· ошибочные и/или противоправные действия персонала удостоверяющего центра и пр.
· несанкционированное проникновение третьих лиц в единый государственный реестр сертификатов ключей подписи (взлом средств цифровой подписи УЦ) и подлога или подмены действующих сертификатов в реестре тех или иных лиц;
· наличие разного рода не законно установленных программных или аппаратных закладок в средствах цифровой подписи УЦ;
· отказ уполномоченного должностного лица от своей электронной цифровой подписи в документе.
Удостоверяющий центр не может нести ответственность за неисполнение своих обязательств по независящим и неконтролируемым им причинам.
Проблема обеспечения финансовых гарантий носит комплексный характер и должна решаться несколькими способами, среди которых могут быть следующие:
· Распределение ответственности между участниками инфраструктуры открытых ключей – ИОК (вертикальное и горизонтальное).
· Регулирование финансовой устойчивости УЦ.
· Создание механизмов разрешения споров.
В связи с отсутствием в ФЗ Об ЭЦП соответствующих норм распределение ответственности между участниками ИОК закрепляется через нормативные документы, а также типовые договоры, условия выпуска и обслуживания сертификатов, регламенты разрешения споров, которые должны быть разработаны Минсвязи и рекомендованы к использованию удостоверяющими центрами всех уровней и центрами регистрации.
Принципы распределения ответственности в отечественной ИОК:
· Согласование требований к уровням гарантий участков СУЦРФ, в том числе на сегментах, присоединенных через кросс-сертификацию.
· Использование механизмов обеспечения дополнительных гарантий защиты интересов владельцев сертификатов.
· Ограничение объема ответственности участников ИОК друг перед другом только нанесенным реальным ущербом, исключая упущенную выгоду и моральный ущерб.
· Ограничение объема ответственности УЦ по видам (Классам) сертификатов.
· Мониторинг объемов потенциальной ответственности УЦ с целью оперативного поддержания уровня финансовых гарантий, необходимого для покрытия ответственности по всем находящимся в обращении сертификатам.
· Развитие практики страхования гражданской ответственности участников ИОК.
· Солидарная ответственность УЦ и находящегося в его подчинении ЦР за ущерб, который может быть нанесен владельцам, пользователям сертификатов и третьим лицам, действиями/бездействием УЦ или ЦР.
Регулирование финансовой устойчивости удостоверяющих центров может осуществляться следующими методами:
· Рекомендации к минимальному уставному капиталу для вновь создаваемых УЦ, зависящие от договорных обязательств УЦ перед участниками информационной системы.
· Рекомендации к собственным средствам или банковскими гарантиями для действующих УЦ ( под депозит средств, залога имущества и т. д.) .
· Рекомендации к объему страховой защиты УЦ и ЦР.
Данные методы могут использоваться на альтернативной основе. Т.е. при наличии достаточного собственного капитала может не применяться страхование, и наоборот.
7. Порядок разрешения споров (УЦ-клиент, УЦ-УЦ /третейский суд/). Разработка рекомендаций по порядку использования электронных документов, подписанных ЭЦП, в качестве доказательств при разбирательствах в судах общей юрисдикции и арбитражных судах. Наиболее эффективным механизмом разрешения споров на сегодняшний день представляется третейский суд с участием как юристов, так и технических специалистов и специалистов страховых компаний. Важным элементом системы разрешения споров являются независимые технические (экспертные) комиссии, в компетенцию которых должно входить расследование случаев компрометации секретных ключей и других преступлений в СУЦРФ. Данные комиссии должны работать в тесном взаимодействии с правоохранительными органами.
8. Рекомендации по применению импортных криптографических средств. Особенно актуально для организаций, деятельность которых не ограничена границами Российской Федерации – среди прочих достаточно упомянуть транснациональные компании, финансовые институты и операторов связи. Целесообразно рассмотреть вопрос об организации процедуры сертификации криптографических средств, получивших широкое распространение в мировой инфраструктуре открытых ключей. До решения вопроса с сертификацией нужно разработать порядок лицензирования осуществления деятельности по защите информации с использованием таких средств (как это делается в отношении средств, применяемых SWIFT, VISA, MasterCard, Diners Club).
Ключевая роль в обеспечении развития СУЦ РФ, Законом отведена Уполномоченному Федеральному Органу. Запоздание в 1,5 года с его назначением, поставило УФО в крайне сложное положение: на фоне развития масштабных федеральных проектов (достаточно упомянуть МНС и ПФР), УФО, из предполагаемого лидера оказался в положении “догоняющего”.
Эта ситуация обуславливает задачи, которые УФО должен решить в первую очередь:
· Создание рабочих органов УФО – данной Концепцией предусмотрены - Координационный Комитет, Центр Управления политиками сертификации и электронный нотариат.
· Изучить проекты разворачиваемых федеральных структур PKI и выработать рекомендации по обеспечению их технологической совместимости.
· Параллельно создать технологическую и документальную базу, обеспечивающую кросс-сертификацию с этими структурами.
Таким образом, создание СУЦРФ может включать следующие этапы:
· Создание Координационного Комитета СУЦРФ, включающего Правовую рабочую группу, Экономическую рабочую группу, Технологическую рабочую группу,
· Создание Центра Управления Политиками Федерального МУЦ.
· Разработка и принятие необходимых правовых и технологических документов.
· Создание Технологической службы Федерального МУЦ.
· Обучение пользователей ИОК, повышение квалификации обслуживающего СУЦРФ технического персонала.
· Запуск в эксплуатацию ФМУЦ.
· Организация и запуск в эксплуатацию ведомственных доменов СУЦРФ в соответствии с рекомендациями, предоставленными Координационным Комитетом СУЦРФ.
· Объединение доменов ИОК, пожелавших кросс-сертифицироваться через ФМУЦ.
Учитывая масштаб и важность создания ИОК РФ указанные мероприятия целесообразно производить в рамках специально организованной федеральной программы, либо в форме отдельного проекта в рамках программы “Электронная Россия”.
Приложение 1. Действующие нормативные документы, регулирующие использование цифровых сертификатов
1. Закон РФ от 10.01.2002 № 1-ФЗ "Об электронной цифровой подписи"
2. Федеральный Закон РФ от 8.08.2001 № 128-ФЗ "О лицензировании отдельных видов деятельности" (с изменениями внесенными Федеральным законом РФ от 13.03.2002 N 28-ФЗ);
3. Федеральный Закон РФ от 20.02.1995 № 24-ФЗ "Об информации, информатизации и защите информации";
4. Постановление Правительства РФ от 30.04.2002 № 290 "О лицензировании деятельности по технической защите конфиденциальной информации";
5. Гражданский Кодекс Российской Федерации (часть первая) от 30.11.1994 № 51-ФЗ (принят Государственной Думой РФ 21.10.1994) (ред. от 15.05.2001) - ст.160, 434;
6. Гражданский Кодекс Российской Федерации (часть вторая) от 26.01.1996 № 14-ФЗ (принят Государственной Думой РФ 22.12.1995) (ред. от 17.12.1999) - ст. 847;
7. Положение о порядке разработки, производства, реализации и использования средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. (ПКЗ-99) (Утверждено Приказом ФАПСИ при Президенте РФ от 23.09.1999 № 158);
8. Распоряжение Администрации Санкт-Петербурга от 15.05.2002 № 751-ра "Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга";
9. Распоряжение Администрации Санкт-Петербурга от 11.02.2003 № 333-ра "Об автоматизированной информационной системе государственного заказа Санкт-Петербурга";
10. Приказ № БГ-3-32/169 от 2 апреля 2002 г. "Об утверждении порядка предоставления налоговой декларации в электронном виде по телекоммуникационным каналам связи";
11. Постановление ФКЦБ РФ от 31.10.2002 № 43/пс "Об утверждении положения о порядке предоставления в Федеральную комиссию по рынку ценных бумаг электронных документов";
12. Уголовно-процессуальный кодекс-- ст. 84,
13. Арбитражно-процессуальный кодекс --- ст. 75
14. Гражданско-процессуальный кодекс --- ст. 71
15. Таможенный кодекс РФ, ст. 169
16. Налоговый кодекс РФ, ст. 80
17. Административный кодекс (~ глава 13);
18. ФЗ "Об иностранных инвестициях". ст. 42,
19. ФЗ "Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования", ст. 8
20. Концепция информационной безопасности сетей связи общего пользования (принята Научно-техническим советом Минсвязи России в 2003 г.);
21. “О введении в системе Пенсионного фонда РФ криптографической защиты информации и электронной цифровой подписи: Постановление РФ от 26.01.2001 №15;
22. Постановление Правительства Российской Федерации от 30 мая 2003 г. №313 «Об уполномоченном федеральном органе исполнительной власти в области использования электронной цифровой подписи».
Приложение 2. Предварительный перечень лицензионных требований (рекомендаций) к УЦ
1. Объекты, используемые удостоверяющими центрами должны принадлежать им на правах собственности, находиться в аренде, хозяйственном ведении или оперативном управлении.