УДК 658.7 JEL 57 DOI 10.26425/1816-4277-2018-4-104-109
НЕОБХОДИМОСТЬ ЗАПРЕТА ПЛАТНЫХ ОБЪЕКТНЫХ ИДЕНТИФИКАТОРОВ ЭЛЕКТРОННОЙ ПОДПИСИ ДЛЯ ДОСТУПА К ЗАКУПКАМ НА ЭЛЕКТРОННЫХ ТОРГОВЫХ ПЛОЩАДКАХ
Аннотация. Рассмотрена и подробно описана актуальность проблемы использования электронной подписи (далее — ЭП), содержащей объектный идентификатор (далее — OID) о возможности ее применения на конкретной электронной торговой площадке (далее — ЭТП). Изучено законодательство по применению ЭП в Российской Федерации и отмечено отсутствие требования о наличии такого атрибута. Изучен рынок и указана главная причина платного распространения и высокой стоимости таких отметок — коммерческая. Предложен механизм отказа от OID на носителе ЭП и использования возможностей действующей Единой системы идентификации и аутентификации (далее — ЕСИА) для получения дополнительной информации пользователю ключа. Ключевые слова: электронная подпись, объектный идентификатор, Федеральный Закон № 223-Ф3, электронная торговая площадка, Единая система идентификации и аутентификации.
NECESSITY OF PROHIBITION OF THE PAID OBJECT IDENTIFIER OF ELECTRONIC SIGNATURE FOR ACCESS TO PROCUREMENT ON ELECTRONIC TRADING PLATFORMS
Abstract. The actuality of the problem of using an electronic signature (next ES) containing an object identifier (next OID) on the possibility of its application on a specific electronic trading platform (next ETP) is considered and described in detail. The legislation on the use of ES in the Russian Federation was studied and it was noticed that there was no requirement that such an attribute exist. The market is studied and the main reason for the paid distribution and the high cost of such marks is indicated - commercial. The mechanism of rejection of OID on the ES carrier is supposed and the possibility to use of the capabilities of the current Unified Identification and Authentication System (next USIA) for obtaining additional information to the user of the key is proposed.
Keywords: electronic signature, object identifier, Law № 223-FZ, electronic trading platform, Unif.
В наши дни все больше электронных торговых площадок (далее — ЭТП), размещающих закупки в соответствии с Федеральным Законом от 18.07.2011 № 223-Ф3 «О закупках товаров, работ, услуг отдельными видами юридических лиц», требуют от участников процедур наличие ЭП с объектным идентификатором (далее - OID), содержащим отметку о возможности его применения на данной ЭТП [3]. При этом такой OID можно получить только платно и не во всех удостоверяющих центрах (далее - УЦ) по выдаче ЭП . Поставщику приходится ежегодно оплачивать тариф для работы на площадке, продлевать сертификат ЭП и дополнительно покупать такой OID для работы на конкретной ЭТП (на каждой такой площадке он свой, что, соответственно, несет дополнительные расходы).
По мнению автора, данное требование избыточно и не несет в себе практической пользы. Объектный идентификатором — это дополнительный и необязательный атрибут квалифицированного или неквалифицированного сертификата ЭП, который либо предоставляет дополнительную информацию о владельце сертификата, о его полномочиях, либо несет какую-то дополнительную информацию для приложений и сервисов, которые используют этот сертификат [9].
Чаще всего OID используют для управления доступами на основе ролей. Например, в сертификате можно прописать, что владелец ключа является руководителем организации, и это даст ему возможность сразу во всех информационных системах (далее - ИС) получить доступ к нужным функциям и сведениям, без необходимости связываться с администраторами каждой ИС и менять настройки доступа. Все это конечно при условии, что все эти ИС используют сертификат пользователя для его авторизации и анализируют один и тот же атрибут одинаковым образом (для того-то атрибуты и выбираются из справочника, а не задаются произвольно).
Лысенко Тарас Сергеевич
эксперт, АО «Рособоронэкспорт», г. Москва
е-mail: [email protected]
Lysenko Taras
Expert, AO «Rosoboronexport», Moscow
е-mail: [email protected]
На законодательном уровне вопросы, связанные с применением ЭП в РФ, регулируют два основных документа: Федеральный Закон № 63-Ф3 «Об электронной подписи» (далее — 63-Ф3) и приказ Федеральной службы безопасности РФ «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (далее приказ № 795) [2; 4]. Состав квалифицированного сертификата описан в 795-м приказе (ч. II «Требования к совокупности полей квалифицированного сертификата»), и в нем нет требований к атрибутам, управляющим авторизацией в каких-либо ИС. Ни 63-Ф3, ни 795-й приказ не запрещают включать в ЭП другие сведения. Таким образом, обязательного наличия в ЭП атрибутов, связанных с авторизацией в каких-либо ИС, не требуется. Соответственно эти требования исходят от самих ЭТП.
Стоит отметить, что «операторам государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами, или информационных систем общего пользования не вправе требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах» [2, ст. 17, п. 2.1].
Пользуясь расплывчатой формулировкой, требовать ОГО в структуре сертификата ЭП может любая ИС. Это могут быть ЭТП, где проводят закупки коммерческие компании, порталы, принимающие отчетность, различные государственные системы (например, портал Росреестра).
Платный ОГО открывает доступ к закупкам на конкретной площадке, не ограничивая доступа к другим. Поэтому он позиционируются как расширение сферы действия сертификата, но доплачивать за это расширение приходится участникам закупок. Формально это цена за регистрацию и учет сертификатов на ЭТП, обеспечение работоспособности сертификатов и т. д.
На рисунке 1 представлены крупнейшие ЭТП по сумме проведенных закупок по 223-Ф3 [5].
ЭТП ГПБ N,
ч 1 538 млрд руб.
с В2В-Се^ег \
763 млрд руб.
ЭТП «ТЭК-Торг» \
637 млрд руб.
с ЭТП ОАО «РЖД»
к 460 млрд руб.
f Единая ЭТП \
385 млрд руб. у
/ ЭТП «Фабрикант»
318 млрд руб.
f ЭТП «ТЭК-Торг» >
V 1 081 млрд руб.
г ЭТП ГПБ \
1 1 022 млрд руб. У
f B2B-Center ^
903 млрд руб. У
f Единая ЭТП N,
V 786 млрд руб. У
с ЭТП ОАО «РЖД» >
V 691 млрд руб. У
с ЭТП ОТС - tender N,
V 323 млрд руб. У
за 2015 год
Источник: [5]
за 2016 год
Рис. 1. Топ крупнейших электронных площадок
На 5 из 7 площадках, а именно ЭТП Газпромбанк, ЭТП «ТЭК-Торг» (секция «Роснефть»), ЭТП B2B-Center, ЭТП «Фабрикант» и ЭТП ОАО «РЖД» представленных в этом рейтинге, для работы необходим платный OID. Стоимость OID, в произвольно выбранных УЦ по выдаче ЭП, представлена в таблицах 1, 2.
Таблица 1
Стоимость объектного идентификатора
Электронная торговая площадка Стоимость OID на год, руб. с НДС
АО «ЕЭТП» СКБ Контур ООО «Тензор»
B2B-center * 2 500 2 500
Газпромбанк (ГПБ) 3 600 3 000 3 500
Окончание таблицы 1
Электронная торговая площадка Стоимость OID на год, руб. с НДС
АО «ЕЭТП» СКБ Контур ООО «Тензор»
ТЭК-Торг секция «Роснефть» 3 300 1 700 2 500
Фабрикант * 2 500 3 000
Итого 13 100 9 700 11 500
*Входит в комплект «Коммерческий» за 6 200руб.
Источники: [10, 11, 12]
Отдельного внимания достойна ЭТП ОАО «РЖД», ОГО для участия в закупках которой можно получить только в одном УЦ. Из-за этого отсутствует механизм рыночного регулирования цен, а ОГО для площадки, в сравнении с другими, стоит в разы больше.
Таблица 2
Стоимость ЭП с OID для ЭТП ОАО «РЖД»
Электронная торговая площадка Стоимость, руб. с НДС Комментарий
Всем Только МСП
ОАО «РЖД» 10 266 (без доставки) 11 446 (с доставкой) 7 906 (без доставки) 9 086 (с доставкой) Используется продукт «Оптимум» с наличием годовой лицензии «КриптоПро»
Источник: [13]
Еще одно неудобство заключается в том, что забрать ЭП можно только в одном месте: в офисе УЦ в Москве. Из-за этого многим приходится переплачивать еще и за доставку. Главная проблема состоит в том, что, если поставщику захочется работать, например, на всех указанных выше пяти ЭТП с собственным платным ОГО, то его стоимость по рыночным данным составит около 20 000 руб. в год. В регламентах работы крупнейших ЭТП содержится следующая информация по поводу применения ОГО. В регламенте ЭТП В2В-сеПег указано, что сертификат ключа проверки подписи должен содержать в расширении «Улучшенный ключ» сертификата ОГО 1.2.643.6.7 (Использование в работе систем электронного документооборота и электронных торговых систем В2В-сейег), устанавливающий правомерность использования сертификата ключа проверки подписи на ЭТП [7].
Для работы на ЭТП Газпромбанка необходимо получить квалифицированный сертификат ЭП, изготовленный доверенным удостоверяющим центром и содержащий отметку о возможности применения данного сертификата на ЭТП ГПБ - ОГО 1.2.643.6.17.1 [8]. В регламентах других ЭТП из рейтинга смысл тот же. Никаких объяснений о том, для чего они необходимы, не дано.
Совсем другое дело обстоит с порталами государственных органов, возьмем, к примеру, портал Росреестра. Информационная система Росреестра использует ОГО для определения сведений, которые можно выдавать владельцу сертификата [6], т. е. Росреестр безвозмездно предоставляет другим госорганам информацию из реестра прав собственности. Получая запрос, портал анализирует содержимое сертификата и при наличии нужного ОГО, открывает доступ к этим сведениям. Чтобы УЦ добавил в сертификат необходимый ОГО, пользователь предоставляет документы, которые подтверждают его полномочия.
Однако далее в Методических рекомендациях указано важное примечание, что данное требование действует до момента полного запуска Единой системы идентификации и аутентификации (далее — ЕСИА) в инфраструктуре, обеспечивающей информационно-технологическое (ИТ-) взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме, и подключения к ней системы Росреестра [6]. Таким образом, ЕСИА - это один пароль, дающий доступ ко всем государственным сайтам.
Стоит отметить, что такого примечания в регламентах работы ЭТП из рейтинга нет. Еще одно важное отличие состоит в том, что для портала Росреестра данный ОГО распространяется бесплатно.
По мнению автора ОГО в возможности применения ЭП на конкретной ЭТП не несут никакой реальной пользы. Если площадка хочет его применять, руководствуясь интересами своих пользователей, то ничто и никто не мешает делать их бесплатными, как это реализовано на некоторых государственных порталах. Поэтому платные ОГО площадки используют, чтобы решать коммерческие потребности.
Рассмотрим, каким образом можно влиять на ЭТП. Все зависит от вида площадки.
На ЭТП по государственным и муниципальным закупкам есть строгий регламент, в котором требования к структуре сертификата заданы строго, и ни одна ЭТП не имеет право самостоятельно менять требования к ЭП. Электронные торговые площадки для реализации имущества предприятий-банкротов обязаны аккредитовываться в Министерстве экономического развития, и подчиняются Федеральному Закону № 127-ФЗ «О несостоятельности (банкротстве)» и Приказу № 495 от 23 июля 2015 г. Министерства экономического развития России, и так же имеют строго ограниченный перечень оснований об отказе в регистрации поставщика на площадке. Отсутствие ОГО в сертификате «под площадку» в этот перечень не входит, т. е. по закону поставщик может использовать квалифицированный сертификат, выданный любым аккредитованным УЦ.
Электронные торговые площадки, размещающие закупки по 223-Ф3, сами определяют требования к ЭП. При желании прописывают в регламенте, что сертификат должен содержать ОГО, определяют его стоимость и формируют условия сотрудничества для удостоверяющих центров. Причем в любой момент эти требования могут быть изменены. Поставщикам остается получать сертификат с таким ОГО, а УЦ - заключать договор с ЭТП и продолжать выдавать сертификаты на условиях, которые она диктует.
Именно поэтому необходимо создать единый порядок проведения закупок на всех ЭТП и поменять формулировку в законе «Об электронной подписи», запретив ИС и ЭТП использовать любые дополнительные требования к ОГО в сертификатах ЭП или хотя бы запретить их платное распространение.
Также стоит отметить еще одну распространенную проблему: сейчас сертификат приходится перевыпускать гораздо чаще, чем это диктуют требования безопасности к персональной ЭП (поменялась должность, появилась необходимость работы на новой ЭТП с ОГО и т. д.). Для ее решения необходимо использовать ЕСИА для авторизации пользователей во всех ИС. Для этого на данном портале необходимо создать единый справочник ОГО всех ИС и пользователей. Тогда после аутентификации пользователя по персональному ключу в любой ИС (в том числе ЭТП), проверяется привязка сертификата ЭП к учетной записи на ЕСИА, и если там содержится нужный ОГО (о полномочиях и правах, предоставление доступа к электронной торговой площадке и т. д.), право пользователя на нужное ему действие подтверждается. При реализации этого предложения отпадает необходимость хранить в сертификате сведения о ролях, правах доступа пользователя и ОГО для конкретных ИС и ЭТП. Предлагаемый сертификат будет содержать ссылку на сертификат открытого ключа владельца в ЕСИА, из которого можно будет получить такую информацию.
И, конечно, внесение изменений в единый справочник ОГО в ЕСИА должно быть бесплатным. Такая система представляется намного более универсальной и надежной, чем применение полей сертификатов, а в перспективе, позволит автоматизировать управление доступами. Перевелся человек на другую должность -автоматически потерял доступ к одним действиям и получил к другим. При этом он продолжает пользоваться своим ключом ЭП для подписания документов, а перевыпускать ничего не нужно.
С 01.07.2018 г. Правительство РФ будет вправе установить особенности документооборота в форме электронных документов, требования к форматам и видам средств ЭП, применяемой при таком документообороте [1]. Соответственно, появляется возможность реализовать предложения автора.
Предложенный механизм позволит:
- оказать ощутимую поддержку участникам закупок, в том числе субъектам малого и среднего предпринимательства.;
- менять сертификат ЭП только по истечении срока его деятельности;
- сделать систему идентификации и аутентификации пользователей более универсальной и надежной;
- исключить возможность дублирования ОГО разных ИС, так как все они будут собраны в едином справочнике;
- автоматизировать управление ролями и доступами пользователей.
Библиографический список
1. Федеральный закон от 31.12.2017 г. № 505-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». - Ст. 3, ч. 6.1, п. 4 б : [Электронный ресурс]. — Режим доступа: http://www.consultant.ru (дата обращения: 14.03.2018).
2. Федеральный закон от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (ред. от 23.06.2016). - ст. 14 ч. 2 и ст. 17 ч. 2 [Электронный ресурс]. - Режим доступа: http://www.consultant.ru (дата обращения: 14.03.2018).
3. Федеральный Закон от 18.07.2011 г. № 223-ФЗ (ред. от 31.12.2017) «О закупках товаров, работ, услуг отдельными видами юридических лиц» (с изм. и доп., вступ. в силу с 09.01.2018) [Электронный ресурс]. - Режим доступа: http:// www.consultant.ru (дата обращения: 14.03.2018).
4. Приказ ФСБ РФ от 27.12.2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» [Электронный ресурс]. - Режим доступа: http://www.consultant.ru (дата обращения: 14.03.2018).
5. Доклад Министерства экономического развития о результатах мониторинга применения Федерального закона от 18.07.2011 г. № 223-ФЗ «О закупках товаров, работ, услуг отдельными видами юридических лиц» за 2016 г. - стр. 20 [Электронный ресурс]. - Режим доступа: http://economy.gov.ru (дата обращения: 13.03.2018).
6. Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии (версия 4.3), п. 6 [Электронный ресурс]. - Режим доступа: https://smev.gosuslugi.ru/portal/ (дата обращения: 14.03.2018).
7. Регламент организации электронного документооборота и использования электронной подписи ЭТП B2B-Center. - п. 3 приложения 1: [Электронный ресурс]. - Режим доступа: https://www.b2b-center.ru/help (дата обращения: 13.03.2018).
8. Регламент проведения закупочных процедур ЭТП ГПБ. - Приложение 5 [Электронный ресурс]. - Режим доступа: https:// etpgpb.ru/supplier (дата обращения: 14.03.2018).
9. Официальный сайт удостоверяющего центра «ИТК» по выдаче ЭП [Электронный ресурс]. - Режим доступа: http://cs-crimea.ru/spravka/stati-i-spravka/108-oidy-v-sertifikatakh (дата обращения: 14.03.2018).
10. Официальный сайт удостоверяющего центра АО «ЕЭТП» по выдаче ЭП [Электронный ресурс]. - Режим доступа: https:// www.roseltorg.ru/ecp (дата обращения: 13.03.2018).
11. Официальный сайт удостоверяющего центра СКБ Контур по выдаче ЭП [Электронный ресурс]. - Режим доступа: https:// ca.kontur.ru/ (дата обращения: 13.03.2018).
12. Официальный сайт удостоверяющего центра ООО «Тензор» по выдаче ЭП [Электронный ресурс]. - Режим доступа: https://tensor.ru/trends/tr_udo/about_UC/services (дата обращения: 13.03.2018).
13. Официальный сайт удостоверяющего центра АО «НИИАС» по выдаче ЭП [Электронный ресурс]. - Режим доступа: http://www.pkitrans.ru/?Item=product&SubItem=tarifs_etzp (дата обращения: 13.03.2018).
References
1. Federal'nyj zakon ot 31.12.2017 № 505-FZ «О vnesenii izmenenij v otdel'nye zakonodatel'nye akty Rossijskoj Federacii»
[Federal Law dated on December 31, 2017 № 505-FZ «On Amending Certain Legislative Acts of the Russian Federation»], Ch. 3, p. 6.1, sp. 4 b. - Available at: http://www.consultant.ru (accessed 14.03.2018).
2. Federal'nyj zakon «Ob elektronnoj podpisi» ot 06.04.2011 N 63-FZ (red. ot 23.06.2016) [Federal law «About digital signature» of April 06, 2011N 63-FZ (as amended in 23.06.2016), Ch. 14, p. 2, Ch. 17,p. 2]. Available at: http://www.consultant.ru (accessed 14.03.2018).
3. Federal'nyj zakon «О zakupkah tovarov, rabot, uslug otdel'nymi vidami yuridicheskih lic» ot 18.07.2011 № 223-FZ [Federal law «On purchases of goods, works and services by certain types of legal entities» of July 18, 2011 N 223-FZ]. Available at : http://www.consultant.ru (accessed 14.03.2018).
4. Prikaz FSB RF ot 27.12.2011 № 795 «Ob utverzhdenii Trebovanij k forme kvalificirovannogo sertifikata klyucha proverki elektronnoj podpisi» [Order of FSB of the RF of December 27, 2011N 795 «About the approval Of Requirements to the form of the qualified certificate of the key of check of the electronic signature»]. Available at: http://www.consultant.ru (accessed 14.03.2018).
5. Doklad Ministerstva ekonomicheskogo razvitiya o rezul'tatah monitoringa primeneniya Federal'nogo zakona ot 18.07.2011 № 223-FZ «О zakupkah tovarov, rabot, uslug otdel'nymi vidami yuridicheskih lic» za 2016 god [Report of the Ministry of economic development on the results of monitoring the application of the Federal law dated on July 18, 2011 № 223-FZ «On purchases of goods, works and services by certain types of legal entities» for 2016 year], p. 20. Available at: http://economy.gov. ru (accessed 13.03.2018).
6. Metodicheskie rekomendacii po ispol'zovaniyu elektronnoj podpisi pri mezhvedomstvennom elektronnom vzaimodejstvii (versi-ya 4.3) [Methodical recommendations about use of the digital signature at interdepartmental electronic interaction (version 4.3)], p. 6. Available at: https://smev.gosuslugi.ru/portal (accessed 14.03.2018).
7. Reglament organizacii elektronnogo dokumentooborota i ispol'zovaniya elektronnoj podpisi ETP B2B-Center [The regulation of the organization of electronic documentflow and use of the digital signature of ETP B2B-Center], p. 3, app. 1. Available at: https://www.b2b-center.ru/help (accessed 13.03.2018).
8. Reglament provedeniya zakupochnyh procedur ETP GPB [The regulation ofprocurement procedures ETP GPB]. App. 5. Available at: https://etpgpb.ru/supplier (accessed 14.03.2018).
9. Oficial'nyj sajt udostoveryayushchego centra «ITK» po vydache EP [The official website of the certifying centre «ITK» on issue of the ES]. Available at: http://cs-crimea.ru/spravka/stati-i-spravka/108-oidy-v-sertifikatakh (accessed 14.03.2018).
10. Oficial'nyj sajt udostoveryayushchego centra AO «EETP» po vydache EP [The official website of the certifying centre JC «EETP» on issue of the ES]. Available at: https://www.roseltorg.ru/ecp (accessed 13.03.2018).
11. Oficial'nyj sajt udostoveryayushchego centra SKB Kontur po vydache EP [The official website of the certifying centre SKB Kontur on issue of the ES]. - Available at: https://ca.kontur.ru (accessed 13.03.2018).
12. Oficial'nyj sajt udostoveryayushchego centra OOO «Tenzor» po vydache EP [The official website of the certifying centre LLC «Tenzor» on issue of the ES]. - Available at: https://tensor.ru/trends/tr_udo/about_UC/services (accessed 13.03.2018).
13. Oficial'nyj sajt udostoveryayushchego centra AO «NIIAS» po vydache EP [The official website of the certifying centre JC «NI-IAS» on issue of the ES]. - Available at: http://www.pkitrans.ru/?Item=product&SubItem=tarifs_etzp (accessed 13.03.2018).