Данная заметка Хулиана Инзы (Julián Inza - на фото) была опубликована 28 мая 2019 года на сайте Todo es electrónico («Всё электронное»).
Согласно европейскому закону eIDAS, для создания квалифицированных электронных подписей и печатей необходимо использовать квалифицированные устройства для создания подписи. (Замечу, что из-за этого большинство российских квалифицированных подписей не являются таковыми в соответствии с европейским законодательством, могут рассматриваться лишь как усиленные электронные подписи на основе квалифицированного сертификата и, соответственно, не могут рассчитывать на презумпцию подлинности, являющуюся привилегией квалифицированных подписей и печатей – Н.Х.)
Мой комментарий: Полное название закона eIDAS - Регламент № 910-2014 Европейского парламента и Совета от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC»» (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG ). Об этом законе см. также пост http://rusrim.blogspot.ru/2014/09/blog-post_95.html
Учитывая медлительность процесса подготовки и публикации Европейским комитетом по стандартизации (CEN) стандартов для оценки соответствия квалифицированных устройств для создания подписи, предусмотренной статьей 30 закона, испанский Национальный центр криптографии (Centro Criptológico Nacional, CCN) в 2016 году инициировал публикации собственной нормы в соответствии с положениями самой статьи 30, п. 3-b.
Действительно, в пункте 1 статьи 30 eIDAS сказано:
«Соответствие квалифицированных устройств для создания электронной подписи требованиям, изложенным в Приложении II, должно быть подтверждено соответствующими государственными или частными органами, назначенными государствами-членами.»Далее в пункте 3 говорится:
3. Сертификация, упомянутая в пункте 1, должна основываться на одном из перечисленного:В апреле 2016 года был опубликован подзаконный нормативный акт Еврокомиссии №2016/650 от 25 апреля 2016 года «Об определении стандартов для оценки безопасности устройств для создания квалифицированных подписей и печатей в соответствии со ст.ст. 30(3) и 39(2) закона eIDAS» (Commission Implementing Decision (EU) 2016/650 of 25 April 2016 laying down standards for the security assessment of qualified signature and seal creation devices pursuant to Articles 30(3) and 39(2) of Regulation (EU) No 910/2014 of the European Parliament and of the Council on electronic identification and trust services for electronic transactions in the internal market), см. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32016D0650
(a) процесс оценки безопасности, выполняемый в соответствии с одним из стандартов оценки безопасности продуктов информационных технологий, включенным в перечень, составленный в соответствии со вторым параграфом данного пункта (…)
Еврокомиссия обязана, посредством подзаконных актов, сформировать перечень стандартов для оценки безопасности продуктов информационных технологий, упомянутый в 3(а). Эти подзаконные акты должны быть утверждены в соответствии с процедурой экспертизы, описанной в статье 48(2).
Однако в этом нормативном документе упоминается только система оценки Common Criteria (стандарт ISO/IEC 15408 (части 1–3) «Информационные технологии - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий» (Information technology - Security techniques - Evaluation criteria for IT security) – адаптирован в России как ГОСТ Р ИСО/МЭК 15408 - Н.Х.); и стандарт EN 419211 (части 1-6) «Профили защиты защищенных устройств для создания подписей» (Protection profiles for secure signature creation device), в котором вопрос о создании подписей в облаке затронут «по касательной» (только в части 5-й).
На основании Директивы 1999/93/EC в своё время было опубликовано Решение Еврокомиссии 2003/511/EC от 14 июля 2003 года «О публикации в соответствии с положениями директивы 1999/93/EC Европейского парламента и Совета ссылок на общепризнанные стандарты для продуктов, связанных с созданием электронных подписей» (Commission Decision 2003/511/EC of 14 July 2003 on the publication of reference numbers of generally recognised standards for electronic signature products in accordance with Directive 1999/93/EC of the European Parliament and of the Council, см. https://eur-lex.europa.eu/legal-content/EN/TXT/HTML/?uri=CELEX:32003D0511 ), позволявшее использовать защищённые устройства для создания подписи, одновременно развивая структуру технических стандартов для оценки соответствия.
Учитывая заинтересованность ряда испанских организаций и учреждений в сертификации квалифицированных устройств для создания подписи (что необходимо, например, для завершения проекта «облачного» удостоверения личности (Documento Nacional de Identidad, DNI)), Национальный центр криптографии в январе 2017 года опубликовал стандарт IT-009:2017 «Методология оценки удаленных квалифицированных устройств создания электронной подписи» (Remote Qualified Electronic Signature Creation Device Evaluation Methodology, https://oc.ccn.cni.es/index.php/es/documentos/normativa-y-legislacion/5-it-009-remote-qualified-electronic-signature-creation-device-evaluation-methodology/file ).
Данный стандарт был опубликован в соответствии с пунктом 3-b статьи 30 закона eIDAS:
3. Сертификация, упомянутая в пункте 1, должна основываться на одном из перечисленного:Стандарт IT-009 включил в себя ключевые положения из разрабатывавшихся на тот момент технические стандартов и позволил Испанию занять лидирующие позиции в части оценки соответствия. Следует поблагодарить Национальный центр криптографии за проделанную заранее работу, которая способствует конкурентоспособности испанских компаний в секторе безопасности.
b) процесс, отличный от процесса, упомянутого в подпункте а), при условии, что в нём используются эквивалентные уровни безопасности, и что государственный или частный орган, упомянутые в пункте 1, уведомит об этом Еврокомиссию. Такой процесс может использоваться только при отсутствии стандартов, упомянутых в подпункте а), или же пока продолжается процесс оценки безопасности, упомянутый в пункте а).
Для испанского «Органа по оценке соответствия в области доверия» (TCAB, Trust Conformity Assessment Body – испанская компания, одним из сотрудников которой является Хулиан Инза – Н.Х.) было честью принять участие в подготовке к публикации этого стандарта.
Хулиан Инза (Julián Inza)
Источник: сайт Todo es electrónico
https://inza.wordpress.com/2019/05/28/norma-del-ccn-para-firma-en-la-nube/
Комментариев нет:
Отправить комментарий