1) хранение на носителях, которые трудно копируются, например, специальные чип-карты, доступ к которым имеет лишь владелец ключа, знающий PIN-код;
2) использование методов, позволяющих с очень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту (примером может служить технология цифровой обработки папиллярного узора отпечатка пальца, радужной оболочки глаза, автографа и других биометрических параметров);
3) шифрование секретных ключей на других ключах, которые могут быть тоже зашифрованы.
Недостаточно проработаны вопросы ответственности третьих лиц, участников электронного оборота документов и органов, ответственных за проведение сертификации средств ЭЦП. Не установлено, кто несет ответственность в случае, если убытки будут по причине несанкционированного взлома сертифицированных средств цифровой подписи или наличия в них разного рода незаконно установленных программных или аппаратных закладок. Не определен также порядок хранения и доступа к закрытым ключам ЭЦП в удостоверяющих центрах. Следует отметить, что эти проблемы можно решить договором с удостоверяющим центром, однако типовую форму такого договора только еще предстоит разработать.
Неурегулированным вопросом является проверка уникальности открытых ключей. Такая проверка проводится в реестре сертификатов ключей подписей и архиве удостоверяющего центра, причем удостоверяющий центр проводит проверку по данным своего реестра и архива. Вследствие этого без внимания остаются реестры и архивы других удостоверяющих центров, где могут храниться идентичные ключи. Выход из сложившейся ситуации видится в том, чтобы создать единый реестр ключей ЭЦП, возложив ведение этого реестра на государство, и сделать его доступным для граждан через сеть Интернет. Это позволило бы существенно сократить издержки, связанные с функционированием множества удостоверяющих центров. Принятие на себя государством расходов, связанных с созданием и ведением реестра ключей ЭЦП, сократило бы затраты граждан на оплату услуг удостоверяющих центров, а следовательно, удешевило бы технологии цифровых подписей.
Предложенное правовое регулирование порядка применения ЭЦП, основанное строго на одном и единственном методе и технологии, является недостаточно гибким и не вполне перспективным, так как не допускает использования других методов и технологий, расширительного охвата известных способов организации электронной подписи и тех, которые будут изобретены в будущем. Последнее также не соответствует общепринятой мировой тенденции развития законодательства и уже действующей законодательной практике ООН, ЕС и ряда государств, где субъект использует электронную подпись, основанную на методе и технологии, которую он сам выбирает с учетом необходимой степени защиты электронного документа.
Электронный документ с ЭЦП как форма является универсальным для документов, в которых фиксируется динамика отношений, особенно в гражданско-правовой сфере, что и закреплено законодательно. Но динамики не меньше и в системе государственного и муниципального управления. Потребность органов государственной власти в ускорении доведения информации до исполнителей управленческих отношений, более широкие финансовые возможности системы государственного управления и меньший риск негативных последствий в случае возникновения сбоев и ошибок обусловливают развитие системы электронного документооборота. Однако эта сфера остается вне законодательного регулирования.
Закон делит все системы электронного документооборота на две категории: информационные системы общего пользования и корпоративные информационные системы. Использование ЭЦП в корпоративных системах регламентируется решением владельца системы и пользователем. При отсутствии обязательных требований к процедурам использования и удостоверения ЭЦП сфера действия Закона об ЭЦП неоправданно сужается, а сфера договорного регулирования – чрезвычайно расширяется. Вследствие этого Закон об ЭЦП оказывается неспособным влиять на практику электронного документооборота, создавая лишь видимость правового регулирования. На законодательном уровне необходимо урегулировать процедуры использования ЭЦП во всех категориях информационных систем, установив при этом для корпоративных информационных систем более жесткие требования, чем к требованиям информационных систем общего пользования.
1st Май 2011
|
Теги:
|