Get best of the week

Assistance technologique et réglementaire pour les services de confiance numérique dans la Fédération de Russie

Le but de la série d'articles est de passer en revue les conditions réglementaires, techniques et réglementaires pour organiser les processus de construction de la confiance dans un environnement numérique.
Enjeux d'assurer et de développer un espace de confiance numériquepertinentes dans le monde entier. Ils sont à l'ordre du jour et ont été résolus à un degré ou à un autre depuis les années 1980, et en Fédération de Russie, au moins depuis le début des années 2000, lorsque la loi fédérale n ° 1- sur les signatures électroniques numériques a été adoptée. La question la plus discutée au niveau des régulateurs (le ministère des Communications de la Russie, le Service fédéral de sécurité de la Russie, le service fédéral des impôts de la Russie), les utilisateurs et les opérateurs, dans la mise en œuvre de processus pour instaurer la confiance dans l'environnement numérique, est le cadre réglementaire pour garantir l'utilisation d'analogues de signatures manuscrites - signatures électroniques (signatures électroniques), signatures électroniques numériques (EDS) ), afin de garantir la validité de la gestion électronique transfrontalière des documents. En 2018-2020, cette discussion a conduit à une modernisation significative de la législation fédérale dans le domaine de la confiance dans l'environnement numérique, à savoir l'apparition de la loi fédérale n ° 476- du 27.12.2019, qui a apporté des modifications importantes à la loi fédérale n ° 63- du 04/06/2011 «sur la signature électronique». Ci-après, les modifications des services de confiance seront principalement examinées, réunies en 476- par la notion de «tiers de confiance» (TPA).

Dans la législation de la Fédération de Russie, ce concept est apparu avec la signature du document international «Traité sur l'Union économique eurasienne» (signé à Astana le 29 mai 2014), qui définit les questions d'intégration économique au sein de l'UEE. L'accord contient l'annexe n ° 3 «Protocole sur les technologies de l'information et de la communication et l'interaction de l'information au sein de l'Union économique eurasienne». Ce protocole est la base juridique pour résoudre le problème de la confiance dans les documents transfrontaliers avec signature électronique grâce à l'utilisation de la technologie TPA . Une autre caractéristique de l'accord est qu'il ne prévoit la solution de ce problème qu'aux relations entre autorités(G2G). Conformément à la "Stratégie pour le développement d'un espace de confiance transfrontalier", approuvée par la décision du Conseil de la CEE du 27 septembre 2016 n ° 105 (ci-après - la Stratégie):
«Les sujets d'interaction électronique peuvent également être des organismes gouvernementaux d'États tiers (leurs fonctionnaires et employés), des personnes physiques et morales (représentants d'entités juridiques), des fonctionnaires et des employés d'associations d'intégration, des organisations internationales, sous réserve de la conclusion des traités internationaux pertinents.»
Au deuxième stade de développement de l'espace de confiance transfrontalier (jusqu'en 2020), il est envisagé:
«La possibilité d'une interaction électronique entre les individus et les entités juridiques entre eux, ainsi qu'avec les autorités étatiques des États membres lorsque les individus et les entités juridiques se trouvent sur le territoire de leurs États».

Ainsi, les conditions juridiques, organisationnelles et technologiques pour garantir la confiance dans les signatures électroniques des personnes morales et des personnes physiques au sein de l'espace de confiance transfrontalier de l'UEE, conformément à la stratégie, devraient être créées dans l'UEE dès cette année.

Dans les lois des pays de l'Union économique eurasienne (EAEU), la fourniture d'une force juridique, en tant que propriété des documents électroniques, est basée sur des garanties d'authenticité et d'intégrité des documents. Dans ce cas, principalement *, pour garantir l'authenticité et l'intégrité des documents électroniques, des méthodes cryptographiques sont utilisées et les fondements juridiques sont définis dans la législation internationale et nationale. Un nombre important de pays-partenaires économiques de la Fédération de Russie fondent leur législation dans le domaine de l'importance juridique des documents électroniques sur la loi type 2001 de la CNUDCI sur les signatures électroniques, dont la base technologique est prévue spécifiquement pour la signature électronique cryptographique (signature numérique) (tableau 1).

Liste des pays dont la législation est basée sur la loi type 2001 de la CNUDCI sur les signatures électroniques * 2



Ainsi, la tâche d'organiser des interactions électroniques légalement protégées et transfrontalières se réduit à la coordination entre les pays participants des différences dans la réglementation juridique (par exemple, les exigences concernant les conditions d'utilisation des outils cryptographiques) et des différences dans les moyens et les méthodes pour garantir des valeurs de sécurité spécifiées.

Par exemple, des outils cryptographiques sont utilisés pour organiser la gestion électronique sécurisée des documents dans les pays de l'UE et de l'UEE.

Dans le même temps, de nombreux pays développent leur propre cryptographie, ont leurs propres normes d'algorithmes cryptographiques utilisées pour créer et vérifier les signatures électroniques (EDS) et leurs propres mécanismes pour mettre en œuvre ces algorithmes (outils de signature électronique et leurs analogues). * 3

En général, ces solutions sont incompatibles entre elles, c'est-à-dire Un document électronique signé avec une signature électronique basée sur des normes cryptographiques, par exemple, de la République du Bélarus, ne peut pas être vérifié à l'aide de la signature électronique de la République du Kazakhstan et de la signature électronique russe.

Examinons en outre les solutions technologiques possibles à ce problème.

Option 1: La solution la plus évidente dans cette situation, semble-t-il, consiste à utiliser un standard cryptographique commun et uniforme pour les participants à l'interaction d'informations pour les procédures de signature électronique (Fig. 1).



En faveur de cette approche dans l'espace post-soviétique, la présence de normes cryptographiques des États de la CEI - GOST 34.310-2002."Informatique. Sécurité des informations cryptographiques. Les processus de formation et de vérification des signatures numériques électroniques » et GOST 34.311-95 « Technologies de l'information. Sécurité des informations cryptographiques. La fonction de hachage. " Dans le même temps, un nombre important de pays utilisent des solutions de systèmes d'exploitation intégrées basées sur les développements cryptographiques américains.

Mais cette approche contredit le principe de la souveraineté nationale, qui détermine la rationalité de l'utilisation de moyens de signature électronique certifiés selon les normes nationales, et détermine également la spécificité de la base juridique pour l'utilisation de la signature électronique dans différents pays. Les différences peuvent être importantes, à commencer par les termes, pour se terminer par le contenu sémantique des analogues de la signature manuscrite. Pour ces raisons, «l'option 1» ne peut pas être considérée comme une solution universelle pour garantir la reconnaissance d'une signature électronique étrangère, en particulier dans la Fédération de Russie.

Option 2:Une autre solution évidente, semble-t-il, devrait être une approche basée sur l'importation / exportation des moyens de signature électronique (CIP) des partenaires, l'échange juridique mutuel d'entre eux, pour équiper les systèmes d'information nationaux et les utilisateurs nationaux des systèmes d'information étrangers (Fig.2).



Mais cette option présente un grand nombre de difficultés organisationnelles et techniques, et ne résout en outre pas toute la liste des problèmes. Tout d'abord, les signatures électroniques sont des moyens de chiffrement (cryptographiques), et leur exportation et importation comportent un certain nombre de restrictions importantes qui entravent la mise en œuvre de cette option. Conformément au "Règlement sur la procédure d'importation dans le territoire douanier de l'union douanière et d'exportation à partir du territoire douanier de l'union douanière des moyens de cryptage (cryptographiques)":
"L'importation et l'exportation de moyens de chiffrement sont effectuées sur la base de licences uniques délivrées par l'organisme autorisé de l'État - un membre de l'union douanière sur le territoire duquel le demandeur est enregistré."
En outre, un certain nombre de problèmes liés à l'utilisation des moyens de signature électronique nécessitent une maintenance périodique par les prestataires de services de certification (par exemple, les autorités de certification) qui opèrent conformément aux exigences des lois nationales et il est difficile d'obtenir de tels services en dehors du pays de présence. Même lors de la résolution du problème de l'importation-exportation de moyens de signature électronique pour un système d'information spécifique, lorsque le système est étendu, des problèmes d'organisation se posent à nouveau, car ils nécessitent une instance de ces fonds, et chaque cas d'importation ou d'exportation nécessite une licence unique.

Les caractéristiques techniques de cette option incluent également la nécessité d'équiper tous les systèmes d'information et tous les fournisseurs d'une gamme complète d'outils de signature électronique, qui, à l'heure actuelle, en plus des difficultés d'organisation, est compliquée par le manque de compatibilité lorsque l'on travaille sur le même outil informatique des outils de protection des informations cryptographiques les plus courants.

Les inconvénients juridiques de cette option incluent le fait que, dans ce cas, les parties n'ont pas la possibilité d'obtenir des preuves documentaires de la légitimité de l'utilisation d'un certificat de clé de vérification de signature pour signer un type spécifique de document conformément à la législation du pays d'origine du document électronique. En conséquence, chacune des contreparties doit prendre une décision de confiance dans un document électronique, sans avoir de motifs juridiques suffisants pour cela.

Ainsi, l'option 2, basée sur l'exportation et l'importation du FCPE, n'est pas technologique et n'est pas applicable pour une utilisation de masse, pour le développement de systèmes d'information et pour des systèmes d'information qui nécessitent des conditions légales claires pour l'utilisation de documents électroniques.

Pour mettre en œuvre un flux de documents électronique transfrontalier sécurisé juridiquement significatif basé sur des outils cryptographiques, il est conseillé d'utiliser d'autres approches qui permettent la mise en œuvre de niveaux de protection cryptographique des flux d'informations essentiellement équivalents (des deux côtés de la frontière) et des fondements juridiques suffisants pour reconnaître la force juridique des documents électroniques, c'est-à-dire méthodes fournies par un cadre réglementaire suffisant.

Option 3: il s'agit d'une option d'un tiers de confiance , qui est mise en œuvre conformément à trois principes de base:

  1. « » , ;
  2. ;
  3. - « » , ()*4.

Le schéma d'interaction entre les parties dans la mise en œuvre de ces principes de base est présenté à la Fig. 3.



Conformément aux modifications introduites par la loi fédérale N 476- («Sur les modifications de la loi fédérale« sur les signatures électroniques »et l'article 1 de la loi fédérale« Sur la protection des droits des personnes morales et des entrepreneurs individuels dans la mise en œuvre du contrôle de l'État (surveillance) et du contrôle municipal » ) à l'article 7:
«3. , , , , . , , , , ».

Ainsi, compte tenu de ces dispositions, la base du modèle juridique de reconnaissance mutuelle des signatures électroniques transfrontalières devrait être les traités internationaux de la Fédération de Russie. Après l'entrée en vigueur de ces amendements (au moment de la rédaction de cet article, l'entrée en vigueur est fixée au 1er juillet 2020), nous surveillerons l'émergence de tels traités internationaux et analyserons les pratiques de travail de ces opérateurs pour résoudre ce problème.

Dans les articles suivants de cette série, nous essaierons d'envisager d'autres tâches liées à la signature électronique qui, à la lumière de la législation actuelle de la Fédération de Russie, peuvent et seront confiées à un tiers de confiance.

* Il existe des exceptions, en particulier, la loi fédérale de la Fédération de Russie n ° 63-FZ du 04/06/2011 prévoit la possibilité d'utiliser une signature électronique simple non cryptographique, qui dans ce document ne sera pas considérée comme inapplicable aux tâches appliquées.

* 2 Basé:

  • Lignes directrices générales pour la législation dans le domaine des EP: un bref résumé de la législation et de l'application par pays / Adobe Systems Incorporated 2016.
  • Indice mondial de cybersécurité et profils de cybersécurité. Rapport. ABI Research, commandée par le Groupe Cybersécurité de l'UIT. Avril 2015
  • Groupe de recherche d'entreprises «Gazyformservice» 2018-2020

* 3 Les normes des pays de l'UEE sont basées sur des approches communes, mais à l'heure actuelle, la mise en œuvre nationale «vers» est incompatible.

* 4Un tiers de confiance (TPA) est une organisation ou un représentant d'une organisation qui fournit un ou plusieurs services de sécurité et est approuvé par d'autres entités en ce qui concerne les actions liées à ces services de sécurité. (Recommandation informatique UIT X.842. Technologies de l'information - Techniques de sécurité - Lignes directrices pour l'utilisation et la gestion des services tiers de confiance).

Sergey Anatolyevich Kiryushkin,
Ph.D., conseiller du directeur général de Gazinformservice LLC

Vladimir Nikolaevich Kustov,
docteur en ingénierie, professeur, conseiller du directeur général d'UC GIS LLC

More articles:


All Articles