 |
Закон РФ «Об электронной цифровой подписи»
|
|
|
|
Рассмотренные до сих пор модели организации инфраструктуры открытых ключей (ИОК), в том числе на основе применения метода сертификации открытых ключей, описывают техническую сторону процесса управления ключами. На практике существенное значение имеют правовые вопросы регулирования деятельности, связанной с управлением ключами в сложных информационных системах, таких как виртуальные частные сети.
В Российской Федерации основным документом, регулирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием УЦ, является Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». В связи с его важностью для построения информационной инфрастуктуры государства рассмотрим его более подробно (в дополнение к главе 2 «Нормативно-правовое обеспечение информационной безопасности в РФ»).
Целью этого закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной (традиционной) подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.
Закон выделяет два вида информационных систем, в которых может иметь место деятельность, связанная с поддержанием ИОК: информационные системы общего пользования и корпоративные информационные системы. Под информационной системой общего пользования понимается «информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано». Корпоративная информационная система, согласно определению, данному в законе, – это «информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы».
|
|
|
Закон определяет условия использования ЭЦП, давая юридическую трактовку понятий и условий, возникающих при использовании ИОК. Так, ЭЦП признается равнозначной собственноручной подписи при соблюдении следующих трех условий:
- сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
- подтверждена подлинность ЭЦП в электронном документе;
- ЭЦП используется в соответствии со сведениями, указанными
- в сертификате ключа подписи.
Обязательным условием использования средств ЭЦП в информационных системах общего пользования в Российской Федерации является применение только сертифицированных средств ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Согласно закону, использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
Закон определяет состав информации, которая в обязательном порядке должна заноситься в сертификат открытого ключа. Это уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре УЦ, фамилия, имя и отчество владельца сертификата ключа подписи или его псевдоним, открытый ключ электронной цифровой подписи, наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи, наименование и место нахождения УЦ, выдавшего сертификат ключа подписи, сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Определяются также порядок проверки сертификата, при котором он признается действительным, сроки архивного хранения сертификатов ключей подписи с целью разрешения возможных конфликтных ситуаций, связанных с принадлежностью ЭЦП.
|
|
|
В законе «Об электронной цифровой подписи» также изложены правовые основы деятельности УЦ. Так, определяется статус УЦ. УЦ, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные законом «Об электронной цифровой подписи». При этом:
- УЦ должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.
- Статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.
Деятельность УЦ подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.
В законе «Об электронной цифровой подписи» детально изложены права и обязанности УЦ, порядок выдачи им сертификатов ключей подписи, отношения между УЦ и уполномоченными федеральными органами исполнительной власти РФ, обязательства УЦ по отношению к владельцу сертификата ключа подписи, обязательства владельца сертификата ключа подписи. Описаны порядок приостановления действия и аннулирования ключа цифровой подписи. Определяется возможность и описывается порядок прекращения действия УЦ на территории Российской Федерации.
|
|
|
Особая часть закона посвящена особенностям использования ЭЦП в Российской Федерации. Отдельные статьи закона посвящены использованию ЭЦП в сфере государственного управления, в корпоративных информационных системах, вопросам признания иностранных сертификатов ключей ЭЦП, а также случаям, когда ЭЦП может замещать собственноручные подписи на документах, заверенных печатями организаций.
Следует помнить о различиях между нормативно-техническими документами международных организаций и законодательными актами. Закон «Об электронной цифровой подписи» регулирует правоотношения, возникающие при создании и деятельности УЦ только в целях обеспечения возможности использования ЭЦП и организации электронного документооборота. Нормативные технические модели международных организаций, с одной стороны, не ограничивают возможности использования УЦ для той или иной конкретной цели (наряду с открытыми ключами ЭЦП УЦ мог бы заверять и любые другие ключи, необходимые для использования в защищенных коммуникационных протоколах любого уровня, не ограничиваясь только задачами электронного документооборота), но с другой стороны, не могут давать никаких юридических гарантий использования таких УЦ. В отличие от них закон формулирует правовые основы деятельности УЦ в Российской Федерации, но только в части, связанной с использованием ЭЦП в электронных документах.
Контрольные вопросы
- Что понимается под термином управление криптографическими ключами? Какова основная цель и основные задачи управления ключами?
- В чем, на Ваш взгляд, отличие жизненного цикла секретных и открытых криптографических ключей?
- Каковы перспективы практического применения концепции инфраструктуры открытых ключей?
- Изложите в общих чертах существо сертификации открытых ключей.
|
|
|
- Каким образом распространяются открытых ключей в криптосистемах?
- Укажите преимущества симметричных криптосистем, определившие их как национальные стандарты государств.
- Что такое удостоверяющий центр?
- Для чего применяются хэш-функции?
- Какие классы преобразования распространены в симметричных системах?
- Для чего необходима электронная цифровая подпись?
Заключение
В заключении рассмотрения проблематики информационной безопасности необходимо отметить, что в настоящий исторический момент это одна из самых развивающихся естественных наук.
В учебнике изложены наиболее распространенные в настоящее время подходы, методы и технологии защиты информации. Выбор данных решений для конкретных информационных систем должен быть основан на более глубоком анализе слабых и сильных сторон тех или иных методов защиты, который, очевидно, должны провести технические специалисты. Однако, роль руководителя подразделения, организации, предприятия всегда была и будет ключевой в формировании общей политики безопасности. Постановка задачи по принципу: «Сделайте так, что бы все было хорошо», - просто неуместна сегодня, в эпоху развитых информационных технологий. Поэтому каждый «непрофильный» специалист в области информационной безопасности должен правильно оценивать остроту проблемы защиты компьютерных коммуникаций, понимать сложность, содержание и цену тех или иных решений. Это становится особенно важным, когда наступает время самостоятельного принятия решения, в том числе и по информационной безопасности. Другими словами, изучение курса «Информационная безопасность и применение информационных технологий в борьбе с преступностью» является закономерным шагом в эволюции любых профессиональных знаний и их совершенствовании. Следите за развитием информационных технологий защиты и широко используйте их сегодня.
|
|
|
