2_ Проектирование и монтаж кабельных систем сети связи Проектирование и строительство объектов обустройства нефтегазовых месторождений Проектирование, строительство и реконструкция автомобильных дорог Малоэтажное и коттеджное строительство Добыча и производство нерудных материалов Проектирование и строительство, реконструкция промышленных объектов, объектов жилья Проектирование, строительство, монтаж, реконструкция, ремонт, обслуживание линий электропередач ПСтроительство, модернизация и реконструкция гидроэлектростанций ООО «Базальт Эко» Строительство и модернизация ТЭС, ПГУ

Вы находитесь здесь: Главная Пресс-центр Новый закон «Об электронной подписи». А что нового?
Новый закон «Об электронной подписи». А что нового?

Новый закон «Об электронной подписи». А что нового?

Мы используем электронную цифровую подпись в системах электронного документооборота. Принят новый федеральный закон «Об электронной подписи». Что в нем появилось нового? Как его использовать? Что нужно менять в своей системе? Ответы читайте в статье.

В апреле 2011 года стремительно вступил в силу новый федеральный закон 6 апреля 2011 года N 63-ФЗ «Об электронной подписи». Таким образом, до 30 июня 2011 года будет действовать два федеральных закона: «Об электронной подписи» и федеральный закон от 10 января 2002 года N 1-ФЗ «Об электронной цифровой подписи». При этом до 30 июня 2011 года использующаяся электронная цифровая подпись является легитимной и признаётся эквивалентной квалифицированной электронной подписи.

Фактически нам дан один год с небольшим, что бы привести применяемую электронную цифровую подпись в соответствии с нормами нового закона. Не будем в этой статье разбираться с традиционным вопросом «Кто виноват?», а постараемся ответить на не менее традиционный вопрос «Что делать?».

Сначала определимся с новеллами в новом законе. У нас появилось три вида электронной подписи: простая, неквалифицированная и квалифицированная электронная подпись. Кратко дадим характеристики этих видов подписей.

Самая сложная в понимании и интерпретации – это простая электронная подпись. Простая электронная подпись имеет следующие основные характеристики: 1) она содержится в самом электронном документе; 2) она подтверждает факт формирования электронной подписи определенным лицом; 3) она сформирована с помощью конфиденциального ключа простой электронной подписи; 4) она используется в соответствии с правилами, установленными оператором информационной системы. При этом простая электронная подпись фактически не используется для обнаружения факта внесения изменений в подписанный электронный документ. Как обеспечить применение простой электронной подписи – время покажет. Пока готовых рецептов нет т.к. отсутствует практика её применения.

Более привычна для нас - неквалифицированная электронная подпись. Она имеет следующие основные характеристики: 1) она содержится в самом электронном документе или иным образом связана с документом; 2) она подтверждает факт формирования электронной подписи определенным лицом; 3) она сформирована с помощью криптографического средства электронной подписи и ключа электронной подписи; 4) она проверяется с помощью криптографического средства электронной подписи и ключа проверки электронной подписи; 5) она используется в соответствии с правилами, установленными оператором информационной системы. Неквалифицированная электронная подпись, в отличии от простой электронной подписи, обеспечивает обнаружение факта изменения электронного документа. Важно отметить, что неквалифицированная электронная подпись может использоваться как с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, так и без него. Требования по сертификации средств электронной подписи законом так же не определяется. Это определяется оператором информационной системы. Если неквалифицированная электронная подпись используется с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, то её применение практически идентично современной электронной цифровой подписи, определённой 1-ФЗ «Об электронной цифровой подписи».

Особняком стоит квалифицированная электронная подпись. По характеристикам она такая же, как не квалифицированная электронная подпись, но обязательно используется с сертификатом ключа проверки электронной подписи, созданным аккредитованным (доверенным, удовлетворяющим установленным требованиям) удостоверяющим центром, с помощью средства электронной подписи, так же удовлетворяющим установленным требованиям. Но самое главное отличие квалифицированной электронной подписи от всех остальных видов электронной подписи – это то, что для её применения не нужно превентивно устанавливать никаких правил её применения. Т.е. это подпись прямого действия. Подписал квалифицированной подписью электронный документ, все обязаны принимать этот электронный документ к исполнению или к сведению, наравне с документом в бумажной форме.

Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (похоже, что это Минкомсвязь России) должен разработать и утвердить нормативно-правовые акты, определяющие:

  • порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра;
  • порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров
  • правила аккредитации удостоверяющих центров
  • порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы

Федеральный орган исполнительной власти в области обеспечения безопасности (похоже, что это ФСБ России) должен осуществлять подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, которые он должен разработать и утвердить, а именно:

  • требования к форме квалифицированного сертификата
  • требования к средствам электронной подписи и средствам удостоверяющего центра

Правительство Российской Федерации должен назначить уполномоченный федеральный орган в сфере использования электронной подписи, который будет осуществлять аккредитацию удостоверяющих центров, проводить проверки соблюдения аккредитованными удостоверяющими центрами установленным требованиям.

В настоящий момент указанные выше правила, порядки и требования отсутствуют. Сроков их появления объявлено не было.

Ответ на вопрос «Что делать с существующими системами, в которых применяется электронная цифровая подпись?» зависит от того, в какой информационной системе применяется электронная цифровая подписи. Если это информационная система органа исполнительной власти или органа местного самоуправления, то нужно дождаться решения Правительства Российской Федерации, которое должно определить виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой. И исходя из положений решения Правительства Российской Федерации.

Операторы (или владельцы) остальных видов информационных систем должны сами определиться с видами электронных подписей, которые они будут применять в своей информационной системе. Если иное (допустимый вид электронной подписи в отдельных информационных системах) не будет установлен нормативно-правовыми актами (законами, постановлениями, ведомственными приказами).

Попробуем грубо оценить риски, связанные с применением различных видов электронной подписи.

Максимальные риски связаны с применением простой электронной подписи. Это связано с тем, что оператор системы сам должен определить и как создавать простую подпись и как её проверять и как обеспечить неотказуемость лица от факта подписания и т.д. Соответственно, возрастают и риски отказа от факта подписания электронного документа. А значит возрастают и риски непринятия электронного документа в качестве доказательства по делу. А принятие документа в качестве доказательства и есть цель обеспечения юридической значимости электронной подписи.

Минимальные риски связаны с применением квалифицированной электронной подписи. Применение квалифицированной электронной подписи строго регламентировано, все процедуры создания и проверки подписи и обеспечения неотказуемости определены соответствующими требования, установленными уполномоченными федеральными органами. Вероятность принятия электронного документа, удостоверенного квалифицированной электронной подписи, в качестве доказательства по делу равна единице. Это прямая норма нового закона.

Между этими максимальными и минимальными оценками находятся риски, связанные с применением неквалифицированной электронной подписи. Риски уменьшаются при применении традиционной технологии электронной цифровой подписи (с сертификатами ключей подписей и удостоверяющими центрами и сертифицированными средствами электронной цифровой подписи). И риски увеличиваются при применении иных технологий. Это связано с наличием обширной деловой практики и обычаев делового оборота по применению традиционной ЭЦП. И с отсутствием такового при применении иных технологий обеспечения применения неквалифицированной электронной подписи.

Если оператор (или владелец) информационной системы посчитает, что квалифицированная электронная подпись его более всего устраивает, то проводить мероприятия по переходу с применения электронной цифровой подписи на применение квалифицированной электронной подписи в настоящий момент не представляется возможным. Это связано с отсутствием на момент написания статьи установленных законом нормативно-правовых актов и невозможностью получения статуса аккредитованного удостоверяющего центра. После появления установленных законом нормативно-правовых актов нужно провести их оценку затрат на их выполнение и на основании результатов анализа принимать решение по выбору вида электронной подписи.

Если оператор (или владелец) информационной системы посчитает, что неквалифицированная электронная подпись его более всего устраивает, то достаточно во всех регламентах (документации) своей информационной системы заменить «электронная цифровая подпись» на «неквалифицированная электронная подпись».

Резюмируя вышесказанное, предлагаю всем не торопиться, дождаться всех необходимых подзаконных актов, проанализировать технологии, предлагаемые для обеспечения применения простой и неквалифицированной электронной подписи, обобщить мнения экспертов, и только потом претворять новый закон «Об электронной подписи» в жизнь.