ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ЭЛЕКТРОННЫХ СДЕЛОК

<

051914 2342 1 ОБЕСПЕЧЕНИЕ БЕЗОПАСНОСТИ ЭЛЕКТРОННЫХ СДЕЛОКФедеральным законом от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» в Российской Федерации регламентирован порядок обеспечение правовых условий использования электронной цифровой подписи (ЭЦП) в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе. Данный закон, прежде всего, регулирует использование электронной цифровой подписи в отношениях, возникающих при совершении гражданско-правовых сделок.

ЭЦП является неотъемлемым реквизитом электронного документа, в случаях, если такому документу необходимо придать юридическую значимость.

Применение ЭЦП позволяет автоматизировать процессы заключения договоров. Гражданский кодекс Российской Федерации устанавливает, что договор в письменной форме может быть заключен путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору (п.2 ст. 434). Средством, позволяющим достоверно установить, что документ исходит от стороны по договору, является ЭЦП. Возможность применения ЭЦП в банковской сфере предусмотрена п. 3 ст. 847 Гражданского кодекса Российской Федерации.

Вместе с тем, средства ЭЦП относятся к шифровальным (криптографическим) средствам, для применения которых требуется лицензия ФСБ России.

Для правильного и безопасного использования средств ЭЦП необходим комплекс мероприятий организационного и режимного характера. Данные мероприятия включают, в частности, вопросы обращения с закрытыми криптографическими ключами ЭЦП, сертификатами, вопросы использования реестра сертификатов и проверки подлинности ЭЦП, организация архивного хранения. Имеются сложности при использовании ЭЦП с иностранными контрагентами.

Неправильная организации применения средств ЭЦП может привести к подделке электронных документов и, как следствие, организация понесет убытки. Несоблюдение требований закона может привести к недействительности сделок, совершенных с использованием ЭЦП.

Основные проблемы, возникающие в процессе осуществления электронных сделок:

доступ к конфиденциальной информации посторонних лиц;

уничтожение информации (умышленно или по халатности);

искажение информации в процессе передачи;

имитация электронных документов;

отказ от авторства электронного документа;

отсутствие правовой защиты участников электронного документооборота.

Можно расширить спектр угроз за счет разнообразия ситуаций, а именно какой участник электронного документооборота — отправитель или получатель сообщения выступает в роли злоумышленника, однако весь спектр можно свести к приведенному списку.

Интеграция бизнес-процессов в среду Интернет приводит к кардинальному изменению положения с обеспечением безопасности. Порождение прав и ответственности на основании электронного документа требует всесторонней защиты от всей совокупности угроз, как отправителя документа, так и его получателя. Оставим за рамками рассмотрения угрозы перлюстрации файлов и уничтожения информации, так как защита от этих угроз лежит в технической плоскости корректного применения инструментов защиты. Остановимся подробнее на защите от навязывания и искажения информации, а также от отказов в признании авторства.

Применение алгоритмов электронной цифровой подписи (ЭЦП) позволяет надежно защититься от перечисленных угроз, однако это справедливо только в том случае, если эти алгоритмы вплетены в обоснованные протоколы взаимодействия, юридически верную конструкцию отношений и логически замкнутую систему доверия.

В основе защиты информации лежит простая логика процессов вычисления цифровой подписи и ее проверки парой соответствующих ключей, впрочем, логика, базирующаяся на фундаментальных математических исследованиях. Вычислить цифровую подпись может только владелец закрытого ключа, а проверить — каждый, у кого имеется открытый ключ, соответствующий закрытому ключу.

В настоящее время объемы электронных сделок быстро растут, и множество торговых компаний, банков и организаций, работающих с кредитными карточками, срочно занялись внедрением технологий финансового обслуживания в Интернете. Однако на этом пути им приходится преодолевать немало проблем, которые, прежде всего, связаны с обеспечением безопасности электронных сделок. В последнее время разработаны надежные способы защиты данных при проведении платежей в Интернете, существуют развитые методы проверки подлинности участников деловых операций, не забыты и юридические обоснования законности электронных сделок.

Существенным условием развития электронной торговли в России является принятие Федерального закона «Об электронной торговле», при помощи которого будет осуществляться регулирование правовых отношений, возникающих в процессе обмена электронными документами при совершении сделок в сфере предпринимательства.

Как и в соответствующих законодательных актах зарубежных стран, электронная торговля в предлагаемом законопроекте охватывает весь спектр сделок, предусмотренных ГК РФ (но не ограничиваясь ими): купля-продажа, поставка, возмездное оказание услуг, перевозка, заем и кредит, финансирование под уступку денежного требования, банковский вклад, банковский счет, расчеты, хранение, страхование, поручение, комиссия, агентирование, доверительное управление имуществом, коммерческая концессия, простое товарищество, публичное обещание награды, публичный конкурс, а также приобретение и осуществление с использованием электронных средств иных прав и обязанностей в сфере предпринимательской деятельности.

Электронная торговля бесперспективна, если ее участники не будут иметь возможностей защиты своих прав и законных интересов в суде. Законопроект предусматривает норму о представлении электронных документов в качестве судебных доказательств. Им однозначно устанавливается, что допустимость доказательств не может отрицаться только на том основании, что они представлены в виде электронных документов. Таким образом, законопроект относит электронные документы, подписанные при помощи электронной цифровой подписи (ЭЦП) или иных аналогов собственноручной подписи в порядке, предусмотренном законодательством Российской Федерации к числу письменных доказательств. Решается также вопрос о подлиннике и копиях электронного документа.

Обстоятельной регламентации подвергаются в законопроекте правила обмена электронными документами: отправка, подтверждение получения и сохранение электронных документов.

В настоящее время обеспечение безопасности электронных сделок ведется по двум направлениям:

Нормативно-правовая компонента в настоящее время развивается довольно активно. Об этом можно судить и по факту недавнего принятия «Закона об электронной цифровой подписи» и по множеству законопроектов по различным аспектам электронного бизнеса и документооборота, которые широко и активно обсуждаются в различных СМИ.

При развитии законодательства и нормативно-правовой базы регулирования сделок электронной коммерции необходимо учитывать международные требования и рекомендации (например, UNCTAD) к законодательству об электронной коммерции и тем самым создавать условия для постепенного цивилизованного вхождения в мировое экономическое сообщество.

Краеугольным камнем в развитии этой компоненты является то, что никакое серьезное развитие электронной коммерции и бизнеса в интернете невозможно без использования стойкого шифрования информации. Необходимо понимать, что никакой серьезный бизнес в Сети невозможен без гарантий сохранения конфиденциальности. Такие гарантии могут быть получены только при широком и свободном, но безопасном для государства и общества использовании стойкой криптографии. Нужно выбрать какой-либо вариант. Либо американский, который де-факто практически не ограничивает возможности распространения средств стойкой криптографии внутри страны, либо вариант с системой депонирования криптографических ключей. Если ничего не делать, придется смириться с тем, что все более значительная часть бизнеса будет вынуждена уходить в «тень» из-за невозможности гарантированной легальной защиты информации.

<

Техническая компонента – одно из наиболее слабых мест в развитии защиты сделок электронной коммерции. Спектр предлагаемых отечественными производителями сертифицированных средств защиты, и, в первую очередь, криптографических средств защиты информации, играющих главную роль в ее создании, крайне узок. В настоящее время отечественные предприниматели вынуждены пользоваться американскими системами шифрования, например, такими как майкрософтовский Enhanced CSP (позволяющий использовать алгоритм RSA с длиной ключа до 16 384 бит, алгоритм DSA с длиной ключа 1024 бита, алгоритм RC5 с длиной ключа 128 бит и алгоритм triple-DES с длиной ключа 168 бит), элементарно встраиваемый в ОС Windows. Это притом, что в России есть хорошие готовые решения, для распространения которых нужно принять естественно вытекающие из потребностей развития РИЗИ правовые акты. Так, например, для использования в той же ОС Windows фирмой ООО «Крипто-Про» (www.cryptopro.ru) разработан сертифицированный ФАПСИ продукт Криптопровайдер Крипто-Про CSP. С учетом того, что именно криптографические решения, заложенные в системе ОС Windows, чаще всего и используются для защиты информации, было бы вероятно целесообразно, чтобы продаваемые в России версии ОС Windows содержали бы в своем составе определенным образом ограниченные (например, так, как это сделано в Microsoft Base Cryptographic Provider) версии продукта Крипто-Про, а полная версия продавалась для тех, кто предъявляет повышенные требования к безопасности, в качестве альтернативы тому же Microsoft Enhanced Cryptographic Provider.

В качестве еще одного примера наличия готовых отечественных технических решений, которые ждут своего применения в РИЗИ, можно привести разработанную еще в 1998 году в МО ПНИЭИ (www.security.ru) систему распределенного хранения частей необходимых для восстановления секретного криптографического ключа. Это решение было внедрено в Техническом центре РТС (www.rts.ru) и при соответствующей адаптации его можно использовать при создании центров распределенного депонирования криптографических ключей.

Можно сделать вывод о том, что недостаточная развитость рынка отечественных средств защиты информации есть результат фактического отсутствия организационной компоненты развития электронной коммерции. При наличии многих специализированных организаций, занимающихся проблемами защиты информации и развития электронной коммерции, ни одна из них не отвечает за состояние рынка средств защиты информации, за развитие электронной коммерции и ее безопасности.

В условиях востребованности технологий территориально удаленного взаимодействия контрагентов сделки купли-продажи услуги или товара со всеми вытекающими последствиями в виде возникающих прав и ответственности сторон, вопросы доверия и обязательности исполнения условий сделки должны базироваться на прочном фундаменте.

Непременное обеспечение следующих видов доверия сделает систему в целом жизнеспособной:

доверие к тому, что никто в системе не выступит от моего имени;

доверие к тому, что мой фактический партнер не выступает от чужого имени;

доверие к тому, что покупатель вовремя получит заказанные товары и услуги, а продавец — своевременную оплату;

доверие к тому, что в случае возникновения конфликта отношения сторон будут урегулированы в соответствии с законом, и ущерб будет взыскан с виновной стороны.

Первые два пункта обеспечиваются наличием в системе доверенного центра, основной функцией которого является регистрация соответствия владельца ключа цифровой подписи содержимому данного ключа и уведомления любого и каждого о зафиксированном соответствии. Документ о соответствии ключа его владельцу, содержащий помимо самого ключа реквизиты владельца и некоторую дополнительную информацию, например, о сроках действия ключа, называется цифровым сертификатом. Наибольшее распространение в мировой практике получил формат сертификата, именуемый Х.509.

Согласно статье 6 Закона Об электронно-цифровой подписи сертификат открытого ключа электронной цифровой подписи должен содержать следующие обязательные сведения:

наименование юридического лица или фамилию, имя и отчество или псевдоним физического лица — владельца закрытого ключа электронной цифровой подписи;

открытый ключ электронной цифровой подписи;

номер сертификата открытого ключа электронной цифровой подписи, дату начала и дату окончания срока его действия;

наименование средств электронной цифровой подписи, с которыми можно использовать данный открытый ключ электронной цифровой подписи, номер сертификата и срок его действия, наименование и юридический адрес центра сертификации, выдавшего данный сертификат, номер лицензии этого центра и дату ее выдачи;

наименование и юридический адрес удостоверяющего центра, выдавшего сертификат, номер лицензии и дата ее выдачи;

наименование и юридический адрес государственного органа, уполномоченного удостоверять открытый ключ электронной цифровой подписи удостоверяющего центра, выдавшего сертификат;

данные об ограничении вида или области применения электронной цифровой подписи;

данные о полномочиях представителя владельца сертификата;

данные, позволяющие идентифицировать общедоступный реестр владельцев свидетельств, в который внесен данный сертификат, и место опубликования этого реестра;

ограничения ответственности, предусмотренные пунктом 3 статьи 15 настоящего Федерального закона.»

Приведенный перечень данных, планируемых к размещению в сертификате ключа, свидетельствует о функционировании центра доверия или иначе — Сертификационного центра исключительно в условиях правового регулирования его деятельности государством. Несомненно, что такие процедуры, как лицензирование деятельности Сертификационного центра уполномоченным органом государства, естественным образом способствуют правозащищенности участников сделок в Интернете. Не будучи всеобъемлющим гарантом безопасности, Сертификационный центр, присутствующий в открытой системе электронного документооборота, исключает ряд принципиальных рисков для ее участников при заключении сделок на электронном уровне.

Доверие к тому, что покупатель вовремя получит заказанные товары и услуги, а продавец — своевременную оплату, обеспечивается наличием совершенных систем — платежной и доставки товаров покупателю. Совершенство систем основывается, во-первых, на грамотных технических решениях и, во-вторых, на корректном оформлении прав и обязанностей контрагентов по сделке. Лучших стимулов, чем «кнут и пряник», человечеством не найдено, поэтому своевременное исполнение сделок должно основываться на выгоде своевременного исполнения обязательств и ощутимых штрафных санкциях в противном случае. Не останавливаясь подробнее на функционировании платежных систем, перейдем к рассмотрению последней из упомянутых в настоящей статье составляющих безопасности электронной коммерции в Интернете — правовой защищенности субъектов электронного документооборота.

Регистрация в сертификационном центре ключей участников электронной сделки еще не вполне обеспечивает их правовую защиту. Покупатель и продавец товаров или услуг после регистрации в центре доверия могут обмениваться файлами, зашифрованными и подписанными ЭЦП, не являясь лично знакомыми, и каждый из них может быть абсолютно уверен, что обменивается электронными документами с конкретным контрагентом, а не с каким-либо третьим лицом.

Введем некоторые определения:

Электронный документ — последовательность символов, зафиксированных на магнитном (оптическом) носителе, позволяющих произвести аутентификацию информации, содержащейся в документе, и идентифицировать эту информацию;

Информация — сведения о лицах, предметах, фактах, событиях, явлениях и процессах независимо от формы их представления. (Федеральный Закон «Об информации, информатизации и защите информации» № 24-ФЗ от 20 февраля 1995 года);

Аутентификация информации — установление подлинности информации, содержащейся в документе;

Подлинность информации — объективное свойство информации, заключающееся:

в существовании в неискаженном (неизменном) виде по отношению к состоянию, определенному её автором;

в наличии возможности доказательного определения её автора;

Идентификация информации (документа) — сопоставление информации, содержащейся в документе, условиям и/или обстоятельствам его создания, а также порождению и обоснованию действий, предпринятых на его основании.

Определение «электронного документа» не совпадает с аналогичным термином проекта федерального закона об ЭЦП, но, во-первых, закон еще не принят, и, во-вторых, для дальнейших рассуждений по нашей теме нагляднее использовать приведенную формулировку.

Ключевым фактором совокупности приведенных определений и их логической связки является порождение прав и обязанностей сторон электронного документооборота на основании информации, содержащейся в электронном документе.

Основным отличием документооборота в открытых системах, лежащего в основе электронной коммерции, от документооборота, например, в системе «Банк-Клиент» является наличие на правовом уровне связей типа покупатель-продавец без оформления между ними договора в привычной (бумажной) форме. Однако без надлежащего оформления в привычной — бумажной форме обязательств сторон по однозначной идентификации электронного документа и ряда других обязательств юридически корректное функционирование открытой системы электронного ведения бизнеса невозможно.

Выделим элемент открытой системы электронного документооборота — организатор бизнес — процессов. На рынке ценных бумаг это может быть биржа, депозитарий, в сфере страхования — страховая компания или группа компаний, в сфере электронной торговли — магазин или группа электронных магазинов и т.д.

Каждый сегмент рынка продаж услуг и товаров характеризуется типом этих услуг. Для рынка ценных бумаг это перерегистрация прав собственности на бумаги и/или организация торговли, для страхового сектора — продажа полисов, для игорного бизнеса — организация игровых процессов и обеспечение ставок и платежей и так далее. Тип товара или услуги определяет характер взаимоотношений контрагентов сделки, порядок взаиморасчетов, распределение ответственности и так далее. Следовательно, в любой системе необходим организатор бизнес — процессов в роли регулятора юридических отношений участников системы. Очевидно, одной из функций регулирующей структуры является разработка правовой базы для конкретного сегмента рынка с учетом специфики, например, обусловленной присутствием в системе центра доверия и сертификации ключей.

Совокупность юридических документов, обеспечивающих всеобъемлющую защиту участников сделок в Интернете (или любой другой открытой системе), определяющих все вопросы организационного, технологического и правового свойства можно разделить на два блока:

разграничивающие права, обязанности и ответственность каждого из участников бизнес-процессов, с одной стороны, и центра сертификации — с другой стороны;

разграничивающие права, обязанности и ответственность собственно участников бизнес-процессов.

Возможность подобного деления обусловлена непересекающимися функциями этих блоков на логическом уровне, что приводит к упрощению правовой базы в целом. Центр сертификации (регистрации) фиксирует соответствие предъявленных реквизитов участника какой-либо системы информационного обмена, иных установочных данных его открытому ключу. При наличии внешнего, нейтрального по отношению к участникам электронной торговли, хранилища уставных документов юридических и физических лиц возникает возможность заключения сделок в электронной форме.

Второй блок содержит зафиксированные на бумаге обязательства клиента Центра доверия по электронным документам, подписанным ЭЦП на ключе клиента, сертифицированном Центром.

Подобная конструкция — наличие двух регулирующих блоков требует от некоего лица, желающего участвовать в системах электронной коммерции, подписания минимального комплекта документов, на основании которых возможны юридически защищенные сделки с контрагентами без непосредственного (на бумаге) заключения договоров. Заметим, что весь пакет бумажных документов, определяющих юридическое регулирование электронной коммерции в открытой системе, может формироваться и подписываться в едином функциональном центре по регистрации участников, сертификации ключей, техническому обеспечению информационного обмена, решению юридических задач, например, арбитражу при конфликтах.

Заявляемая сейчас электронная коммерция в Интернете на самом деле не является таковой. Реализован только первый элемент — витрина или еще проще — доска объявлений, на которой потенциальный покупатель может ознакомиться с ассортиментом предлагаемых к реализации товаров и услуг. Полномасштабный бизнес в электронном виде не реализуется по разным причинам. Во-первых, существуют законодательные ограничения, которые носят объективный характер. Примерами этого могут служить: узаконенное требование оформления страхового полиса исключительно в бумажном виде или возможность открытия счетов в банках только на основании бумажных оригиналов учредительных и иных документов заявителя. Ликвидация подобных препятствий возможна только в результате изменения ряда законов и подзаконных актов, что является процессом трудным и долгим. Во-вторых, имеются причины субъективные, то есть, не обусловленные законодательством, а связанные с отсутствием сложившейся практики решения ряда задач. Примерами могут служить:

отсутствие методологии построения открытых систем электронного бизнеса, в которых равнозащищены все участники сделок;

отсутствие механизмов комплексной экспертизы технологий электронного документооборота;

отсутствие стандартов страхования рисков электронной коммерции, обусловленных некорректным применением средств электронной цифровой подписи.

Перечисленные проблемы разрешимы в рамках действующего законодательства, о чем свидетельствует определенный прогресс в создании и распространении в различных сферах деятельности безопасных информационных технологий.

 

 

 

 

 

 

 

ТЕСТОВОЕ ЗАДАНИЕ

 

1. Каким ключом необходимо зашифровать документ, что его мог прочитать только адреса:

а) собственным открытым ключом;

б) открытым ключом адресата;

в) открытым ключом третьей стороны.

2. Нужно ли шифровать ЭЦП?

а) нет;

б) да;

в) не всегда.

3. ЭЦП под электронным документом необходима для:

а) идентификации подписавшего лица;

б) защиты документа от подделки;

в) для идентификации и защиты от подделки.

4. Каким системам ЭЦП можно доверять согласно федеральному закону «Об электронной цифровой подписи»?

а) сертифицированным;

б) не сертифицированным;

в) любым.

5. Юридическое лицо, которое осуществляет изготовление сертификатов ключей ЭЦП, называется:

а) проверяющий центр;

б) удостоверяющий центр;

в) ключевой центр.

6. В состав функций центра сертификации не входит:

а) распространение средств ЭЦП по обращению пользователей;

б) подтверждение подлинности ЭЦП в электронном документе;

в) оказание бесплатных услуг физическим лицам.

7. При объединении в цепочки, вышестоящий центр сертификации выдает нижестоящему:

а) лицензию;

б) сертификат;

в) Печать.

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

 

СПИСОК ИСПОЛЬЗОВАННОЙ ЛИТЕРАТУРЫ

 

  1. ФЗ «Об электронной цифровой подписи» от 10.01.2002 № 1-ФЗ // СЗ РФ. 2002. № 2. Ст. 127
  2. Алексунин В.А., Родигина В.В. Электронная коммерция. М., 2005.
  3. Гаврилов О. Курс правовой информатики. М., 2009.
  4. Балабанов И.Т. Электронная коммерция. СПб., 2001.
  5. Информатика для юристов и экономистов / Симонович С.В. и др.СПб, 2008.
  6. Козье Д. Электронная коммерция. М., 2003.
  7. Основы электронной коммерции / Под ред. С.Ю. Глазеева. М., 2001.
  8. Фигурнов В.Э. IBM РС для пользователя. — М.: ИНФРА, 2009.
  9. Юрасов А.В. Электронная коммерция. М., 2003.

     

     

     


     

<

Комментирование закрыто.

MAXCACHE: 0.94MB/0.00053 sec

WordPress: 23.98MB | MySQL:122 | 2,158sec