О поправках в Федеральный закон об электронной подписи
В начале декабря прошлого года на официальном сайте Минкомсвязи появилась новость о подготовке законопроекта, направленного на совершенствование использования электронной подписи.
Позже в сети появился текст законопроекта, а также немногочисленныхе комментарии.
Попробуем разобраться, на что именно направлены предлагаемые поправки в закон.
Согласно новости на сайте Минкомсвязи, основными целями законопроекта являются:
- создание условий для использования УКЭП с мобильных устройств
- унификация и стандартизация средств ЭП
- усиление требований к УЦ, в том числе их финансовой ответственности.
Изучив предложенный законопроект (18 страниц), я для себя условно разделил все поправки на 3 группы. Первая — уточняющие поправки, например конкретизирующие термин «аннулирование», проясняющие некоторые старые положения закона и т.д. Их достаточно много, ничего кардинально нового они в закон не вносят, а потому я решил на них в данном обзоре не останавливаться.
Другая группа — поправки, направленные на регулирование отношений, связанных с функционированием удостоверяющих центров (УЦ). И третья группа — все другие поправки.
1. Поправки, связанные с УЦ.
Много критики из уст специалистов звучит по поводу обилия в России аккредитованных удостоверяющих центров и слабого контроля над их работой. Похоже это было услышано авторами законопроекта, и многие поправки, касающиеся деятельности УЦ, направлены на ужесточение требований к ним и усиление контроля за их деятельностью.
Пунктом 8.а предлагается лишить УЦ возможности делегировать права по созданию квалифицированным сертификатов третьим лицам, что разрешено действующей редакцией закона. В случае принятия поправок, УЦ сможет делегировать лишь право выдачи, но не создания квалифицированных сертификатов.
Пунктами 4.в, 8.б и некоторыми другими предлагается возложить обязанность по разработке единых правил функционирования УЦ на Минкомсвязи (совместно с федеральным органом в области обеспечения безопасности). Таким образом, функционирование УЦ будет организовано по общим правилам, разработанным Минкомсвязью, что, на мой взгляд, является положительным изменением и способно улучшить ситуацию с УЦ в стране.
Важная поправка содержится в пункте 10.а законопроекта, а именно — предлагается обязать аккредитованный УЦ подписывать квалифицированные сертификаты сертификатом головного УЦ, что сегодня не соблюдается и приводит к техническим проблемам при автоматическом построении цепочек доверия к сертификатам. На это неоднократно указывали специалисты в данной области (впрочем, буду благодарен, если меня здесь в чем-нибудь поправят).
Пунктом 10.г предлагается ввести еще ряд норм, повышающих ответственность УЦ за соблюдение установленного порядка их функционирования. В частности устанавливаются виды ответственности УЦ за несоблюдение этого порядка.
Пунктом 11 вносятся поправки в статью 16, ужесточающие финансовые и технические требования к УЦ, которые могут получить аккредитацию Минкомсвязи, а также условия подключения УЦ к общей инфраструктуре (СМЭВ) и порядок проведения проверок аккредитованных УЦ. Так, стоимость чистых активов УЦ, который претендует на аккредитацию в Минкомсвязи должен составлять не менее 10 млн. рублей (в действующей редакции — 1 млн. рублей), а финансовое обеспечение ответственности за убытки третьих лиц — 50 млн. рублей (в действующей редакции — 1,5 млн. рублей).
2. Прочие поправки.
Пункт 1.б фактически закрепляет за гос. органами право выполнять функции удостоверяющих центров, уточняя термин «удостоверяющий центр». В действующей редакции закона в роли УЦ может выступать только юр. лицо или индивидуальный предприниматель. Возможно, это позволит многим гос. органам (в том числе субъектов РФ), или значительно упростит им задачу организации собсвтенных УЦ для нужд своих информационных систем, а также межведомственных систем (СМЭВ, МЭДО).
Довольно странная поправка вносится п.3, а именно, кроме признания квалифицированной подписи равнозначной собственноручной подписи на бумажном документе, предлагается добавить фразу «и может применяться в любых правоотношениях». Если честно, для меня загадка, что именно данная фраза добавляет к установлению развнозначности электронной и бумажной подписи. Чем конкретно может быть вызвано, что «равнозначность» все-таки не распространяется автоматически на все правоотношения? Неплохо бы получить комментарии юристов по этому поводу.
Пунктом 4.в, в частности, уполномоченному федеральному органу власти (Минкомсвязи) добавляются полномочия по выработке правил функционирования УЦ (о чем уже было сказано), а также установлению единого формата электронной подписи, который должен поддерживаться всеми используемыми средствами ЭП, совместно с федеральным органом в области обеспечения безопасности.
Пункт 7.б, если я правильно понял, как раз об обеспечении использования ЭП на мобильных устройствах. Данным пунктом предлагается разрешить средствам создания и проверки электронной подписи отображать подписываемую информацию не только самостоятельно, но и «с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации». И опять, мне не очень понятно, что именно меняет данная поправка. Используемая формулировка никак не конкретизирует требования к упомянутым техническим средствам. Из нее не очень понятно, что именно имеется в виду. А раньше средства подписи как-то отображали информацию без использования программных и т.д. средств? Показывали вордовские документы без использования ворда? Что-то мне не попадались такие средства.
Несколько поправок призваны обеспечить использование системы межведомственного электронного взаимодействия (СМЭВ) при взаимодействиях, связанных с использованием ЭП и функционированием УЦ. В конце прошлого года Минкомсвязи заявляло, что планирует расширить область эксплуатации СМЭВ, которая первоначально была строго ограничена взаимодействием в рамках оказания государственных и муниципальных услуг, в связи с чем будут вноситься необходимые поправки в законодательную базу. Так п. 11.б законопроекта предписывает Минкомсвязи использовать СМЭВ для получения необходимой информации об УЦ от федерального органа в области обеспечения безопасности. Соответственно этому органу предписывается использовать СМЭВ для передачи этой информации в Минкомсвязи.
Пункт 11.в обязывает УЦ, получивший добро на аккредитацию от Минкомсвязи, присоединить свою информационную систему к единой инфраструктуре по 210-ФЗ (т.е. к тому-же СМЭВ). Остается только гадать, почему в некоторых пунктах СМЭВ упомянут открыто, тогда как в других завуалированно, под именем «информационно-технологической и коммуникационной инфраструктуры». Согласно п.13.б УЦ обязан проверять предоставленные заявителем сведения при помощи системы СМЭВ. Квалифицированный сертификат выдается только при совпадении предоставленных сведений и сведений, полученных из СМЭВ.
Пункт 12 уточняет требования к составу квалифицированного сертификата. В частности исключает пункт 2.8 статьи 17, который разрешал включение в состав сертификата «иной информации о владельце квалифицированного сертификата (по требованию заявителя)». Таким образом, перечень сведений, которые должны содержаться в квалифицированном сертификате, становится закрытым. Более того, пункт 12.б прямо запрещает операторам информационных систем требовать наличия в квалифицированном сертификате информации, препятсвующей его применению в других системах. Наконец-то законодателем были услышаны многочисленные возмущения по поводу вынужденного изготовления специализированных сертификатов для разных систем из-за специфических и несовместимых друг с другом требований этих систем. Хочется надеяться, что с принятием данных поправок с этой проблемой будет покончено раз и навсегда.
Ряд поправок устанавливают возиожность получения квалифицированых сертификатов индивидуальными предпринимателями и иностранными организациями (ранее оговаривались только физические и юридические лица). Например, об этом поправки, предлагаемые п. 12.а, 13.а. Также, для физических лиц, в сертификат, наряду со СНИЛС добавляется ИНН.
3. Чего не хватает.
Теперь немного о том, чего, на мой взгляд, не хватает в 63-ФЗ. Разумеется, все это мое сугубо личное мнение.
Во-первых, неплохо было бы хоть как-то урегулировать отношения, связанные с применением технологии, так называемой, «облачной» подписи. Тем более, что на практике она уже достаточно давно и успешно применяется.
Во-вторых, остается неразъясненной двусмысленность, связанная с примененим средств автоматического подписания документов.
В-третьих, закон по-прежнему обходит стороной новые современные форматы электронных подписей, известные как CAdES, или по русски — усовершенствованная электронная подпись, для которой уже существует техническая реализация российскими криптопровайдерами. В частности, в законе по-прежнему ничего не говорится о службах доверенных штампов времени, которые необходимы для создания таких подписей. Хотя, если будут приняты предложенные поправки, Минкомсвязи получит полномочия по определению правил функционирования УЦ, а также единого формата электронной подписи, и, возможно, CAdES будет закреплен на уровне подзаконных актов.
В целом законопроект достаточно неплохой, хотя в некоторых из поправок вновь не удалось избежать неоднозначностей. Были услышаны многие замечания экспертов и пользователей ЭП, приняты меры к устранению имеющихся недостатков.
К сожалению, законодатель пока остается глух к современным средствам, уже использующимся на практике, таким как «облачная» и «усовершенствованная» электронные подписи. Также авторы закона пока не спешат устранять все имеющиеся противоречия и неоднозначности, например связанные с «автоматическими» подписями.
Автор: Вадим Малых
Источник: PCWEEK
Читайте также:
ПодписатьсяПрактическая безопасность: тренды и прогнозы-2015
2014 год закончился, самое время подвести итоги: отметить ключевые тренды в области информационных угроз и защиты от них, а также представить свои прогнозы развития этих трендов в новом году.