XIII Международная студенческая научная конференция Студенческий научный форум - 2021

Удостоверяющий центр (УЦ) - юридическое лицо, индивидуальный предприниматель либо государственный орган или орган местного самоуправления, осуществляющий функции по созданию и выдаче сертификатов ключей проверки электронных подписей [¹]. Нормативно-правовой базой, регламентирующей деятельность удостоверяющего центра, является Федеральный закон от 6 апреля 2011 года N63-ФЗ «Об электронной подписи», который содержит в себе положения относительно правового статуса УЦ, т.е. его прав и обязанностей, а также тех функций, которые возложены на него законодателем. Главная особенность удостоверяющего центра, как элемента публично-правовой сферы, заключается в консолидировании его функциональных основ посредством слияния сложных стратегических нормативно-правовых актов, выступающих основанием его деятельности, и сферы информационных технологий, включающей также информационную безопасность, выступающей основным направлением такой деятельности.

Проведя анализ судебно-следственной практики, можно сделать вывод, что с каждым годом наблюдается увеличение попыток совершения преступлений с использованием технологии электронной подписи. Как отмечают эксперты, основным критерием уязвимости системы работы с электронной подписью выступает «человеческий фактор». Специфика способов мошенничества детерминирована, в первую очередь, механизмом осуществления удостоверяющим центром процедуры формирования и выдачи подписи.

Данный механизм представляет собой совокупность действий лица, обращающегося в удостоверяющий центр с целью получения электронной подписи, и сотрудника такого центра. Получатель подписи инициирует процедуру посредством обращения в удостоверяющий центр и заключения с ним договора по оказанию соответствующей услуги. Сотрудник удостоверяющего центра на основе предоставленных заявителем персональных данных осуществляет процедуру по созданию электронной подписи лица, а также регистрации и выдаче сертификата проверки ключа подписи.

Л.А. Латыпова, руководитель информационно-вычислительного центра ГАПОУ «КАТК им. П.В.Дементьева», в своей работе «Методы защиты от фальсификации электронной подписи» выделяет два основных способа получения злоумышленниками информации о ключе электронной подписи, выданном его владельцу. Так, первый способ заключается в копировании информации непосредственно в результате похищения смарт-карты у ее непосредственного владельца. Второй же способ предполагает, что сотрудник удостоверяющего центра умышленно вступает в сговор с мошенником, либо недобросовестно исполняет свои служебные обязанности, вследствие чего допускает халатность, которая влечет за собой «утечку» информации в общий доступ на незащищенные информационные ресурсы [²].

Во многом это вопрос доверия к удостоверяющему центру, которое рассматривается, как мера готовности с некоторой относительной уверенностью предоставить удостоверяющему центру свои данные, несмотря на возможные негативные последствия [³]. По словам помощника президента Российской Федерации М. Орешкина: «Без полного доверия к этим центрам невозможно двигаться дальше» [⁴]. Поэтому при выборе удостоверяющего центра стоит обратить внимание на его репутацию, наличие и особенности работы службы поддержки клиентов.

Важным критерием формирования в общественном сознании доверия к удостоверяющему центру является тот факт, что данная структура представляет собой коммерческое образование, а не элемент системы государственных и муниципальных органов власти и управления. Предоставляемая УЦ услуга – не государственная, а исключительно коммерческая, т.е. направленная на извлечение прибыли. Удостоверяющие центры в процессе осуществления своей деятельности зарабатывают на продаже электронных подписей, поэтому зачастую такая деятельность претерпевает отсутствие строгой регламентированности и соблюдения предписанных требований, что обусловлено необходимостью организации в получении максимально возможного дохода. Возникает проблема недостаточной идентификации клиентов работниками удостоверяющих центров, в частности оформление ЭП без надлежащей проверки документов и личности гражданина, выдача ЭП по поддельным документам или вовсе без них.

Еще одной проблемой выступает количество УЦ на территории Российской Федерации. По данным Министерства цифрового развития, связи и массовых коммуникаций РФ на сегодняшний день насчитывается около 400 аккредитованных удостоверяющих центров [⁵]. Сложно управлять большим количеством организаций, которые осуществляют деятельность, потенциально интересную для мошенников. А также появляется угроза распространения центров-однодневок. Поэтому количество удостоверяющих центров необходимо сокращать, жестко регламентировать их деятельность и очень тщательно их контролировать.

В 2019 году государственная дума приняла законопроект, который внес существенные поправки в федеральный закон «Об электронной подписи». Как отмечает ведущий эксперт по управлению документацией ГК «ЭОС» Наталья Храмцовская, данные изменения в законе принесут кардинальные изменения. Несмотря на то, что в России накоплен большой опыт применения усиленной ЭП и инфраструктуры открытых ключей, организациям придется пересмотреть все процессы, связанные с использованием ЭП, менять локальные нормативные акты, процедуры взаимодействия с работниками [⁶].

Так изменения затронули порядок выдачи ЭП. Основная особенность заключается в том, что для каждой категории заявителей – получателей электронной подписи установлен конкретный уполномоченный на то удостоверяющий центр. Существовавшая ранее система, не подразделяющая получателей на категории в зависимости от их правового статуса и социально-экономического положения, заменяется новой, согласно которой: электронные подписи юридическим лицам будут выдавать удостоверяющие центры Федеральной налоговой службы, для кредитных организаций главный лицензиат электронной подписи — УЦ Центрального банка России. Полномочия по организации присвоения ключа электронной подписи, которыми наделен УЦ Федерального казначейства, в свою очередь, распространяются только на должностных лиц государственных органов власти и органов местного самоуправления, включая должностных лиц подведомственных им учреждений, а также нотариусов.

Фактически, новая система формирует практически единоличное право на выдачу электронных подписей для юридических лиц и лиц, замещающих государственные и муниципальные должности гражданской службы. Изменения не коснутся только порядка получения подписей физическими лицами – для них, как и ранее, основным субъектом, предоставляющим услугу по формированию и удостоверению электронной подписи, остаются коммерческие удостоверяющие центры.

Нововведения уточняют порядок идентификации заявителя. В прежней версии закон говорил о выдаче сертификатов лицам, обратившимся за их получением, при условии установления личности получателя сертификата либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата. Теперь же устанавливается и закрепляется соответствующий перечень способов идентификации заявителя, одним из которых также становится механизм предоставления сведений из единой биометрической системы. Порядок предоставления таких сведений устанавливается Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации» [⁷].

Главным нововведением стало появление совершенно нового для системы понятия — доверенная третья сторона. В обязанности данного субъекта, исходя из сущности поправок, входит проверка действительности электронной подписи, проверка соответствия сертификатов, а также проверка полномочий участников процесса электронного взаимодействия. Кроме того, законодатель также наделяет третью сторону полномочием и обязанностью организовывать и формировать документальное подтверждение результатов произведенной ею проверки.

Также изменились условия аккредитации УЦ:

- Установлен минимальный допустимый размер капитала удостоверяющего центра, который должен составлять не менее одного млрд. рублей. Однако предусмотрена также возможность сокращения этой сумы в два раза, до 500 миллионов, при наличии филиалов такого центра не менее чем в 75% субъектов РФ.

- Увеличился размер финансового обеспечения ответственности за убытки, причиненные третьим лицам. Новые правила закрепляют за УЦ необходимость содержания страхового обеспечения в размере не менее ста млн. рублей.

- Текущий срок, на который удостоверяющему центру предоставляется аккредитация, составляет 3 года, а не 5 лет, как ранее [⁸].

Не менее важным является тот факт, что законодатель совершенствует систему вместе с основными тенденциями совершенствования информационных технологий в целом. Так, получившая большое распространение технология облачных данных теперь активно применяется и в удостоверяющих центрах посредством предоставления ими возможности использования облачной электронной подписи. С целью организации такой работы УЦ имеет право хранить ключи проверки электронных подписей и, по поручению их владельцев, создавать с их помощью электронные подписи.

Большое значение также имеет тот факт, что невыполнение или ненадлежащее исполнение некоторых основных функций УЦ в соответствии с новым положением подлежит ужесточению налагаемой юридической ответственности. Так, например, за нарушения технического характера вводится административная ответственность, в тот время как умышленные противоправные действия сотрудников УЦ, помимо административной, могут повлечь также и уголовную ответственность. В случае умышленной выдачи должностными лицами УЦ квалифицированного сертификата, содержащего заведомом недостоверные данные о владельце, предлагается применять принудительные работы на срок до 5 лет или лишение свободы на аналогичный срок [⁹].

Таким образом, мы видим, что государство стремится создать единое пространство доверия к электронной подписи и удостоверяющим центрам. При этом стремится усилить контроль за работой таких центров, путем четкой регламентации их деятельности и повышения ответственности в случае нарушения требований.

Итогом принятия рассмотренных поправок приведёт к закрытию многих коммерческих УЦ и концентрации рисков на единой инфраструктуре, которая станет мишенью для хакерских атак. Однако можно выделить и плюсы. Предположительно число аккредитованных удостоверяющих центров сократится до 15-20, и регулировать их будет проще. Что в конечном итоге положительно отразиться на качестве работы УЦ и сократятся случаи мошенничества с использованием электронных подписей.

Стоит отметить, что сложившаяся государственная монополия на электронную подпись для юридических лиц представляет собой не что иное, как вынужденную меру, обоснованную отсутствием эффективного механизма контроля над многочисленными рыночными участниками данного процесса. Однако такая тенденция, в свою очередь, может послужить причиной неэффективности и несостоятельности системы в целом, которая не будет требовать модернизации и развития в силу отсутствия конкуренции.

Среди положительных моментов поправок важно отменить, что УЦ получают право хранить и использовать ключ ЭЦП по поручению его владельца. На практике это значит, что отпадет необходимость настраивать компьютер или другое устройство для работы с электронной подписью, не придется устанавливать специальное ПО. Это намного упрощает процедуру использования ЭЦП.

Рассмотренные в статье нововведения в сфере работы удостоверяющего центра позволяют спрогнозировать ситуацию на рынке государственных услуг.

Библиографический список

Указ Президента РФ от 5 декабря 2016 г. N 646 "Об утверждении Доктрины информационной безопасности Российской Федерации"// Собрание законодательства Российской Федерации от 12 декабря 2016 г. N 50 ст. 7074.

Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ(с изменениями на 8 июня 2020 года) // Российская газета, N 165, 29.07.2006.

Федеральный закон от 06.04.2011 N 63-ФЗ (ред. от 08.06.2020) "Об электронной подписи" (с изм. и доп., вступ. в силу с 01.07.2020) // Российская газета, N 75, 08.04.2011.

Федеральный закон от 27.12.2019 N 476-ФЗ(ред. от 23.06.2020)"О внесении изменений в Федеральный закон "Об электронной подписи" и статью 1 Федерального закона "О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля" // "Российская газета", N 296, 31.12.2019.

Киздермишов А.А. Совершенствование системы аккредитованных удостоверяющих центров как единая информационно-техническая и организационно-правовая проблема. // Вестник АГУ Серия 4: Естественно-математические и технические науки. 2017. - № 1 (196). – С. 125-126.

Крутиков С.В. Информационная безопасность информационных систем с элементами централизации и децентрализации // Вопросы кибербезопасности. 2020. - №1 (35). - С. 4-5.

Латыпова Л.А. Методы защиты от фальсификации электронной подписи / Л.А. Латыпова; Л.А. Бахимова; Л.Х. Мифтахова // Вестник Казанского технологического университета. 2016. - Т. 19. № 14. – С. 5-7.

Единый портал электронной подписи. - [Электронный ресурс]. - Режим доступа: https://iecp.ru/news/item/418561-ugolovnyj-kodeks-dopolnyat-statej-kasaushejsya-EP

Интернет - издание CNews. - [Электронный ресурс]. - Режим доступа:https://www.cnews.ru/news/top/2019-07-08_v_rossii_vvedut_ugolovnuyu

Конференция ЭОС «Осенний документооборот»–2020: «Цифровое настоящее и эпоха перемен: как превратить препятствия в стимулы». - [Электронный ресурс]. - Режим доступа: https://www.eos.ru/eos_calendar/eos_conf/2020.php

Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации.- [Электронный ресурс]. - Режим доступа: https://digital.gov.ru/ru/activity/govservices/certification_authority/

Новое в законе об электронной подписи: Выдача сертификатов и идентификация заявителей. 2020. - [Электронный ресурс]. - Режим доступа: http://rusrim.blogspot.com/2020/02/blog-post_28.html

Новые требования к удостоверяющим центрам 2020. - [Электронный ресурс]. - Режим доступа: https://www.tadviser.ru/index.php/Статья:Удостоверяющие_центры#

Код для цитирования: Скопировать