Не мышонок, не лягушка…

Опубликовано в журнале "Компьютерра" №3 от 28.01.2002 г.

Родила царица в ночь
Не то сына, не то дочь;
Не мышонка, не лягушку,
А неведому зверюшку.
Александр Пушкин

В ночь с 2001 на 2002 год сон правотворческого разума родил очередную неведому зверюшку под именем «Федеральный закон «Об электронной цифровой подписи». Нашим постоянным читателям обсуждение перипетий подготовки и принятия этого произведения и ряда примыкающих актов, наверное, уже успело надоесть. Тем не менее, рискнем еще раз подвергнуть этот закон публичному препарированию.

Закон содержит пять глав и двадцать одну статью, в сумме тянущих почти на 25К; по крайней мере (при очень снисходительном отношении к юридико-техническим тонкостям) одиннадцать терминологических, концептуальных и логических ошибок, в совокупности делающих его скорее препятствием, чем опорой при развитии безбумажного документооборота; а также след одной не вполне удачной попытки диверсии по отношению к сфере информационных технологий.

Объем рубрики не позволяет привести текст Закона целиком (с ним можно ознакомиться, например, на www.libertarium.ru/libertarium/18122), а вот по ошибкам мы публикуем сегодня краткий путеводитель (см. следующую страницу).

Обсуждению смысла диверсии посвящена остающаяся часть сегодняшнего «Франтпейджа».

Но сначала необходимо все же назвать ошибку десятую или, скорее, «нулевую». Закон называется «Об ЭЦП», в то время как он больше о (публичных) «удостоверяющих центрах», сертификации и использовании цифровой подписи в органах власти, чем собственно о подписи.

  1. Бизнес-смысл и значение «удостоверяющего центра» (Certificate Authority, CA) очень просты: CA, обладающий филиалами (или сеть CA), позволяет «вступить в цифровые отношения» разнесенным географически лицам без необходимости предварительно оформлять свои отношения друг с другом на бумаге (то есть встречаться или вступать в обычную переписку), то есть использовать цифровую подпись для, если так можно выразиться, случайных деловых связей (например, заверения подписью условий, на которых совершается спонтанная покупка в сетевом магазине).Роль «публичных» CA можно сравнить с ролью сети нотариальных контор: притом, что юридическая операторика CA несколько отличается от традиционной нотариальной, наличие или отсутствие такой сети означает для распределения издержек примерно то же, что и наличие/отсутствие института нотариата.

    Для любых других бизнес-приложений цифровой подписи «публичные» CA не нужны, не нужен и специальный закон: нормы Гражданского кодекса о признании эквивалентности вполне достаточно. Но и свою роль там, где они необходимы, CA смогут выполнить только при условии, если законодательство достаточно четко разграничивает ответственность и делает предсказуемым распределение рисков. Заглянув в публикуемый Путеводитель и в полный текст Закона, можно обнаружить полное отсутствие наличия такого рода разграничений при присутствии изрядной путаницы 1.

  2. Институт CA также мог бы быть полезен для вовлечения в цифровой документооборот государственных органов, причем в организации их обмена документами, как между собой, так и с бизнесами и гражданами. Успех такого вовлечения означал бы серьезное снижение издержек бизнеса и общества в целом, если механизм вовлечения не повлек бы за собой больших издержек; оснований для уверенности в последнем Закон также не дает.
  3. И, наконец, бизнес-значение «сертификации средств ЭЦП» могло бы заключаться, во-первых, в обеспечении совместимости разных программ (и, возможно, оборудования), посредством которых генерируются ключи, формируются и проверяются подписи, и, во-вторых, оценки стойкости и надежности таких решений.Многолетний опыт деятельности по государственной сертификации в расплывчатой категории «средств защиты информации» (сфера деятельности Государственной технической комиссии) и в не менее противоречиво определенной категории «шифровальных средств» (сфера деятельности лицензионной комиссии Государственного Федерального агентства правительственной связи и информации) показывают ее мрачные перспективы.

    Более того, если деятельность ГТК вызывает лишь мелкие придирки 2, то деятельность ФАПСИ практически однозначно оценивается рынком как (более или менее удачная) попытка наложить рэкет 3 на самые перспективные в части взимания поборов отрасли.

С очередной неудачей приведения в приличный вид законодательства о лицензировании, насколько можно судить по поступающей почте, эта деятельность очередной раз интенсифицировалась, и положение ФЗ «Об ЭЦП», помеченное в «Путеводителе» как «диверсия», несомненно, направлено на усугубление ситуации.


1 (обратно к тексту) - Нужно сказать, что мировой опыт тоже пока неутешителен, и, при относительном успехе корпоративных и отраслевых CA, деятельность CA «публичных» (таких, как Verisign) вызывает все больше вопросов. И тревог - учитывая, что CA, будучи центрами накопления персональной информации, стали очередным фактором рисков, проистекающих от ее концентрации.
2 (обратно к тексту) - Я никогда не сталкивался с какими-либо тотальными претензиями к этому органу в качестве лицензирующего и сертификационного; если у кого-то такие претензии есть, пожалуйста, обнародуйте их.
3 (обратно к тексту) - У нас часто путают «рэкет» с более широкой категорией «вымогательство», однако этот термин, как подсказывают авторитетные английские словари, означает не просто вымогательство, а «поборы под предлогом обеспечения защиты или безопасности бизнеса». Что более или менее точно описывают деятельность ФАПСИ в не имеющей отношения к правительственной связи или информации области: поборы (ведь стоимость «лицензирования» или «сертификации» перекладывается, в итоге на конечных пользователей) налицо, а защиты или безопасности не видно, да и с совместимостью, кстати, дела обстоят ну просто никак.

 

 

This entry was posted in Компьютерра and tagged . Bookmark the permalink.

Leave a Reply