Стоит ли вносить поправки в 63-ФЗ?
Экспертный комментарий Алексея Сабанова, заместителя генерального директора "Аладдин Р.Д."
К.т.н., зам. ген. директора ЗАО "Аладдин Р.Д.", доцент МГТУ им. Н.Э. Баумана, член нескольких экспертных советов, в том числе Экспертного совета Комитета Государственной Думы по вопросам безопасности и противодействия коррупции, Алексей Сабанов

Помимо проблем, связанных с функционированием УЦ, необходимо решить следующие вопросы:
- Проблема определения уровней доверия к идентификации сторон удалённого электронного взаимодействия. Этот вопрос нуждается в регулировании как на законодательном, так и на нормативном уровне. Примеры в мировой практике имеются. Так, в США этот вопрос регулируется на уровне Директивы Президента, государственных программ ICAM и FICAM, стандартов FIPS (один из последних — FIPS PUB 201-2 Personal Identity Verification (PIV) of Federal Employees and Contractors. March 2011). Государственные стратегии и регламенты по данному вопросу приняты в Австралии (National e-Authentication Framework/January 2009), Канаде, европейских странах. Одним из последних документов является Положение и регламент ЕС № 910/2014 (Regulation of the European Parliament and the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market. EC, Brussels, 910/2014) по электронной идентификации и доверенным сервисам при применении электронной подписи на внутренних рынках стран ЕС. В Российской Федерации выбор технологий, механизмов и средств идентификации и аутентификации отдан на откуп владельцам информационных систем и ресурсов.
- В законодательной и нормативной базе Российской Федерации нет даже упоминания о безопасных средствах генерации закрытых ключей аутентификации и электронной подписи. Рекомендации к применению таких средств, называемых SSCD (Secure Signature Creation Device) для использования квалифицированной электронной подписи имеются ещё в Директиве применения электронной подписи (Directive 1999/93/EC of the Parliament and the Council on a Community Framework for Electronic Signatures// Official J. of European Communities. OJ L 13. 19.01.2000). В принятом Regulation of the European Parliament and the Council on Electronic Identification and Trust Services for Electronic Transactions in the Internal Market требование применения SSCD повышено до QSCD — квалифицированного устройства генерации ключевого материала и применение QSCD стало не рекомендованным, а обязательным для квалифицированной электронной подписи.
- В рассматриваемом законопроекте нет определения и фиксирования условий придания электронному документу юридической силы (ЮС). В отличие от бумажных документов, для электронного документа реквизиты, придающие ЮС, определить не так просто. Для каждого вида документов набор минимально-необходимых и достаточных реквизитов определить можно, это необходимо сделать для выполнения государственных программ информатизации общества.
- В проекте изменений в № 63-ФЗ также не затронута тема трансляции доверия при переходе к облачным вычислениям. Эта тема касается всех доверенных сервисов (электронная подпись, аутентификация, доверенное время, валидация сертификатов доступа и электронной подписи и т.д.). Эта проблема становится актуальной и также нуждается в регулировании.
Также следует отметить, что необходимо развивать требования к УЦ. Они должны стать становым хребтом доверенных сервисов, позволяющих поддерживать сервисы в состоянии доверия. Для этого необходимо сформулировать требования, которые Минкомсвязи России должен предъявлять при аккредитации УЦ и последующем контроле. Весь мир уже это делает, а мы, как всегда, отстаём...
Дискуссию по изменениям в 63-ФЗ необходимо продолжить, формат Общественной палаты является одним из самых демократичных и способных помочь понимать актуальность внесения тех или иных изменений.