воскресенье, 18 ноября 2018 г.

Европейский комитет по стандартизации CEN опубликовал руководства по использованию электронных подписей гражданами и малыми и средними предприятиями


В мае 2018 года Европейский комитет по стандартизации CEN опубликовал два любопытных технических отчёта, касающихся электронных подписей. Эти стандарты разработаны техническим комитетом CEN/TC 224 «Персональная идентификация и взаимосвязанные персональные устройства с защищёнными элементами, системами, операциями и защитой неприкосновенности частной жизни в межотраслевой среде» (Personal identification and related personal devices with secure element, systems, operations and privacy in a multi-sectorial environment).

Сами авторы подчёркивают, что «Эти два документа несколько отличаются от других документов той же серии тем, что они выходят за рамки технической концепции электронной цифровой подписи и также рассматривают правовые вопросы, связанные использованием электронных подписей и печатей.»

В документах используется следующая, довольно-таки нестандартная система понятий:
  • Электронная подпись (electronic signature) – «данные в электронной форме, которые присоединены или логически ассоциированы с другими данными в электронной форме, и которые используется подписантом для подписания»;

  • Электронная цифровая подпись (digital signature) – «данные, присоединенные или являющиеся результатом криптографического преобразования блока данных, которые позволяют получателю блока данных доказать источник и целостность блока данных и обеспечивают защиту от фальсификации (в том числе получателем)»;

  • Усиленная электронная подпись (advanced electronic signature) – «электронная подпись, соответствующая требованиям ст.26 Регламента Евросоюза №910/2014 об электронной идентификации и услугах в области доверия для электронных транзакций на внутреннем рынке» (это закон eIDAS).
Необычным здесь является проведения различия между двумя последними видами подписей, и то, что в документе активно используется именно термин «электронная цифровая подпись», которая может не признаваться усиленной подписью (и даже вообще электронной подписью в смысле европейского законодательства!).

Само собой, упомянута и квалифицированная подпись в толковании закона eIDAS – для признания подписи квалифицированной требуется использовать для её создания «квалифицированное защищенное устройство создания подписи», чему подавляющее большинство российских подписей не соответствует :)


Рис.3 из CEN/TR 419040:2018 показывает соотношение понятий «электронные данных» и различных вариантов электронной подписи

Технический отчет CEN/TR 419040:2018 «Рационализированная структура для стандартизации в области электронных подписей – Руководство для граждан» (Rationalized structure for electronic signature standardization - Guidelines for citizens) объёмом 33 страницы, см. https://standards.cen.eu/dyn/www/f?p=204:110:0::::FSP_PROJECT,FSP_ORG_ID:62501,6205&cs=1A4F9819CE43CB18F9858AE6818FD3C91

В аннотации отмечается, что «Настоящий Технический отчет призван помочь гражданам понять актуальность использования электронной подписи в повседневной жизни. В нем также объясняются правовые и технические основы электронных подписей. В отчёте содержатся рекомендации по использованию электронных подписей и рассматриваются типичные практические вопросы, которые могут возникнуть у граждан, относительно того, как перейти к электронному подписанию и где найти подходящие приложения и материалы.»

Хотелось бы отметить, что в документе достаточно хорошо и подробно рассмотрены правовые вопросы и риски, связанные с использованием электронной подписи, в том числе те, на которые традиционно обращается мало внимания (например, на то, что должно быть ясно намерение подписанта).

Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Что такое (имеющие юридическую силу) электронные подписи?
6. Электронные цифровые подписи – как это работает в реальных приложениях?
7. Вспомогательные сервисы и инструменты для работы с электронными цифровыми подписями, которые можно использовать на практике
8. В случае спора: свидетельства и доказательства
9. Как насчёт (международного) признания электронных подписей?
Библиография
Технический отчет CEN/TR 419030:2018 «Рационализированная структура для стандартизации в области электронных подписей – Наилучшие практики для малых и средних предприятий» (Rationalized structure for electronic signature standardization - Best practices for SMEs) объёмом 30 страниц, см. https://standards.cen.eu/dyn/www/f?p=204:110:0::::FSP_PROJECT,FSP_ORG_ID:62499,6205&cs=1911CDE3F22BB3A3E0EB53933C40658CA

В аннотации отмечается, что «Настоящий Технический отчет призван стать отправной точкой в вопросе использования электронных подписей для любого малого или среднего предприятия (МСП), которое рассматривает возможность перевода на электронные технологии своих «бумажных» рабочих процессов и ищет надежную правовую и техническую основу для интеграции электронных подписей или электронных печатей в эти процессы.»

«Технический отчет не предназначен для использования в качестве руководства теми МСП, которые активно занимающихся разработкой продуктов и услуг для электронного подписания – им следует полагаться на публикации серии ETSI EN 319 (в неё входят стандарты, регламентирующие форматы усиленных электронных подписей, отметок времени, работу удостоверяющих центров и т.д. – Н.Х.) при разработке своих продуктов. Настоящее руководство адресовано тем МСП, которые потребляют продукты и услуги для электронного подписания.»

«Настоящий документ опирается на технический отчет CEN/TR 419040 «Руководство для граждан», разъясняющий концепцию и порядок использования электронных подписей. Он стремится дополнительно помочь МСП осознать актуальность использования электронных подписей в их деловых процессах. Технический отчёт помогает МСП определить соответствующий их потребностям уровень электронных подписей, рассматривает конкретные варианты использования, уделяя особое внимание технологиям и решениям. В нём также рассматриваются другие типичные конкретные вопросы, на которые МСП должны ответить, прежде чем принимать какие-либо решения (например, вопрос о признании их электронной подписи третьими сторонами, в рамках их отрасли, страны или даже в международном масштабе).»

«После принятия решения о внедрении электронных подписей или электронных печатей в своей деловой деятельности, МСП обычно будут сотрудничать с выбранными ими поставщиками продуктов  или услуг электронного подписания/ проставления печатей, - что может делаться на основе технического отчёта ETSI TR 119 100 «Электронные подписи и инфраструктуры – Руководство по использованию стандартов создания и проверки подписей» (Electronic Signatures and Infrastructures (ESI); Guidance on the use of standards for signature creation and validation, действующая версия 1.1.1 была опубликована в 2016 году, см. https://www.etsi.org/deliver/etsi_tr/119100_119199/119100/01.01.01_60/tr_119100v010101p.pdf - Н.Х.), который помогает предприятиям удовлетворять свои деловые потребности. В настоящем документе описаны концепции и порядок использования актуальных для МСП стандартов, разработанных в рамках «Рационализированная структуры для стандартизации в области электронных подписей»».

Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Термины и определения
3. Сокращения
4. Электронные печати согласно европейскому закону eIDAS
5. Точка зрения МСП
6. Решения
7. Являюсь ли я «поставщиком услуг доверия» с точки зрения закона?
8. Варианты использования
9. Приложение: Стандартизация электронных цифровых подписей
Библиография
Для справки отмечу, что Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI, http://www.etsi.org/ ) также опубликовал технический отчет, первоначально называвшийся «Рационализированная структура для стандартизации в области электронных подписей». Его текущая версия 1.2.1 называется ETSI TR 119 000 version 1.2.1 (2016-04) «Электронные подписи и инфраструктуры – Концепция стандартизации подписей: Обзор» (Electronic Signatures and Infrastructures (ESI); The framework for standardization of signatures: overview), см. https://www.etsi.org/deliver/etsi_tr/119000_119099/119000/01.02.01_60/tr_119000v010201p.pdf

Источники: сайт CEN / сайт ETSI
https://standards.cen.eu
https://www.etsi.org

Комментариев нет:

Отправить комментарий