Ждать ли нам «мировую универсальную электронную подпись»?
В настоящее время этим вопросом озадачиваются многие, и не только непосредственно участники электронного взаимодействия, но и обычные граждане, в чью жизнь со всё нарастающей скоростью внедряются новейшие цифровые и электронные технологии.
На этот и другие, не менее актуальные, вопросы электронного документооборота отвечает гость редакции портала iEcp.Ru Федор Крашенинников, генеральный директор компании «Русское Техническое Общество» (РТО) — как решается вопрос трансграничного электронного документооборота, кто является третьей доверенной стороной, и почему «мировая универсальная электронная подпись» не самый лучший вариант развития событий.
— Федор Николаевич, помнится, в августе прошедшего года Вы уже рассказывали в одном своем интервью об актуальности проблемы трансграничного действия электронной подписи. Что-нибудь изменилось за прошедшие полгода?
С каждым днем растет количество фирм, которые обращаются к нам за консультациями по этому вопросу. Вступление в окончательную силу нового закона об электронной подписи, официально оформившего признание электронной подписи как эквивалента собственноручной, и придание информации в электронной форме, подписанной квалифицированной электронной подписью, статуса документа, равнозначному документу на бумажном носителе, подписанному собственноручной подписью и имеющим такую же юридическую силу, предоставляет пользователям огромные возможности.
Несколько лет назад, будучи в гостях у своего друга-коллеги в Эстонии, я стал свидетелем события, поразившего меня до глубины души. Находясь в офисе своего партнера, я увидел, как его сотрудница оформляла получение пособия на ребенка. Она зашла на сайт соответствующего государственного учреждения, написала заявление в произвольной форме и подписала его своей квалифицированной подписью, сертификат которой хранится на ее ID-карте. Весь процесс занял две минуты. На мой вопрос о том, что ей нужно будет делать дальше, какие справки собрать, куда отнести, она объяснила, что никаких дополнительных действий больше не требуется. Получив ее заявление, чиновник, имея доступ к государственным базам данных, обязан сам собрать всю необходимую ему для принятия решения по этому вопросу информацию и сообщить заявителю в течение десяти дней о принятом им решении по электронной почте.
Такая система не только фантастически облегчает жизнь граждан, экономя им время, силы и нервы, но при этом своей «прозрачностью» практически устраняет условия для коррупции и взяточничества. Ведь, с одной стороны, она убирает необходимость личного контакта с чиновником, а, с другой ? каждый ответ чиновника имеет точного автора, который подготовил и принял решение. И в случае «спорных» ситуаций всегда есть возможность спросить с должностного лица о причинах принятия именно этого решения.
Скажу честно, к сожалению, мне и сегодня в России это кажется несбыточной мечтой, прежде всего, потому что для внедрения такой системы нужна политическая воля не только первых лиц страны, но также руководителей министерств и ведомств. Сама эта система не заработает, поскольку она не выгодна бюрократам, которые из «анонимных вершителей судеб» должны будут стать частью четко работающего механизма, открыто выполняющего строго определенные функции за свою зарплату.
При этом с технической точки зрения особых проблем я не вижу. Все, что должно быть, не считая политической воли, у создателей таких систем ? это техническая возможность обеспечить документированную, юридически значимую проверку условий признания квалифицированной электронной подписи в соответствии с законом и другими регламентирующими документами.
О необходимости такой проверки и обязательном хранения результатов этой проверки в метаданных электронного документа, кстати, говорит пункт 15 «Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения», утверждённых Минкосвязи России (Приказ № 221 02.09.2011).
С другой стороны, существует статья Закона об электронной подписи, которая говорит о том, что «электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права».
Логически развивая эти положения, можно сделать следующий вывод. Если обеспечить возможность квалифицированной, документированной и юридически значимой проверки электронной подписи, сертификата ключа, которой выдан в соответствии с нормами иностранного права, и все это вместе с доказательной базой свести в отдельную сущность, связанную с самим документом, тем самым дав ответ на вопрос Статьи 7 63-ФЗ, выработана подпись и сертификат в рамках нормы иностранного права или нет, то можно предоставить российским пользователям работать с зарубежными партнерами, сделав их электронный документооборот юридически значимым.
Именно для решения этих технических задач три года назад и было создано «Российское Техническое Общество» (РТО). В своей деятельности мы сконцентрированы на предоставлении услуг по проверке квалифицированной электронной подписи и предоставлению заказчику полной документированной и юридически значимой информации (оформленной в вид юридически сильного документа) о ходе и результатах проверки электронной подписи. Данная услуга оказывается в полном соответствии с международными рекомендациями, в связи с чем наше подтверждение российской электронной подписи (и как следствие возможность через своих партнеров за рубежом получить аналогичное подтверждение для иностранных подписей), при соблюдении ряда других условий может рассматриваться как юридически сильный документ при разбирательстве спорных вопросов, не только в российском, но в зарубежных арбитражах.
— Доверенная Третья Сторона, — есть ли предпосылки к ее созданию, кого Вы видите в этой роли? Допустим, что будет создан документ, который будет регламентировать и определять порядок использования «универсальной» международной электронной подписи.
Начну отвечать с последнего вопроса. На мой взгляд, идея создания «универсальной» международной подписи — это утопия. Наш мир многополярен, ? применяя универсальные решения, мы всегда должны учитывать специфику всех участников. В каждом правовом поле есть свои особенности и, соответственно, законы, рекомендации, алгоритмы и требования по использованию электронных подписей. Требовать от всего мира, чтобы все страны отказались от своих специфичных, только ими прописанных требований, в конечном итоге, поступившись частью своей безопасности, а соответственно, и независимости, и приняли в безоговорочном порядке практику и законы, которые использует, например, США или Европейский союз, или Россия, — это все равно, что говорить о замене всего законодательства на законодательство другой стороны.
Гораздо более красивым и простым решением является создание условий (правил, рекомендаций), выполняя которые каждый участник сможет участвовать в обмене юридически сильными электронными документами, используя квалифицированную электронную подпись, выработанную в соответствии с законами и требованиями своего правового поля.
Предпосылки к созданию Доверенной Третьей Стороны появились давно. Но прежде чем говорить об этом, давайте сначала остановимся на основных задачах, которые, на мой взгляд, должны быть решены при обмене любой значимой электронной информации. Здесь бы я бы выделил две основные технические задачи. Первая, это обеспечение требований к самому электронному документу (ЭД), то есть информации подлежащей обмену в соответствии с ГОСТ Р ИСО 15489-12007 (ISO 15489-1:2001), включающее в себя : а) целостность и авторство; б) достоверность и актуальность (пригодность для последующего использования) и прочие требования. И вторая задача — обеспечение условия доступа к ЭД в соответствии с конкретикой бизнес-процесса и политикой безопасности. В данном случае предлагаю остановиться только на задачах обеспечения целостности и авторства ЭД.
Обычно технические задачи по обеспечению целостности и авторства информации решаются с использованием электронной подписи, легитимной в конкретной правовой зоне участников информационного обмена. На этих же принципах строится и юридическая основа осуществления механизма.
Однако при трансграничном информационном обмене существует не менее двух, а в общем случае и более, правовых зон со своими различными легитимными требованиями к техническим и к юридическим аспектам использования электронной подписи.
Таким образом, для обеспечения юридической силы такого реквизита электронного документа как электронной подписи в рамках разных правовых систем участников обмена требуется дополнительно учитывать следующие требования и ограничения:
- технические требования локального законодательства в части использования легитимных криптографических алгоритмов;
- локальные требования по лицензированию видов деятельности, связанных с криптографическими услугами;
- локальные требования сертификации технических средств;
- экспортных ограничений на технические средства;
- прочие.
Таким образом, мы приходим к выводу, что поскольку без специальной технической и юридической подготовки у субъекта одного правового поля практически нет возможности самостоятельно сделать квалифицированное заключение о том, был ли сертификат или электронная подпись выдан/создана с соблюдением всех нормативных требований другого правового поля или нет, то при построении системы трансграничного обмена информацией обеспечение юридической силы реквизита электронного документа — электронная подпись для разных правовых систем участников обмена необходимо строить НЕ на решении задачи признания зарубежных сертификатов в правовом поле той или иной страны, а на решении задачи обеспечения услуги по проверке действительности сертификата и электронной подписи зарубежного автора. В этом случае результатом такой проверки должен стать легитимный юридически сильный электронный документ, который, в случае необходимости, мог бы рассматриваться в виде доказательства в судах или административных судебных органах.
В соответствии с международными рекомендациями ITU-T серия Х.842, данная услуга по проверке действительности сертификата и электронной подписи оказывается в рамках доверенных сервисов, объединяемых термином «Доверенная Третья Сторона» (ДТС).
Коротко принципы такого равноправного трансграничного информационного обмена можно сформулировать следующими утверждениями:
- Автор ЭП вырабатывает свою электронную подпись легитимным способом для своего правового поля. Это обеспечивает допустимость использования ее в качестве электронных доказательств в судах и/или административных судебных органах, так как. она становиться легитимной в данной правовой зоне.
- Пользователь работает только с ДТС своего правового поля и доверяет только ей, потому что она действует в рамках и по законам именно этой правовой зоны, то есть имеет все необходимые разрешения, лицензии регулирующих органов данной зоны и уполномочена на эту деятельность.
- Проверка ЭП осуществляется ДТС в правовом поле автора ЭП. Это обеспечивает легитимность проверки, так как она происходит на легитимных технических средствах и по закону и в соответствии с регулирующими документами именно этой правовой зоны.
- Результатом проверки является юридически сильный электронный документ (Квитанция проверки), содержащий время проверки, статус проверки, собранную доказательную базу и ЭП ДТС.
- ДТС разных правовых зон (доменов) взаимодействуют между собой, осуществляя трансляцию запросов пользователей ? ДТС зоны ГОСТ транслирует запрос на проверку ЭП RSA в ДТС RSA, которая производит проверку действительности сертификата и подписи в соответствии с законами и правилами зоны RSA, подписывает своей ЭП и возвращает квитанцию в ДТС ГОСТ и наоборот.
- В ДТС предполагается работа с «отсоединенной» ЭП, что повышает уровень безопасности и исключает возможность попадания информации в «чужие руки». Это означает, что в ДТС передается не сам документ, подписанный ЭП, а только ХЭШ от этого документа, которого достаточно, чтобы произвести проверку правильности подписи после проверки действительности сертификата. Таким образом, гарантируется отсутствие возможности доступа ДТС-а к конфиденциальной информации, содержащейся, возможно, в самом этом электронном документе
Существенные особенности данного решения, отличающие его от других предлагаемых решений следующие:
- Возможность выбора криптосистемы, легитимной для каждого конкретного домена (создает равноправные условия для информационного обмена для всех участников, даёт возможность легитимной проверки сертификата и электронной подписи , что в свою очередь создаёт условия для допустимости использования квитанций проверки в качестве доказательной базы при разбирательствах в судебных органах любой правовой зоны участников обмена).
- Электронные документы, участвующие в информационном обмене, не доступны ДТС и не передаются по каналам связи.
- Взаимодействие информационной системы или отдельного пользователя, как то, доставка заявки на проверку и квитанции, осуществляется по защищенному протоколу TLS с взаимной аутентификации сторон, что препятствует перлюстрации информации в каналах связи.
- Автоматическая пролонгация квитанций позволяет сделать вывод о действительности электронной подписи после истечении срока действия закрытого ключа. Обеспечение соблюдения правил и норм архивирования обеспечивает возможность использовать электронную информацию в виде доказательной базы через любое количество времени после произошедшего события.
- Реализация процедуры построения цепочки сертификации оттестирована производителями по методикам National Institute of Standardsand Technologies (NIST). Обеспечивается возможность построения контрольных цепочек, позволяющих использовать электронные доказательства в судах или административных судебных органах.
Возвращаясь к вопросу о востребованности ДТС, могу сказать, что уже сейчас их более чем достаточно и в ближайшее время спрос на услуги доверенной квалифицированной проверки электронной подписи, обеспечивающей доказательную базу юридической силы электронного документа, будет неуклонно расти.
Сфера применения данных услуг уже сегодня весьма обширна. Это и предварительное информирование о перемещение грузов через таможню, и осуществление торговли (заключение договоров) через электронные торговые площадки, это и оказание государственных услуг электронным правительством и т.д. При этом выгодоприобретателем выступают все участники обмена электронной информацией. Конечным пользователям использование этих услуг дает существенное сокращение сроков сбора и обработки документов, например, простой поезда или танкера в порту стоит очень больших денег, и сокращение сроков оформления документов сопровождающих грузы, ? с нескольких дней, до нескольких часов ? может существенно сократить стоимость перевозки. Большая польза от данных услуг и для компаний, предлагающих услуги порталов или прикладных систем, таких как электронные торговые площадки, торговые хабы и системы таможенных брокеров. В 2008 ? 2009 гг. на базе нашего решения мы разрабатывали систему для одного крупного российского таможенного брокера. Задача была обеспечить получение информации от своих зарубежных партнеров в юридически значимом виде. Брокер несет перед таможенными службами достаточно большую финансовую ответственность (вплоть до отзыва брокерской лицензии) за предоставление достоверной информации по предварительному таможенному информированию. Использование служб Доверенной Третьей Стороны позволяет не только собрать доказательную базу того, что со стороны Брокерской конторы не было ни злого умысла, ни халатности при сборе информации и проверки электронной подписи, но и в любой момент времени документировано определить автора допущенной ошибки, и в случае наложения на него финансовых санкций со стороны таможенной службы выставить соответствующий иск виновнику ошибки.
Теперь по поводу того, кто может стать Доверенной Третьей Стороной. На мой взгляд, ДТС-ом в России может стать любая организация, которая обладает соответствующими лицензиями и полномочиями, имеет соответствующее программное обеспечение, реализующее международные рекомендации в этой области, прошедшее интеграцию и тестирование с решениями ДТС других правовых зон и имеющее с ними соответствующие двусторонние договорные обязательства. Такого рода отношения могут быть положены на , если таковые имеются, межправительственные или международные Соглашения, как это существует для стран — участников Таможенного Союза.
Создание такой компании, я имею в виду технологически написание соответствующего программного обеспечения, его тестирование, подготовка регламента работы, — процедура совсем непростая (результат которой, кстати, во многом неочевиден в виду отсутствия на рынке достаточного количества квалифицированных специалистов, имеющих опыт разработки программных продуктов в этой области), но это только верхняя часть айсберга.
Следующий этап, который дается очень тяжело, — это интеграция с ДТС-ами других правовых зон. Для этого в других правовых зонах тоже должна быть компания с аналогичным решением. Процесс, занимающий не менее года, а зачастую и много больше, так как тут многое зависит от подготовленности организации — партнера на другой стороне. Задача очень тяжелая и ресурсоемкая.
Понимая, что сервис ДТС достаточно востребованный, но удостоверяющему центру, и/или прикладной системе, экономически не выгодно создавать свое такое решение «с нуля», три года назад нами была создана специальная компания — «Русское Техническое Общество» (РТО), основной задачей которой является предложение услуги аутсорсинга сервисов Доверенной Третьей Стороны прикладным системам.
На наш взгляд, использование профессиональных услуг компании, имеющей апробированные решения ? в нашей РТО, например, используются технические решения нашего партнера ООО «Топ Кросс», история разработки которых уходят в самое начало 2000-ых), интегрированные с ДТС-ами других правовых зон и более 10 лет опыта работы персонала, именно в этом направлении, — в сотни раз удешевляет стоимость услуги, и это, на мой взгляд, будет востребовано именно для прикладных систем, так как дает им возможность сосредоточится именно на своем основном бизнесе.
Мы позиционируем работу РТО именно с прикладными системами, которые для своих клиентов стали бы такой Доверенной Третьей Стороной. Это может быть, например, электронная торговая площадка. Она обслуживает своих клиентов, у нее есть своя технология, свои наработки в этом направлении. Как правило, большинство электронных площадок используют проверку ЭП. В этом смысле технология работы электронной площадки не меняется. Интеграция такой площадки с ДТС по сути сводится к замене имеющегося запроса системы на проверку ЭП, на подготовку и отправку запроса на такую проверку в ДТС. Получение от ДТС документированной квитанции и возвращение результата проверки в систему для принятия решения. В случае каких-либо спорных моментов квитанция от ДТС может быть предъявлена в суде как в России, так и за рубежом в качестве подтверждения того, что все было сделано правильно, и в действиях компании нет ни злого умысла, ни преступной халатности. По нашему опыту, интеграция услуг ДТС в готовую прикладную систему занимает от нескольких дней до нескольких недель.
— В ноябре прошлого года Президентами Республики Беларусь, Республики Казахстан и Российской Федерации была подписана Декларация о евразийской экономической интеграции. Окажет ли это событие какое-нибудь влияние на решение вопроса трансграничного обмена электронными документами с подписями?
Безусловно, поскольку любые интеграционные движения означают усиление международных связей и торговли, а, значит, и сопутствующего информационного обмена. К этому событию шла нормативная подготовка ? так 13 мая 2010 года Председатель Правительства РФ В.В. Путин издал Распоряжение № 722-р «О подписании Соглашения о применении информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой территории таможенного союза» и Распоряжение № 723-р «Об одобрении проекта Концепции создания интегрированной информационной системы внешней и взаимной торговли Таможенного союза и подписании Соглашения о создании, функционировании и развитии интегрированной информационной системы внешней и взаимной торговли Таможенного союза». Этими документами были одобрены концепция создания интегрированной информационной системы, а также признано целесообразным подписать указанные Соглашения на заседании Совета Евразийского экономического сообщества на уровне глав правительств.
21 сентября 2010 года Представителями Правительств Беларуси, Казахстана и Российской Федерации было подписано Соглашение о применение информационных технологий при обмене электронными документами во внешней и взаимной торговле на единой таможенной территории Таможенного союза.
В перечисленных выше документах ясно и подробно регулируются отношения, возникающие в процессе согласования, отправления, передачи, получения, хранения и использования электронных документов государственными органами государств-сторон, физическими или юридическими лицами при применении информационных технологий для обмена электронными документами во внешней и взаимной торговле на единой таможенной территории Таможенного союза. Там же обозначено, что «интеграционным компонентом информации в электронном виде является система трансграничного электронного документооборота на основе взаимодействия доверенных третьих сторон».
Данные документы определили и юридически закрепили концепцию и основные положения юридически значимого документооборота между тремя странами, в частности, и трансграничного документооборота, в целом.
На основе данной технологи, на базе электронной торговой площадки В2В было создано и продемонстрировано в октябре 2010 года в рамках выставки InfoDOC-2010 техническое решение, реализующее проведение on-line торгов российскими и белорусскими участниками с применением, соответственно, российских и белорусских электронных подписей. Замечу, что реализация данного решения практически не потребовало изменения технологии работы самой площадки. Изменения касались только процедуры проверки самой подписи. Это позволило полностью реализовать пилотный проект в течение одного месяца.
Годом раньше, в 2009 году, тестирование данной технологии было закончено между РТО и Европейским квалифицированным удостоверяющим центром. Результатом данного тестирования стало подписание коммерческого договора между российским и европейским ДТС-ами, по которому уже с конца 2009 года оказываются услуги по проверке электронных подписей, созданных в соответствии с законами Европейского союза и России соответственно.
Отмечу, что техническое решение, оно уже не только сделано, но и прошло апробацию и в Европе, и в Белоруссии. Сейчас мы заканчиваем тестирование данного решения с Казахстаном, где оно дорабатывается в ускоренном темпе. Мы надеемся, что в этом году оно тоже должно заработать. Технически здесь все в порядке, и каких-либо неразрешимых проблем нет.
Если говорить о «влиянии на решение вопроса трансграничного обмена электронными документами с подписями», то, на мой взгляд, все это, хоть и медленно, но идет к решению этого вопроса. Рабочая группа Таможенного союза подготовила серьезный документ, обозначивший нормативную и организационную базу для решения этого вопроса. Руководители трех государств подписали данное соглашение, которое формально уже применяется с даты его подписания. Бизнес не только успел подготовить техническое решение, но самостоятельно завершает тестирование со всеми заинтересованными сторонами. Думаю, что коммерческое использование трансграничного юридически значимого обмена электронными документами с подписями начнется уже в этом году.
Сказать, когда аналогичные системы заработают на государственном уровне мне сложно. Повторюсь, что технических проблем я не вижу. Что и как делать понятно. Нужна только политическая воля.
На мой взгляд, наметившееся отставание государственной составляющей от бизнеса связано с преобразованием Комиссии Таможенного союза в Евразийскую экономическую комиссию (ЕЭК). Надеюсь, что с назначением главой коллеги ЕЭК Виктора Христенко, решительного и делового руководителя, придаст новый импульс в реализации и государственных составляющих данного вопроса.
Читайте также:
Подписаться«БезБумаг»: бизнес избавляется от бумажной рутины
Российские компании всё больше начинают использовать интернет для обмена документами.