9.2. Условия применения ЭЦП и систем криптозащиты информации в России
9.2.1. История разработки ЭЦП в России
В настоящее время основой правовой базы использования ЭЦП в России являются следующие нормативно-правовые акты:
Гражданский Кодекс РФ;
Федеральный закон РФ “Об информации, информатизации и защите информации”;
Положение ЦБ РФ17-П “О порядке приема поручений, подписанных АСП”;
Положение ЦБ РФ 20-П “О правилах обмена электронными документами”;
Федеральный закон РФ “Об электронной цифровой подписи”.
Как уже отмечалось выше, первым нормативно-правовым актом, легализировавшим использование электронной подписи в России, явился Гражданский кодекс РФ.
Статьей № 434 “Форма договора” была юридически обоснована возможность совершения сделок в электронном виде:
Договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору. (см. ГК РФ, часть 1 ст. 434, п.2).
Cтатьей № 160 “Письменная форма сделки” разрешено использовать при совершении сделок электронную цифровую подпись:
Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно - цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. (см. ГК РФ, часть 1 ст.160, п.2).
Следующим правовым актом, легализирующим применение электронной цифровой подписи явился Федеральный закон об информации, информатизации и защите информации от 20 февраля 1995 г. № 24-Ф3.
В статье 1, описывающей сферу применения этого закона сказано: “Настоящий Федеральный закон регулирует отношения, возникающие при: формировании и использовании информационных ресурсов на основе создания, сбора, обработки, накопления, хранения, поиска, распространения и предоставления потребителю документированной информации; создании и использовании информационных технологий и средств их обеспечения; защите информации, прав субъектов, участвующих в информационных процессах и информатизации.” Документированная информация (документ) - зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать.
В статье 5 указывается, что юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно - технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
Согласно этому закону, право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии, порядок выдачи которой определяется законодательством Российской Федерации. В данном законе не дается никакого определения электронной цифровой подписи.
Временное положение о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями 10 февраля 1998 г. №17-П.
В соответствии со ст. 160 Гражданского кодекса Российской Федерации при совершении сделок в письменной форме допускается использование аналогов собственноручной подписи (АСП). Аналог собственноручной подписи (АСП) - персональный идентификатор кредитной организации либо клиента кредитной организации, являющийся контрольным параметром правильности составления всех обязательных реквизитов платежного документа и неизменности их содержания. Настоящее Положение устанавливает порядок приема к исполнению поручений владельцев счетов, в том числе составленных на электронных носителях, подписанных АСП, при проведении безналичных расчетов на территории Российской Федерации между кредитными организациями и кредитными организациями и их клиентами, а также порядок хранения и уничтожения платежных документов, подписанных АСП.
При организации документооборота более чем между двумя участниками процедура признания АСП должна предусматривать создание Администрации документооборота в установленном настоящим Положением порядке. Администрация документооборота (далее - Администрация) -юридическое лицо либо подразделение юридического лица, выполняющее функции по регистрации владельцев АСП, регистрации средств создания и проверки подлинности АСП, хранения эталонов программно-технических средств, предназначенных для составления платежных документов, создания и проверки АСП, а также эталонов документации на эти средства. Кроме того, к функциям Администрации относится урегулирование разногласий между участниками документооборота. Функции Администрации устанавливаются настоящим Положением и договором между участниками документооборота либо договором, заключаемым Администрацией с участниками документооборота.
Для создания и проверки АСП могут использоваться программно - технические и иные средства в порядке, устанавливаемом договором между участниками документооборота или с Администрацией. Процедуру проверки подлинности АСП участники документооборота устанавливают руководствуясь договором, заключенными между собой, либо между собой и Администрацией.
Положение о правилах обмена электронными документами между банком России, кредитными организациями (филиалами) и другими клиентами банками России при осуществлении расчетов через расчетную сеть банка России от12 марта 1998 г. № 20-П.
Это положение устанавливает правила обмена электронными документами и пакетами электронных документов только через расчетную сеть банка России. Здесь впервые появляется определение электронного документа, в контексте электронных платежей.
Электронный платежный документ (ЭПД) - документ, являющийся основанием для совершения операций по счетам кредитных организаций (филиалов) и других клиентов Банка России, открытым в учреждениях Банка России, подписанный (защищенный) ЭЦП и имеющий равную юридическую силу с расчетными документами на бумажных носителях, подписанными собственноручными подписями уполномоченных лиц и заверенными оттиском печати. В этом документе появляется следующее определение электронной цифровой подписи:
Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи (АСП), являющийся средством защиты информации, обеспечивающим возможность контроля целостности и подтверждения подлинности электронных документов. ЭЦП позволяет подтвердить ее принадлежность зарегистрированному владельцу. ЭЦП является неотъемлемой частью электронного документа (пакета электронных документов).
С целью обеспечения правовых условий использования электронной цифровой подписи в электронных документах 10 января 2002 года был принят закон “Об электронной цифровой подписи” № 1-ФЗ. При соблюдении этих условий электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Отмечается, что участник информационной системы может быть одновременно владельцем любого количества сертификатов ключей подписей.
С целью сертификации ЭЦП организовывается Удостоверяющий центр (УЦ). Для подтверждения подлинности ЭЦП и идентификации ее владельца удостоверяющим центром участнику информационной системы выдается сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, включающий в себя открытый ключ электронной цифровой подписи.
Удостоверяющим центром должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом.(ст.8)
Функции Удостоверяющего центра во многом аналогичны функциям Администрации из Положения ЦБ РФ 17-П - это изготовление сертификатов ключей подписей, создание ключей электронных цифровых подписей, приостановка, возобновление и аннулирование действия сертификатов ключей подписей, ведение реестра сертификатов ключей подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем; проверка уникальности открытых ключей электронных цифровых подписей в реестре сертификатов ключей подписей и архиве удостоверяющего центра; выдача сертификатов ключей подписей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии а также осуществление подтверждения подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей.(ст. 9)
Для обеспечения законности деятельности удостоверяющего центра вводится уполномоченный федеральный орган исполнительной власти. до начала использования собственной электронной цифровой подписи обязан представить в уполномоченный федеральный орган сертификат ключа этой подписи. Уполномоченный орган включает этот сертификат в единый государственный реестр, и только после этого Удостоверяющий центр может заниматься своей деятельностью.
Уполномоченный федеральный орган также занимается ведением государственного реестра сертификатов ключей подписей удостоверяющих центров и подтверждением подлинности ЭЦП уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей. (ст.10)
Электронная цифровая подпись считается юридически полноценной при соблюдении следующих условий:
- сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность электронной цифровой подписи в электронном документе;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. (ст.4, п.1).
9.2.2. Особенности применения ЭЦП в России
Сертификация ключей ЭЦП и лицензирование УЦ
Согласно закону “Об ЭЦП”, при создании ключей электронных цифровых подписей для использования в информационных системах общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Не допускается использование несертифицированных средств электронной цифровой подписи и созданных ими ключей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Во всех остальных корпоративных системах использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей разрешено в порядке, установленном в этой системе. (ст. 5).
Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг (ст.5, п. 4).
Деятельность удостоверяющего центра также подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности (ст. 8, п. 2).
Средства ЭЦП относятся к шифровальным средствам, поэтому сертификация средств ЭЦП и деятельность удостоверяющих центров регулируются указом Президента РФ № 334 “О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации”.
Указ сосредотачивает в руках ФАПСИ контроль за разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации и предоставлением услуг в области шифрования информации.
Указ запрещает использование государственными организациями и предприятиями в информационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата ФАПСИ, а также размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата ФАПСИ. (п.2).
Предложить ЦБ РФ и ФАПСИ принять необходимые меры в отношении коммерческих банков Российской Федерации, уклоняющихся от обязательного использования, защищенных технических средств хранения, обработки и передачи информации, имеющих сертификат при их информационном взаимодействии с подразделениями ЦБ РФ. (п.3).
Запретить деятельность юридических и физических лиц, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных технических средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации, без лицензий, выданных ФАПСИ в соответствии с Законом Российской Федерации "О федеральных органах правительственной связи и информации". (п.4).
Также указом запрещается ввоз на территорию России шифровальных средств иностранного производства без лицензии Министерства внешних экономических связей, выданной по согласованию с ФАПСИ. (п.5).
Лиц, не выполняющих требования данного указа будут выявлять Контрразведка, МВД, ФАПСИ, Налоговая служба и Налоговая полиция.(п.6).
Назад к разделу "Глава 9. Некоторые актуальные юридические проблемы Интернет-расчетов"