"Официальная электронная почта": цели, трудности и целесообразность создания
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
Тема статьи представляется весьма актуальной. Однако имеется ряд дополнительных моментов, которые хотелось бы пояснить.
Речь в статье по сути идёт о создании "доверенной" электронной почты. Рассматривать эту задачу в изоляции от других доверенных сервисов — значит, не решить затронутую проблему. Все доверенные сервисы, необходимые для перехода от бумажного документооборота к электронному, тесно взаимосвязаны. Инфраструктура и средства электронной подписи (ЭП), службы идентификации и аутентификации пользователей информационных систем и ресурсов, инфраструктура проверки валидности сертификатов доступа и ЭП, службы доверенного времени, реестры сертификатов, полномочий и правомочий, средства и сервисы доставки сообщений и трастовых подтверждений — все эти сервисы должны быть "равнонадёжны" и "равнобезопасны", т.е. "равнодоверенны" с точки зрения уровня рисков операций, которые проводятся с их применением.
С этой точки зрения цитаты из Регламента 910/2014 ЕС с одной стороны приведены правильно.
Однако страны ЕС шли к данному регламенту 15 лет (Директива 1999/93/ЕС Европейского Парламента и Совета от 13.12.1999 года об основах использования ЭП).
Создавались доверенные сервисы, в том числе по встраиванию электронных подписей в различные системы, причём ЭП не только пользователей, но и устройств, отвечающих за поддержание в доверенном состоянии набора сервисов. Экспертиза таких сервисов показала, что необходимо вводить уровни доверия и сертификацию (соотнесение с требованиями ИБ и надёжности), которую назвали квалификацией сервисов. Упомянутый регламент — про это. В данном контексте приведённые цитаты могут рассматриваться для нас как далёкая перспектива. У нас пока ещё не сформулированы элементарные требования безопасности и надёжности к сервисам на базе PKI, кроме требований ФСБ России к ряду задач создания, применения и проверки ЭП. В такой обстановке создание всероссийской электронной почты может свестись к созданию и поддержке в рабочем состоянии почтовой системы, созданной на базе стандартных решений и объединённого справочника, вобравшего в себя все почтовые адреса с серверов mail.ru, yandex.ru и т.д. по списку с последующим его уточнением.
Ещё один момент: об организации электронной почты как разновидности традиционной почтовой службы. Заглядывать или нет в почтовый ящик — право гражданина. Традиционная почта создавалась столетиями и выработан алгоритм заказного отправления с уведомлением о доставке сообщения и обязательной распиской о его получении. Кто и как будет организовывать аналог такого алгоритма для официальной электронной почты?