Закон об электронной подписи

Скачать текст нового закона об ЭЦП.

 

RBC.ru

Президент России Дмитрий Медведев подписал федеральный закон "Об электронной подписи", принятый Госдумой 25 марта 2011 г. и одобренный Советом Федерации 30 марта 2011 г. Об этом сообщает пресс-служба главы Российского государства.

Необходимость нового документа обусловлена тем, что положения действующего закона об электронной подписи не соответствуют современным принципам регулирования электронных подписей, которые действуют в европейских государствах.

Так, на сегодняшний день законодательство РФ допускает использование только одной технологии электронной подписи (основанной на технологии асимметричных ключей подписи) и делает необходимой иерархическую систему удостоверяющих центров. В сферу регулирования закона об электронной подписи не включены отношения, которые не являются гражданско-правовыми сделками, также законом не допускается электронная подпись юридических лиц. Действующий закон не согласован с иными законодательными актами РФ, в том числе — о лицензировании отдельных видов деятельности и о техническом регулировании. Закон устраняет эти недостатки действующего закона. Кроме того, в документе изменено определение электронной подписи, в котором закреплен основной признак, присущий всем видам таких подписей — возможность ее использования для идентификации подписавшего информацию в электронно-цифровой форме физлица или юрлица.

An error occurred.

Предусмотрены механизмы признания иностранных электронных подписей.

Выделяются три вида электронной подписи:

  • простая электронная подпись,
  • усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись),
  • усиленная квалифицированная электронная подпись (квалифицированная электронная подпись).

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая: получена в результате криптографического преобразования информации с использованием ключа подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после его подписания; создается с использованием средств электронной подписи.

Квалифицированная электронная подпись соответствует всем признакам неквалифицированной электронной подписи. Кроме того, ключ проверки такой подписи указан в квалифицированном сертификате, а для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим федеральным законом.

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

В новом документе предусмотрена ответственность удостоверяющих центров, а также тех, кто использует усиленную или квалифицированную электронную подпись, за причиненный вред в результате нарушения правил их использования. Определены обязанности участников электронного взаимодействия при использовании усиленной электронной подписи, условия признания электронных документов, подписанных электронной подписью, признания иностранных электронных подписей.

Закон сохраняет наиболее активно используемое положение о том, что правила использования электронной подписи в корпоративной информационной системе устанавливаются решением владельца такой системы или соглашением участников отношений.

Закон вступает в силу со дня его официального опубликования. При этом федеральный закон от 10 января 2002 г. "Об электронной цифровой подписи" признается утратившим силу с 1 июля 2012 г. Сертификаты ключей подписи, выданные в соответствии с действующим законом, будут действовать до истечения установленного в них срока.

Какие изменения ждут нас в связи с этим? В России стартует массовое использование нового вида электронной подписи — квалифицированной. Эта подпись уже принята рядом госорганов и торговых площадок. Большинству пользователей для сдачи отчетности в электронном виде и участия в электронных торгах (за исключением госзакупок) уже к 1 июля понадобится получить квалифицированные сертификаты электронной подписи.

Закон № 63-ФЗ действует уже два года, почему вопрос о переходе к новому виду подписи возник именно сейчас?

Изначально предполагалось, что законы № 1-ФЗ и № 63-ФЗ будут действовать параллельно в течение одного года (до 1 июля 2012 года). Это время требовалось для перехода участников рынка и госорганов на новые сертификаты и правила работы с электронной подписью. Практика показала, что одного года мало для успешного перехода, в связи с чем этот срок вначале пришлось увеличить еще на год (до 1 июля 2013 года), а затем продлить и до 1 января 2014 года. Часть нормативных актов, касающихся использования квалифицированной подписи, появилась в последние 6-8 месяцев, другие еще только прорабатываются. В результате, например, переход пользователей электронной отчетности к использованию квалифицированной электронной подписи стал возможен лишь во втором квартале этого года. Наложение этих событий и стало причиной повышения активности, связанной с переходом к использованию нового вида подписи.

В законе N2 63-ФЗ есть положения (статья 19, п. 1 и п. 2), согласно которым сертификаты подписи, выданные в соответствии с Законом № 1-ФЗ, признаются квалифицированными сертификатами подписи в соответствии с Законом № 63-ФЗ. Зачем пользователю нужна квалифицированная подпись? Ведь можно получить подпись, соответствующую Закону № 1-ФЗ до 1 января 2014 года и спокойно использовать ее до окончания срока действия.

Вопрос применения элекронной подписи носит не только юридический, но и технический характер. Сертификат квалифицированной подписи содержит иной набор данных по сравнению с сертификатом, соответствующим Закону № 1-ФЗ. Ключевое отличие — наличие поля СНИЛС (страховой номер индивидуального лицевого счета в ПФР России). Поэтому, хоть юридически они и приравниваются друг к другу, существует вероятность, что нужная вам информационная система технически будет готова к работе только с квалифицированными сертификатами, содержащими полный набор данных, и сертификаты, соответствующие Закону № 1-ФЗ, просто не примет. В такой ситуации безопаснее иметь два сертификата или своевременно перейти к использованию квалифицированного сертификата.

Откуда возникает столько вопросов о переходе разных пользователей к использованию квалифицированной подписи? Разве она не будет универсальной для всех?

Требования к использованию квалифицированной подписи, зафиксированные в нормативных актах, распространяются на ограниченный круг информационных систем госорганов (таких как портал gosuslugi.ru, система СМЭВ, системы приема отчетности
ФНС России и ПФР, другие информационные системы).

Российская федерация федеральный закон об электронной цифровой подписи

Иные участники рынка, включая большинство торговых площадок, вправе самостоятельно определять требования к используемой электронной подписи. Это значит, что они вправе использовать как квалифицированную подпись, так и подпись, соответствующую Закону № 1-ФЗ (в рамках Закона № 63-ФЗ она может рассматриваться как неквалифицированная подпись). В результате не все торговые площадки и информационные системы даже к окончанию срока действия Закона № 1-ФЗ будут готовы принимать квалифицированную электронную подпись.

Какие действия в текущей ситуации можно рекомендовать пользователям электронной подписи?

Если вы сдаете отчетность в госорганы, как можно быстрее обратитесь в свой удостоверяющий центр для получения квалифицированной подписи, так как уже в ближайшую отчетную кампанию пользователям может понадобиться новая подпись.

Если вы участвуете в госзакупках, вам пока не о чем беспокоиться, поскольку сначала ФАС и Минэкономразвития должны изменить требования к подписи для госзакупок, и только после этого вам будет нужно заменить подпись. Однако уже сейчас вы можете приобрести услугу «Сопровождение сертификата подписи», чтобы в будущем избежать непредвиденных затрат на замену сертификата. Если вы участвуете в любых других видах электронных торгов, рекомендуем вам получить квалифицированную подпись, так как ряд торговых площадок уже перешел к ее использованию. Подпись, соответствующая Закону № 1-ФЗ, может быть вашим резервным инструментом в работе.

Если вы клиент ООО «Гарант-Центр», мы предлагаем вам обратиться к нашим специалистам по телефону 8(495) 966-31-15, чтобы как можно скорее получить консультацию о переходе на квалифицированную электронную подпись. А если вы еще не успели стать нашим клиентом, мы обеспечим вам лучшие условия для получения квалифицированной подписи для любых сфер ее применения!

Федеральный закон об электронной цифровой подписи

Закон "Об электронной цифровой подписи"

Закон РФ «Об электронной цифровой подписи»

Рассмотренные до сих пор модели организации инфраструктуры открытых ключей (ИОК), в том числе на основе применения метода сертификации открытых ключей, описывают техническую сторону процесса управления ключами. На практике существенное значение имеют правовые вопросы регулирования деятельности, связанной с управлением ключами в сложных информационных системах, таких как виртуальные частные сети.

В Российской Федерации основным документом, регулирующим правовые аспекты деятельности, связанной с задачами управления ключами и функционированием УЦ, является Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи». В связи с его важностью для построения информационной инфрастуктуры государства рассмотрим его более подробно (в дополнение к главе 2 «Нормативно-правовое обеспечение информационной безопасности в РФ»).

Целью этого закона является обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной (традиционной) подписи в документе на бумажном носителе. Его действие распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством Российской Федерации случаях.

Закон выделяет два вида информационных систем, в которых может иметь место деятельность, связанная с поддержанием ИОК: информационные системы общего пользования и корпоративные информационные системы. Под информационной системой общего пользования понимается «информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано». Корпоративная информационная система, согласно определению, данному в законе, – это «информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы».

Закон определяет условия использования ЭЦП, давая юридическую трактовку понятий и условий, возникающих при использовании ИОК. Так, ЭЦП признается равнозначной собственноручной подписи при соблюдении следующих трех условий:

— сертификат ключа подписи, относящийся к этой ЭЦП, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

— подтверждена подлинность ЭЦП в электронном документе;

— ЭЦП используется в соответствии со сведениями, указанными

— в сертификате ключа подписи.

Обязательным условием использования средств ЭЦП в информационных системах общего пользования в Российской Федерации является применение только сертифицированных средств ЭЦП. Возмещение убытков, причиненных в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации. Согласно закону, использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.

Закон определяет состав информации, которая в обязательном порядке должна заноситься в сертификат открытого ключа.

Федеральный закон об электронной подписи № 63

Это уникальный регистрационный номер сертификата ключа подписи, даты начала и окончания срока действия сертификата ключа подписи, находящегося в реестре УЦ, фамилия, имя и отчество владельца сертификата ключа подписи или его псевдоним, открытый ключ электронной цифровой подписи, наименование средств электронной цифровой подписи, с которыми используется данный открытый ключ электронной цифровой подписи, наименование и место нахождения УЦ, выдавшего сертификат ключа подписи, сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. Определяются также порядок проверки сертификата, при котором он признается действительным, сроки архивного хранения сертификатов ключей подписи с целью разрешения возможных конфликтных ситуаций, связанных с принадлежностью ЭЦП.

В законе «Об электронной цифровой подписи» также изложены правовые основы деятельности УЦ. Так, определяется статус УЦ. УЦ, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные законом «Об электронной цифровой подписи». При этом:

— УЦ должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.

— Статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы.

Деятельность УЦ подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности.

В законе «Об электронной цифровой подписи» детально изложены права и обязанности УЦ, порядок выдачи им сертификатов ключей подписи, отношения между УЦ и уполномоченными федеральными органами исполнительной власти РФ, обязательства УЦ по отношению к владельцу сертификата ключа подписи, обязательства владельца сертификата ключа подписи. Описаны порядок приостановления действия и аннулирования ключа цифровой подписи. Определяется возможность и описывается порядок прекращения действия УЦ на территории Российской Федерации.

Особая часть закона посвящена особенностям использования ЭЦП в Российской Федерации. Отдельные статьи закона посвящены использованию ЭЦП в сфере государственного управления, в корпоративных информационных системах, вопросам признания иностранных сертификатов ключей ЭЦП, а также случаям, когда ЭЦП может замещать собственноручные подписи на документах, заверенных печатями организаций.

Следует помнить о различиях между нормативно-техническими документами международных организаций и законодательными актами. Закон «Об электронной цифровой подписи» регулирует правоотношения, возникающие при создании и деятельности УЦ только в целях обеспечения возможности использования ЭЦП и организации электронного документооборота. Нормативные технические модели международных организаций, с одной стороны, не ограничивают возможности использования УЦ для той или иной конкретной цели (наряду с открытыми ключами ЭЦП УЦ мог бы заверять и любые другие ключи, необходимые для использования в защищенных коммуникационных протоколах любого уровня, не ограничиваясь только задачами электронного документооборота), но с другой стороны, не могут давать никаких юридических гарантий использования таких УЦ. В отличие от них закон формулирует правовые основы деятельности УЦ в Российской Федерации, но только в части, связанной с использованием ЭЦП в электронных документах.

Контрольные вопросы

— Что понимается под термином управление криптографическими ключами? Какова основная цель и основные задачи управления ключами?

— В чем, на Ваш взгляд, отличие жизненного цикла секретных и открытых криптографических ключей?

— Каковы перспективы практического применения концепции инфраструктуры открытых ключей?

— Изложите в общих чертах существо сертификации открытых ключей.

— Каким образом распространяются открытых ключей в криптосистемах?

— Укажите преимущества симметричных криптосистем, определившие их как национальные стандарты государств.

— Что такое удостоверяющий центр?

— Для чего применяются хэш-функции?

— Какие классы преобразования распространены в симметричных системах?

— Для чего необходима электронная цифровая подпись?

Заключение

В заключении рассмотрения проблематики информационной безопасности необходимо отметить, что в настоящий исторический момент это одна из самых развивающихся естественных наук.

В учебнике изложены наиболее распространенные в настоящее время подходы, методы и технологии защиты информации. Выбор данных решений для конкретных информационных систем должен быть основан на более глубоком анализе слабых и сильных сторон тех или иных методов защиты, который, очевидно, должны провести технические специалисты. Однако, роль руководителя подразделения, организации, предприятия всегда была и будет ключевой в формировании общей политики безопасности. Постановка задачи по принципу: «Сделайте так, что бы все было хорошо», — просто неуместна сегодня, в эпоху развитых информационных технологий. Поэтому каждый «непрофильный» специалист в области информационной безопасности должен правильно оценивать остроту проблемы защиты компьютерных коммуникаций, понимать сложность, содержание и цену тех или иных решений. Это становится особенно важным, когда наступает время самостоятельного принятия решения, в том числе и по информационной безопасности. Другими словами, изучение курса «Информационная безопасность и применение информационных технологий в борьбе с преступностью» является закономерным шагом в эволюции любых профессиональных знаний и их совершенствовании. Следите за развитием информационных технологий защиты и широко используйте их сегодня.