Внедрение квалифицированных сертификатов электронной подписи с поддержкой TSP и OCSP протоколов в систему ДБО на базе УЦ Крипто-Про

Наливайко Д.Н.
Выпускник группы CISO-02
Школы IT-менеджмента
РАНХиГС при Президенте РФ

Текущий век диктует определенные требования по реализации бизнес- процессов. Информация и время являются основными факторами, с помощью которых достигаются преимущества современного бизнеса. Бумажные документы, с такими атрибутами как подпись и печать, становятся частью истории. Современный бизнес развивается в информационных системах, и электронный документооборот дает возможность доступа к важнейшим ресурсам. Банки предоставляют заемщикам средства не через кассы, с помощью систем дистанционного банковского обслуживания. Вместе с новыми технологиями обновляется и законодательство в области электронных документов и электронных подписей.

В рамках проекта по внедрению требований законодательства в области инфраструктуры открытых ключей был проведен анализ законодательства, оценка рисков и выбор лучшей модели реализации для Банка.

В соответствии Федеральным законом N 63-ФЗ "Об электронной подписи" принятым 6 апреля 2011все контрагенты, работающие в области юридически значимого электронного документооборота, должны были привести свои процессы в соответствие с требованиями данного закона.

В исследуемом Банке работает схема трехстороннего электронного документооборота, с подписанием правоустанавливающих документов в рамках системы дистанционного банковского обслуживания, в котором две стороны является постоянными участниками документооборота, третья сторона является клиентом Банка в рамках предоставления услуг корпоративного кредитования.

Основной задачей был анализ и приведение в соответствие с законодательством системы дистанционного банковского обслуживания в рамках выбора одного из видов электронной подписи. Рассматривался вариант использования только усиленной подписи, которая разделяется на два типа:

• Усиленная неквалифицированная электронная подпись;
• Усиленная квалифицированная электронная подпись.

Основными рисками при использовании неквалифицированной электронной подписи являются условия использования и принятия электронных документов, применяемыми в соответствии с нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Таким образом, при рассмотрении заявлений в судебных инстанциях, суд обязан руководствоваться не только Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи", а также иными нормативными правовыми документами, которые описывают порядок взаимодействия между участниками электронного документооборота.

Поскольку судебной практики по рассмотрению дел в данной области, а также принятия юридической значимости электронных документов к моменту старта проекта еще не было, то было принято решение по минимизации юридических рисков и использованию усиленной квалифицированной электронной подписи. Так как была рассмотрена совокупность факторов, влияющих на использование данного решения, то использование усиленной квалифицированной подписи было продиктовано следующими причинами:

• Высокая скорость взаимодействия между контрагентами при использовании информационной системы;
• Отсутствие бумажных документов (передача и хранение);
• Полные нормативные требования, а также порядок взаимодействия описаны в законе «Об электронной подписи».

Риски, связанные с необходимостью использования штампов времени (далее протокола TSP) и статуса сертификата (далее протокола OTSP), также находятся в плоскости требований законодательства. Поскольку в законодательстве четко описан процесс признания квалифицированного сертификата, т.е. квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен, то наличие протоколов TSP и OCSP нивелирует риск возможного отказа клиента от подлинности своей подписи и, в частности, действия сертификата проверки ключа электронной подписи.

Данные решения были реализованы на технической базе компании ООО «КРИПТО-ПРО», которая предоставила возможность использования аккредитованного Удостоверяющего центра (в соответствии с Федеральным законом от 06.04.2011 N 63-ФЗ "Об электронной подписи"), а также возможности использования TSP и OCSP протоколов, в рамках единого договора.

По итогам внедрения всех вышеперечисленных требований была выстроена единая система, основанная на соответствии требований законодательства и технической базе, с минимальными денежными затратами на изменения систем и минимальным влиянием на клиентов Банка. 

Данный проект является уникальным с точки зрения выстраивания процесса электронного взаимодействия в банковском секторе. Очень небольшая часть банков решилась перейти на использование усиленной квалифицированной электронной подписи, еще меньше в своем процессе используют TSP и OCSP протоколы. Один из крупнейших поставщиков дистанционного банковского обслуживания в России впервые разрабатывал данную схему взаимодействия. Нам пришлось столкнуться с большим количеством препятствий для достижения поставленной цели. Поскольку одной из задач информационной  безопасности является защита бизнеса, то мы смогли снизить риски в данной области без потери качества обслуживания клиентов.