные достаточной нормативной базой.
Вариант 3: Это вариант Доверенной третьей стороны, который реализуется в соответствии с тремя базовыми принципами:
- для создания «пространства доверия» на основе технологий информационной безопасности и в строгом соответствии с нормами международного и национального права, необходимо чтобы каждая из взаимодействующих сторон оставалась в своем национальном правовом поле;
- необходимо чтобы каждая из взаимодействующих сторон использовала собственные национальные криптографические стандарты;
- решение вопросов гармонизации технологий криптографической защиты и юридически-значимого оформления «пространства доверия» должно быть делегировано специализированным операторам, функционирующим по принципу Доверенной третьей стороны (ДТС)*4.
Схема взаимодействия сторон при реализации этих базовых принципов представлена на рис.3.
В соответствии с поправками, внесенными Федеральным законом N 476-ФЗ («О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля») в ст.7:
«3. Признание электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, соответствующими признакам усиленной электронной подписи, и их применение в правоотношениях в соответствии с законодательством Российской Федерации осуществляются в случаях, установленных международными договорами Российской Федерации. Такие электронные подписи признаются действительными в случае подтверждения соответствия их требованиям указанных международных договоров аккредитованной доверенной третьей стороной, аккредитованным удостоверяющим центром, иным лицом, уполномоченными на это международным договором Российской Федерации, с учетом настоящего Федерального закона».
Таким образом, с учетом данных положений, основу правовой модели взаимного признания трансграничных электронных подписей должны составлять международные договоры Российской Федерации. После вступления в силу указанных поправок (на момент написания данной статьи вступление в силу определено на 1 июля 2020 года), мы будем следить за появлением подобных международных договоров и анализировать практику работы указанных операторов при решении данной задачи.
В следующих статьях данного цикла мы постараемся рассмотреть другие задачи, связанные с электронной подписью, которые, в свете актуального законодательства РФ, могут и будут возлагаться на доверенную третью сторону.
- Общее руководство по законодательству в области ЭП: краткое изложение законодательства и исполнимости по странам/ Adobe Systems Incorporated 2016.
- Глобальный индекс кибербезопасности и профили по киберблагополучию. Отчет. Исследовательская группа ABI Research по заказу группы кибербезопасности МСЭ. Апрель 2015 г.
- Исследования группы компаний “Газиформсервис” 2018-2020 г.г.
Сергей Анатольевич Кирюшкин,
к.т.н., советник Генерального директора ООО «Газинформсервис»
Кустов Владимир Николаевич,
д.т.н., профессор, советник Генерального директора ООО «УЦ ГИС»
