• Гідрологія і Гідрометрія
• Господарське право
• Економіка будівництва
• Економіка природокористування
• Економічна теорія
• Земельне право
• Історія України
• Кримінально виконавче право
• Медична радіологія
• Методи аналізу
• Міжнародне приватне право
• Міжнародний маркетинг
• Основи екології
• Предмет Політологія
• Соціальне страхування
• Технічні засоби організації дорожнього руху
• Товарознавство продовольчих товарів

Інфраструктура управління ключами Європи.

6.3.3.1Підходи щодо побудови ІВК у Європейському Союзі

Аналіз документів, що регулюють питання використання ЕЦП у ЄС [13, 16] дозволяє стверджувати, що в ЄС не існує концепції створення єдиної європейської ІВК. Кожна країна-член ЄС має створювати власну інфраструктуру, але при цьому дотримуватися вимог європейського законодавства.

6.5.3.2 Аналіз вимог європейського законодавства щодо ЕЦП

Поточними завданнями ЄС щодо правового регулювання відносин у сфері електронного документообігу є розвиток однакових законів у державах з дуже різними правовими системами та традиціями. Мета ЄС складається не в створенні однакового законодавчого порядку, а в сприянні торгівлі, розвитку інвестиційної діяльності і свободи пересування громадян. Найбільш важливим законодавчим інструментом, який використовується ЄС для додання законної сили своїм рішенням, є Директиви ЄС. Особливістю Директив ЄС є те, що вони містять обов’язковий результат, який держави-члени повинні досягти протягом указаного строку, але форми та методи досягнення результату залишаються на розгляді держав.

У сфері електронного документообігу існує дві Директиви: Директива про електронну комерцію 2000 року (ДЕК), що повинна бути імплементована в національне законодавство державами-членами ЄС до 17 лютого 2002 року [13], і Директива про електронні підписи 1999 року (ДЕП), термін введення дії якої 19 липня 2001 року [13].

ДЕК встановлює загальні основи для розвитку електронної комерції. Стаття 9 Директиви вимагає від держав надання законної сили договорам в електронній формі, усунення створення бар'єрів у їхньому використанні та забороняє заперечення їхньої юридичної чинності винятково на підставі електронної форми. Зобов'язання і вигоди, що випливають із ДЕК, дійсні тільки в межах ЄС.

ДЕП являється більш деталізованою і встановлює основи для юридичного визнання електронних підписів і вимоги до держав-членів в області їхньої сертифікації.

Стаття 5 визначає [13], що держави-члени повинні забезпечити, щоб удосконалені електронні підписи, засновані на чинних сертифікатах і створені за допомогою безпечних механізмів створення підпису:

а) задовольняли юридичним вимогам до підписів стосовно даних, поданих у електронній формі, так само, як підпис, написаний власноручно, задовольняє вимоги стосовно даних, написаних на папері;

б) були прийнятими в якості доказів у судочинстві.

Держави-члени забезпечують, неможливість позбавлення електронного підпису юридичної сили і прийнятності в якості доказу у судочинстві лише на тій підставі, що він:

- виконаний у електронній формі, чи

- не заснований на чинному сертифікаті, чи

- не заснований на чинному сертифікаті, виданому акредитованим постачальником послуг по сертифікації, чи

- не створений за допомогою безпечного механізму створення підпису.

Директива встановлює такі вимоги до чинних сертифікатів. Так чинні сертифікати повинні містити:

1) вказівку на те, що сертифікат виданий в якості чинного сертифіката;

2) ідентифікацію постачальника послуг з сертифікації та держави, в якій засноване його підприємство;

3) ім’я особи, що підписалась, чи її псевдонім, який ідентифікується, як такий;

4) забезпечення особливої ознаки підписувача, яка включається в сертифікат, залежно від мети, на яку орієнтований сертифікат;

5) дані для перевірки підпису, які відповідають даним, що створюють підпис, під контролем підписувача;

6) вказівка на початок та закінчення строку чинності сертифіката;

7) ідентифікаційний код сертифіката;

8) вдосконалений електронний підпис постачальника послуг з сертифікації;

9) обмеження сфери використання сертифіката, якщо таке застосовується;

10) обмеження вартості операцій, при здійсненні яких може використовуватись сертифікат, якщо такі застосовуються.

Також Директива визначає вимоги до постачальників послуг по сертифікації, які повинні:

1) демонструвати надійність, необхідну для постачання послуг по сертифікації;

2) забезпечувати функціонування швидкого та безпечного надання довідкових послуг та невідкладне й безпечне анулювання послуг;

3) забезпечувати чітке визначення дати й часу видачі і анулювання сертифіката;

4) перевіряти за допомогою відповідних засобів згідно внутрішньому законодавству ідентичність та, якщо таке застосовується, будь-які особливі ознаки особи, якій видається сертифікат;

5) наймати штат осіб, що мають спеціальні знання, досвід та кваліфікацію, необхідну для послуг, що надаються, зокрема, компетентних осіб на рівні управління, експертизи у технології електронних підписів та обізнаних із правилами безпеки; вони також повинні застосовувати адміністративні правила та правила процедури, адекватні та такі, що відповідають визнаним стандартам;

6) використовувати достовірні системи та продукцію, захищені від модифікацій та забезпечувати технічну та криптографічну безпеку процесу, що ними забезпечується;

7) вживати заходів проти підробки сертифікатів та, у випадках, якщо постачальник послуг по сертифікації виробляє дані, що створюють підпис, гарантувати конфіденційність під час вироблення таких даних;

8) підтримувати достатні фінансові ресурси для здійснення діяльності відповідно до вимог, передбачених цією Директивою, зокрема, нести ризик відповідальності за шкоду, заподіяну, наприклад, шляхом отримання відповідного страхування;

9) зберігати всю інформацію, що стосується випуску чинних сертифікатів протягом відповідного періоду часу, зокрема, з метою надання доказів сертифікації в цілях судочинства. Такі записи можуть здійснюватись електронним шляхом;

10) до того, як вступати в договірні відносини з особою, яка прагне отримати сертифікат, що засвідчує її електронний підпис, повідомляє таку особу через надійні засоби зв’язку про точні строки та умови використання сертифіката, включаючи будь-які обмеження його використання, існування системи добровільної акредитації та процедури подання скарг та врегулювання спорів. Така інформація, що може надаватись в електронному вигляді, повинна бути подана в письмовому вигляді та викладена добре зрозумілою мовою. Відповідні частини цієї інформації також мають бути доступними на запит третіх сторін, які покладаються на сертифікат;

11) використовувати надійні системи зберігання сертифікатів у такій формі, яка підлягає перевірці з тим, щоб:

- лише уповноважені особи могли здійснювати введення даних та їх змінювати,

- забезпечувалась можливість перевірки інформації на достовірність, сертифікати відкриті для внесення в них коригувань лише у тих випадках, у яких отримано згоду власників сертифікатів, та

- будь-які технічні зміни, що загрожують цим вимогам безпеки, були очевидні для оператора.

Аналіз Директив дозволяє зробити висновок, що головною метою висування вимог є забезпечення гарантії того, що під час використання ЕЦП досягнуто максимальну безпеку. При цьому вказівок на конкретні пристрої, методи або технічні вимоги до формування ЕЦП не має.

6.5.4 Стандартизація ЄС в галузі ІВК

З метою підвищення координації національних, регіональних та міжнародних органів зі стандартизації в галузі ІВК, Інститут Комп’ютерних Технологій (ICT), за підтримкою Європейської Комісії, створила Європейську Ініціативу Стандартизації Електронного Підпису (EESSI).

Основними принципами роботи EESSI є:

- ефективне залучення всіх сторін в області ЕЦП у процеси стандартизації;

- відкритість і прозорість механізмів та обраних ініціатив, що використовуються;

- використання міжнародних рішень, які дозволяють уникнути дублювання роботи.

У 1999 році в рамках EESSI була розроблена робоча програма зі стандартизації в галузі ЕЦП та ІВК [16].

У робочій програмі були визначені як критичні три ключові напрямки стандартизації:

- стандартизація якості та функціонування постачальників послуг зі сертифікації (ППС);

- стандартизація якості та функціонування механізмів створення та перевірки ЕЦП;

- стандартизація вимог до ЕЦП.

Основною технологією для підтримки ЕЦП визначають технологію ІВК. Під час створення та використання технологій ІВК пріоритетне значення мають:

- вимоги безпеки для механізмів ЕЦП;

- сертифікація/реєстрація відповідності механізмів та послуг ЕЦП;

- управління безпекою та політикою сертифікації для ППС, що випускають сертифікати;

- механізми створення та перевірки підпису;

- синтаксис та формати даних, а також технічні аспекти політик підпису;

- протоколи взаємодії з Уповноваженим на фіксування часу.

EESSI активно взаємодіє з іншими ініціативами на глобальному рівні, розробляє рішення, які гарантують можливість взаємодії додатків електронного підпису.

Основні роботи зі стандартизації в галузі ЕЦП та ІВК в рамках EESSI здійснюють ICT, CEN та ETSI (рис.1.4) у взаємодії з національними органами зі стандартизації.

На рисунку 1.5 показаний розподіл напрямків роботи робочих груп ITSI ESI та CEN E-SIGN.

ETSI ESI займається розробкою наступних питань:

- стандарт, що дозволяв би використовувати сертифікат відкритого ключа X.509 як чинний сертифікат;

- управління безпекою і політика сертифікації для ППС, які випускають чинні сертифікати;

- синтаксис і формати кодування для електронного підпису і технічні аспекти для політик підпису;

- протокол, що дозволяє взаємодію з уповноваженим на фіксування часу.

ETSI ESI створив відкриту область для обговорення поточних чернеток стандартів, допоміжних матеріалів і для обміну ідеями.

17.5 (6.3.5) Підходи до побудови інфраструктури відкритого ключа у Російській Федерації

З погляду технократичного підходу в Російській федерації інфраструктура відкритого ключа визначається як "комплекс організаційно-технічних заходів та програмно-апаратних засобів, необхідних для використання технології з відкритими ключами" [53].

З організаційної точки зору інфраструктура відкритого ключа містить у собі:

– центри сертифікації (засвідчувальні центри);

– центри реєстрації власників сертифікатів;

– власників сертифікатів;

– користувачів сертифікатів або осіб, що покладаються на сертифікати;

– технологічні та юридичні основи взаємодії учасників: законодавча та нормативна база, технічні стандарти, спеціальні програмні та апаратні засоби.

На рис. 1.6 представлена федеральна інфраструктура відкритого ключа. Як видно в основу побудови системи покладений принцип ієрархії, який є домінуючим.

Засвідчувальний центр є ключовою ланкою інфраструктури відкритого ключа, оскільки забезпечує підтримку її основних функцій та взаємозв'язок між всіма учасниками інфраструктури.

Закон РФ "Про електронний цифровий підпис" виділяє два типи засвідчувальних центрів, - відкритий, тобто працюючий у рамках інформаційної системи загального користування, та корпоративний, що надає послуги в корпоративній інформаційній системі.

Рисунок 1.6 - Схема побудови федеральної інфраструктури відкритого ключа[1]

Аналіз функцій засвідчувальних центрів [52] дозволяє згрупувати їх як представлено в таблиці 1.8.

Організація роботи засвідчувального центра, якщо розглядати її в покроковому вигляді виглядає в такий спосіб [52]:

1. Користувач:

– подає в паперовому або електронному вигляді (залежно від типів сертифікатів і вимог системи) заявку на одержання сертифіката в засвідчувальний центр.

Под подачею заявки розуміється виконання всіх необхідних формальностей:

Додаток Б (для ознайомлення)

А.1 Список скасування сертифікатів та його розширення

Згідно з [13, 14] для скасування сертифікатів можна використовувати декілька механізмів. Базовим механізмом є використання Списку Скасування Сертифікатів (ССС). ССС являє собою структуру даних, у якій міститься послідовність інформації, що ідентифікує конкретні скасовані сертифікати та містить додаткову інформацію про скасування. ССС також є структурованим записом у форматі ASN.1. ССС підписується емітентом, яким є УС. Але стандарт не забороняє можливості делегування повноважень на випуск ССС іншим органам.

Формат ССС визначається міжнародним стандартом (табл. 16.2). Основним форматом на сьогодні є формат версії 2 (v2). Розрізняють декілька типів ССС – основний ССС та дельта-ССС. Список може також бути прямим і непрямим.

Основний (базовий) ССС – список, який містить усі скасовані сертифікати.

Дельта-ССС – список, який містить тільки зміни, які з’явилися за певний час у основному ССС, тобто містить список лише тих сертифікатів, статус яких змінився з часу випуску основного ССС.

Прямий список – список, який випускає УС, що випустив сертифікати.

Непрямий список – список, що випускає орган, уповноважений УС на випуск списку.

Поля ССС. У таблиці 16.2 наданий перелік полів сертифіката, їх пояснення подано нижче.

Таблиця 16.2

Читайте також:

1. ERP і управління можливостями бізнесу
2. H) інноваційний менеджмент – це сукупність організаційно-економічних методів управління всіма стадіями інноваційного процесу.
3. III. КОНТРОЛЬ і УПРАВЛІННЯ РЕКЛАМУВАННЯМ
4. Oracle Управління преміальними
5. А. Видання прав актів управління
6. АВТОМАТИЗОВАНІ СИСТЕМИ ДИСПЕТЧЕРСЬКОГО УПРАВЛІННЯ
7. АВТОМАТИЗОВАНІ СИСТЕМИ УПРАВЛІННЯ ДОРОЖНІМ РУХОМ
8. Адаптивні організаційні структури управління.
9. Адміністративне право і державне управління.
10. Адміністративний устрій і управління в українських землях під час татаро-монгольського панування.
11. Адміністративні методи - це сукупність прийомів, впливів, заснованих на використанні об'єктивних організаційних відносин між людьми та загальноорганізаційних принципів управління.
12. Адміністративні методи управління

Переглядів: 662