IT ManagerБезопасностьУправление ИБ

ДТС: больше не белое пятно

Григорий Рудницкий | 30.09.2020
Сергей Кирюшкин

Сергей Кирюшкин

Советник генерального директора компании «Газинформсервис»

Понятие «доверенная третья сторона» (ДТС) является ключевым элементом в области проверки электронной подписи (ЭП) и юридически значимого электронного документооборота в целом. До недавнего времени понятие ДТС было слабо регламентировано в РФ, однако с января 2021 года вступают в силу поправки к законодательству, которые открывают новые правовые и технологические горизонты для участников рынка. Об этом мы поговорили с Сергеем Кирюшкиным, советником генерального директора компании «Газинформсервис».

Сегодня в Сети и в СМИ очень мало информации о том, что такое «доверенная третья сторона» как новая технологическая и правовая сущность в работе с электронной подписью. Впервые на эту тему заговорили в 2010–2012 годах. Почему сегодня этот термин снова стал актуальным?

В России эта тема развивается с середины нулевых годов. В 2005-м в рамках Федеральной целевой программы «Электронная Россия» была проведена научно-исследовательская работа. По ее результатам сервис ДТС применялся в электронных госзакупках, что было необходимо для признания трансграничной электронной подписи. Как сейчас помню, в Белгородской области проходили электронные торги, в которых принимал участие польский поставщик. Но ФЦП «Электронная Россия» была так устроена, что заканчивалась именно НИОКРами, в промышленную эксплуатацию ничего не сдавалось. По ряду причин дальнейшее широкое практическое применение данного сервиса было невозможно, но в нормативно-правовом обеспечении данная тема продолжала развиваться. Затем, уже с начала 2010-х годов, такие инициативы получили второе дыхание. В середине 2010-х было принято решение нормативно закрепить понятие «ДТС». В 2014 году термин появился в Положении о Минкомсвязи России. Сегодня в Положении о Минкомсвязи России определено, что Министерство в масштабе СНГ выполняет функции доверенной третьей стороны при обмене электронными документами в случаях, если ее участие в таком обмене предусмотрено международными договорами Российской Федерации. Пока, по разным причинам, услуги ДТС Минцифра не предоставляет.

Кто же должен выполнять такие функции?

В декабре прошлого года в Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» был внесен ряд поправок. Что касается ДТС, то практически все положения входят в действие с 1 января 2021 года. К моменту вступления в силу данных новелл должен быть разработан ряд подзаконных актов, на рынке должны появиться сертифицированные уполномоченным федеральным органом программно-аппаратные комплексы, операторы ДТС должны пройти аккредитацию. Вопреки общему убеждению функция ДТС состоит не только в признании трансграничной ЭП. Речь идет о процедурах проверки электронной подписи в электронных документах в целом, кроме того за ДТС в поправках закреплены функции создания и проверки меток доверенного времени, а также хранения и предоставления информации о машинно-читаемых доверенностях.

Что это за белое пятно?

Я бы охарактеризовал его следующим образом. До момента вступления в силу рассматриваемых здесь поправок технологии электронной подписи были хорошо описаны в части, касающейся изготовления и выдачи сертификатов и ключей проверки ЭП, а также подписания электронных документов. Что же касается процедуры проверки подписи, она описана в декларативном порядке в статье 11. До недавнего момента было описано всего четыре условия о признании действительной квалифицированной электронной подписи. Но не было ответа на вопрос, как именно реализовать подобные условия. Сегодня можно утверждать, что подобной неопределенности больше нет.

ЭП – область на стыке права и технологий. Юристы и инженеры работают над ней в одной связке, и когда мы говорим о ДТС, это особенно ярко проявляется. Иногда ДТС называют технологией «электронного апостилирования» и «электронного нотариата». И то и другое – юридические термины. Тема назрела давно, но законодательное закрепление она получила только сейчас. Помимо технологического и юридического, у проблемы ДТС имеется еще и организационный аспект. Необходимы компании, которые примут на вооружение соответствующие программно-аппаратные комплексы, введут их в действие, получат государственную аккредитацию и начнут оказывать эту услугу на рынке.

Почему ваша компания начала заниматься областью ДТС еще до того, как это понятие было закреплено юридически?

Компания «Газинформсервис» занимается защитой информации с момента своего появления. Электронная подпись – один из механизмов криптографической защиты информации. Компетенции, накопленные за минувшие годы, позволили правильно оценить перспективность этого сервиса. Удостоверяющий центр входит в состав группы компаний «Газинформсервис» практически с самого основания. У нас в организации много ученых, экспертов, которые на системной, научной основе занимаются проблематикой ЭП. К теме проверки ЭП мы пришли в 2009 году. С одной стороны, мы понимали, что хорошо бы описать ее в законе, но с другой – у нас с коллегами в 2012–2013 годах вышел цикл статей, где мы доказывали, что законодательство и в текущей редакции позволяет оказывать этот сервис, так как бизнесу нужна такая услуга.

Важным фактором доверия к такому сервису является использование надежного и безопасного программно-аппаратного обеспечения. Требования к таким решениям предъявляет уполномоченный федеральный орган в области безопасности. Мы согласовали с регулятором требования к таким комплексам для применения в бизнесе. В результате был создан программно-аппаратный комплекс, который соответствует описанным требованиям. Так что мы немного обогнали время, стали первыми на этом рынке.

Когда в 2014 году был образован Евразийский экономический союз, возникли задачи информационной интеграции стран-членов Союза и данная тема получила новый стимул для развития. Создавалось единое пространство доверия для многих общих информационных процессов. Трансграничная подпись – то, что было нужно уже давно. Мы всегда знали, что занимаемся необходимым делом, однако следовало двигаться в сторону законодательного закрепления области ДТС. У нас уже есть пул коммерческих проектов, в ряде систем подобные решения функционируют на протяжении нескольких лет.

Что это за проекты?

Самый интересный и значимый проект мы реализуем в интересах одного нашего крупного заказчика. Наш сервис работает в системе централизованных закупок. Большая их часть проходит в электронном виде. Они проводятся заказчиком по всему миру: в Юго-Восточной Азии, в Европе и, естественно, в России. На всех этапах закупки электронные документы поступают на торговую площадку заказчика, будучи подписаны электронной подписью, в том числе, возможно и иностранного происхождения. Такую ЭП нужно уметь проверять. Почему я называю этот проект интересным? Он изначально задуман как трансграничный, а в процессе его реализации проявилась интересная особенность. Несмотря на то что все ЭП российские, до 30% электронных документов признавалось недействительными. Оценка проводилась на соответствие условиям признания действительности подписи: Во-первых, математическая корректность подписи. Во-вторых, сертификат должен быть действительным и применяться по назначению. В-третьих, должны использоваться сертифицированные средства ЭП. В-четвертых, УЦ должен иметь действующую аккредитацию на день изготовления сертификата. И по этим критериям до 30% документов признавалось недействительными. Фактически произошла эволюция сервиса ДТС от проверки иностранной ЭП до сервиса, решающего широкий спектр задач. Не будем забывать, что любая подпись, и не только электронная, ставится прежде всего «для прокурора». Поэтому юридически значимые следы проверки ЭП обязательно должны быть, а ДТС делает это корректно и отвечает за результат проверки. Это не просто информационные технологии, это юридически значимый электронный документооборот – стык технологий и права. Здесь оператор ДТС несет ответственность за результат проверки электронной подписи.

И последний вопрос. Если поискать в Интернете информацию о ДТС, то можно найти в основном методические материалы, а вот рыночные кейсы попадаются только у вашей компании. Это потому, что другие игроки не видят перспектив в данном направлении?

Хороший вопрос. Конечно, на этом рынке есть не только мы. Но мы начали заниматься данной темой одними из первых и не бросали ее. Сейчас подобные решения, например, активно используются на собственной платформе в РЖД. Мы являемся партнером ведущих игроков рынка электронной подписи, общаемся с коллегами на профильных конференциях, совместно входим в состав отраслевых ассоциаций, вместе разрабатываем национальные стандарты в рамках в технического комитета ТК26 «Криптографическая защита информации». Ведем взаимодействие и с регуляторами. Мы решаем задачу корректной проверки электронной подписи по всем направлениям: разработка, нормотворческие инициативы, предложения по нормативно-техническому регулированию, участие в международных инициативах. Наверное, секрет лидерства в этом. Будем двигаться дальше.

Электронная цифровая подпись (ЭЦП), Электронный документооборот, право

Журнал: Журнал IT-Manager [№ 09/2020], Подписка на журналы

Газинформсервис


Поделиться:

ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Также по теме

Другие материалы рубрики

Мысли вслух

Как никогда важно задуматься о том, насколько безопасны компьютеры наших работников, которые становятся одним из основных векторов атак для злоумышленников.
Не успели мы отбиться от вызовов и задач, которые взвалила на нас принудительная удаленка, как уже растут новые вызовы. В частности, нас ждет будущее всеобщей цифровизации, и будущее это будет непременно светлым и радостным, но только если мы в него впишемся.
Обычная жизнь? – скажете вы. А она теперь какая будет? И возвращаясь к тому, что в будущей обычной жизни будет не совсем так как было раньше

Компании сообщают

Мероприятия