Get best of the week

Suporte tecnológico e regulatório para serviços de confiança digital na Federação Russa

O objetivo da série de artigos é revisar as condições regulamentares, técnicas e regulamentares para organizar processos de construção de confiança em um ambiente digital.
Questões para garantir e desenvolver um espaço digital de confiançarelevante em todo o mundo. Eles estão na ordem do dia e foram resolvidos em um grau ou outro desde a década de 1980 e na Federação Russa, pelo menos desde o início dos anos 2000, quando a Lei Federal Nº 1- Sobre Assinaturas Digitais Eletrônicas foi adotada. A questão mais discutida no nível de reguladores (Ministério das Comunicações da Rússia, Serviço Federal de Segurança da Rússia, Serviço Federal de Impostos da Rússia), usuários e operadores, na implementação de processos para criar confiança no ambiente digital, é a estrutura regulamentar para garantir o uso de análogos de assinaturas manuscritas - assinaturas eletrônicas (assinaturas eletrônicas), assinaturas digitais eletrônicas (EDS) ), como forma de garantir a validade do gerenciamento transfronteiriço de documentos eletrônicos. Em 2018-2020, essa discussão levou a uma modernização significativa da legislação federal no campo da confiança no ambiente digital, a saber, o surgimento da Lei Federal nº 476- de 27.12.2019, que introduziu alterações significativas à Lei Federal nº 63 - de 06/04/2011 “Sobre Assinatura Eletrônica”. Daqui em diante, serão consideradas principalmente as emendas aos serviços de confiança, unidas em 476- pela noção “terceiro confiável” (TPA).

Na legislação da Federação Russa, esse conceito surgiu com a assinatura do documento internacional “Tratado da União Econômica da Eurásia” (assinado em Astana em 29 de maio de 2014), que define questões de integração econômica no EAEU. O acordo contém o Apêndice No. 3 “Protocolo sobre Tecnologias da Informação e Comunicação e Interação da Informação na União Econômica da Eurásia”. Este protocolo é a base legal para resolver o problema de garantir confiança em documentos transfronteiriços com assinatura eletrônica usando a tecnologia TPA . Outra característica do acordo é que ele fornece a solução desse problema apenas para as relações entre autoridades(G2G). De acordo com a “Estratégia para o desenvolvimento de um espaço de confiança transfronteiriça”, aprovada pela decisão do Conselho da CEE de 27 de setembro de 2016 nº 105 (doravante, a estratégia):
"Os sujeitos da interação eletrônica também podem ser órgãos governamentais de terceiros estados (seus funcionários e funcionários), indivíduos e entidades legais (representantes de entidades legais), funcionários e funcionários de associações de integração, organizações internacionais, sujeitos à conclusão de tratados internacionais relevantes".
Na segunda fase do desenvolvimento do espaço de confiança transfronteiriço (até 2020), está previsto:
“A possibilidade de interação eletrônica entre indivíduos e entidades legais entre si, bem como com as autoridades estaduais dos estados membros quando indivíduos e entidades legais estão nos territórios de seus estados”.

Assim, as condições legais, organizacionais e tecnológicas para garantir a confiança nas assinaturas eletrônicas de pessoas jurídicas e indivíduos dentro do espaço de confiança transfronteiriço da EAEU, de acordo com a Estratégia, devem ser criadas na EAEU já este ano.

Nas leis dos países da União Econômica da Eurásia (EAEU), o fornecimento de força legal, como propriedade de documentos eletrônicos, baseia-se em garantias de autenticidade e integridade de documentos. Nesse caso, principalmente *, para garantir a autenticidade e a integridade dos documentos eletrônicos, são utilizados métodos criptográficos e os fundamentos legais são estabelecidos na legislação internacional e nacional. Um número significativo de países-parceiros econômicos da Federação Russa baseia sua legislação no campo da significância jurídica de documentos eletrônicos na lei modelo 2001 da UNCITRAL sobre assinaturas eletrônicas, cuja base tecnológica é fornecida especificamente para assinatura eletrônica criptográfica (assinatura digital) (Tabela 1).

Lista de países cuja legislação se baseia na Lei Modelo UNCITRAL de 2001 sobre Assinaturas Eletrônicas * 2



Assim, a tarefa de organizar uma interação eletrônica legalmente protegida protegida transfronteiriça é reduzida à coordenação entre os países participantes de diferenças na regulamentação legal (por exemplo, requisitos para as condições de uso de ferramentas criptográficas) e diferenças nos meios e métodos de garantir valores de segurança especificados.

Por exemplo, ferramentas criptográficas são usadas para organizar o gerenciamento seguro de documentos eletrônicos nos países da UE e da EAEU.

Ao mesmo tempo, muitos países estão desenvolvendo sua própria criptografia, possuem seus próprios padrões para algoritmos criptográficos usados ​​para criar e verificar assinaturas eletrônicas (EDS) e seus próprios mecanismos para implementar esses algoritmos (ferramentas de assinatura eletrônica e seus análogos). * 3

Em geral, essas soluções são incompatíveis entre si, ou seja, Um documento eletrônico assinado com uma assinatura eletrônica baseada em padrões criptográficos, por exemplo, da República da Bielorrússia, não pode ser verificado usando a assinatura eletrônica da República do Cazaquistão e a assinatura eletrônica da Rússia.

Vamos considerar ainda possíveis soluções tecnológicas para esse problema.

Opção 1: A solução mais óbvia nessa situação, ao que parece, é usar um padrão criptográfico comum e uniforme para os participantes na interação de informações para procedimentos de assinatura eletrônica (Fig. 1).



A favor dessa abordagem no espaço pós-soviético, a presença de padrões criptográficos dos estados da CEI - GOST 34.310-2002."Tecnologia da informação. Segurança da informação criptográfica. Os processos de formação e verificação de assinaturas digitais eletrônicas ” e GOST 34.311-95 “ Tecnologia da informação. Segurança da informação criptográfica. A função hash ". Ao mesmo tempo, um número significativo de países utiliza soluções incorporadas em sistemas operacionais baseadas nos desenvolvimentos criptográficos dos EUA.

Mas essa abordagem contradiz o princípio da soberania nacional, que determina a racionalidade do uso de meios de assinatura eletrônica certificados de acordo com as normas nacionais e também determina a especificidade da base jurídica para o uso da assinatura eletrônica em diferentes países. As diferenças podem ser significativas, começando pelos termos, terminando com o conteúdo semântico dos análogos da assinatura manuscrita. Por esses motivos, a “opção 1” não pode ser considerada uma solução universal para garantir o reconhecimento de uma assinatura eletrônica estrangeira, especialmente na Federação Russa.

Opção 2:Outra solução óbvia, ao que parece, deveria ser uma abordagem baseada na importação / exportação de meios de assinatura eletrônica (CIP) de parceiros, intercâmbio legal mútuo deles, para equipar sistemas de informação nacionais e usuários nacionais de sistemas de informação estrangeiros (Fig. 2).



Mas essa opção tem um grande número de dificuldades organizacionais e técnicas e, além disso, não resolve toda a lista de problemas. Antes de tudo, as assinaturas eletrônicas são meios de criptografia (criptográfica), e sua exportação e importação têm várias restrições significativas que impedem a implementação dessa opção. De acordo com o "Regulamento relativo ao procedimento para a importação para o território aduaneiro da união aduaneira e a exportação do território aduaneiro dos meios da união aduaneira de criptografia (criptográfica)":
“A importação e exportação de meios de criptografia são realizadas com base em licenças únicas emitidas pelo organismo autorizado do estado - um membro da união aduaneira em cujo território o requerente está registrado.”
Além disso, vários problemas relacionados ao uso de meios de assinatura eletrônica exigem manutenção periódica pelos prestadores de serviços de certificação (por exemplo, autoridades de certificação) que operam de acordo com os requisitos das leis nacionais e é difícil obter esses serviços fora do país de presença. Mesmo ao resolver o problema da importação-exportação de meios de assinatura eletrônica para um sistema de informações específico, quando o sistema é ampliado, os problemas organizacionais voltam a surgir, pois exigem uma contabilidade por instância desses fundos e cada caso de importação ou exportação exige uma licença única.

Os recursos técnicos dessa opção incluem também a necessidade de equipar todos os sistemas de informação e todos os fornecedores com uma gama completa de ferramentas de assinatura eletrônica, que atualmente, além das dificuldades organizacionais, são complicadas pela falta de compatibilidade ao trabalhar na mesma ferramenta de computador das ferramentas de proteção de informações criptográficas mais comuns.

As desvantagens legais dessa opção incluem o fato de que, neste caso, as partes não têm a oportunidade de obter evidência documental da legitimidade do uso de um certificado de chave de verificação de assinatura para assinar um tipo específico de documento de acordo com a legislação do país de origem do documento eletrônico. Como resultado, cada uma das contrapartes deve tomar uma decisão de confiança em um documento eletrônico, sem ter bases legais suficientes para isso.

Assim, a opção 2, baseada na exportação e importação do CIPF, não é tecnológica e não é aplicável ao uso em massa, ao desenvolvimento de sistemas de informação e de sistemas de informação que exigem condições legais claras para o uso de documentos eletrônicos.

Para implementar um fluxo de documentos eletrônico legalmente significativo transfronteiriço seguro com base em ferramentas criptográficas, é aconselhável usar outras abordagens que permitam a implementação de níveis essencialmente equivalentes (em ambos os lados da fronteira) de proteção criptográfica dos fluxos de informações e bases legais suficientes para reconhecer a força legal dos documentos eletrônicos, ou seja, métodos fornecidos por um quadro regulamentar suficiente.

Opção 3: Esta é uma opção de um Terceiro Confiável , que é implementado de acordo com três princípios básicos:

  1. « » , ;
  2. ;
  3. - « » , ()*4.

O esquema de interação entre as partes na implementação desses princípios básicos é apresentado na Fig. 3.



De acordo com as emendas introduzidas pela Lei Federal N 476- ("Emendas à Lei Federal" Sobre Assinaturas Eletrônicas "e artigo 1 da Lei Federal" Sobre a Proteção dos Direitos das Pessoas Jurídicas e dos Empreendedores Individuais na Implementação do Controle Estadual (Supervisão) e Controle Municipal " ) no artigo 7.
«3. , , , , . , , , , ».

Assim, tendo em conta essas disposições, a base do modelo jurídico de reconhecimento mútuo das assinaturas eletrônicas transfronteiriças deve ser tratados internacionais da Federação Russa. Após a entrada em vigor dessas emendas (no momento da redação deste artigo, a entrada em vigor é determinada em 1º de julho de 2020), monitoraremos o surgimento de tais tratados internacionais e analisaremos as práticas de trabalho desses operadores na solução desse problema.

Nos artigos a seguir desta série, tentaremos considerar outras tarefas relacionadas à assinatura eletrônica, que, à luz da legislação atual da Federação Russa, podem e serão atribuídas a terceiros confiáveis.

* Há exceções, em particular, a Lei Federal da Federação Russa nº 63-FZ, de 06/06/2011, prevê a possibilidade de usar uma assinatura eletrônica simples não criptográfica, que neste material não será considerada inaplicável às tarefas aplicadas.

* 2 Sediada:

  • Diretrizes gerais para legislação no campo do PE: um breve resumo da legislação e aplicação por país / Adobe Systems Incorporated 2016.
  • Índice Global de Cibersegurança e Perfis de Cibersegurança. Relatório. ABI Research, encomendado pelo ITU Cybersecurity Group. Abril 2015
  • Grupo de pesquisa de empresas “Gazyformservice” 2018-2020

* 3 Os padrões dos países da EAEU são baseados em abordagens comuns, mas atualmente a implementação nacional "em direção" é incompatível.

* 4Um TPA (Trusted Third Party) é uma organização ou representante de uma organização que fornece um ou mais serviços de segurança e é confiável por outras entidades em relação a ações relacionadas a esses serviços de segurança. (Recomendação X.842 da ITU. Tecnologia da informação - Técnicas de segurança - Diretrizes para o uso e gerenciamento de serviços de terceiros confiáveis).

Sergey Anatolyevich Kiryushkin,
Ph.D., Assessor do Diretor Geral da Gazinformservice LLC

Vladimir Nikolaevich Kustov,
Doutor em Engenharia, Professor, Assessor do Diretor Geral da UC GIS LLC

More articles:


All Articles