Новый закон "Об электронной подписи". А что нового?

Автор: Юрий Маслов, коммерческий директор компании "КРИПТО-ПРО"
Источник: журнал "Современные технологии делопроизводства и документооборота"
Дата публикации: 06.2011

Мы используем электронную цифровую подпись в системах электронного документооборота. Принят новый Федеральный закон "Об электронной подписи". Что в нем появилось нового? Как его использовать? Что нужно менять в своей системе? Ответы читайте в статье.

Шестого апреля 2011 г. стремительно вступил в силу новый Федеральный закон № 63-ФЗ "Об электронной подписи". Таким образом, до 30 июня 2012 г. будут действовать два федеральных закона: "Об электронной подписи" и Федеральный закон от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи". При этом до 30 июня 2012 г. использующаяся электронная цифровая подпись является легитимной и признается эквивалентной квалифицированной электронной подписи.

Фактически нам дан один год с небольшим, чтобы привести применяемую электронную цифровую подпись в соответствие с нормами нового закона. Не будем в этой статье разбираться с традиционным вопросом "Кто виноват?", а постараемся ответить на не менее традиционный вопрос "Что делать?".

Виды электронной подписи

Сначала определимся с новеллами в новом законе. У нас появились три вида электронной подписи: простая, неквалифицированная и квалифицированная электронная подпись. Кратко дадим характеристики этих видов подписей.

Самая сложная в понимании и интерпретации – это простая электронная подпись. Простая электронная подпись имеет следующие основные характеристики:

• содержится в самом электронном документе;

• подтверждает факт формирования электронной подписи определенным лицом;

• сформирована с помощью конфиденциального ключа простой электронной подписи;

• используется в соответствии с правилами, установленными оператором информационной системы.

При этом простая электронная подпись фактически не используется для обнаружения факта внесения изменений в подписанный электронный документ. Как обеспечить применение простой электронной подписи – время покажет. Пока готовых рецептов нет, т. к. отсутствует практика ее применения.

Более привычна для нас неквалифицированная электронная подпись. Она имеет следующие основные характеристики:

• содержится в самом электронном документе или иным образом связана с документом;

• подтверждает факт формирования электронной подписи определенным лицом;

• сформирована с помощью криптографического средства электронной подписи и ключа электронной подписи;

• проверяется с помощью криптографического средства электронной подписи и ключа проверки электронной подписи;

• используется в соответствии с правилами, установленными оператором информационной системы.

Неквалифицированная электронная подпись в отличие от простой электронной подписи обеспечивает обнаружение факта изменения электронного документа. Важно отметить, что неквалифицированная электронная подпись может использоваться как с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, так и без него.

Требования по сертификации средств электронной подписи законом также не определяются. Это определяется оператором информационной системы. Если неквалифицированная электронная подпись используется с сертификатом ключа проверки электронной подписи, созданным удостоверяющим центром, то ее применение практически идентично современной электронной цифровой подписи, определенной Федеральным законом от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи".

Особняком стоит квалифицированная электронная подпись. По характеристикам она такая же, как неквалифицированная электронная подпись, но обязательно используется с сертификатом ключа проверки электронной подписи, созданным аккредитованным (доверенным, удовлетворяющим установленным требованиям) удостоверяющим центром, с помощью средства электронной подписи, также удовлетворяющего установленным требованиям. Но самое главное отличие квалифицированной электронной подписи от всех остальных видов электронной подписи – это то, что для ее применения не нужно превентивно (до начала ее использования) устанавливать никаких правил ее применения. То есть это подпись прямого действия. Подписал квалифицированной подписью электронный документ – все обязаны принимать этот электронный документ к исполнению или к сведению, наравне с документом в бумажной форме.

Нормативно-правовые акты по применению квалифицированной ЭП

Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (возможно, это будет Минкомсвязь России), должен разработать и утвердить нормативно-правовые акты, определяющие:

• порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра;

• порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров;

• правила аккредитации удостоверяющих центров;

• порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены настоящим Федеральным законом и на соответствие которым эти удостоверяющие центры были аккредитованы.

Федеральный орган исполнительной власти в области обеспечения безопасности (возможно, это будет ФСБ России) должен осуществлять подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, которые он должен разработать и утвердить, а именно:

• требования к форме квалифицированного сертификата;

• требования к средствам электронной подписи и средствам удостоверяющего центра.

Правительство РФ должно назначить уполномоченный федеральный орган в сфере использования электронной подписи, который будет осуществлять аккредитацию удостоверяющих центров, проводить проверки соблюдения аккредитованными удостоверяющими центрами установленных требований.

В настоящий момент указанные выше правила, порядки и требования отсутствуют. Сроков их появления объявлено не было.

Что изменится в информационных системах?

Ответ на вопрос "Что делать с существующими системами, в которых применяется электронная цифровая подпись?" зависит от того, в какой информационной системе применяется электронная цифровая подпись.

Если это информационная система органа исполнительной власти или органа местного самоуправления, то нужно дождаться решения Правительства РФ, которое должно определить виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования по обеспечению совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой. И исходя из положений решения Правительства РФ принимать решения по модернизации информационной системы органа исполнительной власти или органа местного самоуправления.

Операторы (или владельцы) остальных видов информационных систем должны сами определиться с видами электронных подписей, которые они будут применять в своей информационной системе, если иное (допустимый вид электронной подписи в отдельных информационных системах) не будет остановлено нормативно-правовыми актами (законами, постановлениями, ведомственными приказами).

Риски в применении различных видов электронной подписи

Попробуем грубо оценить риски, связанные с применением различных видов электронной подписи.

Максимальные риски связаны с применением простой электронной подписи. Это связано с тем, что оператор системы сам должен определить и как создавать простую подпись, и как ее проверять, и как обеспечить неотказуемость лица от факта подписания и т. д. Соответственно, возрастают и риски отказа от факта подписания электронного документа. Значит, возрастают и риски непринятия электронного документа в качестве доказательства по делу, а принятие документа в качестве доказательства и есть цель обеспечения юридической значимости электронной подписи.

Минимальные риски связаны с применением квалифицированной электронной подписи.

Применение квалифицированной электронной подписи строго регламентировано, все процедуры создания и проверки подписи и обеспечения неотказуемости определены соответствующими требованиями, установленными уполномоченными федеральными органами.

Важно знать! Вероятность принятия электронного документа, удостоверенного квалифицированной электронной подписью, в качестве доказательства по делу равна единице. Это прямая норма нового закона.

Между этими максимальными и минимальными оценками находятся риски, связанные с применением неквалифицированной электронной подписи. Риски уменьшаются при применении традиционной технологии электронной цифровой подписи (с сертификатами ключей подписей и удостоверяющими центрами и сертифицированными средствами электронной цифровой подписи). И риски увеличиваются при применении иных технологий. Это связано с наличием обширной деловой практики и обычаев делового оборота по применению традиционной ЭЦП. И с отсутствием такового при использовании иных технологий применения неквалифицированной электронной подписи.

Важно знать! Внедрять простую электронную подпись – значит все переделывать заново и заменять средства ЭЦП на средства простой электронной подписи. Это экономически нецелесообразно!

Даже если оператор (или владелец) информационной системы решит, что квалифицированная электронная подпись его более всего устраивает, то проводить мероприятия по переходу с применения электронной цифровой подписи на применение квалифицированной электронной подписи в настоящий момент не представляется возможным. Это связано с отсутствием на момент написания статьи установленных законом нормативно-правовых актов и невозможностью получения статуса аккредитованного удостоверяющего центра. После появления установленных законом нормативно-правовых актов нужно провести оценку затрат на их выполнение и на основании результатов анализа принимать решение по выбору вида электронной подписи.

Если оператор (или владелец) информационной системы посчитает, что неквалифицированная электронная подпись его более всего устраивает, то достаточно во всех регламентах (документации) своей информационной системы заменить понятие "электронная цифровая подпись" на "неквалифицированная электронная подпись".

Если оператор (или владелец) уже применяет ЭЦП, то ему нет смысла переходить на простую электронную подпись. Проще перейти на неквалифицированную или квалифицированную. Это связано с тем, что вся инфраструктура применения неквалифицированной или квалифицированной электронной подписи уже есть и унаследована от ЭЦП.

Резюмируя вышесказанное, предлагаю не торопиться, дождаться всех необходимых подзаконных актов, проанализировать технологии, предлагаемые для обеспечения применения простой и неквалифицированной электронной подписи, обобщить мнения экспертов и только потом претворять новый закон "Об электронной подписи" в жизнь.

Мнение эксперта

Владимир Горностаев, директор Центра компетенции по ЭДО и защиты информации компании "ИнтерТраст": Тема статьи актуальна и своевременна, но автором дана слишком общая и свободная интерпретация характеристик простой электронной подписи.

В соответствии со ст. 5 ФЗ "Об электронной подписи" простая электронная подпись посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Статья 9 определяет условие, при выполнении которого электронный документ считается подписанным простой электронной подписью. Иными словами, простая электронная подпись содержится в самом электронном документе, или:

• ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа;

• в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

В то же время в нормативном правовом акте и (или) соглашении между участниками электронного взаимодействия, которые устанавливают случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:

1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;

2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

Без внимания остались следующие изменения.

Вместо участника информационной системы введено понятие "Участники электронного взаимодействия" и определен конечный перечень – государственные органы, органы местного самоуправления, организации и граждане, которые осуществляют обмен информацией в электронной форме.

В статье 1 установлено, что регулируются отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий. С одной стороны, налицо конкретика, но с другой стороны – сужение сферы действия, хотя в ст. 3 и предполагается расширение сферы применения за счет принятия других федеральных законов и принимаемых в соответствии с ними нормативных правовых актов.

На первый взгляд есть некоторое послабление, например средства электронной подписи могут быть "любыми", но отвечающими требованиям, определенным в ст. 12. Но как подтвердить для средств электронной подписи, которые используются для создания неквалифицированной подписи, что они обеспечивают выполнение требований п. 1 ст. 12?

Список вопросов может быть продолжен, но надо согласиться с автором статьи: не торопиться, дождаться необходимых нормативных правовых актов, а возможно, и внесения изменений и дополнений в Федеральный закон "Об электронной подписи", а также заняться разработкой решений по реализации и внедрению нового федерального закона.

В заключение необходимо отметить, что ждать ответов и тем более решений всех вопросов в одной статье – нереально, но мнение эксперта по некоторым вопросам она фиксирует и станет катализатором для начала дискуссий и обсуждений.