(введена Федеральным законом от 27.12.2019 N 476-ФЗ)
1. Доверенная третья сторона оказывает услуги:
1) по подтверждению действительности электронных подписей, используемых при подписании электронного документа, в том числе установлению фактов того, что соответствующие сертификаты действительны на определенный момент времени, созданы и выданы аккредитованными удостоверяющими центрами, аккредитация которых действительна на день выдачи этих сертификатов;
2) по проверке соответствия всех квалифицированных сертификатов, используемых при подписании электронного документа, требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами;
3) по проверке полномочий участников электронного взаимодействия;
4) по созданию и подписанию квалифицированной электронной подписью доверенной третьей стороны квитанции с результатом проверки квалифицированной электронной подписи в электронном документе с достоверной информацией о моменте ее подписания;
5) по хранению данных, в том числе документированию выполняемых доверенной третьей стороной операций.
2. Доверенная третья сторона обеспечивает конфиденциальность, целостность и доступность информации при ее обработке и хранении, а также при ее передаче с использованием информационно-телекоммуникационных технологий.
3. Доверенная третья сторона несет гражданско-правовую и (или) административную ответственность в соответствии с международными договорами Российской Федерации, законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также за нарушение порядка реализации функций доверенной третьей стороны и исполнения ее обязанностей.
4. Информационные системы доверенной третьей стороны, предназначенные для реализации услуг доверенной третьей стороны, присоединяются к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года N 210-ФЗ «Об организации предоставления государственных и муниципальных услуг».
II. Права и обязанности доверенной третьей стороны
6. Доверенная третья сторона Российской Федерации при выполнении указанных в настоящем Положении функций имеет право:
1) отказывать в трансграничном обмене электронными документами в случае признания электронной подписи, которой подписан электронный документ, исходящий из Российской Федерации, недействительной в соответствии с требованиями международных договоров Российской Федерации и законодательства Российской Федерации;
2) отказывать в трансграничном обмене электронными документами в случае признания электронной подписи доверенной третьей стороны другого государства или доверенной третьей стороны органа управления международной (межправительственной) организации, которой подписан результат проверки электронной подписи электронного документа, входящего в Российскую Федерацию, недействительной в соответствии с требованиями международных договоров Российской Федерации и статьи 6 Федерального закона от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи»;
3) осуществлять информационное взаимодействие с аккредитованными удостоверяющими центрами Российской Федерации, федеральным органом исполнительной власти в области обеспечения безопасности, в том числе направлять в их адрес запросы, необходимые для реализации функций доверенной третьей стороны Российской Федерации, и получать информацию в соответствии с такими запросами.
7. Доверенная третья сторона Российской Федерации при выполнении указанных в настоящем Положении функций обязана:
1) использовать только средства защиты информации, обеспечивающие уровень защиты информации, соответствующий требованиям международных договоров Российской Федерации и законодательства Российской Федерации;
2) определить порядок реализации своих функций, осуществления прав и исполнения обязанностей, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами Российской Федерации, и опубликовать его;
3) хранить информацию о выполненных операциях в течение всего срока своей деятельности, если иной срок не предусмотрен международными договорами Российской Федерации и законодательством Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверность;
4) информировать участника трансграничного электронного взаимодействия со стороны Российской Федерации о случаях признания его электронной подписи, которой подписан электронный документ, исходящий из Российской Федерации, недействительной и принятых в связи с этим решениях;
5) информировать доверенную третью сторону другого государства или доверенную третью сторону органа управления международной (межправительственной) организации о случаях признания их электронной подписи, которой подписан результат проверки электронной подписи электронного документа, входящего в Российскую Федерацию, недействительной и принятых в связи с этим решениях;
6) обеспечивать конфиденциальность ключей электронных подписей, используемых для подписания результатов проверки электронной подписи электронного документа, исходящего из Российской Федерации, и результатов проверки электронной подписи доверенной третьей стороны другого государства или доверенной третьей стороны органа управления международной (межправительственной) организации, которой подписан результат проверки электронной подписи электронного документа, входящего в Российскую Федерацию;
7) немедленно уведомлять удостоверяющие центры, выдавшие сертификаты ключей проверки электронной подписи, и иных заинтересованных участников трансграничного электронного взаимодействия о нарушении конфиденциальности ключей электронной подписи, указанных подпункте 6 настоящего пункта;
8) не использовать ключи электронной подписи, указанные в подпункте 6 настоящего пункта, при наличии оснований полагать, что их конфиденциальность нарушена;
9) самостоятельно создавать ключи электронной подписи, указанные в подпункте 6 настоящего пункта, и соответствующие им ключи проверки электронной подписи;
10) использовать для создания ключей электронной подписи, указанных в подпункте 6 настоящего пункта, и соответствующих им ключей проверки электронной подписи средства электронной подписи класса, установленного в соответствии с требованиями законодательства Российской Федерации;
11) использовать для создания и проверки электронных подписей средства электронной подписи класса, установленного требованиями законодательства Российской Федерации;
12) принимать меры по обеспечению безопасности персональных данных при их обработке, установленные законодательством Российской Федерации о персональных данных.
В чем основное отличие облачной ЭП от «обычной» электронной подписи? В традиционном варианте ключ ЭП хранится на флешке, USB-накопителе или ином носителе. При использовании облачной электронной подписи ключ хранится в удостоверяющем центре (в облаке). Подписать документ при помощи ОЭП можно не только со своего компьютера, где установлены средства криптозащиты, но и с иного гаджета. Например, с планшета или мобильного телефона. Владелец сертификата вправе выбрать любой вариант: традиционный или облачный.
Теперь в Законе об электронной подписи предусмотрены положения, посвященные ОЭП. В частности, оговорено следующее:
Такие дополнения содержатся в новой части 2.2 статьи 15 и новой редакции части 3.1 статьи 16 Закона об электронной подписи.
- Доверенная третья сторона (поправки действуют с января 2021 года)
- Закрытие небольших УЦ (с июля 2021 года) и окончание срока действия их сертификатов (с января 2022 года)
- Как ИП и организации будут получать сертификаты подписей с января 2022 года
- Трансграничное взаимодействие
- А что, проблема и правда была?
- Решение
- Кому это всё интересно
Доверенная третья сторона (поправки действуют с января 2021 года)
С января 2021 года в Законе об электронной подписи появилось понятие «доверенная третья сторона» (ДТС). Это юридическое лицо, которое проверяет правильность применения электронной подписи при совершении той или иной сделки. По сути, на ДТС возложены функции цифрового нотариуса. Организация, которая планирует стать доверенной третьей стороной, должна получить аккредитацию в Министерстве цифрового развития, связи и массовых коммуникаций.
ДТС создает «метку доверенного времени» — достоверную информацию в электронной форме о дате и времени подписания документа посредством ЭП. Такая метка служит дополнительным подтверждением того, что сделка законна. Функции ДТС чем-то напоминают полномочия оператора электронного документооборота, через которого сдается налоговая отчетность или происходит обмен юридически значимыми электронными счетами-фактурами. Как известно, оператор ЭДО тоже фиксирует время отправки отчета или дату подписания счета-фактуры.
В настоящее время привлечение ДТС является добровольным. Предположительно доверенная третья сторона будет участвовать в следующих видах сделок.
1. Экспортные и импортные операции. Ожидается, что РФ заключит международные соглашения о взаимном признании квалифицированной электронной подписи или ее аналогов. Тогда ДТС станут подтверждать достоверность сделок с иностранными контрагентами.
2. Внутрироссийские операции, при которых стороны предъявляют повышенные требования к качеству оформления электронных документов.
Полномочия и условия аккредитации ДТС прописаны в новых статьях 18.1 и 18.2 Закона об электронной подписи.
Закрытие небольших УЦ (с июля 2021 года) и окончание срока действия их сертификатов (с января 2022 года)
С июля 2020 года удостоверяющим центрам (УЦ) стало труднее получить аккредитацию. Для них увеличили размер собственных средств (в общем случае до 1 млрд руб.) и страховой ответственности (составляет от 100 млн до 200 млн руб.).
УЦ, которые не смогут соответствовать новым требованиям, продолжат выпускать сертификаты электронной подписи до конца июня 2021 года включительно. Начиная с июля, воспользоваться услугами данных центров не получится.
Квалифицированные сертификаты, которые выданы такими удостоверяющими центрами, будут действовать до конца декабря 2021 года. С января 2022 года подписывать документы с их помощью нельзя.
Такие правила установлены в пунктах 3 и 4 статьи 3 Закона № 476-ФЗ.
Организациям и предпринимателям следует заранее выяснить, планирует ли обслуживающий их УЦ получить аккредитацию по новым требованиям. И если не планирует, подобрать другой удостоверяющий центр.
Как ИП и организации будут получать сертификаты подписей с января 2022 года
Закон № 476-ФЗ внес серьезные изменения в порядок подписания электронных документов (включая отчетность), созданных юридическим лицом или ИП.
Сейчас подписать документы организации может либо ее руководитель, либо уполномоченное лицо. Делается это с помощью сертификата усиленной квалифицированной электронной подписи физлица, которая является аналогом собственноручной подписи. Сейчас получить сертификат для подписания электронных документов (отчетности или первички) можно в коммерческом удостоверяющем центре. Индивидуальный предприниматель тоже получает электронную подпись как физлицо и подписывает ею отчетность и другие документы ИП.
Начиная с 1 января 2022 года, будут применяться алгоритмы, прописанные в новых статьях 17.2 и 17.3 Закона об электронной подписи. Их суть заключается в следующем:
Предполагается, что получить в ФНС сертификат подписи юрлица можно будет заранее — до наступления 2022 года. Как только появится точная информация о сроках, крупнейший удостоверяющий центр СКБ Контур сообщит ее своим клиентам. Контур планирует оказывать клиентам максимальное содействие в получении электронной подписи в ФНС.
1. Аккредитация доверенной третьей стороны осуществляется на добровольной основе на срок три года, если более короткий срок не указан в заявлении доверенной третьей стороны.
2. Аккредитация доверенной третьей стороны осуществляется при условии выполнения следующих требований:
1) в отношении юридического лица, предполагающего оказывать услуги доверенной третьей стороны, не проводится процедура ликвидации, отсутствует решение (определение) арбитражного суда о введении процедуры банкротства в соответствии с законодательством Российской Федерации о банкротстве, отсутствуют сведения в реестрах недобросовестных поставщиков, ведение которых осуществляется в соответствии с законодательством Российской Федерации;
2) минимальный размер собственных средств (капитала) составляет не менее чем один миллиард рублей либо 500 миллионов рублей при наличии не менее чем в трех четвертях субъектов Российской Федерации одного или более филиала или представительства доверенной третьей стороны;
3) наличие финансового обеспечения гражданской ответственности юридического лица, предполагающего оказывать услуги доверенной третьей стороны, за ущерб, причиненный третьим лицам вследствие оказания таких услуг ненадлежащего качества, размер которого определяется Правительством Российской Федерации;
4) наличие у юридического лица, предполагающего оказывать услуги доверенной третьей стороны, средств доверенной третьей стороны и средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности в соответствии с пунктом 2 части 5 статьи 8 настоящего Федерального закона;
5) доверенная третья сторона, претендующая на получение аккредитации, не была включена в перечень, предусмотренный пунктом 5.1 части 3 статьи 8 настоящего Федерального закона, в течение трех лет до подачи заявления;
6) лицо, имеющее право в соответствии с законодательством Российской Федерации действовать от имени доверенной третьей стороны без доверенности, не является лицом, имевшим право действовать без доверенности от имени доверенной третьей стороны или удостоверяющего центра, аккредитация которых была досрочно прекращена, в течение трех лет до подачи заявления.
3. Аккредитация доверенной третьей стороны осуществляется на основании заявления, подаваемого в уполномоченный федеральный орган. К заявлению прилагаются документы, подтверждающие соответствие доверенной третьей стороны требованиям, установленным частью 2 настоящей статьи. Доверенная третья сторона вправе не представлять документ, подтверждающий соответствие имеющихся у нее средств электронной подписи и средств доверенной третьей стороны требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности, если такой документ или содержащиеся в нем сведения находятся в распоряжении федерального органа исполнительной власти в области обеспечения безопасности. В этом случае уполномоченный федеральный орган самостоятельно проверяет наличие документа, подтверждающего соответствие таких средств установленным требованиям, на основании информации, полученной от федерального органа исполнительной власти в области обеспечения безопасности, с использованием единой системы межведомственного электронного взаимодействия.
4. В срок, не превышающий тридцати календарных дней со дня приема заявления доверенной третьей стороны, уполномоченный федеральный орган на основании представленных документов принимает решение об аккредитации доверенной третьей стороны или об отказе в ее аккредитации.
5. В случае принятия решения об отказе в аккредитации доверенной третьей стороны уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об отказе в аккредитации, направляет доверенной третьей стороне уведомление о принятом решении с указанием причин отказа.
6. В случае принятия решения об аккредитации доверенной третьей стороны уполномоченный федеральный орган в срок, не превышающий десяти календарных дней со дня принятия решения об аккредитации, направляет уведомление доверенной третьей стороне о принятом решении и вносит информацию в перечень аккредитованных доверенных третьих сторон. После получения аккредитации аккредитованная доверенная третья сторона обязана осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованной доверенной третьей стороны (далее — присоединение аккредитованной доверенной третьей стороны), к инфраструктуре.
7. Основаниями для отказа в аккредитации доверенной третьей стороны являются ее несоответствие требованиям, установленным частью 2 настоящей статьи, несоответствие иным требованиям настоящего Федерального закона, а также наличие в представленных ею документах недостоверной информации.
8. Аккредитованная доверенная третья сторона должна соблюдать требования, на соответствие которым она аккредитована, и требования, установленные статьей 18.1 настоящего Федерального закона, в течение всего срока ее аккредитации. В случае возникновения обстоятельств, делающих невозможным соблюдение указанных требований, аккредитованная доверенная третья сторона немедленно должна уведомить об этом в письменной форме уполномоченный федеральный орган. Уполномоченный федеральный орган вправе проводить проверки соблюдения аккредитованными доверенными третьими сторонами требований настоящего Федерального закона и иных принимаемых в соответствии с настоящим Федеральным законом нормативных правовых актов, в том числе требований, на соответствие которым эти доверенные третьи стороны были аккредитованы, в течение всего срока их аккредитации. В случае выявления по итогам внеплановых проверок несоблюдения аккредитованной доверенной третьей стороной указанных требований уполномоченный федеральный орган обязан выдать этой доверенной третьей стороне предписание об устранении нарушений в установленный срок и приостановить действие аккредитации на данный срок с внесением информации об этом в соответствующий перечень. Аккредитованная доверенная третья сторона уведомляет в письменной форме уполномоченный федеральный орган об устранении выявленных нарушений. Уполномоченный федеральный орган принимает решение о возобновлении действия аккредитации, при этом он вправе проверять фактическое устранение ранее выявленных нарушений и в случае их неустранения в установленный предписанием срок досрочно прекращает аккредитацию доверенной третьей стороны.
Трансграничное взаимодействие
Время на прочтение
Примеров использования электронной подписи в бизнесе и реальной жизни постепенно становится все больше и больше. Это безусловно радует, т.к. любой грамотно реализованный сервис делает нашу жизнь комфортнее (Все помнят Чубакку и загранпаспорт?). Но с давних времен, еще до принятия в 2002-м году 1-ФЗ «Об электронной цифровой подписи», и до сегодняшнего дня, в практике применения технологий связанных с электронной подписью имелся существенный пробел: не было возможности осуществлять юридически значимый обмен подписанными документами между резидентами разных стран. Причем эта проблема существовала не только для взаимодействия с «дальним зарубежьем», но и в рамках пост-советского пространства.
Как все уже догадались, теперь такой проблемы больше нет:
За подробностями — прошу под кат:
А что, проблема и правда была?
Правда-правда. Но нужны две небольшие оговорки:
Если кому-то интересно в чем именно состояла проблема — читаем по порядку. Остальным можно сразу переходить к «решению».
Итак, что мешает, гражданину России, например мне, участвовать в электронных торгах на какой-нибудь европейской площадке и использовать при этом ГОСТ-овый квалифицированный сертификат, который получен здесь, в России? Ведь как хорошо получается по прошлогоднему 63-ФЗ «ОБ ЭЛЕКТРОННОЙ ПОДПИСИ»: этот самый квалифицированный сертификат я могу использовать для формирования электронной подписи, являющейся аналогом собственноручной, везде, где принимаются документы в электронном виде, и по закону, мне никто не имеет права отказать — ни налоговая при сдаче отчетности, ни российская электронная торговая площадка.
Очевидно мешает следующее:
В общем проблема есть, и ее надо решать. И не только из за моего, чисто гипотетического, желания торговать на Лондонской бирже, но и потому что для симметричной ситуации, когда некий Джон захочет прийти на нашу торговую площадку, в уже упомянутом 63-ФЗ есть интересная статья, которую, как и весь закон, надо как-то исполнять:
Статья 7. Признание электронных подписей, созданных в соответствии с нормами иностранного права и международными стандартами
1. Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.
2. Электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права.
Решение
Для начала аббревиатура: ДТС. Соответствует термину Доверенная Третья Сторона (TTP — Trusted Third Party) из международного стандарта X.842. Из всех возможных сервисов которые может предоставлять ДТС здесь используется только один — сервис валидации (т.е. проверки подписанных данных).
Собственно решение:
Если коротко, то все сводится к замене договорных отношений между например, Василием и Джоном (или пользователем Василием и Лондонской биржей), на более длинную, но и более работоспособную цепочку:
Пользователь Джон — ДТС. E U — ДТС. R U — пользователь Василий.
На сегодня покрытие технологией приблизительно такое: в Европе и в России сервис работает в режиме промышленной эксплуатации. В Республике Беларусь — демонстрационный сервис, на базе которого, возможно, будет создан настоящий боевой комплекс. В Казахстане — ведутся работы по созданию такого сервиса.
Кому это всё интересно
Очевидно тем, кто хочет торговать на Лондонской бирже, а также тем, кто по роду деятельности причастен к исполнению 63-ФЗ. Ну и, надеюсь, вообще всем, кому небезразличен прогресс.
Если хабру данная тема будет любопытна — с удовольствием отвечу на вопросы.
Целью цикла статьей является обзор нормативно-технических и нормативно-правовых условий для организации процессов обеспечения доверия в цифровой среде.
Вопросы обеспечения и развития цифрового пространства доверия актуальны во всём мире. Они стоят на повестке дня и решаются в той или иной степени с 1980-х годов, а в Российской Федерации, по крайней мере с начала 2000-х годов, когда был принят Федеральный закон № 1-ФЗ «Об электронной цифровой подписи». Наиболее обсуждаемым вопросом на уровне регуляторов (Минкомсвязи России, ФСБ России, ФНС России), пользователей и операторов, при реализации процессов обеспечения доверия в цифровой среде, является нормативная база обеспечения применения аналогов собственноручной подписи — электронной подписи (ЭП), электронной цифровой подписи (ЭЦП), как средства обеспечения юридической силы трансграничного электронного документооборота. В 2018-2020 годах это обсуждение привело к значительной модернизации федерального законодательства в области доверия в цифровой среде, а именно к появлению Федерального закона №476-ФЗ от 27.12.2019, внесшего значительные поправки в Федеральный закон № 63-ФЗ от 06.04.2011 «Об электронной подписи». Здесь и далее, главным образом будут рассмотрены поправки, касающиеся сервисов доверия, объединённых в 476-ФЗ понятием «доверенная третья сторона» (ДТС).
В законодательстве РФ данное понятие появилось с подписанием международного документа «Договор о Евразийском экономическом союзе» (Подписан в г. Астане 29.05.2014), который определяет вопросы экономической интеграции на пространстве ЕАЭС. Договор содержит Приложение №3 «Протокол об информационно-коммуникационных технологиях и информационном взаимодействии в рамках евразийского экономического союза». Данный протокол является правовой основой для решения задачи обеспечения доверия к трансграничным документам с электронной подписью путем использования технологии ДТС. Другой особенностью Договора является то, что он предусматривает решение данной задачи только для отношений между органами власти (G2G). В соответствии со «Стратегией развития трансграничного пространства доверия», утвержденной решением Коллегии ЕЭК от «27» сентября 2016 г. № 105 (далее — Стратегия):
«Субъектами электронного взаимодействия также могут стать органы государственной власти третьих государств (их должностные лица и сотрудники), физические и юридические лица (представители юридических лиц), должностные лица и сотрудники интеграционных объединений, международных организаций при условии заключения соответствующих международных договоров».
На втором этапе развития трансграничного пространства доверия (до 2020 года) предусматривается:
«возможность электронного взаимодействия физических и юридических лиц между собой, а также с органами государственной власти государств-членов при нахождении физических и юридических лиц на территориях своих государств».
Таким образом, правовые, организационные и технологические условия для обеспечения доверия иностранным электронным подписям юридических и физических лиц в рамках трансграничного пространства доверия ЕАЭС, в соответствии со Стратегией, должны быть созданы в ЕАЭС уже в текущем году.
В законодательствах стран Евразийского экономического союза (ЕАЭС), обеспечение юридической силы, как свойства электронных документов, базируется на гарантиях аутентичности и целостности документов. При этом в основном*, для обеспечения свойств аутентичности и целостности электронных документов используются криптографические методы, а правовые основы закладываются в международном и национальном законодательстве. Значительное количество стран- экономических партнёров РФ, основывают своё законодательство в области юридической значимости электронных документов на типовом законе UNCITRAL 2001 года «Об электронных подписях», в качестве технологической основы которого предусмотрена именно криптографическая электронная подпись (digital signature) (табл.1).
Перечень стран, законодательство которых основано на типовом законе UNCITRAL 2001 года «Об электронных подписях»*2
Таким образом, задача организации трансграничного защищенного электронного юридически-значимого взаимодействия сводится к согласованию между странами-участниками отличий правового регулирования (например, требований к условиям применения криптографических средств) и отличий в средствах и способах обеспечения заданных значений защищенности.
Например, для организации защищенного электронного документооборота в странах ЕС и ЕАЭС используются криптографические средства.
При этом, многие страны развивают собственную криптографию, имеют собственные стандарты криптографических алгоритмов, используемых для создания и проверки ЭП (ЭЦП) и собственные механизмы реализации данных алгоритмов (средства электронной подписи и их аналоги).*3
В общем случае, эти решения между собой несовместимы, т.е. электронный документ, подписанный ЭЦП на основе криптографических стандартов, например, Республики Беларусь, не может быть проверен при помощи средств ЭЦП Республики Казахстан и российских средств ЭП.
Рассмотрим далее возможные технологические решения данной проблемы.
Вариант 1: Наиболее очевидным решением в этой ситуации, казалось бы, является использование общего, единого для участников информационного взаимодействия криптографического стандарта для процедур электронной подписи (рис.1).
В пользу этого подхода на постсоветском пространстве говорит наличие криптографических стандартов СНГ — ГОСТ 34.310-2002. « Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» и ГОСТ 34.311-95 «Информационная технология. Криптографическая защита информации. Функция хэширования». В то же время значительное количество стран использует встроенные в операционные системы решения, основанные на криптографических разработках США.
Но такой подход противоречит принципу национального суверенитета, который определяет рациональность использования сертифицированных по национальным стандартам средств электронной подписи, а также определяет возможность специфики правовой основы применения электронной подписи в разных странах. Отличия могут быть существенные, начиная с терминов, заканчивая смысловым содержанием аналогов собственноручной подписи. По этим причинам «вариант 1» не может рассматриваться как универсальное решение для обеспечения признания иностранной электронной подписи, особенно в Российской Федерации.
Вариант 2: Другим очевидным решением, казалось бы, должен стать подход на основе импорта/экспорта средств электронной подписи (СКЗИ) партнеров, взаимный легальный обмен ими, для оснащения национальных информационных систем и национальных пользователей иностранных информационных систем (рис. 2).
Но этот вариант имеет большое количество организационных и технических сложностей, и кроме того не разрешает весь перечень проблем. Прежде всего, средства электронной подписи являются шифровальными (криптографическими) средствами, а их экспорт и импорт имеет ряд существенных ограничений, затрудняющих реализацию данного варианта. В соответствии с «Положением о порядке ввоза на таможенную территорию таможенного союза и вывоза с таможенной территории таможенного союза шифровальных (криптографических) средств»:
«Ввоз и вывоз шифровальных средств осуществляется на основании разовых лицензий, выдаваемых уполномоченным органом государства — участника таможенного союза, на территории которого зарегистрирован заявитель».
Кроме того, ряд вопросов, связанных с использованием средств электронной подписи требует их периодического обслуживания провайдерами сертификационных услуг (например, удостоверяющими центрами), которые функционируют в соответствии с требованиями национальных законодательств и получение таких сервисов за пределами страны присутствия затруднено. Даже при решении задачи ввоза-вывоза средств электронной подписи для конкретной информационной системы, при масштабировании системы организационные проблемы возникают вновь, так как они требуют поэкземплярного учета этих средств, и каждый случай ввоза или вывоза требует оформления разовой лицензии.
К техническим особенностям данного варианта следует отнести, так же, необходимость оснащения всех информационных систем и всех поставщиков полным набором средств электронной подписи, что в настоящее время, кроме организационной затруднений, осложняется и отсутствием совместимости, при работе на одном средстве вычислительной техники наиболее распространенных СКЗИ.
К правовым недостаткам данного варианта следует отнести то, что в этом случае сторонам не предоставляется возможность получения документального подтверждения правомерности применения сертификата ключа проверки подписи для подписания конкретного типа документов в соответствии с законодательством страны происхождения электронного документа. В результате, каждый из контрагентов должен принимать решение о доверии электронному документу, не имея на это достаточных правовых оснований.
Таким образом, вариант 2, основанный на вывозе и ввозе СКЗИ, не является технологичным и неприменим для массового использования, для развивающихся информационных систем и для информационных систем, предполагающих наличие четких правовых условий применения электронных документов.
Для реализации защищенного трансграничного электронного юридически-значимого документооборота на основе криптографических средств целесообразно использовать иные подходы, позволяющие реализовать по существу эквивалентные (по обеим сторонам границы) уровни криптографической защиты информационных потоков и достаточные правовые основания для признания юридической силы электронных документов, т.е. методы, обеспеченные достаточной нормативной базой.
Вариант 3: Это вариант Доверенной третьей стороны, который реализуется в соответствии с тремя базовыми принципами:
Схема взаимодействия сторон при реализации этих базовых принципов представлена на рис.3.
В соответствии с поправками, внесенными Федеральным законом N 476-ФЗ («О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля») в ст.7:
«3. Признание электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, соответствующими признакам усиленной электронной подписи, и их применение в правоотношениях в соответствии с законодательством Российской Федерации осуществляются в случаях, установленных международными договорами Российской Федерации. Такие электронные подписи признаются действительными в случае подтверждения соответствия их требованиям указанных международных договоров аккредитованной доверенной третьей стороной, аккредитованным удостоверяющим центром, иным лицом, уполномоченными на это международным договором Российской Федерации, с учетом настоящего Федерального закона».
Таким образом, с учетом данных положений, основу правовой модели взаимного признания трансграничных электронных подписей должны составлять международные договоры Российской Федерации. После вступления в силу указанных поправок (на момент написания данной статьи вступление в силу определено на 1 июля 2020 года), мы будем следить за появлением подобных международных договоров и анализировать практику работы указанных операторов при решении данной задачи.
В следующих статьях данного цикла мы постараемся рассмотреть другие задачи, связанные с электронной подписью, которые, в свете актуального законодательства РФ, могут и будут возлагаться на доверенную третью сторону.
Есть исключения, в частности Федеральный закон РФ № 63-ФЗ от 06.04.2011 предусматривает возможность использования некриптографической простой электронной подписи, которая в данном материале рассматриваться не будет, как неприменимая для рассматриваемых прикладных задач.
В основе стандартов стран ЕАЭС лежат общие подходы, но в настоящее время национальные реализации «навстречу» несовместимы.
Доверенная третья сторона (ДТС) это организация или представитель организации, который оказывает одну или несколько услуг безопасности, и является доверенным для других субъектов относительно действий, связанных с этими услугами безопасности. ( ITU IT Recommendation X.842. Information technology – Security Techniques – Guidelines for the use and management of trusted third party services).
Сергей Анатольевич Кирюшкин,
к.т.н., советник Генерального директора ООО «Газинформсервис»
Кустов Владимир Николаевич,
д.т.н., профессор, советник Генерального директора ООО «УЦ ГИС»