Курсовая работа: Свобода договора

Если при движении вверх не встретится ни одного доверенного центра сертификации, то потребитель документа достигнет так называемого корневого центра сертификации. Далее цепочка прерывается, так как подтверждать правомочность этого центра уже некому, кроме как органам государственного управления.

Особого внимания заслуживает вопрос доступности средств шифрования и, в том числе, средств ЭЦП.

Законодательства зарубежных государств регламентируют деятельность системы удостоверяющих центров. В частности, в Европейском союзе Директивой удостоверяющий центр определяется как «орган или юридическое или физическое лицо, которое выдает сертификат или предоставляет другие услуги, связанные с электронной цифровой подписью». Под сертификатом понимается «электронное удостоверение, с помощью которого происходит идентификация средств проверки подписи лица и подтверждение его личности».

Директива устанавливает также ряд требований к деятельности удостоверяющих центров. В частности, удостоверяющий центр должен:

а) доказать наличие необходимой надежности для оказания услуг по сертификации;

б) обеспечить быстрое и безопасное оказание услуг по регистрации, а также безопасный и немедленный отзыв сертификата открытого ключа ЭЦП;

в) обеспечить точное определение даты и времени выдачи или отзыва сертификата открытого ключа ЭЦП;

г) проверить подходящими средствами, в соответствии с правом отдельных государств, личность и, в случае необходимости, специфические черты лица, обратившегося за получением сертификата открытого ключа ЭЦП;

д) предоставить работу персоналу, обладающему специальными знаниями, опытом и квалификацией, в особенности знаниями в области управления, технологии и применения ЭЦП, а также основательными знаниями в области процедур обеспечения достаточной безопасности;

е) в дальнейшем соблюдать необходимые процедуры управления и иные нормы;

ж) применять пользующиеся доверием системы и продукты, защищенные от внесения изменений и обеспечивающие техническую и криптографическую защиту соответствующих процедур;

з) принять меры против фальсификации сертификатов, а в случаях, когда производятся средства и элементы ЭЦП, обеспечить конфиденциальность данных при их производстве;

и) обладать достаточным количеством финансовых средств для работы в соответствии с требованиями Директивы; быть в состоянии нести риск ответственности за убытки, например посредством заключения соответствующих договоров страхования;

к) указать всю соответствующую информацию о квалифицированном сертификате и о сроке его действия, чтобы, особенно в судебном процессе, можно было доказать сертификацию;

л) не разрешать хранение и копирование средств и элементов ЭЦП лицам, оказывающим услуги по управлению ключами ЭЦП;

м) информировать владельцев сертификатов об условиях применения сертификата открытого ключа ЭЦП, о существовании свободной системы лицензирования удостоверяющих центров, о жалобной и согласительной процедурах.

2.3. Российское законодательство об ЭЦП

Развитие электронной коммерции и электронного документооборота в России сталкивается с недостаточностью правового регулирования применения ЭЦП и электронного документооборота.

Базовыми нормативно-правовыми актами, регулирующими первоначальные основы правового регулирования ЭЦП, являются Гражданский кодекс РФ, а также Федеральный закон «Об информации, информатизации и защите информации». Они указывают лишь на условия, при которых возможно применение таких подписей.

В России порядок применения средств ЭЦП по сравнению с зарубежными странами регламентирован гораздо более жестко. В настоящее время действует Указ Президента Российской Федерации от 3 апреля 1995 года № 334 «О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации»[7] . В соответствии с ним запрещена деятельность юридических и физических лиц, связанная с разработкой, производством, реализацией и эксплуатацией шифровальных средств, а также защищенных средств хранения, обработки и передачи информации, предоставлением услуг в области шифрования информации без лицензий.

Такая политика государства в области регулирования применения и реализации криптографических средств, в том числе и средств ЭЦП, по-видимому, объясняется стремлением использовать только средства, сертифицированные уполномоченными государственными органами. Содержание нормативно-правовых актов России, регулирующих применение шифровальных средств, в том числе и средств ЭЦП, демонстрирует существующую тенденцию установления «тоталитарного подхода» в этом деле.

Безусловно, для решения множества проблем, связанных с национальной безопасностью, необходимо наличие определенных ограничений в области разработки, применения и оборота средств ЭЦП. Однако навязывание продукции только одного или нескольких производителей в этой области (а для самих производителей — обязательная платная сертификация их деятельности), особенно если оно сопровождается закрытостью алгоритма, может в итоге приводить к усилению коррупции и снижению подлинной, а не декларированной защищенности средств ЭЦП. Правовое регулирование применения средств ЭЦП должно стремиться к большей гибкости в отражении требований объективной действительности. Возможно, учитывая особенности России, было бы целесообразно рассмотреть многоуровневый подход к признанию действительности ЭЦП и лицензирования ее средств: одни требования — для административной сферы, другие — для корпоративной и третьи — для личного документооборота. В зарубежном законодательстве мы наблюдаем отдельные признаки многоуровневого подхода, например введение понятия квалифицированной ЭЦП в Директиве.[8]

Федеральный закон от 10.01.2002 N 1-ФЗ " Об электронной цифровой подписи " определяет что электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Ст. 5 ФЗ "Об ЭЦП" говорит об ответственности и возмещении убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, однако не говорится ни о виде, ни об объеме ответственности, ни о том в какой форме будет возмещен ущерб. Законом определяются также другие требования. В общих чертах эти требования сводятся к необходимости защиты ключей, применяемых при создании ЭЦП, от неправомерного их использования третьими лицами, не обладающими законными правами на них, а также от подделки. Что же касается средств ЭЦП, то они не должны в процессе ее создания изменять содержание электронного документа или препятствовать доступу владельца подписи к данным, содержащимся в электронном документе. Кроме того, средства ЭЦП должны быть защищены от несанкционированного доступа к ним со стороны третьих лиц.

В России, действует общая норма п. 2 ст. 160 ГК РФ, устанавливающая, что «использование при совершении сделок... электронно-цифровой подписи... допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон». В соответствии с п. 2 ст. 434 ГК РФ «договор в письменной форме может быть заключен путем... электронной... связи, позволяющей достоверно установить, что документ исходит от стороны по договору». Эти положения устанавливают лишь первоначальный базис для более детального правового регулирования, потому что не говорится о возможности использования элек?