Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 3.2 Потребность в стандартах 3.2.1 Потребность в стандартах, связанных с квалифицированными электронными подписями 3.2.2 Потребность в стандартах совместимости 3.3 Презумпция соответствия для стандартов на квалифицированную электронную подпись

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

3.2 Потребность в стандартах

По отношению к Директиве об электронных подписях на самом деле существуют две области, в которых действительно требуются стандарты: стандарты безопасности, относящиеся к квалифицированным электронным подписям и стандарты совместимости.

3.2.1 Потребность в стандартах, связанных с квалифицированными электронными подписями

Как уже было сказано ранее, в Статье 3.5 указывается, что комиссия может устанавливать и публиковать регистрационные номера общепризнанных стандартов на продукты для электронной подписи в своем Официальном бюллетене (OJ). Страны-члены затем должны презюмировать соответствие продукта для электронной подписи требованиям Приложения II (f) и Приложения III, если он отвечает данным стандартам. В следующем разделе будет описано, как презумпция соответствия таким стандартам была выполнена в странах Европы.

Тем не менее, следует отметить несколько моментов:

• Действующие стандарты, включенные в OJ, относятся только к выдаче квалифицированных сертификатов и к защищенным устройствам для создания подписей. Тем самым они ограничиваются требованиями к созданию квалифицированных электронных подписей.
  
• Действующие стандарты, включенные в OJ, представляют собой лишь один из способов обеспечить соответствие требованиям. Надеемся, что последует разработка и принятие Комиссией и других стандартов.
  
• Действующие стандарты, включенные в OJ, должны расцениваться не как минимальные обязательства, обеспечивающие выполнение требований, но скорее как один из способов безопасного выполнения всех требований.
  

Те стандарты, которые были включены в Официальный бюллетень и разработаны EESSI, представлены в виде Соглашений рабочей группы CEN (CWA). Тем не менее, CEN Workshop — это не постоянная организация, и действующая в настоящее время CEN E-SIGN Workshop должна закрыться в начале 2004 года. Это означает, что, прекратив свое существование, рабочая группа не сможет поддерживать соответствие уже согласованных стандартов изменениям рынка и технологий. EESSI полностью осознает этот факт и занимается поиском решений (например, действующие CWA могут быть переданы более долговременной организации, либо их статус может быть повышен до Европейских Норм (EN) — в этом случае стандарты будут обновляться в ходе регулярных процедур стандартизации).

3.2.2 Потребность в стандартах совместимости

Декларация факта (5) говорит о необходимости «содействовать обеспечению совместимости продуктов для электронной подписи». Хотя и не указано, кто конкретно должен содействовать, можно предположить, что содействие ожидается со стороны Комиссии, стран-членов и бизнеса. Для обеспечения совместимости требуются стандарты. В сфере электронных подписей существует ряд стандартов на основе технологии PKI:

• ISO/ITU X.509: Содержит базовый формат сертификата
  
• IETF PKIX RFC 2459/3280: Параметры сертификата X.509 и списка аннулированных сертификатов
  
• IETF PKIX RFC 3039: Параметры квалифицированного сертификата
  

Два первых базовых стандарта совместимости в настоящее время используются практически всеми игроками рынка электронных подписей на основе PKI. Третий стандарт сейчас принимается в качестве стандарта на выдачу квалифицированных сертификатов. Тем не менее, и X.509, и стандарты PKIX являются очень открытыми и могут быть по-разному интерпретированы. Из-за этого возникает необходимость дальнейшей детализации стандартов в виде наборов параметров. Такая работа проводилась и в системе EESSI, что привело к появлению ряда стандартов, относящихся к электронным подписям, основанным на технологии PKI. Обеспечение совместимости и применение стандартов для этих целей в странах Европы описываются в последующих разделах данной главы.

3.3 Презумпция соответствия для стандартов на квалифицированную электронную подпись

Большинство стран-членов ЕС (Австрия, Бельгия, Дания, Финляндия, Германия, Греция, Португалия, Испания и Швеция) прямо заявляют о том, что соответствие стандартам на электронную подпись, номера которых были опубликованы в Официальном бюллетене, подразумевает презумпцию соответствия аналогичным требованиям национальных законов или правил. Кроме этого, некоторые страны, не входящие в ЕС (Латвия, Польша, Словения, Исландия и Норвегия) примерно так же, как и страны-члены ЕС, признают стандарты, включенные Европейской комиссией в Официальный бюллетень.

Вместо того чтобы заявлять о презумпции соответствия для стандартов, вошедших в OJ, некоторые страны (Франция, Италия, Нидерланды, Литва, Болгария, Румыния, Швейцария) либо прямо ссылаются на отдельные стандарты EESSI или другие международные стандарты, либо публикуют стандарты EESSI в качестве национальных. Так, в Испании CWA 14169 был переведен в качестве национального стандарта.

Ирландия и Великобритания не упоминают о презумпции соответствия для стандартов из OJ и не указывают какие-либо другие стандарты.

Некоторые страны предписывают использование отдельных стандартов:

• Нидерланды устанавливают презумпцию соответствия требованиям, используя ряд стандартов EESSI. Опубликовано руководство по применению стандарта TS 101 456.
  
• Франция в своей схеме аккредитации предписывает CWA 14169 для SSCD и французский вариант ETSI TS 101 456 — для ПСУ.
  
• Дания предписывает в качестве обязательных отдельные части стандарта ETSI TS 101 456.
  
• Литва адаптировала ряд стандартов EESSI и ISO в качестве обязательных национальных стандартов.
  
• Словения обязала использовать всемирно применяемый американский стандарт на криптомодули (FIPS 140-1) и проводить оценку программного обеспечения ПСУ по Общим Критериям.
  
• Польша приняла дополнительный стандарт на сертификационные политики, связанный с требованиями к безопасности.
  

В некоторых случаях страны указывают стандарты EESSI в качестве добровольных.

Ирландия и Великобритания не указывают никакой презумпции для стандартов, вошедших в Официальный бюллетень, и не упоминают каких-либо других стандартов.