- PVSM.RU - https://www.pvsm.ru -
В первой [1] и второй [2] частях была рассмотрена инфраструктура ПЭП в системах контрагента и агента, как участниках электронного взаимодействия. Важную роль в этой инфраструктуре играют персональные данные(ПД) контрагента. Системы агента не создают ПД, они используют данные, предоставленные другими системами. Что это за системы, как происходит первичная передача и обработка ПД – эти вопросы будут предметом третьей части статьи.
При рассмотрении целевой системы [2] агента было показано, что элементом целевой системы агента является система идентификации субъекта ПД по кодам ПЭП. В более глобальном смысле такая система существует не только для ПЭП, но и для собственноручной подписи, и для ЭЦП, меняются только данные, поступающие на идентификацию. В случае собственноручной подписи идентифицируется монограмма подписи. Процесс идентификации состоит в том, что подпись сравнивается с образцом, который либо непосредственно хранится в системе агента, в виде, например, карточки контрагента, либо получен из другой системы, которая для агента является доверенной. В техническом плане — доверие – это степень рисков использования сообщения в своей деятельности. Сообщение признается либо не несущим рисков, а значит доверенным, либо несущим риск, и недоверенным. Критерии оценки рисков к подписанному документу заложены в внутригосударственном и международном законодательстве. Инфраструктура доверия к личной собственноручной подписи складывалась веками, критерии рисков хорошо проработаны, доверие к ней огромно. В отличие от собственноручной подписи, критерии оценки рисков для электронной подписи в любом ее виде пока только начинают развиваться.
Первым процессом, с которого начинается любая деятельность, связанная с подписью, является процесс получения образца подписи и связывание образца подписи с ПД. В контексте нашего анализа – это процесс первого получения открытого ключа, получение ПД, сопоставленных с открытым ключом и сохранение в системе хранения. Технически это может быть выполнено тремя способами:
Уполномочено-локальная регистрация порождает еще одну систему, связанную с регистрацией полномочий, в том случае, если цепочка длинная и содержит более двух уполномоченных органов. Мы эту систему рассматривать не будем, отметим только, что ЭЦП широко использует такую систему. Это сеть Удостоверяющих Центров, полномочия которых регистрируются с помощью цепочек корневых сертификатов.
Закон накладывает большой круг ограничений на локальную регистрацию открытого ключа подписи, ввиду того, что такая регистрация предусматривает получение 152-ФЗ «О персональных данных» [3]. Наиболее существенные из этих ограничений: необходимость, в некоторых случаях, регистрации в качестве оператора персональных данных и необходимость создания инфраструктуры обработки персональных данных. Кроме того, добиться юридической значимости подписи при локальной регистрации довольно сложно, так как установление локального доверия между агентом и контрагентом не распространяется на третьих лиц.
В процессе анализа постоянно используется термин «значимость подписи» и «юридическая значимость подписи», а его техническое содержание не раскрыто. Проведя анализ понятия «доверие» как оценки рисков, мы теперь можем определить, что техническое значение термина «значимость» подписи – характеристика оценки рисков. Значимость даже можно измерить количеством лиц, для которых регистрация открытого ключа не несет рисков, а документы, подписанные открытым ключом – доверенные. Фактически мы измеряем количество интерфейсов, которые могут быть установлены от систем делопроизводства (агентов) к системе регистрации открытого ключа, так как они ей доверяют. В результате образуется некий домен из доверяющих агентов. Этот домен имеет юридическое название — пространство доверия. Пространство доверия можно разделить на следующие специализированные виды:
Личная собственноручная подпись, благодаря веками складывающей инфраструктуре, находится в едином пространстве доверия, а зачастую, и в трансграничном. Но, к сожалению, она требует только личного взаимодействия с контрагентом. А электронные подписи, являясь способом удаленного взаимодействия, с трудом пробивают себе дорогу в единое пространство доверия. Виды электронных подписей в ФЗ-63 [4] делятся именно по пространству доверия:
Придание юридической значимости ПЭП в законодательстве не оформлено, так как она находится в локальном пространстве доверия. На текущий момент нет готовых технических решений по переводу ПЭП из локального пространства доверия хотя бы в корпоративное, не говоря уже о едином. При этом в мире, например, в США, из-за удобств использования, ПЭП довольно широко распространена, в России этот путь только начинается.
Пионером по переводу ПЭП из локального пространства доверия в корпоративное и единое стало государство. Сложности с внедрением в массы инфраструктуры открытых ключей и, соответственно, электронно-цифровой подписи, в общем-то, не оставляют иного выбора. ФЗ-63 [4] не предусматривает ее использования в едином пространстве доверия. Для решения этой проблемы государство выпустило ряд дополнительных нормативных актов, которые регламентируют применение ПЭП при получении государственных услуг. Но частный бизнес под действие этих нормативных актов не попал, и для него применение ПЭП в другом пространстве доверия, кроме локального, несет довольно ощутимые риски.
Для снижения или нивелирования этих рисков, частному бизнесу, заинтересованному в увеличении количества клиентов, получающих услуги удаленно с применением ПЭП, стоит повторить технические решения, реализованные государством для государственных услуг. Как это сделать, мы вкратце рассмотрим в следующей, заключительной части. В целом, существует только два способа перевести ПЭП в корпоративное или единое пространство доверия:
Второй способ представляет сложности для частного бизнеса, поэтому для них остается только первый способ. Но тогда говорить об удаленной услуге можно только с «натяжкой». Возникает проблема, которая оставляет определенный простор для бизнес-идей и стартапов. Первой «ласточкой» решения обозначенной проблемы, скорее всего, будет сервис, который проектируется при поддержке Фонда развития интернет инициатив – это торговая площадка по купле/продаже персональных данных. Потенциально такой сервис будет широко востребован в системах статье на Хабре [5]. Ввиду того, что сервис только в проекте, мы пока оставим за рамками вопрос: в каком пространстве доверия будут персональные данные, полученные через такой сервис? Очень желательно, если в результатах, полученных от сервиса, будет отметка, если данные предоставлены уполномоченным источником – ЕСИА.
Мы рассмотрели все основные составляющие технической инфраструктуры ПЭП. В следующей, заключительной части, мы вкратце просуммируем практические рекомендации по организации инфраструктуры ПЭП в информационных системах агентов.
Автор: Irkin
Источник [6]
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/analiz/231289
Ссылки в тексте:
[1] первой: https://habrahabr.ru/post/319006/
[2] второй: https://habrahabr.ru/post/319034/
[3] 152-ФЗ «О персональных данных»: http://www.consultant.ru/document/cons_doc_LAW_61801/
[4] ФЗ-63: http://www.consultant.ru/document/cons_doc_LAW_112701/
[5] статье на Хабре: https://habrahabr.ru/post/318362/
[6] Источник: https://habrahabr.ru/post/319128/?utm_source=habrahabr&utm_medium=rss&utm_campaign=best
Нажмите здесь для печати.