Важная информация о новом стандарте ЭЦП в Киргизии

Законом КР от 17 июля 2004года «Об электронном документе и электронной цифровой подписи» было введено понятие электронной цифровой подписи.

Электронная цифровая подпись (ЭЦП) — последовательность символов, полученная в результате преобразования исходной информации с использованием закрытого ключа ЭЦП, которая позволяет пользователю открытого ключа ЭЦП установить целостность и неизменность этой информации, а также владельца закрытого ключа ЭЦП.

Оглавление (показать/скрыть)

Часть 1. Общий обзор
Часть 2: Электронные паспорта
Часть 3: Электронные государственные услуги
Часть 4: Электронная подпись
Часть 5: Электронный документооборот
Часть 6: Электронные выборы
Часть 7: Электронные торги и госзакупки
Часть 8: Государственные информационные ресурсы

ЭЦП признается законом равнозначной собственноручной подписи подписывающего лица и используется для подтверждения целостности и неизменности любой информации, передаваемой в виде электронных сообщений. Подписывающее лицо может иметь неограниченное количество закрытых ключей ЭЦП, приобретенных им в порядке, установленном законодательством КР.

ЭЦП может использоваться физическими и юридическими лицами, органами государственной власти и органами местного самоуправления с соблюдением норм действующего законодательства КР. Несовершеннолетние граждане имеют право на использование ЭЦП, получение сертификата ключа подписи и приобретение средств ЭЦП с соблюдением норм действующего законодательства КР.

Общий порядок ограничения сферы применения ЭЦП устанавливается законами КР. Ограничения использования ЭЦП в договорных отношениях могут устанавливаться соглашением сторон.

ЭЦП признается равнозначной собственноручной подписи физического лица, в том числе полномочного представителя юридического лица, если:

• она прошла проверку на подлинность при помощи открытого ключа ЭЦП, имеющего сертификат ключа подписи удостоверяющего центра;
• подписавшее лицо правомерно владеет закрытым ключом, используемым для создания ЭЦП;
• сертификат ключа подписи является действующим на момент подписания.

Средства ЭЦП не относятся к средствам, обеспечивающим конфиденциальность информации. Создание ключей ЭЦП производится собственниками средств ЭЦП, если иной порядок не установлен законодательством КР.

Сертификация средств ЭЦП осуществляется в соответствии с законодательством Кыргызской Республики о сертификации товаров и услуг.

Сертификат ключа подписи должен содержать следующие обязательные сведения:

• наименование юридического лица либо фамилию, имя и отчество или псевдоним физического лица — владельца закрытого ключа ЭЦП;
• открытый ключ ЭЦП;
• номер сертификата ключа подписи, дату начала и дату окончания срока его действия;
• наименование средств ЭЦП, с которыми можно использовать данный открытый ключ ЭЦП, номер сертификата на это средство и срок его действия, наименование и юридический адрес центра сертификации, выдавшего данный сертификат;
• наименование и юридический адрес удостоверяющего центра, выдавшего сертификат ключа подписи;
• наименование и юридический адрес государственного органа, уполномоченного удостоверять открытый ключ ЭЦП удостоверяющего центра, выдавшего сертификат ключа подписи;
• данные об ограничении вида или области применения ЭЦП;
• данные о полномочиях представителя владельца сертификата;
• данные, позволяющие идентифицировать общедоступный реестр владельцев сертификатов, в который внесен данный сертификат ключа подписи, и место опубликования этого реестра;
• ограничения ответственности:
  1. за ущерб, понесенный в результате доверия к недействительной или подделанной цифровой подписи владельца, если удостоверяющий центр выполнил все существенно важные требования в отношении недействительной или подделанной ЭЦП;
  2. за ущерб, свыше суммы, указанной в сертификате ключа подписи в качестве установленного предела доверия, понесенный в результате доверия к представленным в сертификате данным, которые удостоверяющий центр обязан проверить и подтвердить.

ЭЦП применяется органами государственной власти и органами местного самоуправления при передаче по информационным системам и хранении в электронных базах данных любых документов, издаваемых данным органом в соответствии с его компетенцией. Для удостоверения подлинности ЭЦП должностных лиц органов государственной власти и органов местного самоуправления создаются государственные удостоверяющие центры, выдающие сертификаты ключей подписи.

Использование ЭЦП в корпоративных информационных системах регламентируется внутренними документами системы, соглашением между участниками системы или между владельцем системы и пользователями (клиентами).

Использование ЭЦП в платежной системе КР регулируется соответствующим законодательством КР, нормативно-правовыми актами Национального банка КР, а также соглашениями между участниками платежной системы.

Национальный банк КР является удостоверяющим центром для банков и иных финансово-кредитных учреждений, деятельность которых он регулирует.

ЭЦП, которая может быть проверена открытым ключом, имеющим иностранное свидетельство на открытый ключ ЭЦП, выданный государством, с которым есть вступивший в силу в установленном законом порядке международный договор, участником которого является Кыргызская Республика, о признании таких свидетельств или иной вступивший в силу в установленном законом порядке международный договор, участником которого является Кыргызская Республика, обеспечивающий равноценную безопасность электронных сообщений, признается наравне с ЭЦП.

Ответственность:

Лица, неправомерно использующие ЭЦП другого лица, включая неправомерное получение закрытого ключа и (или) проставление ЭЦП другого лица без должных полномочий, несут ответственность в соответствии с законодательством Кыргызской Республики.

В случае причинения убытков пользователю открытого ключа ЭЦП вследствие несанкционированного доступа к закрытому ключу ЭЦП по вине владельца закрытого ключа ЭЦП последний обязан возместить убытки.

Споры, вытекающие из правоотношений, связанных с использованием ЭЦП, а также признанием ее действительности, подлежат разрешению в судебном порядке в соответствии с законодательством Кыргызской Республики.

На сегодняшний день нормы об ЭЦП, содержащиеся в законе КР «Об электронном документе и электронной цифровой подписи», не реализуются и содержат следующие недостатки:

• одна технология, самая неудобная и дорогая, причем иные технологии фактически запрещаются;
• не решается вопрос с сертификацией средств ЭЦП на соответствие требованиям, обеспечивающим доверие к ним; допускается использование несертифицированных средств ЭЦП без снижения уровня юридической значимости самого подписанного документа;
• не соответствует современным стандартам европейского законодательства (предусматривают 2 или 3 уровня подписей);
• не решены вопросы признания иностранных подписей (требуется международный договор);
• отсутствует механизм контроля удостоверяющих центров со стороны уполномоченного органа, механизм информационного взаимодействия удостоверяющих центров между собой и с уполномоченным органом.

В настоящее время использование электронной цифровой подписи работает только в платежной системе. В результате затруднительна возможность предоставления государственных услуг в электронном формате, связанных с необходимостью персонализации (аутентификации) пользователя и удостоверения его личности, осуществление так называемых персонифицированных транзакций. Не определен механизм применения ЭЦП, не реализованы организационные и правовые аспекты для реализации закона об ЭЦП (отсутствие уполномоченного органа в сфере ЭЦП), не определены условия и порядок использования ЭЦП в том числе в процессе межведомственного взаимодействия.

Обзор подготовлен Общественным фондом «Гражданская инициатива Интернет политики» по заказу ecpexpert.ru

Читать далее: Часть 5: Электронный документооборот