Минувший год был необычайно урожайным на законодательные и нормативные акты в области информационной безопасности. Правда, внимание сообщества в первую очередь концентрировалось на Федеральном законе РФ № 152-ФЗ «О персональных данных» от 27 июля 2006 года, тогда как другие законы оставались в тени, и, между прочим, незаслуженно, поскольку, например, Федеральный закон РФ № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года способен принести очень много пользы компаниям и организациям, работающим в России. Удручающе малое количество реализованных проектов с применением электронной подписи заставляет более детально разобраться в сложившейся ситуации.
Впрочем, далеко не все адекватно представляют себе, что подразумевается под персональными данными и что собой представляет электронная подпись. И если многие понимают, по крайней мере в общих чертах, что такое персональные данные, то, по наблюдениям Артема Сычева, заместителя директора департамента безопасности «Россельхозбанка», относительно того, что такое электронная подпись, далеко не у каждого будет хотя бы версия трактовки. Андрей Комаров, руководитель отдела аудита и консалтинга компании Group-IB, считает, что должен пройти еще как минимум год, а то и больше, чтобы польза электронной подписи стала очевидна.
Виталия Лепехина, руководитель направления аудита и консалтинга компании Softline, напомнила, что, в отличие от закона о персональных данных, закон об электронной подписи — не новый для России. Давно действует закон № 1-ФЗ «Об электронной цифровой подписи» от 10 января 2002 года, однако положения этого документа действительны до 1 июля 2012 года, после чего вступят в силу нормы и требования принятого в прошлом году закона № ФЗ-63. Надо признать, что оба закона требуют дополнений и подзаконных актов. Именно этой причиной обусловлено очень малое число проектов, связанных с внедрением электронной подписи в компаниях.
По мнению Комарова, давно назрела необходимость международного сотрудничества в области обмена электронными документами с соблюдением их юридической значимости. Закон №1-ФЗ не позволял этого делать, так как не коррелировал с требованиями разных государств относительно ЭЦП и практикой ее применения. Новый закон смог приблизиться к европейским принципам использования ЭЦП.
Сейчас готовится пакет приказов со стороны ФСБ и Минкомсвязи, которые должны детализировать правила применения закона об ЭЦП. Отсутствие подобной нормативной поддержки сильно сдерживало использование предыдущего закона на практике. До этого деятельность вокруг ЭЦП не была в достаточной степени регламентирована. «Было непонятно, кто должен заниматься подготовкой подзаконных актов. Эти функции разделяли ФСТЭК и ФСБ по линии криптографии, но никакой координации между их действиями не было. Кто отвечает за проект в целом, было неясно, а одной криптографией вопросы не решить», — комментирует Комаров.
В новой редакции пароль для доступа приравнивается к простой подписи — это хорошо. В законе № 1-ФЗ не было четкого определения, что такое электронный документ, поэтому непонятно, к каким документам закон имеет отношение. В этом основная сложность, считает Сычев: «Согласно предыдущему закону, должен быть создан государственный корневой удостоверяющий центр, который раздавал бы «грамоты» доверия. В новом законе эту идею трансформировали, но как она будет реализована, пока непонятно. Неясно, как будет происходить аккредитация удостоверяющих центров и как она повлияет на возможность приема ЭП в разных информационных системах. Несмотря на то что новый закон декларирует возможность применения единожды выданной электронной подписи в разных информационных системах, на самом деле это не работает — нет единых стандартов и не решен вопрос совместимости разных средств и систем».
По новому закону под понятие «электронная подпись» подпадают одноразовые коды и пароли. Это хорошо, так как необязательно будет применять криптографию — чтобы удостоверить что-то, достаточно воспользоваться одноразовым кодом, полученным через SMS. Это удобно. Тем не менее Алексей Лукацкий, менеджер по развитию бизнеса компании Cisco, сдержанно относится к оценке перспектив использования этих возможностей, так как, по его мнению, если приказ ФСБ, касающийся требований к средствам генерации подписей, примут в том виде, в каком он есть сейчас, то одноразовые коды подпадут под средства криптографической защиты. Следовательно, их применение будет связано с рядом сложностей, в том числе получением лицензий, сертификацией и пр.
Федеральный закон РФ № 63-ФЗ «Об электронной подписи» от 6 апреля 2011 года предусматривает три варианта подписи документов: простая, усиленная неквалифицированная и усиленная квалифицированная. Однако юридическая значимость у этих вариантов разная — при выборе технологии, возможно, потребуется использовать дополнительные договоры, чтобы обеспечить эффективное применение подписи. Рассмотрим каждый вариант подробнее.
Простая подпись
Собственно, простая подпись и является основой всей технологии. Подпись основана на хеш-функции, которая позволяет по тексту сформировать уникальную строку, причем при незначительном изменении основного текста эта строка меняется полностью. Фактически электронная подпись является криптографической контрольной суммой, фиксирующей любое изменение документа. Основная проблема при использовании этого типа подписи — обеспечить неизменность хеша документа. При использовании простой ЭП сохранение подписи может быть реализовано любыми методами, в том числе и организационными.
Неквалифицированная подпись
Закон предусматривает и вариант со стандартной технологией сохранения подписи, основанный на инфраструктуре сертификатов открытых ключей. В этом случае подпись заверяется закрытым ключом автора документа, который он должен хранить в тайне. В этом случае для проверки неизменности документа используется следующая процедура: берется открытый ключ автора документа, с его помощью расшифровывается хеш, который и сверяется с текстом. Однако нужно обеспечить неизменность общедоступного ключа автора — если он будет подменен, то доверия к подписи опять же не будет. Для решения проблемы доверия можно построить собственный удостоверяющий центр и доверять только ему или же договориться о доверии с коммерческим УЦ (таким, например, как VeriSign), выдающим сертификаты для SSL.
Квалифицированная подпись
Наивысший уровень доверия в законе предусмотрен к подписям, заверенным с помощью национальной PKI-инфраструктуры, которую сейчас поддерживает «Ростелеком». Эти сертификаты государство признает без дополнительных договоренностей, но нужно обеспечить соблюдение требований регулирующих органов. При этом ведомства РФ, скорее всего, будут доверять только этим сертификатам и принимать их по умолчанию. Простая и неквалифицированная электронные подписи, хотя и признаются законом, но будут использоваться, скорее всего, только в корпоративных и клубных системах.
- Валерий Коржов, обозреватель еженедельника «Computerworld Россия»; oskar@osp.ru
Перед лицом мобильности
Несмотря на большой набор противоречий и недопонимание, в корпоративной среде существует практика использования ЭЦП в рамках отдельной компании. Правда, при этом приходится мириться с множеством ограничений. Решение о праве издания электронной подписи принимает владелец соответствующей информационной системы, он может подготовить регламент, сославшись на закон об электронной подписи, который устанавливает применение ЭП как физическими, так и юридическими лицами. Кроме того, от этого же владельца зависит и развитие отношений в случае продажи или приобретения нового актива. Сможет ли он сделать эти отношения комфортными, прозрачными и защищенными для всех или только для ключевых пользователей? Конфликта тут нет, напротив, новый закон предусматривает обеспечение баланса между желанием конечного бизнес-потребителя и его потребностями, с одной стороны, и его возможностями — с другой.
Постепенно появляется практика расследования инцидентов, связанных с ЭП. По опыту экспертов Group-IB, в первую очередь следует обратить внимание на случаи мошенничества. «Были, например, ситуации, когда бухгалтер либо его помощник осуществлял экспорт сертификата рабочей станции (с помощью вредоносного кода либо иным образом) и проводил банковские поручения в отсутствие ключевого сотрудника. Подобная практика, когда несколько бухгалтеров используют один ключ для обращения в банк и ряд сотрудников имеют к нему доступ, — очень распространенная ошибка. Процедура установления, кто именно из сотрудников осуществил операцию, довольно трудоемкая, поскольку требует анализа всех событий на машине, и собрать полноценную доказательную базу бывает очень сложно», — рассказывает Комаров.
Ситуация с электронной подписью — далеко не единственный пример того, как современные технологии стремительно развиваются, в то время как законотворчество очень отстает. До появления новой редакции закона были предпосылки к форсированию некоторых крипопровайдеров на мобильных платформах, но с большим ограничением — средства криптографической защиты должны проходить обязательную сертификацию, и установка подобных средств на мобильные платформы с закрытым исходным кодом либо с кодом, не прошедшим процедуру аттестации на отсутствие недекларированных возможностей, не представляется возможной по ряду причин.
По мнению Сычева, неприятный момент в том, что новый закон предполагает следующее: если речь идет о юридически значимом документообороте, то должна быть задействована только «классифицированная подпись», в противном случае — это некая договоренность между участниками обмена, которая дальше может быть подвергнута сомнению в суде. В то же время в случае с квалифицированной подписью возникают другие ограничения — те, что касаются технических средств, прошедших в установленном порядке оценку соответствия. «По сути, это означает сертификацию в ФСБ, — считает Сычев. — Но много ли у нас подобных средств, способных работать на мобильных устройствах? Мне не известно ни одного. Поправьте меня, если я не прав».