А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

12 декабря, 2016«BIS Journal» № 4(23)/2016

Курило Андрей

доцент, председатель Комитета по информационной безопасности НП НСФР, кандидат технических наук (Финансовый университет при Правительстве РФ)


Обострение практикой

Заметки на полях PKI-форума

В сентябре, уже в который раз в Санкт-Петербурге состоялся PKI-форум. Так сложилось, что в его работе традиционно принимают участие разработчики средств электронной подписи, представители государственных регуляторов, работники Удостоверяющих центров, юристы – специалисты в области информационного права, руководители крупных государственных структур, а также зарубежные коллеги, прекрасно владеющие самой последней информацией и нормативными актами Европейского Союза в сфере электронной подписи и электронного документооборота. Интересные доклады и возникающие дискуссии придают этому мероприятию какой-то особый, одновременно и деловой и творческий дух.
 
ДОСТОЯНИЕ МАСС

 
Смею предположить, что в значительной степени это связано с тем, что тематика электронной подписи (ЭП) + PKI + электронный документооборот вышла из стадии формирования и начинает применяться на практике. Сейчас это уже происходит широко, с вовлечением в нее миллионов организаций и десятков миллионов наших граждан. Более того, на повестку дня начинают выдвигаться новые, без преувеличения глобальные проекты, требующие решения концептуальных, законодательных, технических и технологических задач и проблем.

Все это дает неоценимый опыт практического внедрения новых технологий электронного документооборота и безопасности, а заодно позволяет увидеть, как реализуются в жизни те концепции по использованию средств обеспечения конфиденциальности и доверия к электронному документообороту, которые были сформированы, заложены в законодательство и нормативную базу 5-10 лет назад. В свою очередь, анализ этого опыта предоставляет уникальную возможность откорректировать, ранее выбранные концепции и тем самым более эффективным образом приблизиться к реализации задачи создания в стране успешно действующего «электронного правительства», улучшения взаимодействия граждан и государства, создания инфраструктуры «доверия» на национальном и транснациональном уровне.

Так как основным инструментом обеспечения доверия к электронному взаимодействию является электронная подпись, достаточно обстоятельно обеспеченная в настоящее время законодательной и нормативной поддержкой и практически используемая уже в массовом порядке, то и выступающие в своих докладах так или иначе касались практики использования как самой электронной подписи, так и различных механизмов обеспечения доверия к ней.

Важно отметить, что вопрос доверия постепенно начинает формулироваться не только как организационно-техническая задача обеспечения доверия к работе самих механизмов электронной подписи или идентификации, а как правовой вопрос обеспечения доверия к документу как основному элементу гражданского права, как к необходимому условию реализации и обеспечения прав, порождаемых или фиксируемых документом вне зависимости от формы его представления.

Если под этим углом зрения рассматривать доклады, выступления, и дискуссии, состоявшиеся на форуме, то можно выделить следующие темы, привлекшие наибольший интерес слушателей.
 
ОТ СЕГМЕНТА ДОВЕРИЯ
 
1.Деятельность удостоверяющих центров. Либертарианская правовая концепция, положенная в основу процедур по предоставлению аккредитации удостоверяющим центрам при выполнении ими достаточно простых требований, установленных регулятором, привела к возникновению целой подотрасли УЦ, разросшейся до масштабов среднего республиканского министерства времен СССР – свыше 400 отдельных юридических лиц. Есть еще филиалы и доверенные агенты, на которые предполагается возложить ответственность по выдаче сертификатов гражданам и юридическим лицам (отметим, что именно при выдаче квалифицированных сертификатов в конце прошлого года были совершены махинации, стоившие добропорядочным гражданам потери дорогой квартиры и головной боли по ее возвращению обратно в свою собственность). Для сравнения - в США, известных своими либеральными свободами в части предпринимательства, таковых только 3, а в Польше – целых 5, правда только один из них выдает квалифицированные сертификаты, а остальные - нет. И справляются.

Ответственность за выдачу гражданам и юридическим лицам квалифицированного сертификата, обладающего признаками документа, удостоверяющего личность (паспорта) и нотариально оформленной доверенности обеспечивается, в соответствии с со сложившейся практикой, только уставным фондом удостоверяющего центра и его административной ответственностью, при полном отсутствии какой-либо адекватной ответственности у персонала, собственно и совершающего эти операции. Напомним, что нотариус, выдающий сходные по правовой силе документы, в соответствии с законом отвечает за совершаемые им операции всем своим имуществом (следует подчеркнуть, что лично нотариус, а не его нотариальная контора), а люди, выдающие паспорта до сих пор являются работниками силовой структуры, со всей вытекающей ответственностью их перед законом.

К сожалению, следует отметить, что качество работы созданной системы УЦ недостаточно высокое. Так, например, Минкомсвязь проверив в прошлом году всего 9 УЦ, сразу лишило двух их них аккредитации и еще у одного она приостановлена (30% от общего числа, что является крайне тревожным показателем). Добавим, что готовность сервисов проверки выданных таким большим количеством УЦ сертификатов составляет на практике около 80-85%, то есть в ряде случаев сертификат быстро проверить невозможно, а большое количество квалифицированных и неквалифицированных сертификатов просто не принимаются некоторыми сервисами. Поэтому набирает силу движение по созданию при некоторых системах электронного взаимодействия доверенных УЦ, создающих свои, выделенные в рамках общего пространства, «сегменты доверия».

Вывод напрашивается один – работа УЦ в целом организована неудовлетворительно и по некоторым параметрам является рисковой. Также совершенно очевидно, что управление работой такого большого количества УЦ и обеспечение надлежащего качества их деятельности – объективно сложная задача, требующая приложения огромных усилий со стороны регулятора. Для сравнения, Банк России решал в некотором сходную по размеру задачу по повышению уровня информационной безопасности в кредитных организациях в течение почти 10 лет и в конце концов ему пришлось резко усилить нормативное регулирование этой деятельности. Понятно, что в этих условиях говорить о создании единого пространства доверия на основе квалифицированных сертификатов, выданных аккредитованными удостоверяющими центрами, а значит и универсальных сервисов электронного взаимодействия по крайней мере, преждевременно.
 
ВОКРУГ КЛЮЧА ПОДПИСИ
 
2. В полный рост возникает задача более гибкого и эффективного управления использованием ключа подписи, что потребовало отдельной проработки вопроса со стороны Минкомсвязи, вылившейся в идею выдачи хранящегося централизованно дополнительного квалифицированного «Уполномоченного» сертификата. Подготовлен соответствующий проект федерального закона.

Добавим, что не за горами возникновение задачи управления статусом документа, например, правами на объект, который зафиксирован в самом документе. В случае решения задачи управления собственностью это означает разделение объекта собственности и собственника, владеющего этим объектом (собственник может меняться, а зафиксированный в реестре БТИ или в ФНС объект собственности продолжает существовать в неизменном виде). Подобная задача может быть к примеру, решена применением так называемого «атрибутивного» сертификата документа. Но все эти дополнения означают серьезное усложнение технологии электронного документооборота и электронного взаимодействия, не говоря уже об организации архивного хранения документов в электронном виде. Этот вопрос требует глубокой и тщательной проработки.

Все сказанное усложняется отсутствием удовлетворительных решений по мгновенному, в реальном масштабе времени, отзыву и уничтожению ключа подписи в случае утраты владельцем ключа подписи либо полномочий на его использование, либо утраты им дееспособности. Нельзя сказать, что эта задача новая. Она известна и решается в бумажном документообороте, но почему-то в электронном взаимодействии пока удовлетворительного решения нет.
 
ТЕНЬ ПРЕЗИДЕНТА
 
3. Все больше вызывает вопросов практическое использование самой электронной подписи. В извечной борьбе между безопасностью, простотой и трудоемкостью использования этого инструмента доверия к электронному документу похоже начинает побеждать простота и дешевизна. Уже прошло десять лет с тех пор, как Президент Российской Федерации поставил задачу «окончательно разобраться с использованием электронной подписи», уже даны поручения решить вопрос о бесплатной выдаче всему населению страны средств электронной подписи (имеется в виду усиленная квалифицированная подпись), а на практике мы наблюдаем массовый интерес граждан к использованию простой или неквалифицированной электронной подписи и прежде всего потому, что это удобно, гораздо проще и ничего не стоит. При этом, в некоторых службах соотношение в использовании усиленной неквалифицированной и квалифицированной подписи достигает уже 95% к 5%, не говоря уже о том, что доступ к личным кабинетам (в ЕПГУ, налогоплательщика в ФНС, сдачи отчетности в Банке России и т.д.), в том числе к сервисам облачной подписи, осуществляется с помощью инструмента, поразительно похожего на простую электронную подпись. Можно предположить, что подобный механизм через некоторое время станет весьма и весьма распространенным. Видимо, необходимо обратить внимание на разработку механизмов обеспечения доверия к простой электронной подписи для повышения уровня ее безопасности при массовом практическом использовании.
 
К ИНФРАСТРУКТУРЕ ДОВЕРИЯ
 
4. Наконец о доверии в цифровом мире. 
Становятся заметными различия в использовании этого понятия. Применительно к правовым, техническим и организационным сторонам общего процесса различаются:
  • доверие к электронному документу в гражданском процессе, включая его архивное хранение;
  • доверие к технологическому средству обеспечения доверия к электронному документу – электронной подписи;
  • доверие к статусу квалифицированной подписи, обеспечиваемое УЦ;
  • доверие к сертификату электронной подписи;
  • доверие к процедурам идентификации, аутентификации и авторизации;
  • доверие к стандартам электронной подписи, Хэш-функции, стандартам и сертификатам ключей шифрования, протоколам взаимодействия т.д.
То есть, следует очевидно говорить о наличии целой инфраструктуры доверия как отдельной сущности, требующей внимания специалистов как технического, так и гуманитарного, юридического профиля.
 
О ЧЕМ ГОВОРИЛИ ЗАРУБЕЖНЫЕ КОЛЛЕГИ?
 
При этом, наши зарубежные коллеги отмечают крайнюю важность наличия универсального идентификатора (ID) как базового инструмента для реализации процедур идентификации и аутентификации личности, использования электронной подписи во всех ее вариантах, включая мобильную и облачную подписи, работы с базами данных и с архивами документов. Так, в Европейском союзе в 2018 году запланировано введение единого аутентификатора, создание единого реестра таких аутентификаторов (elDAS) и сопоставления с ними наборов «услуг доверия», предоставляемых физическим лицам - гражданам ЕС: сертификатов, штампов времени и т.д. Не отстает от них и Республика Азербайджан, запустившая в этом году универсальный мобильный сервис идентификации и электронной подписи. Представляется, что этот опыт целесообразно внимательнейшим образом изучить, а может быть и рассмотреть возможность принятия, естественно с учетом наших особенностей.
 
И что крайне отрадно, вновь начинает затихший было вопрос о необходимости подготовки Федерального закона «Об электронном документообороте» или «Об инфраструктуре доверия к электронным документам», а вместе с ним – вопрос об официальной электронной почте или электронном взаимодействии, официальных электронных адресах, едином ID, как это уже упоминалось, терминологии и определениях.

Хочется верить, что следующий PKI–форум даст ответы на некоторые из поставленных вопросов.

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31