Проблемы ЭЦП

МИНИСТЕРСТВО ОБРАЗОВАНИЯ И НАУКИ РОССИЙСКОЙ ФЕДЕРАЦИИ

Государственное образовательное учреждение высшего  профессионального образования

 «Южно-Уральский государственный университет»

(национальный  исследовательский университет)

Факультет «Экономика и  предпринимательство»

Кафедра «Предпринимательство и менеджмент»

 

Специальность 032001 –  Документоведение и 

документационное обеспечение  управления

 

 

 

 

 

 

РЕФЕРАТ НА ТЕМУ «ПРОБЛЕМЫ ЭЦП»

 

 

 

 

 

 

 

 

 

 

Проверил:

______________/Макарова П.В./ 

«_____»______________2012г.

 

Выполнил:

___________/Савельева А.Н./

«_____»______________2012г.

 

 

 

 

 

 

 

 

 

 

 

Челябинск 2012

СОДЕРЖАНИЕ

 

 

ВВЕДЕНИЕ 3

ГЛАВА 1. ПРАВОВЫЕ И ОРГАНИЗАЦИОННЫЕ ПРОБЛЕМЫ 5

ГЛАВА 2. ТЕХИЧЕСКИЕ ПРОБЛЕМЫ 10

ГЛАВА 3. ПСИХОЛОГИЧЕСКИЕПРОБЛЕМЫ 14

ГЛАВА 4. Срок действия 11

ЗАКЛЮЧЕНИЕ 16

СПИСОК ЛИТЕРАТУРЫ 17

 

 

ВВЕДЕНИЕ

 

Электронная цифровая подпись (ЭЦП) — реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном  документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

Электронный документ (ЭД) и ЭЦП в качестве надежных и эффективных инструментов для ведения бизнеса уже давно завоевали признание мирового бизнес - сообщества.

Вместе с тем, чем  шире сфера применения ЭД и ЭЦП, тем  больше возникает вопросов и сложностей, связанных с использованием этой технологии, еще больше с обеспечением сохранности и целостности ЭД, подтвержденных ЭЦП, с возможностью обеспечения судебной защиты прав участников гражданского оборота и др.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

ГЛАВА 1. ПРАВОВЫЕ ПРОБЛЕМЫ

 

Вопрос нормативного регулирования ЭД, обмена этим документами, правового статуса ЭЦП стоит остро для российского законодателя.

Первым российским законом, который вступил в силу в 2002 году, стал Федеральный закон «Об электронной  цифровой подписи». Настоящий Федеральный закон регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. [1].

Тем не менее  российский закон об электронной  цифровой подписи вызывает ряд вопросов:

• в какой степени отечественный закон сопоставим с аналогичными законами, действующими в зарубежных странах;

• устранил ли закон основные правовые препятствия, которые мешали рассматривать ЭЦП в качестве полноценного основания для возникновения правового отношения;

• отвечают ли положения закона общим нормам гражданского законодательства о лицах, сделках, обязательствах, договоре, а также

• соответствуют ли технологические и правовые требования к электронной подписи процессуальным нормам о доказательствах и средствах доказывания;

• наконец, создал ли закон ясный и четкий юридический механизм, посредством которого лицам, использующим ЭЦП, стало легче защищать свои права и законные интересы в суде?

В первую очередь следует  подчеркнуть, что российский Федеральный закон «Об электронной цифровой подписи» не воспроизводит подход иностранного законодательства и международного права к регулированию электронных подписей.

Так, отечественный закон сосредоточил внимание исключительно на технологии электронно-цифровой подписи (ЭЦП), которая строится на идеологии асимметричного шифрования (ст. 3). Российский закон об ЭЦП. не регулирует отношения, возникающие при использовании иных аналогов собственноручной подписи (п. 2, ст. 1).

Между тем, общепринятым в мировом сообществе подходом является так называемая «технологическая нейтральность» законодательства. Правовое признание любых электронных аналогов собственноручной подписи и юридическая сила последних не ограничиваются в зависимости от применяемой технологии. Электронные подписи должны лишь отвечать требованиям применяемого права. По этой причине Рабочая группа ЮНСИТРАЛ по электронной торговле отказалась внести понятие «криптографический ключ» в проект типового закона «Об электронных подписях» как не отвечающее принципу нейтральности, лежащему в основе данного проекта3 .

В этой связи необходимо отметить, что гражданское законодательство РФ значительно более отвечает принятому в мировой практике подходу, поскольку распространяет определение электронной подписи на связанные с сообщением символы, коды, пароли и т. д. не являющиеся собственно ЭЦП. Они могут рассматриваться как подпись, если используются сторонами по соглашению и с явным намерением подтвердить подлинность написанного. В соответствии с ч. 2 ст.160 Кодекса при совершении сделок допустимо использование... электронной цифровой подписи либо иного аналога собственноручной подписи. Таким образом, сделки, совершенные с применением («подписанные») электронной подписи, отвечают формальным требованиям к простой письменной форме.

Кроме того, признание  электронных подписей в зарубежном и международном праве не связано  с получением разрешения (лицензии) поставщиками услуг по выдаче сертификатов ключей подписи. Отечественный закон, в отличие от соответствующих иностранных законодательных актов, построен на принципах лицензирования деятельности удостоверяющего центра (п. 2, ст. 8), а также применения в информационных системах общего пользования преимущественно сертифицированных средств ЭЦП (п. 2, ст. 5).

Для современной мировой практики характерен отказ от обязательного лицензирования деятельности удостоверяющих центров и признание исключительно добровольной сертификации средств электронной подписи. Директива Совета Европы «Об электронных подписях», к примеру, предусматривает на всей территории Евросоюза право удостоверяющих центров свободно предлагать свои услуги без предварительного получения разрешения.

Представляется, что российский закон не выполнил своей главной задачи – принципиального признания ЭЦП в качестве аналога собственноручной подписи для более широкого круга юридических действий, нежели это предусмотрено в Гражданском кодексе РФ, который признает ЭЦП в качестве аналога подписи только в связи с заключением сделок.

Как известно, категории  юридических документов, в которых может использоваться ЭЦП, значительно разнообразнее. Вопрос о законности и действительности таких электронных документов остается открытым, поскольку п. 2 ст.1 Закона распространяет его действие только на отношения, возникающие при совершении гражданско-правовых сделок. Другие случаи должны быть предусмотрены законодательством Российской Федерации.

Таким образом, чтобы легализовать электронную цифровую подпись в  документах, оформляющих трудовые, налоговые, административные и иные отношения, не являющиеся гражданско-правовыми, по-прежнему необходимо издать соответствующий специальный нормативный акт. Это можно было бы сделать и не имея Федерального закона об ЭЦП, причем в каждом случае отрегулировать ситуацию точнее и лучше, нежели в условиях, когда закон действует.

Принципиальная новизна закона заключается в том, что он предусматривает  обязательные условия (ст. 4), при одновременном  соблюдении которых электронная  цифровая подпись в электронном  документе считается юридически равнозначной «собственноручной подписи в документе на бумажном носителе»:

• сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки либо на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

• подтверждена подлинность электронной цифровой подписи;

• электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Таким образом, закон  установил жесткую взаимосвязь, в соответствии с которой законность и действительность подписи зависит от правомерного использования такого документа, как сертификат ключа ЭЦП. Последний, в свою очередь, имеет юридическую силу только при условии правомерных действий Удостоверяющего центра. Сертификат ключа подписи выдается Удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи (ст. 3).

Данная зависимость  свидетельствует о том, что закон  об ЭЦП вовсе не упростил, а, напротив, значительно усложнил правовые отношения участников гражданского оборота, применяющих ЭЦП, и тем самым увеличил юридические риски последних. Большая часть таких рисков связана с тем, что закон принудительно «вводит в игру» нового субъекта. Фактически закон и посвящен регулированию взаимоотношений участников электронного документооборота с указанным субъектом – Удостоверяющим центром.

Закон содержит преимущественно жесткие  императивные нормы, которые далеко не всегда разумно сочетаются с иными положениями действующего законодательства.

Так, последовательно проведенная  в законе мысль о том, что электронная  цифровая подпись (и, соответственно, сертификат ключа ЭЦП) может принадлежать только физическому лицу, привела к следующему неизбежному правовому результату: все споры с удостоверяющими центрами по обязательствам, связанным с сертификатами ключей ЭЦП, могут рассматриваться исключительно в судах общей юрисдикции. Как известно, в соответствии со ст. 25 ГПК РФ судам подведомственны дела по спорам, возникающим из гражданских правоотношений, если хотя бы одной из сторон в споре является гражданин.

Как поступить юридическому лицу, которое понесло убытки вследствие несвоевременного аннулирования Удостоверяющим центром сертификата ключа подписи, выданному руководителю данного юридического лица, закон умалчивает. В данной ситуации юридическое лицо не имеет возможности защитить свои интересы в арбитражном суде, поскольку закон об электронной цифровой подписи не допускает возникновения гражданско-правовых отношений по поводу сертификата ключа подписи между Удостоверяющим центром и юридическим лицом.

Аналогичная проблема возникнет и в случае убытков, понесенных юридическим лицом в  результате доверия к тем данным, которые содержатся в сертификате, а также к результатам проверки ЭЦП, выполненной Центром. Дело в том, что только физическим лицом может быть и пользователь сертификата ключа подписи, использующий полученные в Удостоверяющем центре сведения о сертификате с целью проверки ЭЦП (ст. 3).

Т.о., законодательство об ЭЦП, ЭД в достаточной мере разрозненно, фрагментарно и не содержит системы, регламентирующей механизмы, процедуры и порядок их применения.

 

 

ГЛАВА 2. ТЕХИЧЕСКИЕ ПРОБЛЕМЫ

 

После принятия закона на пути развития ЭЦП возникло множество различных препятствий. Некоторые технологические проблемы до сих пор не удалось решить полностью. Причина снова кроется в не проработанности закона. Например, требования к условиям использования ЭЦП (в части, касающейся сертификатов), прописанные в законе, указывают на систему PKI, определенную международным стандартом X.509. В то же время в законе не оговариваются форматы представления данных в самом сертификате, который позволяет реализовать множество различных вариантов. Подобная неопределенность приводит к возможности неоднозначного толкования сертификатов, выданных различными УЦ, тогда как в идеале они должны однозначно пониматься любыми приложениями различных ИС и средствами ЭЦП.

Такая же ситуация возникла и с шифровальными средствами ЭЦП, которые даже при реализации одного и того алгоритма шифрования часто «не понимают» друг друга. Опять же дело в том, что ГОСТ не определяет параметры алгоритма, которые каждый разработчик может выбрать сам. То же самое наблюдалось и с форматами криптографических сообщений.

В России на момент принятия закона была парадоксальная ситуация. Практически все сертифицированные средства криптографической защиты информации, реализующие одни и те же криптографические стандарты, были несовместимы между собой. Если до появления УЦ проблема совместимости стояла не так остро, то теперь сертификат, выданный одним УЦ, не принимался другим УЦ, если они использовали средства автоматизации от различных производителей.

Отчасти проблема была решена два года назад, когда ведущие производители средств ЭЦП, такие как ФГУП НТЦ "Атлас", ООО "Крипто-Про", ООО "Фактор-ТС", ЗАО "МО ПНИЭИ" и ОАО "Инфотекс", заключили между собой соглашение, согласно которому договорились использовать форматы сертификатов открытых ключей и криптографических сообщений, разработанных фирмой "Крипто-Про". Сегодня практически все отечественные разработчики средств ЭЦП официально или неофициально присоединились к данному соглашению. Тем не менее, проблема несовместимости остро стоит и сегодня.

Нечеткие и неполные формулировки в Федеральном законе «Об ЭЦП» ведут к увеличению риска применения ЭЦП, для уменьшения которого требуется их детализация и уточнение на уровне соглашений. «Например, статья 4 закона об ЭЦП определяет три условия равнозначности собственноручной подписи, согласно одному из которых сертификат действует на момент подписи или на момент проверки. Возникает двойственность толкования, которая требует дополнительного уточнения».

Таких примеров специалисты приводят десятки. В итоге, «если у некоторого лица как обычного физического, так и должностного есть ЭЦП, полученная в удостоверяющем центре корпоративной системы, применить ее для электронного документооборота в другой системе затруднительно, и возможно только в том случае, когда регламенты и процедуры в разных системах унифицированы».

Безусловно, можно воспользоваться  статьей 428 ГК и заключить договор  присоединения, который подпишут все  компании и УЦ, участвующие в неком  электронном документообороте. В какой-то степени это выход, однако, всего этого могло не потребоваться, если бы нормы закона изначально трактовались однозначно.

Однако «любой закон  вызывает нарекания, закон об ЭЦП  не исключение, - говорит Юрий Маслов. - Существующие в нем есть недоработки, организаторы ИС сегодня успешно компенсируют на уровне соглашений сторон. Главный недостаток закона об ЭЦП в том, что он не является законом прямого действия, но это не мешает практике ее применения, а лишь сдерживает ее развитие».

В связи со сложностями применения целого ряда положений закона, относящихся к деятельности Удостоверяющих центров, возникает естественный вопрос: насколько обязательным является обращение к услугам такого Центра. И можно ли на сегодняшний момент, в отсутствие более обстоятельного подзаконного регулирования, сохранить прежние двусторонние договоренности по взаимному предоставлению ключей ЭЦП участниками сделки и не использовать в электронном документообороте Удостоверяющий центр.

Представляется, что применение в электронном документообороте средств криптографической защиты информации (СКЗИ), в которых реализована возможность использования электронной цифровой подписи, может иметь и договорный статус, то есть основываться на соглашении сторон. Здесь уместно еще раз сослаться на ч. 2 ст. 160 ГК РФ, в соответствии с которой при совершении сделок допустимо использование. электронной цифровой подписи либо иного аналога собственноручной подписи в случаях и порядке, предусмотренных законодательными актами или соглашением сторон.

Таким соглашением является, как правило, Приложение к договору, устанавливающее порядок использования электронной цифровой подписи в электронном документообороте. В соглашении предусматриваются программно-технические средства, обеспечивающие идентификацию подписи, и устанавливается режим их использования.

Использование СКЗИ в  электронном документообороте на основе предусмотренных законодательством  РФ договорных отношений позволяет  сделать вывод о том, что на них не распространяется действие Федерального закона « Об электронной цифровой подписи».

По смыслу ст. 3 данного  Федерального закона последний может  распространяться только на случаи применения участниками информационных систем единственной технологии подтверждения  подлинности электронной цифровой подписи в электронном документе: с использованием сертификата ключа подписи. Вместе с тем закон об электронной цифровой подписи не содержит прямого предписания частным физическим или юридическим лицам – участникам электронного документооборота – использовать исключительно регулируемую им технологию. Данный закон также не содержит нормы, запрещающей указанным выше лицам использовать иные технологии подтверждения подлинности электронной цифровой подписи, широко применяемые в практике обмена электронными документами.

К таким иным технологиям относится взаимное признание и подтверждение подлинности электронной цифровой подписи участниками электронного документооборота на основе заключенного ими двустороннего договора без обращения к услугам третьего лица – удостоверяющего центра, и соответственно, без использования выдаваемого таким центром сертификата. Поскольку ни ГК РФ, ни закон об электронной цифровой подписи не содержит императивной нормы, обязывающей стороны электронного документооборота заключать договоры с удостоверяющим центром по выдаче им сертификатов ключей подписи, то на указанные отношения распространяется положение п. 1 ст. 421 ГК РФ «Свобода договора»: «Граждане и юридические лица свободны в заключении договора; понуждение к заключению договора не допускается». [3].

 

 

 

 

 

 

 

ГЛАВА 3. ПСИХОЛОГИЧЕСКИЕПРОБЛЕМЫ

 

Человеку, привыкшему видеть на документе подпись руководителя, непросто будет привыкнуть к такому явлению как  ЭЦП в системе ЭДО. И вполне возможно, что первое время сотрудники будут требовать копии бумажных документов. Для устранения этой проблемы требуется только время и воля руководства.

 

 

ГЛАВА 4. Срок действия

 

Важно отметить, что при  работе с ЭЦП неизбежно возникает  проблема, обусловленная тем, что срок действия любого сертификата ограничен определенным промежутком времени. По истечении срока действия сертификата все созданные при его помощи ЭЦП теряют свое значение, поскольку невозможно определить, была ли ЭЦП создана, когда сертификат еще действовал, или когда срок его действия уже закончился. А это, в соответствии с Федеральным законом "Об электронно-цифровой подписи", автоматически означает недействительность ЭЦП.

Поэтому внимания заслуживают  лишь СЭД, интегрированные со службой  штампов времени, которая позволяет  в один из атрибутов системы помещать штамп, фиксирующий момент создания ЭЦП. При таком решении имеется возможность проверять ЭЦП с учетом того, действовал ли сертификат в момент создания этой ЭЦП, а не в момент проверки. Однако и этот штамп заверяется ЭЦП службы штампов времени, сертификат которой также имеет ограниченный срок действия. Для нивелирования данной проблемы существует стандартизированная методика, которая должна быть реализована в СЭД. Ее суть заключается в том, что, когда срок действия сертификата службы штампов времени подходит к концу, СЭД запрашивает для старого сертификата и набора служебной информации штамп времени с ЭЦП на новом сертификате, срок действия которого только начинается. Таким образом, благодаря действительности нового сертификата можно доказать, что до момента заверения действовал и старый сертификат.

 

 

ЗАКЛЮЧЕНИЕ

 

Несмотря на достаточно широкое применение ЭЦП в различных  сферах деятельности, специалисты по информационным технологиям отмечают, что внедрение ЭЦП идет медленнее, чем ожидалось. И причиной этому  служат ряд проблем: противоречие принципу "технологической нейтральности" ограничением использования инфраструктуры открытых ключей;

• несогласованность с важными законодательными актами, например, о техническом регулировании и лицензировании отдельных видов деятельности;
• отсутствие правового признания других видов ЭП;
• отсутствие свободного выбора в использовании средств подписи;
• невозможность использования электронной подписи юридическими лицами.

Новый закон "Об электронной подписи" лишен вышеуказанных недостатков, при этом значительно расширяет сферу применения ЭП.

Основным нововведением  в законе является расширение определения понятия электронной подписи и введение трех разновидностей ЭП:

простая электронная  подпись – ЭП, созданная с помощью  технических средств лицом, подписавшим электронное сообщение, и содержащая однозначное указание на это лицо;

усиленная электронная  подпись – ЭП, отвечающая требованиям  простой электронной подписи, позволяющая  подтвердить целостность и неизменность электронного сообщения после его подписания;

квалифицированная электронная  подпись – ЭП, отвечающая требованиям  усиленной электронной подписи, подтверждаемая сертификатом, который  выдан удостоверяющим центром, аккредитованным  в соответствии с требованиями будущего федерального закона.

Понятие "электронная  цифровая подпись", определенная в  действующем законодательстве, соответствует  понятию "квалифицированная ЭП". При этом новый закон не изменяет структуры, субъектов и предмета отношений, регулируемых действующим  федеральным законом. Соответственно все выданные сертификаты действительны до окончания срока их действия.

Наличие дополнительных видов ЭП позволяет упростить  доверенное информационное взаимодействие благодаря использованию участниками  взаимодействия любой технологии и  технических средств, позволяющих выполнить требования закона по их усмотрению.

Кроме того, закона вводит понятие аккредитации удостоверяющих центров для выдачи квалифицированных сертификатов. Аккредитацию может получить любой российский или иностранный удостоверяющий центр, что дает возможность  создать  трансграничный документооборот. Закон имеет множество других нововведений, в том числе устраняющих недочеты прежнего федерального закона.

 

 

СПИСОК ЛИТЕРАТУРЫ

 

1. Федеральный закон от 10 января 2002 года «Об электронной цифровой подписи» (с изменениями и дополнениями)
2. Федеральный закон от 6 апреля 2011 г. N 63-ФЗ "Об электронной подписи" (с изменениями и дополнениями)
3. Федеральный закон «Об ЭЦП»: проблемы применения и юридические риски 2002 – Защита информации. Конфидент – [Электронный ресурс]. – Режим доступа: http://www.lawmix.ru/ – Заглавие с экрана.