Электронная цифровая подпись в документировании: проблемы разработки и применения

 
Положение с использованием ЭЦП в государственном  секторе 
Основное отличие для государственных структур состоит в применении (в соответствии с законодательством) только сертифицированных криптосредств, то есть исключительно отечественных алгоритмов ГОСТа для ЭЦП. Подписание Закона об ЭЦП послужило мощным если не технологическим, то психологическим стимулом к созданию различными российскими административными структурами электронных систем с применением ЭЦП. Например, судя по заявлениям в прессе правительство Москвы в настоящее время начинает разворачивать несколько программ в области информационных технологий, подразумевающих в том числе и внедрение процедуры ЭЦП в региональном масштабе. 
 
С потребительской точки зрения наиболее интересны уже функционирующие электронные системы тех структур, с которыми часто контактируют юридические и физические лица. Эти системы заметно различаются как по подходам к реализации, так и по степени успешности.  
В качестве примера рассмотрим систему предоставления юридическими лицами данных персонифицированного учета своих сотрудников для Пенсионного фонда (ПФ) и систему предоставления налоговых деклараций налогоплательщиками для Министерства по налогам и сборам (МНС). По многим параметрам они находятся в противоположных концах "спектра". 
 
В обоих случаях право генерации ключевой пары ЭЦП пользователя делегируется администратору системы, что, естественно, вызывает негативную реакцию со стороны пользователя. Однако этим сходство исчерпывается. Системы используют программные продукты от разных отечественных производителей, которые технологически несовместимы. Это касается и форматов ЭЦП.

В системе ПФ с пользователем заключается договор, которым предусматриваются взаимное признание ЭЦП, разбор конфликтных ситуаций при использовании ЭЦП и взятие пользователем обязательства буквально выполнить "Требования  
по... эксплуатации шифровальных средств по уровню С", утвержденные ФАПСИ 05.01.97 г., что довольно сложно. Организации приходится не только закупить у фирмы-дилера необходимое ПО, настроить его и выполнить весьма жесткие требования по организации рабочего места, но и оформить все это актами двух комиссий. Такая ситуация привела к тому, что по состоянию на конец марта 2003 года ни одна организация в Москве не перешла на безбумажную технологию предоставления данных в ПФ по каналам связи с использованием ЭЦП.  
 
В системе МНС (под названием ЭОКС) организация и администрирование возложены на специализированного оператора связи - компанию "Такском". Она организует подключение к системе налоговых инспекций и налогоплательщиков. Налогоплательщик подписывает с ней договор, в котором обязуется соблюдать "Правила использования СКЗИ и ЭЦП" (выработанные "Такскомом" и имеющие частично рекомендательный характер) и "Порядок представления налоговых деклараций в электронном виде", установленный приказом по МНС от 02.04.02 г. и определяющий организационную сторону процесса (правовая сторона возлагается на соответствующее российское законодательство). Никаких дополнительных письменных соглашений между пользователем и самим МНС не заключается. Жестких требований по организации рабочих мест с составлением актов не выдвигается. Столь упрощенный и технологичный подход обеспечил подключение к ЭОКС в Москве 2 тыс. абонентов (данные на конец марта 2003 г.). Это пример наиболее успешного внедрения процедуры ЭЦП в госсекторе. Однако если учесть, что всего в столице около 250 тыс. активных юридических лиц, регулярно сдающих налоговую отчетность, то и его на данном этапе нельзя квалифицировать как триумф информационных технологий.

К тому же, медаль имеет и оборотную сторону. В  системе МНС отсутствует досудебный порядок разрешения конфликтных  ситуаций и нет соглашения, в котором пользователь в прямом виде признавал бы эквивалентность ЭЦП своей рукописной подписи в отношениях с МНС (т. е. соответствующие статьи ГК РФ здесь неприменимы). В то же время сертификационный центр компании "Такском", выдающий сертификаты ЭЦП, не имеет статуса федерального удостоверяющего центра. Следовательно, без дополнительного письменного соглашения между сторонами электронная цифровая подпись на базе этих сертификатов не должна признаваться в судебной инстанции юридическим аналогом собственноручной подписи. Вообще говоря, это дает возможность недобросовестному налогоплательщику подавать в электронном виде ложные налоговые декларации, не опасаясь будущих судебных разбирательств. 
 
Оценивая ситуацию в целом, можно сказать следующее. С одной стороны, в государственном секторе имеются административные и другие рычаги, с помощью которых можно проще и быстрее, чем в коммерческой сфере, добиться если не совместимости, то единообразия использования соответствующего ПО. С другой - министерства и ведомства, похоже, предпочитают учиться лишь на собственных ошибках, не учитывая накопленный опыт коммерческого сектора, т. е. строят автономные системы с ЭЦП на технологически разнородных программных пакетах, используя к тому же различные организационные подходы. Простая мысль, что активность абонентов при подключении к таким системам (а следовательно, и эффективность их применения) напрямую зависит от степени удобства для потребителя телекоммуникационных услуг использования их в совокупности, т. е. от их унификации, пока не принимается в расчет

 
Перспективы использования  ЭЦП в системах общего пользования  на базе инфраструктуры удостоверяющих центров

 
Закон об ЭЦП, по сути, не внес сколь-нибудь существенных изменений в практику применения ЭЦП в замкнутых (корпоративных) системах. Основная польза, которую он мог бы принести, - это юридически правомерное применение ЭЦП в рамках систем общего пользования без необходимости заключать двусторонние письменные соглашения. Для этого достаточно было бы получить сертификат ЭЦП в федеральном удостоверяющем центре, играющем роль электронного нотариуса. Правда, применение в соответствии с Законом исключительно отечественных криптоалгоритмов означало бы построение систем общего пользования только в рамках РФ, но это уже другой вопрос.  
 
Ныне действующие центры, называющие себя "удостоверяющими", функционируют на основе нескольких лицензий в области защиты информации, что делает их деятельность законной, но не превращает их в федеральные удостоверяющие центры в соответствии с Законом об ЭЦП. Более корректно называть их сертификационными, поскольку их сертификаты используются только внутри замкнутых систем и, следовательно, по сути они являются корпоративными.  
 
Однако создание инфраструктуры лицензированных удостоверяющих центров тормозится по двум причинам. 
 
Во-первых, до сих пор не утверждены соответствующие акты: Указ о назначении уполномоченного органа, который, в частности, регистрировал бы открытые ключи самих центров, и Положение о лицензировании удостоверяющих центров. В связи с передачей с 01.07.03 г. функций ФАПСИ (которое по логике должно было стать уполномоченным органом) в другие силовые ведомства все в очередной раз отложилось. 
 
Во-вторых, технологически нецелесообразно создавать сеть удостоверяющих центров, которые используют несовместимое ПО. Это означает, что пользователь сможет контактировать в телекоммуникационной сети только с теми абонентами, которые получают ЭЦП в том же центре. Такая схема не намного лучше ныне существующей совокупности замкнутых систем и дискредитирует саму идею применения ЭЦП в системах общего пользования.

До сих пор  попытки выработать единые отечественные  форматы ЭЦП в рамках стандарта  Х.509 и унифицировать соответствующее  ПО предпринимали лишь группы фирм-разработчиков. Следует упомянуть соглашение о сотрудничестве в этой области между ФГУП НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс" в ноябре 2002 года. Еще раньше компании ЗАО "Сигнал-Ком" и "Новый Адам" предложили структуру и формат полей сертификата ЭЦП, удовлетворяющего положениям статьи 6 Закона об ЭЦП и максимально соответствующего стандарту Х.509 и рекомендациям RFC 2459, RFC 3039. К сожалению, ФАПСИ при общем одобрительном отношении к этим инициативам не сочло необходимым или просто не успело до своей реорганизации оказать им существенную координирующую поддержку и централизованно разрешить проблему. Вопрос по-прежнему находится "в подвешенном состоянии". Учитывая, что от момента окончательного согласования унифицированных стандартов до приведения в соответствие с ними всего продаваемого и эксплуатируемого ПО пройдет немало времени, очевидно, что перспективы создания эффективной инфраструктуры удостоверяющих центров в России остаются весьма туманными.

6.2. В Эстонии

Система электронных  подписей широко используется в Эстонской Республике, где введена программа ID-карт, которыми снабжены 3/4 населения страны. При помощи электронной подписи в марте 2007 года были проведены выборы в местный парламент — Рийгикогу. При голосовании электронную подпись использовали 400 000 человек. Кроме того, при помощи электронной подписи можно отправить налоговую декларацию, таможенную декларацию, различные анкеты как в местные самоуправления, так и в государственные органы. В крупных городах при помощи ID-карты возможна покупка месячных автобусных билетов. Все это осуществляется через центральный гражданский портал Eesti.ee. Эстонская ID-карта является обязательной для всех жителей с 15 лет, проживающих временно или постоянно на территории Эстонии.

6.3. В зарубежном туризме 

Развитие информационных технологий влияет на все сферы жизнедеятельности человека. Активное внедрение электронной цифровой подписи на мировом рынке туристических услуг способствовало сокращению временного и пространственного расстояния. Туризм — это деятельность лиц, которые путешествуют и осуществляют пребывание в местах, находящихся за пределами их обычной среды, с целью отдыха, деловыми и прочими целями. Люди, работающие в сфере туризма, часто находятся в разных странах и даже на разных континентах. При этом они постоянно заключают соглашения, контракты, договоры, которые так же нуждаются в официальном удостоверении подлинности – подписи. В этом случае практически все туристические агентства и многие клиенты пользуются электронной цифровой подписью, её очевидное удобство уже вытесняет пользование почтой, долгое оформление документов. Например, получение визы – достаточно продолжительный процесс, который порой зависел именно от фактора расстояния, пересылки документов и т.д., но сейчас с помощью интернета и электронной подписи эта процедура многократно упрощается и в привлечении людей и во времени осуществления.

Основное применение ЭЦП нашла в системе безналичных  платежей в банковской сфере, интернет-коммерции, переписке органов налогового, таможенного  и валютного контроля. Для туризма также обычно применение электронной цифровой подписи. В конечном итоге система идентификации документов с помощью электронной подписи станет такой же привычной, как и заверение бумажных документов обычной подписью. В будущем, вероятно, нельзя будет обойтись без услуг электронных нотариусов, которые будут заверять и удостоверять электронную подпись.  

Приложение.

ОБ  ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ (ФЕДЕРАЛЬНЫЙ  ЗАКОН РФ N 1-ФЗ от 10.01.02) 

Глава 1. Общие положения

Статья 1. Цель и сфера применения настоящего Федерального закона

1. Целью настоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.

2. Действие настоящего  Федерального закона распространяется  на отношения, возникающие при  совершении гражданско - правовых  сделок и в других предусмотренных  законодательством Российской Федерации  случаях. 
Действие настоящего Федерального закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.

Статья 2. Правовое регулирование  отношений в области  использования электронной  цифровой подписи

Правовое регулирование  отношений в области использования электронной цифровой подписи осуществляется в соответствии с настоящим Федеральным законом, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информатизации и защите информации", Федеральным законом "О связи", другими федеральными законами и принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, а также осуществляется соглашением сторон.

Статья 3. Основные понятия, используемые в настоящем Федеральном  законе

Для целей настоящего Федерального закона используются следующие основные понятия:

• электронный документ - документ, в котором информация представлена в электронно - цифровой форме;
• электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
• владелец сертификата ключа подписи - физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы);
• средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
• сертификат средств электронной цифровой подписи - документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
• закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи;
• открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе;
• сертификат ключа подписи - документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи;
• подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;
• пользователь сертификата ключа подписи - физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи;
• информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
• корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.

Глава 2. Условия использования  электронной цифровой подписи

Статья 4. Условия признания  равнозначности электронной  цифровой подписи  и собственноручной подписи

1. Электронная  цифровая подпись в электронном  документе равнозначна собственноручной  подписи в документе на бумажном  носителе при одновременном соблюдении  следующих условий:

• сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
• подтверждена подлинность электронной цифровой подписи в электронном документе;
• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

2. Участник информационной  системы может быть одновременно  владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Статья 5. Использование средств  электронной цифровой подписи

1. Создание ключей  электронных цифровых подписей  осуществляется для использования  в:

• информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
• корпоративной информационной системе в порядке, установленном в этой системе.

2. При создании  ключей электронных цифровых  подписей для использования в  информационной системе общего  пользования должны применяться  только сертифицированные средства  электронной цифровой подписи.  Возмещение убытков, причиненных  в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.

3. Использование  несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.