Акция

Миграция с других систем

Скидка на систему «ДЕЛО» при миграции с других решений.

Получите демоверсию и консультацию

+7(495) 221-24-31

Вернуться к списку

Сертификат ключа подписи как объект права: опыт использования.

Доклад на VII Международной конференции «Право и Интернет» - http://www.ifap.ru/pi/07/

Грызунова Елена Вениаминовна, юрист компании "Удостоверяющий центр"

С каждым годом растет информатизация нашего общества, а вместе с ней – и угрозы, связанные с причинением прямого или косвенного имущественного или финансового ущерба предприятиям и частным лицам. Этот ущерб может быть вызван нарушением конфиденциальности, целостности и доступности информации. Одним из инструментов, позволяющим значительно снизить информационные риски является электронная цифровая подпись (далее ЭЦП). Федеральный закон «Об ЭЦП» N1-ФЗ от 10.01.2002 года (далее ФЗ «Об ЭЦП»), определяя правовые условия использования ЭЦП в электронных документах, заложил правовой фундамент использования технологий ЭЦП в решении проблем информационной безопасности. Проведя общий анализ адекватных правовых механизмов регулирования отношений в информационной сфере, и опираясь на опыт практической деятельности Удостоверяющих центров (далее УЦ), нам представляется необходимым еще раз обратиться к теоретическим основам использования сертификатов ключей подписи, в частности, к вопросу правового режима их использования.

Исходя из специальных требований, предъявляемых законодателем к содержанию сертификата ключа подписи (далее СКП), статус СКП можно определить как «особый информационный ресурс» (ст.2 ФЗ «Об информации, информатизации и защите информации»), что предполагает особый режим его использования. Так, элементами режима выступают: порядок выпуска сертификата ключа подписи, право собственности на закрытый и открытый ключи электронной цифровой подписи, соблюдение специального режима конфиденциальности в отношении как составляющих частей СКП, так и самого СКП, определенный порядок правовой защиты и охраны СКП. Рассмотрим элементы подробнее, с акцентом на нестыковки и неясности в правовой регламентации и сделаем вывод о том, что же такое правовой режим использования СКП.

Порядок выпуска СКП. Согласно ст.9 ФЗ «Об ЭЦП», УЦ изготавливает и выдает СКП участникам информационной системы, с обязательным включением СКП в реестр СКП. Однако ничего не сказано о Центрах регистрации, в том числе территориально распределенных - структурных подразделениях удостоверяющих центров, - через которые участники информационных систем взаимодействуют с Центром сертификации. Правовая регламентация статуса центра регистрации, позволила бы более эффективно координировать работу уже существующих удостоверяющих центров.

Сложно определить, кто обладает правом собственности на СКП. Владелец СКП наделяется правом владения и пользования, в том числе, правом определять область применения и количество СКП (ст. 4 п.2), правом на выбор создателя ключей ЭЦП (ст.5 п.1); правом на редакцию сведений, содержащихся в СКП (ст.6 п.2, ст.9 п.2) и др. Но относительно третьей составляющей права собственности – права распоряжения, законодатель умалчивает. Наряду с этим, законодатель упускает еще несколько важных моментов, связанных с использованием СКП.

Например, зачастую встает вопрос о корректности п.1 ст. 5 ФЗ «Об ЭЦП». Вправе ли участник информационной системы сам создавать и эксплуатировать ключи ЭЦП, ведь, для этого ему необходимо использование шифровального средства? К тому же ключи ЭЦП, как правило, хранятся в защищённом носителе. Вопрос имеет право на свое существование, так как п. 4 Указа Президента РФ от 03.04.95 N 334, запрещает деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ. Тем не менее, участник информационной системы вправе сам создавать ключи электронных цифровых подписей, так как согласно ФЗ "О лицензировании отдельных видов деятельности", деятельность по эксплуатации шифровальных средств к лицензируемым видам деятельности не отнесена. В этой связи необходимо обратить внимание, что с принятием ФЗ N 80-ФЗ от 02.07.2005 года, снялись все вопросы по процедуре обязательного лицензирования деятельности УЦ корпоративных информационных систем и систем общего пользования. С 17.07.2005 года данный вид деятельности не относится к лицензируемым. Таким образом, законодателю необходимо привести нормативно-правовые акты к единообразию, во избежание споров о правомерности тех или иных действий, связанных с использованием средств ЭЦП, и в первую очередь в ч.2 ст.8 ФЗ «Об ЭЦП».

Практика работы УЦ показала, что СКП в настоящее время, в большей своей части используют юридические лица, как средство оптимизации своей деятельности. Работник-владелец СКП, использует данное средство для выполнения своих должностных обязанностей. На наш взгляд, определение владельца СКП должно быть распространено и на юридическое лицо (в качестве его уполномоченного представителя).

Интересно, что согласно ст.9 ФЗ «Об ЭЦП», в случае, когда закрытый ключ ЭЦП был создан не самим владельцем СКП, то УЦ гарантирует сохранение закрытого ключа ЭЦП в тайне. Таким образом, Закрытый ключ ЭЦП – это информация с ограниченным доступом. К какому виду конфиденциальной информации относится защита закрытого ключа подписи: коммерческая тайна или защита персональных данных? При этом следует учитывать чьи интересы затрагиваются в случае разглашения тайны закрытого ключа, кто терпит убытки – физическое лицо – владелец СКП, или юридическое лицо – от лица которого работник-владелец СКП вступает в различные правоотношения с использованием ЭЦП.

Законодатель довольно расплывчато определил, сколько сертификатов можно выдать на одну ключевую пару. Казалось бы, согласно ст. 2 ФЗ «Об ЭЦП», участник информационной системы мог быть одновременно владельцем любого количества сертификатов ключей подписей, выданных на одну ключевую пару! Но ст.12 ФЗ «Об ЭЦП», определяя обязанности владельца СКП, прописывает жесткие требования, несоблюдение которых повлечет возмещение причиненных вследствие этого убытков, и в то же время, не раскрывает сути данных требований. Что влечет за собой другие вопросы, в частности. Возможно ли использовать один сертификат для различного рода отношений? Законодатель четко прописывает лишь требование к содержанию сертификата ключа подписи, но не оговаривает, как определять сферу и область применения конкретного СКП, возможно ли совмещение различных областей или лишь тех, чьи сроки исковой давности совпадают. В настоящий момент – эти вопросы разрешаются по усмотрению сторон. Необходимо выработать критерии определения области применения СКП, с определением предела ответственности в каждом из случаев применения СКП.

Условия использования СКП тесно связаны и пересекаются с условиями использования ЭЦП: условия признания равнозначности ЭЦП и собственноручной подписи (ст. 4); требования к средствам ЭЦП (ст.5); структурные составляющие СКП (ст. 6); срок и порядок хранения СКП в УЦ (ст. 7); порядок приостановления действия СКП (ст.13); условия и порядок аннулирования СКП (ст.14) и др.

Но соблюдения вышеперечисленных условий применения и использования ЭЦП будет недостаточным, если не будут соблюдены следующие требования:

1) соблюдение режима использования криптографических средств защиты информации и средств электронной цифровой подписи (п.3 ст.5 ФЗ «Об информации, информатизации и защите информации», ст.5 ФЗ «Об ЭЦП»);

2) соблюдение режима конфиденциальной информации - тайны закрытого ключа электронной цифровой подписи (ст.9 ФЗ «Об ЭЦП» );

3) соблюдение режима конфиденциальной информации о персональных данных владельца сертификата ключа подписи (ст.11 ФЗ «Об информации, информатизации и защите информации»).

Юридическая сила ЭЦП признается при наличии программно-технических средств (обеспечивающих идентификацию подписи), и соблюдении установленного режима их использования (п.3 ст.5 ФЗ «Об информации...»). ЭЦП основывается на криптографии с открытыми ключами, в которой используются два ключа (коды, уникальные последовательности символов) - закрытый ключ и открытый ключ, причем открытый ключ должен соответствовать закрытому. Использование криптографических средств регламентировано в ст. 3 ФЗ «Об ЭЦП», как средства электронной цифровой подписи. Статья 5 регламентирует использование средств электронной цифровой подписи в информационных системах общего и корпоративного пользования. Алгоритмы криптографических преобразования должны соответствовать ГОСТ Р 34.10-94, ГОСТ Р 34.10-2001, ГОСТ Р 34.11-94. Норма закона об использовании сертифицированных средств ЭЦП требует уточнения, в отношении действующих систем, а норма о возложении ответственности создателей и распространителей несертифицированных средств ЭЦП – конкретизации в части определения этих субъектов и оснований их ответственности.

Проведенный нами анализ нормативного регулирования и практического осуществления деятельности, связанной с ЭЦП и СКП, позволяет нам сделать вывод о том, что правовой режим использования СКП – специфический вид правого регулирования, который выражен в своеобразном сочетании комплекса требований к условиям применения Сертификата Ключа Подписи и условиям признания юридического значения Электронной Цифровой Подписи. Эти требования должны неукоснительно соблюдаться субъектами систем электронного документооборота для придания электронным документам юридической силы.

К сожалению, рассмотренный круг вопросов не исчерпывает всех проблем, которые встают на пути правового регулирования использования сертификатов ключей подписи. Однако, даже такое несколько сумбурное правовое регулирования отношений в сфере ЭЦП лучше, чем полное его отсутствие, которое не так давно имело место.

К настоящему времени в некоторых организациях сложились определенная договорная практика и опыт использования ЭЦП, которые могли бы помочь законодателям учесть коллизии и неточности и внести соответствующие изменения в Закон «Об ЭЦП», а также своевременно принять необходимые подзаконные нормативные акты в сфере информационных технологий.

Источник: http://www.ifap.ru/pi/07/sr04.doc

 


Возврат к списку


Ольга Савко

Начальник группы телемаркетинга

Получите качественную бесплатную консультацию

Акция

Переход на отечественную АИС МФЦ

Скидка на право использования АИС МФЦ «ДЕЛО» при миграции с других решений по автоматизации МФЦ

Акция

«Амнистия» по техподдержке

Акция для клиентов, у которых есть просроченная техподдержка до 01.01.2015

Календарь мероприятий

26октября

Важнейшее IT-событие октября - конференция «Осенний документооборот»

Узнать больше

09октября

ЭОС - участник Всероссийского форума «ПРОФ ИТ»

Узнать больше

04октября

ЭОС и «Медиалюкс» на конференции «СЭД глазами пользователя – о чем молчат вендоры»

Узнать больше

Наши клиенты

7 000 компаний

Наши партнеры

250

во всех городах России
и странах СНГ