Пространство доверия: промышленная эксплуатация. О доказуемости эквивалентности (по существу) уровней надёжности электронных подписей при их трансграничном взаимном признании

BIS Journal №3(54)2024

16 августа, 2024

Пространство доверия: промышленная эксплуатация. О доказуемости эквивалентности (по существу) уровней надёжности электронных подписей при их трансграничном взаимном признании

Ключевым вопросом трансграничного взаимного признания электронной подписи является доказуемость эквивалентности (по существу) уровней надёжности электронных подписей, применяемых по обе стороны границы в рамках трансграничного электронного документооборота (ЭДО).

Компания «Газинформсервис», сотрудничая с ФНС России и ФТС России, выполняя требования ФСБ России и Минцифры России, являясь аккредитованным удостоверяющим центром и разработчиком линейки PKI-продуктов Litoria, совместно с отечественными операторами ЭДО и партнёрами из других стран занимается вопросом признания иностранной электронной подписи с середины 2000-х годов. В конце 2023 года на двух направлениях (с Беларусью и Казахстаном) начата промышленная эксплуатация трансграничного пространства доверия в сегменте B2B на основании соглашения между участниками электронного взаимодействия (63-ФЗ, статья 7, часть 4). Ещё по восьми направлениям развёртывание трансграничного пространства доверия (ТПД) в сегменте B2B находится на предварительных фазах (табл. 1).

Таблица 1. ТПД уровня B2B для российского бизнеса на июнь 2024

 

На ряде международных площадок, в том числе ЭСКАТО ООН, СЕФАКТ ООН, ЕЭК, АТЭС, ОЧЭС и др., обсуждаются подходы к оцениванию уровней надёжности электронных подписей для их взаимного признания. Визуально это можно представить в виде диаграммы Венна «зона ответственности двух команд» (рис. 1). Область взаимного доверия ЭП разных стран находится в зоне пересечения этих объёмных фигур, представленных на данной визуальной модели. Как видно, надёжность каждой подписи зависит от национального законодательства, особенностей национальной инфраструктуры открытых ключей и стойкости используемой криптографии. Сложности данной задачи добавляет то, что эти области со временем меняются (принимаются новые национальные стандарты, меняется национальное законодательство, меняется национальный домен доверия удостоверяющих центров, например, при аккредитации новых УЦ или формировании новых требований к квалифицированным сертификатам). Потому что каждая страна может модернизировать и менять криптографию, законодательство и организацию работы УЦ по своему усмотрению.

Рисунок 1. Модель области эквивалентности уровня надёжности электронных подписей разных стран

 

Доказуемость эквивалентности (по существу) уровней надёжности электронных подписей разных стран является краеугольным камнем международных договоров (соглашений) о взаимном признании электронной подписи, на каком бы уровне они ни заключались — между государствами (G2G) или между хозяйствующими субъектами (B2B2G). Общей отправной точкой для создания национальных систем электронной подписи является Типовой закон об электронных подписях UNCITRAL (Model Law on Electronic Signatures, MLES), принятый ООН в 2001 году.

Статья 12 MLES определяет принципы признания юридической силы иностранной электронной подписи. Таких принципов два:

1) юридическая сила электронной подписи не зависит от страны, в которой был подписан электронный документ и где выдан сертификат электронной подписи;

2) условием признания юридической силы иностранной электронной подписи является эквивалентность (по существу) уровней надёжности электронных подписей стороны (страны) подписанта и доверяющей стороны (страны).

В руководстве по принятию MLES (п. 158) определено, что основные критерии, по которым следует оценивать уровень надёжности иностранной электронной подписи, изложены в статьях 6, 9 и 10 типового закона. Эти статьи посвящены:

Ст. 6 — тому, как может быть соблюдено требование в отношении наличия электронной подписи;

Ст. 9 — тому, что как должен организовывать свою работу удостоверяющий центр;

Ст. 10 — как можно при этом (ст. 6 и 9) оценить надёжность национальной инфраструктуры ЭП.

Ни одно из положений статей 6 и 9 не должно вызывать затруднений при потенциальном аудите по этим канонам иностранных поставщиков сертификационных услуг (удостоверяющих центров) со стороны российской профильной экспертной группы. Так же понятна и может быть оценена российская организационная и технологическая инфраструктура ЭП со стороны наших иностранных партнёров. Можно быть уверенными, что она этим требованиям соответствует. Но вот в статье 10 на этот счёт есть пробел, который не позволят на сегодня утверждать о полной готовности российской PKI к такой оценке. Об этом пробеле в регулировании отечественной PKI говорит п. е) статьи 10 MLES:

 

e) регулярность и объём аудита, проводимого независимым органом

Это очень важный фактор. Независимая система аудита национальной инфраструктуры открытых ключей является основой доказательства уровня надёжности иностранной электронной подписи, всех процедур, решений, технологий и гарантий, связанных с ней.

Евразийский экономический союз реализовал трансграничную среду доверия электронных подписей в сегменте G2G. А поскольку это G2G, то системы независимых аудиторов там пока нет. Страны гарантируют свои уровни надёжности ЭП другим странам за счёт своего авторитета.

Другой известный пример — глобальная система доверия WebTrust для центров сертификации. Независимые аудиторы в ней оценивают соблюдение этих требований поставщиками услуг доверия (в том числе — центрами сертификации) по всему миру, кроме пространства СНГ, где нет ни одного аккредитованного независимого аудитора по системе WebTrust.

Отличным примером реализации данного подхода является трансграничная среда доверия иностранных электронных подписей Европейского Союза, основанная на общих требованиях европейского регламента EIdAS. Независимые аудиторы — представители аудиторских компаний, аккредитованных по EidAS, оценивают соблюдение этих требований.

В настоящее время идёт работа по выработке подхода к оцениванию эквивалентности (по существу) уровней надёжности электронных подписей в рамках рамочного соглашения об упрощении процедур безбумажной торговли на площадке ЭСКАТО ООН (CPTA), которое РФ ратифицировала в 2023 году. Кроме того, первые подходы к организации взаимных международных аудитов национальных PKI сделаны в Статье 5 «Ознакомительные визиты» «Соглашения между Правительством Республики Беларусь и Правительством Российской Федерации о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии», подписанном 15 апреля 2024 года. Есть шанс и смысл использовать эти лучшие практики и научиться оценивать уровень надёжности иностранной электронной подписи на основе этого канонического подхода, по сути, описанного в типовом законе об электронных подписях, на основе которого созданы национальные законы об электронной подписи подавляющего большинства стран мира (табл. 2). Это открывает широкие возможности масштабирования трансграничного пространства доверия в рамках электронного документооборота B2B (и не только) со всеми экономическими партнёрами во всём мире.

Таблица 2. Страны, в которых законодательство об ЭП основано на MLES

 

Реклама.  ООО «ГАЗИНФОРМСЕРВИС», ИНН: 7838017968, Erid: 2Vfnxxzdmuz

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

12.09.2024
Объединение двух банков снизит затраты на ИТ-решения
12.09.2024
Платёжные данные в обмен на бусы. Хакеры заразили мерч Cisco
12.09.2024
Мошенники пугают отельеров понижением социального рейтинга
12.09.2024
Банк России готовится к массовому использованию цифрового рубля
12.09.2024
Охотники добыли целого дракона. Крупнейший банк мира был атакован
11.09.2024
Россия поспорит с американским доменным регулятором ICANN
11.09.2024
Кража айдентити — основной вектор кибератак злоумышленников в корпоративном секторе
11.09.2024
Обновление ТСПУ потребует десятки миллиардов рублей
11.09.2024
top вырвался в топ «скамерских» доменных зон
11.09.2024
Машины «Сбера» посмотрят в глаза клиентам конкурентов

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных