Системы электронной подписи (ЭП), по мнению организаторов конференции «РусКрипто’2012», являются сегодня основным двигателем массового распространения и развития криптографических средств в нашей стране. Участники этой конференции на одном из круглых столов, проведенных в рамках мероприятия, обсудили наиболее острые, с их точки зрения, вопросы практического применения закона «Об электронной подписи».
В первую очередь, как отметил коммерческий директор компании «КриптоПро» Юрий Маслов, действие этого закона сказывается на функционировании удостоверяющих центров (УЦ) и на операторах электронного документооборота (ЭД), которые иногда бывают представлены одним юридическим лицом, но гораздо чаще — разными.
1 июля 2012 г. заканчивается переходной период от прежнего закона, регулирующего использование ЭП, к новому, принятому весной прошлого года и дополненного с той поры существенным количеством подзаконных актов, которые, однако, далеко не полностью прояснили ситуацию с регулированием применения ЭП в стране. В результате непонимание требований и положений закона, по наблюдениям господина Маслова, можно легко обнаружить даже на федеральном портале электронных госуслуг.
Юристы и технари
Среди общих проблем перехода от ЭЦП к ЭП (иными словами, среди проблем практического использования ЭП, с которыми общество столкнется после 1 июля) начальник отдела системной экспертизы департамента информационных технологий Промсвязьбанка Федор Дзержинский выделяет проблему достижения согласованности между ИТ-специалистами и юристами.
Поскольку, как он говорит, сегодня вместить в голову одного специалиста полное понимание всех связанных с использованием ЭП актуальных аспектов невозможно, всем заинтересованным сторонам нужно учиться слаженно работать в условиях, когда каждый из участников процесса применения ЭП разбирается только в своей, довольно узкой части общей проблемы. При этом большая нагрузка ложится на плечи ИТ-специалистов, поскольку именно они разбираются в предметной области, регулируемой законом № 63-ФЗ. Однако ведущими в выполнении требований № 63-ФЗ, считают ИТ-эксперты, будут все-таки юридические службы, так как именно они будут представлять компании в судах.
В качестве примера возможного важного разногласия между юристами и ИТ-профессионалами господин Дзержинский рассмотрел трактовку действия ст. 6 п. 1 закона № 63-ФЗ в контексте ее применения для неправительственных информационных систем (упомянув, что для федеральных и муниципальных ИС ситуация упрощается благодаря их бюджетному финансированию и более плотному контролю со стороны регуляторов через подзаконные акты и другие документы). В этой статье закона говорится о том, что информация в электронной форме, подписанная квалифицированной ЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью (кроме некоторых отдельных случаев).
Юристы, по мнению господина Дзержинского, делают из этой формулировки вывод о том, что квалифицированная ЭП признается и в ситуации отсутствия договора между участниками взаимодействия. Однако, не будучи сведущими в информационных технологиях, юристы не в состоянии учесть, что законное использование такого документа (т. е. документа, подписанного квалифицированной ЭП, но не подкрепленного договором), можно оспаривать в суде, оперируя понятиями действительности такой подписи, отсутствием меток времени ее создания, определением средств ЭП, предназначенных для проверки квалифицированной ЭП и совместимых с теми средствами, с помощью которых подпись была создана, и, наконец, с форматом ЭД, под которым она стоит.
В результате по этому конкретному вопросу (которых на самом деле возникает множество) господин Дзержинский делает заключение: применительно к системам электронного взаимодействия частных компаний использование квалифицированной ЭП в отсутствие договора между всеми участниками взаимодействия заведомо технически невозможно вопреки чуть ли не всеобщей уверенности в обратном (что провоцируется неточными формулировками закона № 63-ФЗ).
Как заключает господин Дзержинский, если в задачах, связанных с практическим применением ЭП, сосредоточивать внимание лишь на терминах закона № 63-ФЗ, а не на их подлинном, в том числе техническом смысле, то можно сильно ошибиться в выборе решений для реализации систем ЭП и спровоцировать тем самым большие риски для бизнеса.
Юристы диктуют правила игры
По мнению эксперта по информационной безопасности из «Академии информационных систем» Дмитрия Левиева, закон «Об электронной подписи» перекладывает ответственность за выполнение требований по использованию ЭП на юридические отделы. По его наблюдениям, сегодня примерно в 70% российских компаний это уже произошло. Причем уровень понимания юристами предметной области остается низким, и, по его выражению, техническим специалистам приходится сегодня работать «переводчиками» при юристах.
Корпоративных юристов, как отмечает господин Левиев, в настоящее время в первую очередь помимо текста самого закона № 63-ФЗ заботят два последних приказа ФСБ: «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи» и «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра».
Эти приказы порождают у них озабоченность тем, как корпоративные информационные системы, использующие ЭП, привести в соответствие с законом № 63-ФЗ к 1 июля, ведь среди этих систем есть и такие важные для компаний, как системы сдачи обязательной отчетности (в ФНС, ПФР, ФСС и ФФОМС), системы обмена первичными бухгалтерскими документами, юридически значимый документооборот, системы обеспечения управления информацией о ключах ЭП.
Поскольку в законе № 63-ФЗ нет определения обеспечения целостности информации, юристы требуют от технических специалистов объяснить им, как же теперь эту целостность обеспечивать. Чтобы соответствовать новым требованиям, господин Левиев рекомендует использовать для этого усиленную неквалифицированную электронную подпись (УНквЭП) и усиленную квалифицированную электронную подпись (УКвЭП) и помнить при этом о том, что в УКвЭП должны использоваться криптографические средства, только соответствующие российским ГОСТам.
Что касается автоматического подписания документов с помощью ЭП, то юристы склонны рассматривать его как лазейку для отказа от авторства и требуют от ИТ-службы эту лазейку закрывать какими-либо технических средствами.
Господин Левиев обращает внимание также на то, что юристы рассматривают комплексы обслуживания ЭП как «черный ящик», содержимое которого — прикладное и системное ПО, криптопровайдер, УЦ и т. д. — для них непонятно. Поэтому ИТ-службам нужно быть готовыми к тому, что юридические службы могут потребовать наличие сертификата ФСБ на этот «черный ящик» в целом (включая и сами УЦ), а не на его отдельные компоненты, на что юристов подвигает закон «Об электронной подписи» и упомянутый выше приказ ФСБ № 796 от 27.12.2011.
Поскольку, как считают эксперты, при использовании ЭП актуализируются юридические аспекты, то в этой области следует ожидать резкого роста числа судебных разбирательств, апеллирующих к судебным экспертизам соответствующего профиля. Однако, по оценкам господина Левиева, проводить ее в прогнозируемых количествах будет некому, по меньшей мере в течение первого года с момента вступления в силу закона № 63-ФЗ.
ЭП и ПДн
Введенная в закон «О персональных данных» в июле прошлого года формулировка, включающая в сферу его действия все другие федеральные законы, описывающие порядок обработки персональных данных (ПДн), захватывает и закон «Об электронной подписи». Это, как утверждает господин Левиев, означает, что прежде чем выбрать средства реализации УЦ и ЭП, компаниям необходимо учесть требования к ним со стороны закона № 152-ФЗ, в частности начать с разработки модели угроз и нарушителей и завершить все сертификацией криптосредств поддержки ЭП по требованиям закона № 152-ФЗ.
Согласно требованиям ФСБ, срок действия таких сертификатов не может превышать 15 лет. В то же время срок хранения медицинских документов в системах электронного документооборота (СЭД) установлен в 25 лет. Это означает, что юридическая значимость в СЭД этого класса не может быть обеспечена. В результате юристы будут настаивать на использовании в таких СЭД явных меток времени.
УЦ накапливают ПДн о заявителях ЭП, среди которых большую часть составляют физические лица, что требует в отношении УЦ выполнения того же комплекса работ, что и для информационных систем персональных данных (ИСПДн). Если же учесть реальную динамику развития УЦ, то через непродолжительное время количество накопленных ПДн может потребовать повышения класса ИСПДн.
В мае ожидается выход ряда новых нормативно-методических документов, регулирующих защиту ПДн, и это потребует внесения соответствующих изменений в те корпоративные системы и документы, которые будут к этому сроку подготовлены для выполнения закона № 63-ФЗ.
Господин Левиев напоминает, что система управления информацией о ключах шифрования при работе с УКвП и УНквЭП должна быть построена как выделенный программно-аппаратный комплекс УЦ. В большинстве случаев это потребует наличия на рынке новых вариантов таких комплексов, которые будут удовлетворять упомянутым выше приказам ФСБ. Однако ввиду недавнего вступления приказов в юридическую силу такие комплексы в настоящее время только проходят надлежащую сертификацию.
Следует также помнить о том, что УЦ теперь обязаны письменно уведомлять получателей сертификатов ЭП об условиях и о порядке использования ЭП, о связанных с этим рисках, о мерах, необходимых для обеспечения безопасности ЭП и их проверки. Для УЦ класса КС2 и выше обязательна проверка документов, удостоверяющих личность владельцев сертификатов ЭП. Для оформления квалифицированной ЭП необходимо получить от физического лица — владельца сертификата ключа проверки подписи, страховой номер индивидуального лицевого счета (СНИЛС).
Что делать
В качестве оперативных мер по выполнению требований закона № 63-ФЗ господин Левиев рекомендует как можно быстрее выделить в компании те системы, в которых применение квалифицированной ЭП обязательно, и официально обратиться либо к администраторам этих систем, либо к органам власти, требующим обязательного использования таких систем, с вопросом о порядке дальнейших действий, которые помогут избежать в процессе их эксплуатации противоречий с законом «Об электронной подписи» после 1 июля.
Для систем, в которых возможно применение неквалифицированной ЭП господин Левиев рекомендует пересмотреть действующие договоры с учетом требований закона № 63-ФЗ, разработать понятные юристам регламенты разбора возможных конфликтных ситуаций, перевести системы управления ключевой информацией на УЦ и внести изменения в регламент работы УЦ, соответствующие требованиям закона № 63-ФЗ.
Что касается регуляторов, то, по мнению господина Левиева, им было бы разумно передвинуть срок для вступления в силу закона № 63-ФЗ на год, с тем чтобы привести правила использования сертифицированных средств ЭП в соответствие со сложившейся в стране практикой применения средств ЭП, а также озаботиться тем, чтобы сделать открытой для юристов оценку соответствия средств ЭП и УЦ требованиям закона и подзаконных актов.
Немного позитивной практики
Как сообщил начальник отдела информационной безопасности проекта «Информационное общество» компании «Ростелеком» Илья Трифаленков, в рамках выполнения государственного контракта в проекте «Информационное общество» компания «Ростелеком» переключилась с задачи создания в стране единого пространства доверия (ЕПД) на построение информационных систем головного удостоверяющего центра (ИС ГУЦ).
Считается, что такая конкретизация цели более востребована в стране и точнее отражает реальную практику «Ростелекома», поскольку компании трудно было измерять результаты в парадигме создания ЕПД, определяемого как совокупность нормативных и организационно-технических условий, обеспечивающих техническую возможность и юридическую значимость действий граждан, организаций и государственных органов по установлению доверия электронным подписям при обеспечении информационного взаимодействия.
Нынешняя задача — построение ИС ГУЦ — включает создание совокупности информационных систем, обеспечивающих предоставление услуг, связанных с постановкой и проверкой квалифицированной ЭП, а также автоматизацию деятельности уполномоченного органа в области ЭП. По словам господина Трифаленкова, это более узкая задача, зато позволяющая оценить результаты ее выполнения для компании.