Сейчас практически все используемые системы ЭЦП суть системы межкорпоративные (будь то системы типа «клиент — банк», системы межбанковских расчетов или системы электронного документооборота), и неотъемлемым условием юридической значимости ЭЦП в них является предварительное заключение бумажного соглашения о ее использовании. В то же время стремительная информатизация общества настоятельно требует оформления механизма более широкого, не обусловленного заранее применения этой технологии.
Такой механизм существует в мировой практике — это «технология ЭЦП с сертификатом» (не путать с так называемыми сертифицированными системами электронно-цифровой подписи). Указанная технология специфицирована Международным телекоммуникационным союзом в его рекомендации X.509 и в настоящее время реализуется в России несколькими компаниями, наиболее известными из которых являются «ЛАН Крипто» и «Сигнал-Ком». Суть ее состоит в том, что специальная организация, называемая сертификационным или регистрационным центром, заверяет своей подписью образцы подписей всех обратившихся к ней лиц. Проверка подписи происходит следующим образом: сначала устанавливается наличие заверенного сертификационным центром образца подписи лица, утверждающего, что проверяемая подпись сформирована им; затем заверенный образец сверяется с представленной на проверку подписью. Именно для того, чтобы придать технологии ЭЦП с сертификатом юридическую силу, и необходим закон «Об электронно-цифровой подписи».
В настоящее время активно обсуждаются два проекта данного закона. Первый — проект Министерства РФ по связи и информатизации, разработанный под руководством Г. Артамонова (заместителя директора Всероссийского НИИ проблем вычислительной техники и информатизации). Главная роль в группе разработчиков этого проекта принадлежит специалистам ФАПСИ, но, поскольку ФАПСИ не имеет права законодательной инициативы, проект официально считается созданным под эгидой Министерства связи. Второй законопроект подготовлен Институтом государства и права Российской академии наук в качестве модельного закона для стран СНГ и возможной альтернативы первому проекту.
В декабре 1999 г. — феврале 2000 г. прошло широкое обсуждение этих законопроектов на нескольких представительных мероприятиях (в частности, на двух конференциях Российской криптологической ассоциации и «круглом столе» Ассоциации российских банков), в которых приняли участие наиболее авторитетные отечественные профессионалы в данной области.
Функция закона — запрещать или разрешать?
Как отметили в ходе состоявшихся дискуссий специалисты, рассмотренные законопроекты не лишены недостатков, причем эти недостатки касаются не только чисто юридических аспектов. Оба проекта в более или менее завуалированной форме предусматривают функционирование некоего уполномоченного органа, осуществляющего лицензирование регистрационных центров (регистрационные центры — это организации или лица, занимающиеся выдачей, учетом и хранением сертификатов ЭЦП), а также лицензирование и сертификацию разработок криптографических средств. Во втором законопроекте предполагается еще и создание главного регистрационного центра (естественно, государственного), который будет выдавать сертификаты на подпись отдельных регистрационных центров.
Представляется, что эти схемы призваны помочь ФАПСИ и связанным с этой организацией коммерческим структурам монополизировать весьма перспективный рынок. Вот что сказал по этому поводу на «круглом столе» Ассоциации российских банков представитель Автобанка Е. Горячев: «Если уж речь идет о сертификации и лицензировании, то в законе должны быть описаны однозначно толкуемые требования к системам подписи и регистрационным центрам, а сама схема сертификации и лицензирования должна быть публичной и проверяемой». Представитель компании «Российские финансовые коммуникации» И. Митричев высказался еще более категорично: «Существующий порядок лицензирования и сертификации систем защиты информации ущербен, так как не предусматривает никакой ответственности выдавшего сертификат органа за возможный убыток, понесенный владельцем сертифицированного средства... Разумным представляется предусмотреть в законе альтернативные механизмы сертификации и лицензирования, а также сделать эту процедуру не принудительной, а добровольной».
А. Лебедев, президент компании "ЛАН Крипто" |
Президент компании «ЛАН Крипто» А. Лебедев на конференции «РусКрипто 2000» отметил, что формулировать законы в таком виде — «не только неразумно, но и вредно, так как объективно это приведет к вытеснению отечественных производителей с рынка, а в том, что освободившуюся нишу займут в таком случае американцы, сомневаться не приходится. Об этом говорит хотя бы тот факт, что сегодня на рынке можно легально приобрести системы подписи Microsoft, а сертификаты подписи получить у компании Verisign». Действительно, в мировой практике технологии электронной подписи с сертификатом уже активно развиваются, поэтому ограничивать их применение в России неразумно.
О чем, собственно, закон
По мнению канд. юр. наук Н. Соловяненко (сотрудница Института государства и права РАН, член совета директоров РКА и один из авторов модельного законопроекта), из проекта Министерства связи «необходимо изъять излишнюю технологичность, которая влечет за собой ущербность юридической части». Например, сделанная в министерском проекте попытка определить термин «электронный документ» представляется неудачной, поскольку для закона об ЭЦП этот термин не нужен (в законе речь должна идти не о том, что подписывается, а о том, как это происходит). В этом смысле в законе достаточно ограничиться термином «данные», который фигурирует в модельном законопроекте.
Некоторые специалисты считают, что вместо используемого в обоих законопроектах понятия «электронно-цифровая подпись» лучше ввести понятие «цифровая подпись». В частности, об этом на конференции «РусКрипто 1999» говорил В. Комиссаренко, представитель Государственного центра безопасности информации (ГЦБИ) Белоруссии (белорусский закон о цифровой подписи уже принят и действует). Добавочное определение «электронная» устанавливает жесткую привязку к подписыванию только электронных данных. Это ограничивает сферу применения подписи, в то время как уже появляются направления, в которых цифровая подпись используется для защиты других данных (например, петербургская компания «Комита» развивает с ее помощью технологию защиты акцизных марок).
В связи с этим Российской криптологической ассоциацией подготовлены и переданы разработчикам законопроектов предложения по изменению терминологии.
Экономика должна быть экономной
Н. Соловяненко затронула также вопрос об экономических последствиях принятия обсуждаемого закона. Она предложила ввести в закон раздел о финансовой ответственности регистрационных центров, а также разделы о риске и ущербе (в законопроекте Института государства и права это уже сделано). Предложение представляется разумным, однако его последствия могут оказаться достаточно сложными. С одной стороны, и за рубежом, и в России существуют примеры электронных трансакций, размеры которых гораздо больше, чем финансовые возможности любого потенциального центра регистрации, будь он частный или государственный, поэтому заранее ясно, что в определенных случаях компенсация ущерба просто нереальна. С другой стороны, огромный оборот подписываемых данных — личная переписка, верификация программного обеспечения и т. п. — существует вне коммерческого сектора и потому не требует возмещения ущерба. Регламент работы зарубежных регистрационных центров не предполагает материальной ответственности за возможный убыток, понесенный пользователем.
В этой связи логичным представляется предложение И. Митричева «предусмотреть в законе возможность страхования финансовых рисков, связанных с использованием цифровой подписи, а механизм страхования оговорить либо в отдельном законе, либо в дополнении к действующему закону». Представляется, что ответственность центра регистрации должна быть подобна той, что несет нотариус за заверку подписи.
Другой аспект данной проблемы затронул Е. Горячев: «Хотелось бы знать, оценивались ли разработчиками законопроекта затраты, связанные с переходом банков и других коммерческих структур от ныне действующей технологии к предлагаемой?». Как выяснилось в процессе обсуждения, подобные расходы не оценивались. Оценить затраты на смену технологий действительно сложно. Речь идет не только о замене одних средств ЭЦП другими (хотя одна эта задача с учетом огромного числа участников систем «Клиент — банк» достаточно трудна), но и о необходимости внесения изменений в Гражданский кодекс и Кодекс об административных правонарушениях, о потенциальной лавине судебных исков и т. д. В целом, в отношении данного аспекта обсуждавшихся законопроектов все участники оказались единодушны: законопроекты надо дорабатывать.
Наиболее категоричен был представитель Центрального банка РФ А. Курило, заявивший, что он «не видит острой необходимости в принятии вообще какого-либо закона об ЭЦП, так как в корпоративных системах все решено, а именно эти системы и интересуют как ЦБ, так и прочие банки». Мнение спорное, однако оно отражает позицию практически всех корпоративных клиентов российских банков, так как сегодня в мировой практике технология подписи с сертификатом используется в основном для приложений, не связанных напрямую с финансовыми операциями. Ожидается, что основными участниками рынка средств ЭЦП с сертификатом станут индивидуальные клиенты (для использования подписи в личной переписке), а также производители программных продуктов (для верификации продукции).
Такой закон нам не нужен. А какой нужен?
Польза от гласного обсуждения законопроектов очевидна — такие мероприятия позволяют высказать свое мнение не только лицам и организациям, лоббирующим закон, но и всем, кто в этом заинтересован. Суммируя все прозвучавшие соображения, можно подвести следующие итоги.
Закон «Об электронно-цифровой подписи», несомненно, нужен. В то же время нет такой острой необходимости в его срочном принятии, о которой говорят разработчики законопроектов.
Отсутствие закона пока никак не сказывается на основных сегодняшних потребителях систем ЭЦП — в межкорпоративных взаимоотношениях используются технологии как обычной подписи, так и сертифицированной ЭЦП. Для работы регистрационных центров вполне достаточно действующих нормативных актов. Принятие же «сырого» закона только ухудшит ситуацию и нанесет серьезный ущерб рынку информационных технологий и Интернет-бизнеса. В этом смысле лучше никакого закона, чем тот, который предлагается.
Обязательность лицензирования и получения государственных сертификатов на средства ЭЦП и деятельность регистрационных центров не является категорическим императивом, как это утверждает ФАПСИ, пытающееся с помощью закона монополизировать рынок средств и услуг, связанных с технологией цифровой подписи. В случае же введения системы лицензирования и сертификации она должна быть прозрачной и носить заявительный, а не разрешительный характер. Кроме того, необходимы альтернативные предлагаемой ФАПСИ системы сертификации, например, под эгидой Государственной технической комиссии при Президенте РФ и Госстандарта РФ (прецеденты принятия как общих, так и отраслевых стандартов на цифровую подпись уже есть).
Нецелесообразно возлагать на регистрационные центры финансовую ответственность в дополнение к той, что диктуется действующим законодательством. Более разумно предусмотреть механизм страхования рисков, связанных с использованием цифровой подписи.
Следует снизить насыщенность будущего закона технологическими терминами и определениями и, напротив, сделать акцент на описании взаимодействия (включая механизм разбора конфликтных ситуаций) всех субъектов и объектов, участвующих в системах ЭЦП с сертификатом.
Главный вывод — необходимо продолжить разработку закона и постоянно проводить обсуждение всеми заинтересованными лицами тех проблем, с которыми сталкиваются авторы этого принципиально важного документа. eee
Дополнительные материалы по обсуждению законопроектов можно найти по адресу: http://www.emoney.ru/bibl/low/eds/eds.osp
ОБ АВТОРЕ
Алексей Волчков — президент Российской криптологической ассоциации. E-mail: volchkov@mtk-mobile.ru.
Российская криптологическая ассоциация «РусКрипто Ассоциация»
24 декабря 1999 г. на первой Международной (с участием представителей Белоруссии) конференции «РусКрипто» было принято решение о создании Российской криптологической ассоциации (РКА) — организации, объединяющей всех, кто заинтересован в развитии гражданской криптографии в России и гармоничной интеграции страны в мировое информационное сообщество. Необходимость создания такой организации декларировали все участники конференции — исследователи и разработчики информационных технологий, преподаватели и специалисты по защите информации, юристы и просто пользователи, заинтересованные в свободном и безопасном обмене информацией.
За два месяца совет директоров РКА, избранный на первой конференции, провел большую организационную работу, и в феврале 2000 г. прошла вторая конференция «РусКрипто», одобрившая декларацию о создании РКА и устав этой организации.
Декларация о создании Российской криптологической ассоциации
Очевидно, что продолжающееся развитие информационных технологий необратимо меняет весь наш образ жизни, способы общения людей, методы ведения бизнеса, стиль работы. Буквально за несколько лет Интернет продемонстрировал всему миру, что несет с собой наступление информационной эры. В результате резко возрастает потребность всех членов общества в реализации права на свободный доступ к информации, одновременно при этом требуется неукоснительное соблюдение права на защиту частной жизни.
В таких условиях каждая отдельная личность делается все более и более зависимой от достоверности, защищенности и безопасности информации, циркулирующей в глобальных компьютерных сетях. Криптология, как наука о защите информации, становится важной составляющей современных информационных технологий.
Развитие гражданской криптологии в России является стратегически важной задачей. Для ее решения необходимо создать организацию, координирующую усилия разрозненных групп исследователей, разработчиков и потребителей криптологических решений с целью обеспечения баланса интересов личности, общества и государства. Поэтому мы учреждаем общественную организацию — Российскую криптологическую ассоциацию, основными задачами которой являются следующие.
- Поддержка перспективных теоретических исследований и прикладных разработок в области криптологии и смежных наук.
- Пропаганда и популяризация возможностей и последних достижений российской и зарубежной криптологии.
- Защита потребителя от некачественных криптологических решений в области информационных технологий.
- Защита отечественных интересов в процессе интеграции России в единое мировое информационное пространство.
Таким образом, Ассоциация ставит перед собой обширный круг задач, решение которых должно способствовать, с одной стороны, развитию в нашей стране гражданского общества, а с другой — формированию объективных предпосылок для присоединения России к общемировому киберпространству, при соблюдении как государственных интересов, так и интересов отдельных граждан. Сегодня в силу различных причин наблюдается серьезное отставание законодательной базы от информационно-технологических реалий. В связи с этим одним из важнейших направлений деятельности РКА является разработка юридического обеспечения развития информационной экономики в России, и именно поэтому Ассоциация активно включилась в процесс подготовки закона РФ «Об электронно-цифровой подписи».