CC BY
264
ИНФОРМАЦИОННОЕ ПРАВО
М.В.Бородин*
Субъекты электронного документооборота
Аннотация. В правовом, организационном и техническом аспекте электронный документооборот является достаточно емкой деятельностью со сложным субъектным составом по применению электронной подписи, требующей как лицензирования, так и обеспечения адекватного уровня информационной безопасности. На основании исследуемых базовых в сфере электронного документооборота Закона об информации и Закона об электронной подписи определяются соответствующие субъекты. В противовес заключению Комитета Совета Федерации по экономической политике, предпринимательству и собственности по Закону об электронной подписи автор утверждает о появлении аккредитующего органа в качестве нового субъекта отношений. Фиксируется, что деятельность по созданию и выдаче цифровых сертификатов является лицензируемой не только для аккредитованных удостоверяющих центров. С целью обеспечения адекватного уровня информационной безопасности, необходимости защиты персональных данных и выполнения требований по лицензируемым видам деятельности автор считает целесообразным ввести в правовой оборот термины «администратор информационной безопасности» и «пользователь средств криптографической защиты информации». Вектор правового регулирования предлагается сместить в сторону более детальной проработки субъектного состава информационных правоотношений, возникающих в процессе электронного документооборота.
Ключевые слова: электронный документооборот, участники электронного взаимодействия, субъекты, лицензирование, удостоверяющий центр, аккредитующий орган, администратор информационной безопасности, пользователь, потребитель, криптографическая защита информации, персональные данные.
001: 10.17803/1994-1471.2015.60.11.118-124
Последние шаги в направлении конкретизации предмета отношений в информационной сфере представляют собой легитимное определение информационного объекта как сферы интереса любого субъекта1. Документ является информационным
1 Бачило И. Л. Меняются ли функции права в условиях информатизации? // Информационное право и становление основ гражданского общества в Рос-
объектом, с помощью которого реализуются правоотношения субъектов и движение которого в его жизненном цикле и правовом
сии : сб. статей. М., 2008. С. 210. Также см.: Распоряжение Правительства РФ от 27 сентября 2004 г. № 1244-р «О Концепции использования информационных технологий в деятельности федеральных органов государственной власти до 2010 года и плане мероприятий по ее реализации» // Собрание законодательства РФ. 2004. № 40. От. 3981.
© Бородин М. В., 2015
* Бородин Максим Викторович — аспирант кафедры конституционного и административного права
Южно-Уральского государственного университета (ЮУрГУ)
[borodin.maksim@gmail.com]
454047, Россия, г. Челябинск, 60 лет Октября, д. 2, кв. 4 118 Актуальные проблемы российского права. 2015. № 11 (60) ноябрь
пространстве, где действуют субъекты, образует документооборот2. Информационные правоотношения, возникающие в процессе электронного документооборота, зависят не только от правового режима информационных объектов, но и от наибольшей ясности в составе и правовом статусе субъектов электронного документооборота — участников электронного взаимодействия.
В то же время специальной статьи о субъектах как в информационной сфере в общем, так и плоскости документооборота и электронного документооборота в российском информационно-правовом поле на данном этапе нет. Анализируя базовый трехглавый Федеральный закон «Об информации, информационных технологиях и о защите информации»3 и Федеральный закон «Об электронной подписи»4 (далее — Закон об электронной подписи], выведем следующие субъекты юридически значимого электронного документооборота:
1. Обладатель информации — лицо, самостоятельно создавшее информацию либо получившее на основании закона или договора право разрешать или ограничивать доступ к информации, определяемой по каким-либо признакам.
2. Оператор информационной системы — гражданин или юридическое лицо, осуществляющие деятельность по эксплуатации информационной системы, в том числе по обработке информации, содержащейся в ее базах данных.
3. Владелец сертификата ключа проверки электронной подписи — лицо, которому в установленном Законом об электронной подписи порядке выдан сертификат ключа проверки электронной подписи.
4. Удостоверяющий центр — юридическое лицо или индивидуальный предпри-
2 Семилетов С. И. Документы и документооборот как объект правового регулирования : дис. ... канд. юрид. наук. М., 2003. С. 105.
3 Федеральный закон от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Российская газета. 2006. № 165.
4 Федеральный закон от 6 апреля 2011 г. № 63-Ф3 «Об электронной подписи» // Российская газета. 2011. № 75.
ниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные Законом об электронной подписи.
5. Участники электронного взаимодействия — осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, а также граждане.
6. Уполномоченный федеральный орган в сфере использования электронной подписи — федеральный орган исполнительной власти, осуществляющий функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий (далее — Минкомсвязь].
7. Федеральный орган исполнительной власти в области обеспечения безопасности (далее — ФСБ].
Отметим, что усиленная электронная подпись, в том числе усиленная неквалифицированная электронная подпись и усиленная квалифицированная электронная подпись, является электронной подписью, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи. Однако законодатель закрепил, что исключительно аккредитованный удостоверяющий центр одновременно с выдачей квалифицированного сертификата должен выдать владельцу квалифицированного сертификата руководство по обеспечению безопасности использования квалифицированной электронной подписи и средств квалифицированной электронной подписи. При этом владелец квалифицированного сертификата обязан:
— не использовать ключ электронной подписи и немедленно обратиться в аккредитованный удостоверяющий центр, выдавший квалифицированный сертификат, для прекращения действия этого сертификата при наличии оснований полагать, что конфиденциальность ключа электронной подписи нарушена;
— использовать квалифицированную электронную подпись в соответствии с ограничениями, содержащимися в квалифицированном сертификате (если такие ограничения установлены].
С учетом того, что удостоверяющий центр обладает специальным статусом в области специализированной информационной деятельности, полагаем акцентирование вышеуказанных требований по обеспечению информационной безопасности на аккредитованном удостоверяющем центре необоснованным. Данные положения должны быть направлены на удостоверяющий центр как таковой в силу использования особого правового института — лицензирования. Тем не менее в Законе об электронной подписи не сказано про такой субъект правоотношений, как лицензирующий орган.
Право удостоверять идентичность технологии цифровой подписи осуществляется на основании лицензии на право осуществления деятельности по изготовлению и распределению ключевых документов и (или] исходной ключевой информации для выработки ключевых документов с использованием аппаратных, программных и программно-аппаратных средств, систем и комплексов изготовления и распределения ключевых документов для шифровальных (криптографических] средств. Порядок выдачи данного вида разрешительного документа определяется законодательством Российской Федерации5. Постановлением Правительства РФ от 16.04.2012 № 313 утверждено Положение о лицензировании деятельности, связанной с криптографическими средствами, которое устанавливает требования к квалифицированному персоналу удостоверяющего центра6:
5 Федеральный закон от 4 мая 2011 г. № 99-ФЗ «О лицензировании отдельных видов деятельности» // Российская газета. 2011. № 97.
6 Постановление Правительства РФ от 16 апреля 2012 г. № 313 «Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических] средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических] средств, выполнению работ, оказанию услуг в области шифрования информации, техническому обслуживанию шифровальных (криптографических] средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических] средств (за исключением случая, если техническое обслуживание шифровальных (криптографических] средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифроваль-
— руководитель и (или] лицо, уполномоченное руководить работами в рамках лицензируемой деятельности, имеющие высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или] прошедшие переподготовку по одной из специальностей этого направления (нормативный срок — свыше 500 аудиторных часов], а также имеющие стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет;
— инженерно-технический работник (минимум 1 человек], имеющий высшее профессиональное образование по направлению подготовки «Информационная безопасность» в соответствии с Общероссийским классификатором специальностей и (или] прошедший переподготовку по одной из специальностей этого направления (нормативный срок — свыше 500 аудиторных часов], а также имеющий стаж в области выполняемых работ в рамках лицензируемой деятельности не менее 3 лет.
Необходимо отметить, что одним из требований для аккредитации удостоверяющего центра является наличие в его штате не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее образование в области информационных технологий или информационной безопасности либо высшее образование или среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи. Таким образом, даже на уровне требований к квалифицированному персоналу удостоверяющего центра сталкиваемся с юридической коллизией.
На этом основании полагаем в качестве одного из субъектов электронного документооборота определить администратора информационной безопасности. В своей специализированной деятельности администратор
ных (криптографических] средств, осуществляется для обеспечения собственных нужд юридического лица или индивидуального предпринимателя]» // Собрание законодательства РФ. 23.04.2012. № 17. Ст. 1987.
информационной безопасности как лицо, ответственное за управление ключевой инфраструктурой, должен постоянно учитывать, что несанкционированное использование ключей электронной подписи посторонними лицами приводит к утечке конфиденциальной информации, подделке или искажению юридически значимых электронных документов от имени лица, обладающего персональным ключом электронной подписи.
Устанавливая требования к форме квалифицированного сертификата7, к средствам электронной подписи и средствам удостоверяющего центра8, ФСБ также осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с Законом об электронной подписи. Подчеркнем, что утвержденное приказом ФСБ Положение ПКЗ-20059 основывается в том числе на Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну10. Согласно данной Инст-
7 Приказ ФСБ РФ от 27 декабря 2011 г. № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (зарегистрирован в Минюсте РФ 27.01.2012 № 23041] // Бюллетень нормативных актов федеральных органов исполнительной власти. 16.04.2012. № 16.
8 Приказ ФСБ РФ от 27 декабря 2011 г. № 796 «Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра» (зарегистрирован в Минюсте РФ 09.02.2012 № 23191] // Бюллетень нормативных актов федеральных органов исполнительной власти. 16.04.2012. № 16.
9 Приказ ФСБ РФ от 9 февраля 2005 г. № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических] средств защиты информации (Положение ПКЗ-2005]» // Бюллетень нормативных актов федеральных органов исполнительной власти. 2005. № 11; 2010. № 24.
10 Приказ ФАПСИ от 13 июня 2001 г. № 152 «Об утверждении Инструкции об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным
доступом, не содержащей сведений, составляющих
рукции пользователями средств криптографической защиты информации (далее — СКЗИ] именуются физические лица, непосредственно допущенные к работе с СКЗИ после соответствующего обучения. На наш взгляд, участники электронного взаимодействия, включая владельцев сертификатов ключей проверки электронной подписи и владельцев квалифицированных сертификатов, являются непосредственными пользователями СКЗИ. При этом, с нашей точки зрения, категорически запрещается допускать к самостоятельной работе с СКЗИ лиц, не прошедших инструктаж. Ответственность за допуск к работе пользователей СКЗИ должен нести администратор информационной безопасности.
Кроме того, квалифицированный сертификат подлежит созданию с использованием средств аккредитованного удостоверяющего центра. Необходимо отметить, что в Законе об электронной подписи появился специальный субъект правоотношений — аккредитующий орган. Однако в заключении Комитета Совета Федерации по экономической политике, предпринимательству и собственности по Закону об электронной подписи зафиксировано, что обеспечивается преемственность правового регулирования в рассматриваемой сфере; не изменена структура, субъекты и предмет отношений, регулируемых Федеральным законом «Об электронной цифровой подписи»11. Однако в плоскости электронного документооборота Минкомсвязь выступает в качестве:
1] аккредитующего органа (уполномоченный федеральный орган в сфере исполь-
государственную тайну» (зарегистрирован в Минюсте РФ 06.08.2001 № 2848] // Бюллетень нормативных актов федеральных органов исполнительной власти. 20.08.2001. № 34. Примечание: Указом Президента РФ от 11.03.2003 № 308 с 1 июля 2003 г. Федеральное агентство правительственной связи и информации при Президенте РФ (ФАПСИ] упразднено и его функции переданы ФСБ РФ, СВР РФ и Службе специальной связи и информации при ФСО РФ. Также см.: на указанный приказ ФАПСИ от 13.06.2001 № 152 ссылается в том числе в Информационном сообщении Росфинмониторинг «О разъяснении отдельных вопросов по порядку направления сообщений об операциях с денежными средствами или иным имуществом в электронном виде после 1 июля 2013 года».
11 Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» // Российская газета. 2002. № 6; 2007. № 254.
зования электронной подписи] — осуществляет аккредитацию удостоверяющих центров, проводит проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены Законом об электронной подписи и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений;
2] головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров (головной удостоверяющий центр не подлежит аккредитации в соответствии с Законом об электронной подписи]12;
3] федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, который устанавливает:
— порядок передачи реестров квалифицированных сертификатов и иной информации в уполномоченный федеральный орган в случае прекращения деятельности аккредитованного удостоверяющего центра13;
— порядок формирования и ведения реестров квалифицированных сертификатов, а также предоставления информации из таких реестров14;
12 Приказ Минкомсвязи России от 13 апреля 2012 г. № 108 «Об обеспечении осуществления Министерством связи и массовых коммуникаций Российской Федерации функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров» (вместе с «Положением об информационной системе головного удостоверяющего центра, функции которого осуществляет федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи»] (зарегистрирован в Минюсте России 26.04.2012 № 23950] // Российская газета. 11.05.2012. № 105.
13 Приказ Минкомсвязи РФ от 29 сентября 2011 г. № 242 «Об утверждении порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра» (зарегистрирован в Минюсте РФ 17.11.2011 № 22329] // Бюллетень нормативных актов федеральных органов исполнительной власти. 12.12.2011. № 50.
14 Приказ Минкомсвязи РФ от 05 октября 2011 г.
правила аккредитации удостоверяющих центров, порядок проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены Законом об электронной подписи и на соответствие которым эти удостоверяющие центры были аккредитованы15.
К тому же при оказании услуг удостоверяющего центра необходимо обеспечивать безопасность персональных данных, т.е. принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных дан-ных16. Государственную функцию по осуществлению государственного контроля (надзора] за соответствием обработки персональных данных требованиям законодательства Российской Федерации в области персональных данных исполняет Федеральная служба по надзору в сфере связи, информационных технологий и массовых коммуникаций (далее — Роскомнадзор]. Контроль за выполнением требований к защите персональных данных при их обработке в информационных системах персональных данных организуется и проводится оператором (уполномоченным лицом] самостоятельно и (или] с привлечением на договорной основе юридических лиц и индивидуальных предпринимателей, имеющих лицензию на осущест-
№ 250 «Об утверждении Порядка формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров» (зарегистрирован в Минюсте РФ 28.11.2011 № 22406] // Российская газета. 09.12.2011. № 278.
15 Приказ Минкомсвязи России от 23 ноября 2011 г. № 320 «Об аккредитации удостоверяющих центров» (вместе с «Правилами аккредитации удостоверяющих центров», «Порядком проверки соблюдения аккредитованными удостоверяющими центрами требований, на соответствие которым эти удостоверяющие центры были аккредитованы»] (зарегистрирован в Минюсте России 04.05.2012 № 24067] // Российская газета. 18.05.2012. № 112.
16 Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных» // Российская газета. 2006. № 165.
вление деятельности по технической защите конфиденциальной информации, которую выдает Федеральная служба по техническому и экспортному контролю (ФСТЭК]17. Также операторы персональных данных назначают лицо, ответственное за организацию обработки персональных данных, функции которого, на наш взгляд, может и должен исполнять квалифицированный администратор информационной безопасности.
Обобщая вышеизложенную информацию, считаем целесообразным выделить следующие субъекты электронного документооборота:
1] непосредственные участники (в том числе обладатель, пользователь и потребитель информации, а также отправитель и получатель сообщения];
2] пользователи СКЗИ;
3] администратор информационной безопасности (с исполнением функции организации обработки персональных данных];
4] оператор информационной системы (в том числе оператор информационной системы персональных данных];
5] удостоверяющий центр;
6] лицензирующие и сертифицирующие органы (ФСБ, ФСТЭК];
7] аккредитующий орган (Минкомсвязь];
8] надзорный орган (Роскомнадзор].
Государственное регулирование опре-
17 Постановление Правительства РФ от 01 ноября 2012 г. № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» // Российская газета. 07.11.2012. № 256.
деляется как способ нормативно-правового упорядочения деятельности субъектов18. Документооборот является одним из средств обеспечения и реализации функциональных полномочий органов государственной власти, регулирования общественных отношений, управления государством, а также средством общения органов государственной власти между собой19. Предлагаем в качестве субъектов юридически значимого электронного документооборота ввести в правовой оборот термины «администратор информационной безопасности» и «пользователь средств криптографической защиты информации», основные информационные права и обязанности которых будут определять правовой статус данных субъектов. Заметим особо, пишет Бачило И. Л., что термины «потребитель» и «пользователь» в информационной сфере пока не получили легальных опреде-лений20. Исходя из вышесказанного, можно сделать вывод, что понятийный аппарат и субъектный состав в области электронного документооборота сформирован фрагментарно и не учитывает необходимости создания адекватной степени доверия взаимодействующих в электронной сфере сторон, а также установления соответствующего уровня информационной безопасности.
18 Тихомиров Ю. А. Административное право и процесс. М., 2005. С. 117—221.
19 Бачило И. Л. Информационное право : учебник для вузов. М., 2010. С 173.
20 Бачило И. Л. Меняются ли функции права в условиях информатизации?С. 213.
Библиография:
1. Бачило И. Л. Информационное право : учебник для вузов. — М. : Юрайт, 2010. — 454 с.
2. Бачило И. Л. Меняются ли функции права в условиях информатизации? // Информационное право и становление основ гражданского общества в России : сб. статей. — М., 2008. — С. 210—213.
3. Семилетов С. И. Документы и документооборот как объект правового регулирования : дис. ... канд. юрид. наук. — М., 2003. — 198 с.
4. Тихомиров Ю. А. Административное право и процесс. Полный курс. — М. : Издание г-на Тихомирова М. Ю., 2005. — 698 с.
References (transliteration):
1. Bachilo I. L. Informacionnoe parvo : uchebnik dlja vuzov. — M. : Jurajt, 2010. — 454 c.
2. Bachilo I. L. Menjajutsja li funkcii prava v uslovijah informatizacii? // Informacionnoe pravo i stanovlenie osnov grazhdanskogo obshhestva v Rossii : sb. statej. — M., 2008. — S. 210—213.
3. Semiletov S. I. Dokumenty i dokumentooborot kak ob#ekt pravovogo regulirovanija : dis. ... kand. jurid. nauk. — M., 2003. — 198 c.
4. Tihomirov Ju. A. Administrativnoe pravo i process. Polnyj kurs. — M. : izd-vo Tihomirov M.Ju., 2005. — 698 c.
Материал поступил в редакцию 13 апреля 2015 г.
SUBJECTS OF THE ELECTRONIC DOCUMENT FLOW
Borodin, Maxim Victorovich — postgraduate student of the Department of Constitutional and Administartive Law of the
South Ural State University (SUSU)
[borodin.maksim@gmail.com]
454047, Russia, Chelyabinsk, ul. 60 let Oktyabrya, d.2, kv. 4
Review. Electronic document flow in legal, organizational and technical senses is a rather complex activity with a complicated composition of subjects that involves electronic signature where both licensing and ensuring the necessary level of information security are required. On the basis of fundamental electronic document flow laws, namely, the Information Act and the Electronic Signature Act the author identifies the subjects. In contrast to the resolution of the Federation Council Committee on Economic Policy, Entrepreneurship and Property concerning the Law on Electronic Signatures, the Author argues that an accrediting body has become a new subject of a new relationship. The Article states that creating and issuing new electronic certificates is to be licensed not only by authorized verification centers. In order to provide the necessary level of information security, the need for personal data protection and fulfilling requirements for licensed activities, the author considers that it is reasonable to introduce into legal use the terms "an administrator of information security" and "a user of cryptographic information protection". The Article offers to shift the direction of the legal regulation to more detailed research of subjects of information relationships that appear in the course of electronic documents flow. Keywords: electronic document flow, participants of electronic cooperation, subjects, licensing, verification center, licensing body, administrator of information security, user, consumer, cryptographic protection of information, personal data.
