суббота, 26 марта 2011 г.

Закон об электронной подписи прошел госдуму

Вчера в госдуме состоялось третье слушание законопроекта "Об электронной подписи". Законопроект принят и в ближайшее время пройдя совет федерации и президента вступит в силу.

Текст законопроекта можно скачать тут.
Электронная карта законопроекта находится здесь.

В указанном законопроекте определяются следующие нормы:
  • Правовое регулирование отношений в области использования электронных подписей
  • Виды электронных подписей
  • Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
  • Порядок использования различных видов электронных подписей
  • Требования к средствам электронной подписи и удостоверяющим центрам
  • Требования к сертификатам проверки ключа электронной подписи
Что же интересного в этом документе (некоторые выдержки):

Принципами использования электронной подписи являются:
1) право участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами...
2) возможность использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии...

Законопроектом вводится три вида подписей

Видами электронных подписей, ... являются простая электронная подпись и усиленная электронная подпись. Различаются усиленная неквалифицированная электронная подпись
(далее - неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее - квалифицированная электронная подпись).

В соответствии с законопроектом, простая электронная подпись вообще может быть сделана без криптографического преобразования (пароль, код и проч.). Неквалифицированная с помощью криптопреобразования любым средством электронной подписи, а квалифицированная - только с использованием средств электронной подписи, получивших подтверждение соответствия (читай, прошедших сертификацию). Идем дальше:

2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе <..текст пропущен..> или соглашением между участниками электронного взаимодействия

Т.е. теперь достаточно соглашения между двумя юр. лицами об использовании неквалифицированной (т.е. полученной с использованием несертифицированной криптографии) электронной подписи для придания ей легитимности.

Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона.

Ну тут можно понять, что все международные сертификаты относятся к неквалифицированной электронной подписи.

Далее в законе идет статья про уполномоченные органы. Таких вводится три:
  • Уполномоченный федеральный орган, осуществляющий аккредитацию удостоверяющих центров (для тех, кто хочет выдавать квалифицированную электронную подпись)
  • Федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий. Я не очень понял кто это. Министерство информационных технологий и связи ?
  • Федеральный орган исполнительной власти в области обеспечения безопасности. А это кто ? По логике получается ФСБ.
Далее в документе идут требования к средствам электронной подписи. Немного смутила вот такая фраза в документе:

Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации.

Зачем она ? Какую смысловую нагрузку несет ? Мне кажется это вообще логично для любого средства обработки информации. Главное чтобы наши ведомства под эту фразу не подвели обязательную сертификацию по НДВ всех средств электронной подписи. Это загубит все на корню.....

Далее идут требования к удостоверяющим центрам. Там ничего необычного, поэтому останавливаться не буду. Только один момент про аккредитацию:

Аккредитация удостоверяющего центра осуществляется на добровольной основе. Аккредитация удостоверяющего центра осуществляется на срок пять лет, если более короткий срок не указан в заявлении удостоверяющего центра.

Т.е если хотите строить бизнес на выдаче квалифицированных сертификатов (видимо понадобится для гос. служб, интернет-порталов гос. услуг и проч.), то будьте добры - аккредитуйтесь.

Ну и под занавес:

Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом.

Электронный документ, подписанный электронной цифровой подписью до даты признания утратившим силу Федерального закона от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признается электронным документом, подписанным квалифицированной электронной подписью в соответствии с настоящим Федеральным законом.

Настоящий Федеральный закон вступает в силу со дня его официального опубликования.

Федеральный закон от 10 января 2002 года
№ 1-ФЗ «Об электронной цифровой подписи» (Собрание законодательства Российской Федерации, 2002, № 2, ст. 127) признать утратившим силу с 1 июля 2012 года.


В целом законопроект получился значительно более понятный, чем существовавший много лет закон "Об электронной цифровой подписи" (только вот про не нарушение конфиденциальности средствами электронной подписи немного смущает абзац) . Вот бы теперь еще с персональными данным наши думцы бы разобрались, вообще цены бы им не было.

26 комментариев:

  1. "Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации."

    А жаль :) можно было бы легко сделать online-сервис для подписи документов.

    ОтветитьУдалить
  2. На мой взгляд новый ФЗ много-много хуже .... и отодвигает хоть какую работу с ЭП на многие годы

    ОтветитьУдалить
  3. "При создании электронной подписи средства электронной подписи должны:
    1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
    "

    В наше время "электронный документ" это ... что ?
    В прошлом ФЗ было определение:
    "документ, в котором информация представлена в электронно-цифровой форме"
    Но тот ФЗ отменен !
    И теперь непонятно что это такое...
    Вообще потянуть бы за эту ниточку...
    В каком виде представлять информацию ? В двоичном коде или т.п.

    ОтветитьУдалить
  4. C нашей компьютерной грамотностью спрятать в ЭД "* и мелким текстом" возможностей много...

    ОтветитьУдалить
  5. Вообще практическое применение породит много вопросов которые нужно будет уточнять...

    В части конфиденциальности... ну чтобы не нарушали... есть ловушка...

    "3. При проверке электронной подписи средства электронной подписи должны:
    1) показывать содержание электронного документа, подписанного электронной подписью;
    "
    Но показывать кому !?..
    Только тому - кому положено а это реализация защиты от НСД ?.. А для реализации этого нужно что ?..
    СрЗИ от НСД...

    ОтветитьУдалить
  6. Из "Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации", IMHO на первый взгляд два следствия:
    1. Документы подписываются на компьютере пользователя, без передачи куда либо. Сюда видимо до кучи накидываются средства защиты от НСД. И видимо декларация НДВ.
    2. Видимо на практике будет требоваться реализация как ЭЦП так и шифрования. Или я чего-то не учитываю.

    ОтветитьУдалить
  7. коллеги, посмотрите на этот документ с точки зрения юриста. Пора перестать боятся каких-то там мифических проверок.... "Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации" во-первых предъявляет требования к средствам электронной подписи, а значит к вам как к пользователю вообще никаких претензий быть не может. Тут не сказано, что вы обязаны приобретать средства ЭЦП, которые не нарушают конфиденциальности... Далее если посмотреть с точки зрения производителей средств электронной подписи, то они всегда могут сказать, что их средства ничего не нарушают, а у нас все же в стране есть призумция невиновности и ни один закон не обязывает (!) производителей ЭЦП доказывать, что они ни в чем не виноваты и что в их продуктах нет НДВ. Госучреждения могут потребовать сертификации, но это отдельная история, это уже тема добровольная - хотите продавать свои решения в гос.органы - сертифицируйтесь....

    ОтветитьУдалить
  8. Мне вот не очень понятно, каким образом можно использовать простую электронную подпись при организации ЭДО с партнерами. В частности, можно ли организовывать информационный обмен порождающий обязательства у сторон, указав в соглашении, что в качестве ЭП используется логин/пароль, проверяемый при установке соединения. И как в данном случае должен выглядеть порядок разрешения споров, связанных с установлением подлинности ЭД? Выгружаются логи ИС сторон, сравниваются...какой-то бред.

    ОтветитьУдалить
  9. В такой ситуации я бы порекомендовал реализовать ее не на простой, а на усиленной подписи, организованной средствами PKI (да хоть тем же Microsoft CA). А вот за простую подпись на мой взгляд теперь отлично сойдут одноразовые коды, которые многие используют для подтверждения транзакции в онлайн-банкинге (карточка с такими кодами выдается банком каждому пользователю).

    ОтветитьУдалить
  10. Добрый всем день, закон официально вступил в силу с сего дня, на тему почему мне кажется что закон много хуже чем был ФЗ-1 , то вот на ГосБуке кое что написано:
    http://www.gosbook.ru/news/20057
    http://www.gosbook.ru/node/19110

    На тему иностранных криптоалгоритмов, хочу напомнить что ПП 957 ни кто не отменял, а подписи или шифрование на коротких ключах никому не нужны.

    ОтветитьУдалить
  11. Не буду разводить параллельную дискуссию, я сам лет 5 назад довольно детально изучал старый закон об ЭЦП, так вот он для коммерческих организаций был абсолютно неисполним (!). Текущий закон исполним ! Да есть некоторые шероховатости, НО во-первых следует правильно и вдумчиво еще разок прочитать текст закона (без эмоций) и некоторые комментарии снимутся, а во-вторых посмотреть на опыт применения, а он я убеждет будет очень даже успешен. Главное только чтобы наши регуляторы со своими жесткими и необоснованными (!) требованиями по сертификации и лицензированию все не завалили....однако ситуация с 152-ФЗ показывает, что народ начинает отбиваться :)

    ОтветитьУдалить
  12. кстати насчет ПП 957 и тому подобных вещей.... а что-ж это у нас портал nalog.ru на AES работает ? ай-яй-яй... двойные стандарты получаются... а сейчас еще и универсальную карту будут на западных алгоритмах вводить...

    ОтветитьУдалить
  13. 1. А почему бы не подискутировать, вот я считаю что ФЗ-1 для бизнеса самое оно и тому примеры - миллионы пользователей Интернет-банкигна в РФ?
    2. Не знаю как вы , я этот законопроект изучал и участвовал в работе всяческих экспертных групп ещё когда его и не подавали в Думу, там задача совсем не та что пояснительной записке написано.
    3. 63-ФЗ без подзаконных актов не применим, вот например, хоть и беллетристика, но тем не менее и тут это заметили: http://www.itsec.ru/newstext.php?news_id=76111

    ОтветитьУдалить
  14. 4. у регуляторов нет необоснованных требований - строго в рамках своего ФЗ + ПП 957, не нравится - судитесь, есть кстати примеры и удачные и даже от лицензиатов ФСБ.
    5. gosuslugi.ru - это позор России в части безопасности как минимум и даже не в том что там зарубежный крипт, а в том что сайт-сертификат может быть в любой момент отозван из-за бугра и тем самым е-госуслуги автоматом закончатся. Это то надеюсь понятно?

    ОтветитьУдалить
  15. 6. На тему УЭК - там совсем другой сюжет - на кону стоят миллиарды, но даже и при этом оглядка в ПП о техтербованиях сделана - лето 2012 года.

    ОтветитьУдалить
  16. Ну давайте по-порядку. По поводу комментариев на ГосБуке:

    пункт 1) Было в старом законе: «осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов ключей подписей;»

    Стало в новом: «осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;»

    Это последствия выкидывания половины предложения, которую видимо авторы посчитали не существенной. А из этого следует, что УЦ должен быть готов к тому, если какой ни-будь пользователь принесёт подпись из какой ни-будь Венгрии или Кореи (кстати у них свой криптоалгоритм) со словами - "проверь - это же твоя функция".


    Мое мнение: На мой взгляд здесь очень серьезное передергивание. Т.к. во-первых здесь говорится об участниках электронного взаимодействия, т.е УЦ должен иметь к этому взаимодействию какое-то отношение, т.е должен быть договор, определяющий и в том числе допустиме криптоалгоритмы. А это значит, что приведенная ситуация никогда не может произойти. Более того, этот пункт никаких доп. требований на УЦ не налагает и не создает условий для какого-либо юридического преследования УЦ за то, что он не проверил какой-то там венгерский сертификат.

    пункт 2) "2.При создании электронной подписи средства электронной подписи должны:

    1) показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;"

    Я где то уже об этом тут писал, это как понимать это предложение, а если файл звуковой, это на экране что ноты что ли должны рисоваться со словами - прям караоке какой то, а не СКЗИ получается. А если это фильм часа на два, я что его обязан просмотреть весь в момент подписания ?!

    Мое мнение: опять же здесь взята слишком абстрактная ситуация. Федеральный закон направлен на то, чтобы определить возможность подписывания документа с помощью средств ЭЦП, при котором эта подпись признается равносильной собственноручной. Кому-то приходилось подписывать музыкальные файлы на бумаге ? или фильмы ? Так что извините, но это разговор ни о чем.

    пункт 3) 1. «использование единственной технологии электронной цифровой подписи (основанной на так называемой технологии ассиметричных ключей подписи)»

    Сравниваем:

    Старый: «средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;»

    Новый: «средства электронной подписи - шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций - создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;»

    На выходе одно и то же – везде ключ подписи и ключ проверки, в чём отличие то?

    Мое мнение: Не правда, потому что в новом законе еще введена простая электронная подпись, не предполагающая использование криптографических алгоритмов

    ОтветитьУдалить
  17. пункт 4) 2. «делает необходимой единую иерархическую систему удостоверяющих центров»

    Старый: явных ограничений не нашёл.

    Новый: «Удостоверяющий центр, указанный в части 4 настоящей статьи, по отношению к доверенным лицам является головным удостоверяющим центром», а также: осуществляет функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров., а также ст. 16 Одновременно с выдачей свидетельства об аккредитации уполномоченный федеральный орган выдает аккредитованному удостоверяющему центру квалифицированный сертификат, созданный с использованием средств головного удостоверяющего центра, функции которого осуществляет уполномоченный федеральный орган.
    ==> т.е. явным образом прописана иерархия

    Мое мнение: здесь я частично согласен, но иерархия определена только для выдачи квалифицированных подписей, т.е для гос.органов, а это в общем-то логично

    пункт 5) 3. «обязывает применять сертифицированные средства электронной цифровой подписи;»

    Старый: ищем упоминание про сертифицированность:

    1. «подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;»

    2. « При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.» для корпоративных систем вообще не было ограничения по сертифицированности, да и в системах общего пользования если прописать страхование убытков, то вообще ни чем не отличается от того что сейчас прописано для квалифицированных УЦ.

    Новый: «наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;» - кто мне скажет чем это отличается от поголовного использования сертифицированных средств.


    Мое мнение: Ну опять же неправда. Текст вырван из закона, а на самом деле это относится только к аккредитованым УЦ, которые хотят выдавать квалифицированные подписи. Для коммерческих организаций это НЕ НУЖНО !

    пункт 6) По поводу статьи http://www.itsec.ru/newstext.php?news_id=76111 ничего комментировать не готов. Не понимаю, почему берут предыдущий закон и на его основе делают выводы о существующем. Я считаю, что для коммерческих организаций закон может работать уже сейчас без всяких подзаконных актов. Для реализации иерархии удостоверяющих центров конечно же потребуется и время и деньги и подзаконные акты, но это не будет ограничивать коммерческие организации, только государственный сектор. Кроме того, из существующего закона:

    "Сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 года № 1-ФЗ «Об электронной цифровой подписи», признаются квалифицированными сертификатами в соответствии с настоящим Федеральным законом."

    Т.е закон дает возможность применения всего того, что уже было наработано за предыдущие годы, а значит он не остановит деятельность, а создаст возможность для плавного перехода за счет наличия параллельных систем (по старому закону и по новому)

    А по поводу миллионов пользователей ЭЦП, так это скорее не благодаря старому закону, а вопреки ему. Поэтому в указанных комментариях я вижу излишние эмоции....

    ОтветитьУдалить
  18. К сожалению я не могу вам развёрнуто ответить, точнее ни как не могу ответить, поскольку вы слов написали много, а мою ответную кучу слов постер отбраковывает по размеру :-(

    ОтветитьУдалить
  19. В догонку, я тут http://www.gosbook.ru/news/20057 ещё много каких пунктов мне не понятных и спорных в реализации по телу нового ФЗ написал, если интересно посмотрите.

    ОтветитьУдалить
  20. Не удержался:
    "Т.е закон дает возможность применения всего того, что уже было наработано за предыдущие годы, а значит он не остановит деятельность, а создаст возможность для плавного перехода за счет наличия параллельных систем (по старому закону и по новому) "
    Это вы СКБ Контур скажите, у ребят 11 УЦ (если не ошибаюсь) и если они не договорятся с производителем УЦ, то они сходу попали на 11 миллионов рублей - это чтоб "плавный переход осуществить" :-(

    ОтветитьУдалить
  21. Это вы СКБ Контур скажите, у ребят 11 УЦ (если не ошибаюсь) и если они не договорятся с производителем УЦ, то они сходу попали на 11 миллионов рублей - это чтоб "плавный переход осуществить" :-(

    Уважаемый msm59, поясните пожалуйста о чем им нужно договориться с производителем УЦ ? и о каком производителе идет речь, кстати ? На самом деле интересно в чем у них проблема.

    А комментарии можно разбить на несколько сообщений, если одним не пролезает :)

    ОтветитьУдалить
  22. Дело в том, что наиболее распространённый УЦ технически позволяет поддерживать работу только одного издателя. Для переходного периода, требуется держать как минимум два одновременно, тот который включён в иерархию по новому ФЗ и тот который есть сейчас. Для того чтобы это сделать, потребуется прикупить на каждый УЦ как минимум ещё по одной лицензии на ЦС + работа. И на тему переходного периода вот ещё почитайте: http://www.gosbook.ru/news/20057#comment-33707 на мой взгляд будет провал по срокам.

    ОтветитьУдалить
  23. Скажите а можно ли использовать в медицинских учреждениях простую или усиленную неквалифицированную ЭП для электронного документооборота(подписи врачей) в лечебных учреждениях.

    ОтветитьУдалить
  24. Анонимному: все зависит от того, кем являются учасотники обмена. Дело в том, что по закону вы имеете право использовать любую подпись на ваше усмотрение, если другой участник обмена на это согласен (и между вами есть договор об этом), но если вы собираетесь обмениваться документами с органами власти или органами местного самоуправления, то тогда согласно закону:

    "2. Виды электронных подписей, используемых органами исполнительной власти и органами местного самоуправления, порядок их использования, а также требования об обеспечении совместимости средств электронных подписей при организации электронного взаимодействия указанных органов между собой устанавливает Правительство Российской Федерации."

    Т.е появится постановление правительства (которое скорее всего потребует использование квалифицированных подписей) и тогда при взаимодействии придется пользоваться квалифицированной подписью.

    Говоря еще более простым языком: если никаким документами не установлено обязательство использования квалифицированной подписи, то имеете право использовать любую

    ОтветитьУдалить
  25. Согласно плану подготовки правовых актов в целях реализации федеральных законов «Об электронной подписи» и «О внесении изменений в отдельные законодательные акты Российской Федерации в связи с принятием Федерального закона «Об электронной подписи» утвержден распоряжением Правительства Российской Федерации от 12 июля 2011 г. № 1214-р, до 30 июля будет назначен федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи.
    Каким постановлением назначен данный орган?

    ОтветитьУдалить