👩🏼‍🍳 👨🏿‍✈️ 💗 الدعم التكنولوجي والتنظيمي لخدمات الثقة الرقمية في الاتحاد الروسي 🌊 🤸🏿 🔓

الغرض من سلسلة المقالات هو مراجعة الشروط التنظيمية والفنية والتنظيمية لتنظيم عمليات بناء الثقة في بيئة رقمية.

قضايا ضمان وتطوير مساحة الثقة الرقميةذات صلة حول العالم. وهي مدرجة على جدول الأعمال وتم حلها بدرجة أو بأخرى منذ الثمانينيات ، وفي الاتحاد الروسي ، على الأقل منذ بداية العقد الأول من القرن الحادي والعشرين ، عندما تم اعتماد القانون الاتحادي رقم 1- بشأن التوقيعات الرقمية الإلكترونية. القضية الأكثر مناقشة على مستوى المنظمين (وزارة الاتصالات في روسيا ، دائرة الأمن الفيدرالية في روسيا ، دائرة الضرائب الفيدرالية في روسيا) ، المستخدمون والمشغلون ، في تنفيذ عمليات بناء الثقة في البيئة الرقمية ، هي الإطار التنظيمي لضمان استخدام نظائر التوقيعات بخط اليد - التوقيعات الإلكترونية (التوقيعات الإلكترونية) والتوقيعات الرقمية الإلكترونية (EDS) ) ، كوسيلة لضمان صحة إدارة الوثائق الإلكترونية عبر الحدود. في 2018-2020 ، أدت هذه المناقشة إلى تحديث كبير للتشريعات الفيدرالية في مجال الثقة في البيئة الرقمية ، أي ظهور القانون الاتحادي رقم 476- من 27.12.2019 ، التي أدخلت تعديلات مهمة على القانون الاتحادي رقم 63-تاريخ 04/06/2011 "في التوقيع الإلكتروني". من الآن فصاعدا ، سيتم النظر بشكل أساسي في التعديلات على الخدمات الاستئمانية ، والتي تم توحيدها في 476- من قبل فكرة "الطرف الثالث الموثوق" (TPA).

في تشريعات الاتحاد الروسي ، ظهر هذا المفهوم بتوقيع الوثيقة الدولية "معاهدة الاتحاد الاقتصادي الأوراسي" (وقعت في أستانا في 29 مايو 2014) ، والتي تحدد قضايا التكامل الاقتصادي في EAEU. تحتوي الاتفاقية على الملحق رقم 3 "بروتوكول حول تكنولوجيا المعلومات والاتصالات وتفاعل المعلومات داخل الاتحاد الاقتصادي للمنطقة الأوروبية الآسيوية". هذا البروتوكول هو الأساس القانوني لحل مشكلة ضمان الثقة في الوثائق عبر الحدود مع التوقيع الإلكتروني من خلال استخدام تقنية TPA . ميزة أخرى للاتفاقية هي أنها تنص على حل هذه المشكلة فقط للعلاقات بين السلطات(G2G). وفقًا لـ "إستراتيجية تطوير مساحة الثقة عبر الحدود" ، التي تمت الموافقة عليها بقرار مجلس إدارة المجموعة الاقتصادية الأوروبية بتاريخ 27 سبتمبر 2016 رقم 105 (فيما يلي - الاستراتيجية):

"مواضيع التفاعل الإلكتروني يمكن أن تكون أيضًا هيئات حكومية لدول ثالثة (مسؤوليها وموظفوها) ، وأفراد وكيانات قانونية (ممثلو كيانات قانونية) ، ومسؤولون وموظفون في جمعيات الاندماج ، والمنظمات الدولية ، رهنا بإبرام المعاهدات الدولية ذات الصلة".

في المرحلة الثانية من تطوير فضاء الثقة عبر الحدود (حتى 2020) ، من المتوخى:

"إمكانية التفاعل الإلكتروني بين الأفراد والكيانات القانونية فيما بينهم ، وكذلك مع سلطات الدولة في الدول الأعضاء عندما يكون الأفراد والكيانات القانونية في أراضي دولهم".

وبالتالي ، فإن الشروط القانونية والتنظيمية والتكنولوجية لضمان الثقة في التوقيعات الإلكترونية للكيانات القانونية والأفراد داخل فضاء الثقة عبر الحدود في EAEU ، وفقًا للاستراتيجية ، يجب أن يتم إنشاؤها في EAEU بالفعل هذا العام.

في قوانين دول الاتحاد الاقتصادي للمنطقة الأوروبية الآسيوية (EAEU) ، يستند توفير القوة القانونية ، بصفتها ملكية للوثائق الإلكترونية ، إلى ضمانات صحة وسلامة الوثائق. في هذه الحالة ، بشكل رئيسي *لضمان صحة وسلامة المستندات الإلكترونية ، يتم استخدام طرق التشفير ، وترد الأسس القانونية في التشريعات الدولية والوطنية. يستند عدد كبير من البلدان الشريكة الاقتصادية للاتحاد الروسي في تشريعاتها إلى الأهمية القانونية للوثائق الإلكترونية على قانون الأونسيترال النموذجي لعام 2001 "بشأن التوقيعات الإلكترونية" ، الذي ينص أساسه التكنولوجي على التوقيع الإلكتروني المشفر (التوقيع الرقمي) (الجدول 1).

قائمة البلدان التي تستند تشريعاتها إلى قانون الأونسيترال النموذجي بشأن التوقيعات الإلكترونية لعام 2001 * 2

وبالتالي ، فإن مهمة تنظيم تفاعل إلكتروني هام محمي عبر الحدود يتم تقليله إلى التنسيق بين الدول المشاركة للاختلافات في التنظيم القانوني (على سبيل المثال ، متطلبات شروط استخدام أدوات التشفير) والاختلافات في وسائل وأساليب ضمان قيم أمنية محددة.

على سبيل المثال ، يتم استخدام أدوات التشفير لتنظيم إدارة المستندات الإلكترونية الآمنة في دول الاتحاد الأوروبي و EAEU.

في الوقت نفسه ، تقوم العديد من البلدان بتطوير التشفير الخاص بها ، ولديها معاييرها الخاصة لخوارزميات التشفير المستخدمة لإنشاء التوقيعات الإلكترونية والتحقق منها (EDS) ، وآلياتها الخاصة لتنفيذ هذه الخوارزميات (أدوات التوقيع الإلكتروني ونظائرها). * 3

بشكل عام ، هذه الحلول غير متوافقة مع بعضها البعض ، أي لا يمكن التحقق من مستند إلكتروني موقّع بتوقيع إلكتروني قائم على معايير التشفير ، على سبيل المثال ، لجمهورية بيلاروس ، باستخدام التوقيع الإلكتروني لجمهورية كازاخستان والتوقيع الإلكتروني الروسي.

دعونا ننظر في الحلول التكنولوجية الممكنة لهذه المشكلة.

الخيار 1: يبدو أن الحل الأكثر وضوحًا في هذه الحالة هو استخدام معيار تشفير مشترك وموحد للمشاركين في تفاعل المعلومات لإجراءات التوقيع الإلكتروني (الشكل 1).

لصالح هذا النهج في الفضاء ما بعد السوفييتي ، فإن وجود معايير التشفير لدول رابطة الدول المستقلة - GOST 34.310-2002."تكنولوجيا المعلومات. أمن معلومات التشفير. عمليات تشكيل والتحقق من التوقيعات الرقمية الإلكترونية " و GOST 34.311-95 " تكنولوجيا المعلومات. أمن معلومات التشفير. دالة التجزئة. " في الوقت نفسه ، يستخدم عدد كبير من البلدان حلول أنظمة التشغيل المستندة إلى تطورات التشفير الأمريكية.

لكن هذا النهج يتناقض مع مبدأ السيادة الوطنية ، الذي يحدد عقلانية استخدام التوقيع الإلكتروني الوسائل المعتمدة وفقًا للمعايير الوطنية ، ويحدد أيضًا خصوصية الأساس القانوني لاستخدام التوقيع الإلكتروني في مختلف البلدان. يمكن أن تكون الاختلافات كبيرة ، بدءًا من المصطلحات ، وتنتهي بالمحتوى الدلالي من نظائر التوقيع المكتوب بخط اليد. لهذه الأسباب ، لا يمكن اعتبار "الخيار 1" كحل عالمي لضمان الاعتراف بتوقيع إلكتروني أجنبي ، خاصة في الاتحاد الروسي.

الخيار 2:يبدو أن الحل الواضح الآخر يجب أن يكون نهجًا قائمًا على استيراد / تصدير وسائل التوقيع الإلكتروني (CIP) للشركاء ، والتبادل القانوني المتبادل بينهما ، لتجهيز أنظمة المعلومات الوطنية والمستخدمين الوطنيين لأنظمة المعلومات الأجنبية (الشكل 2).

لكن هذا الخيار به عدد كبير من الصعوبات التنظيمية والفنية ، بالإضافة إلى أنه لا يحل قائمة المشاكل بالكامل. بادئ ذي بدء ، التوقيعات الإلكترونية هي وسائل التشفير (التشفير) ، ولدى تصديرها واستيرادها عدد من القيود الهامة التي تعوق تنفيذ هذا الخيار. وفقًا لـ "اللائحة التنفيذية بشأن إجراءات الاستيراد إلى المنطقة الجمركية للاتحاد الجمركي والتصدير من المنطقة الجمركية للاتحاد الجمركي لوسائل التشفير (التشفير)":

"يتم استيراد وتصدير وسائل التشفير على أساس تراخيص لمرة واحدة صادرة عن الهيئة المختصة في الدولة - عضو الاتحاد الجمركي الذي تم تسجيل مقدم الطلب في أراضيه."

بالإضافة إلى ذلك ، هناك عدد من القضايا المتعلقة باستخدام وسائل التوقيع الإلكتروني التي تتطلب صيانة دورية من قبل مقدمي خدمات التصديق (على سبيل المثال ، سلطات إصدار الشهادات) التي تعمل وفقًا لمتطلبات القوانين الوطنية ومن الصعب الحصول على مثل هذه الخدمات خارج بلد التواجد. حتى عند حل مشكلة استيراد وتصدير التوقيع الإلكتروني يعني نظام معلومات معين ، عندما يتم توسيع النظام ، تظهر مشاكل تنظيمية مرة أخرى ، لأنها تتطلب محاسبة لكل حالة من هذه الأموال ، وكل حالة استيراد أو تصدير تتطلب ترخيصًا لمرة واحدة.

تشمل الميزات التقنية لهذا الخيار أيضًا الحاجة إلى تزويد جميع أنظمة المعلومات وجميع الموردين بمجموعة كاملة من أدوات التوقيع الإلكتروني ، والتي في الوقت الحالي ، بالإضافة إلى الصعوبات التنظيمية ، معقدة بسبب عدم التوافق عند العمل على نفس أداة الكمبيوتر لأدوات حماية معلومات التشفير الأكثر شيوعًا.

تشمل العيوب القانونية لهذا الخيار حقيقة أنه في هذه الحالة لا يتم منح الأطراف الفرصة للحصول على أدلة مستندية لشرعية استخدام شهادة مفتاح التحقق من التوقيع للتوقيع على نوع معين من المستندات وفقًا لتشريع بلد منشأ المستند الإلكتروني. ونتيجة لذلك ، يجب على كل من الأطراف المقابلة اتخاذ قرار بشأن الثقة في مستند إلكتروني ، دون وجود أسباب قانونية كافية لذلك.

وبالتالي ، فإن الخيار 2 ، القائم على تصدير واستيراد CIPF ، ليس تكنولوجيًا ولا ينطبق على الاستخدام الجماعي ، لتطوير أنظمة المعلومات وأنظمة المعلومات التي تتطلب شروطًا قانونية واضحة لاستخدام المستندات الإلكترونية.

لتنفيذ تدفق إلكتروني آمن عبر الحدود ذي أهمية قانونية على أساس أدوات التشفير ، من المستحسن استخدام أساليب أخرى تسمح بتنفيذ مستويات مكافئة (على جانبي الحدود) لحماية التشفير لتدفقات المعلومات وأسباب قانونية كافية للاعتراف بالقوة القانونية للمستندات الإلكترونية ، أي الأساليب التي يوفرها إطار تنظيمي كاف.

الخيار 3: هذا خيار لطرف ثالث موثوق به ، يتم تنفيذه وفقًا لثلاثة مبادئ أساسية:

« » , ;
;
- « » , ()*4.

يتم عرض مخطط التفاعل بين الأطراف في تنفيذ هذه المبادئ الأساسية في الشكل 3.

وفقًا للتعديلات التي أدخلها القانون الاتحادي رقم 476- ("بشأن التعديلات على القانون الاتحادي" بشأن التوقيعات الإلكترونية "والمادة 1 من القانون الاتحادي" بشأن حماية حقوق الكيانات القانونية ورجال الأعمال الأفراد في تنفيذ مراقبة الدولة (الإشراف) والرقابة البلدية " ) في المادة 7:

«3. , , , , . , , , , ».

وبالتالي ، مع مراعاة هذه الأحكام ، ينبغي أن يكون أساس النموذج القانوني للاعتراف المتبادل بالتوقيعات الإلكترونية عبر الحدود معاهدات دولية للاتحاد الروسي. بعد دخول هذه التعديلات حيز التنفيذ (في وقت كتابة هذه المقالة ، يتم تحديد دخولها حيز التنفيذ في 1 يوليو 2020) ، سنراقب ظهور مثل هذه المعاهدات الدولية ونحلل ممارسات هؤلاء المشغلين في حل هذه المشكلة.

في المقالات التالية من هذه السلسلة ، سنحاول النظر في مهام أخرى تتعلق بالتوقيع الإلكتروني ، والتي ، في ضوء التشريع الحالي للاتحاد الروسي ، يمكن تخصيصها لجهة خارجية موثوق بها.

* هناك استثناءات ، على وجه الخصوص ، ينص القانون الاتحادي للاتحاد الروسي رقم 63-FZ بتاريخ 04/06/2011 على إمكانية استخدام توقيع إلكتروني بسيط غير مشفر ، والذي لن يعتبر في هذه المادة غير قابل للتطبيق على المهام المطبقة.

* 2 على أساس:

المبادئ التوجيهية العامة للتشريع في مجال EP: ملخص موجز للتشريع والتنفيذ حسب الدولة / Adobe Systems Incorporated 2016.
مؤشر الأمن السيبراني العالمي وملفات تعريف الأمن السيبراني. نقل. ABI Research ، بتكليف من مجموعة الأمن السيبراني للاتحاد الدولي للاتصالات. أبريل 2015
مجموعة بحثية لشركات “Gazyformservice” 2018-2020

* 3 تستند معايير دول EAEU على نهج مشتركة ، ولكن في الوقت الحاضر ، التنفيذ الوطني "تجاه" غير متوافق.

* 4الطرف الثالث الموثوق به (TPA) هو منظمة أو ممثل عن مؤسسة تقدم خدمة أمنية واحدة أو أكثر وموثوق بها من قبل كيانات أخرى فيما يتعلق بالإجراءات المتعلقة بخدمات الأمان هذه. (التوصية ITU IT X.842. تكنولوجيا المعلومات - تقنيات الأمان - مبادئ توجيهية لاستخدام وإدارة خدمات الطرف الثالث الموثوق بها).

سيرجي أناتوليفيتش كيريوشكين ،
دكتوراه ، مستشار المدير العام لشركة Gazinformservice LLC

فلاديمير نيكولايفتش كوستوف ،
دكتور في الهندسة ، أستاذ ، مستشار المدير العام لشركة UC GIS LLC

الدعم التكنولوجي والتنظيمي لخدمات الثقة الرقمية في الاتحاد الروسي

More articles: