Наверх

Этапы становления ЭЦП в России

Архив
Время чтения: 14 минут
0
Этапы становления ЭЦП в России

Потребовалось почти два года, чтобы рынок приспособился к ФЗ «Об электронной цифровой подписи»от 10.01.02 и ЭЦП пошла в массы. Сейчас готовится принятие новой редакции закона, который, может значительно затормозить развитие ЭЦП в России…

Потребовалось почти два года, чтобы рынок приспособился к ФЗ «Об электронной цифровой подписи» от 10.01.02 и ЭЦП пошла в массы. Сейчас готовится принятие новой редакции закона, который, по мнению участников рынка, может значительно затормозить развитие ЭЦП в России. Понадобится еще полтора года, чтобы адаптироваться к новым условиям.

Десять лет без закона

С того момента, как в 1976 г. Уитфрид Диффи, один из основоположников криптографии с открытым ключом, высказал идею использования электронно-цифровой подписи (ЭЦП), прошло уже больше 30 лет. Российский бизнес использует ЭЦП в том или ином виде с начала 90-х, то есть уже как минимум 15 лет. На законодательном уровне ЭЦП была введена еще в далеком 1995 г. в первой главе Гражданского кодекса РФ, где рассматривалась в качестве одного из аналогов собственноручной подписи (АСП).

Первыми ЭЦП взяли на вооружение отечественные банки, в том числе Банк России, и кредитные организации, которые использовали ее, в первую очередь, как инструмент информационной безопасности в своих корпоративных информационных системах (ИС), а чуть позже и для безопасной работы в системах «банк-клиент». В хозяйствующих субъектах также применялась ЭЦП, но там она получила значительно меньшее распространение. Так или иначе, до 2002 г. основной задачей ЭЦП была защита информации.

По мере информатизации российского бизнеса, органов государственной власти страны и постепенного распространения ЭЦП все острее вставал вопрос принятия соответствующего закона, который бы значительно расширил области применения ЭЦП и позволил вести юридически значимый электронный документооборот. Дело в том, что Гражданский кодекс хоть и позволял применять ЭЦП в качестве аналога собственноручной подписи, однако ее использование либо ограничивалось корпоративными ИС, либо требовалось заключение двусторонних соглашений между участниками. Также, несмотря на наличие письма Высшего Арбитражного Суда РФ «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике», разрешение спорных ситуаций было довольно затруднительным хотя бы только потому, что не было органов, отвечающих за подлинность ЭЦП. Однако самым главным результатом принятия такого закона должно было стать признание электронного документа равноправным бумажному.

Разговоры об этом начались еще в конце 90-х., и сначала предполагалось принятие соответствующего закона в 2000 г. Однако разработка, согласование и утверждение затянулись, и закон «Об ЭЦП» вышел в свет только в январе 2002 г.

Серьезные разногласия между разработчиками закона, представителями бизнеса и производителями средств ЭЦП возникли еще на начальной стадии, но к взаимопониманию придти не удалось. Это привело к тому, что сразу после вступления закона в силу, многие участники рынка в один голос заявили, что «такой закон работать не сможет». Разработчики же закона оправдывались тем, что «закон, вносившийся в Госдуму, в корне отличался от того, который, в конце концов, получили».

Приспособление к новому закону

Федеральный закон «Об ЭЦП» вступил в силу 10 января 2002 г. и вводил правовые условия для использования ЭЦП в Российской Федерации, определял права и обязанности лиц, оказывающих услуги, связанные с использованием ЭЦП.

Как уже отмечалось, и раньше не было законодательных запретов для применения ЭЦП. Но тогда она рассматривалась лишь в качестве одного из аналогов собственноручной подписи, использование которых предусматривалось гражданским правом, а также соглашением сторон. Однако для более широкого применения ЭЦП были необходимы государственные гарантии правомерности ее использования. Такие гарантии и должен был дать новый закон, согласно которому, именно ЭЦП обеспечивала однозначное соответствие между электронным документом и лицом, поставившим под ним свою электронную подпись.

Принципиальным нововведением стало появление понятия удостоверяющего центра (УЦ) — юридического лица, оказывающего услуги по выдаче сертификатов ЭЦП, ведению реестров выданных сертификатов, их аннулированию и т. д. На тот момент в стране уже существовало значительное количество ИС, в которых использовалась ЭЦП. Однако взаимодействие между различными системами в значительной степени было затруднено тем, что владельцы ИС устанавливали собственные правила применения, использовались различные технические средства, порой не совместимые между собой, да и сами ГОСТы могли трактоваться по-разному. Система УЦ должна была положить конец этой раздробленности. В идеале, использование стандартизированных алгоритмов формирования (проверки) ЭЦП, сертифицированных технических средств, а также наличие регулирующих органов, должно было привести к возникновению юридически значимого электронного документооборота между различными информационными системами.

В рамках программы Электронная Россия планировалось (и планируется) запустить в эксплуатацию корневой УЦ уполномоченного федерального органа исполнительной власти в области применения ЭЦП. Он должен будет стать ядром системы УЦ органов государственной власти. В эту системы должны войти как УЦ самих органов государственной власти, так и коммерческие организации, оказывающие услуги УЦ этим органам. Задача корневого УЦ в том, чтобы их всех связать с целью создания единой зоны доверия в части сертификатов.

Федеральный УЦ был создан на базе НИИ «Восход» в прошлом году и сейчас находится на этапе опытной эксплуатации. Головные УЦ должны быть во всех семи Федеральных округах, но на сегодняшний день можно говорить, что таковые есть только в Северо-западном и Центральном округах. Для того чтобы эта сложная структура заработала, нужно множество регламентов, положений, постановлений. Большинство из них уже разработано, но до сих пор не утверждено в Мининформсвязи.

После принятия закона на пути развития ЭЦП возникло множество различных препятствий. Некоторые технологические проблемы до сих пор не удалось решить полностью. Причина снова кроется в непроработанности закона. Например, требования к условиям использования ЭЦП (в части, касающейся сертификатов), прописанные в законе, указывают на систему PKI, определенную международным стандартом X.509. В то же время в законе не оговариваются форматы представления данных в самом сертификате, который позволяет реализовать множество различных вариантов. Подобная неопределенность приводит к возможности неоднозначного толкования сертификатов, выданных различными УЦ, тогда как в идеале они должны однозначно пониматься любыми приложениями различных ИС и средствами ЭЦП.

Такая же ситуация возникла и с шифровальными средствами ЭЦП, которые даже при реализации одного и того алгоритма шифрования часто «не понимают» друг друга. Опять же дело в том, что ГОСТ не определяет параметры алгоритма, которые каждый разработчик может выбрать сам. То же самое наблюдалось и с форматами криптографических сообщений.

В России на момент принятия закона была парадоксальная ситуация. Практически все сертифицированные средства криптографической защиты информации, реализующие одни и те же криптографические стандарты, были несовместимы между собой. Если до появления УЦ проблема совместимости стояла не так остро, то теперь сертификат, выданный одним УЦ, не принимался другим УЦ, если они использовали средства автоматизации от различных производителей.

Отчасти проблема была решена два года назад, когда ведущие производители средств ЭЦП, такие как ФГУП НТЦ «Атлас», ООО «Крипто-Про», ООО «Фактор-ТС», ЗАО «МО ПНИЭИ» и ОАО «Инфотекс», заключили между собой соглашение, согласно которому договорились использовать форматы сертификатов открытых ключей и криптографических сообщений, разработанных фирмой «Крипто-Про». Сегодня практически все отечественные разработчики средств ЭЦП официально или неофициально присоединились к данному соглашению. Тем не менее, проблема несовместимости остро стоит и сегодня.

Нечеткие и неполные формулировки в Федеральном законе «Об ЭЦП» ведут к увеличению риска применения ЭЦП, для уменьшения которого требуется их детализация и уточнение на уровне соглашений. «Например, статья 4 закона об ЭЦП определяет три условия равнозначности собственноручной подписи, согласно одному из которых сертификат действует на момент подписи или на момент проверки. Возникает двойственность толкования, которая требует дополнительного уточнения», — говорит Юрий Маслов, заместитель коммерческого директора компании «КриптоПро».

Таких примеров специалисты приводят десятки. В итоге, «если у некоторого лица как обычного физического, так и должностного есть ЭЦП, полученная в удостоверяющем центре корпоративной системы, применить ее для электронного документооборота в другой системе затруднительно, и возможно только в том случае, когда регламенты и процедуры в разных системах унифицированы» — сетуют Олег Елисеев, генеральный директор компании «Такском».

Безусловно, можно воспользоваться статьей 428 ГК и заключить договор присоединения, который подпишут все компании и УЦ, участвующие в неком электронном документообороте. В какой-то степени это выход, однако, всего этого могло не потребоваться, если бы нормы закона изначально трактовались однозначно.

Однако «любой закон вызывает нарекания, закон об ЭЦП не исключение, — говорит Юрий Маслов. — Существующие в нем есть недоработки, организаторы ИС сегодня успешно компенсируют на уровне соглашений сторон. Главный недостаток закона об ЭЦП в том, что он не является законом прямого действия, но это не мешает практике ее применения, а лишь сдерживает ее развитие».

Такого же мнения придерживается и Игорь Дмитриев, главный конструктор по информационной безопасности ГЦП «Электронная Москва: «В отсутствие нормативных актов прямого действия в области ЭЦП владелец вполне сможет разработать свой регламент, который с точки зрения действующего законодательства будет абсолютно однозначно определять механизмы применения и выдачи ЭЦП, разбора конфликтных ситуаций, таким образом позволяя решать «электронные конфликты» в суде. Что и требуется всем участникам электронного обмена. Правильно составленные подзаконные акты смогут сделать несколько более прозрачным вопрос построения системы УЦ в России, отрегулировать этот вопрос с точки зрения укрупнения существующих УЦ или наоборот, создания большого количества мелких УЦ».

«Те системы, которые действительно заинтересованы в электронном юридически значимом документообороте, не имеют ограничений за счет действующего законодательства. Например, правительство Москвы выпустило достаточный комплект нормативной базы для использования ЭЦП как между различными органами исполнительной власти (а их довольно много), так и с иными субъектами», — резюмирует г-н Дмитриев.

И все-таки ЭЦП живет

Несмотря большое количество заявлений о том, что закон не будет работать, высказывавшихся в начале 2002 г., по прошествии четырех лет можно с уверенностью говорить, что все они не оправдались.

Первые УЦ стали появляться сразу после принятия закона, однако стремительного распространения ЭЦП не произошло, да и не могло произойти. Во-первых, необходимо было наработать практику, соответствующую новому законодательству. Во-вторых, закон «Об ЭЦП» закладывает только лишь правовые основы применения ЭЦП, порядок же использования электронно-цифровой подписи устанавливается нормативными правовыми актами Российской Федерации. На тот момент еще отсутствовали различные подзаконные акты, регулирующие обмен электронными документами с использованием ЭЦП между различными органами власти, ведомствами и юридическим и физическим лицами. На решение этих вопросов ушло около полутора лет. Так, было издано порядка тридцати законодательных, нормативных и ведомственных актов, в которых определяется применение ЭЦП.

Только к середине 2003 г. были, наконец, созданы все необходимые условия для широкого применения ЭЦП. Именно этот момент можно считать началом быстрого роста количества организаций, вовлеченный в юридически-значимый электронный документооборот.

Примерно тогда ЭЦП начали широко применять в органах государственной власти, таких как Администрация Президента, Государственная Дума ФС РФ, Министерство финансов, Федеральная таможенная служба (ФТС России). Напомним, что Банк России использовал механизмы аналогичные ЭЦП еще до принятия этого Закона) Например, система электронного документооборота администрации президента, взаимодействует с 17 ведомствами. Многие коммерческие структуры также успешно пользуются ЭЦП. Так, еще в 2003 г. группа компаний СНС, являющая дистрибьютором British American Tobacco на территории РФ и имеющая свои подразделения более чем в 50 городах, приняла соглашение, согласно которому все документы хозяйственной деятельности должны быть только в электронной форме с использованием ЭЦП.

Другим еще более показательным примером является свободный рынок торговли электроэнергией, который заработал с ноября 2003 г. Все сделки на этом рынке, ежедневный объем которых сегодня достигает 500 млн. рублей, заключаются только с использованием ЭЦП. На сегодняшний день в юридически-значимом электронном документе с использованием ЭЦП в России участвует около 150 тыс. юридических лиц.

Источник: CNews

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 0

Чтобы прокомментировать, или зарегистрируйтесь