Исследование было проведено командой под руководством Джоса Думортье, профессора Факультета права и директора Междисциплинарного центра права и информационных технологий (icri) в K.

Вид материала

Исследование

Содержание 1.4 Продукты для электронной подписи (Статьи 3.4, 3.5, 3.6 и 4.2) 1.4.2 Защищенные устройства создания подписей 1.4.3 Защищенные устройства для проверки подписи

Подобный материал:

• Программа для поступающих в магистратуру юридического факультета по специальности 6N0302, 233.7kb.
• Андрея Леонидовича Козика Приветственное слово декана юридического факультета уо фпб, 136.39kb.
• «Применение информационных технологий в исследовании проблем международного права», 229.79kb.
• Программа итогового (государственного) междисциплинарного экзамена Направление 521400, 379.29kb.
• «Применение информационных технологий в исследовании проблем международного частного, 275.51kb.
• Инженерно- физический факультет высоких технологий Инженерно-физический факультет высоких, 561.11kb.
• Тематика курсовых работ по теории государства и права для студентов заочного отделения, 31.51kb.
• Программа итогового междисциплинарного государственного экзамена по специальности 030501, 700.36kb.
• М. В. Ломоносова Кафедра истории, социологии и права Тесты, 245.78kb.
• Программа итогового междисциплинарного экзамена по специальности 080105 «финансы, 564.94kb.

1.4 Продукты для электронной подписи (Статьи 3.4, 3.5, 3.6 и 4.2)

1.4.1 Свободное обращение продуктов для электронной подписи

Статья 4.2 Директивы побуждает государства-члены обеспечивать свободное обращение продуктов для электронной подписи, соответствующих Директиве, на внутреннем рынке. В Декларации факта (5) говорится: «Необходимо содействовать обеспечению совместимости продуктов для электронной подписи. Согласно Статье 14 Договора, внутренний рынок включает в себя территорию без внутренних границ, на которой гарантируется свободное перемещение товаров. В отношении продуктов для электронной подписи необходимо выполнить ряд существенных требований, обеспечивающих свободное движение по внутреннему рынку, а также доверие к электронным подписям, без ущерба для правил в отношении товаров двойного назначения».²¹

В статье 3.5 указано, что Комиссия может согласно процедуре, изложенной в Статье 9, устанавливать и публиковать регистрационные номера общепризнанных стандартов на продукты для электронной подписи в Официальном бюллетене Европейского сообщества.²² Государства-члены должны презюмировать наличие соответствия требованиям, изложенным в Приложении II, пункт (f) и Приложении III, если продукт для электронной подписи отвечает этим стандартам.

Статья 3.5 не содержит каких-либо обязательств Европейской комиссии. В ней лишь говорится о возможности, а то, использовать ли эту возможность, зависит от Комиссии. Если Комиссия воспользуется данной возможностью, ей придется следовать процедуре, изложенной в Статье 9 Директивы. На практике это означает, что Комиссия нуждается в рекомендации «Комитета Статьи 9» для того, чтобы публиковать регистрационные номера стандартов.

Согласно Статье 3.5, Европейская комиссия может устанавливать и публиковать регистрационные номера «общепризнанных» стандартов. Определение «общепризнанный» в контексте Статьи 3.5 должно трактоваться обычным образом в контексте стандартизации.²³ «Общепризнанный» относится к степени признания со стороны осведомлённых людей. Общепризнанный стандарт отражает «современное положение дел».

Достаточно непросто определить точные критерии «общепризнанности» или «современного положения дел». Данное затруднение, впрочем, никогда не мешало европейским и национальным законодателям использовать это определение.

Пример можно найти в Директиве об общей безопасности продукции, где при определении безопасности продукта упоминаются кодексы добросовестной практики в отношении здоровья и безопасности для конкретного сектора, современное состояние дел и технологии, а также уровень безопасности, разумно ожидаемый потребителем.²⁴

В Статье 7 Директивы об ответственности за товары²⁵ можно найти другой пример. Дефектный товар определен как «не обеспечивающий уровень безопасности, который человек имеет право ожидать». В Директиве о медицинских устройствах²⁶ для определения существенного требования используется понятие «общепризнанное современное положение дел». В Директиве о прессовом оборудовании можно прочесть следующее: «Существенные требования, изложенные в настоящей Директиве, должны интерпретироваться и применяться с учетом современного положения дел и действующей во время разработки и производства общей практики, а также с техническими и экономическими описаниями, отвечающими высокому уровню защиты здоровья и безопасности».²⁷

Решение Конституционного суда Германии по делу Калкара²⁸ прояснило, что понятие «современное положение дел» может иметь несколько значений. Оно может относиться к тому, что «является технологически возможным». В таком смысле определение указывает на границы науки и технологии на данный момент. Но термин также может означать «доминирующие взгляды в среде технических специалистов-практиков». Будучи использованным в этом смысле, соответствие «современному положению дел» должно определяться иным способом. Суд Германии очень хорошо разъяснил, что, даже если техническое решение не отражает последние достижения науки, оно все еще может считаться наиболее приемлемым решением среди большинства экспертов в данной области. В идеале критерии следует совместить. Иными словами, понятие «общепризнанный» должно относиться к научным и техническим усовершенствованиям и, одновременно, к тому, что широко используется большинством типичных специалистов-практиков.

Вследствие этого, стандарт EN 45020 правильно определяет «современное положение дел» как «достигнутую на определенный момент времени стадию развития технических возможностей в том, что касается продукции, процессов и услуг, на основе свода соответствующих достижений науки, технологии и опыта».

Означает ли это, что стандарт никогда не может быть назван «общепринятым», пока не будет широко применяться? С нашей точки зрения, это не является обязательной предпосылкой. В ходе официального обсуждения DIN 32615 немецкая юриспруденция правильно определила, что критерий «пригодности к применению» должен в идеале оцениваться путем обзора широко распространенных применений стандарта. Когда это невозможно, например, в случае с недавно разработанной технологией, которая только начинает использоваться на практике, принятие стандарта типичными специалистами-практиками может также быть продемонстрировано фактом участия этих специалистов в разработке стандарта. Иными словами, оценка процесса стандартизации может, особенно в отношении разработанных в последнее время технических решений, служить частью демонстрации, того, что стандарт может квалифицироваться как «общепризнанный». Два требования, которые должны быть выполнены в процессе стандартизации, являются в этой связи особенно важными:

• Открытость: процесс должен быть открытым для участия всех заинтересованных сторон на не дискриминационных и честных условиях на техническом уровне и на уровне политики;
  
• Прозрачность: ясные и общеизвестные процедуры, с самого раннего момента — широкий доступ к соответствующим документам и открытый доступ к результатам.
  

Во всех случаях, когда общее признание стандарта не демонстрируется его широким применением, значение приобретают иные критерии, такие как «открытость» и «прозрачность», относящиеся к процессу разработки стандарта. Для того, чтобы стандарт был квалифицирован как «общепринятый», оценка процесса стандартизации должна сочетаться с технической оценкой самого стандарта с целью проверки того, является ли он технически современным.

Так как следствием публикации регистрационных номеров стандартов Европейской комиссией является презумпция того, что продукт, отвечающий этим стандартам, соответствует требованиям, которые изложены в Приложении II пункт (f), и Приложении III, область применения Статьи 3.5 ограничена продуктами для электронной подписи, которые должны отвечать требованиям, определенным в этих Приложениях. Это означает, что публикация регистрационных номеров имеет значение только для 1) надёжных систем, используемым «квалифицированными» провайдерами сертификационных услуг (Приложение II, пункт (f)) и 2) защищенных устройств для создания подписей, о которых говорится в Приложении III.

Хотя Директива и позволяет Европейской комиссии устанавливать и публиковать регистрационные номера стандартов только для отдельных категорий продуктов для электронной подписи, она не исключает разработку и публикацию стандартов в отношении других продуктов для электронной подписи или услуг, связанных с электронной подписью.

Статья 211 Договора об образовании Европейского сообщества дает Европейской Комиссии, с целью обеспечить правильное функционирование и развитие Общего рынка, право «разрабатывать рекомендации или выражать мнения по вопросам, которые рассматриваются в настоящем Договоре, если это прямо предусмотрено Договором или если Комиссия сочтет это необходимым».

Следовательно, Европейская комиссия имеет полную возможность разрабатывать рекомендации или выражать мнения по вопросам применения стандартов вне пределов, определенных Статьей 3.5.

В своих рекомендациях или мнениях Комиссия может, например, публиковать регистрационные номера стандартов на услуги в области электронных подписей либо на иные продукты для электронных подписей, отличные от представленных в Статье 3.5. В подобных рекомендациях или мнениях, стандарты, регистрационные номера которых могут быть опубликованы, не обязательно должны быть «общепризнанными». С другой стороны, публикация этих регистрационных номеров стандартов в рекомендации или в официальном мнении не приведет к презумпции того, что услуги или продукты, отвечающие этим стандартам, соответствуют требованиям Директивы.

1.4.2 Защищенные устройства создания подписей

Согласно Приложению III Директивы, защищенные устройства создания подписей должны, посредством технических и процедурных средств, обеспечивать как минимум следующее:

1. Данные, используемые для генерации подписи, фактически могут появляться только однажды, а их секретность разумным образом гарантируется;
   
2. Данные, используемые для генерации подписи, с достаточным уровнем гарантий не могут быть получены, а подпись защищена от фальсификации с помощью технологий, доступных на настоящий момент;
   
3. Данные, используемые для генерации подписи, могут быть надёжно защищены законным подписывающим лицом от использования другими лицами.
   

Далее Приложение III требует, чтобы защищенные устройства для создания подписей не изменяли данные, которые предстоит подписать, и не мешали представлению данных подписывающему лицу до создания подписи.

Данные требования к защищенным устройствам для создания подписей обеспечивают функционирование усовершенствованных электронных подписей. Они не охватывают всю системную среду, в которой работают данные устройства. В Директиве нет формальных требований к процессу создания подписи и к среде. Тем не менее, Соглашение рабочей группы Европейского комитета по стандартизации (CWA 14170) поддерживает цели Директивы, описывая «добровольные» требования к безопасности систем для создания подписей, которые создают усовершенствованные электронные подписи при помощи защищенных устройств для создания подписей и квалифицированных сертификатов посредством: 1) модели «среды создания подписи» и функциональной модели «систем создания подписей», 2) общих требований, которые применяются в отношении всех функций, обозначенных в функциональной модели, и 3) требований к безопасности для каждой из функций, идентифицированных в системе создания подписей, за исключением защищенного устройства для создания подписи. Тем самым CWA дает общее руководство для конструкторов, гарантируя, что приложения и среда компьютерной системы, обеспечивающие процесс создания подписи, реализованы и обеспечивают функциональность, необходимую для создания подписей с достаточным качеством и с минимальными возможностями для разногласий.

В двух Соглашениях рабочей группы CEN (CWA 14168 и 14169) более конкретно определены требования к безопасности для защищенных устройств создания подписей. Требования к безопасности сформулированы в Профиле защиты, соответствующем правилам и форматам, указанным в международном стандарте ISO 15408.

В Статье 3.4 Директивы предусмотрено, что соответствие защищенных устройств для создания подписи требованиям, изложенным в Приложении III, должно определяться соответствующими государственными или частными организациями, назначенными государствами-членами. В Решении от 6 ноября 2000 года Комиссия, в соответствии с процедурой, приведенной в Статье 9, установила критерии для государств-членов, позволяющие определить, требуется ли назначение органа.²⁹ В Статье 2 данного Решения указано, что «если назначенный орган является частью организации, занимающейся деятельностью, отличной от оценки соответствия защищенных устройств для создания подписей требованиям, изложенным в Приложении III к Директиве 1999/93/EC, то он должен быть идентифицируемым внутри этой организации», а также, что «прочие виды деятельности должны ясно различаться».

Согласно Статье 3 «организация и ее персонал не должны участвовать в каких-либо видах деятельности, которые могут противоречить независимости решений и целостности в том, что относится к решаемым ими задачам. В частности, организация не должна зависеть от заинтересованных сторон. Таким образом, организация, её высшее руководство и персонал, отвечающие за решение задач по оценке соответствия, не должны заниматься разработкой, производством, поставкой или установкой защищенных устройств для создания подписей, либо представлять какую-либо из участвующих в этом сторон. Кроме того, они должны быть финансово независимыми и не принимать непосредственного участия в разработке, изготовлении, сбыте или обслуживании защищенных устройств для создания подписей, и не представлять лиц, участвующих в данной деятельности. Это не является препятствием для обмена техническими данными между производителем и ответственной организацией».

Статья 4 Решения предусматривает, что орган аккредитации и его персонал должны иметь возможность проводить оценку соответствия защищенных устройств для создания подписей требованиям, изложенным в Приложении III Директивы 1999/93/EC, с высоким уровнем профессиональной достоверности, надежности и достаточной технической грамотностью.

Согласно Статье 5, организация должна быть «прозрачной в своей деятельности по оценке соответствия и должна записывать всю существенную информацию, имеющую отношение к этой деятельности. Все заинтересованные стороны должны иметь доступ к услугам данной организации. Процедуры, согласно которым управляется организация, должны приводиться в исполнение без дискриминации». В Статье 6 указывается, что организация должна иметь в своем распоряжении персонал и оборудование, необходимые для правильного и своевременного выполнения административных работ, связанных с задачами, для которых она предназначена. В Статье 7 Решения определено, что персонал, отвечающий за оценку соответствия, должен: 1) пройти надлежащее техническое и профессиональное обучение, особенно в области технологий электронной подписи и в связанных с ними вопросах информационной безопасности; 2) в достаточной степени знать требования оценки соответствия, которую он проводит, и обладать необходимым опытом для проведения такой оценки.

Статья 8 Решения от 6 ноября 2000 года требует, чтобы гарантировалась беспристрастность сотрудников. Их вознаграждение не должно зависеть ни от количества проведенных аудитов соответствия, ни от результатов оценки соответствия. Согласно Статье 9, организация должна обладать необходимыми договоренностями для обеспечения обязательств, возникающих в результате её деятельности, например, оформив соответствующую страховку. Статья 10 предусматривает, что организация должна иметь необходимые договоренности для того, чтобы гарантировать конфиденциальность информации, полученной при выполнении своих задач согласно Директиве 1999/93/EC или каким-либо положениям национального законодательства; исключение из этого правила может быть сделано в отношении уполномоченных органов назначившего её государства-члена. Наконец, в соответствие со Статьей 11, если назначенная организация организует проведение части процесса по оценке соответствия другой организацией, она должна гарантировать и быть способной продемонстрировать, что эта организация обладает достаточным уровнем компетентности для предоставления рассматриваемой услуги. Назначенная организация несет полную ответственность за работы, проводимые в рамках такого соглашения. Принятие окончательного решения остается за назначенной организацией.

Определение соответствия требованиям, изложенным в Приложении III, которое сделано назначенной государством-членом организацией, должно признаваться всеми прочими государствами-членами. В том, что касается соответствия защищенных устройств для создания подписей, декларация соответствия в одном государстве-члене является, говоря иными словами, достаточной для предоставления услуг во всех остальных государствах-членах.

В Статье 3.4 не говорится прямо о том, что SSCD должны обязательно предоставляться ответственному органу для проведения оценки. Возможны различные прочтения, а интерпретация существенно зависит от того, на чём делается ударение. Важнейшая цель данной нормы, с нашей точки зрения, это гарантировать, что если устройства все-таки предоставляются органу, отвечающему за оценку соответствия, то и этот орган действительно является «соответствующим». Поэтому во втором предложении данной нормы незамедлительно добавляется, что Комиссия примет решение о том, как понимать термин «соответствующий», и эти критерии были приведены в Решении Комиссии за ноябрь 2000 года. Европейские законодатели хотели исключить возможность манипуляции органами, ответственными за оценку соответствия, или ненадлежащего их использования в качестве средств реализации экономической политики государств-членов. Только если органы, проводящие оценку соответствия, отвечают критериям компетентности, независимости и профессионализма, предусмотренным в Решении Комиссии, государства-члены автоматически признают декларации соответствия, подготовленные этими органами. Однако это не означает, что государства-члены не будут признавать иные SSCD, отвечающие требования Приложения III. Согласно Статье 3.5, они даже должны предполагать соответствие этим требованиям во всех случаях, когда SSCD отвечает стандартам, включенным Комиссией в Официальный бюллетень.³⁰

1.4.3 Защищенные устройства для проверки подписи

Согласно Статье 3.6, государства-члены и Комиссия должны совместно содействовать развитию и применению устройств для проверки подписей в свете рекомендаций по проверке подписей, изложенных в Приложении IV, и в интересах потребителя. Приложение IV рекомендует, чтобы в ходе процесса верификации подписи с достаточной степенью уверенности было гарантировано следующее:

1. Данные, используемые для проверки подписи, соответствуют данным, которые показываются проверяющему подпись;
   
2. Проверка подписи проводится достоверно, а результат проверки отображается правильно;
   
3. Проверяющий подпись может при необходимости, достоверно установить содержание подписанных данных;
   
4. Подлинность и действительность сертификата, требуемого во время проверки подписи, могут быть надёжным способом проверены;
   
5. Результаты проверки и личность подписавшего лица отображаются правильно;
   
6. При использовании псевдонима на это есть явное указание;
   
7. Любые изменения, значимые с точки зрения безопасности, могут быть обнаружены.
   

Для достижения этой цели Соглашение Рабочей группы CEN (CWA 14171) содержит детальное описание процедуры проверки подписи, включая и продукты, используемые для проверки, и управление ими. В стандарте указаны требования к безопасности различных элементов системы проверки подписи. Помимо самого процесса проверки подлинности, стандарт определяет различные интерфейсы, т.е. интерфейсы программирования приложений (API) либо человеко-машинные интерфейсы (MMI), которые необходимы, в первую очередь, для выбора документа подписавшего лица и электронной подписи, которая должны быть проверена, для представления документа подписавшего лица в правильном формате, для получения информации о подписавшем лице и статус вывода после проверки подписи, для получения дополнительных данных в целях долгосрочной проверки и для получения информации от различных ПСУ. В CWA определены данные, которые следует записывать и архивировать для последующего использования в целях арбитража, если между подписавшим и проверяющим лицом возникнет спор. Данный документ использует дополнительное понятие политики электронной подписи в качестве основы для проверки электронной подписи.³¹