👨🏾‍⚖️ 🤺 🧒🏿 Technologische und regulatorische Unterstützung für digitale Vertrauensdienste in der Russischen Föderation 🏗️ 🛀🏾 🙊

Der Zweck der Artikelserie besteht darin, die regulatorischen, technischen und regulatorischen Bedingungen für die Organisation von Prozessen zur Vertrauensbildung in einer digitalen Umgebung zu überprüfen.

Fragen der Sicherung und Entwicklung eines digitalen Vertrauensraumsweltweit relevant. Sie stehen auf der Tagesordnung und wurden seit den 1980er Jahren und in der Russischen Föderation zumindest seit Anfang der 2000er Jahre, als das Bundesgesetz Nr. 1- über elektronische digitale Signaturen verabschiedet wurde, bis zu dem einen oder anderen Grad gelöst. Das am meisten diskutierte Thema auf der Ebene der Regulierungsbehörden (des russischen Kommunikationsministeriums, des russischen Sicherheitsdienstes, des russischen föderalen Steuerdienstes), der Benutzer und Betreiber bei der Implementierung von Prozessen zur Vertrauensbildung in die digitale Umgebung ist der Rechtsrahmen für die Sicherstellung der Verwendung von Analoga handschriftlicher Signaturen - elektronische Signaturen (elektronische Signaturen), elektronische digitale Signaturen (EDS). ), um die Gültigkeit des grenzüberschreitenden elektronischen Dokumentenmanagements sicherzustellen. In den Jahren 2018-2020 führte diese Diskussion zu einer bedeutenden Modernisierung der Bundesgesetzgebung im Bereich des Vertrauens in das digitale Umfeld, nämlich dem Erscheinen des Bundesgesetzes Nr. 476- von 27.12.2019, mit dem wesentliche Änderungen des Bundesgesetzes Nr. 63- vom 04.06.2011 „Über elektronische Signatur“ eingeführt wurden. Im Folgenden werden hauptsächlich Änderungen der Treuhanddienste betrachtet, die in 476- durch den Begriff „vertrauenswürdiger Dritter“ (TPA) vereint werden.

In der Gesetzgebung der Russischen Föderation erschien dieses Konzept mit der Unterzeichnung des internationalen Dokuments „Vertrag über die Eurasische Wirtschaftsunion“ (unterzeichnet in Astana am 29. Mai 2014), in dem Fragen der wirtschaftlichen Integration in der EAEU definiert sind. Die Vereinbarung enthält Anhang Nr. 3 „Protokoll über Informations- und Kommunikationstechnologien und Informationsinteraktion innerhalb der Eurasischen Wirtschaftsunion“. Dieses Protokoll ist die Rechtsgrundlage für die Lösung des Problems, das Vertrauen in grenzüberschreitende Dokumente mit elektronischer Signatur mithilfe der TPA-Technologie sicherzustellen . Ein weiteres Merkmal des Abkommens besteht darin, dass es die Lösung dieses Problems nur für die Beziehungen zwischen Behörden vorsieht(G2G). In Übereinstimmung mit der „Strategie zur Entwicklung eines grenzüberschreitenden Vertrauensraums“, die durch die Entscheidung des EWG-Vorstands vom 27. September 2016 Nr. 105 (im Folgenden: Strategie) genehmigt wurde:

"Gegenstand elektronischer Interaktion können auch Regierungsstellen von Drittstaaten (deren Beamte und Angestellte), Einzelpersonen und juristische Personen (Vertreter juristischer Personen), Beamte und Angestellte von Integrationsverbänden sowie internationale Organisationen sein, sofern einschlägige internationale Verträge geschlossen werden."

In der zweiten Phase der Entwicklung des grenzüberschreitenden Vertrauensraums (bis 2020) ist Folgendes vorgesehen:

"Die Möglichkeit der elektronischen Interaktion zwischen Einzelpersonen und juristischen Personen untereinander sowie mit staatlichen Behörden der Mitgliedstaaten, wenn sich Einzelpersonen und juristische Personen in den Gebieten ihrer Staaten befinden."

Daher sollten die rechtlichen, organisatorischen und technologischen Bedingungen für die Gewährleistung des Vertrauens in elektronische Signaturen von juristischen Personen und Einzelpersonen innerhalb des grenzüberschreitenden Vertrauensraums der EAEU gemäß der Strategie bereits in diesem Jahr in der EAEU geschaffen werden.

Nach den Gesetzen der Länder der Eurasischen Wirtschaftsunion (EAEU) basiert die Bereitstellung von Rechtskraft als Eigentum elektronischer Dokumente auf Garantien der Echtheit und Integrität von Dokumenten. In diesem Fall hauptsächlich *Um die Echtheit und Integrität elektronischer Dokumente zu gewährleisten, werden kryptografische Methoden angewendet und die rechtlichen Grundlagen in der internationalen und nationalen Gesetzgebung festgelegt. Eine bedeutende Anzahl von Länder-Wirtschaftspartnern der Russischen Föderation stützt ihre Gesetzgebung im Bereich der rechtlichen Bedeutung elektronischer Dokumente auf das UNCITRAL-Modellgesetz 2001 über elektronische Signaturen, dessen technologische Grundlage speziell für die kryptografische elektronische Signatur (digitale Signatur) vorgesehen ist (Tabelle 1).

Liste der Länder, deren Gesetzgebung auf dem UNCITRAL-Modellgesetz über elektronische Signaturen von 2001 basiert * 2

Die Aufgabe, grenzüberschreitend geschützte elektronische rechtlich bedeutsame elektronische Interaktionen zu organisieren, beschränkt sich daher darauf, zwischen den teilnehmenden Ländern Unterschiede in der gesetzlichen Regulierung (z. B. Anforderungen an die Bedingungen für die Verwendung kryptografischer Tools) und Unterschiede in den Mitteln und Methoden zur Gewährleistung der festgelegten Sicherheitswerte zu vereinbaren.

Beispielsweise werden kryptografische Tools verwendet, um ein sicheres elektronisches Dokumentenmanagement in den EU- und EAEU-Ländern zu organisieren.

Gleichzeitig entwickeln viele Länder ihre eigene Kryptographie, haben ihre eigenen Standards für kryptografische Algorithmen zur Erstellung und Überprüfung elektronischer Signaturen (EDS) und ihre eigenen Mechanismen zur Implementierung dieser Algorithmen (elektronische Signaturwerkzeuge und ihre Analoga). * 3

Im Allgemeinen sind diese Lösungen nicht miteinander kompatibel, d.h. Ein elektronisches Dokument, das mit einer auf kryptografischen Standards basierenden elektronischen Signatur der Republik Belarus signiert ist, kann nicht mit der elektronischen Signatur der Republik Kasachstan und der elektronischen Signatur Russlands überprüft werden.

Betrachten wir weiter mögliche technologische Lösungen für dieses Problem.

Option 1: Die naheliegendste Lösung in dieser Situation scheint darin zu bestehen, einen gemeinsamen, einheitlichen kryptografischen Standard für die Teilnehmer an der Informationsinteraktion für elektronische Signaturverfahren zu verwenden (Abb. 1).

Für diesen Ansatz im postsowjetischen Raum spricht das Vorhandensein kryptografischer Standards der GUS-Staaten - GOST 34.310-2002."Informationstechnologie. Kryptografische Informationssicherheit. Die Prozesse der Bildung und Überprüfung elektronischer digitaler Signaturen “ und GOST 34.311-95 „ Informationstechnologie. Kryptografische Informationssicherheit. Die Hash-Funktion. " Gleichzeitig verwenden eine beträchtliche Anzahl von Ländern eingebettete Betriebssystemlösungen, die auf kryptografischen Entwicklungen in den USA basieren.

Dieser Ansatz widerspricht jedoch dem Grundsatz der nationalen Souveränität, der die Rationalität der Verwendung elektronischer Signaturmittel bestimmt, die nach nationalen Standards zertifiziert sind, und auch die Spezifität der Rechtsgrundlage für die Verwendung elektronischer Signatur in verschiedenen Ländern bestimmt. Die Unterschiede können erheblich sein, angefangen bei den Begriffen bis hin zum semantischen Inhalt der Analoga der handschriftlichen Signatur. Aus diesen Gründen kann „Option 1“ nicht als universelle Lösung zur Sicherstellung der Anerkennung einer ausländischen elektronischen Signatur angesehen werden, insbesondere in der Russischen Föderation.

Option 2:Eine andere naheliegende Lösung sollte anscheinend ein Ansatz sein, der auf dem Import / Export von elektronischen Signaturmitteln (KVP) von Partnern und deren gegenseitigem rechtlichen Austausch beruht, um nationale Informationssysteme und nationale Nutzer ausländischer Informationssysteme auszurüsten (Abb. 2).

Diese Option weist jedoch eine Vielzahl von organisatorischen und technischen Schwierigkeiten auf und löst darüber hinaus nicht die gesamte Liste der Probleme. Erstens sind elektronische Signaturen Verschlüsselungs- (kryptografische) Mittel, und ihr Export und Import unterliegen einer Reihe erheblicher Einschränkungen, die die Implementierung dieser Option behindern. In Übereinstimmung mit der "Verordnung über das Verfahren für die Einfuhr in das Zollgebiet der Zollunion und die Ausfuhr aus dem Zollgebiet der Zollunion für Verschlüsselungs- (kryptografische) Mittel":

"Der Import und Export von Verschlüsselungsmitteln erfolgt auf der Grundlage von einmaligen Lizenzen, die von der zugelassenen Stelle des Staates ausgestellt wurden - einem Mitglied der Zollunion, in dessen Hoheitsgebiet der Antragsteller registriert ist."

Darüber hinaus erfordern eine Reihe von Problemen im Zusammenhang mit der Verwendung elektronischer Signaturmittel eine regelmäßige Wartung durch Zertifizierungsdiensteanbieter (z. B. Zertifizierungsstellen), die gemäß den Anforderungen der nationalen Gesetze arbeiten, und es ist schwierig, solche Dienste außerhalb des Landes der Präsenz zu erhalten. Selbst wenn das Problem des Imports / Exports von elektronischen Signaturmitteln für ein bestimmtes Informationssystem gelöst wird, treten beim Skalieren des Systems erneut organisatorische Probleme auf, da für diese Instanzen eine Abrechnung dieser Mittel pro Instanz erforderlich ist und für jeden Import- oder Exportfall eine einmalige Lizenz erforderlich ist.

Zu den technischen Merkmalen dieser Option gehört auch die Notwendigkeit, alle Informationssysteme und alle Lieferanten mit einer vollständigen Palette elektronischer Signaturwerkzeuge auszustatten, was derzeit zusätzlich zu organisatorischen Schwierigkeiten durch die mangelnde Kompatibilität bei der Arbeit mit demselben Computerwerkzeug der gängigsten kryptografischen Informationsschutzwerkzeuge erschwert wird.

Zu den rechtlichen Nachteilen dieser Option gehört die Tatsache, dass die Parteien in diesem Fall nicht die Möglichkeit erhalten, einen Nachweis über die Rechtmäßigkeit der Verwendung eines Signaturprüfschlüsselzertifikats zur Unterzeichnung eines bestimmten Dokumenttyps gemäß den Rechtsvorschriften des Herkunftslandes des elektronischen Dokuments zu erhalten. Infolgedessen muss jede Gegenpartei eine Entscheidung über das Vertrauen in ein elektronisches Dokument treffen, ohne ausreichende rechtliche Gründe dafür zu haben.

Daher ist Option 2, die auf dem Export und Import von CIPF basiert, nicht technologisch und gilt nicht für den Massengebrauch, für die Entwicklung von Informationssystemen und für Informationssysteme, die klare rechtliche Bedingungen für die Verwendung elektronischer Dokumente erfordern.

Um einen sicheren grenzüberschreitenden elektronischen, rechtlich bedeutsamen Dokumentenfluss auf der Grundlage kryptografischer Tools zu implementieren, ist es ratsam, andere Ansätze zu verwenden, die die Implementierung eines im Wesentlichen gleichwertigen (auf beiden Seiten der Grenze) kryptografischen Schutzniveaus des Informationsflusses und ausreichender rechtlicher Gründe für die Anerkennung der Rechtskraft elektronischer Dokumente ermöglichen, d. H. Methoden, die durch einen ausreichenden Rechtsrahmen bereitgestellt werden.

Option 3: Dies ist eine Option eines vertrauenswürdigen Dritten , die nach drei Grundprinzipien implementiert wird:

« » , ;
;
- « » , ()*4.

Das Schema der Interaktion zwischen den Parteien bei der Umsetzung dieser Grundprinzipien ist in Abb. 3 dargestellt.

In Übereinstimmung mit den Änderungen des Bundesgesetzes N 476- („Über Änderungen des Bundesgesetzes„ Über elektronische Signaturen “und Artikel 1 des Bundesgesetzes„ Über den Schutz der Rechte von juristischen Personen und Einzelunternehmern bei der Umsetzung staatlicher Kontrolle (Aufsicht) und kommunaler Kontrolle “). ) in Artikel 7:

«3. , , , , . , , , , ».

Unter Berücksichtigung dieser Bestimmungen sollten daher die internationalen Verträge der Russischen Föderation die Grundlage des Rechtsmodells für die gegenseitige Anerkennung grenzüberschreitender elektronischer Signaturen bilden. Nach dem Inkrafttreten dieser Änderungen (zum Zeitpunkt des Schreibens dieses Artikels wird das Inkrafttreten am 1. Juli 2020 festgelegt) werden wir das Entstehen solcher internationaler Verträge überwachen und die Praxis dieser Betreiber bei der Lösung dieses Problems analysieren.

In den folgenden Artikeln dieser Reihe werden wir versuchen, andere Aufgaben im Zusammenhang mit der elektronischen Signatur zu berücksichtigen, die im Lichte der aktuellen Gesetzgebung der Russischen Föderation einem vertrauenswürdigen Dritten zugewiesen werden können und werden.

* * Es gibt Ausnahmen, insbesondere sieht das Bundesgesetz der Russischen Föderation Nr. 63-FZ vom 04.06.2011 die Möglichkeit vor, eine nicht kryptografische einfache elektronische Signatur zu verwenden, die in diesem Material nicht als auf die angewandten Aufgaben nicht anwendbar angesehen wird.

* 2 Aufgrund:

Allgemeine Richtlinien für die Gesetzgebung im Bereich des EP: Eine kurze Zusammenfassung der Gesetzgebung und Durchsetzung durch Country / Adobe Systems Incorporated 2016.
Globaler Cybersecurity-Index und Cybersecurity-Profile. Bericht. ABI Research, im Auftrag der ITU Cybersecurity Group. April 2015
Forschungsgruppe der Unternehmen „Gazyformservice“ 2018-2020

* 3 Die Standards der EAEU-Länder basieren auf gemeinsamen Ansätzen, aber derzeit ist die nationale Umsetzung "in Richtung" nicht vereinbar.

* 4Ein Trusted Third Party (TPA) ist eine Organisation oder ein Vertreter einer Organisation, die einen oder mehrere Sicherheitsdienste bereitstellt und von anderen Stellen in Bezug auf Aktionen im Zusammenhang mit diesen Sicherheitsdiensten als vertrauenswürdig eingestuft wird. (ITU-IT-Empfehlung X.842. Informationstechnologie - Sicherheitstechniken - Richtlinien für die Verwendung und Verwaltung vertrauenswürdiger Dienste von Drittanbietern).

Sergey Anatolyevich Kiryushkin,
Ph.D., Berater des Generaldirektors von Gazinformservice LLC

Vladimir Nikolaevich Kustov,
Doktor der Ingenieurwissenschaften, Professor, Berater des Generaldirektors von UC GIS LLC

Technologische und regulatorische Unterstützung für digitale Vertrauensdienste in der Russischen Föderation

More articles: