CC BY
118
УДК 004.056.5004.096.5 ББК 32.973.202 К 38
Киздермишов А.А.
Кандидат физико-математических наук, доцент кафедры автоматизированных систем обработки информации и управления инженерно-физического факультета Адыгейского государственного университета, Майкоп, e-mail: Askhad_75@rambler.ru Киздермишова С.Х.
Кандидат социологических наук, доцент кафедры экологии и защиты окружающей среды экологического факультета Майкопского государственного технологического университета, Майкоп, e-mail: suliet@rambler.ru
Совершенствование системы аккредитованных удостоверяющих центров как единая информационно-техническая и организационно-правовая проблема
(Рецензирована)
Аннотация. Рассмотрены вопросы совершенствования деятельности аккредитованных удостоверяющих центров. Проводится краткий обзор основополагающих изменений в деятельности удостоверяющих центров в период 2002-2016 годов, а также перспективы развития рынка удостоверяющих центров и смежных видов деятельности: разработка прикладного программного обеспечения для систем электронного документооборота, подготовка и переподготовка персонала удостоверяющих центров в соответствии с действующим законодательством Российской Федерации, разработка средств криптографической защиты информации и т.д.
Ключевые слова: удостоверяющий центр, электронная подпись, информационная безопасность, национальная безопасность.
Kizdermishov A.A.
Candidate of Physics and Mathematics, Associate Professor of the Department of Automated Systems of Processing Information and Control at Engineering-Physics Faculty, Adyghe State University, Maikop, ph. (8772) 593911, e-mail: Askhad_75@rambler.ru Kizdermishova S.Kh.
Candidate of Sociology, Associate Professor of Department of Ecology and Environmental Protection of Environmental Faculty, Maikop State University of Technology, Maikop, e-mail: suliet@rambler.ru
Improvement of system of the accredited certification centers as a uniform information-technical and organizational-legal problem
Abstract. The paper discusses the improvement of activity of the accredited certification centers. The authors provide a short review of fundamental changes in activity of the certifying centers during 2002-2016, as well as prospects of development of the market of certification centers and adjacent kinds of activity: development of the applied software for systems of electronic document flow, training and retraining of personnel of certification centers according to the current legislation of the Russian Federation, development of means of cryptographic protection of information, etc.
Keywords: certification center, digital signature, information security, homeland security.
Как известно, информационная безопасность является неотъемлемой составляющей информационной сферы, которую можно представить как совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом общественных отношений. В свою очередь система обеспечения информационной безопасности является важной частью системы обеспечения национальной безопасности Российской Федерации. В Стратегии национальной безопасности Российской Федерации обеспечение информационной безопасности по важности ставится на один уровень с обеспечением государственной, общественной, экологической, экономической, транспортной, энергетической безопасностями и безопасностью личности [1]. Следует отметить, что в новой Доктрине информационной безопасности Российской Федерации, утвержденной в конце 2016 года, отдельное внимание уделено формированию безопасной среды оборота достовер-
ной информации и развитию национальной системы управления российским сегментом сети Интернет. При этом акцентируется внимание на обеспечении информационной безопасности в кредитно-финансовой сфере [2]. Очевидно, что эффективное решение этих задач невозможно без применения криптографических средств защиты информации, особенно средств электронной подписи. Таким образом, электронная подпись в широком понимании этого термина приобретает статус элемента национальной безопасности. Кроме того, в новой Доктрине информационной безопасности Российской Федерации совершенствование деятельности производственных, научных и научно-технических организаций по оказанию услуг в области обеспечения информационной безопасности отнесено к национальным интересам в информационной сфере. Исходя из вышеизложенного, актуальным направлением деятельности по обеспечению информационной безопасности является развитие и совершенствование организационно-правовой и технической базы Удостоверяющих центров (УЦ).
Официальное определение УЦ - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Федеральным законом от 06.04.2011 № 63-Ф3 «Об электронной подписи». Из самого определения УЦ следует, что спецификой его деятельности является то, что она (деятельность) осуществляется на пересечении юриспруденции, информационной безопасности и 1Т-технологий. Такая специфика обуславливает сложность задач по созданию УЦ и совершенствованию их деятельности, так как совершенствование системы аккредитованных удостоверяющих центров является единой информационно-технической и организационно-правовой проблемой. По состоянию на сегодняшний день создание УЦ предполагает выполнение строго формализованного комплекса организационно-правовых и технических мероприятий, на описании которых мы не будем останавливаться. Рассмотрим, как изменения в законодательстве повлияли на технические вопросы деятельности УЦ.
В условиях коренных изменений нормативной правовой базы в области электронной подписи, происходивших в течение 2002-2016 годов, ранее сложившаяся практика создания УЦ неоднократно устаревала. Наиболее значимое влияние на организационно-правовые мероприятия и технические мероприятия (внедрение новых средств электронной подписи и средств удостоверяющего центра), совместно входящие в комплекс мероприятий по созданию УЦ, оказали следующие изменения в правовой базе (табл. 1):
Таблица 1
Основополагающие изменения в деятельности УЦ
№ п/п Федеральный закон (организационно-правовая проблема) Результат (информационно-техническая проблема)
1. Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» Принятие закона положило начало процессу создания УЦ. Кроме того, законом были определены основные правила взаимодействия между УЦ и информационными системами, что привело к росту числа программных продуктов со встроенными средствами электронной подписи и криптографическими средствами защиты информации.
2. Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи». Принятие закона позволило окончательно прекратить практику создания УЦ на базе средств электронной подписи, не соответствующих стандарту X.509, принятому ITU-T для инфраструктуры открытых ключей и управления привилегиями. Законом предусмотрены два типа электронных подписей: простая и усиленная. Последняя имеет две формы: квалифицированная и неквалифицированная. Усиленная квалифицированная электронная подпись подтверждается сертификатом от аккредитованного удостоверяющего центра и во всех случаях приравнивается к бумажному документу с «живой» подписью [3].
Таблица 1 (Продолжение)
№ п/п Федеральный закон (организационно-правовая проблема) Результат (информационно-техническая проблема)
3. Федеральный закон от 27.07.2010 № 210-ФЗ «Об организации предоставления государственных и муниципальных услуг» (Редакция от 06.04.2011) Кроме классического назначения, за УЦ закрепились функции по созданию и поддержанию единого пространства доверия - совокупность взаимосвязанных доверенных сервисов, в которых обеспечивается признание подлинности электронной подписи при электронном взаимодействии федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации, иных государственных органов, государственных внебюджетных фондов, органов местного самоуправления, организаций и физических лиц. Следует отметить, что формирование ведомственных доменов доверия началось еще с 2002 года, но проходило довольно медленно.
4. Федеральный закон от 06.04.2011 № 63-Ф3 «Об электронной подписи» (Редакция от 02.07.2013 с изменениями и дополнениями, вступил в силу с 01.09.2013) В частности, были усилены требования к квалификации штатных работников УЦ, что способствовало развитию дополнительного профессионального образования по вопросам использования электронной подписи. Согласно новым требованиям для специалистов, имеющих среднее специальное образование в области ИТ или информационной безопасности, требование о прохождении переподготовки или курсов повышения квалификации заменено на требование прохождения дополнительного профессионального образования по вопросам использования электронной подписи.
5. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (Редакция от 30.12.2015 с изменениями и дополнениями, вступил в силу с 30.01.2016) В определение УЦ добавлены слова «государственный орган или орган местного самоуправления», таким образом, на законодательном уровне закреплена возможность создания ведомственных УЦ.
6. Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (Редакция от 30.12.2015 с изменениями и дополнениями, вступил в силу с 08.07.2016) Сумма чистых активов, необходимая для открытия УЦ, возросла с 1 млн. руб. до 7 млн. руб., кроме того, сумма, на которую должна быть застрахована ответственность УЦ, выросла с 1,5 млн. руб. до минимальных 30 млн. руб. и максимальных 100 млн. руб.
Какие изменения в деятельности УЦ могут произойти в ближайшем будущем? Министерство связи и массовых коммуникаций РФ (далее Минкомзвязи), как государственный регулятор, неоднократно высказывал свою позицию о необходимости реорганизации существующей системы аккредитации УЦ и изменения правил контроля за их деятельностью. Кроме того, Минкомсвязи неоднократно высказывал намерение осуществить искусственное сокращение до минимального (порядка пяти) числа аккредитованных УЦ. С точки зрения регулятора, оптимизация УЦ центров должна привести к повышению качества оказываемых ими услуг. По состоянию на сегодняшний день практическая реализация этой позиции выражается в усилении требований к УЦ. В этой связи следует отметить, что в конце 2016 года принят подготовленный в Минкомсвязи проект Федерального закона «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях», устанавливающий существенное увеличение штрафов за нарушения, связанные с деятельностью УЦ.
Отдельно следует отметить требование Федерального закона от 06.04.2011 № 63-Ф3 к аккредитованным удостоверяющим центрам вносить информацию в Единую систему идентификации и аутентификации (ЕСИА) о выданных ими квалифицированных сертификатах ключей проверки электронной подписи, а также данные о регистрации пользователей в ЕСИА. В целях исполнения этого требования была решена задача по созданию сервиса в Единой системе межведомственного взаимодействия (СМЭВ) и соответствующего программного обеспечения, так называемых коннекторов, средствами которых УЦ подключены к СМЭВ в соответствии с регламентом СМЭВ. Указанная техническая проблема заслуживает отдельного внимания, потому что с 2017 года вводится в эксплуатацию СМЭВ версии 3.0,
что потребует полного обновления всего программного комплека УЦ, обеспечивающего подключение к СМЭВ.
Позиция Минкомсвязи вызывает у экспертного сообщества множество вопросов, которые можно обобщить и свести к трем основным:
1. Как сокращение числа аккредитованных УЦ до пяти согласуется с требованиями антимонопольного законодательства и установками Президента Российской Федерации на поддержку малого бизнеса?
2. Как сокращение числа аккредитованных УЦ отразится на смежных видах деятельности: разработке прикладного программного обеспечения для систем электронного документооборота, подготовке и переподготовке персонала удостоверяющих центров в соответствии с действующим законодательством РФ, разработке средств криптографической защиты информации и т.д.?
3. Планируется сокращение только коммерческих УЦ или это сокращение коснется также и ведомственных УЦ? В случае сокращения ведомственных аккредитованных УЦ планируются ли изменения в законодательстве, расширяющие область применения неквалифицированных подписей?
По первому вопросу следует отметить, что для малого предпринимательства рынок услуг УЦ де-факто уже закрыт. На наш взгляд, это скорее положительный, чем отрицательный результат проводимой регулятором оптимизации. В условиях малого предпринимательства практически невозможно обеспечить УЦ персоналом, имеющим достаточную профессиональную подготовку, а также обеспечить защиту программных комплексов УЦ на необходимом уровне. Единственным отрицательным моментом можно считать то, что малые УЦ могли бы играть заметную роль в популяризации и максимальном внедрении в хозяйственную деятельность субъектов предпринимательства систем электронного документооборота вместо бумажного делопроизводства [4, 5]. Следует отметить, что пока за всю историю существования аккредитованных удостоверяющих центров досрочно аккредитации лишились всего два УЦ и восемь УЦ прекратили свое существование, причем четыре УЦ из числа прекративших свое существование являлись ведомственными. Последние несколько лет количество удостоверяющих центов, получивших аккредитацию в течение года, существенно не меняется [6]. Трудно сказать, является это результатом действий регулятора или высокой конкуренции на рынке услуг УЦ (см. рис. 1). Из вышеизложенного следует, что большинство коммерческих УЦ получили аккредитацию в 2012 году, начали свою деятельность еще до принятия Федерального закона «Об электронной подписи», работают довольно продолжительное время и не планируют уход с рынка.
В целях оценки эффективности принимаемых регулятором мер по сокращению количества аккредитованных удостоверяющих центров, нами на основании данных, размещенных на официальном сайте регулятора [6], получен график, на котором по вертикали показано количество удостоверяющих центров, прошедших аккредитацию в течение 2012-2016 годов, по горизонтали - календарные даты аккредитации (рис. 1).
Из графика следует, что действия регулятора пока не принесли желаемого результата, так как последние несколько лет количество удостоверяющих центров, получивших аккредитацию в течение года, существенно не меняется. Следует отметить, что пока за всю историю существования аккредитованных удостоверяющих центров досрочно аккредитации лишились всего два УЦ и восемь УЦ прекратили свою существование, причем четыре УЦ из числа прекративших свое существование являлись ведомственными. Из этого обстоятельства и рисунка 1 также следует, что большинство коммерческих УЦ, получивших аккредитацию в 2012 году, начали свою деятельность еще до принятия Федерального закона «Об электронной подписи», работают довольно продолжительное время и не планируют уход с рынка услуг УЦ. Аналогичная массовой аккредитации коммерческих УЦ в 2012 г. массовая аккредитация ведомственных УЦ произошла в 2013 г., так как для ведомственных УЦ целесообразность аккредитации была неочевидна и решение по аккредитации было принято только после принятия ряда подзаконных правовых актов.
30
25
20
29 Об 12 15.01 13 03 08 13 19 02 14 07 09 14 26 03 15 12 10 15 29 04.16 15 11 16
-коммерческие УЦ ведомственные УЦ
Рис. 1. Количество аккредитованных УЦ, прошедших аккредитацию в течение 2012-2016 годов
Опасения, обозначенные во втором вопросе, являются более чем оправданными. По состоянию на сегодняшний день абсолютное большинство УЦ разрабатывают сами или являются заказчиками программного обеспечения, необходимого как для функционирования систем электронного документооборота (далее СЭДО), так и для обеспечения деятельности самого УЦ. В результате сокращения аккредитованных УЦ большинство этих СЭДО прекратят свое существование, что может снизить конкуренцию в соответствующем сегменте рынка программного обеспечения и, как следствие, привести к снижению качества разрабатываемых программных продуктов. Таким образом, существует высокая вероятность того, что искусственное сокращение УЦ может повлечь негативные последствия для экономики отрасли, связанной с развитием электронного документооборота, ликвидацией заметного числа рабочих мест и, как уже отмечалось выше, нанести ущерб смежным видам деятельности.
Суть третьего вопроса состоит в том, что по состоянию на сегодняшний день в большинстве подзаконных актов, регулирующих применение электронной подписи в СЭДО государственных и муниципальных органов, установлено требование по применению усиленной квалифицированной электронной подписи, для выдачи которой требуется аккредитованный УЦ. В том случае, если планируется сокращение ведомственных аккредитованных УЦ, целесообразно одновременно внести изменения в законодательство, позволяющие более широко применять в ведомственных СЭДО неквалифицированную электронную подпись и про-
стую электронную подпись. Возможно, имеет смысл передать часть задач ведомственных УЦ на договорной основе коммерческим УЦ, так как опыт показал, что коммерческие УЦ быстрее реагируют на изменения правил деятельности, в частности, большинство коммерческих УЦ прошли процедуру аккредитации на год раньше ведомственных УЦ (рис. 1).
В заключение можно сказать, что практика создания деятельности УЦ непрерывно совершенствуется, что способствует созданию безопасной среды оборота достоверной информации, в том числе в кредитно-финансовой сфере. Однако, на наш взгляд, для того чтобы оптимизация системы УЦ не нанесла ущерб национальной безопасности Российской Федерации, при ее проведении следует обратить внимание на решение следующих вопросов:
1. Необходимо на уровне нормативно-правового акта Российской Федерации закрепить понятие «Ведомственного удостоверяющего центра» и разработать отдельные требования к коммерческим УЦ и к государственным органам или органам местного самоуправления, имеющим в своем составе структурные подразделения, осуществляющие функции УЦ.
2. В целях повышения качества услуг УЦ регулятор должен продолжить усиление требований к коммерческим аккредитованным удостоверяющим центрам, которое должно способствовать достижению поставленной цели. Например, ввести процедуру выездной проверки при аккредитации УЦ. Такая процедура позволит изучить реальные условия деятельности удостоверяющего центра, претендующего на статус аккредитованного.
3. С целью минимизации возможных негативных последствий создать условия, при которых сокращение числа удостоверяющих центров будет проходить постепенно в течение нескольких лет.
Примечания:
1. О Стратегии национальной безопасности Российской Федерации: указ Президента РФ от 31.12.2015 № 683 // СПС КонсультантПлюс. М., 2016.
2. Об утверждении Доктрины информационной безопасности Российской Федерации: указ Президента РФ от 05.12.2016 № 646 // СПС КонсультантПлюс. М., 2016.
3. Официальный Интернет-ресурс Минкомсвязи России. Свидетельство о регистрации СМИ Эл № ФС77-32622 от 22 июля 2008 г. URL: http://minsvyaz.ru
4. Киздермишов А.А. Компьютерные системы обмена юридически значимыми электронными документами в Республике Адыгея // Образование -наука - технологии (I сессия). XII неделя науки МГТУ. VIII Всероссийская научно-практическая конференция студентов, аспирантов, докторантов и молодых ученых. 2006. С. 87-89.
5. Киздермишов А.А. Проблемы эффективного внедрения автоматизированных систем электронного документооборота // Новые технологии: сб. науч. тр. Майкопского государственного технологического университета. Майкоп: Качество, 2006. С. 55-57.
6. Портал уполномоченного федерального органа в области использования электронной подписи. URL: e-trust.gosuslugi.ru
References:
1. On the national security strategy of the Russian Federation: Decree of the RF President of 31.12.2015 No. 683 // SPS ConsultantPlus. M., 2016.
2. On the approval of the Doctrine of the Russian Federation Information Security: Decree of the RF President of 05.12.2016 No. 646 // SPS ConsultantPlus. M., 2016.
3. The official Internet resource of the Ministry of Communications of Russia. The certificate of registration of mass media E-number FS77-32622 of July 22, 2008. URL: http://minsvyaz.ru
4. Kizdermishov A.A. Computer system of exchange of legally significant electronic documents in the Republic of Adygheya // Education - Science - Technology (I session). Xll week of MSTU science. VIII Russian scientific and practical conference of students, graduate students, doctoral students and young scientists. 2006. P. 87-89.
5. Kizdermishov A.A. Problems of the effective implementation of the automated systems of electronic document circulation // New technologies: coll. of proceedings of Maikop State University of Technology. Maikop: Kachestvo, 2006. P. 55-57.
6. Portal of the authorized Federal body in the field of using electronic signature. URL: e-trust.gosuslugi.ru
