Многие из нас, работающие с документами слышали термины «электронный документ» и «электронная цифровая подпись». В этой статье я расскажу о значении этой технологии, когда и как ее можно и нужно использовать, ее плюсы и минус.

Кубанычбек Закенаев, специалист по информационной безопасности «Инфо-Система»

Электронная цифровая подпись (ЭЦП) заменяет собственноручную подпись уполномоченного лица и печать, т.к. имеет такую же юридическую силу, что и бумажный документ. С ее помощью можно проверить, был ли модифицирован документ после подписания, и является ли пописывающее лицо уполномоченным лицом.

Электронную цифровую подпись применяют во многих странах мира, даже в тех, в которых не бывает электронного правительства для автоматизации государственных органов. Однако это сводится к частным применениям. Наиболее систематически ее применяют в России, США, Корее, Китае, Эстонии. Всего около 20-30 стран применяют ЭЦП регулярно. Это сильно связано с тем, что государство переходит полностью на электронный документооборот.

По своему существу, она представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в нем. ЭЦП позволяет удостоверить, что мы ознакомились с электронным документа и защищает его содержимое от подмены.

В существующих государственных информационных системах Кыргызстана применяются, в основном, элементы киберзащиты в виде «простой электронной подписи»: пароля, пин-кода и т.п. Применение электронной цифровой подписи находится на начальном этапе.

Необходимо отметить, что термин «электронная цифровая подпись» с точки зрения современного международного законодательства устарел. Он уже не используется в новом российском законе «Об электронной подписи». В США и ЕС в основном используют отдельные термины «электронная подпись» (Electronic Signature), «цифровая подпись» (Digital Signature) и относительно недавно стали использовать еще термин - «биометрическая подпись» (Biometric Signature).

К сожалению, закон КР «Об электронном документе и электронной цифровой подписи» не учитывает современные реалии и международные подходы к электронным подписям и нуждается в скорейшем пересмотре на фоне продвижения проекта «Электронного правительства».

Думаю, для читателей не будет новостью, у нас исторически сложилось, что Кыргызстану приходиться постоянно догонять Россию как в части законов, технологий, так и в части правильного понимания новых стандартов и терминов. Действующий кыргызский закон «Об электронном документе и электронной цифровой подписи» основан на устаревшем законе России «Об электронно-цифровой подписи» (№ 1-ФЗ, 2001г.) и соответственно вобрал в себя как новшества, так и его недостатки.

Регулирование ЭЦП в Европе и США

Концептуальное изложение основ электронной подписи приводятся в документах международных организаций, таких как:
- Директивы Европейского Парламента и Совета Евросоюза 1999/93/EC от 13 декабря 1999 года о правовых основах Европейского Сообщества для использования электронных подписей (далее – «Директива об ЭП»);
- Типового закона ЮНСИТРАЛ об электронных подписях 2001 года (ТЗЭП);
- Типового закона ЮНСИТРАЛ об электронной торговле и Руководства по принятию 1996 года (ТЗЭТ) – извлечения, касающиеся понятий «сообщение данных», «письменная форма», «подпись», «подлинник».

Изложенные в ТЗЭП основные принципы и положения были изначально заложены в законодательстве в отношении электронной подписи в США, ЕС и только в 2011 были предусмотрены в новом законе РФ «Об электронной подписи» (№63-ФЗ).

Правовое регулирование электронной подписи в ЕС предусмотрено в Директиве Европейского Парламента и Совета Евросоюза. В документах Европейского комитета по стандартизации указаны три типа подписи:
- Электронная подпись (Electronic Signature) - данные в электронной форме, которые присоединены к или логически связанные с другими электронными данными, и служащие в качестве способа аутентификации
- Улучшенная электронная подпись (Advanced Electronic Signature) - электронная подпись которая отвечает следующим требованиям:
(а) она однозначно связана с Подписантом;
(б) она может идентифицировать Подписанта;
(в) создается с использованием средств, которые Подписант может держать под своим единоличным контролем;
(г) она связана с данными, к которым она относится таким образом, что любое последующее изменение данных должно быть обнаружено.
- Квалифицированная электронная подпись (Qualified Electronic Signature) - улучшенная электронная подпись основанная на квалифицированном сертификате и созданные с помощью защищенного устройства:
(a) удовлетворяет требованиям законодательством об электронной подписи, подписанные данные в электронной форме имеют такую ​​же юридическую силу, что и данные на бумажном носителе имеющие собственноручную подпись.
(б) может использоваться в качестве доказательств в ходе судебных разбирательств.

Наиболее либеральный подход правового регулирования электронных подписей имеют США. В законе США «Об электронных подписях», термин «электронная подпись» обозначает электронный звук, символ, или процесс, присоединенный или логически соединенный с контрактом или иным документом (записью), и производимый или принимаемый лицом с целью подписания документа (записи)». Т.е в США электронной подписью может быть все что угодно – код Морзе, факсимильная передача документа, введение пин-кода, пароля, процесс подтверждения по SMS, цифровая последовательность символов полученная в результате криптографического преобразования исходной информации и т.д. Но есть один важный момент, данный процесс обмена электронной подписью должен быть предварительно согласован и принят обеими сторонами.

Российский опыт

Cпоры и критика в адрес старого закона России «Об электронно-цифровой подписи» (№ 1-ФЗ) были вызваны из-за излишней его жесткости и отсутствия гибкости. Излишние нормы предъявляли слишком серьезные требования к ЭЦП, что сильно ограничивало возможности по применению электронных документов. В нем допускалось применение единственной технологии сертифицированных ФСБ и Федеральной службой по техническому и экспортному контролю. Кроме того, удостоверяющие центры также подлежали обязательному лицензированию и должны были быть выстроены в единую иерархическую структуру.

Также имелись нестыковки в части лицензирования удостоверяющих центров из-за противоречий с принятым позже законом РФ «О лицензировании отдельных видов деятельности».

Изучив сложившуюся проблематику ЭЦП и следуя европейским принципам «технологической независимости», Россия упростила процедуру ее использования, и в 2011 году был принят новый Закон «Об электронной подписи». Он очень схож с Европейской Директивой об основах использования электронных подписей.

Примечательно, что в новом законе России уже отсутствует привычный старый термин – «ЭЦП», он заменен на термин «электронная подпись» и разделен на три категории – «простая электронная подпись» (использование обычного логина и пароля, логическая последовательность как SMS подтверждение и т.п.), «усиленная электронная подпись» (использование несертифицированных криптографических подписей и т.п.) и «квалифицированная электронная подпись» (использование сертифицированных криптографических подписей).

В принятом сейчас законе от удостоверяющих центрах не требуется лицензирования - они могут пройти аккредитацию и то на добровольной основе. Аккредитацией теперь будет заниматься назначенный правительством уполномоченный орган - Министерство связи и массовых коммуникаций РФ. Он же организует работу корневого центра.

ЭЦП в Кыргызстане

История возникновения ЭЦП в Кыргызской Республике связана с первыми дискуссиями об электронном правительстве, имевшими место еще в 2001 году. Принятый в 2004 году Закон «Об электронном документе и электронной цифровой подписи» дал правовую основу для их использования и предпосылки для создания национального центра по выпуску ЭЦП в республике. В целях реализации закона в 2007 году было создано Госпредприятие «Инфоком» при Госагентстве информационных ресурсов и технологий. Госпредприятие получило статус национального корневого удостоверяющего центра (КУЦ), был внедрен программный комплекс КУЦ на базе российской компании «КРИПТО-ПРО».

До 2010 г. «Инфоком» старалось не допускать выхода на рынок страны новых конкурентов по выпуску ЭЦП, но в июле 2010 частной компании "Дос Тек Групп" удалось получить у «Инфоком» цифровой сертификат Подчиненного удостоверяющего центра (ПУЦ) сроком на 7 лет. Стоит отметить, что "Дос Тек Групп" построил собственную информационную систему, используя программный продукт - «VipNet», российского производителя «Инфотекс».

У ЭЦП есть сроки годности, поэтому пользователь обязан производить плановую замену криптографических ключей не реже одного раза в 12 месяцев. Каждый раз оплата вносится заново. Данные правила регулируются специальными регламентами. Сами же регламенты регулируются законами КР «Об информатизации», «Об электронном документе и электронной цифровой подписи».

Сравнительный анализ стоимости ЭЦП, предлагаемых отечественными удостоверяющими центрами, показывает широкий разброс цен. "Дос Тек" предлагает минимальную стоимость, а "Инфоком" в 4 раза больше.

Что дает использование ЭЦП обычным гражданину или бизнесмену? Обычно это уплата налогов и государственных пошлин через интернет, также это могут быть, в случаях взаимодействия двух коммерческих организаций, расчеты через электронный документооборот.

Если в ближайшем будущем в правительстве будет внедрен электронный документооборот, тут отныне обмен официальными письмами и документами будет осуществляться в электронном формате. Не надо бедному секретарю по нескольку раз заносить текст на исправление начальнику на бумажном листе, достаточно делать это через е-мейл. Не надо начальнику ждать секретаря, и ставить на письмо печать и подпись, это можно сделать электронно. Электронное письмо сложно потерять, сервера хранят его копии в "облачных" сервисах. Приходит конец и бесконечно долгим ящикам и огромным папкам документации. На каком-то уровне бюрократия становится электронной, а значит минимальной.

По предварительным прогнозам, электронный документооборот сэкономит от 1,5 до 5 миллиардов сомов в год на канцелярские расходы и бензин. Но гораздо важнее, что ЭЦП увеличит быстродействие в государственных органах и снизит число бюрократических моментов в частном секторе. Можно целый год не видеть налогового инспектора, переписываясь с ним по интернету и сдавая налоговые декларации с ЭЦП. Возможно, даже не понадобится офиса для работы, то есть вся бумажная работа может стать виртуальной. При этом будут выполняться все требования закона.