Get best of the week

Soporte tecnológico y regulatorio para servicios de confianza digital en la Federación Rusa

El propósito de la serie de artículos es revisar las condiciones regulatorias, técnicas y regulatorias para organizar procesos de construcción de confianza en un entorno digital.
Cuestiones para garantizar y desarrollar un espacio digital de confianzarelevante en todo el mundo. Están en la agenda y se han resuelto en un grado u otro desde la década de 1980, y en la Federación de Rusia, al menos desde principios de la década de 2000, cuando se aprobó la Ley Federal N ° 1- sobre firmas digitales electrónicas. El tema más discutido a nivel de los reguladores (el Ministerio de Comunicaciones de Rusia, el Servicio Federal de Seguridad de Rusia, el Servicio Federal de Impuestos de Rusia), usuarios y operadores, en la implementación de procesos de fomento de la confianza en el entorno digital, es el marco regulatorio para el uso de análogos escritos a mano: firma electrónica (firma electrónica), firma digital electrónica (EDS ), como medio para garantizar la validez de la gestión transfronteriza de documentos electrónicos. En 2018-2020, esta discusión condujo a una modernización significativa de la legislación federal en el campo de la confianza en el entorno digital, a saber, la aparición de la Ley Federal No. 476- de 27.12.2019, que introdujo enmiendas significativas a la Ley Federal N ° 63- de fecha 04/06/2011 "Sobre firma electrónica". En adelante, se considerarán principalmente las enmiendas a los servicios de confianza, unidas en 476- por la noción de "tercero de confianza" (TPA).

En la legislación de la Federación de Rusia, este concepto apareció con la firma del documento internacional "Tratado de la Unión Económica Euroasiática" (Firmado en Astana el 29 de mayo de 2014), que define los problemas de integración económica en la EAEU. El acuerdo contiene el Apéndice No. 3 "Protocolo sobre Tecnologías de Información y Comunicación e Interacción de la Información dentro de la Unión Económica Euroasiática". Este protocolo es la base legal para resolver el problema de garantizar la confianza en los documentos transfronterizos con firma electrónica mediante el uso de la tecnología TPA . Otra característica del Acuerdo es que proporciona la solución de este problema solo para las relaciones entre autoridades(G2G). De conformidad con la "Estrategia para el desarrollo de un espacio transfronterizo de confianza", aprobada por decisión de la Junta de la CEE del 27 de septiembre de 2016 No. 105 (en adelante, la Estrategia):
"Los sujetos de interacción electrónica también pueden ser organismos gubernamentales de terceros estados (sus funcionarios y empleados), personas físicas y jurídicas (representantes de entidades jurídicas), funcionarios y empleados de asociaciones de integración, organizaciones internacionales, sujeto a la celebración de los tratados internacionales pertinentes".
En la segunda etapa del desarrollo del espacio transfronterizo de confianza (hasta 2020), se prevé:
"La posibilidad de interacción electrónica entre personas físicas y jurídicas entre sí, así como con las autoridades estatales de los estados miembros cuando las personas físicas y jurídicas se encuentran en los territorios de sus estados".

Por lo tanto, las condiciones legales, organizativas y tecnológicas para garantizar la confianza en las firmas electrónicas de las personas jurídicas y las personas dentro del espacio de confianza transfronterizo de la EAEU, de conformidad con la Estrategia, ya deberían crearse en la EAEU este año.

En las leyes de los países de la Unión Económica Euroasiática (EAEU), la provisión de fuerza legal, como propiedad de documentos electrónicos, se basa en garantías de autenticidad e integridad de los documentos. En este caso, principalmente *, para garantizar la autenticidad e integridad de los documentos electrónicos, se utilizan métodos criptográficos y los fundamentos legales se establecen en la legislación internacional y nacional. Un número significativo de países-socios económicos de la Federación de Rusia basa su legislación en la importancia legal de los documentos electrónicos en la ley modelo de la CNUDMI de 2001 "sobre firmas electrónicas", cuya base tecnológica se proporciona específicamente para la firma electrónica criptográfica (firma digital) (Tabla 1).

Lista de países cuya legislación se basa en la Ley Modelo de la CNUDMI de 2001 sobre firmas electrónicas * 2



Por lo tanto, la tarea de organizar la interacción electrónica legalmente protegida transfronteriza se reduce a acordar entre los países participantes las diferencias en la regulación legal (por ejemplo, los requisitos para las condiciones para el uso de herramientas criptográficas) y las diferencias en los medios y métodos para garantizar los valores específicos de seguridad.

Por ejemplo, las herramientas criptográficas se utilizan para organizar la gestión segura de documentos electrónicos en los países de la UE y EAEU.

Al mismo tiempo, muchos países están desarrollando su propia criptografía, tienen sus propios estándares de algoritmos criptográficos utilizados para crear y verificar firmas electrónicas (EDS) y sus propios mecanismos para implementar estos algoritmos (herramientas de firma electrónica y sus análogos). * 3

En general, estas soluciones son incompatibles entre sí, es decir Un documento electrónico firmado con una firma electrónica basada en estándares criptográficos, por ejemplo, de la República de Bielorrusia, no puede verificarse utilizando la firma electrónica de la República de Kazajstán y la firma electrónica rusa.

Consideremos además posibles soluciones tecnológicas para este problema.

Opción 1: Parece que la solución más obvia en esta situación es usar un estándar criptográfico común y uniforme para los participantes en la interacción de información para los procedimientos de firma electrónica (Fig. 1).



A favor de este enfoque en el espacio postsoviético, la presencia de estándares criptográficos de los estados de la CEI - GOST 34.310-2002."Tecnologías de la información. Seguridad de la información criptográfica. Los procesos de formación y verificación de firmas digitales electrónicas " y GOST 34.311-95 " Tecnología de la información. Seguridad de la información criptográfica. La función hash ". Al mismo tiempo, un número significativo de países utiliza soluciones integradas en sistemas operativos basadas en desarrollos criptográficos de EE. UU.

Pero este enfoque contradice el principio de soberanía nacional, que determina la racionalidad del uso de medios de firma electrónica certificados de acuerdo con las normas nacionales, y también determina la especificidad de la base legal para el uso de la firma electrónica en diferentes países. Las diferencias pueden ser significativas, comenzando con los términos y terminando con el contenido semántico de los análogos de la firma manuscrita. Por estas razones, la "opción 1" no puede considerarse como una solución universal para garantizar el reconocimiento de una firma electrónica extranjera, especialmente en la Federación de Rusia.

Opcion 2:Al parecer, otra solución obvia debería ser un enfoque basado en la importación / exportación de medios de firma electrónica (CIP) de los socios, el intercambio legal mutuo de los mismos, para equipar los sistemas nacionales de información y los usuarios nacionales de sistemas de información extranjeros (Fig. 2).



Pero esta opción tiene una gran cantidad de dificultades organizativas y técnicas, y además no resuelve la lista completa de problemas. En primer lugar, las firmas electrónicas son medios de cifrado (criptográfico), y su exportación e importación tienen una serie de restricciones significativas que impiden la implementación de esta opción. De conformidad con el "Reglamento sobre el procedimiento para la importación en el territorio aduanero de la unión aduanera y la exportación desde el territorio aduanero de la unión aduanera de medios de encriptación (criptográficos)":
"La importación y exportación de medios de encriptación se realiza sobre la base de licencias únicas emitidas por el organismo autorizado del estado, un miembro de la unión aduanera en cuyo territorio está registrado el solicitante".
Además, una serie de cuestiones relacionadas con el uso de medios de firma electrónica requieren un mantenimiento periódico por parte de los proveedores de servicios de certificación (por ejemplo, las autoridades de certificación) que operan de acuerdo con los requisitos de las leyes nacionales y es difícil obtener dichos servicios fuera del país de presencia. Incluso cuando se resuelve el problema de importación-exportación de medios de firma electrónica para un sistema de información específico, cuando el sistema se amplía, surgen problemas de organización nuevamente, ya que requieren una instancia de estos fondos, y cada caso de importación o exportación requiere una licencia única.

Las características técnicas de esta opción incluyen, además, la necesidad de equipar a todos los sistemas de información y a todos los proveedores con una gama completa de herramientas de firma electrónica, que en la actualidad, además de las dificultades organizativas, se complica por la falta de compatibilidad cuando se trabaja en la misma herramienta informática de las herramientas de protección de información criptográfica más comunes.

Las desventajas legales de esta opción incluyen el hecho de que en este caso las partes no tienen la oportunidad de obtener evidencia documental de la legitimidad del uso de un certificado de clave de verificación de firma para firmar un tipo específico de documento de acuerdo con la legislación del país de origen del documento electrónico. Como resultado, cada una de las contrapartes debe tomar una decisión sobre la confianza en un documento electrónico, sin tener suficientes fundamentos legales para ello.

Por lo tanto, la opción 2, basada en la exportación e importación de CIPF, no es tecnológica y no es aplicable para uso masivo, para desarrollar sistemas de información y para sistemas de información que requieren condiciones legales claras para el uso de documentos electrónicos.

Para implementar un flujo seguro de documentos electrónicos transfronterizos legalmente significativos basado en herramientas criptográficas, es aconsejable utilizar otros enfoques que permitan la implementación de niveles esencialmente equivalentes (en ambos lados de la frontera) de protección criptográfica de los flujos de información y suficientes fundamentos legales para reconocer la fuerza legal de los documentos electrónicos, es decir. métodos proporcionados por un marco regulatorio suficiente.

Opción 3: esta es una opción de un tercero de confianza , que se implementa de acuerdo con tres principios básicos:

  1. « » , ;
  2. ;
  3. - « » , ()*4.

El esquema de interacción entre las partes en la implementación de estos principios básicos se presenta en la figura 3.



De conformidad con las enmiendas introducidas por la Ley Federal N 476- (“Sobre las enmiendas a la Ley Federal“ Sobre firmas electrónicas ”y el Artículo 1 de la Ley Federal“ Sobre la protección de los derechos de las personas jurídicas y empresarios individuales en la implementación del control estatal (supervisión) y el control municipal ” ) en el artículo 7:
«3. , , , , . , , , , ».

Por lo tanto, teniendo en cuenta estas disposiciones, la base del modelo legal de reconocimiento mutuo de las firmas electrónicas transfronterizas debería ser los tratados internacionales de la Federación de Rusia. Después de la entrada en vigencia de estas enmiendas (al momento de escribir este artículo, la entrada en vigencia se determina el 1 de julio de 2020), supervisaremos el surgimiento de tales tratados internacionales y analizaremos la práctica de estos operadores para resolver este problema.

En los siguientes artículos de esta serie, trataremos de considerar otras tareas relacionadas con la firma electrónica, que, a la luz de la legislación actual de la Federación de Rusia, pueden y serán asignadas a un tercero de confianza.

* * Hay excepciones, en particular, la Ley Federal de la Federación de Rusia No. 63-FZ con fecha 04/06/2011 prevé la posibilidad de utilizar una firma electrónica simple no criptográfica, que en este material no se considerará inaplicable a las tareas aplicadas.

* 2 Establecido:

  • Pautas generales para la legislación en el campo de la EP: un breve resumen de la legislación y la aplicación por país / Adobe Systems Incorporated 2016.
  • Índice global de ciberseguridad y perfiles de ciberseguridad. Reporte. ABI Research, encargado por el Grupo de Ciberseguridad de la UIT. Abril 2015
  • Grupo de investigación de empresas "Gazyformservice" 2018-2020

* 3 Los estándares de los países de la EAEU se basan en enfoques comunes, pero en la actualidad, la implementación nacional "hacia" es incompatible.

* 4Un tercero de confianza (TPA) es una organización o representante de una organización que proporciona uno o más servicios de seguridad y otras entidades confían en él con respecto a acciones relacionadas con estos servicios de seguridad. (Recomendación IT X.842 de la UIT. Tecnología de la información - Técnicas de seguridad - Directrices para el uso y la gestión de servicios de terceros de confianza).

Sergey Anatolyevich Kiryushkin,
Ph.D., Asesor del Director General de Gazinformservice LLC

Vladimir Nikolaevich Kustov,
Doctor en Ingeniería, Profesor, Asesor del Director General de UC GIS LLC

More articles:


All Articles