От ЭЦП к электронной подписи. Как банку осуществить этот переход своевременно и рационально
Фёдор ДЗЕРЖИНСКИЙ (ОАО «Промсвязьбанк»)
начальник отдела системной экспертизы
департамента информационных технологий
Вступление в силу нового Федерального закона «Об электронной подписи» от 6 апреля 2011 года № 63-ФЗ (далее – «Закон об ЭП») запустило «обратный отсчет времени» до предусмотренной в нем (ч. 2 ст. 20) даты, когда утратит силу старый Федеральный закон «Об электронной цифровой подписи» от 10 января 2002 года № 1-ФЗ (далее «Закон об ЭЦП») – 1 июля 2012 года (далее – день «Ч»). Новый закон отличается от старого радикально, поменялись не только отдельные конкретные нормы, но и вся основополагающая терминология и понятийный аппарат. Какие мероприятия необходимо осуществить в банке за оставшееся до дня «Ч» время, чтобы после вступления в силу «нового» закона продолжить работу систем, построенных согласно требованиям «старого», и сохранить юридическую силу документов, подписанных ЭЦП?
ПРОБЛЕМА…
В день «Ч» многие системы обмена электронными документами могут по чисто формальному признаку перестать соответствовать действующему законодательству – из-за привязки не к действующему закону, а к уже не действующему. Такая опасность угрожает договорам, внутренним нормативным, техническим и иным документам, а также пользовательским интерфейсам, форматам сообщений и отчетов, формируемых программами.
Что делать банкам, которые выстраивали системы дистанционного банковского обслуживания (ДБО) по нормам «старого» закона? Чтобы привести их в соответствие с требованиями «нового» Закона об ЭП, банк должен выбрать и осуществить комплекс мероприятий: внести изменения в программное обеспечение, переработать нормативную, техническую, договорную документацию и переоформить соглашения с клиентами и партнерами.
До наступления дня «Ч» времени остаётся мало, меньше года. В новом Законе об ЭП есть неоднозначности, как и в старом Законе об ЭЦП. Проблема сложная, а готовые, проверенные решения пока отсутствуют. Учитывая консерватизм и инерционность согласования технических решений в банках, существует опасность того, что в итоге приводить системы в соответствие с новыми требованиями придется в авральном порядке.
Ниже предпринята попытка рассмотреть некоторые возможные подходы к осуществлению необходимых мероприятий, с учетом ряда существенных и не всегда очевидных отличий Закона об ЭП от предшествующего закона. Рассмотрение не привязано к практике какой-либо конкретной организации и не претендует ни на систематический охват всех аспектов проблемы, ни на бесспорность. Цель публикации – инициировать обсуждение специалистами, конструктивную критику, помочь совместно найти приемлемое решение «проблемы дня «Ч».
... ДЛЯ ЮРИСТОВ И ПРОГРАММИСТОВ
Рассматриваемая проблема имеет «междисциплинарный» характер, и для её решения необходимо тесное взаимодействие специалистов разного профиля. С одной стороны, таких как юристы, экономисты, банкиры, с другой – технических специалистов по программной инженерии («программистов»), информационным технологиям, информационной безопасности и многих других. Работа ведётся коллективно, но каждый говорит на своем языке. Из-за обилия важных технических тонкостей «программисту» иногда легче понять «юриста», чем наоборот. И удобно, если именно он берет на себя заботу о взаимопонимании между участниками работ, а также внесение на коллективное рассмотрение предложений по решению проблемы.
Такой специалист должен постоянно вникать в вопросы, выходящие за рамки его узкой области, но помнить, что он в них – дилетант. Его задача – не поменять свою профессию на чужую, а стараться точно понять коллег-смежников и со своей стороны, разъяснять им тонкие детали на понятном им языке. При этом итоговое решение должен одобрить каждый участник. Так можно выработать системно продуманное коллективное решение, аккумулирующее профессиональный опыт специалистов разного профиля, включая и юристов, и «технарей».
Данная статья написана с позиции подобного «программиста» и отражает в первую очередь личный опыт и точку зрения автора, которая не обязательно совпадет с точкой зрения его работодателя. Высказываемые предложения могут использоваться для принятия практических решений только по результатам консультаций с квалифицированным юристом.
ВЫБОР ПОДХОДА К РЕШЕНИЮ
Мы рассматриваем частный случай проблемы: банк имеет систему ДБО для юридических лиц, где ЭЦП применяется в корпоративной информационной системе по «старому» закону, причем функции Удостоверяющего центра (УЦ), обеспечивающего функционирование системы, возложены на подразделение банка.
«Привычный» подход – поменять термины в документации
При таком подходе во внутренних распорядительных и нормативных документах, а также в договорах ищут несоответствия изменениям в законодательстве, чтобы устранить их простым редактированием текста. Начать можно с анализа документации, относящейся к системе ДБО.
В первую очередь – документов, определяющих правила обмена электронными документами, подписанными ЭЦП, работы с ключами, сертификатами и т.п. Такие документы могут называться по-разному, основные из них являются неотъемлемой частью договоров с клиентом, и их содержание прямо привязано к Закону об ЭЦП. Определения терминов обычно бывают дословно переписаны из текста закона.
Упоминания терминов Закона об ЭЦП могут встречаться в разнообразной документации – технической эксплуатационной, в том числе разработанной не банком, а приобретенной у третьих сторон, в приказах и доверенностях. Но также эти юридические термины могут использоваться ещё много где, например, в пользовательских интерфейсах, сообщениях программ для ЭВМ и др. Приложив усилия, все эти случаи можно найти.
Трудно решить, как именно нужно изменить текст документов. Одна трудность в том , что не удаётся ограничиться простой заменой одних терминов на другие, например, «ЭЦП» на «ЭП». В новом Законе об ЭП, по сравнению с Законом об ЭЦП, существенно изменились объёмы, а также взаимосвязи понятий. Механическая замена терминов и формулировок определений породила бы смысловые противоречия как в самой документации, так и с программным обеспечением.
Другая трудность в том, что новый закон об ЭП, вместо привычного следования однозначным требованиям, предусматривает (п. 1 ст. 4) право участников электронного взаимодействия использовать по своему усмотрению ЭП любого вида. Учитывая формулировку ч. 1 ст. 3 закона, банк вынужден ещё до внесения изменений в документацию определиться, какой вид ЭП будет применяться в системе ДБО.
Ясно, что ЭП должна быть усиленная и следует выбрать один из трёх вариантов: квалифицированная, неквалифицированная – основанная на сертификате ключа проверки электронной подписи (далее СКПЭП) или неквалифицированная без СКПЭП (ч. 5 ст. 5). Как будет пояснено ниже, ни один из трёх вариантов не является очевидно предпочтительным. Выбор может привести к не совсем ожидаемым результатам.
Наконец, третья трудность : Закон об ЭП (ч. 2 ч. 3 ст. 12) содержит новые конкретные требования не только к документации, но и к функциям программно-технических средств. Значит, необходим анализ программного обеспечения существующей системы ДБО, по результатам которого может потребоваться его доработка или частичная замена.
Таким образом, попытка простой замены терминологии Закона об ЭЦП на терминологию Закона об ЭП в документации всё равно потребует радикальной комплексной переработки всей системы ДБО.
В перспективе такая работа может быть вполне оправданной – для создания с чистого листа новой версии системы, полностью освобождённой от «рудиментов» Закона об ЭЦП и с максимальной реализацией преимуществ Закона об ЭП. Но когда на приведение существующих систем ДБО в соответствие с новым Законом об ЭП остаётся лишь несколько месяцев, более предпочтителен другой подход.
Альтернативный подход ? соотнесение старых терминов и решений с новым законом об ЭП в дополнительных документах системы и соглашениях с клиентами
Важная особенность нового Закона об ЭП состоит в том, что, как следует из его положений, ЭП должна признаваться электронной подписью того вида (простая, усиленная неквалифицированная, усиленная квалифицированная), признакам которого она соответствует на его основании. Примеры соответствующих положений Закона об ЭП:
¦ «Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, в Российской Федерации признаются электронными подписями того вида, признакам которого они соответствуют на основании настоящего Федерального закона» (ч. 1 ст. 7).
¦ «При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи , установленным настоящим Федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи» (ч. 5 ст. 5).
Требование о том, что ЭП должна называться именно «электронная подпись», в качестве признака каких-либо из видов ЭП в законе не предусмотрено. Что дает основание считать: использование в системе ДБО и связанной с ней документации термина «ЭЦП» и иной терминологии Закона об ЭЦП после утраты им силы само по себе не будет противоречить Закону об ЭП.
Риски может создавать не использование старой терминологии, а отсутствие определенности в вопросе о том, признакам какого вида ЭП должна соответствовать ЭП, обозначаемая старым термином «ЭЦП», а также нарушение установленных законом требований к использованию видов ЭП.
Исходя из сказанного, представляется предпочтительным следующий подход к приведению существующей системы ДБО в соответствие с законом об ЭП.
Шаг первый : принять решение, предварительно проанализировав возможные его варианты, каким видом ЭП должна являться ЭЦП, применяемая в системе.
Шаг второй : разработать новые документы (документ) , которые вводятся в действие дополнительным соглашением или путем одностороннего изменения банком условий договора с клиентом-пользователем системы ДБО. В новых документах следует:
¦ изложить для всех терминов из Закона об ЭЦП, применяемых в системе, согласованные правила истолкованияи однозначного упоминания соответствующих им понятий втерминах закона об ЭП. В том числе определения новыхпонятий, а также уточнения к терминам, устраняющие неоднозначность в случаях, когда смысл одних и тех же терминов в Законах об ЭЦП и об ЭП существенно различается (например, «ключ подписи»);
¦ предусмотреть обязательность применения данныхправил для всей документации, пользовательских интерфейсов, сообщений, отчетов, формируемых программнымобеспечением системы;
¦ для всех случаев, когда с учетом данных правил истолкования терминов какие-либо положения договорных и иных документов, относящихся к системе ДБО, окажутся не соответствующими Закону об ЭП, предусмотреть оговорки, необходимым образом изменяющие по смыслу такие положения, или заменяющие их формулировки;
¦ добавить новые положения, наличие которых в договоре с пользователем системы согласно Закону об ЭП обязательно, но которые ранее отсутствовали.
Шаг третий : проанализировать программное обеспечение системы ДБО на наличие несоответствий его функциональности Закону об ЭП. Разработать и принять меры по их устранению.
Шаг четвёртый , заключительный: определить дату, с которой к электронному взаимодействию в системе ДБО будут применяться положения Закона об ЭП, но не закона об ЭЦП. Конечно, желательно не позднее дня «Ч» – 1 июля 2012 года. К назначенной контрольной дате каждый пользователь системы ДБО должен либо подтвердить изменения договорных отношений в соответствии с требованиями Закона об ЭП, либо отказаться от использования системы. Описанные «шаги» могут потребовать повторения.
Нельзя исключать, что помимо создания дополнительных документов окажется удобно и изменить какие-то части существующих документации и программ. При анализе системы может даже обнаружится, что ее в принципе невозможно привести в соответствие с законом об ЭП без серьезной переработки.
Однако суть предлагаемых шагов – не просто в отходе от «привычного» подхода – механической замены формулировок в документах. Добиться соответствия системы ДБО требованиями Закона об ЭП можно, только избежав соблазна забыть, как сон, старый Закон об ЭЦП, разрабатывая и осуществляя необходимые изменения систематическим образом.
Какой вид ЭП выбрать ?
Независимо от того, выбран «привычный» или предлагаемый «альтернативный» подход, центральным вопросом является выбор вида ЭП по классификации нового закона, признакам которого должна отвечать ЭП (она же ЭЦП) в обновлённой системе ДБО.
Имеет смысл отметить существенную специфику систем ДБО среди других систем электронного взаимодействия. Это наличие правовых оснований, а также ряда требований к его осуществлению, предусмотренных не Законом об ЭЦП и не в новом Законе об ЭП, а п. 3 ст. 847 ГК РФ и рядом нормативных актов Банка России, касающихся обмена электронными документами и сообщениями, подписанными аналогами собственноручной подписи (АСП) или снабженными кодом аутентификации (КА) .
Как пояснено ниже, оба понятия, АСП и КА, практически равнозначны, полностью соответствуют понятию ЭП по новому закону об ЭП и в системах ДБО , не нарушающих требования Банка России к электронному взаимодействию и применению АСП, ЭП должна соответствовать признакам вида ЭП усиленная, неквалифицированная, без СКПЭП (ч. 5 ст. 5 закона).
СПЕЦИФИКА СИСТЕМ ДБО
Широко известным общим основанием для юридически значимого обмена информацией в электронной форме является п. 2 ст. 160 («Письменная форма сделки») ГК РФ. В нем сказано: « Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон». Данная редакция этого пункта создана Федеральным законом от 06.04.2011 года № 65-ФЗ, ранее в нем вместо слова « электронной» было указано « электронно-цифровой».
О том, что основанием характерного для систем ДБО применения электронных платежных документов является иное положение ГК РФ, приходится помнить преимущественно банковским специалистам.
Это п. 3 ст. 847 ГК РФ, в котором сказано относительно договора банковского счета: « Договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи (п. 2 ст. 160), кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом».
Распространено мнение о Законе об ЭЦП и Законе об ЭП как основаниях электронного взаимодействия в системах ДБО. В связи с этим имеет смысл отметить, что в данной формулировке не упомянуты ни ЭЦП, ни ЭП. Но они применимы в соответствии с данной формулировкой как частные случаи понятий «аналог собственноручной подписи» или «код».
Документы Банка России об АСП и КА
В 1998 году, за 4 года до появления Закона об ЭЦП, Центральный Банк России выпустил основанный на указанных положениях ГК РФ нормативный документ, который не был отменен, заменен или как-либо изменен по настоящее время. Документ определяет основные требования, которым должны удовлетворять системы ДБО для юридических лиц, допускающие направление клиентами в банк электронных платежных документов.
Обязательность этих требований вытекает из следующей формулировки, содержащейся в п. 1.5.10 раздела I части III « Правил ведения бухгалтерского учета в кредитных организациях, расположенных на территории Российской Федерации» (Приложение к Положению Банка России от 26.03.2007 №3 02-П, ред. от 29.12.2010): «Поручения клиентов на перечисление средств с их счетов могут представляться в кредитные организации в виде расчетных документов на бумажных носителях, подписанных собственноручными подписями уполномоченных лиц и заверенных оттиском печати клиента, а также в виде электронных платежных документов, передаваемых по каналам связи или иным образом (на магнитных, оптических носителях). Кредитная организация в договоре банковского счета определяет порядок приема электронных документов клиентов, их защиты, оформления и подтверждения в соответствии с нормативным актом Банка России о порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями ».
Нормативный акт Банка России, имеющий указанное в данной формулировке название (при цитировании оно выделено), – Временное положение Центрального Банка России от 10 февраля 1998 года № 17-П (далее – « Положение 17-П» ).
Одним из центральных понятий в положении 17-П является понятие « аналог собственноручной подписи» (АСП) , в данном контексте по смыслу равнозначное понятию « код аутентификации» (КА) , введенному позднее в документах Банка России, посвященных другим вопросам. См., в частности: Указание ЦБ РФ от 24 мая 2005 года № 1546-У «О порядке представления кредитными организациями в Центральный Банк Российской Федерации отчетности в виде электронных сообщений, снабженных кодом аутентификации» (ред. от 06.11.2007) (далее – « Указание 1546-У» ); Письмо ЦБ РФ от 04.12.2007 № 191-Т «О форме договора между кредитной организацией и Банком России о приеме-передаче отчетности в виде электронных сообщений, снабженных кодом аутентификации» (далее – « Письмо 191-Т» ).
В терминах нового Закона об ЭП, при практическом применении данных понятий АСП и КА, они полностью соответствуют признакам следующего конкретного вида ЭП: усиленная, неквалифицированная, случай ч. 5 ст. 5 Закона об ЭП – без СКПЭП, «сертификата ключа проверки ЭП», создаваемого «удостоверяющим центром» в смысле Закона об ЭП, но с обеспечением соответствия ЭП признакам неквалифицированной ЭП, указанным в ч. 3 ст. 5 Закона об ЭП, без использования СКПЭП.
Соответствие этим признакам обеспечивается за счет « регистрации» каждого ключа проверки ЭП путем оформления сторонами документа на бумажном носителе, содержащего распечатку этого ключа, и ряда иных мер. Одна из них – «регистрация» сторонами применяемых средств ЭП : для АСП – « средств создания и проверки АСП», для КА – « средств аутентификации».
Закон об ЭЦП и подход АСП - КА
На момент принятия закона об ЭЦП был накоплен положительный опыт практического применения электронного взаимодействия по модели, описанной положением 17-П. Закон был принят в редакции, применение которой оказалось сопряженным со значительными практическими проблемами и правовыми рисками. Последние подробно исследованы в юридическом комментарии: Н.И. Соловя-ненко: Комментарий к Федеральному закону «Об электронной цифровой подписи». – «Хозяйство и право». Приложение к № 5, май 2003 г.
Банк России воздержался как от того, чтобы рекомендовать кредитным организациям применять Закон об ЭЦП в системах ДБО, так и того, чтобы дорабатывать с его учетом модель электронного взаимодействия, предусмотренную в положении 17-П. В последующий период имело место развитие, конкретизация и уточнение соответствующей модели в целом ряде документов Банка России по вопросам обмена электронными сообщениями, снабженными КА, но в основном лишь для случаев, когда в обмене ими участвуют подразделения самого Банка России.
На сегодня для организации электронного взаимодействия в системах ДБО непосредственно применимо лишь положение 17-П. Документами Банка России, касающимися применения КА, при этом можно воспользоваться, но лишь как источником информации – полезных пояснений, уточненных определений, формулировок.
Это касается, прежде всего, упомянутого выше письма 191-Т . Оно включает форму договора об обмене электронными сообщениями, снабженными КА, содержащую, в частности, подробные определения понятий, уточненные по сравнению с положением 17-П, а также готовые образцы формулировок и указания по составлению ряда важных приложений к такому договору. Вместе с ним нужно использовать и указание 1546-У , часть терминов определена в нем, в том числе «КА» и «аутентификация».
С учетом всего отмеченного, условимся далее упоминать как «АСП – КА» подход к организации использования ЭП в системе ДБО, соответствующий требованиям к АСП по положению 17-П, с возможностью их конкретизации по аналогии с решениями из документов Банка России, касающихся применения КА. Рассмотрим подробнее ряд отличий подхода АСП–КА от обычно подразумеваемого подхода к использованию ЭЦП в ДБО.
УДОСТОВЕРЯЮЩИЙ ЦЕНТР ИЛИ РЕГИСТРАЦИОННЫЙ ?
В Законе об ЭЦП заметно смешение ряда принципиально различающихся понятий. С одной стороны, это технические понятия, касающиеся достижений в области криптографии с публичным (открытым) ключом, такие как « цифровая подпись» (далее – ЦП), « цифровые сертификаты», « инфраструктура публичных ключей» (PKI) и т. п. Они допускают различные практические применения, как правило, для обеспечения защиты информации. С другой стороны – основанные на конкретном применении подобных технических решений методы придания юридической силы электронным сообщениям; с этими методами связано понятие « электронная подпись» (даже в самом термине «ЭЦП» смешаны понятия ЭП и ЦП).
Практическое применение в системах ДБО подхода АСП – КА, как и ЭЦП, подразумевает использование средств криптографической защиты информации (СКЗИ), ключевых пар, сертификатов криптографических ключей и создающего цифровые сертификаты органа. В положении 17-П он назван « Администрация», в письме 191-Т – « Регистрационный центр».
Но в Законе об ЭЦП созданный в электронной форме сертификат ключа подписи (как, впрочем, и сертификат ключа проверки ЭП в Законе об ЭП) рассматривается как документ, подписанный определенным лицом и имеющий определенное юридическое значение.
При подходе АСП – КА сертификат открытого ключа является совокупностью данных , то есть технической, а не юридической категорией. А документ, содержащий распечатку в шестнадцатеричной форме открытого ключа из цифрового сертификата и являющийся основанием для подтверждения принадлежности АСП определенному клиенту, подписывается двумя сторонами – и клиентом, и банком. По сути, такой документ содержит дополнительные существенные условия к договору между ними.
И закон об ЭЦП, и закон об ЭП предусматривают выдачу Удостоверяющим центром (УЦ) сертификатов как документов-оснований для использования ЭП участниками электронного взаимодействия. Это может быть удобно, когда участники не связаны между собой заранее установленными договорными отношениями, а УЦ является для них доверенной третьей стороной. Но в системах ДБО технические функции по выпуску сертификатов ключей в электронной форме (цифровых сертификатов) выполняет обычно одно из подразделений банка. Однако в рамках электронного взаимодействия банк – заинтересованная сторона, что не вполне совместимо с исполнением роли независимой третьей стороны в случае спора между ним и клиентом.
При использовании ЭЦП по Закону об ЭЦП это противоречие можно обходить, подписывая сертификаты (или их «копии») на бумаге от банка и от клиента. И хотя сертификаты «выдает» УЦ, но фактически оформляются необходимые двухсторонние документы. Также возможны иные меры на основании положения Закона об ЭЦП (третий абзац ч. 1 ст. 8) о том, что статус УЦ, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников.
Аналогичное положение в новом законе об ЭП отсутствует. В нем есть положение (п. 1 ст. 3), касающееся случаев установления « оператором корпоративной информационной системы или соглашением между участниками электронного взаимодействия» порядка использования ЭП в такой системе, но не определения статуса УЦ. В соответствии с определением п. 2 ст. 2 Закона об ЭП, теперь функции удостоверяющего центра могут выполнять лишь юридическое лицо или индивидуальный предприниматель . Возможность считать УЦ лишь подразделением банка, а не самим банком (юридическим лицом) в новом законе исключена.
Изучение положений Закона об ЭП, касающихся Удостоверяющего центра, наводит на мысль о том, что кредитная организация, возможно, вообще не может стать Удостоверяющим центром в соответствии с этим законом. Во-первых, это могло бы быть квалифицировано как занятие производственной деятельностью, что кредитной организации запрещено Законом «О банках и банковской деятельности». Во-вторых, УЦ согласно п. 3 ч. 2 ст. 13 Закона об ЭП обязан предоставлять любому лицу информацию, содержащуюся в реестре сертификатов. Как это совместить с режимом банковской тайны? Есть и другие проблемы.
Альтернативой продолжению деятельности собственного УЦ банка является реализация рассмотренной выше возможности использования в системе ДБО неквалифицированной ЭП без СКПЭП (ч. 5 ст. 5 закона об ЭП) и переоформления, в т. ч. переименования УЦ в «регистрационный центр» или «администрацию» (в смысле положения 17-П).
АККРЕДИТАЦИЯ УЦ И КВАЛИФИЦИРОВАННАЯ ЭП
Вызывают большие сомнения возможности продолжение работы под названием «Удостоверяющий центр» подразделения банка, обеспечивающего функционирование систем ДБО. Если они подтвердятся, проблема аккредитации «своего», «внутреннего» УЦ для банков едва ли будет актуальна.
После появления подзаконных актов, необходимых для начала аккредитации УЦ, публикации перечня средств ЭП и средств УЦ, прошедших подтверждение соответствия (ч. 5 ст. 8 закона об ЭП), для банков могут стать интересными иные вопросы. А именно – о взаимодействии с тем или иным аккредитованным УЦ или об аккредитации в этом качестве аффилированной организации. Однако это новые задачи, выходящие за рамки проблемы перехода от ЭЦП к ЭП в существующей системе ДБО.
Квалифицированная ЭП, «очень значительная» юридическая сила которой предусмотрена ст. 11 Закона об ЭП, не может применяться до появления аккредитованных УЦ. Юридические последствия признания электронных документов, подписанных ЭЦП, подписанными квалифицированной ЭП (ч. 2 ст. 19), определяются не ст. 11, а ч. 1 ст. 6. На первый взгляд отличия от неквалифицированной ЭП практически не существенны. Однако во избежание недоразумений этот вопрос заслуживает отдельной внимательной проработки.
Наконец, может иметь смысл явное подтверждение и разъяснение порядка действия, после перехода системы ДБО на использование ЭП, не прекративших действовать сертификатов ключей ЭЦП уже в качестве «цифровых сертификатов» неквалифицированной ЭП без СКПЭП. Альтернатива – перевыпуск сертификатов. То, что эти сертификаты объявлены в ч. 1 ст. 19 «квалифицированными», в случае ЭП без СКПЭП мало поможет.
НЕКОТОРЫЕ НОВЫЕ ТРЕБОВАНИЯ В ЗАКОНЕ ОБ ЭП
В Законе об ЭП присутствуют два конкретных требования, которых не было в Законе об ЭЦП. Их, если они не были учтены прежде, имеет смысл выполнить при переводе системы ДБО от ЭЦП к ЭП. Могут быть и иные.
Средства ЭП : «Показывать и указывать»
В ч. 2, ч. 3 ст. 12 Закона об ЭП предусмотрены требования не к документации, а непосредственно к функциям программно-технических средств. В соответствии с ними, « средства электронной подписи» теперь должны:
¦ при создании ЭП «показывать» подписывающему лицу содержание подписываемой информации, требовать подтверждения им операции по созданию ЭП и «однозначно показывать», что ЭП создана;
¦ при проверке «показывать содержание» электронного документа, подписанного ЭП, «показывать информацию о внесении изменений» в этот электронный документ и «указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы».
Если применяемое в существующей системе ДБО средство ЭЦП не соответствует данным требованиям, то возможна постановка вопроса о его замене, даже если это сертифицированное СКЗИ.
Нужно сказать, что формулировка ч. 5 ст. 12 Закона об ЭП позволяет легко обойти упомянутые требования ч. 2, ч. 3 ст. 12. Достаточно указать в договоре с клиентом, что применяемые средства ЭП используются «для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе». Действительно, после инициирования операции человеком она выполняется автоматически.
Разумеется, нельзя исключить того, что подобный «обход» может иметь нежелательные последствия в случае конфликтных ситуаций. Чтобы их избежать, может оказаться достаточно не менять СКЗИ, а реализовать дополнительные организационные и технические меры.
«Порядок проверки электронной подписи»
Согласно ч. 2 ст. 6 Закона об ЭП, «. .. нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи ».
Если, как пояснено выше, в системе ДБО придется использовать неквалифицированную ЭП, то имеет смысл позаботиться о том, чтобы в договорных документах системы ДБО изложение порядка проверки ЭП было предусмотрено. Закон об ЭЦП предусматривать такой порядок не требует, но если система ДБО соответствует положению 17-П (в частности, его пп. 2.4, 4.4.1, 4.5.1), то в договоре с клиентом уже должна быть предусмотрена «процедура проверки» ЭЦП. Если такой процедуры нет или она не может рассматриваться как изложение порядка проверки ЭП , то его имеет смысл разработать.
Источник: BIS-Journal http://www.ib-bank.ru/bis/