«Всякая перемена прокладывает путь другим переменам» Никколо Макиавелли
В связи с принятием нового Федерального Закона от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», отменяющего закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» только лишь с 01 июля 2012 г., мы попали в так называемый переходный период. А нужен ли этот «переход» или можно открыть сиё «священное писание» и безусловно следовать ему?
Постараемся посмотреть на некоторые особенности нового закона в сравнении с уже действующим законом «Об электронной подписи».
Сфера действия закона
Федеральный закон, с которым мы живем уже девять лет, рассматривает применение ЭЦП в электронных документах. При этом, под электронным документом понимается «...документ, в котором информация представлена в электронно-цифровой форме1». Термин «информация» трактуется как «сведения (сообщения, данные) независимо от формы их представления»2. Однако форма представления Законодателем определена - электронно-цифровая, т.е. пригодная «...для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах»3.
Тем не менее, зафиксировав в электронной цифровой форме информацию, документ не получим, т.к. документом (документированной информацией) является «...зафиксированная на материальном носителе информация с реквизитами, позволяющими ее идентифицировать»4. Т.е. зафиксированная на материальном носителе информация, должна содержать так называемый один или более «...обязательный элемент оформления официального документа»5.
Если же посмотреть, что является официальным документом, то узнаем, что это «...документ, созданный юридическим или физическим лицом, оформленный и удостоверенный в установленном порядке»6. Причем под оформлением документа понимают «...проставление необходимых реквизитов, установленных правилами документирования»7. Само же документирование - это «... запись информации на различных носителях по установленным правилам»8.
1Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3.
2Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите
информации», ст. 2, п. 1.
3Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»ст. 2, п. 11.1.
4ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Ст. 2.1, п. 3.
5ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Ст. 2.2.1, п. 39.
6ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Ст. 2.1, п. 23.
7ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Ст. 2.2.1, п. 49.
8ГОСТ Р 51141-98. Делопроизводство и архивное дело. Термины и определения. Ст. 2.2.1, п. 32.
Таким образом, получаем, что порядок представления информации должен быть четко определен, в соответствии с ним физическое или юридическое лицо фиксирует некие сведения, с одной стороны, в виде, понятном для человека, а с другой стороны, -пригодном для использования в информационных системах. И вот для такого вида документированной информации применяется электронная цифровая подпись «...при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях»9.
Наше утверждение подкрепляет статья 1 Федерального закона об ЭЦП, где в качестве цели указывается «...обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе»10. Тем самым фактически создаются условия для реализации так называемой электронной версии бумажного документооборота.
Меняет ли что-нибудь новый Федеральный закон?
В Федеральном законе «Об электронной подписи» указывается, что он «...регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий»11.
Т.е. все перечисленные и подразумеваемые области применения нового закона касаются юридически значимых действий. Не смотря на то, что виды юридически значимых действий очень разнообразны, одним из критериев, по которым то или иное действие признается таковым, является наличие правовых последствий, т.е. возникновение, изменение, прекращение или сохранение правоотношений. Именно такой подход предполагают теория права и судебная практика12.
Таким об9 разом, как и в предыдущем законе, так и в новом говорится о действиях, которые несут правовые последствия. Однако в первом случае обращается внимание на создание условий, при которых подпись в электронном документе признается равнозначной рукописной подписи. Во втором же случае говорится о регулировании отношений при использовании электронных подписей.
ЭЦП и электронная подпись
Назначение
Начнем с того, что в новом законе в противовес ЭЦП выделяют три вида электронных подписей: простую, усиленную неквалифицированную и усиленную квалифицированную. Рассмотрим все виды цифровых подписей, действующие на сегодняшний «переходный период».
Электронная цифровая подпись позволяет "...идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе"13.
9Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи». Ст. 1, п. 2.
10Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи». Ст. 1, п. 1.
11Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи». Ст. 1.
12Бриллиантов А.В. Юридически значимые действия и юридические последствия как признак должностного
лица // «Российский следователь» № 9, 2010 г., изд-во ООО «Издательская группа «Юрист», стр. 6-10.
13Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст.З.
Простая подпись "...подтверждает факт формирования электронной подписи определенным лицом", усиленные электронные подписи позволяют "... определить лицо, подписавшее электронный документ, обнаружить факт внесения изменений в электронный документ после момента его подписания"14.
По своей сути и идентификация владельца сертификата ключа подписи, и подтверждение факта формирования подписи определенным лицом, и определение лица, подписавшего документ, необходимы для ответа на вопрос: кто автор? К кому в случае конфликтной ситуации предъявлять претензии за содержимое документа, при условии, что оно не было несанкционированно изменено? Вот только механизмы получения этого ответа разные. В частности, для создания ЭЦП, усиленных электронных подписей применяются криптографические технологии, а в основе простой подписи лежит применение паролей, кодов и иных, скорее всего не криптографических, способов. Почему "скорее всего"? Да потому что Законодатель еще четко не обозначил свой взгляд на то как сделать/использовать простую подпись, а только лишь указал направление движения и предложил участникам информационной системы самим договориться о деталях.
Общим для ЭЦП и усиленных подписей является выявление изменений в подписанном документе, что в принципе не обеспечивается применением простой электронной подписи. Под вопросом также остается и неизменность самой простой электронной подписи в документе, отправляемом по каналу связи или хранимом в информационной системе.
Процедуры проверки и формирования подписей
Формирование ЭЦП осуществляется с помощью криптографического преобразования над сообщением с применением ключа подписи и параметров схемы ЭЦП15. Если сопоставить данную терминологию с законом об ЭЦП, то получим, что под сообщением следует понимать электронный документ, а под ключом подписи - закрытый ключ ЭЦП.
Усиленная электронная подпись создается средствами электронной подписи, а входными данными являются электронный документ и ключ электронной подписи.
При создании квалифицированной подписи выдвигается дополнительное требование, состоящее в необходимости подтверждения соответствия требованиям, установленным в соответствии с Федеральным законом № 63-ФЗ, используемых средств электронной подписи.
Для проверки подлинности ЭЦП необходимо использовать:
- сертифицированное средство электронной цифровой подписи
- сертификат ключа подписи, который формируется Удостоверяющим центром, зарегистрированным, в свою очередь, в реестре Уполномоченного федерального органа (в настоящее время - Министерстве связи и массовых коммуникаций РФ16)
Проверка квалифицированной усиленной подписи должна выполняться с использованием:
- средства электронной подписи, получившего подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63-ФЗ
- ключа проверки электронной подписи, указанного в квалифицированном сертификате, создаваемого и выдаваемого аккредитованным удостоверяющим центром
14Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 5, п. 2-4.
15ГОСТ Р 34.10-2001. Криптографическая защита информации. Процессы формирования и проверки
электронной цифровой подписи.
16Указ Президента РФ от 25.08.2010 г. № 1060 "О совершенствовании государственного управления в сфере
информационных технологий", Положение о Министерстве связи и массовых коммуникаций РФ,
утвержденной постановлением Правительства РФ от 02.06.2008 г. №418
При соблюдении указанных выше условий квалифицированная подпись будет считаться действительной если:
- квалифицированный сертификат действителен либо на момент подписания
документа (при условии достоверности информации о моменте подписания), либо, в
случае невозможности достоверно установить момент подписания - на день проверки
действительности самого сертификата; - установлена принадлежность подписи владельцу квалифицированного
сертификата; - подтверждено отсутствие изменений в подписанном электронном документе;
- подпись используется с учетом ограничений, указанных в соответствующем
квалифицированном сертификате.
Что же касается процедуры проверки неквалифицированной усиленной подписи, то она выполняется средством электронной подписи с применением соответствующего ключа проверки электронной подписи и допускает отсутствие сертификата ключа проверки электронной подписи.
В отношении простой подписи Законодатель от «разглашения» подробностей пока воздержался, предлагая тем, кому необходима такая подпись воспользоваться соглашением между участниками информационного взаимодействия.
Таблица 1. Виды электронных подписей
|
Подпись | ||||
|
электронная цифровая |
простая |
усиленная | ||
|
неквалифицированная |
квалифицированная | |||
|
Обеспечивает: | ||||
|
идентификацию владельца сертификата ключа подписи |
подтверждение формирования электронной определенным лицом |
определение лица, подписавшее электронный документ | ||
|
выявление информации в документе |
|
обнаружение факта внесения изменений в электронный документ после момента его подписания |
| |
|
Создается с использованием: |
| |||
|
криптографического преобразования информации |
|
криптографического преобразования информации |
| |
|
закрытого ключа ЭЦП (по ГОСТ Р 34.10-2001 - ключ подписи) |
- кодов
|
ключа электронной подписи (по ГОСТ Р 34.10-2001 - ключ подписи) |
| |
|
сертифицированных средств электронной цифровой подписи |
|
средства электронной подписи |
средства электронной подписи, получившего подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63-ФЗ |
|
|
Проверяется с использованием: |
| |||
|
сертифицированных средств электронной цифровой подписи |
|
средства электронной подписи |
средства электронной подписи, получившего подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом № 63-ФЗ |
|
|
сертификата ключа подписи, содержащего открытый ключ ЭЦП
|
|
ключа проверки электронной подписи
|
квалифицированного сертификата, содержащего ключ проверки электронной подписи |
|
Получается, что, во-первых, применение ЭЦП сопряжено с использованием средств электронной подписи, прошедших сертификацию в организациях, аккредитованных в
системе сертификации средств криптографической защиты информации17. Во-вторых, процедуры формирования и проверки ЭЦП определены в ГОСТ Р 34.10-2001.
Что касается электронных подписей, определенных законом № 63-ФЗ, то тут возникают нюансы, а именно: требования к форме квалифицированного сертификата, средствам электронной подписи и удостоверяющих центров отсутствуют18.
Условия равнозначности
При использовании ЭЦП Законодателем было установлено требование, при одновременном выполнении условий которого подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе, а именно:
- сертификат ключа подписи должен действовать на момент проверки или на момент подписания электронного документа (при наличии доказательств, определяющих момент подписания)
- сертифицированным средством ЭЦП подтверждена подлинность электронной цифровой подписи в электронном документе
- ЭЦП использована в соответствии со сведениями, указанными в сертификате ключа подписи19
В отношении применения квалифицированной электронной подписи установлено признание соответствующего электронного документа равнозначным документу на бумажном носителе при условии, что Государством не запрещено издание такого документа в электронном виде20. Кроме того, становиться возможным говорить о равнозначности, даже в тех случаях, когда на бумажный носитель заверен печатью, если иное не будет предусмотрено отдельными законами, нормативно-правовыми актами или соглашениями участников информационной системы21. Последнее аналогично в отношении применения ЭЦП, при условии, что в сертификате содержатся необходимые сведения о правомочиях его владельца22.
При подписании электронного документа неквалифицированной электронной подписью, такой документ будет признан равнозначным документу на бумажном носителе в случаях, определенных:
- федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или
- соглашением между участниками электронного взаимодействия
при условии определения порядка проверки электронной подписи23.
При применении простой электронной подписи электронный документ будет признан равнозначным документу на бумажном носителе в случаях, предусмотренных:
- федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или
- соглашением между участниками электронного взаимодействия
17Перечень организаций, аккредитованных в системе сертификации средств криптографической защиты информации РОСС RU.0001.030001 в качестве испытательных лабораторий по проведению сертификационных испытаний// http://www.fsb.ru/fsb/supplement/contact/lsz/ssskzi.htm.
18«Новый закон «Об электронной подписи». А что нового?»//Маслов Ю.Г., НП «РОСЭУ», http://www.roseu.org/activity/analytics/45--l-r-, 21.04.2011.
19Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 4, п. 1.
20Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 6, п. 1.
21Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 6, п. 3.
22Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 19, п. 2.
23Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 6, п. 2.
при условии, что в них прописаны правила определения лица, подписавшего электронный документ, обязанность хранения в тайне ключа простой электронной подписи, а также:
- подпись содержится в самом электронном документе или
- ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы и, создаваемый/отправляемый с её помощью электронный документ содержит информацию, указывающую на лицо, от имени которого был создан и (или) отправлен электронный документ24.
В итоге рассмотрения условий равнозначности обращает на себя внимание тот факт, что при исполнении закона об ЭЦП говорят о признании равнозначности электронной цифровой подписи собственноручной, а новый закон подразумевает признание электронного документа, подписанного электронной подписью, равнозначным его бумажному варианту.
Заключение
Федеральный закон «Об электронной подписи» несомненно изменяет взаимоотношения участников информационной системы при использовании ими электронных подписей и ни в коем случае не должен рассматриваться как обновленный вариант ФЗ «Об ЭЦП». Более того, он вносит дополнительные требования к участникам информационной системы.
Например, помимо рассмотренных в данной статье, вводится понятие аккредитованного удостоверяющего центра, т.е. прошедшего процедуру аккредитации в уполномоченном федеральном органе. Сами же правила аккредитации и порядок проверки соблюдения установленных законом требований аккредитованными удостоверяющими центрами определяются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий. Обращает внимание и то, что скорее всего аккредитованный удостоверяющий центр будет подчиненным удостоверяющему центру уполномоченного федерального органа.
Также подлежат детализации со стороны федерального органа исполнительной власти в области обеспечения безопасности форма квалифицированного сертификата, требования к средствам электронной подписи и удостоверяющих центров.
То что в соответствии с принятым законом электронный документ, подписанный до 01.07.2012 г. электронной цифровой подписью, признается документом, подписанным квалифицированной подписью, а также то, что все сертификаты выданные в указанный срок в соответствии с законом об ЭЦП также признаются в качестве квалифицированных сертификатов, несомненно хорошо. Правда возникает некоторая неоднозначная ситуация в случае если удостоверяющий центр по каким-либо причинам аккредитации в установленный срок не прошел. Хотя в принципе, эта ситуация не так уж и не разрешима: «В случае аннулирования квалифицированного сертификата, выданного аккредитованному удостоверяющему центру, выдавшему квалифицированный сертификат заявителю, либо в случае аннулирования или истечения срока аккредитации удостоверяющего центра квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие»25.
Вообще конечно можно предполагать, что установленным порядком будут внесены соответствующие изменения в такие документы как ПКЗ-2005, ГОСТ Р 34.10-2001 и др., все недосказанное в ФЗ № 63-ФЗ будет определено дополнительно, но важно
24Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 6, п. 2, ст. 9, п. 1
25Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи», ст. 17, п. 5
понять одно - изменять действующую информационную структуру в соответствие с принятым законом рано, нужно дождаться необходимых подзаконных актов, официальных разъяснений, средств, реализующих технологии простой и неквалифицированной подписи, проанализировать полученную информацию и только тогда делать шаги по реализации в практике требований ФЗ «Об электронной подписи».