Контакты
Подписка
МЕНЮ
Контакты
Подписка

Применение ЭЦП в Беларуси

Применение ЭЦП в Беларуси

В рубрику "Вестник СНГ" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Применение ЭЦП в Беларуси

Н.Д. Микулич
Н.Д. Микулич, начальник отдела
Государственного центра безопасности
информации при Президенте Республики Беларусь,
директор Ассоциации «РусКрипто»

Развитие и широкое применение информационных и коммуникационных технологий являются глобальной тенденцией мирового развития. Они имеют решающее значение для повышения конкурентоспособности экономики, расширения возможностей ее интеграции в мировую систему хозяйства, усиления эффективности государственного управления и местного самоуправления.

Жизнь диктует

Использование информационных систем стало жизненно необходимым для ведения многих дел. Электронная информация взяла на себя ту роль, которая раньше традиционно отводилась бумажным документам.

Однако при обработке электронных документов совершенно непригодны обычные способы установления подлинности по рукописной подписи и оттиску печати на бумажном документе.

Эти проблемы решает электронная цифровая подпись (ЭЦП). Она используется для установления подлинности авторства и целостности документов, передаваемых по телекоммуникационным каналам связи.

ЭЦП представляет собой небольшое количество дополнительной цифровой информации, выработанной программным (аппаратно-программным) средством ЭЦП с использованием личного (секретного) ключа пользователя и переданной вместе с подписываемой информацией. Проверка ЭЦП осуществляется также программным (аппаратно-программным) средством ЭЦП с использованием открытого ключа (ОК) пользователя.

В мировой практике законодательство об ЭЦП в большей степени регламентировало гражданско-правовые аспекты, делая это в интересах развития электронного бизнеса.

Однако сегодняшний день поставил новые задачи перед законодателями. Речь идет об особом правовом режиме ЭЦП в сфере публичного права и государственного управления. Кроме того, развитие электронного документооборота требует создания и регламентации деятельности государственной инфраструктуры сертификации ключей в виде удостоверяющих центров.

Сегодня электронный документооборот переходит в новое качество. Если всего несколько лет назад для урегулирования режима ЭЦП между его пользователями заключались предварительные соглашения о регламенте документооборота и процедурах разрешения конфликтов, происходил физический обмен ключами и сертификатами, то сегодня экономика требует осуществления юридически значимого электронного документооборота более оперативно — без каких-либо предварительных переговоров между сторонами. Это возможно только при наличии развитой национальной и международной инфраструктуры верификации ЭЦП.

ЭЦП: единства в мире нет

В 1996 году Комиссией ООН по праву международной торговли UNCITRAL был разработан модельный закон «О правовых аспектах электронного обмена данными», в котором предполагался «нейтральный» правовой режим бумажной и электронной документации, абстрагирование от носителя информации. Тем не менее в рамках соблюдении этого принципа в мире сложились различные подходы к правовому режиму ЭЦП.

Закон США об электронных подписях 2000 года идентифицирует сторону договора, владельца сертификата, каковыми могут быть корпорации, физические лица, правительственные учреждения, любые хозяйствующие субъекты. Предполагается презумпция полномочности исполнителя, применившего ключ для подписи. С другой стороны, по немецкому закону 1997 года электронная цифровая подпись идентифицирует конкретное физическое лицо, подписавшее документ. А сегодняшняя практика Федерального министерства юстиции ФРГ подтверждает иную тенденцию: считается целесообразным, чтобы каждый гражданин ФРГ имел единственный сертифицированный закрытый ключ, который применялся бы в самых разных сферах частного и публичного документооборота.

Правовая база ЭЦП в Беларуси

Гражданский кодекс Республики Беларусь допускает использование электронной цифровой подписи при совершении сделок в случаях и порядке, предусмотренных законодательством или соглашением сторон.

Законодательство регулирует следующие аспекты, связанные с использованием ЭЦП.

Статья 11 Закона «Об информатизации» гласит: «Документ, содержащий информацию, обработанную информационной системой, приобретает юридическую силу после его удостоверения должностным лицом в установленном порядке или электронной подписью». В той же статье говорится, что юридическая сила электронной подписи признается при наличии в информационных системах и сетях программно-технических средств, обеспечивающих идентификацию подписи и имеющих сертификат соответствия.

Наиболее полно правовые основы применения электронных документов установлены в Законе «Об электронном документе» (от 10 января 2000 г. № 357-3). Здесь определены основные требования, предъявляемые к электронным документам, а также права, обязанности и ответственность участников правоотношений, возникающих в сфере обращения электронных документов.

Нормативная база ЭЦП в Беларуси

В 1999 году разработаны и приняты национальные стандарты Республики Беларусь для защиты электронных документов (СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хэширования», СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки электронной цифровой подписи»).

Утвержден и введен в действие с 1 сентября 2000 года стандарт СТБ 1221-2000 «Документы электронные. Правила выполнения, обращения и хранения». В этом стандарте приводится порядок планирования жизненного цикла, идентификации и аутентификации электронных документов, отражены вопросы защиты электронных документов.

До недавнего времени в сфере технологии ЭЦП из нормативной базы действовали только стандарты, устанавливающие процедуры выработки и проверки электронной цифровой подписи и функцию хэширования.

Для обеспечения функционирования системы электронного документооборота (СЭД) на сегодняшний день ГЦБИ разработаны и введены следующие руководящие документы Республики Беларусь:

  • «Банковские технологии. Средства электронной цифровой подписи программные. Общие требования»;
  • «Банковские технологии. Процедура выработки псевдо случайных данных с секретным параметром»;
  • «Банковские технологии. Технология электронной цифровой подписи. Термины и определения»;
  • «Банковские технологии. Формат и правила формирования сертификатов открытых ключей и списков отозванных сертификатов»;
  • «Банковские технологии. Формат карточки открытого ключа».

Планируется разработать проекты руководящих документов Республики Беларусь «Требования безопасности» для программных и аппаратно-программных средств криптографической защиты информации, реализующих шифрование, ЭЦП, имитозащиту, защиту от НСД, изготовление ключевой документации и криптографические протоколы.

В целях реализации мероприятий по оптимизации документооборота и совершенствованию делопроизводства с использованием современных информационных технологий в республиканских органах государственного управления, иных государственных организациях, подчиненных Совету Министров Республики Беларусь, облисполкомах и Мингорисполкоме считаем целесообразным разработать Положение Республики Беларусь, регламентирующее:

  • обмен электронными документами между субъектами хозяйствования,
  • форматы и структуру электронного документа,
  • ведение архивов электронных документов,
  • вопросы обеспечения информационной безопасности и другие.

Кроме того, для обеспечения технологии электронного документооборота в масштабе Республики Беларусь необходимо подготовить ряд руководящих документов:

  • направленных на решение проблемы совместимости средств ЭЦП, шифрования, имитозащиты на уровне данных,
  • устанавливающих требования к инфраструктуре открытых ключей и управлению криптографическими ключами.

Проблемы распространения технологий ЭЦП в Беларуси

Особо следует выделить две проблемы:

  • автоматизированные системы предприятий слабо развиты, то есть не автоматизирован весь цикл создания, обработки, передачи и хранения документов в электронном виде;
  • остро стоит вопрос построения инфраструктуры управления открытыми ключами в СЭД.

В настоящее время вторая из названных проблем требует решения в масштабе всей республики. Данная инфраструктура должна представлять собой систему удостоверяющих центров, в функции которых входит задача регистрации и выдачи сертификатов ОК, а также задача управления и обращения с ними.
Деятельность инфраструктуры должна иметь соответствующее юридическое обеспечение.

Иерархический принцип государственного управления подразумевает и надлежащую структуру создания в перспективе системы удостоверяющих центров для электронного документооборота: от верхнего уровня, через областные центры, и до отдельных ведомств, организаций и конечных пользователей.

В качестве достаточно рациональной модели построения всей совокупности удостоверяющих центров для СЭД с юридическим подтверждением подлинности и целостности документов можно рассматривать комбинированную модель, структурированную по иерархически-сетевому принципу. При этом определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня. Головной удостоверяющий центр обязан удовлетворять самым высоким требованиям по информационной безопасности, поэтому он должен создаваться на базе высших органов исполнительной власти. От надежности защиты этого центра и доверия к нему в большой степени зависит прочность всей системы в целом. Республиканская инфраструктура по управлению ОК подписи должна строиться по иерархическому принципу.

Исходные положения по формированию системы электронного документооборота органов государственной власти и удостоверяющих центров в основном должны базироваться на закрепленных в соответствующих нормативных документах требованиях по обработке документов и использованию информационных ресурсов. Кроме того, в процессе развития систем целесообразно учитывать сложившуюся практику внутриведомственного и межведомственного обмена документами, контроля над их исполнением, а также порядок ведомственного делопроизводства.

Хотелось бы отметить, что процесс создания системы удостоверяющих центров для защищенного электронного документооборота в масштабах государства займет весьма продолжительное время и потребует привлечения значительных финансовых и других ресурсов.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2005

Приобрести этот номер или подписаться

Статьи про теме