Geum.ru

Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материалаИсследование

Содержание


2.9 Уведомление Комиссии (Статья 11)
Статья 11: Уведомление Комиссии
Глава 3. Вопросы стандартизации в сфере электронных подписей
3.1 Система стандартов EESSI
3.1.2 Результаты стандартизации EESSI
Подобный материал:
1   ...   15   16   17   18   19   20   21   22   ...   59

2.9 Уведомление Комиссии (Статья 11)


Статья 11 Директивы требует от стран-членов «уведомлять Комиссию и другие страны-члены» о следующих вопросах:
  • Национальные системы добровольной аккредитации;
  • Национальные органы аккредитации и надзора;
  • Аккредитованные ПСУ.

Ко времени написания данного документа только Австрия, Дания, Франция, Германия, Нидерланды и Великобритания представили Комиссии информацию по всем или части перечисленных выше вопросов. В настоящий момент невозможно ответить на вопрос, была ли эта информация передана другим странам-членам; однако это кажется маловероятным. Все прочие страны-члены ЕС до настоящего момента не делали никаких уведомлений. Это трудно понять, поскольку процесс извещения сам по себе не связан с какими бы то ни было сложными правилами (достаточно отправить одной Комиссии неофициальное сообщение электронной почты).
Статья 11: Уведомление Комиссии

АВСТРИЯ
да

бельгия
да

дания
да

финляндия
нет

франция
да

германия
да

греция
нет

ирландия
нет

италия
нет

люксембург
нет

нидерланды
да

португалия
нет

испания
нет

швеция
нет

великобритания
да


Глава 3. Вопросы стандартизации в сфере электронных подписей


Исследование основ регулирования в сфере электронных подписей в Европе было бы неполным без обзора процессов стандартизации. Одновременно с выдачей задания на разработку Директивы Европейская комиссия также дала поручение европейским органам стандартизации, что привело к созданию Европейской инициативы в области стандартизации электронных подписей (EESSI). Более того, в самой Директиве присутствуют ссылки на «общепризнанные стандарты», что дает Европейской комиссии возможность публиковать регистрационные номера таких стандартов в Официальном бюллетене.

Европейская комиссия также приняла ряд мер по стимулированию развития стандартизации и улучшению совместимости в сфере электронных подписей. Некоторые мероприятия были проведены и на уровне стран-членов.

В третьей главе исследования наша группа анализирует эти инициативы по стандартизации и их влияние на состояние рынка.

3.1 Система стандартов EESSI

3.1.1 История вопроса


Директива определяет требования к квалифицированным сертификатам, квалифицированным провайдерам сертификационных услуг и защищенным устройствам для создания подписей. Также Директива позволяет Комиссии устанавливать и публиковать регистрационные номера общепризнанных стандартов на продукты для электронной подписи в сфере действия этих требований. Следовательно, законы стран-членов должны презюмировать соответствие требованиям Директивы, если один из таких продуктов отвечает опубликованным стандартам.

В целях создания современных стандартов, обеспечивающих полный и эффективный ввод в действие единой регулятивной основы, Европейская комиссия в рамках Совета по стандартизации в сфере ИКТ (ICTSB) обратилась к представителям бизнеса и европейским органам стандартизации с просьбой провести согласованный анализ потребностей в мероприятиях по стандартизации, которые бы поддерживали важнейшие требования Директивы в отношении выводимых на рынок продуктов и услуг в сфере электронной подписи.

Первое исследование охватило действующие стандарты и инициативы на глобальном и региональном уровне, как в официальных органах по стандартизации, так и в производственных объединениях. Исследование выявило пробелы и потребность в дополнительных мероприятиях по стандартизации во всех формах, то есть в стандартах, спецификациях, соглашениях, семинарах и иных формах выработки консенсуса. На основе этого анализа была разработана рабочая программа.

Чтобы обеспечить запуск и координацию мероприятий, ICTSB при поддержке Европейской комиссии дала начало открытой инициативе, в которую вошли промышленники, игроки рынка, государственные организации, а также эксперты в сфере права и технологии: Европейской инициативе в области стандартизации электронных подписей (EESSI).

В результате EESSI свела свои первоначальные рекомендации (июль 1999 года) в отчет, содержащий обзор требований к мероприятиям по стандартизации, а также подробную рабочую программу по выполнению этих требований. В программе были определены три ключевые области:
  • Стандарты качества и функциональные стандарты для провайдеров сертификационных услуг (ПСУ);
  • Стандарты качества и функциональные стандарты на продукты для создания и проверки подписей;
  • Требования по стандартизации электронных подписей, обеспечивающие совместимость.

Всю работу, относящуюся к стандартизации на европейском уровне, должны были выполнить европейские центры стандартизации CEN/ISSS и ETSI в сотрудничестве, если это требуется, с другими организациями.

Работа была начата в 2000 году, и этими организациями был разработан и принят целый ряд стандартов. Подробные сведения о проделанной работе и документацию можно найти по следующим адресам:

Текущие документы EESSI сейчас публикуются в виде Соглашений рабочих групп CEN (CWA) и Технических спецификаций ETSI (TS). В вопросах, имеющих прямое отношение к Приложениям Директивы были разработаны следующие стандарты:

Для требований Приложения II f):
  • CWA 14167-1 (июнь 2003): Security requirements for trustworthy systems managing certificates for electronic signatures – Part 1: System Security Requirements (Требования к безопасности защищенных систем управления сертификатами для электронных подписей. Часть 1: Требования к безопасности системы)
  • CWA 14167-2 (март 2002): Security requirements for trustworthy systems managing certificates for electronic signatures – Part 2: cryptographic module for CSP signing operations – Protection Profile (MCSO-PP) (Требования к безопасности защищенных систем управления сертификатами для электронных подписей. Часть 2: криптографический модуль ПСУ для операций над подписями – Параметры защиты)

Для требований Приложения III:
  • CWA 14169 (март 2002): Secure Signature-Creation Devices (защищенные устройства для создания подписей)

К сожалению, разработка этих стандартов потребовала больше времени, чем предполагалось. Работа над CWA 14167-1 была отложена из-за длительных дискуссий и разногласий о возможности использовать FIPS 140-1 в качестве стандарта на криптографические модули. Работа над CWA 14169 длительное время задерживалась из-за разногласий о том, какой Уровень оценки из Общих Критериев необходимо использовать для Параметров защиты. В результате два стандарта были представлены Комиссией в Комитет 9 Статьи, который выбрал CWA 14179, использующий EAL4+.

Ссылки на данные стандарты были опубликованы по Решению № 2003/511/EC от 14 июля 2003 года.50

3.1.2 Результаты стандартизации EESSI


Начало работы EESSI над стандартами сопровождалось дискуссией различных сторон на тему того, что должно входить в сферу деятельности EESSI. Некоторые заинтересованные группы хотели, чтобы EESSI ограничила свою работу стандартами, относящимися к Приложениям Директивы. Это явно было основной целью первоначальной рабочей программы EESSI, однако данная программа включала и ряд мероприятий по обеспечению совместимости, которые впоследствии показали свою значимость. Если уж на то пошло, EESSI теперь можно критиковать за то, что она недостаточно способствовала совместимости, результатом чего стала разработка некоторыми странами собственных стандартов совместимости.

Многие страны сейчас способствуют, применяют или планируют использовать некоторые из документов EESSI. Публикация ссылок на CWA, относящиеся к Директиве, как сказано выше, внесла ясность в вопрос о том, каким стандартам безопасности следовать для выполнения требований Директивы. Стандарты совместимости, разработанные EESSI, также были приняты многими участниками рынка в качестве стандартов де-факто. Впрочем, придется еще проделать большую работу, чтобы содействовать применению уже действующих стандартов совместимости.

Copyright © 2023. All rights Reserved.