Рассмотрим подробнее федеральный закон об электронной подписи, для чего его приняли, а также ключевые положения.

Зачем нужен ФЗ об электронной цифровой подписи

Когда дело касается обычных бумажных документов, то, чтобы идентифицировать личность человека, а также заверить достоверность сведений, которые указаны в них, ставится уникальная рукописная подпись.

Но что делать, если документ электронный? Внедрение электронного документооборота практически во все сферы деятельности сделало необходимым наличие цифрового аналога привычной росписи. Для этого создана электронная подпись (ЭЦП). Но чтобы она оказалась уникальной, а использование ее — безопасным, требуется законодательное регулирование.

Взамен ранее действовавшего ФЗ № 1-ФЗ от 10.01.2002 «Об электронной цифровой подписи» принят Федеральный закон 63-ФЗ «Об электронной подписи»(далее — ЭП) от 06.04.2011, поскольку определение ЭЦП перестало соответствовать современной терминологии. Термин, введенный в 2002 году 1-ФЗ об ЭЦП, утратил силу. Выражение «63 федеральный закон об электронной цифровой подписи» становится некорректным.

63-ФЗ принят в целях регулирования отношений в следующих областях:

  • совершение гражданско-правовых сделок;
  • оказание государственных и муниципальных услуг;
  • исполнение государственных и муниципальных функций;
  • совершение иных юридически значимых действий.

Закон принят, чтобы обеспечить сохранение подлинности и достоверности электронных документов и информации, заверенных ЭП подписанта, при соблюдении требований, указанных в законе. Также обмен документами, которые подписаны электронно, позволяет одновременно решить проблему замедленного процесса документообмена в бумажном формате и утраты бумажного документа, потери его физических и информационных свойств с течением времени.

Федеральный закон № 63-ФЗ «Об электронной подписи»

Ключевые положения

Закон о цифровой подписи включает 20 статей, раскрывающих следующие нормы:

  • основные термины и определения;
  • принципы и правила использования;
  • виды, особенности использования;
  • процедура выдачи сертификата в удостоверяющем центре;
  • обязанности человека, который использует ЭП;
  • деятельность и обязанности Удостоверяющих центров, которые имеют право на выпуск.

Итак, определение «электронная подпись» закондает следующее: это информация в электронной форме, которая содержит уникальную последовательность символов (ключ) и присоединяется к цифровому документу, чтобы определить личность подписанта.

Функции по созданию и выдаче возложены на удостоверяющие центры, использующие в процессе своей деятельности специальные шифровальные, криптографические средства. Центры могут быть как государственными, так и иными юридическими лицами.

Виды ЭП

Ст. 5 указывает на три вида ЭП (правила определены Постановлением Правительства РФ от 25.06.2012 N 634):

  1. Простая.
  2. Неквалифицированная усиленная.
  3. Квалифицированная усиленная.

Простая генерируется с использованием кодов и паролей, и заверенный документ может быть приравнен к бумажному лишь по договоренности сторон.

Закон об электронной подписи 63-ФЗ

Постановлением Правительства РФ от 25.01.2013 № 33 утверждены правила ее использования при оказании государственных и муниципальных услуг.

Неквалифицированная усиленная создается в результате криптографического преобразования информации, по своей силе равна заверению документов печатью. Ее выдают неаккредитованые центры.

Квалифицированная усиленная обладает всеми свойствами неквалифицированной, но дополнительно имеет ключ проверки. Он указывается в сертификате, который выдается удостоверяющим центром, аккредитованным в Минкомсвязи. Для проверки достоверности используются средства, получившие подтверждение в соответствии федеральным требованиям, что говорит о большей защищенности подписи данного вида. Приказ ФСБ РФ от 27.12.2011 № 795 устанавливает форму квалифицированного сертификата ключа.

Работа с ЭП

В 63-ФЗ есть четкое описание и руководство к действию по получению, использованию и хранению цифровой подписи, а также ряд строгих запретов, в том числе: нельзя передавать неуполномоченным лицам, оставлять флеш-накопитель без присмотра, игнорировать правила хранения и защиты.

Также установлены требования к содержанию информации в сертификате ключа:

  • уникальный номер;
  • даты начала и окончания срока действия;
  • фамилия, имя и отчество — для физических лиц, наименование и место нахождения — для юридических лиц;
  • наименование используемого средства ЭП или стандарта, требованиям которых соответствует ключ;
  • наименование удостоверяющего центра;
  • иная информация (ИНН, СНИЛС и др. при квалифицированной ЭП).

Грядущие изменения 63-ФЗ

Подготовлена новая редакция 63-ФЗ № 13 от 23.06.2016, вступающая в силу с 31.12.2017.

В частности, она изменит полномочия федеральных органов исполнительной власти в сфере использования ЭП (к примеру, требования к форме квалифицированного сертификата должны согласовываться ФСБ с Минкомсвязью), расширяются функции удостоверяющих центров (помимо создания возложена функция по подтверждению владения заявителем ключа), ужесточаются условия их аккредитации.

26 Май 2011 13:25

В апреле текущего года (со дня опубликования в «Российской газете» — 08.04.2011) вступил в силу Федеральный закон от 06.04.2011 N 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи). Необходимость этого документа обусловлена тем, что положения действующего Федерального закона от 10.01.2002 N 1-ФЗ «Об электронной цифровой подписи» (далее — Закон об ЭЦП) не соответствуют современным принципам регулирования электронных подписей, действующим в европейских государствах. (Напомним, о некоторых нормах Закона об ЭЦП мы упоминали в статье «Электронно-цифровая подпись — реальность, продиктованная временем».) Так, на сегодняшний день законодательство допускает использование только одного вида электронной подписи (основана на технологии асимметричных ключей подписи), что делает необходимой иерархическую систему удостоверяющих центров. Кроме того, в сферу регулирования Закона об ЭЦП не включены отношения, которые не являются гражданско-правовыми сделками, не допускается электронная подпись юридических лиц. Закон об ЭЦП не согласован с иными законодательными актами РФ, в том числе о лицензировании отдельных видов деятельности и техническом регулировании.

Закон об электронной подписи устраняет эти недостатки.

Не вдаваясь в подробности Закона об электронной подписи, сделаем акцент лишь на некоторых его моментах.

К сведению. Закон об ЭЦП утратит силу с 01.07.2012 (ст. 20 Закона об электронной подписи).

Итак, в первую очередь хочется отметить, что новый нормативный акт — это важный шаг к безбумажному ведению дел (согласитесь, бумажная волокита занимает немало времени). Теперь наряду с традиционной подписью на бумаге всем юридическим и физическим лицам разрешается оформлять электронные подписи, предназначенные для использования в электронных документах.

К сведению. Ожидается, что принимать электронную подпись будет портал госуслуг. Через него юридические лица смогут подавать налоговые декларации, документы в ПФР, Росстат и прочие ведомства. (Для этих целей, помимо «личного кабинета» для физических лиц, будет существовать аналогичная функция для юридических лиц.) Данная услуга будет платной, ее цена будет зависеть от стоимости цифрового носителя.
Механизм действия электронных подписей начинает внедряться в Москве с мая, а с середины лета — еще в 80 регионах страны.

Кстати, об электронной подписи — в Законе об электронной подписи (ст. 2) дается определение этого понятия, которым закреплен основной признак, присущий всем видам электронной подписи, — возможность использования подписи для идентификации подписавшего информацию в электронной форме физического или юридического лица. (Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.)
При этом выделяются два вида электронной подписи (в зависимости от установленных Законом критериев) — простая (которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом) и усиленная (ст.

Закон об электронной подписи 63-ФЗ: разберем по пунктам

5 Закона об электронной подписи). Последняя, в свою очередь, подразделяется на неквалифицированную и квалифицированную.
Неквалифицированной электронной подписью является электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа подписи; позволяет определить лицо, подписавшее электронный документ; дает возможность обнаружить факт внесения изменений в электронный документ после его подписания; создается с использованием средств электронной подписи.
Электронные документы, подписанные простой или неквалифицированной электронной подписью, признаются равнозначными подписанным бумажным документам в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия (ч. 2 ст. 6 Закона об электронной подписи). Причем, если документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручно и заверенному печатью.
Теперь скажем несколько слов о квалифицированной электронной подписи — таковая соответствует всем признакам неквалифицированной электронной подписи. Кроме того, ключ ее проверки указан в квалифицированном сертификате, а для ее создания и проверки используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в силу настоящего Федерального закона.
Информация, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, когда законодательством установлена необходимость составления документа исключительно на бумажном носителе (ст.

6 Закона об электронной подписи). Для бизнеса введение такой подписи (с расширенной сферой применения) — большой плюс. Согласно Закону она будет без ограничений приниматься во всех информационных системах, тогда как раньше подпись выдавалась для каждой из них.

К сведению. Электронный документ, подписанный электронной цифровой подписью до даты признания утратившим силу Закона об ЭЦП, признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с Законом об электронной подписи (ст. 19 Закона об электронной подписи).

Отвечать за выдачу электронных подписей будут удостоверяющие центры (ст. 13 Закона об электронной подписи), работу которых регулируют уполномоченные федеральные органы. Именно удостоверяющие центры будут выдавать ключи подписи, ключи проверки подписи, а также сертификаты ключей проверки.
В соответствии с ч. 2 ст. 14 Закона об электронной подписи сертификат ключа проверки электронной подписи должен содержать следующую информацию:
— даты начала и окончания срока его действия (заметьте, в Законе не уточняется, каким именно будет этот срок);
— фамилию, имя и отчество (если имеется) — для физических лиц, наименование и место нахождения — для юридических лиц или иную информацию, позволяющую идентифицировать владельца сертификата ключа проверки электронной подписи;
— ключ проверки электронной подписи;
— наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
— наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи;
— иную информацию, предусмотренную ч. 2 ст. 17 Закона об электронной подписи (для квалифицированного сертификата).

К сведению. Сертификаты ключей подписей, выданные в соответствии с Законом об ЭЦП, признаются квалифицированными сертификатами в соответствии с Законом об электронной подписи (ст. 19 Закона об электронной подписи).

Кроме того, Закон об электронной подписи регулирует:
— проверку электронных подписей;
— оказание услуг удостоверяющих центров;
— аккредитацию удостоверяющих центров.
Остановимся чуть подробнее на требованиях к удостоверяющим центрам в целях их аккредитации: в числе таких требований — размер чистых активов удостоверяющего центра, наличие финансового обеспечения, использование средств электронной подписи и технических средств удостоверяющего центра, получивших подтверждение установленным требованиям, а также наличие в штате сотрудников, имеющих соответствующее образование и квалификацию. Удостоверяющий центр должен обеспечить соответствие этим требованиям в течение всего срока аккредитации (ст. ст. 15 и 16 Закона об электронной подписи).

К сведению. Правила аккредитации удостоверяющих центров устанавливаются федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий.

Законом об электронной подписи установлены права и обязанности участников отношений в области использования электронной подписи. В их число входят федеральный орган исполнительной власти, уполномоченный в сфере электронной подписи, удостоверяющий центр (юридическое лицо, структурное подразделение юридического лица или индивидуальный предприниматель, ведущие деятельность по созданию и выдаче сертификатов ключа подписи) и владелец сертификата ключа подписи (физическое или юридическое лицо, которому выдан сертификат ключа подписи).
Определен перечень информации, подлежащей хранению в удостоверяющем центре. Это в том числе все данные, позволяющие при необходимости осуществлять оперативно-разыскную деятельность.
Стоит также сказать, что принятие Закона об электронной подписи повлекло внесение соответствующих изменений в отдельные законодательные акты РФ. В этой связи был принят Федеральный закон от 06.04.2011 N 65-ФЗ.
Указанным нормативным актом вносятся изменения в Гражданский кодекс, Арбитражный процессуальный кодекс, Федеральный закон от 27.07.2006 N 149-ФЗ «Об информации, информационных технологиях и о защите информации» и иные законодательные акты.
В частности, установлено, что электронные документы, подписанные электронной подписью, рассматриваются в рамках регулируемых указанными Федеральными законами отношений наравне с документами на бумажном носителе, подписанными собственноручной подписью, с учетом правил о равнозначности электронных и бумажных документов, устанавливаемых Законом об электронной подписи. При этом сохраняются правила, установленные Кодексами применительно к факсимильному воспроизведению подписи на бумажном носителе с помощью средств механического или иного копирования.

Закон РФ «Об электронной цифровой подписи»

Рассмотренные до сих пор модели организации инфраструктуры открытых ключей (ИОК), в том числе на основе применения метода сертификации открытых ключей, описывают техническую сторону процесса управления ключами. На практике существенное значение имеют правовые вопросы регулирования деятельности, связанной с управлением ключами в сложных информационных системах, таких как виртуальные частные сети.

В Российской Федерации основным документом, регулирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием УЦ, является Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». В связи с его важностью для построения информационной инфрастуктуры государства рассмотрим его более подробно (в дополнение к главе 2 «Нормативно-правовое обеспечение информационной безопасности в РФ»).

Целью этого закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной (традиционной) подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

Закон выделяет два вида информационных систем, в которых может иметь место деятельность, связанная с поддержанием ИОК: информационные системы общего пользования и корпоративные информационные системы. Под информационной системой общего пользования понимается «информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано». Корпоративная информационная система, согласно определению, данному в законе, – это «информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы».

Закон определяет условия использования ЭЦП, давая юридическую трактовку понятий и условий, возникающих при использовании ИОК. Так, ЭЦП признается равнозначной собственноручной подписи при соблюдении следующих трех условий:

— сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

— подтверждена подлинность ЭЦП в электронном документе;

— ЭЦП используется в соответствии со сведениями, указанными

— в сертификате ключа подписи.

Обязательным условием использования средств ЭЦП в информационных системах общего пользования в Российской Федерации является применение только сертифицированных средств ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Согласно закону, использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Закон определяет состав информации, которая в обязательном порядке должна заноситься в сертификат открытого ключа. Это уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре УЦ, фамилия, имя и отчество владельца сертификата ключа подписи или его псевдоним, открытый ключ электронной цифровой подписи, наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи, наименование и место нахождения УЦ, выдавшего сертификат ключа подписи, сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Определяются также порядок проверки сертификата, при котором он признается действительным, сроки архивного хранения сертификатов ключей подписи с целью разрешения возможных конфликтных ситуаций, связанных с принадлежностью ЭЦП.

В законе «Об электронной цифровой подписи» также изложены правовые основы деятельности УЦ. Так, определяется статус УЦ.

Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи»

УЦ, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные законом «Об электронной цифровой подписи». При этом:

— УЦ должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

— Статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.

Деятельность УЦ подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.

В законе «Об электронной цифровой подписи» детально изложены права и обязанности УЦ, порядок выдачи им сертификатов ключей подписи, отношения между УЦ и уполномоченными федеральными органами исполнительной власти РФ, обязательства УЦ по отношению к владельцу сертификата ключа подписи, обязательства владельца сертификата ключа подписи. Описаны порядок приостановления действия и аннулирования ключа цифровой подписи. Определяется возможность и описывается порядок прекращения действия УЦ на территории Российской Федерации.

Особая часть закона посвящена особенностям использования ЭЦП в Российской Федерации. Отдельные статьи закона посвящены использованию ЭЦП в сфере государственного управления, в корпоративных информационных системах, вопросам признания иностранных сертификатов ключей ЭЦП, а также случаям, когда ЭЦП может замещать собственноручные подписи на документах, заверенных печатями организаций.

Следует помнить о различиях между нормативно-техническими документами международных организаций и законодательными актами. Закон «Об электронной цифровой подписи» регулирует правоотношения, возникающие при создании и деятельности УЦ только в целях обеспечения возможности использования ЭЦП и организации электронного документооборота. Нормативные технические модели международных организаций, с одной стороны, не ограничивают возможности использования УЦ для той или иной конкретной цели (наряду с открытыми ключами ЭЦП УЦ мог бы заверять и любые другие ключи, необходимые для использования в защищенных коммуникационных протоколах любого уровня, не ограничиваясь только задачами электронного документооборота), но с другой стороны, не могут давать никаких юридических гарантий использования таких УЦ. В отличие от них закон формулирует правовые основы деятельности УЦ в Российской Федерации, но только в части, связанной с использованием ЭЦП в электронных документах.

Контрольные вопросы

— Что понимается под термином управление криптографическими ключами? Какова основная цель и основные задачи управления ключами?

— В чем, на Ваш взгляд, отличие жизненного цикла секретных и открытых криптографических ключей?

— Каковы перспективы практического применения концепции инфраструктуры открытых ключей?

— Изложите в общих чертах существо сертификации открытых ключей.

— Каким образом распространяются открытых ключей в криптосистемах?

— Укажите преимущества симметричных криптосистем, определившие их как национальные стандарты государств.

— Что такое удостоверяющий центр?

— Для чего применяются хэш-функции?

— Какие классы преобразования распространены в симметричных системах?

— Для чего необходима электронная цифровая подпись?

Заключение

В заключении рассмотрения проблематики информационной безопасности необходимо отметить, что в настоящий исторический момент это одна из самых развивающихся естественных наук.

В учебнике изложены наиболее распространенные в настоящее время подходы, методы и технологии защиты информации. Выбор данных решений для конкретных информационных систем должен быть основан на более глубоком анализе слабых и сильных сторон тех или иных методов защиты, который, очевидно, должны провести технические специалисты. Однако, роль руководителя подразделения, организации, предприятия всегда была и будет ключевой в формировании общей политики безопасности. Постановка задачи по принципу: «Сделайте так, что бы все было хорошо», — просто неуместна сегодня, в эпоху развитых информационных технологий. Поэтому каждый «непрофильный» специалист в области информационной безопасности должен правильно оценивать остроту проблемы защиты компьютерных коммуникаций, понимать сложность, содержание и цену тех или иных решений. Это становится особенно важным, когда наступает время самостоятельного принятия решения, в том числе и по информационной безопасности. Другими словами, изучение курса «Информационная безопасность и применение информационных технологий в борьбе с преступностью» является закономерным шагом в эволюции любых профессиональных знаний и их совершенствовании. Следите за развитием информационных технологий защиты и широко используйте их сегодня.

ФЗ об электронной подписи

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *