|
|
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
1. Похоже на выдержки из Законопроекта, разрабатываемого сотрудниками МИФИ, которые одновременно являются и сотрудниками ФАПСИ. (С другой командой разработчиков <Гос. дума, комитет по информационной безопасности> никак не общаются, не считая их достаточно компитентными.)
2. Определение ЭЦП в п.2 допускает расширенное толкование, в том числе ЭЦП может считаться и точка в конце текста.
3. Серьезным недостатком является отнесение ЭЦП к средствам защиты информации. Это совпадает с желанием ФАПСИ определить ЭЦП как шифровальное средство и монополизировать ее разработку, внедрение, сопровождение и т.д. Именно с подачи ФАПСИ в Основных юридических "блоках" проекта закона Об ЭЦП появляются некие "сертифицированные" средства (п.4.1): Электронный документ приобретает юридическую силу при ... наличии в средстве электронной вычислительной техники или ином электронном средстве обработки, хранения и передачи информации, в памяти которого хранится электронный документ, сертифицированных средств защиты информации.
4. Непонятно почему в п.4.2 упомянут только автор документа. Необходимость формирования ЭЦП должна возникать при внесении в документ изменения любым лицом.
5. Сертификация ключей проверки подписи (п.4.4) -- лишь одна из технологий функционирующих в системах ЭЦП и ее появление в Законопроекте на первый взгляд кажется странным, однако следующим шагом контролирующих органов станет создание "уполномоченных" государством сертификационных центров.
6. П.5 те же яйца (что и п.4) только в профиль. Например, одно из условий юридической силы ЭЦП: она должна быть выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.
7. П.8 (Порядок выработки закрытых ключей электронной цифровой подписи) и п.9 (Лицензирование деятельности по подтверждению подлинности электронной цифровой подписи) говорят сами за себя.
П. 8 открывает дорогу к созданию подконтрольных государству центров выработки и распределения ключей, а п.9 -- к созданию центров, в которых будут разрешаться спорные вопросы. Со временем обе эти задачи благородно возьмется выполнять ФАПСИ (см. п.12.2). Да, вот беда не нужен никому ключ от чужого дяди, а споры может разбирать и суд на основе процедуры, установленной законом. Кстати, об этой процедуре не сказано ни одного слова.
Вообще-то все уже прописано в ГК, Положении ЦБ об ЭЦП, Законе об информатизации, Письмах арбитражного суда, что и нужно свести в Законе. Не хватает только стандартов на оформление электронных документов, позволяющих использовать определенные стандартом процедуры формирования ЭЦП так, чтобы разные реализации стандартов ЭЦП были совместимы (т.е. есть процедура формирования, но нет процедуры проставления ЭЦП в документ).
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
цифровая подпись выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.Действительно очень смешно :-D Интересно, кто-нибудь сможет определить при помощи какого средства я выработал вот такую цифровую подпись mEQL4QgCgyyBgzS7et2u8uryk. Более простой пример: цифра "5" выработана при помощи сертифицированного средства или нет? А вот еще: Документ в электронной форме отображения (электронный документ) -- сведения, представленные в форме, воспринимаемой средствами электронной вычислительной техники -- просто классическое, по своей бессмысленности определение. Интересно, а документ на бумаге воспринимается средствами электронной ВT? Нет? А если его отсканировать? В общем, в чем нельзя упрекнуть авторов законопроекта, так это в компетентности. Что же, давайте и дальше делать вид, что законотворец что-то понимает в тех вещах которые пытается регулировать. А мы будем делать вид, что никто и не занят разводом лохов среди лиц, находящихся под юрисдикцией Российской Федерации.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Увы, вопрос гораздо сложнее: большинство формулировок закона пишутся не для программистов, а для суда. Согласно данной формулировке, суд примет или не примет подпись к рассмотрению в зависимости от того, "сертифицированным средством электронной подписи" или чем иным эта подпись была сделана. Тексты законов нужно читать так же, как программы -- пословно, причем важна каждая запятая. Обычно законы пишут не дураки, а люди с различными интересами. Поэтому нужно критиковать не формулировки (держу пари, что в этих формулировках больше смысла, чем непосвященный видит с первого взгляда), а заложенные в эти формулировки принципы. А вот принципы очень даже стоит покритиковать -- по содержанию, а не по форме.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Анатолий! К сожалению, я не обладают достаточными знаниями и навыками, для анализа формулировок законопроекта и тем более "тайных смыслов", скрывающихся за ними. Я высказал свое, если угодно, дилетантское в юридическом смысле мнение, суть которого в следующем. По-моему, отличие хорошего закона от плохого определяется не тем насколько жестко или либерально он регулирует те или иные действия. Хороший закон " более полно, более адекватно отражает действительность, которую он пытается регулировать. Плохой закон строится на заблуждениях, неверном восприятии действительности каким-либо человеком или группой лиц. Такой закон просто не будет работать, или приведет к непредсказуемым последствиям. Предлагаемый законопроект, как раз и строится на каких-то диких легендах и мифах о цифровой подписи. Можно считать цифру неотчуждаемой от ее носителя, или программы, которой она создана. Можно разделять какие угодно другие заблуждения, но все это вряд ли это повлияет на объективные закономерности развития информационных технологий. Авторы либо просто не понимают сути цифровой информации, либо делают вид, что не понимают. Возможно, они и преследуют некоторые неочевидные цели, но с большой вероятностью они не сумеют их достигнуть, как это уже не раз случалось, потому как такие цели тоже, как правило, иллюзорны. Imho, проблема не в том, что какие-либо группы людей не анонсируют свои цели. Наоборот, скорее всего, они просто не могут их грамотно сформулировать (хотя бы для себя), не могут предложить реальных путей их достижения, в результате: "Хочется чего-то большого, а чего именно не понятно, наверное, закона о цифровой подписи." :-)
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Авторы законов о цифровой подписи рассматривают не программистскую, а реальную жизненную (и окрашенную в юридические цвета) ситуацию. Когда они пишут "сертифицированное средство", то имеют ввиду и сертификационный орган, и средство (вовсе необязательно программное!). Замечу, что реальная жизнь компьютерной тусовки совсем не похожа на жизнь юристов и (сильно отличающихся от юристов) судей и адвокатов. Разный слэнг, разные ТИПЫ МЫШЛЕНИЯ. Поэтому законы обычно касаются ПРОЦЕДУР -- и, как правило, точно описывают свою область применения. Скажем, ежели Вы пишете на бумажке цифру "5", то суд вас потом по этому закону не защитит. А ежели на моей бумажке сертифицированными средствами (необязательно компьютерными!) написано 2345673456789 -- то суд меня защищать будет. И так далее: программисты отдыхают. Смею заверить, что в рядах любых команд писателей законов достаточное количество людей, понимающих про цифровую подпись. Но некоторые люди пытаются подтащить под это СИЛЬНУЮ КРИПТОГРАФИЮ, а другие -- любые пароли из трех букв. Первые аппелируют к разуму, а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
... а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии... А Вы не преувеличиваете? То что SWIFT не откажется от процедуры разбирательства спорных ситуаций в суде это возможно. Но сколько у него сейчас клиентов в стране? Полторы две тысячи не больше. И нужна ли им такая услуга? Думаю, вряд ли, учитывая, что значительная часть банков используют еще телексно-телетайпную связь, при которой вообще нельзя серьезно говорить безопасности, какая уж там цифровая подпись. А вот то что платежные системы с использованием пластиковых карт могут быть заинтересованы в таком законе, мне вообще кажется невероятным. Одним словом, возможно, что пока программисты отдыхают кто-то действительно пытается продвинуть свои интересы при помощи закона. Но главный вопрос, лично у меня, все равно остался: А насколько адекватно этот кто-то понимает в чем состоят его интересы? Не нафантазировал ли он опять себе молочных рек с кисельными берегами?
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
У меня есть большой опыт участия в рабочих группах Госдумы РФ. Смею заверить, что большинство участников рабочей группы очень хорошо понимают и отстаивают свои интересы. Так же они очень хорошо понимают и предотвращают отстаивания чужих интересов. До 50% времени в рабочих группах уходит именно на прояснение вопроса, чьи (часто ведомственные--госорганов, или групп населения, или отраслевые) интересы затрагивает тот или иной пункт Закона. И всегда находятся пара-тройка "экспертов" типа Вас, которые протаскивают "интересы" какой-либо технологической сферы. Это обсуждается далее так: интересы компаний, имеющие финансовые интересы в данной сфере. Скажем, если требовать сильного крипто в Законе, то обязательно вслух будут проговорены интересы тех компаний, которые этим крипто потом будут торговать, программистов, которые это крипто будут ставить и т.д. Далее эти интересы (и объемы рынка) будут сравнивать с интересами (и объемами рынка -- то бишь объемами транзакций) полутора тысяч свифтовцев, и вовсе необязательно после этого выиграют программисты. Если будут сидеть смарткарточники, то в дискуссии программисты будут отдыхать, и будет обсуждаться наезд карточников на свифтовский бизнес и бизнес карточек с магнитной полосой -- и так далее. Все это медленно и с расстановкой. Кроме того, сам Закон потом не будет даже отражать достигнутых содержательных договоренностей, а будет отражать интересы некоторых депутатов или глав ведомств, заинтересованных в усилении регулирования. Законописание -- удел гуманитариев, программисты отдыхают. Именно поэтому кто-то из шифропанков писал: "Не пиши Законы, пиши код." Это надежнее. После этого интересы программистов-технологов будет защищать код, а не суд. Иногда это лучше, иногда хуже. И т.д. и т.п. -- законописание (особенно в области крипто) довольно сложная тема, и кавалерийским "технократическим" наскоком ее не возьмешь.
-
Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"
Во время работы Форума РИФ'99 Гутабанк и Автобанк объявили о создании рабочей группы по продвижению технологий Электронной Цифровой Подписи ЭЦП в России.
|