суббота, 5 марта 2011 г.

В двух словах \ Проект закона об электронной подписи

Как все уже наверное знают, 25 февраля 2011 года во втором чтении был принят проект федерального закона "Об электронной подписи", который должен заменить ФЗ "Об ЭЦП". До принятия закона осталось несколько шагов, на которых существенных изменений обычно уже не вносится. Посмотрим, что ждет нас в ближайшем будущем.


Сюрпризы начинаются уже с определения понятий (ст.2). Надо привыкать к новой аббревиатуре - ЭЦП заменена на ЭП (электронную подпись), которая является просто информацией, присоединенной или иным образом связанной с подписываемой электронной информацией, и которая используется для определения подписавшего ее лица. Определение даже проще определения АСП, данного в 17-П - нет требований контрольного параметра правильности и неизменности подписанного ЭД (электронного документа). Под такое определение прекрасно подходят, например, одноразовые пароли, столь распространенные теперь в системах интернет-банкинга. Это - существенный плюс, т.к. дает определенный правовой статус таким средствам аутентификации.

Сама ЭП теперь может быть трех видов (ст.5), а участники электронного взаимодействия могут выбирать любую из них, на свое усмотрение (ст.4), если только нет законодательных требований по использованию определенного вида ЭП. Виды ЭП:
  • простая - которая просто подтверждает факт формирования ЭП определенным лицом - пароль, код и т.п.
  • усиленная неквалифицированная - это уже настоящая криптографическая цифровая подпись, но она может формироваться без использования сертифицированных криптосредств (точнее, по формулировкам нового ФЗ: средств ЭП, "получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим ФЗ"), для нее может не формироваться сертификат УЦ, если существует другой способ определения лица, подписавшего ЭД. Учитывая, что ст.7 предусматривает признание ЭП, созданных с помощью иностранной криптографии, неквалифицированной ЭП вполне может быть, например, PGP.
  • усиленная квалифицированная - это то, что называлось раньше ЭЦП - она формируется на сертифицированных криптосредствах, а выдавать сертификат для такой подписи может только аккредитованный УЦ.
Очень интересным нововведением является возможность выдавать сертификаты (теперь они называются СКПЭП - сертификат ключа проверки электронной подписи) на юр.лиц. Однако не все так просто... В п.3 ст.14 указано, что при выдаче сертификата юр.лицу, в качестве владельца сертификата указывается также и физ.лицо, действующее от имени юр.лица. При этом никакой конкретики про права и обязанности этого физ.лица в законе нет. Непонятно, например, действительна ли ЭП, сформированная другим сотрудником этого юр.лица? Или сформированная тем же физ.лицом, но у которого кончилась доверенность? Вроде как не должна быть действительна, но явных указаний на это нет. А если недействительна - тогда зачем было вводить возможность выдачи сертификата на юр.лицо, если разницы, по сути, все равно нет? 

Еще одним интересным нововведением являются требования к средствам ЭП (ст.12). В частности, средство ЭП (для усиленной ЭП) должно показывать лицу, подписывающему ЭД, содержание информации, которую он подписывает. На самом деле вещь нужная и важная, вот только неясна практическая реализация. Идеальным вариантом, конечно, было бы отдельное доверенное устройство с дисплеем, в которое ЭД передается, в нем отображается пользователю, в нем подписывается, а в программу возвращается уже сама подпись. Но такое устройство будет слишком дорого и узкоспециализировано, поскольку все ЭД разные и находятся в разных форматах. А отображение документа в программе и последующая передача в криптографическое устройство (токен, например) данное требование выполнить полноценно не может, т.к. документ при передаче может быть подменен или пользователю может быть отображен измененный документ.

В законе предусмотрено и исключение, позволяющее при автоматическом создании ЭП не указывать физ.лицо в выдаваемом юр.лицу сертификате, не отображать подписываемую информацию и не требовать подтверждения подписи от владельца сертификата. С одной стороны - логично, т.к. многие системы работают без непосредственного участия человека. Но с другой стороны в таких системах риски существенно выше, поскольку возможности их контроля ограничены. Логично было бы предусмотреть для использования в автоматизированных системах понятие неких технологических ЭП и сертификатов, для которых будут жестко ограничены области применения. Но этого не было сделано. Кстати, что подразумевается под "автоматическим созданием / проверкой ЭП" в законе не указано.

Новый закон позволяет владельцам сертификатов направлять в УЦ заявление на аннулирование сертификата в электронной форме. Но при этом не дает никаких пояснений по поводу самой этой электронной формы. Должна ли она обязательно быть подписана ЭП владельца этого сертификата, т.е. требуется ли выполнение условий признания такого электронного документа равнозначным бумажному (ст.6)? Неясно. Если выполнение этих условий требуется, может ли, например, юр.лицо направить в УЦ электронное заявление на аннулирование сертификата одного пользователя, подписанного ЭП другого пользователя (сотрудника той же организации)? Это может пригодиться, например, в случае компрометации одного ключа ЭП и необходимости его оперативного аннулирования. На этот вопрос тоже ответа в законе нет.

Некоторое недоумение вызывает п.4 ст.12, где сказано, что "средства ЭП, предназначенные для создания ЭП в ЭД, содержащих конфиденциальную информацию (в т.ч. ПДн), должны обеспечивать конфиденциальность такой информации". Интересно, причем здесь средства ЭП? Каким образом ЭП может обеспечить конфиденциальность?! Хотя, возможно разгадка кроется в измененном определении самих средств ЭП. Теперь это "шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций: создание ЭП, проверка ЭП, создание ключей подписи и ключей проверки подписи". Интересный подход...

В соответствии со ст.14, УЦ осуществляет создание и выдачу СКПЭП на основании соглашения между УЦ и заявителем. При этом никаких требований к этому соглашению не предъявляется. Напомню, что в 1-ФЗ создание и выдача сертификата осуществлялась только на основании заявления участника информационной системы, содержание которого было четко определено. По всей видимости, теперь выпускать и выдавать сертификаты можно будет без заявлений, просто прописав соответствующий порядок в договоре с клиентами.

Существенно расширен список обязательных полей для квалифицированного СКПЭП (ст.17). Теперь туда входит страховой номер индивидуально лицевого счета для физ.лица, ОГРН и ИНН для юр.лица, реквизиты сертификата на криптосредства, номер квалифицированного сертификата УЦ. Интересно, что в законе нет требований по оформлению сертификата в бумажном и электронном виде, по его подписи (собственноручной или электронной) уполномоченным лицом УЦ (кстати, самих уполномоченных лиц в новом законе тоже нет). Только в ст.17 есть указание, что квалифицированный сертификат выдается в форме, требования к которой устанавливает ФСБ. А для неквалифицированного сертификата нет даже этого... хотя он может и вообще не создаваться.

Из нового закона исчезла возможность приостановки и возобновления действия сертификата. Теперь он может быть только аннулирован, после чего нужно будет выпускать новый сертификат. Печально.

В обязанности УЦ больше не входит необходимость аннулирования сертификата, если УЦ стало известно о прекращении действия документа, на основании которого он оформлен. Очень интересно. Получается, что такой сертификат продолжает оставаться действительным. А раз действителен сертификат, действительна и соответствующая ЭП. Еще интереснее.

Среди функций УЦ  (ст.13) явно указана функция создания ключей подписи и проверки подписи по обращениям заявителей. Т.е. УЦ официально имеет право создавать закрытые ключи для клиентов. Причем влияния на признание ЭП это не оказывает. А как же основной принцип асимметричной криптографии, в соответствии с которым закрытый ключ должен знать только его владелец?!

В ст.18 указан полный перечень документов, которые должен представить заявитель при получении в УЦ квалифицированного СКПЭП. В обязанности УЦ включено требование информировать заявителей в письменной форме в т.ч. о рисках, связанных с использованием ЭП. Аккредитованный УЦ должен ознакамливать заявителей под расписку со сведениями, указанными в СКПЭП, и выдавать им руководство по обеспечению безопасности использования ЭП и средств ЭП.  Это полезные нововведения.

Согласно ст.16 УЦ может быть на добровольной основе аккредитован уполномоченным федеральным органом. При этом среди условий аккредитации - наличие у УЦ чистых активов, стоимостью не менее 1 млн.руб., и наличие финансового обеспечения ответственности за возможный ущерб клиентам в сумме от 1,5 млн.руб. Очень интересен п.9 ст.16, в котором сказано, что "главный (корневой) УЦ, функции которого осуществляет уполномоченный федеральный орган, не подлежит аккредитации в соответствии с настоящим ФЗ". Этот загадочный главный УЦ больше нигде в законе не упоминается, а жаль.

Подводя итоги, следует признать, что новый закон содержит ряд позитивных нововведений, которых не хватало действующему законодательству. Но очень уж много в нем недоработок и нюансов. Если он будет принят без существенных изменений, работать с ним будет очень сложно...

В процессе рассмотрения нового закона об ЭП была создана его графическая версия, которую можно скачать здесь. В архиве картинка в формате PNG и исходный файл в формате FreeMind.

Интересная ссылка: сравнение проекта закона об ЭП с европейским законодательством: часть 1, часть 2.

Комментариев нет: