Власти задумали передел на рынке электронной подписи
Правительство предлагает увеличить минимальный размер финансовых обеспечений, которые должны иметь удостоверяющие центры электронной подписи на случай покрытия убытков, с 1,5 млн руб. до 50 млн руб. Эксперты предупреждают, что это приведет к резкому сокращению числа участников рынка.Минкомсвязи опубликовало проект поправок в принятый в 2011 г. Закон «Об электронной подписи». Документ вносится правительством, но предварительно должен пройти общественную экспертизу, которая завершится 29 марта. Основное изменение заключается в резком увеличении требований к аккредитованным удостоверяющим центрам (АУЦ) электронной подписи. Напомним, что удостоверяющие центры не обязаны проходить аккредитацию, но только АУЦ могут выдавать квалифицированные электронные подписи, которые признаются аналогом собственноручной во всех случаях, кроме специально оговоренных в нормативных актах.
Минимальный размер чистых активов АУЦ должен будет составить 10 млн руб. вместо 1 млн руб. А минимальный размер финансового обеспечения, которое должен иметь такой АУЦ, предлагается увеличить с 1,5 млн руб. до 50 млн руб. Обеспечение необходимо на случай покрытия убытков третьим лицам, связанным с их доверием к информации, содержащейся в выданных такими центрами квалифицированных сертификатах (используются для проверки электронной подписи) либо в реестрах этих сертификатов.
Авторы законопроекта объясняют эти идеи желанием повысить ответственность АУЦ за невыполнение требований закона. Но участники рынка удивлены такими предложениями. К настоящему моменты Минкомсвязи аккредитовало 169 центров, однако только единицы из них смогут соответствовать новым требованиям, предупреждает руководитель одного из АУЦ. В качестве примера он приводит УЦ "СКБ Контур".
«Требования об увеличении размера минимальной гарантии для АУЦ представляется странным: это приведет к резкому сокращению числа таких центров и отрицательно скажется на развитии рынка, - соглашается один из юристов, специализирующийся на ИТ. - Тем более странно, что, по крайней мере, в публичной плоскости не было информации о взыскании убытков с удостоверяющих центров. Такое требование было бы разумно вводить только для центров, обслуживающих государственные структуры».
Также АУЦ должны будут вести реестр не только выданных, но и аннулированных квалифицированных сертификатов, ровно как и обеспечить свободный доступ к соответствующей информации. А квалифицированные сертификаты должны будут выдаваться АУЦ только с использованием сертификата от головного удостоверяющего центра (Минкомсвязи), что должно способствовать созданию прозрачной системы удостоверяющих центров.
Квалифицированная электронная подпись (выдается аккредитованным удостоверяющим центром) должна будет содержать информацию о времени подписания электронного документа, что, по мысли авторов законопроекта, повысит доверие к электронным подписям.
В то же время требования к форме квалифицированных сертификатов будет устанавливать не ФСБ, а правительство. Авторы законопроекта объясняют это тем, что данный вопрос, с одной стороны, является социально значимым, а — с другой стороны — не относится к сфере безопасности. А ограничения на использование квалифицированных сертификатов сможет устанавливать только их владелец — операторам информационных систем общего пользования будет запрещено это делать.
Еще одно изменение, которое предлагается ввести в закон — это введение новых понятий. Под «единым пространством доверия» планируется понимать совокупность взаимосвязанных доверенных сервисов, в которой обеспечивается признание подлинности электронной подписи при электронном взаимодействии федеральных, региональных и муниципальных органов государственной власти, организаций и физических лиц. А под «доверенными сервисами» – сервисы, связанные с проверкой электронного документа, в том числе электронной подписи, а также с процессами аутентификации, авторизации и идентификации участников документооборота.
Руководитель удостоверяющего центра "СКБ Контур" Никита Баранов приветствует новые правила: "Освободили ФСБ от несвойственной им работы – это хорошо (раньше им приходилось вникать в потребности пользователей, а это им плохо удавалось). Минкомсвязи дали право проверять и осуществлять техническое регулирование (раньше они могли только устанавливать правила, что без контроля является абсурдом). Позволили средствам подписи показывать подписанные данные с помощью других устройств или ПО (по-старому получалось, что средство подписи должно было само отображать всю информацию, не зависимо от формата, а это или бинарный код из 0 и 1 или реализация всех форматов от txt до ebook в самом средстве). Обязали все системы принимать квалифицированный сертификат и запретили устанавливать какие-либо ограничения (ранее любая система, пользуясь лазейками, могла поставить барьер, и либо УЦ выкручивался - часто за деньги - либо пользователь получал 2 и более сертификатов)".