А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

31 октября, 2016«BIS Journal» № 3(22)/2016

Курило Андрей

доцент, председатель Комитета по информационной безопасности НП НСФР, кандидат технических наук (Финансовый университет при Правительстве РФ)

Соловяненко Нина

старший научный сотрудник (Институт государства и права РАН)


Официальная электронная почта

Цели, трудности и целесообразность создания

С точки зрения массового потребителя проблема ЭДО выглядит совсем не так, как с технической или юридической. Анализ практики внедрения механизмов ЭДО применительно к инфраструктурным аспектам – вопросам доставки электронных сообщений – приближает нас к ее решению.
 

ЗАДАЧА ПОСТАВЛЕНА
 
Как уже успела убедится общественность, интересующаяся вопросами реализации планов по построению «электронного правительства», в последнее время улучшение взаимодействия институтов государства и граждан движется по пути увеличения объема и расширения номенклатуры услуг, предоставляемых гражданам в электронной форме. Инфраструктурной базой для решения этой задачи является система электронного документооборота (ЭДО), по которой эти услуги в основном и предоставляются. 

Показатели, характеризующие степень реализации этой задачи, сформулированные Председателем Правительства РФ осенью прошлого года (К 2018 году объем услуг, предоставляемых в электронном виде, должен достигнуть 37%), выглядят как весьма сбалансированные и соответствующие в целом уровню развития и «продвижения в массы» информационных технологий, предназначенных для решения практических задач подобного типа.

Возникает естественный вопрос: как увеличить этот показатель до уровня наиболее продвинутых стран (США - 81 %), что этому мешает, какие на этом пути возникают трудности и барьеры.
 
НЕВИДИМЫЕ БАРЬЕРЫ
 
Вопросу преодоления барьеров, препятствующих развитию электронного взаимодействия на финансовых рынках посвящены два плана (дорожные карты), разработанные Минкомсвязи и Банком России и утвержденные Правительством РФ. Эти документы очевидно постепенно реализуются и имеет смысл дождаться результатов их выполнения.

Есть очевидные успехи в реализации специализированных систем ЭДО. Документооборот по ним достигает сотен миллионов единиц в год.

Тем не менее, есть и неудачные попытки реализации достаточно крупных проектов, имеющих общую, прежде всего социальную (публичную) направленность. Это наталкивает на мысль о том, что существуют еще и иные барьеры и препятствия, которые по тем или иным причинам не нашли отражения в упомянутых документах. Но при этом они оказывают существенное влияние на практические результаты деятельности по реализации механизмов электронного взаимодействия.
 
С ПОЗИЦИЙ ПРАКТИКИ
 
Для поиска ответа на этот вопрос представляется рассматривать его несколько в иной плоскости: не с технической точки зрения, а с точки зрения практики использования ЭДО и предоставления услуг в электронной форме конечному заинтересованному потребителю, то есть отталкиваться от потребностей конкретного и, может быть, даже не самого квалифицированного лица.

Спектр возникающих вопросов достаточно широкий, поэтому в статье небольшого размера целесообразно остановиться на анализе практики внедрения механизмов электронного взаимодействия применительно к инфраструктурным проблемам - вопросам доставки электронных сообщений.

В этой теме выделяются следующие обстоятельства.
 
ДОСТОИНСТВА И НЕДОСТАТКИ
 
Электронная почта (технология и сервис по пересылке и получению электронных сообщений между пользователями компьютерной сети), является сейчас фактически основным универсальным инфраструктурным элементом, с помощью которого осуществляется взаимодействие десятков миллионов граждан нашей страны. Социальные сети пока по ряду причин рассматривать как средство доставки почтовых сообщений не целесообразно, это средство межличностного взаимодействия, хотя их роль во взаимодействии людей весьма велика и продолжает расти.

Возникнув в 1965 году, по составу элементов и принципу работы электронная почта практически повторяет систему обычной (бумажной) почты, заимствуя основные термины (почта, письмо, конверт, вложение, ящик, доставка и другие). К ее достоинствам следует отнести: высокую скорость доставки, достаточную надёжность доставки сообщений, простоту использования человеком или программным комплексом, независимость от провайдера услуг, доступность в любой точке мира.

Недостатком же являются уязвимость для спама, недостаточно, как показывает практика, высокая устойчивость систем к взлому   и хищению баз аккаунтов пользователей и DDoS-атакам, перенос вместе с сообщениями вредоносного кода (антивирусная защита, действующая во всех почтовых системах, к сожалению, не дает гарантий защиты от новых, специализированных вредоносных программ, неизвестных производителям антивирусных средств), возможные задержки доставки сообщения, отсутствие гарантии его доставки, проблема с длительным (постоянным) хранением электронных почтовых отправлений у пользователя, низкая конфиденциальность, обеспечение которой на законодательном уровне, в отличие от почтовой связи, как задача даже не продекларирована. Некоторые отмеченные недостатки характерны также и для обычной (традиционной) почты, например, отсутствие гарантии доставки сообщения, и как уже отмечалось, низкая, точнее слабо обеспеченная конфиденциальность.

Вместе с тем, необходимость передачи официальных отправлений широкому кругу абонентов существует на практике и стоит достаточно остро, в основном из-за неудобства и высоких цен на услуги обычной почты. Расходы ведомств, вынужденных осуществлять массовую рассылку официальных[1] отправлений, высоки, и нетрудно предположить, что меньше они не станут. Единственный выход из сложившейся ситуации – переход на электронное взаимодействие. Но пока решений, обеспечивающих доставку до адресатов официальных электронных отправлений, в Российской Федерации нет. Специализированные системы, например, платежные, или системы сбора налоговой отчетности для этих целей не годятся.
 
ОФИЦИАЛЬНАЯ СЛУЖБА
 
Представляется целесообразным использовать в данном контексте термин «официальная (или зарегистрированная) служба электронной доставки сообщений» с целью избежать коллизий с российским законодательством и иными нормативными актами в области почтовой связи. Такая правовая конструкция применяется, к примеру, в новом европейском Регулировании.[2]
 
ТРУДНОСТИ «ОФИЦИАЛЬНОЙ» ДОСТАВКИ
 
Попытки создать «официальную» службу электронной доставки сообщений для организации на ее основе юридически значимого публичного ЭДО неоднократно предпринимались, однако пока не увенчались успехом. Какие возникли трудности?

Остается не решенным вопрос с присвоением каждому участнику документооборота собственного электронного адреса и придания ему статуса «официального электронного адреса»[3]. Непонятно, как организовывать электронные почтовые ящики для этих адресов, как их использовать, могут ли они быть универсальными или нет, каковы отличия статуса[4] этих ящиков от обычных, заводимых провайдерами почты.  

Сформированный в 2012 году концептуальный подход к формированию адреса в этой системе в привязке к реквизитам адреса организации (юридического, фактического) или физического лица (регистрации или проживания) представляется по всей видимости необъяснимо усложненным для реализации, и в то же время, ненадежным с точки зрения безопасности, так как он не защищен от подделки и создания ложного адреса.

В то же время, в практике известны еще два подхода:
  1. создание единого государственного реестра официальных адресов электронной почты. Такая попытка была сделана в Казахстане (Приказ Министерства Транспорта и коммуникаций Республики Казахстан от 24 апреля 2003 года N 147-1). Однако, этот проект остался не реализованным. Можно предположить, что причины этого - слишком высокая сложность создания и сопровождения такого реестра. Вместе с тем, последний законопроект Почты России снова реализует этот вариант;
  2. включение электронного адреса в состав обязательных реквизитов документа (Постановление Министерства юстиции Республики Беларусь от 10.12.2014 № 240). Постановлением также определены форматы электронных документов, сроки их хранения без создания оригиналов на бумажном носителе, процедуры регистрации.
Технически, проект гораздо достаточно легко реализуем и следует признать, что использованный подход гораздо более жизнеспособен.

Руководствуясь избранным коллегами из Беларуси подходом следует полагать, что включение электронного адреса в состав обязательных реквизитов документа, установленных ГОСТ Р 6.30-2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов", а также включение этой позиции в состав реквизитов, регистрируемых в ФНС и ЕГРЮЛ, решит проблему придания электронному адресу официального статуса и позволит надежно сохранить его неизменяемость, что будет совершенно достаточно для использования этого реквизита при реализации гражданско-правовых отношений, адресации официальных отправлений и т.д.

Необходимо также определиться в вопросе о порядке присвоения абоненту официального электронного адреса: с рождения, при достижении дееспособного возраста, определить процедуру его изменения, ликвидации и т.д.

Требуется решить, в какой системе создаются почтовые ящики официальной электронной почты, как с ними будут взаимодействовать другие системы почты, можно ли в них помещать простые, не официальные электронные отправления.

Также требует решения вопрос, как могут быть доставлены официальные почтовые отправления абонентам, не имеющим электронного почтового адреса.

Не решен вопрос с обеспечением гарантий доставки сообщений по официальному адресу.

Требует решения вопрос о необходимости введения механизма более надежной (двухуровневой) аутентификации абонента почты и возможно – двухсторонней аутентификации отправителя и получателя.

Не решен вопрос о том, что считать моментом доставки сообщения в системе электронной почты: момент открытия почтового ящика («захода» на почту) или момент открытия самого сообщения. Также существует проблема хранения недоставленных (не открытых сообщений).

По аналогии с традиционной почтой доставка некоторых почтовых отправлений требует письменного подтверждения получателя, например, при получении таких документов как повестка в суд, призывная повестка, извещение о штрафе ГИБДД и т.д. Это так называемые регистрируемые почтовые отправления, принимаемые от отправителя с выдачей ему квитанции и вручаемые адресату (его уполномоченному представителю) с его распиской в получении. Регистрируемые почтовые отправления могут пересылаться с уведомлением о вручении, т.е. отправитель поручает оператору почтовой связи сообщить ему или указанному им лицу, когда и кому вручено почтовое отправление.

Таким образом, факт получения документов подобного типа подтверждается почтовым документом, содержащим собственноручную подпись получателя. В этой связи при использовании электронных сервисов неминуемо встает вопрос использования для подтверждения полученных сообщений электронной подписи.

Однако сразу встает и второй вопрос: какую подпись использовать? И если для юридических лиц использование для этих целей усиленной квалифицированной электронной подписи не является проблемой, то для физических лиц вопрос остается открытым и по всей видимости, потребует поиска решений по использованию простой электронной подписи или усиленной неквалифицированной электронной подписи.

Однако, вопрос использования усиленной неквалифицированной или простой электронной подписи к сожалению, юридически не прост. Применение неквалифицированной или простой подписи по закону требует специального согласования сторон. Получатель почтового отправления не является стороной в отношениях с почтой. Такой стороной является  отправитель. Как результат, получатель в таком случае просто не может применить простую или неквалифицированную подпись. У почты же нет правового основания ее принять. Почта не будет, прежде чем просить расписку в получении, предлагать получателю заключить договор об использовании простой или неквалифицированной подписи для этой расписки.

Вместе с тем, при создании «официальной службы электронной доставки сообщений», с учетом создания официальных почтовых ящиков в рамках этой службы, вопрос заключения договора между участниками обмена через эту систему может быть рассмотрен, что открывает путь к использованию в системе разных видов подписи.

Важный аспект, который к сожалению, обходится молчанием - стоимость использования средства квалифицированной усиленной ЭП составляет для физического лица 4-5 тыс. рублей в первый год, и почти две - ежегодно потом. При таких ценах ожидать потока граждан за получением ЭП - наверное легкомысленно.

Отсюда следует фундаментальный вывод – уровень «оснащения» физических лиц средствами усиленной квалифицированной электронной подписи, составляющий сейчас около 2-3%, вряд ли в ближайшем времени существенно вырастет. Следует искать альтернативы, одной из которых является простая ЭП.

Вопрос обеспечения конфиденциальности. Некоторые почтовые сервисы, работающие в нашей стране, обеспечивают шифрование соединений с использованием протокола TLS (алгоритм шифрования DES, 3DES), что не противоречит российскому законодательству, однако в силу того-же законодательства не может быть использовано при создании официальной электронной почты. Хотя техническая возможность встраивания в TLS отечественного алгоритма шифрования есть. Задача шифрования самих сообщений на практике не реализована, хотя технические возможности для этого есть. Специалисты выделяют три причины: повышается сложность работы с почтовым сервисом, снижается его универсальность, а также, что пожалуй самое главное, при увеличении числа владельцев ключа подписи (сертификата) свыше 108, резко растет сложность управления сертификатами и ключами, что в итоге сводит на нет все ранее имевшиеся преимущества. 
          
АЛЬТЕРНАТИВНЫЙ ПОДХОД     
 
Вместе с тем, в настоящее время существует и развивается новая технология обмена зашифрованными сообщениями, практически не имеющая указанных недостатков - IBE (Identity-Based Encryption), которая:
  • обеспечивает шифрование сообщений с использованием российских стандартов криптографии;
  • выполняет строгую аутентификацию сторон;
  • обеспечивает простоту и удобство использования, так как не требует для работы аппаратных идентификаторов и контейнеров ключей, а также выпуска сертификатов;
  • независима от существующих удостоверяющих центров;
  • жестко привязывает идентификационную информацию или реквизиты (номер электронной почты) абонентов к возможности обмена зашифрованными сообщениями.
Продукт легко устанавливается на любую систему электронной почты или систему доставки СМС – сообщений мобильных операторов.
 
ВЫВОДЫ
 
Какие напрашиваются выводы?

1. Создание официальной электронной почты - назревшая, актуальная и необходимая задача, имеющая ярко выраженный социальный аспект. Решение этой задачи существенным образом способствует достижению целей, сформулированных Правительством страны по продвижению к созданию полноценного «электронного правительства» и улучшения условий взаимодействия государства и его институтов, и граждан.

В ряде европейских государств, в том числе и восточной Европы, такая почта или создана, или ведутся работы по ее созданию.

На уровне европейского регулирования закреплена правовая конструкция зарегистрированной электронной доставки. Она рассматривается как

Регламент (ЕС) № 910/2014 определяет ее следующим образом: «это сервис, который позволяет передавать данные между третьими лицами с помощью электронных средств и предоставляет доказательства, касающиеся обработки передаваемых данных, в том числе доказательства направления и получения данных, и защищает передаваемые данные от риска потери, кражи, повреждения или несанкционированного изменения».

В Статье 43 Регламента установлено, что данные, переданные и полученные с помощью электронной зарегистрированной Службы доставки не могут быть лишены юридической силы и допустимости в качестве доказательства в ходе судебного разбирательства только на том основании, что они переданы и получены в электронном виде или, что электронная зарегистрированная служба доставки не является квалифицированной.

Данные, отправленные и полученные с использованием квалифицированной электронной зарегистрированной службы доставки пользуются презумпцией достоверности и целостности данных.

Регламент также предусматривает требования к квалифицированной зарегистрированной электронной службе доставки, а именно:

(а) доставка осуществляется квалифицированными поставщиками доверенных услуг;

(б) обеспечивает высокий уровень достоверности идентификации отправителя;

(в) обеспечивают выявление адресата доставки данных;

(г) отправка и получение данных обеспечивается с помощью современной электронной подписи или усовершенствованной электронной печати квалифицированного поставщика доверенных услуг таким образом, чтобы исключалась возможность неустановленных изменений данных;

(д) любое изменение данных, необходимых для отправки или получения данных четко указывают на отправителя и получателя данных;

(е) даты и время отправки, получения и изменения данных обозначаются квалифицированной электронной отметкой времени.
 
В случае данных, передаваемых между двумя или более квалифицированными поставщиками доверенных услуг, данные требования применяются ко всем таким поставщикам услуг.

2. Неудачи отечественных проектов обусловлены либо излишней усложненностью или детализаций постановки задачи, что приводило к утрате универсальности создаваемого сервиса, либо недостаточно точной постановкой задачи.

3. Следует рассмотреть возможность организации юридически значимого универсального публичного ЭДО на базе уже имеющихся российских систем электронной почты. Целесообразность такого решения просматривается в первую очередь, исходя из экономических соображений. Создание дополнительного сервиса «официальной службы электронной доставки сообщений» на базе уже работающей, широко распространенной универсальной электронной почты, минимизирует затраты и позволит существенно снизить расценки на пересылку сообщений.

4. При создании такой системы следует учитывать, что значительная часть общества, особенно старшего поколения, не имеет, и в ближайшей перспективе не будет иметь не только средств электронной подписи, но и компьютеров, что означает то, что система электронного взаимодействия до них доходить не будет и хотим мы этого или не хотим, но в отношении этой части населения должен быть организован смешанный ЭДО. Собственно, на решение этой задачи направлен очередной проект Почты России, представляющий из себя компиляцию двух систем документооборота: традиционного бумажного и электронного. Минкомсвязи России в 2014 году утверждены новые «Правила оказания услуг почтовой связи», однако они, как показывает анализ, направлены на поддержку проекта Почты России по созданию системы смешанного ЭДО. При этом, «Правила» содержат некоторые понятия и определения, реализация которых в электронной форме на практике неминуемо вызывает сильные затруднения, например, в соответствии с п. 60. «Правил» заказное почтовое отправление, пересылаемое в форме электронного документа, считается врученным адресату, если организацией федеральной почтовой связи получена расписка от адресата (его уполномоченного представителя) о вручении заказного почтового отправления. Так как понятие «расписка» предполагает личное вручение почтового отправления адресату с проставлением на ней его собственноручной подписи, речь скорее идет о доставке традиционных почтовых отправлений, направляемых в бумажном виде.

5. На позицию населения в части приобретения средств электронной подписи существенным образом отрицательно влияет необходимость платить за этот сервис.

6. При этом, сервис должен быть простым, удобным и желательно максимально дешевым для физических лиц.

Для обеспечения возможности максимальной универсализации сервиса ЭДО, электронный адрес, присваиваемый абоненту, должен быть максимально универсальным, удобным, а также включенным в перечень обязательных реквизитов организации или фиксируемых сведений о физическом лице. Это позволит разворачивать при необходимости специализированные сервисы официальной электронной почты и избежать зависимости от конкретного провайдера услуг.

7. Работу следует начинать с законодательного определения базовых понятий.

8. И наконец, вопросы безопасности.

Ограничимся перечислением вопросов, требующих решения.
  • -  Защита паролей доступа в систему. При этом идентификатором доступа будет очевидно служить зарегистрированный за абонентом номер почтового ящика. При этом сам номер почтового ящика должен быть официально зарегистрирован удобным способом для его защиты от искажения при официальном использовании. 
  • - Защита от сетевых атак (спам, DDoS-атаки, вирусы в почтовых отправлениях, взлом системы).
  • -  Шифрование каналов связи.
  • -  Шифрование сообщений.
  • - Использование электронной подписи и всего необходимого набора сервисов, обеспечивающих сохранность и хранение документов, их юридическую силу, доступность и целостность их содержания, авторство отправителя, регистрацию времени отправления/получения, обмен почтовыми документами, подтверждающими факт доставки сообщений получателю.

[1]. Юридически закрепленного определения данного термина нет.

Официальное письмо (от ср.-лат. oficiarius «должностное лицо», от ит. буквально «обслуживающее письмо») – письмо, которое разрешается использовать в государственных учреждениях, в средствах массовой информации и в деловой переписке.

Выделяются четыре свойства официального сообщения:
  1. принадлежность текста к конкретному автору или официальному лицу (авторство, неотказуемость);
  2. неизменность содержания (целостность);
  3. содержание письма либо порождает правовые последствия, либо имеет юридическую силу;
  4. в ряде случаев требуется подтверждение того, что письмо было получено адресатом.
Все эти свойства обеспечиваются использованием ЭП и технической процедурой формирования квитанции, в некоторых случаях – с использованием ЭП.

Отличия официальной службы доставки сообщений от обычной почты:
  • наличие официально зарегистрированного адреса получателя и отправителя;
  • гарантированная доставка по официально зарегистрированному адресу;
  • достаточно надежная аутентификация абонента;
  • подтверждение получения почтового сообщения квитанцией;
  • использование для подтверждения квитанции о получении отправления собственноручной (электронной) подписи;
  • обеспечение конфиденциальности сообщения.

[2] Регламент (ЕС) № 910/2014 Европейского парламента и Совета от 23 июля 2014 г. «Об электронной идентификации и доверенных услугах для электронных транзакций на внутреннем рынке и отмене Директивы 1999/93/ЕС»
 
[3] Юридически закрепленного понятия «официальный электронный адрес» в настоящее время не существует.

[4] Юридически закрепленного статуса электронного почтового ящика официальной электронной почты в настоящее время не существует.
 

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31