Виды и условия использования электронных подписей в России
Принятый в 2011 году Федеральный закон "Об электронной подписи" от 06.04.2011 N 63-ФЗ(далее – Закон об электронной подписи) в значительной степени унифицирован с модельным законом ЮНСИТРАЛ об электронной подписи и соответствующей Директивой ЕС.
Под электронной подписью закон понимает любую информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Закон об электронной подписи технологически нейтрален, что обеспечивается следующими установленными им принципами, а именно:
◾правом участников электронного взаимодействия использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
◾возможностью использования участниками электронного взаимодействия по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования закона применительно к использованию конкретных видов электронных подписей;
◾недопустимостью признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Закон об электронной подписи предусматривает два их вида: простая электронная подпись и усиленная электронная подпись. При этом различаются усиленная неквалифицированная электронная подпись (далее — неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее — квалифицированная электронная подпись).
Простая подпись Усиленная подпись
Неквалифицированная Квалифицированная
Требования/функции Посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи;
5) сертификат может не создаваться.
Вдобавок:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются сертифицированные средства электронной подписи
Условия равнозначности подписанных электронной подписью документов документам на бумажном носителе В случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия Всегда, кроме случаев, когда федеральным законом предусмотрено составление документа на бумаге
Условия использования Документ считается подписанным при условии, что:
1) простая электронная подпись содержится в самом электронном документе; либо
2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
Акты (соглашения), предусматривающие использование простой подписи, должны содержать:
1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
Акты (соглашения), допускающие использование данной подписи, должны предусматривать порядок проверки электронной подписи Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием сертифицированных средств электронной подписи, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
Законом установлен «национальный режим» для иностранных электронных подписей – в России они признаются подписью того вида, признакам которого они соответствуют на основании Закона об электронной подписи. При этом электронная подпись и подписанный ею электронный документ не могут считаться не имеющими юридической силы только на том основании, что сертификат ключа проверки электронной подписи выдан в соответствии с нормами иностранного права.
Свои особенности имеет использование электронной подписи при предоставлении госуслуг:
◾Постановлением Правительства России определяются виды электронных подписей, использование которых допускается при обращении за получением определенных государственных и муниципальных услуг (при этом квалифицированная электронная подпись может использоваться во всех случаях);
◾Постановлением Правительства России закреплены правила использования простой электронной подписи при оказании государственных и муниципальных услуг, в том числе правила создания и выдачи ключей подписи и правила проверки подписи;
◾Законом закреплена возможность бесплатного получения любыми лицами ключей простых электронных подписей для использования в целях получения государственных и муниципальных услуг;
◾Законом предусмотрено, что для получения государственных и муниципальных услуг с использованием простых электронных подписей не должно требоваться использование специальных программных и аппаратных средств.
Запрос и иные документы, необходимые для предоставления госуслуги, подписанные простой электронной подписью и поданные заявителем через портал госуслуг, признаются равнозначными запросу и иным документам, подписанным собственноручной подписью и представленным на бумажном носителе, за исключением случаев, если обращение за получением конкретной госуслуги в электронной форме запрещено.
Инфраструктура электронных подписей
Закон об электронной подписи предусматривает специальную инфраструктуру только для усиленной (квалифицированной или неквалифицированной) электронной подписи. Инфраструктура использования простой электронной подписи в каждом случае должна определяться теми актами или соглашениями, которые допускают использование таких подписей в определенных целях (например, при использовании простой электронной подписи для предоставления госуслуг или для онлайн банкинга).
Инфраструктура электронной подписи предполагает наличие единых требований к удостоверяющим центрам, сертификатам и средствам электронной подписи. Требования к квалифицированным сертификатам и средствам квалифицированной электронной подписи, а также требования к аккредитованным удостоверяющим центрам являются дополнительными.
Требования к удостоверяющему центру Дополнительные требования к аккредитованному удостоверяющему центру
УЦ – это юридическое лицо или индивидуальный предприниматель, который:
1) создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);
2) устанавливает сроки действия сертификатов ключей проверки электронных подписей;
3) аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;
4) выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
5) ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;
6) устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети «Интернет»;
7) создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
8) проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
9) осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
10) осуществляет иную связанную с использованием электронной подписи деятельность.
АУЦ – только юридическое лицо (российское или иностранное), которое прошло аккредитацию в Минкомсвязи России на соответствие следующим требованиям:
1) стоимость чистых активов удостоверяющего центра составляет не менее чем один миллион рублей;
2) наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном таким удостоверяющим центром, или информации, содержащейся в реестре сертификатов, который ведет такой удостоверяющий центр, в сумме не менее чем полтора миллиона рублей;
3) наличие средств электронной подписи и средств удостоверяющего центра, получивших подтверждение соответствия требованиям, установленным федеральным органом исполнительной власти в области обеспечения безопасности;
4) наличие в штате удостоверяющего центра не менее двух работников, непосредственно осуществляющих деятельность по созданию и выдаче сертификатов ключей проверки электронных подписей, имеющих высшее образование в области информационных технологий или информационной безопасности либо высшее образование или среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи.
Закон об электронной подписи предусматривает также институт доверенных лиц, которых удостоверяющий центр может наделить полномочиями по созданию и выдаче сертификатов ключей проверки электронных подписей от имени удостоверяющего центра, подписываемых электронной подписью, основанной на сертификате ключа проверки электронной подписи, выданном доверенному лицу этим удостоверяющим центром. По отношению к доверенным лицам сам удостоверяющий центр является головным удостоверяющим центром, то есть осуществляет проверку электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей, а также обеспечивает электронное взаимодействие доверенных лиц между собой.
Требования к сертификату Требования к квалифицированному сертификату
Сертификат должен содержать следующую информацию:
1) даты начала и окончания срока его действия;
2) фамилия, имя и отчество (если имеется) — для физических лиц, наименование и место нахождения — для юридических лиц или иная информация, позволяющая идентифицировать владельца сертификата ключа проверки электронной подписи;
3) ключ проверки электронной подписи;
4) наименование используемого средства электронной подписи и (или) стандарты, требованиям которых соответствуют ключ электронной подписи и ключ проверки электронной подписи;
5) наименование удостоверяющего центра, который выдал сертификат ключа проверки электронной подписи
Квалифицированный сертификат должен содержать следующую информацию:
1) уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
2) фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата — для физического лица либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата — для юридического лица;
3) страховой номер индивидуального лицевого счета и идентификационный номер налогоплательщика владельца квалифицированного сертификата — для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата — для юридического лица;
4) ключ проверки электронной подписи;
5) наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств установленным требованиям;
6) наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра;
7) ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
8) иная информация о владельце квалифицированного сертификата (по требованию заявителя).
Если заявителем представлены в аккредитованный удостоверяющий центр документы, подтверждающие его право действовать от имени третьих лиц, в квалифицированный сертификат может быть включена информация о таких правомочиях заявителя и сроке их действия.
Квалифицированный сертификат выдается в форме, требования к которой устанавливаются ФСБ России.
При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр направляет в единую систему идентификации и аутентификации сведения о лице, получившем квалифицированный сертификат, и о полученном им квалифицированном сертификате.
Требования к средствам электронной подписи для квалифицированной и неквалифицированной электронной подписи являются едиными, однако условие о подтверждении соответствия установленным требованиям закреплено только для средств квалифицированной электронной подписи.
Законом установлено, что для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:
1.позволяют установить факт изменения подписанного электронного документа после момента его подписания;
2.обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
Для средств электронной подписи, используемых не в автоматическом режиме, требуется, чтобы при создании электронной подписи они:
1.показывали лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2.создавали электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3.однозначно показывали, что электронная подпись создана.
При проверке электронной подписи такие средства электронной подписи должны:
1.показывать содержание электронного документа, подписанного электронной подписью;
2.показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3.указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.
Единую инфраструктуру квалифицированной электронной подписи в России обеспечивает также наличие головного удостоверяющего центра, функции которого исполняет Минкомсвязь России. Головной удостоверяющий центр осуществляет аккредитацию удостоверяющих центров, проводит проверки соблюдения аккредитованными удостоверяющими центрами требований, которые установлены законом и на соответствие которым эти удостоверяющие центры были аккредитованы, и в случае выявления их несоблюдения выдает предписания об устранении выявленных нарушений. Кроме того, головной удостоверяющий центр обеспечивает информационное взаимодействие между аккредитованными удостоверяющими центрами, а в случае прекращения деятельности аккредитованного удостоверяющего центра – принимает на хранение информацию о выданных им квалифицированных сертификатах.
им квалифицированных сертификатах.
Инфраструктура электронных подписей