Электронная цифровая подпись: с чем ее есть и как не подавиться

Многие из нас, работающие с документами слышали термины "электронный документ" и "электронная цифровая подпись". В этой статье я расскажу о значении этой технологии, когда и как ее можно и нужно использовать, ее плюсы и минус.

Электронная цифровая подпись (ЭЦП) заменяет собственноручную подпись уполномоченного лица и печать, т.к. имеет такую же юридическую силу, что и бумажный документ. С ее помощью можно проверить, был ли модифицирован документ после подписания, и является ли пописывающее лицо уполномоченным лицом.

Электронную цифровую подпись применяют во многих странах мира, даже в тех, в которых не бывает электронного правительства для автоматизации государственных органов. Однако это сводится к частным применениям. Наиболее систематически ее применяют в России, США, Корее, Китае, Эстонии. Всего около 20-30 стран применяют ЭЦП регулярно. Это сильно связано с тем, что государство переходит полностью на электронный документооборот.

По своему существу, она представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в нем. ЭЦП позволяет удостоверить, что мы ознакомились с электронным документа и защищает его содержимое от подмены.

В существующих государственных информационных системах Кыргызстана применяются, в основном, элементы киберзащиты в виде "простой электронной подписи": пароля, пин-кода и т.п. Применение электронной цифровой подписи находится на начальном этапе.

Необходимо отметить, что термин "электронная цифровая подпись" с точки зрения современного международного законодательства устарел. Он уже не используется в новом российском законе "Об электронной подписи". В США и ЕС в основном используют отдельные термины "электронная подпись" (Electronic Signature), "цифровая подпись" (Digital Signature) и относительно недавно стали использовать еще термин – "биометрическая подпись" (Biometric Signature).

К сожалению, закон КР "Об электронном документе и электронной цифровой подписи" не учитывает современные реалии и международные подходы к электронным подписям и нуждается в скорейшем пересмотре на фоне продвижения проекта "Электронного правительства".

Думаю, для читателей не будет новостью, у нас исторически сложилось, что Кыргызстану приходиться постоянно догонять Россию как в части законов, технологий, так и в части правильного понимания новых стандартов и терминов. Действующий кыргызский закон "Об электронном документе и электронной цифровой подписи" основан на устаревшем законе России "Об электронно-цифровой подписи" (№1-ФЗ, 2001 г.) и соответственно вобрал в себя как новшества, так и его недостатки.

Регулирование ЭЦП в Европе и США

Концептуальное изложение основ электронной подписи приводятся в документах международных организаций, таких как:

Директивы Европейского Парламента и Совета Евросоюза 1999/93/EC от 13 декабря 1999 года о правовых основах Европейского Сообщества для использования электронных подписей (далее – "Директива об ЭП").

Типового закона ЮНСИТРАЛ об электронных подписях 2001 года (ТЗЭП).

Типового закона ЮНСИТРАЛ об электронной торговле и Руководства по принятию 1996 года (ТЗЭТ) – извлечения, касающиеся понятий "сообщение данных", "письменная форма", "подпись", "подлинник".

Изложенные в ТЗЭП основные принципы и положения были изначально заложены в законодательстве в отношении электронной подписи в США, ЕС и только в 2011 были предусмотрены в новом законе РФ "Об электронной подписи" (№63-ФЗ).

Правовое регулирование электронной подписи в ЕС предусмотрено в Директиве Европейского Парламента и Совета Евросоюза. В документах Европейского комитета по стандартизации указаны три типа подписи:

Электронная подпись (Electronic Signature) – данные в электронной форме, которые присоединены к или логически связанные с другими электронными данными, и служащие в качестве способа аутентификации.

Улучшенная электронная подпись (Advanced Electronic Signature) – электронная подпись которая отвечает следующим требованиям:

(а) она однозначно связана с Подписантом;
(б) она может идентифицировать Подписанта;
(в) создается с использованием средств, которые Подписант может держать под своим единоличным контролем;
(г) она связана с данными, к которым она относится таким образом, что любое последующее изменение данных должно быть обнаружено.

Квалифицированная электронная подпись (Qualified Electronic Signature) – улучшенная электронная подпись основанная на квалифицированном сертификате и созданные с помощью защищенного устройства:

(a) удовлетворяет требованиям законодательством об электронной подписи, подписанные данные в электронной форме имеют такую же юридическую силу, что и данные на бумажном носителе имеющие собственноручную подпись;
(б) может использоваться в качестве доказательств в ходе судебных разбирательств.

Наиболее либеральный подход правового регулирования электронных подписей имеют США. В законе США "Об электронных подписях", термин "электронная подпись" обозначает электронный звук, символ, или процесс, присоединенный или логически соединенный с контрактом или иным документом (записью), и производимый или принимаемый лицом с целью подписания документа (записи). Т.е. в США электронной подписью может быть все что угодно – код Морзе, факсимильная передача документа, введение пин-кода, пароля, процесс подтверждения по SMS, цифровая последовательность символов полученная в результате криптографического преобразования исходной информации и т.д. Но есть один важный момент, данный процесс обмена электронной подписью должен быть предварительно согласован и принят обеими сторонами.

Российский опыт

Cпоры и критика в адрес старого закона России "Об электронно-цифровой подписи" (№1-ФЗ) были вызваны из-за излишней его жесткости и отсутствия гибкости. Излишние нормы предъявляли слишком серьезные требования к ЭЦП, что сильно ограничивало возможности по применению электронных документов. В нем допускалось применение единственной технологии сертифицированных ФСБ и Федеральной службой по техническому и экспортному контролю. Кроме того, удостоверяющие центры также подлежали обязательному лицензированию и должны были быть выстроены в единую иерархическую структуру.

Также имелись нестыковки в части лицензирования удостоверяющих центров из-за противоречий с принятым позже законом РФ "О лицензировании отдельных видов деятельности".

Изучив сложившуюся проблематику ЭЦП и следуя европейским принципам "технологической независимости", Россия упростила процедуру ее использования, и в 2011 году был принят новый Закон "Об электронной подписи". Он очень схож с Европейской Директивой об основах использования электронных подписей.

Примечательно, что в новом законе России уже отсутствует привычный старый термин – "ЭЦП", он заменен на термин "электронная подпись" и разделен на три категории – "простая электронная подпись" (использование обычного логина и пароля, логическая последовательность как SMS подтверждение и т.п.), "усиленная электронная подпись" (использование несертифицированных криптографических подписей и т.п.) и "квалифицированная электронная подпись" (использование сертифицированных криптографических подписей).

В принятом сейчас законе от удостоверяющих центрах не требуется лицензирования – они могут пройти аккредитацию и то на добровольной основе. Аккредитацией теперь будет заниматься назначенный правительством уполномоченный орган – Министерство связи и массовых коммуникаций РФ. Он же организует работу корневого центра.

ЭЦП в Кыргызстане

История возникновения ЭЦП в Кыргызской Республике связана с первыми дискуссиями об электронном правительстве, имевшими место еще в 2001 году. Принятый в 2004 году Закон "Об электронном документе и электронной цифровой подписи" дал правовую основу для их использования и предпосылки для создания национального центра по выпуску ЭЦП в республике. В целях реализации закона в 2007 году было создано Госпредприятие "Инфоком" при Госагентстве информационных ресурсов и технологий. Госпредприятие получило статус национального корневого удостоверяющего центра (КУЦ), был внедрен программный комплекс КУЦ на базе российской компании "КРИПТО-ПРО".

До 2010 г. "Инфоком" старалось не допускать выхода на рынок страны новых конкурентов по выпуску ЭЦП, но в июле 2010 частной компании "Дос Тек Групп" удалось получить у "Инфоком" цифровой сертификат Подчиненного удостоверяющего центра (ПУЦ) сроком на 7 лет. Стоит отметить, что "Дос Тек Групп" построил собственную информационную систему, используя программный продукт – VipNet, российского производителя "Инфотекс".

У ЭЦП есть сроки годности, поэтому пользователь обязан производить плановую замену криптографических ключей не реже одного раза в 12 месяцев. Каждый раз оплата вносится заново. Данные правила регулируются специальными регламентами. Сами же регламенты регулируются законами КР "Об информатизации", "Об электронном документе и электронной цифровой подписи".

Что дает использование ЭЦП обычным гражданину или бизнесмену? Обычно это уплата налогов и государственных пошлин через интернет, также это могут быть, в случаях взаимодействия двух коммерческих организаций, расчеты через электронный документооборот.

Если в ближайшем будущем в правительстве будет внедрен электронный документооборот, тут отныне обмен официальными письмами и документами будет осуществляться в электронном формате. Не надо бедному секретарю по нескольку раз заносить текст на исправление начальнику на бумажном листе, достаточно делать это через е-мейл. Не надо начальнику ждать секретаря, и ставить на письмо печать и подпись, это можно сделать электронно. Электронное письмо сложно потерять, сервера хранят его копии в "облачных" сервисах. Приходит конец и бесконечно долгим ящикам и огромным папкам документации. На каком-то уровне бюрократия становится электронной, а значит минимальной.

По предварительным прогнозам, электронный документооборот сэкономит от 1,5 до 5 миллиардов сомов в год на канцелярские расходы и бензин. Но гораздо важнее, что ЭЦП увеличит быстродействие в государственных органах и снизит число бюрократических моментов в частном секторе. Можно целый год не видеть налогового инспектора, переписываясь с ним по интернету и сдавая налоговые декларации с ЭЦП. Возможно, даже не понадобится офиса для работы, то есть вся бумажная работа может стать виртуальной. При этом будут выполняться все требования закона.

Автор статьи: Кубанычбек Закенаев

Tweet