Однако при практическом внедрении возникает проблема, которая может служить препятствием для использования ЭЦП. Проблема возникает в процедуре лицензирования деятельности по использованию ЭЦП, а также применение сертифицированных средств шифрования.
Сам по себе вопрос о необходимости получения лицензий четко в законодательстве не решен. Судебная правоприменительная практика также не дает ответом на вопросы. Все это и порождает различные трудности при практическом использовании криптографических средств ЭЦП.
Первым по времени открытым правовым нормативным актом, который регулировал вопросы оборота средств криптографической защиты информации, является принятое 28 мая 1991 года постановление Верховного Совета СССР N 2195-1 "О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)"[1].
Этим документом был утвержден перечень отдельных видов деятельности, которыми предприятия на территории страны вправе заниматься только при наличии у них специального разрешения или лицензии. В частности, к таким видам деятельности данное постановление относит и производство, ремонт, реализацию и эксплуатацию шифровальной техники. (В настоящее время данное постановление прекратило действие).
19 февраля 1993 года Верховным Советом Российской Федерации был принят закон "О федеральных органах правительственной связи и информации" N 4524-1[2].
Статья 11 данного закона предоставила Федеральному агентству права по определению порядка разработки, производства, реализации, эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а также порядка проведения работ по выявлению электронных устройств перехвата информации в технических средствах и помещениях государственных структур. Одновременно Федеральному агентству этой статьей дано право осуществлять лицензирование указанных видов деятельности и сертификацию соответствующих товаров и услуг. Пунктом м) той же статьи 11 данного закона Федеральному агентству предоставлено право осуществлять лицензирование и сертификацию телекоммуникационных систем и комплексов высших органов государственной власти Российской Федерации и закрытых (защищенных) с помощью шифровальных средств, систем и комплексов телекоммуникаций органов государственной власти субъектов Российской Федерации, федеральных органов исполнительной власти, а также организаций, предприятий, банков и иных учреждений, расположенных на территории России, независимо от их ведомственной принадлежности и форм собственности. Таким образом, закон Российской Федерации "О федеральных органах правительственной связи и информации" является первым собственно российским правовым нормативным актом, который вводит лицензирование деятельности и сертификацию в области защиты информации.
Кроме того, в соответствии с упомянутыми законами, а также на основании закона Российской Федерации от 10.06.93 "О сертификации продукции и услуг" N 5151-1[3] (в настоящее время отменен Федеральным законом "О внесении изменений и дополнений в некоторые законодательные акты Российской Федерации в связи с принятием Федерального закона "О лицензировании отдельных видов деятельности" [4]) ФАПСИ 15 ноября 1993 года зарегистрировало в Госстандарте России "Систему сертификации средств криптографической защиты информации" РОСС.RU.0001.030001. Данный документ определил организационную структуру системы сертификации шифровальных средств ФАПСИ, а также установил основные правила проведения сертификационных исследований и испытаний криптографических средств защиты информации и закрытых с их помощью систем и комплексов обработки, хранения и передачи информации[5].
Следующим этапом в деле правового обеспечения деятельности в области защиты информации явилось принятие Федерального закона "Об информации, информатизации и защите информации" от 20 февраля 1995 года № 24-ФЗ [6]. Закон впервые официально вводит понятие "конфиденциальной информации", которая рассматривается как документированная информация, доступ к которой ограничивается в соответствии с законодательством Российской Федерации, и устанавливает общие правовые требования к организации защиты такой информации в процессе ее обработки, хранения и циркуляции в технических устройствах и информационных и телекоммуникационных системах и комплексах и организации контроля за осуществлением мероприятий по защите конфиденциальной информации. При этом следует подчеркнуть, что Закон не разделяет государственную и частную информацию как объект защиты в том случае, если доступ к ней ограничивается.
Кроме того, закон определяет на государственно-правовом уровне электронную цифровую подпись как средство защиты информации от несанкционированного искажения, подмены (имитозащиты) и подтверждения подлинности отправителя и получателя информации (аутентификации сторон). В соответствии со статьей 5 "юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью". При этом "юридическая сила электронной цифровой подписи признается при наличии в автоматизированной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования". При этом право удостоверять идентичность электронно-цифровой подписи, согласно данной статье, осуществляется только на основании лицензии.
Далее закон раскрывает требования, предъявляемые к специализированным программно-техническим средствам, реализующим электронную цифровую подпись, и порядку их использования в информационно-телекомму-никационных системах.
Так, статья 19 закона "Об информации, информатизации и защите информации" устанавливает обязательность сертификации средств обработки и защиты документированной информации с ограниченным доступом, предназначенных для обслуживания граждан и организаций, а также обязательность получения лицензий для организаций, выполняющих работы в области проектирования, производства средств защиты информации и обработки персональных данных.
Статья 20 определяет основные цели защиты информации. В соответствии с этой статьей таковыми, в частности, являются: предотвращение утечки, хищения, утраты, искажения и подделки информации; предотвращение угроз безопасности личности, общества и государства; предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации; защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных сведений; сохранение государственной тайны и конфиденциальности информации.
Пункт 3 статьи 21 возлагает контроль за соблюдением требований к защите информации, за эксплуатацией специальных средств защиты информации, а также обеспечение организационных мер защиты информационных систем, обрабатывающих информацию с ограниченным доступом, в негосударственных структурах на органы государственной власти.
Очень важна статья 22, которая определяет права и обязанности субъектов в области защиты информации. В частности, пункты 2 и 5 обязывают владельца информационной системы обеспечивать необходимый уровень защиты конфиденциальной информации и оповещать собственников информационных ресурсов о фактах нарушения режима защиты информации. Пунктом 3 данной статьи устанавливается, что риск, связанный с использованием несертифицированных информационных систем и средств их обеспечения и защиты, возлагается на собственника (владельца) систем и средств. Риск, связанный с использованием информации, полученной из таких систем, относится на потребителя информации. Пункт 4 закрепляет право собственника документов или информационной системы обращаться в организации, осуществляющие сертификацию средств защиты таких систем, для проведения анализа достаточности мер защиты его ресурсов и систем и получения консультаций.
Статья 23 Закона "Об информации, информатизации и защите информации" посвящена защите прав субъектов в сфере информационных процессов и информатизации. Статья устанавливает, что защита прав субъектов в данной сфере осуществляется судом, арбитражным судом и третейскими судами, которые могут создаваться на постоянной или временной основе.
Подписанный 3 апреля 1995 года Указ Президента Российской Федерации N 334 "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" [7] запрещает любую деятельность, связанную с разработкой, производством, реализацией и эксплуатацией шифровальных средств, предоставлением услуг в области шифрования информации, без лицензии ФАПСИ.
Указом устанавливается запрет на:
- использование государственными организациями и предприятиями в информационно-телекоммуникационных системах шифровальных средств, включая криптографические средства обеспечения подлинности информации (электронная подпись), и защищенных технических средств хранения, обработки и передачи информации, не имеющих сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации;
- размещение государственных заказов на предприятиях, в организациях, использующих указанные технические и шифровальные средства, не имеющие сертификата Федерального агентства правительственной связи и информации при Президенте Российской Федерации.
В качестве рекомендательного характера Указ предлагает Центральному банку Российской Федерации и ФАПСИ принять необходимые меры в отношении коммерческих банков, уклоняющихся от обязательного использования, имеющих сертификат ФАПСИ защищенных технических средств хранения, обработки и передачи информации при их информационном взаимодействии с подразделениями Центрального банка.
Таким образом, обязательность сертификации распространяется теперь не только на средства защиты информации, содержащей сведения, составляющие государственную тайну, но и на средства защиты любой государственно значимой информации независимо от грифа ее секретности. В отношении средств защиты информации, не содержащейся государственную тайну, сертификация осуществляется в общем режиме.
ФАПСИ Приказом от 23 сентября 1999 года № 158 утвердило Положение "О порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну" (Положение ПКЗ-99) [8].
Согласно данному Положению, при принятии решения о необходимости криптографической защиты, подлежащей в соответствии с действующим законодательством обязательной защите конфиденциальной информации требования Положения являются обязательными для:
- государственных органов и государственных организаций;
- юридических лиц и индивидуальных предпринимателей, осуществляющих виды деятельности, подлежащие в соответствии с законодательством Российской Федерации лицензированию ФАПСИ;
- негосударственных организаций и физических лиц при необходимости обмена конфиденциальной информацией с государственными органами, государственными организациями или другими организациями, выполняющими государственные оборонные заказы;
- других организаций независимо от их организационно-правовой формы и формы собственности при выполнении ими государственных оборонных заказов.
В отношении иных лиц данное Положение носит рекомендательный характер. Но для лиц, которым нормы Положения ПКЗ-99 обязательны реализация (распространение) средств криптозащиты осуществляется лицом на основании соответствующей лицензии ФАПСИ. Использовать средства криптозащиты могут лишь лица, имеющие лицензию ФАПСИ.
В настоящее время в области лицензирования действует Федеральный закон от 8 августа 2001 г. N 128-ФЗ "О лицензировании отдельных видов деятельности"[9]. В данный закон неоднократно вносились изменения.
В соответствии со статьей 17 требуется лицензии на осуществление следующих видов деятельности:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации;
- разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;
- деятельность по разработке и(или) производству средств защиты конфиденциальной информации;
- деятельность по технической защите конфиденциальной информации.
Например, кредитные организации при предоставлении услуг дистанционного банковского обслуживания согласно данному Закону, должны иметь следующие виды лицензий:
- деятельность по распространению шифровальных (криптографических) средств;
- деятельность по техническому обслуживанию шифровальных (криптографических) средств;
- предоставление услуг в области шифрования информации.
До 02 июля 2005 года Закон "О лицензировании" предусматривал лицензирование деятельности по выдаче сертификатов электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием ЭЦП, и подтверждению подлинности ЭЦП. Но 02 июля 2005 года Федеральным законом "О внесении изменений в Федеральный закон "О лицензировании отдельных видов деятельности", Федеральный закон "О защите прав юридических лиц и индивидуальных предпринимателей при проведении государственного контроля (надзора)" и Кодекс Российской Федерации об административных правонарушениях" [10] данное требование о лицензировании деятельности удостоверяющих центров отменили.
В рамках реализации требований Закона № 128-ФЗ "О лицензировании отдельных видов деятельности" Правительство РФ приняло Постановление № 691 от 23 сентября 2002 года "Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами"[11].
Постановление № 691 регламентирует процедуру лицензирования следующих видов деятельности:
- по распространению шифровальных (криптографических) средств;
- по техническому обслуживанию шифровальных (криптографичеких) средств;
- по предоставлению услуг в области шифрования информации;
- по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем.
Процедуры лицензирования для всех видов деятельности приблизительно схожи. Для получения лицензии соискатель лицензии представляет в лицензирующий орган:
- заявление о выдаче лицензии;
- нотариально заверенные копии учредительных документов и свидетельства о государственной регистрации соискателя лицензий;
- копию свидетельства о постановке соискателя лицензии на учет в налоговом органе, заверенную подписью руководителя и основной печатью соискателя лицензии;
- документ, подтверждающий внесение соискателем лицензии платы за рассмотрение лицензирующим органом заявления соискателя лицензии.
После получения заявления лицензирующий орган осуществляет проверку соискателя требованиям законодательства, защищенности мест хранения шифровальных средств, также проверяется, какие шифровальные средства применяются. Соискатель лицензии обязан предоставить проверяющим беспрепятственный доступ к необходимой документации, связанной с лицензируемой деятельностью, объектам, на которых или с помощью которых будет осуществляться лицензируемая деятельность, документации на эти объекты, обеспечить условия проведения проверки. После проведения проверки принимается решение о предоставлении лицензии. Срок действия лицензии составляет 5 лет.
Принятие 10 января 2002 года Федерального Закона № 1-ФЗ "Об Электронной цифровой подписи" [12] не только не разрешило спорную ситуацию, но и создало новые противоречия. Согласно статье 2 Закона "Об ЭЦП" "правовое регулирование отношений в области использования электронной цифровой подписи осуществляется в соответствии с настоящим Федеральным законом, Гражданским кодексом Российской Федерации, Федеральным законом "Об информации, информатизации и защите информации", Федеральным законом "О связи"..., а также осуществляется соглашением сторон". При анализе норм Закона "Об информации" ранее было определено, что средства защиты информации, в том числе и средства ЭЦП должны быть сертифицированными, и также должны быть получены лицензии на определенные виды деятельности, связанные с защитой и обработкой информации.
Закон "Об ЭЦП" все информационное пространство разделяет на две части:
- информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
- корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Данное разделение имеет важное значение для разрешение вопроса относительно лицензирования и сертификации использования средств ЭЦП. Использование средств ЭПЦ регулируется статьей 5 Закона "Об ЭЦП". Согласно пункту 2 данной статьи "при создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП". При этом возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств.
Следующий пункт регулирует отношения, связанные с использованием средств в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления. Закон четко закрепляет, что использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в данных системах не допускается.
Таким образом, можно сделать вывод, что Закон "Об ЭЦП" распространяет запрет использовать несертифицированные средства ЭЦП только на одну категорию корпоративных систем - федеральных органов государственной власти, органов государственной власти субъектов РФ и органов местного самоуправления. Именно исходя из данной позиции высказывается Н. Соловяненко[13]. Любые другие корпоративные информационные системы вправе использовать средства электронной подписи на основании решения владельца системы или соглашения участников системы. По соглашению сторон, участники корпоративной системы могут использовать и сертифицированные средства ЭЦП. Системы Банк-Клиент по смыслу Закона "Об ЭЦП" является корпоративной системой.
Однако при анализе других норм Закона можно сделать вывод о том, что самая главная цель применения ЭЦП, а именно возможность признания ЭЦП равнозначной собственноручной подписи, достигается только при использовании сертифицированных средств ЭЦП.
Условия, при наличии которых электронная цифровая подпись признается равнозначной собственноручной подписи, закреплены в статье 4 Закона "Об ЭЦП". Согласно пункту 1 указанной статьи данными условиями являются:
- сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность электронной цифровой подписи в электронном документе;
- электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Именно при одновременном наличии данных трех условий ЭЦП будет признаваться равнозначной собственноручной подписи. При проверке действительности ЭЦП необходимо иметь в наличии сертификат ключа подписи и положительное подтверждение подлинности ЭЦП.
Законодательное определение процедуры подтверждения подлинности ЭЦП имеется в статье 3 Закона "Об ЭЦП". В соответствии с данной статьей подтверждением подлинности электронной цифровой подписи в электронном документе признается "положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе". То есть для подтверждения подлинности ЭЦП по смыслу Закона "Об ЭЦП" необходимо использование именно сертифицированного средства ЭЦП.
Сертификат представляет собой документ, выдаваемый удостоверяющим центром участнику информационной системы для подтверждения подлинности ЭЦП и идентификации владельца сертификата ключа подписи. Таким образом, Закон "Об ЭЦП" в качестве участника электронного документооборота вводит дополнительно еще одного субъекта - Удостоверяющий центр.
Как уже было упомянуто выше, Федеральным законом № 80-ФЗ от 02.07.05 было исключено обязательное требование о лицензировании деятельности удостоверяющих центров. Однако требование пункта 2 статьи 8 Закона "Об ЭЦП", согласно которому подлежит лицензированию деятельность удостоверяющего центра в соответствии с законодательством о лицензировании, сохраняет силу и в настоящий момент.
Необходимо отметить, что в настоящее время Указом Президента РФ от 11 марта 2003 г. N 308 [14] Федеральное агентство правительственной связи и информации при Президенте РФ упразднено с передачей функций по лицензированию Федеральной службе безопасности РФ. В связи с этим Федеральным законом от 30 июня 2003 года № 86-ФЗ "О внесении изменений и дополнений в некоторые законодательные акты Российской Федерации, признании утратившими силу отдельных законодательных актов Российской Федерации, предоставлении отдельных гарантий сотрудникам органов внутренних дел, органов по контролю за оборотом наркотических средств и психотропных веществ и упраздняемых федеральных органов налоговой полиции в связи с осуществлением мер по совершенствованию государственного управления" [15] были внесены изменения в Федеральный закон от 3 апреля 1995 г. № 40-ФЗ "О федеральной службе безопасности" [16].
Отсутствие четкого правого регулирования вопроса лицензирования деятельности по использованию ЭЦП создает дополнительные препятствия для субъектов гражданско-правовых отношений при использовании криптографических средств шифрования информации в сфере предпринимательства. ЭЦП, обладаю обширными преимуществами, такими как: экономия времени при документообороте, снижение документооборота и издержек, на практике зачастую создает трудности для участников предпринимательских отношений.
Ликвидация пробелом и противоречий в законодательстве, и в первую очередь в Законах "О лицензировании" и "Об ЭЦП", позволит расширить круг лиц, использующих в своей деятельности ЭЦП. Предоставив больше свободы в области лицензирования деятельности по использованию средств ЭЦП и сертификации средств криптозащиты, государстве тем самым создаст более благоприятные условия для развития рыночных отношений, как это происходит во многих западных странах с развитой капиталистической экономикой.
В Директиве ЕС об ЭЦП используется несколько иной подход: вместо требования использовать только "сертифицированные" средства ЭЦП предлагается система создания "квалифицированных" сертификатов, установлена "добровольная аккредитация" для тех, кто осуществляет такую сертификацию. При этом участникам электронного документооборота предоставляется возможность выбора между "квалифицированными" и "неквалифицированными" средствами ЭЦП на том основании, что уровень доверия, защиты и качества, требуемый от используемых средств ЭЦП и удостоверяющего центра, должен в значительной степени зависеть от того, что нужно заключающим сделку сторонам [17].
Согласно Закону штата Юта от 9 марта 1995 года "О цифровой подписи" [18] лицензированию подлежит лишь деятельность "сертифицируемых органов", по российскому закону этим органом является удостоверяющий центр.
Аналогом удостоверяющего центра в Республике Эстония является Поставщик сертификационных услуг, которое является лицом или учреждением, выдающим сертификат и несущее ответственность за точность и содержание в нем данных (статья 9 Закона Эстонии "О цифровых подписях"). В отличие от России в Эстонии законодательно устанавливаются определенные требования к поставщикам сертификационных услуг и их обязанности. Поставщиками сертификационных услуг в Эстонии могут быть только следующие лица и учреждения:
1. акционерные общества;
2. закрытые акционерные общества, чей акционерных капитал превышает 400 000 крон;
3. публично-правовые юридические лица, если этой предусмотрено законом, касающимся публично-правовых лиц;
4. государственные учреждения, определенные Правительством Республики.
При этом государственные учреждения, определенные Правительством, могут в качестве поставщика сертификационных услуг выдавать сертификаты только для использования в публично-правовых отношениях.
Перед началом деятельности по оказанию сертификационных услуг лица и учреждения должны быть включены в государственный реестр по сертификации в качестве поставщиков сертификационных услуг и зарегистрированы в соответствующем реестре Эстонии.
На основании вышеизложенного предлагается:
исключить из абзаца 10 статьи 3 Закона "Об ЭЦП", который определяет понятие "подтверждение подлинности электронной цифровой подписи в электронном документе", слово "сертифицированным";
исключить пункт 2 статьи 8 Закона "Об ЭЦП".
[1] Постановление ВС СССР от 28 мая 1991 г. N 2195-1 "О видах деятельности, которыми предприятия вправе заниматься только на основании специальных разрешений (лицензий)". Текст постановления опубликован в Ведомостях Съезда народных депутатов СССР и Верховного Совета СССР от 5 июня 1991 г., N 23, ст. 661.
[2] "Российская газета", N 66 от 07 апреля 1993 г.
[3] "Российская газета", N 120, от 25 июня 1993 г.
[4] "Российская газета", N 5, 15 января 2003 г.
[5] О.А. Беззубцев, А.Н. Ковалев. О лицензировании и сертификации в области защиты информации.
[6] "Российская газета", N 39, 22.02.1995.
[7] "Российская газета", N 68, 06 апреля 1995 г.
[8] "Российская газета", N 18, 26 января 2000 г.
[9] "Российская газета", N 153-154, 10 августа 2001 г.
[10] "Российская газета" N 144, 06.07.2005.
[11] "Собрание законодательства РФ", от 30 сентября 2002, N 39, ст. 3792.
[12] "Российская газета", N 6, 12 января 2002 г.
[13] Соловяненко Н., Комментарий к Федеральному закону "ОБ ЭЦП", приложение к журналу "Хозяйство и право", №5, 2003 года.
[14] "Российская газета", N 55, 25 марта 2003 г.
[15] Текст Федерального закона опубликован в "Российской газете" от 1 июля 2003 г. N 126, в Собрании законодательства Российской Федерации от 7 июля 2003 г. N 27 (часть I) ст. 2700.
[16] Текст Федерального закона опубликован в Собрании законодательства Российской Федерации от 10 апреля 1995 г., N 15, ст. 1269, "Российской газете" от 12 апреля 1995 г.
[17] Леоньтьев К.Б., Комментарий к Федеральному закону "ОБ ЭЦП", изд-ва "Проспект", М.2003.
[18] Шамраев А.М., "Правовое регулирование информационных технологий (анализ проблем и основные документы)". - М.: "Статут", 2003.
Постоянный адрес этой страницы: www.russianlaw.net/law/edoc/esign/a187/?print=news_view.tpl