🧑🏽‍🤝‍🧑🏻 ♂️ 👨🏿‍🤝‍👨🏽 Dukungan teknologi dan peraturan untuk layanan kepercayaan digital di Federasi Rusia 🥕 👏🏻 🎅🏾

Tujuan dari seri artikel ini adalah untuk meninjau kondisi peraturan, teknis dan peraturan untuk mengatur proses membangun kepercayaan dalam lingkungan digital.

Masalah memastikan dan mengembangkan ruang kepercayaan digitalrelevan di seluruh dunia. Mereka ada dalam agenda dan telah diselesaikan sampai tingkat tertentu sejak 1980-an, dan di Federasi Rusia, setidaknya sejak awal 2000-an, ketika Undang-Undang Federal No. 1--Tentang Tanda Tangan Digital Elektronik diadopsi. Masalah yang paling banyak dibahas di tingkat regulator (Kementerian Komunikasi Rusia, Layanan Keamanan Federal Rusia, Layanan Pajak Federal Rusia), pengguna dan operator, ketika menerapkan proses membangun kepercayaan di lingkungan digital, adalah kerangka kerja peraturan untuk memastikan penggunaan analog dari tanda tangan tulisan tangan - tanda tangan elektronik (tanda tangan elektronik), tanda tangan digital elektronik (EDS), tanda tangan digital (EDS) ), sebagai sarana untuk memastikan validitas manajemen dokumen elektronik lintas batas. Pada 2018-2020, diskusi ini mengarah ke modernisasi yang signifikan dari undang-undang federal di bidang kepercayaan dalam lingkungan digital, yaitu, munculnya Undang-Undang Federal No. 476- dari 27.12.2019, yang memperkenalkan amandemen signifikan terhadap Undang-Undang Federal No. 63- tertanggal 04/06/2011 “On Electronic Signature”. Selanjutnya, sebagian besar amandemen terhadap layanan trust akan dipertimbangkan, disatukan dalam 476- oleh gagasan "pihak ketiga tepercaya" (TPA).

Dalam undang-undang Federasi Rusia, konsep ini muncul dengan penandatanganan dokumen internasional "Perjanjian tentang Uni Ekonomi Eurasia" (Ditandatangani di Astana pada 29 Mei 2014), yang mendefinisikan masalah integrasi ekonomi di EAEU. Perjanjian tersebut berisi Lampiran No. 3 "Protokol Teknologi Informasi dan Komunikasi dan Interaksi Informasi dalam Uni Ekonomi Eurasia". Protokol ini adalah dasar hukum untuk memecahkan masalah memastikan kepercayaan pada dokumen lintas batas dengan tanda tangan elektronik melalui penggunaan teknologi TPA . Fitur lain dari Perjanjian ini adalah bahwa ia menyediakan solusi untuk masalah ini hanya untuk hubungan antar otoritas(G2G). Sesuai dengan "Strategi untuk Pengembangan Ruang Keyakinan Lintas Batas", disetujui oleh keputusan Dewan EEC 27 September 2016 No. 105 (selanjutnya - Strategi):

"Subjek interaksi elektronik juga dapat berupa badan pemerintah negara bagian ketiga (pejabat dan karyawan mereka), individu dan badan hukum (perwakilan badan hukum), pejabat dan karyawan asosiasi integrasi, organisasi internasional, yang tunduk pada kesimpulan perjanjian internasional yang relevan."

Pada tahap kedua pengembangan ruang kepercayaan lintas-batas (hingga 2020), diharapkan:

"Kemungkinan interaksi elektronik antara individu dan badan hukum di antara mereka sendiri, serta dengan otoritas negara anggota ketika individu dan badan hukum berada di wilayah negara mereka".

Dengan demikian, kondisi hukum, organisasi, dan teknologi untuk memastikan kepercayaan pada tanda tangan elektronik entitas hukum dan individu dalam ruang perwalian lintas batas EAEU, sesuai dengan Strategi, harus dibuat di EAEU pada tahun ini.

Dalam undang-undang negara Uni Ekonomi Eurasia (EAEU), ketentuan kekuatan hukum, sebagai properti dokumen elektronik, didasarkan pada jaminan keaslian dan integritas dokumen. Dalam hal ini, terutama *, untuk memastikan keaslian dan integritas dokumen elektronik, metode kriptografi digunakan, dan dasar hukum ditetapkan dalam undang-undang internasional dan nasional. Sejumlah besar negara-mitra ekonomi Federasi Rusia mendasarkan legislasi mereka di bidang signifikansi hukum dokumen elektronik pada model UNCITRAL model 2001 tentang Tanda Tangan Elektronik, basis teknologi yang disediakan khusus untuk tanda tangan elektronik kriptografi (tanda tangan digital) (Tabel 1).

Daftar negara yang undang-undangnya didasarkan pada Undang-Undang Model UNCITRAL 2001 tentang Tanda Tangan Elektronik * 2

Dengan demikian, tugas mengatur interaksi lintas-batas yang dilindungi secara elektronik yang signifikan secara hukum direduksi menjadi menyetujui di antara negara-negara peserta perbedaan dalam peraturan hukum (misalnya, persyaratan untuk kondisi untuk penggunaan alat kriptografi) dan perbedaan dalam cara dan metode untuk memastikan nilai-nilai keamanan yang ditentukan.

Misalnya, alat kriptografi digunakan untuk mengatur manajemen dokumen elektronik yang aman di negara-negara UE dan EAEU.

Pada saat yang sama, banyak negara mengembangkan kriptografi mereka sendiri, memiliki standar algoritma kriptografi sendiri yang digunakan untuk membuat dan memverifikasi tanda tangan elektronik (EDS) dan mekanisme mereka sendiri untuk mengimplementasikan algoritma ini (alat tanda tangan elektronik dan analog mereka). * 3

Secara umum, solusi ini tidak kompatibel satu sama lain, yaitu Dokumen elektronik yang ditandatangani dengan tanda tangan elektronik berdasarkan standar kriptografi, misalnya, Republik Belarus, tidak dapat diverifikasi menggunakan tanda tangan elektronik Republik Kazakhstan dan tanda tangan elektronik Rusia.

Mari kita pertimbangkan lebih jauh solusi teknologi yang memungkinkan untuk masalah ini.

Opsi 1: Tampaknya solusi yang paling jelas dalam situasi ini adalah menggunakan standar kriptografi yang seragam dan umum untuk para peserta dalam interaksi informasi untuk prosedur tanda tangan elektronik (Gbr. 1).

Untuk mendukung pendekatan ini di ruang pasca-Soviet, keberadaan standar kriptografi negara-negara CIS - GOST 34.310-2002."Teknologi Informasi. Keamanan informasi kriptografis. Proses pembentukan dan verifikasi tanda tangan digital elektronik ” dan GOST 34.311-95 “ Teknologi informasi. Keamanan informasi kriptografis. Fungsi hash. " Pada saat yang sama, sejumlah besar negara menggunakan solusi sistem operasi yang tertanam dalam pengembangan kriptografi AS.

Tetapi pendekatan ini bertentangan dengan prinsip kedaulatan nasional, yang menentukan rasionalitas menggunakan tanda tangan elektronik berarti disertifikasi menurut standar nasional, dan juga menentukan kekhususan dasar hukum untuk penggunaan tanda tangan elektronik di berbagai negara. Perbedaannya bisa signifikan, dimulai dengan istilah, berakhir dengan konten semantik dari analog dari tanda tangan tulisan tangan. Untuk alasan ini, "opsi 1" tidak dapat dianggap sebagai solusi universal untuk memastikan pengakuan tanda tangan elektronik asing, terutama di Federasi Rusia.

Pilihan 2:Solusi lain yang jelas, tampaknya, harus menjadi pendekatan yang didasarkan pada impor / ekspor alat tanda tangan elektronik (CIP) dari mitra, pertukaran hukum timbal balik dari mereka, untuk melengkapi sistem informasi nasional dan pengguna nasional sistem informasi asing (Gbr. 2).

Tetapi opsi ini memiliki sejumlah besar kesulitan organisasi dan teknis, dan di samping itu tidak menyelesaikan seluruh daftar masalah. Pertama-tama, tanda tangan elektronik adalah sarana enkripsi (kriptografi), dan ekspor dan impornya memiliki sejumlah batasan signifikan yang menghambat penerapan opsi ini. Sesuai dengan "Peraturan tentang Tata Cara Impor ke Wilayah Pabean Serikat Pabean dan Ekspor dari Wilayah Pabean dari Uni Pabean tentang Enkripsi (Kriptografi) Berarti":

"Impor dan ekspor sarana enkripsi dilakukan atas dasar lisensi satu kali yang dikeluarkan oleh badan resmi negara - anggota serikat pabean di wilayah mana pemohon terdaftar."

Selain itu, sejumlah masalah yang terkait dengan penggunaan tanda tangan elektronik memerlukan pemeliharaan berkala oleh penyedia layanan sertifikasi (misalnya, otoritas sertifikasi) yang beroperasi sesuai dengan persyaratan hukum nasional dan sulit untuk mendapatkan layanan seperti itu di luar negara tempat kehadiran. Bahkan ketika memecahkan masalah impor-ekspor tanda tangan elektronik berarti untuk sistem informasi tertentu, ketika sistem ditingkatkan, masalah organisasi muncul lagi, karena mereka membutuhkan turunan dari dana ini, dan setiap kasus impor atau ekspor memerlukan lisensi satu kali.

Fitur teknis dari opsi ini termasuk, juga, kebutuhan untuk melengkapi semua sistem informasi dan semua pemasok dengan berbagai alat tanda tangan elektronik, yang saat ini, selain kesulitan organisasi, diperumit oleh kurangnya kompatibilitas ketika bekerja pada alat komputer yang sama dengan alat perlindungan informasi kriptografi yang paling umum.

Kerugian hukum dari opsi ini termasuk fakta bahwa dalam hal ini para pihak tidak diberi kesempatan untuk mendapatkan bukti dokumenter tentang keabsahan menggunakan sertifikat kunci verifikasi tanda tangan untuk menandatangani jenis dokumen tertentu sesuai dengan undang-undang negara asal dokumen elektronik. Akibatnya, masing-masing rekanan harus membuat keputusan tentang kepercayaan pada dokumen elektronik, tanpa memiliki dasar hukum yang memadai untuk ini.

Dengan demikian, opsi 2, berdasarkan ekspor dan impor CIPF, bukan teknologi dan tidak berlaku untuk penggunaan massal, untuk mengembangkan sistem informasi dan untuk sistem informasi yang memerlukan kondisi hukum yang jelas untuk penggunaan dokumen elektronik.

Untuk menerapkan aliran dokumen yang signifikan secara elektronik lintas-batas yang aman berdasarkan alat kriptografi, disarankan untuk menggunakan pendekatan lain yang memungkinkan penerapan level perlindungan arus informasi kriptografis yang setara (di kedua sisi perbatasan) dan landasan hukum yang cukup untuk mengenali kekuatan hukum dokumen elektronik, yaitu. metode yang disediakan oleh kerangka peraturan yang memadai.

Opsi 3: Ini adalah opsi Pihak Ketiga Tepercaya , yang diterapkan sesuai dengan tiga prinsip dasar:

« » , ;
;
- « » , ()*4.

Skema interaksi antara para pihak dalam implementasi prinsip-prinsip dasar ini disajikan pada Gambar. 3.

Sesuai dengan amandemen yang diperkenalkan oleh Hukum Federal N 476- ("Tentang Amandemen Hukum Federal" Pada Tanda Tangan Elektronik "dan Pasal 1 Hukum Federal" Tentang Perlindungan Hak Badan Hukum dan Pengusaha Perorangan dalam Implementasi Kontrol Negara (Pengawasan) dan Kontrol Kota " ) dalam Pasal 7:

«3. , , , , . , , , , ».

Dengan demikian, dengan mempertimbangkan ketentuan-ketentuan ini, dasar dari model hukum pengakuan bersama atas tanda tangan elektronik lintas batas haruslah perjanjian internasional Federasi Rusia. Setelah berlakunya amandemen ini (pada saat penulisan artikel ini, berlakunya ditentukan pada 1 Juli 2020), kami akan memantau munculnya perjanjian internasional tersebut dan menganalisis praktik kerja dari operator ini dalam menyelesaikan masalah ini.

Dalam artikel-artikel berikut dari seri ini, kami akan mencoba untuk mempertimbangkan tugas-tugas lain yang terkait dengan tanda tangan elektronik, yang, dalam terang undang-undang saat ini dari Federasi Rusia, dapat dan akan ditugaskan ke pihak ketiga yang tepercaya.

* Ada pengecualian, khususnya, Undang-Undang Federal Federasi Rusia No. 63-FZ tanggal 04/06/2011 mengatur kemungkinan penggunaan tanda tangan elektronik sederhana non-kriptografis, yang dalam materi ini tidak akan dianggap tidak berlaku untuk tugas yang diterapkan.

* 2 Berdasarkan:

Pedoman Umum untuk Legislasi di Bidang EP: Ringkasan Singkat tentang Legislasi dan Penegakan oleh Negara / Adobe Systems Incorporated 2016.
Global Cybersecurity Index dan Profil Cybersecurity. Melaporkan. ABI Research, ditugaskan oleh ITU Cybersecurity Group. April 2015
Kelompok riset perusahaan "Gazyformservice" 2018-2020

* 3 Standar negara-negara EAEU didasarkan pada pendekatan umum, tetapi saat ini, implementasi nasional "menuju" tidak sesuai.

* 4Pihak Ketiga Tepercaya (TPA) adalah organisasi atau perwakilan dari organisasi yang menyediakan satu atau lebih layanan keamanan dan dipercaya oleh entitas lain terkait tindakan yang terkait dengan layanan keamanan ini. (ITU Rekomendasi TI X.842. Teknologi informasi - Teknik Keamanan - Pedoman untuk penggunaan dan pengelolaan layanan pihak ketiga yang tepercaya).

Sergey Anatolyevich Kiryushkin,
Ph.D., Penasihat Direktur Jenderal Gazinformservice LLC

Vladimir Nikolaevich Kustov,
Doktor Teknik, Profesor, Penasihat Direktur Jenderal UC GIS LLC

Dukungan teknologi dan peraturan untuk layanan kepercayaan digital di Federasi Rusia

More articles: