В рубрику "Оборудование и технологии" | К списку рубрик | К списку авторов | К списку публикаций
Тенденции последних лет, наблюдаемые в Российской Федерации в области развития IT, законодательства в сфере ИБ и государственных программ по информатизации общества, все чаще говорят нам о том, что технический прогресс не стоит на месте и бумажные документы в большинстве своем теряют актуальность, а на смену им приходят документы в электронном виде, подписанные усиленной квалифицированной электронной подписью, равнозначные, в соответствии с п. 1 ст. 6 Федерального закона от 6.04.2011 г. № 63-ФЗ "Об электронной подписи".
Со стороны Правительства РФ все больше государственных услуг доступны в электронном виде с целью экономии времени и упрощения взаимодействия между гражданами и государством.
На данный момент представлены следующие электронные сервисы, где авторизация гражданина РФ и получение государственных услуг может проходить при помощи квалифицированной электронной подписи:
Согласно Ч. II п. 6 "Требований к форме квалифицированного сертификата ключа проверки электронной подписи", утвержденных приказом ФСБ России от 27.12.2011 г. № 795, квалифицированный сертификат должен содержать в том числе следующую информацию:
В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 № 152-ФЗ перечисленная выше информация относится к персональным данным. Согласно "Перечню сведений конфиденциального характера", утвержденному указом Президента РФ от 06.03.1997 № 188, ПДн относятся к конфиденциальной информации, которая по российскому законодательству должна быть защищена оператором ПДн, которым в нашем случае является аккредитованный УЦ.
Согласно требованию Ч. III ст. 15 Федерального закона "Об электронной подписи" от 06.04.2011 № 63-ФЗ аккредитованные удостоверяющие центры обязаны обеспечивать любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам, содержащим ПДн клиента, и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами.
И здесь встает ряд вопросов:
Меры по нейтрализаци и угрозы утечки клиентской базы
Начнем по порядку с первого вопроса о соблюдении требований по защите и публикации ПДн.
В соответствии с п. 1 ст. 8 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ можно в целях информационного обеспечения организовать общедоступный источник ПДн. В нем будут храниться ПДн, которые требуется включать в квалифицированные сертификаты ключа проверки ЭП.
В таком случае при оформлении документов на получение ЭП данные о клиенте могли бы получаться из общедоступного источника ПДн, что позволило бы считать сегмент информационной системы аккредитованного УЦ, содержащий сертификаты ключей проверки ЭП, системой, обрабатывающей общедоступные ПДн согласно п. 5 "Требований к защите персональных данных при их обработке в информационных системах персональных данных", утвержденных постановлением Правительства РФ от 01.11.12 № 1119. Данный подход позволил бы избежать избыточных требований по обеспечению безопасности публикуемых ПДн.
Переходим ко второму вопросу. Как в случае использования общедоступных источников ПДн, так и без их использования данные субъекта могут обрабатываться оператором только с письменного согласия субъекта, оформленного оператором в соответствии с п. 4 ст. 9 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ. В нашем случае операторами могут являться как владельцы источников общедоступных ПДн, так и аккредитованные УЦ, на данный момент не использующие при оформлении ЭП источники общедоступных ПДн. При этом согласие субъекта на публикацию ПДн может быть отозвано согласно п. 2 ст. 8 Федерального закона "О персональных данных" от 27.07.2006 № 152-ФЗ.
С одной стороны, ПДн должны быть удалены как из источника общедоступных данных, и, как следствие, квалифицированные сертификаты ЭП изымаются из публичного реестра действующих квалифицированных сертификатов проверки ЭП, что является нарушением требования Ч. III ст. 15 Федерального закона "Об электронной подписи" от 06.04.2011 № 63-ФЗ.
Является ли в данном случае отзыв согласия субъекта на публикацию ПДн поводом для отзыва квалифицированного сертификата ЭП и прекращения действия ЭП данного субъекта? Законодательство, увы, ответа на данный вопрос не дает, отдавая его решение на откуп аккредитованным УЦ.
Ч. III ст. 16 Федерального закона "Об информации, информационных технологиях и о защите информации" от 27.07.2006 № 149-ФЗ предусматривает возможность устанавливать требования о защите общедоступной информации, что дает аккредитованным УЦ возможность принимать меры по нейтрализации угрозы утечки клиентской базы конкурентам.
В этом случае можно предложить следующие решения:
Следует отметить, что поднятые в данной статье вопросы требуют пояснений и доработок в законодательстве со стороны регулирующих органов и для полноценной работы аккредитованных удостоверяющих центров, и для защиты своих прав субъектам, приобретающим ЭП, эти поправки окажутся весьма востребованными. Мы же со своей стороны в данной статье хотели озвучить проблемные вопросы и обозначить направления их решения. Надеемся, что наши рекомендации окажутся полезными для всех заинтересованных сторон.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2014