Электронно-цифровая подпись получила правовой статус в России только в 2002 году. Хотя отечественные умы задумывались о ее применении задолго до этого знаменательного шага. Так, российский ГОСТ на процедуру выработки и проверки ЭЦП на базе асимметричного криптографического алгоритма был разработан Главным управлением безопасности связи ФАПСИ и ВНИИ стандартизации в 1994 году, а официально введен в 1996 году.
Закон "Об электронной цифровой подписи" был принят Государственной Думой в конце 2001 года. Первоначально в Госдуму было внесено три законопроекта об ЭЦП - один правительственный и два альтернативных депутатских варианта. В первом чтении был одобрен правительственный вариант. В ноябре 2001 года состоялось успешное для этого законопроекта второе чтение. Над ним работал думский комитет по информационной политике. Ко второму чтению были предварительно согласованы позиции ФАПСИ, Минсвязи и комитета по информационной политике Госдумы, а в сам документ внесено около ста поправок. Принятый в третьем, окончательном чтении закон объявил цифровую подпись в электронных документах "равнозначной собственноручной подписи в документе на бумажном носителе". В январе 2002 года закон о ЭЦП подписал Президент России.
До принятия закона об ЭЦП юридической базой для применения электронно-цифровой подписи служил Гражданский кодекс РФ, регламентировавший ее использование (п.2 ч.1 ст.160). В статье был прописан механизм применения ЭЦП, согласно которому предварительно стороны подписывают в обычном порядке соглашение о том, что далее они станут обмениваться электронными письмами и документами. Однако данный законодательный акт был предназначен в первую очередь для юридических лиц и никак не регламентировал использование ЭЦП физическими лицами.
Как бумажная
Закон "Об электронной цифровой подписи" направлен на обеспечение правовых условий использования электронной цифровой подписи в электронных документах. При их соблюдении ЭЦП в электронном документе признается равнозначной собственноручной подписи человека (гражданина или должностного лица) в документе на бумажном носителе. Действие закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством случаях, и не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи.
Это означает два следующих важных момента:
а) лица, которые незаконно используют ЭЦП другого лица, несут уголовную, гражданско-правовую и административную ответственность;
б) использование ЭЦП позволяет, не выходя из дома или офиса, безопасно и гарантированно совершать сделки по купле-продаже собственности; отстаивать свои права в органах правосудия, осуществляя переписку по электронной почте; использовать сеть Интернет для упрощения процедуры, связанной с представлением налоговой отчетности в налоговые органы.
Однако на практике эти возможности широко пока не используются.
Справка
Электронная цифровая подпись определяется в документе как "реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи". Проще говоря, новый вид подписи не только идентифицирует владельца электронного ключа, но также определяет гарантии отсутствия искажений информации в электронном документе.
ЭЦП - это часть электронного документа, а фактически - обычный файл, полученный в результате криптографического преобразования документа. Цифровая подпись создается при помощи так называемого закрытого ключа. Проверяется же отправленный документ открытым ключом - он общедоступен и вместе с документом приходит получателю. При использовании ЭЦП гарантируется следующее. Во-первых, то, что документ не изменился в процессе пересылки. Если после подписания цифровой подписью документ был искажен, это выяснится при проверке открытым ключом. Во-вторых - гарантируется однозначная идентификация отправителя. В случае с обычной подписью это можно сделать, например, сравнив с подписью в паспорте. В случае с ЭЦП - специальные удостоверяющие центры, выдающие сертификаты ключей.
Ограничение
Один из главных вопросов - кто имеет право выдавать сертификаты ключей. Как прописано в законе, удостоверяющим центром, выдающим сертификаты ключей подписи для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные данным законом. Требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством по представлении уполномоченного федерального органа исполнительной власти. Деятельность удостоверяющего центра подлежит лицензированию. Закон предоставляет широкие полномочия "органу исполнительной власти", который будет следить за использованием ЭЦП. Он, в частности, обязан определять требования к материальному и финансовому состоянию удостоверяющих центров.
В документе мало прямых формулировок в этом разделе, и потому многие положения регулировались подзаконными актами, в основном относящимися к компетенции ФАПСИ (ныне входящем в ФСБ). Надо отметить, что изначально ФАПСИ вела ожесточенную борьбу с независимыми разработчиками средств шифрования, пытаясь создать монополию своих услуг. Как считают многие аналитики, закон о ЭЦП является одним из шагов ведомства в данном направлении (к слову, одной из таких попыток стал "Закон о лицензировании отдельных видов деятельности").
Несмотря на то, что закону больше года, удостоверяющих центров появилось немного, в основном с участием бывшего ФАПСИ, а не коммерческих фирм. В начале июня прошлого года Министерство по связи и информатизации России объявило, что собирается в течение трех месяцев разработать регламент мероприятий по использованию электронной цифровой подписи и сертификат открытого ключа, в том числе систему удостоверяющих центров электронно-цифровой подписи.
Сколько сейчас действует удостоверяющих центров - сказать трудно. Изначально около 40 компаний получили разрешение на опытно-коммерческую деятельность (такое положение существует до сих пор, из-за отсутствия действующего подзаконного акта об лицензировании данного вида деятельности). Судя по данным, которые можно получить из Интернета, сейчас в этой области активно работает около 30 фирм.
… можно и так
Однако, как отмечаю эксперты, в подавляющем большинстве случаев сертификаты от внешнего УЦ просто не нужны - в основном это связано с созданием собственного корпоративного УЦ.
В каких же случаях целесообразно использовать собственный УЦ и строить "корпоративную" систему?
Специалисты выделяют здесь несколько условий.
1. Количество владельцев ключей подписи более 50.
2. Четко определенное количество внешних контрагентов.
3. ЭЦП не только предусмотрена для электронной почты, но и внедрена в специализированные разработки (документооборот, банковский софт).
4. Внешние организации не способны возместить (и оценить) ущерб от неправильного применения ЭЦП.
5. Документы с ЭЦП не носят гражданско-правового характера, например, организационно-распорядительные документы, трудовые взаимоотношения, государственное управление.
6. Сложность обеспечения личной явки владельцев ключей подписи в УЦ (хотя контакт с ними, например, в силу географической удаленности, может установить уполномоченный агент УЦ).
В любом из перечисленных случаев, целесообразно создавать свой УЦ, а в последних трех случаях использование внешнего УЦ вообще неоправданно. Это связано с тем, что на сегодняшний момент отечественное законодательство таково, что применение ЭЦП в системе "открытого типа" невозможно. При построении же корпоративной системы всю ответственность за использование ЭЦП несет владелец системы. Например, если вы заплатите за ключи и сертификат и станете ЭЦП использовать для организационно-распорядительных документов, то практически просто выкинете деньги на ветер, так как возмещать ущерб (в случае его возникновения) будет владелец системы, а не УЦ. Последний получит причитающиеся ему деньги и при этом может не реагировать на ваши претензии.
Многого не хватило
Принятие закона об ЭЦП не смогло способствовать резкому расширению применения электронных документов в России в той мере, как это задумывалось. С одной стороны, необходима более комплексная регуляция IT-индустрии в стране. Влияние ЭЦП на электронные бизнес и торговлю в России стало бы более значительным, если бы одновременно был принят и законопроект "Об электронной торговле", а также иные положения, регулирующие сделки, заключенные через Интернет.
С другой стороны, в самом законе есть ряд пробелов, в частности, отсутствует строгое определение термина "электронный документ". Не понятно, чем он отличается от обычного файла с текстовой, графической или другой информацией. Отсутствие четкого определения не позволяет создать базу для последующих определений терминов в законодательных актах об ЭЦП. Например, при его наличии можно было бы определить такое понятие, как, скажем, электронная ценная бумага на предъявителя. Также в законе не прописана процедура разрешения конфликтов (к примеру, для ситуации, когда одна из сторон заявит, что тот или иной документ она не подписывала, а примененная к нему ЭЦП является причиной какого-то технического сбоя).
Все это помешало превратиться ЭЦП в эффективный инструмент становления в России цивилизованного электронного сообщества, а закон об электронно-цифровой подписи остался по большей части невостребованным.. Хотя определенные подвижки есть, например, по некоторым оценкам, в таких крупных городах, как Петербург и Екатеринбург около 2% предприятий пользуются ЭЦП при сдаче налоговой отчетности. В Петербурге запущена автоматизированная система городского заказа, где активно используется ЭЦП.
Тем не менее все эксперты говорят о том, что для более активного применения ЭЦП необходимы исправления в Законе или составление комплекса подзаконных нормативных актов. Но этого не произойдет, пока не будет накоплена определенная практика его применения.
Кроме того, существует практика на основе Гражданского кодекса. В соответствии с ним, по соглашению сторон, наряду с собственноручной подписью можно использовать ее аналог, в том числе и электронную подпись. При заключении такого соглашения, содержащего регламент разрешения конфликтных ситуаций, разрешение споров возможно через арбитражный суд. По этой схеме работают многие внутрикорпоративные системы, платежные организации и т. д. Но такую подпись не называют электронно-цифровой подписью, а аутентифицирующим кодом. В частности, именно схему с аутентифицирующим кодом использует Центробанк в своей платежной системе.
Но здесь тоже есть определенная проблема. Компаниям, в свое время вложившим огромные деньги в создание систем с таким кодом, сейчас придется инвестировать не меньшие суммы в системы на основе ЭЦП. В ряде случаев, это может вызвать прецеденты лоббизма, направленного против развития законодательства об ЭЦП.
Комментарии
Сергей Петренко, эксперт по информационной безопасности компании "АйТи"
Основные отличия российской практики использования ЭЦП состоят в том, что большинство стран, имеющие соответствующие нормативные акты об ЭЦП, более гибко относятся к самому этому понятию. Общепринятый в мировом сообществе подход допускает произвольную техническую реализацию ЭЦП, если соблюдены общие принципы. Рабочая группа по электронной торговле Комиссии Организации Объединенных Наций по праву международной торговли (UNCITRAL) отказалась от понятия "криптографический ключ" в проекте типового закона "Об электронных подписях". В противоположность этому, в нашем законе об ЭЦП явно прописана технология ЭЦП - криптография с открытым распространением ключей и сертификатом ключа подписи (я уже не говорю о том, что законом признается только подпись, проверенная сертифицированными средствами). В месте с тем в гражданско-правовых отношениях используется понятие "аналог собственноручной подписи", под которым, вне зависимости от закона об ЭЦП, можно понимать и другие реализации цифровой подписи.
На Западе самым известным внедрением ЭЦП стало использование SET для авторизации платежей по банковским картам и для расчетов банков с розничными продавцами. Для разработки SET были привлечены ведущие производители на рыке информационных технологий, в результате технология заработала по всему миру (в том числе в России среди эмитентов VISA). В противоположность этому в нашей стране внедрение ЭЦП направлено прежде всего на правовые взаимоотношения между юридическими лицами: при банковском обслуживании коммерческими банками, в налоговом учете, но в очень ограниченных масштабах. По сути, большинство внедрений несовместимы между собой и не имеют перспектив развития. Несмотря на ненужную "зарегулированность" применения ЭЦП в российской практике, я считаю, что применение ЭЦП весьма перспективно, но сдерживается на настоящем этапе только наличием "унаследованных систем" и общим слабым развитием информационных технологий. По мере накопления информации в цифровом виде, новые системы, поддерживающие ЭЦП, займут место устаревающих систем.
Юрий Маслов, заместитель коммерческого директора ООО "КРИПТО-ПРО"
Правовой статус электронная цифровая подпись получила задолго до 2002 года, а точнее - с момента вступления в силу статей 160 и 847 Гражданского кодекса Российской Федерации. В соответствии с данными статьями, ЭЦП могла использоваться при совершении сделки в письменной форме и удостоверении права распоряжения денежными средствами, находящимися на счете. Использовать ЭЦП могли как юридические лица вне зависимости от организационно-правовой формы и формы собственности, так и физические лица. Данная правовая база вместе с рекомендациями Высшего Арбитражного Суда Российской Федерации по судебно-арбитражной практике позволила получить достаточно большое развитие автоматизированных информационных систем типа "Клиент-Банк" в кредитных организациях.
При этом важно отметить, что условия применения ЭЦП, как и других аналогов собственноручной подписи, определялись на договорной основе участниками автоматизированных информационных систем. Это не могло не породить разнообразных подходов к организации таких условий на распорядительном, технологическом и техническом уровнях.
Федеральный закон "Об электронной цифровой подписи" определил правовые условия использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе.
Комментируя статью, хочу отметить, что из указанного выше закона не следует наложения ответственности за "незаконное использование ЭЦП другого лица". Это не предмет данного законодательного акта.
С выходом Федерального закона "Об электронной цифровой подписи" практика применения ЭЦП кардинально изменилась. Системы, созданные по методологиям до 10 января 2002 года и не соответствующие новым правовым условиям применения ЭЦП, стали источниками рисков, связанных с возможным непризнанием ЭЦП. Организации, которые используют такие информационные системы, встали перед дилеммой: либо менять такие системы, либо смириться с возросшими рисками, в том числе и финансовыми. В соответствии с этим, наблюдаются следующие тенденции: реинжениринг ряда "методологически старых" автоматизированных информационных систем и некоторый рост числа автоматизированных информационных систем, реализующих электронный документооборот с применением ЭЦП. Первая больше характерна для "традиционных" пользователей систем ЭЦП - кредитных организаций.
Рост числа автоматизированных информационных систем, реализующих электронный документооборот с применением ЭЦП, наблюдается в основном для таких типов информационных систем: системы корпоративного электронного документооборота; системы обеспечения казначейского исполнения бюджета в органах власти; системы сдачи отчетности в налоговые органы; трейдинговые системы.
ООО "КРИПТО-ПРО" осуществило поставку ПАК "Удостоверяющий Центр "КриптоПро УЦ" в адрес более 50 организаций различных организационно-правовых форм и форм собственности. Причем с участием бывшего ФАПСИ выполнено внедрение не более 10 проектов, что свидетельствует о расширении применения ЭЦП не только для задач государственного управления, но и для повышение эффективности хозяйственной деятельности предприятия.
Дмитрий Пухов, начальник отдела информационной безопасности ОАО "МДМ-Банк СПб"
В России принят Закон "Об ЭЦП", но не описывается структура и форматы представления данных в составе сертификата, форматы ключевой информации. В связи с этим идет полная несовместимость ключей ЭЦП и сертификатов, сгенерированных на различных СКЗИ (средства криптографической защиты информации), даже на тех, которые реализуют наши ГОСТы, соответственно невозможно использование одного и того же закрытого ключа ЭЦП в различных криптосистемах (от разных производителей).
Сейчас создаваемые удостоверяющие центры жестко привязываются к конкретным производителю СКЗИ и не поддерживают другие, это тормозит процесс внедрения ЭЦП в бизнес-приложения. Необходимо государственному органу стандартизовать структуру и форматы состава сертификата и ключевой информации. В государственных организациях необходимо наладить услуги по выдаче, например стандартных справок или других подобных документов, по запросам граждан в электронном виде, подписанных ЭЦП.
Сергей Гордеев, начальник управления развития информационных систем ЗАО "Балтийский Банк"
Электронная цифровая подпись сегодня используется банком при работе с системой дистанционного банковского обслуживания. Она позволяет значительно ускорить процесс осуществления платежей и сократить объемы бумажного документооборота между банком и клиентом. Именно новый закон об электронной цифровой подписи позволил нам в 2003 году выделить дистанционное банковское обслуживание в самостоятельную услугу и предложить ее частным клиентам. На основании нового закона нам удалось модернизировать устаревшую систему "Банк-Клиент", применив средства криптозащиты, созданные в соответствии с нормами закона "Об электронной цифровой подписи".
Сегодня около 70% корпоративных клиентов пользуются услугами дистанционного банковского обслуживания, и потенциально она может обслужить более 10 тысяч корпоративных клиентов и около 200 тысяч частных клиентов в режиме on-line.
Что касается частных клиентов банка, то для них владение электронной цифровой подписью и подключение к системе дистанционного банковского обслуживания может заменить несколько походов в банк. Информация о текущем состоянии карточного счета, расходных операциях по пластиковой карте, остатках средств на счетах, получение справки по движению средств на счете, заключение и расторжение депозитного договора, оплата услуг сотового оператора "МегаФон" - вот перечень тех услуг, доступ к которым с помощью Интернета открыла электронная цифровая подпись.
Для управления и сертификации электронных ключей цифровой подписи клиента в банке занимается специально с этой целью созданное подразделение - Удостоверяющий центр.
Балтийский Банк ввел новую услугу для корпоративных и частных клиентов. Благодаря ей клиенты банка смогут осуществлять банковские операции через специальную корпоративную информационную систему дистанционного банковского обслуживания.