За подписью Министерства

Катерина Беляева,
«Судебно-юридическая газета»

Электронная цифровая подпись (далее – ЭЦП) – вид электронной подписи, полученной по результату криптографического преобразования набора электронных данных, который добавляется к этому набору или логично с ним сочетается и дает возможность подтвердить его целостность и идентифицировать подписывателя. ЭЦП накладывается с помощью личного ключа и проверяется с помощью открытого ключа. Личный ключ – это параметр алгоритма формирования ЭЦП, доступный только подписывателю. Открытый ключ доступен субъектам отношений в использовании ЭЦП.

Следует оговориться, что термин ЭЦП, очевидно, является производным от термина «электронная подпись», используемого в странах Европейского Сообщества, и «цифровая подпись», используемого в Российской Федерации. Впрочем, терминология не изменяет сути ЭПЦ как инструмента, с помощью которого можно придать электронному документу юридическое значение, а также доказать авторство электронного документа в суде.

В Украине правоотношения в сфере использования ЭЦП регулируются Законом №852-IV «Об электронной цифровой подписи», вступившим в силу в начале 2004 г. Согласно этому закону, ЭЦП приравнивается к собственноручной подписи в случае, если:

• она подтверждена с использованием усиленного сертификата ключа с помощью надежных средств цифровой подписи;
• во время проверки использовался усиленный сертификат ключа, действующий на момент наложения ЭЦП;
• личный ключ подписывающего соответствует открытому ключу, указанному в сертификате.

При этом в Законе №852-IV прямо указано, что ЭЦП не может быть признана недействительной только из-за, что она имеет электронную форму или не основывается на усиленном сертификате ключа.

Центром сертификации ключей может быть юридическое лицо независимо от формы собственности или физическое лицо, являющееся субъектом предпринимательской деятельности, предоставляющее услуги электронной цифровой подписи и удостоверившее свой открытый ключ в центральном удостоверяющем органе или центре с соблюдением требований Закона №852-IV. Центральный удостоверяющий орган определяется Кабинетом министров. Согласно постановлению Кабмина №1451 от 2004 г. с изменениями, внесенными постановлением №1022 от 2011 г., центральным удостоверительным органом является Министерство юстиции Украины. Согласно этим же постановлениям, на Министерство возложены функции по обеспечению условий для функционирования удостоверительных центров органов исполнительной власти, а также иных государственных органов и центров сертификации ключей.

Подпись по проекту

В рамках исполнения указанных функций, а также стремясь усовершенствовать государственный контроль в сфере ЭЦП и реформировать законодательство в сфере использования инфраструктуры открытых ключей и предоставления электронных доверительных услуг, Министерство стало инициатором разработки законопроекта «О внесении изменений в Закон Украины «Об электронной подписи», который, после обсуждения на веб-сайте Минюста, был зарегистрирован в Верховной Раде под номером 3703. Законопроектом предполагается:

• проведение единой и эффективной государственной политики в сфере предоставления электронных доверительных услуг и использования ЭЦП в Украине;
• расширение перечня и дифференциация услуг, которые предоставляются с использованием усовершенствованной ЭЦП, введение понятия электронных доверительных услуг, в состав которых входят услуги в электронной форме по предоставлению средств ЭЦП и электронной отметки времени;
• закрепление положений о проверке усовершенствованной ЭЦП или штампа, наложенного на электронные данные;
• усовершенствование механизма хранения и получения электронных данных;
• усовершенствование процедуры проверки подлинности информационно-телекоммуникационных систем и веб-сайтов, а также услуг по созданию и обслуживанию сертификатов ключей для усовершенствованных электронных подписей;
• установление требований к надежным средствам создания и проверки квалифицированных ЭЦП и электронного штампа;
• установление различных видов юридической ответственности за нарушение прав субъектов, которые получают или предоставляют электронные доверительные услуги, и определение гарантий обеспечения получающим или предоставляющим электронные доверительные услуги, третьим лицам;
• признание в Украине иностранных электронных подписей и их сертификатов открытых ключей, используемых при предоставлении юридически значимых электронных услуг резидентам.

Невозможные изменения?

Среди основных новаций законопроекта следует отметить введение новой терминологии. Например, разработчики документа предлагают дополнить ст. 1 Закона №852-IV новыми терминами «автоматическое средство электронной цифровой подписи», «пользователь», «надежное средство электронной цифровой подписи», «отметка времени», «политика сертификации», «услуга фиксирования времени», «регистрация» и «сертификат собственного открытого ключа центрального удостоверительного органа», а также значительно расширить само понятие ЭЦП.

Ст. 2 того же Закона, перечисляющую субъектов правовых отношений, предполагается дополнить еще одним субъектом – удостоверительный центр Национального банка Украины. Также предполагается внести изменения в ст. 3, определяющую правовой статус ЭЦП. В ст. 6 Закона №852-IV разработчики законопроекта предлагают закрепить норму о том, что требования к форматам и протоколам, которые реализуются в надежных средствах электронной цифровой подписи, соблюдение которых является обязательным, базируются на национальных и/или международных стандартах, обеспечивающих унификацию их использования всеми аккредитованными центрами сертификации ключей и устанавливаются главным органом в системе центральных органов исполнительной власти по формированию и обеспечению реализации государственной политики по вопросам использования ЭЦП вместе с главным органом в системе центральных органов исполнительной власти по формированию и обеспечению реализации государственной политики в сферах организации специальной связи и защиты информации, телекоммуникаций и пользования радиочастотным ресурсом Украины.

Впрочем, говоря о международных стандартах, следует указать на следующее. Эксперты в области использования инфраструктуры открытых ключей разъяснили «Судебно-юридической газете», что инфраструктуры открытых ключей (в международной терминологии PKI – public key infrastructure) формируются всеми развитыми странами мира. В то же время, национальные PKI не могут взаимодействовать друг с другом, поскольку не обеспечивают необходимую юридическую значимость трансграничных коммуникаций даже в объединенной Европе. Проблема заключается в использовании национальных криптографических алгоритмов, которые различны для разных стран. Различия алгоритмов не позволяют в полной мере говорить о взаимном доверии государств в сфере информационной безопасности. Более того, выход национальных ЭЦП за пределы своих государств подразумевал бы внесение изменений в международное право, например, в Гаагскую конвенцию 1961 г. «Об апостилях»*, которая регулирует взаимное межгосударственное признание обычных бумажных документов, или же принятия отдельной специализированной Конвенции о порядке признания электронных документов.

____________

* Гаагская конвенция 1961 г. (полное название: «Гаагская конвенция, отменяющая требование легализации иностранных официальных документов, от 5 октября 1961 г.») – международная Конвенция, отменяющая требование легализации иностранных официальных документов для стран-участниц Конвенции. Конвенцией устанавливается специальный знак (штамп), проставляемый на официальные документы, созданные в одном государстве и подлежащие передаче в другое государство, заменяющий процедуру консульской легализации – апостиль. Документы, заверенные апостилем в одном из государств-участников Конвенции, должны приниматься в другом государстве-участнике без каких-либо ограничений. Украина присоединилась к Конвенции в 2003 г.

О безопасности

Еще одной новеллой законопроекта является положение о том, что полномочия по обеспечению защиты информации в информационно-телекоммуникационной системе, используемой во время предоставления услуг ЭЦП, а также по установлению физического лица и проверке полномочий представителя юридического лица, обратившегося с целью засвидетельствования действия открытого ключа, возлагаются на центр сертификации ключей. Также этот центр предполагается обязать: своевременно предупреждать подписчика и добавлять сертификат открытого ключа для того, кто заполнил поле об ограничении использования ЭЦП; вести электронный реестр выданных сертификатов ключей и реестр блокированных и отмененных сертификатов ключей; обеспечивать круглосуточный доступ пользователей сертификатов ключей к названным реестрам; хранить документы на бумажных и электронных носителях; своевременно предоставлять удостоверяющему центру или центральному удостоверяющему органу информацию об изменении данных, отраженных в собственном сертификате ключа (изменения в ст. 8. Закона №852-IV). Исходя из определения центра сертификации ключей как компонента глобальной службы каталогов, отвечающего за управление криптографическими ключами пользователей, наделение его перечисленными полномочиями действительно является целесообразным и направленным на обеспечение защиты электронных документов на всех этапах их жизненного цикла – от создания, обработки и хранения до передачи по каналам связи и уничтожения.

Полномочия по государственному надзору в сфере ЭЦП разработчики законопроекта предлагают возложить на главный орган в системе центральных органов исполнительной власти по формированию и обеспечению реализации государственной политики в сферах организации специальной связи и защиты информации, телекоммуникаций и пользования радиочастотным ресурсом Украины путем безвыездного надзора, проведения плановых и внеплановых проверок и согласования регламента работы центрального удостоверяющего органа (изменения в ст. 12 Закона №852-IV). Предполагается, что в течение месяца со дня генерации центральным удостоверяющим органом пар ключей и формирования соответствующих сертификатов собственных ключей контролирующий орган проводит внеплановую проверку центрального удостоверяющего органа в части защиты информации в информационно-телекоммуникационной системе центрального удостоверяющего органа (дополнение Закона №852-IV ст. 12-1).

Поддержит ли представленный законопроект законодатель, пока остается неизвестным.

Подпись по стандарту

Следует указать, что дополнить законопроект №3703 Министерство предлагает проектом приказа «Об утверждении перечней стандартов в сфере электронной цифровой подписи, перспективных для пересмотра и гармонизации с европейскими и международными стандартами в соответствии с установленными законодательством процедурами». Проект приказа размещен на веб-сайте центрального удостоверяющего органа Минюста для ознакомления. К стандартам, требующим пересмотра, разработчики приказа отнесли, например, правила кодирования, профиль защиты для программных средств защиты создания подписи, общие рекомендации для верификации ЭЦП, юридические и технические аспекты, профиль усиленных сертификатов, требования политики к органам штемпелевания времени, методы защиты и пр.

Также к проекту приказа прикреплен перечень стандартов ЭПЦ, предназначенных для гармонизации с европейскими и международными стандартами. Перечень включает 106 наименований, среди которых профиль протокола взаимодействия и сертификации соглашений, спецификация модели информационного регистра, расширенный язык разметки для электронного бизнеса, межотраслевой процесс создания счетов, процесс межотраслевого заказа, импортная декларация SAD и т. д.

Директива Евросоюза 1999/93 – результат соглашения 15 государств-членов Европейского союза, которое обязывает государства-члены гарантировать, что квалифицированная электронная подпись имеет тот же статус, что и собственноручная подпись, но не регулирует законное применение и юридические последствия собственноручной подписи, а значит, и юридические последствия квалифицированной электронной подписи

Электронная цифровая подпись – вид электронной подписи, полученной в результате криптографического преобразования электронных данных, которые прилагаются подписчиком к другим электронным данным или логически с ними связаны, с целью идентификации подписчика, подтверждения целостности этих данных и/или для проверки подлинности информационных систем и/или лиц, пользующихся этими системами. Электронная цифровая подпись накладывается с помощью личного ключа и проверяется с помощью открытого ключа

(из законопроекта №3703)

Надежное средство электронной цифровой подписи – средство электронной цифровой подписи, которое имеет сертификат соответствия или положительное экспертное заключение по результатам государственной экспертизы в сфере криптографической защиты информации и унифицировано для использования с электронной цифровой подписью любого аккредитованного центра сертификации ключей.

(из законопроекта №3703)

Отметка времени – совокупность электронных данных, заверенных электронной цифровой подписью, которая подтверждает наличие других электронных данных или электронных документов на определенный момент времени.

(из законопроекта №3703)

Основы использования ЭЦП отображены в документах международных организаций, таких как:

директива Европейского парламента и Совета Евросоюза 1999/93/EC от 13 декабря 1999 г. о правовых основах Европейского Сообщества для использования электронных подписей;

типовой закон ЮНСИТРАЛ* об электронных подписях 2001 г. (ТЗЭП);

типовой закон ЮНСИТРАЛ об электронной торговле и руководстве по принятию 1996 г. (ТЗЭТ) – извлечения, касающиеся понятий «сообщение данных», «письменная форма», «подпись», «подлинник». Изложенные в ТЗЭП основные принципы и положения были изначально заложены в законодательстве в отношении электронной подписи в США, ЕС.

________________

* Комиссия ООН по праву международной торговли – вспомогательный орган Генеральной Ассамблеи ООН, созданный в 1966 г. в целях содействия развитию права международной торговли

Международный опыт

• 23 ноября 2005 г. Генеральная ассамблея ООН резолюцией 60/21 приняла Конвенцию об использовании электронных сообщений в международных договорах. Невзирая на общее прогрессивное направление, текс Конвенции содержит ряд недостатков, которые фактически нивелируют ее содержание. К этим недостаткам можно отнести, например, чрезмерно зауженную сферу применения. Так, положения Конвенции регламентируют только правоотношения, возникающие между коммерческими предприятиями, не затрагивая при этом правоотношений, возникающих между госорганами, государством и бизнесом, государством и гражданами, бизнесом и гражданами или между гражданами. Более того, из сферы правоотношений, возникающих между коммерческими предприятиями, исключено электронное взаимодействие в области финансовых и фондовых рынков.
• Вопросы проблематики электронного правительства и информационного сообщества решаются в Европе на основании Директивы 1999/93/EC Европейского парламента и Совета ЕС от 13 декабря 1999 г. «Об условиях использования электронных подписей в странах-членах Сообщества» и Директивы 2000/31/ЕС Европейского парламента и Совета ЕС «По определенным правовым аспектам сферы информационных услуг, в частности, электронной коммерции на рынке Интернет». Среди этих вопросов наиболее существенными являются: единая электронная идентификация, единые государственные закупки, стандартизация в этой области, выбор модели доверия, возможность технологической нейтральности и пр. Правда, некоторые эксперты считают, что буквальное толкование тезиса о технологической нейтральности приводит к невозможности реализации положений указанных документов.
• Одно из базовых свойств ЭЦП – придание юридической силы электронному документу – закреплено в национальных кодексах европейских государств. Так, в Гражданском кодексе ФРГ подтверждено, что электронная форма документа может служить заменителем письменной формы. Это же положение действует в Италии. Регулярно ЭЦП применяют всего около 20–30 стран. Как правило, это связано с тем, что государство полностью переходит на электронный документооборот. Наиболее систематически ЭЦП применяют в России, США, Корее, Китае, Эстонии.