XXIII международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи

Круглый стол. Электронная подпись с точки зрения закона и рынка.

Круглый стол под названием «Изменения в порядке регулирования отношений, связанных с применением электронной подписи» состоялся 24 мая на базе подмосковного пансионата «Бор». Организовала мероприятие компания «Газинформсервис», понимая актуальность данного вопроса и необходимость его обсуждения. Организационную поддержку оказала компания «АВАНГАРД ЦЕНТР».

На повестку дня были вынесены четыре вопроса:

  • актуальные вопросы формирования единого пространства доверия электронной подписи в современных условиях;
  • электронная подпись в отношениях с государством. Тенденции и перспективы;
  • перспективы и направления развития удостоверяющих центров и других компонентов PKI различного назначения с учетом актуальных тенденций;
  • миграция работающих систем с ФЗ-1 на ФЗ-63. Оптимизация стратегии.

В обсуждении приняли участие представители Министерства связи и массовых коммуникаций, МОО «Ассоциация защиты информации» (АЗИ); Ассоциации российских банков; Ассоциации Электронных Торговых Площадок; сообщества ABISS; Института государства и права Российской академии наук; ОАО «Газпром»; ОАО «Ростелеком»; ряд российских компаний, работающих в сфере информационной безопасности и криптографической защиты информации, – ООО «Газинформсервис», Energy Consulting, INLINE Group, LETA, «Аладдин Р.Д.», «ИнфоТеКС», «КРИПТО-ПРО», «Финтех» и др.

Игорь ЗАГОРСКИЙ, заместитель директора департамента, Минкомсвязь России Юрий ЛАВРУХИН, заместитель генерального директора Службы корпоративной защиты, СКЗ ОАО «Газпром»
Алексей ДОМРАЧЕВ, Советник Департамента государственной политики в области создания и развития электронного правительства, Минкомсвязь России Валерий ПУСТАРНАКОВ, генеральный директор, ООО «Газинформсервис»
Валерий ШИПИЛОВ, исполнительный директор АРБ Андрей ЧАПЧАЕВ, генеральный директор, ОАО «Инфотекс»
Геннадий ЕМЕЛЬЯНОВ, Президент МОО «АЗИ» Илья ТРИФАЛЕНКОВ, ОАО «Ростелеком»
Юрий МАСЛОВ, коммерческий директор, компания «КРИПТО-ПРО» Алексей САБАНОВ, заместитель генерального директора, ЗАО «Аладдин»
Илия ДИМИТРОВ, исполнительный директор, Ассоциация Электронных Торговых Площадок Александр БАРСУКОВ, начальник Ситуационного центра председателя правления, ОАО «Газпром»
Алла КРЫЖАНОВСКАЯ, главный юрисконсульт отдела нормативной работы Управления правовых экспертиз и нормативной работы юридического департамента, ОАО «Газпром» Алексей БАДАНОВ, начальник отдела стратегического IT-консалтинга, компания INLINE Group
Нина СОЛОВЯНЕНКО, ведущий научный сотрудник центра предпринимательского права, Институт государства и права РАН Витаутас БАКШИНСКАС, начальник управления правовых экспертиз и нормативной работы юридического департамента ОАО «Газпром»
Радион КОМПАНИЕЦ, директор департамента разработки и сертификации, ООО «Газинформсервис» Сергей КИРЮШКИН, советник генерального директора, ООО «Газинформсервис»
Вадим МЕТЛИЦКИЙ, начальник отдела информационной безопасности, компания «Финтех»  

Круглый стол фактически приобрел формат совещания. Особенно остро обсуждался Федеральный закон № 63 ФЗ «Об электронной подписи», вступивший в силу 8.04.2011. Поскольку новый закон содержит значительное количество нововведений в сравнении с Федеральным законом от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи», велика вероятность, что эти нововведения приведут к изменениям на российском рынке услуг удостоверяющих центров (УЦ). По оценкам ряда экспертов, объемы этого рынка сегодня превышают 1,5 млрд руб. в год. В стране действует примерно 300 удостоверяющих центров, в том числе федеральные, региональные, ведомственные УЦ, УЦ коммерческих предприятий. Законодательные изменения в той или иной степени затронут всех. Но как именно? Каким образом должны государственные и коммерческие структуры развивать системы удостоверяющих центров, выстраивать отношения с контрагентами, чтобы в полной мере соблюсти как требования законодательства, так и интересы пользователей электронной подписи? Получить ответы на эти вопросы крайне важно для профессионального сообщества. Например, заместитель генерального директора Службы корпоративной защиты ОАО «Газпром» Ю.Н. Лаврухин в своем вступительном слове отметил, что у «Газпрома» создана разветвленная сеть УЦ, имеется корпоративная нормативная база, а электронный документооборот с применением электронной подписи вошел в повседневную практику решения целого ряда задач. В «Газпроме» разработан ряд технических решений, и своим опытом специалисты «Газпрома» готовы поделиться с коллегами. Между тем, по словам г-на Лаврухина, «построение сети УЦ производилось «по наитию» в условиях постоянной модернизации нормативной базы». В связи с принятием закона любой организации, где применяются электронный юридически значимый документооборот и технологии PKI, необходимо понять, как действовать дальше.

Единое пространство доверия

Государственным заказчиком и оператором единой системы межведомственного электронного взаимодействия является Минкомсвязи РФ, т. е. на Министерство возложена обязанность по формированию единого пространства доверия электронных подписей на территории РФ. Между тем само понятие «единое пространство доверия» на данный момент не имеет ни законодательного определения, ни регуляторного оформления. Заместитель директора департамента государственной политики в области создания и развития «электронного правительства» Минкомсвязи И.И. Загорский указал на то, что существующей нормативной базы недостаточно для реализации единого пространства доверия. Поэтому вопросы, касающиеся доверия к удостоверяющим центрам, их техническим средствам и сервисам, предстоит решать в рамках гражданско-правовых отношений, т. е. за счет соглашений сторон. Правительственная комиссия по внедрению информационных технологий в деятельность государственных органов и органов местного самоуправления одобрила такой подход. К настоящему времени подготовлен и разослан в федеральные и региональные органы власти проект соглашения, которое должно быть заключено между органом власти и удостоверяющим центром, с которым он работает. В проекте соглашения содержатся согласованные Правительственной комиссией: структура сертификата ключа подписи; сервис проверки электронных подписей; порядок разбора конфликтных ситуаций; процедура присоединения к системе доверенных удостоверяющих центров. На основании подписанных соглашений Минкомсвязи сможет провести экспертизу УЦ и поместить их в некий «доверенный список», который в дальнейшем послужит технологической и организационной основой для построения единого пространства доверия.

Позиция Минкомсвязи, а именно департамента государственной политики в области создания и развития «электронного правительства», такова, что никаких препятствий для допуска к оказанию услуг в информационных системах государственных услуг и государственных функций не будет ставиться никаким УЦ, если они соответствуют требованиям 63-ФЗ.

Однако 63-ФЗ и 65-ФЗ – законы непрямого действия, они требуют выпуска значительного числа подзаконных актов. Аппарат Правительства РФ поручил Минкомсвязи совместно с ФСБ, ФСО и Минэкономразвития подготовить план мероприятий по реализации указанных федеральных законов. Существующий проект плана предполагает выпуск 13 документов, первый из которых должен появиться 30 июля, последний – 30 ноября.

Ключевой вопрос, который предстоит решить в ходе реализации плана, – определение уполномоченного федерального органа, который в соответствии со ст. 8 закона № 63-ФЗ будет осуществлять аккредитацию удостоверяющих центров и выполнять в отношении аккредитованных УЦ функции головного удостоверяющего центра. Г-н Загорский обещал, что до конца года этот вопрос будет решен.

Должны появиться несколько регуляторных документов, касающихся информационной безопасности, – требования к УЦ, требования к средствам электронной подписи, требования к квалифицированным сертификатам.

Еще один пакет документов должен определить виды электронных подписей, которые будут использоваться непосредственно в органах власти и при предоставлении государственных услуг. Другие сферы использования электронной подписи регулированию со стороны Минкомсвязи не подлежат. При этом г-н Загорский просил обратить внимание на то, что если стороны электронного взаимодействия согласились использовать усиленную неквалифицированную подпись, то в соглашении между ними должен быть предусмотрен порядок проверки электронной подписи – это прямо указано в п. 2 ст. 6 закона № 63-ФЗ.

В ходе обсуждения был также поднят вопрос о качестве сервисов удостоверяющих центров, ведь основу единого пространства доверия составляет не просто сеть УЦ, а система взаимоувязанных доверенных сервисов, которые эти УЦ предоставляют. Г-н Загорский согласился с тем, что существующие УЦ работают с разным качеством, доверенный список УЦ, который намерено создать Минкомсвязи, предполагает некую градацию УЦ с точки зрения качества функционирования УЦ и реализуемых им сервисов.

Но кто будет определять требования к качеству сервисов?

По словам г-на Загорского, Минкомсвязи не будет регулировать данный участок. По-видимому, не будут этим заниматься и другие регуляторы. А для Минкомсвязи важно лишь понять и показать рынку, чем один УЦ отличается от другого. Выработка требований к сервисам удостоверяющего центра, в принципе, возможна в рамках саморегулируемой организации, но чтобы создать таковую в сфере ИКТ, нужно, опять же, расширить нормативную правовую базу. Минкомсвязи готово рассмотреть соответствующие предложения профессионального сообщества, если оно готово их предоставить.

Не входит ли определение требований к качеству услуг УЦ в функции Росстандарта, в частности технического комитета по стандартизации «Криптографическая защита информации» (ТК 26)?

Вопросами качества ТК 26 не занимается, пояснил А.А. Чапчаев, генеральный директор ОАО «ИнфоТеКС» и председатель ТК 26. Однако комитет работает над проблемами, которые на качество сервисов УЦ прямо влияют. Например, это проблема несовместимости контейнеров секретных ключей подписи, которая приводит к тому, что человек, получивший закрытый ключ в зоне действия одного УЦ, не может получить услугу в зоне действия другого УЦ, несмотря на то что между этими УЦ установлено доверие. В настоящее время ведется работа по выпуску ряда стандартов, которые являются расширениями международных стандартов PKCS#15 (контейнер закрытого ключа) и PKCS#12 (транспортный контейнер секретного ключа подписи). В соответствии с планом Росстандарта работы должны быть завершены не позднее следующего года. При этом г-н Чапчаев напоминал, что стандарты обязательными не являются и ФСБ не запрещает создавать нестандартные системы, но разработчикам надо быть готовыми к тому, что оценка корректности встраивания криптографических средств и сертификация таких систем займет, по понятным причинам, гораздо больше времени.

На круглом столе была затронута также тема построения трансграничного пространства доверия. Состояние вопроса осветил советник департамента государственной политики в области создания и развития «электронного правительства» Минкомсвязи России А.А. Домрачев. Ряд идей создания трансграничного пространства доверия в рамках Таможенного союза были зафиксированы в соглашении, подписанном в сентябре 2010 г. Тогда впервые в международной практике появились определения учетных систем (как базовых сервисов), общей инфраструктуры документированной информации, доверенной третьей стороны, электронного документа и др. Сейчас идет работа над системным проектом создания трансграничного пространства доверия на уровне СНГ. Общая идея его в том, что трансграничное пространство доверия и совокупность национальных пространств должны быть фрактально подобны. Это масштабная задача, которая в мире еще не решалась. Российская Федерация также активно включилась в работу с международной организацией СЕФАКТ ООН по вопросам функциональной совместимости подписанных цифровых документов, сформулировала свою позицию, направила свои предложения. Г-н Домрачев подчеркнул, что решение задачи создания единого пространства доверия и обеспечения юридической значимости электронных документов требует системного подхода, охватывающего вопросы не только технические, организационные, но и права страхования рисков. Предстоит также большая работа в области технологической стандартизации.

Передел рынка?

Сфера государственных и муниципальных услуг является для многих ныне действующих УЦ определяющей. Наиболее массовые услуги УЦ предоставляют для систем сдачи различных форм отчетности юридических и физических лиц и для систем государственного заказа в соответствии с законом № 94-ФЗ. Участники рынка обеспокоены тем, что новый игрок на этом рынке, ОАО «Ростелеком», потенциально может занять доминирующее положение на рынке услуг УЦ. «Ростелеком» является единственным исполнителем работ по созданию Портала государственных услуг, одновременно – эксплуатирующей организацией Портала. Кроме того, масштаб этого нового участника рынка услуг УЦ, а также то, что услуги «Ростелекома» будут дешевы, если не бесплатны за счет существенной государственной поддержки, вызывает опасения, что сфера государственных и муниципальных услуг в ближайшее время будет потеряна для всех прочих УЦ. Суть вопроса недвусмысленно высказал В.Ф. Пустарнаков, генеральный директор ООО «Газинформсервис»: «Как у руководителя организации, у которой есть удостоверяющий центр, функционирующий уже больше десяти лет, у меня возникает вопрос: не напрасно ли я инвестировал в это направление деятельности?».

Со стороны «Ростелекома» ситуацию прокомментировал И.А. Трифаленков, заместитель начальника отдела информационной безопасности проекта «Электронное правительство» ОАО «Ростелеком». По его словам, стремительное развитие инфраструктуры «электронного правительства» во многом определяется именно тем, что был назначен единственный исполнитель работ, осуществляющий координацию строительства многочисленных систем доступа к электронным услугам. Тот факт, что в инфраструктуре «электронного правительства» будут оказываться в том числе и юридически значимые услуги, поставило «Ростелеком» перед необходимостью решить две задачи. Первая – обеспечить возможность использования механизмов обеспечения юридической значимости услуг, оказываемых гражданам. В частности, к физическим лицам, которые будут использовать электронную подпись, нельзя предъявлять те же требования (например, квалификационные), какие предъявляются к юридическим лицам. Вторая задача – организация процесса взаимодействия между ведомствами. В настоящее время эта задача в общем виде не решается, речь идет лишь о договоренности конкретных ведомств между собой.

Чтобы отработать необходимые технологии и механизмы решения таких задач, «Ростелеком» создал удостоверяющий центр, который послужит тестовой площадкой. Сегодня у «Ростелекома» есть лишь один УЦ – в Москве. Плюс к этому в столице открыты четыре пункта выдачи сертификатов ключей электронной подписи. В достаточно короткие сроки планируется создать еще 80 пунктов выдачи на территории России. О том, чтобы строить в регионах альтернативную систему УЦ, речи не идет.

«Удостоверяющий центр нас интересует не как УЦ сам по себе, а как технология доступа к инфраструктуре «электронного правительства», – заверил г-н Трифаленков. – Нет задачи раздавать сертификаты всем желающим для выполнения всех возможных задач». Более того, он отметил, что «Ростелеком» не претендует на то, что будет единственной точкой, где можно получить сертификаты для доступа к услугам «электронного правительства»: «Мы не отрицаем наличия других УЦ. Более того, готовы на тех или иных условиях предоставлять другим УЦ технологии организации доступа к сервисам «электронного правительства». Но сейчас мы находимся на стадии опытной эксплуатации, отрабатываем процедуры. За три недели работы четырех пунктов выдачи в Москве получено значительное количество замечаний со стороны граждан. Мы должны скорректировать изначально определенные процедуры, оценить, насколько применяемые технологи адекватны жизненной ситуации. Но по мере того, как технологии будут отрабатываться и стабилизироваться, мы будем готовы передавать их другим УЦ».

Г-н Загорский заверил присутствующих, что Министерство не намерено предоставлять ОАО «Ростелеком» какие-либо преференции на рынке оказания услуг УЦ в информационных системах государственных услуг и государственных функций. Но вопросы к «Ростлекому» остались. О каких условиях предоставления технологий другим УЦ идет речь? Если предполагается выпустить технологии на рынок, то где их предварительное описание, сроки? Можно по договоренности отдавать «вовне» свою разработку, а можно опубликовать интерфейсы и создать систему проверки соответствия средств, создаваемых третьими производителями. Когда «Ростелеком» определится, по какому пути он пойдет? Планируется ли оказывать услуги организациям – в части сдачи электронной отчетности, на площадках электронных торгов и пр.? Наконец, сколько будут стоить услуги УЦ «Ростелекома» или же они будут бесплатными?

Миграция с ФЗ-1 на ФЗ-63. Как действовать?

Сегодня рынок удостоверяющих центров находится «в подвешенном состоянии», поскольку не определен уполномоченный федеральный орган и не началась аккредитация УЦ. Как вести себя владельцам удостоверяющих центров сейчас и как действовать, когда процедура аккредитации наконец начнется? Какие меры необходимо предпринять, чтобы гарантировать юридическое признание электронного документа, подписанного тем или иным видом подписи?

Ведущий научный сотрудник центра предпринимательского права Института государства и права РАН Н.И. Соловяненко обратила внимание аудитории на то, что закон № 63-ФЗ обеспечивает универсальное правовое признание квалифицированной электронной подписи. Но для этого должна быть запущена процедура аккредитации УЦ. Применение других видов подписи требует дополнительных условий, которые могут быть закреплены в нормативно-правовых документах либо в договорах сторон. Договоры регулируются нормами общегражданского либо отраслевого законодательства.

Прежним законом легализовывалась только электронная цифровая подпись (ЭЦП). Становится ли теперь она по умолчанию квалифицированной электронной подписью? Нет, для этого придется пройти дополнительную процедуру. Что делать? Если речь о коммерческой организации, то нужно корректировать договорную документацию, перенося многие позиции, которые были присвоены ЭЦП в законе № 1-ФЗ, на уровень договоров.

Вместе с тем, есть вопросы, которые нужно решать как на уровне договора, так и на уровне законов и подзаконных актов. Это в первую очередь вопрос действительности электронного документа как такового. Ощущается недостаток нормативного правового регулирования не столько в области электронной подписи, сколько в части использования электронных документов, их действительности и способности быть доказательством в суде, арбитраже, третейском суде и, в частности, в трансграничных отношениях. Но создавать дополнительные юридические конструкции будет проще и правильнее опять же после того, как появится процедура аккредитации.

Коммерческий директор ООО «КРИПТО-ПРО» Ю.Г. Маслов считает, что нужно выждать. На данный момент де-факто существуют четыре вида электронной подписи: простая, усиленная неквалифицированная, усиленная квалифицированная по 63-ФЗ, электронная цифровая подпись по 1-ФЗ. Усиленная квалифицированная электронная подпись не может быть легитимной, пока не прошла процедура аккредитации. В то же время согласно ст. 19 и 20 закона № 63-ФЗ сертификаты ключей подписей, выданные в соответствии с законом № 1-ФЗ, признаются квалифицированными сертификатами до 1 июля 2012 г. Поэтому пока следует сохранять договорную базу в терминологии 1-ФЗ, ничего в ней не менять.

Когда же будет запущена процедура аккредитации, предприятию – пользователю электронной подписи нужно будет прежде всего оценить риски и затраты. Риск применения неквалифицированной подписи несомненно выше, чем квалифицированной, но растут затраты на прохождение процедуры аккредитации. Оценив то и другое, можно будет переходить к переписыванию договоров и/или заключению дополнительных соглашений по существующим договорам.

Исполнительный директор Ассоциации Электронных Торговых Площадок И.Д. Димитров напомнил, что за три года использования ЭЦП в электронных торгах сложилась объединяющая как крупные, так и относительно небольшие удостоверяющие центры (УЦ) сеть с единым пространством доверия. Данная сеть УЦ не утратила эффективности и с введением пяти федеральных операторов для реализации открытых аукционов в электронной форме, на ЭТП которых работают и государственные, и коммерческие структуры.

Однако по мере развития системы электронных торгов возникало все больше вопросов по поводу нормативной базы, которые не нашли своего разрешения с принятием нового закона. Более того, обозначились новые проблемы, связанные с существованием УЦ, оказывающих некачественные услуги: их деятельность расширяет поле для возможного мошенничества и бросает тень на всю систему. Не до конца понятно, каким образом будут согласованы система предоставления госуслуг и система юридически значимого электронного документооборота хозяйствующих субъектов, тем более что нормативные документы различных ведомств, касающиеся использования электронной подписи, не стыкуются между собой. Наконец, что будет с существующими УЦ, которые не только предлагают массу эффективных сервисов, но и обеспечивают сотни рабочих мест?

Промедление с решением этих вопросов способно привести к кризису всей сложившейся системы, подчеркнул специалист. Выходом из ситуации может стать участие общественных организаций, экспертов и профессиональных объединений, выражающих интересы игроков рынка, в процессе выработки и согласования готовящихся документов и мер.

О необходимости участия бизнес-сообщества в выработке правил работы на рынке в формате общественной организации или СРО не раз говорилось в ходе совещания. Президент МОО АЗИ Г.В. Емельянов счел необходимым этот вопрос прокомментировать. Идею создания СРО в области УЦ Ассоциация пыталась реализовать еще несколько лет назад. Но получив добро сообщества и начав работу, АЗИ столкнулась с инертностью того же самого сообщества. «Где энтузиасты? – спросил Г.В. Емельянов. – Давайте работать!». Президент АЗИ отметил готовность Ассоциации при необходимости организовать работу по согласованию с Минкомсвязи России приемлемой формы частно-государственного партнерства по проблематике удостоверяющих центров, электронной подписи и инфраструктуры открытых ключей.

Итоги

По итогам совещания участники решили: поручить общественным организациям и ассоциациям – участникам Совещания МОО «АЗИ», Ассоциации Электронных Торговых Площадок, Ассоциации Российских банков и Сообществу ABISS обратиться в Минкомсвязи (на имя министра связи и массовых коммуникаций) с совместным официальным письмом за разъяснениями и с просьбой дать их либо на совещании в Минкомсвязи, либо в виде официального письменного ответа по следующим вопросам:

  1. О необходимости предоставления на бесплатной основе аккредитованным Минкомсвязи удостоверяющим центрам технологии проверки СНИЛС и ИНН для включения этой информации в сертификаты ключей подписей.
  2. О необходимости определения порядка участия УЦ в предоставлении доступа пользователям к единому порталу государственных услуг.
  3. О возникшей напряженности в среде участников рынка услуг УЦ в связи с последними интервью высокопоставленных должностных лиц по вопросам деятельности УЦ и необходимости более полного, адекватного и оперативного информирования общественности о планах и ходе работ по формированию услуг электронного правительства.
  4. О целесообразности реализации в информационных системах оказания государственных услуг и исполнения государственных функций, а также в информационных системах органов государственной власти в основном усиленной квалифицированной ЭП.
  5. Об общественной экспертизе проектов нормативных документов в области ЭП (аккредитация УЦ, виды подписей в госуслугах и пр.), целесообразности и возможных способах использования квалифицированных экспертных объединений, которые позволяют проводить общественную экспертизу нормативно-правовых актов, затрагивающих интересы бизнес-сообщества оказания услуг УЦ (ОПОРА, АЗИ, АЭТП, АРБ, и др.).
  6. О вопросах контроля качества оказания услуг УЦ в информационных системах государственных услуг и государственных функций, в процедурах госзакупок и других подобных критических государственных услуг как необходимого элемента формирования единого пространства доверия электронной подписи.
  7. О необходимости как можно чаще и оперативнее информировать общественность о ситуации с подзаконными (63 ФЗ) нормативно-правовыми актами.

Участники совещания выразили благодарность ООО «Авангард-Центр» за качественную организационную поддержку мероприятия, а организатору, идеологу и спонсору мероприятия, ООО «Газинформсервис», – за ценную инициативу по организации совещания на актуальную тему и рекомендовали развить подобный формат совещаний как показавший высокую эффективность.

Партнеры форума

Информационные партнеры