четверг, 15 июня 2017 г.

Европейский институт телекоммуникационных стандартов ETSI опубликовал отчет по долговременной сохранности ЭЦП и подписанных ими данных


В мае 2017 года Европейский институт телекоммуникационных стандартов ETSI опубликовал научный отчет ETSI SR 019 510 (версия 1.1.1) «Электронные подписи и инфраструктуры: Предварительный анализ и концепция стандартизации услуг по обеспечению долговременной сохранности данных, включая электронные цифровые подписи и подписанные ими данные» (Electronic Signatures and Infrastructures (ESI); Scoping study and framework for standardization of long-term data preservation services, including preservation of/with digital signatures) объёмом 57 страниц, см. http://www.etsi.org/deliver/etsi_sr/019500_019599/019510/01.01.01_60/sr_019510v010101p.pdf

Структура документа следующая:
Предисловие
Использование модальных глаголов
Введение
1. Область применения
2. Ссылки
3. Определения и сокращения
4. Базовые модели услуг по обеспечению долговременной сохранности данных
5. Примеры различных схем обеспечения долговременной сохранности
6. Предложения относительно концепции системы стандартов по обеспечению долговременной сохранности данных
Приложение A: Взаимосвязь между моделью ETSI услуг по обеспечению долговременной сохранности и моделью OAIS-архивов
Приложение B: Каталог существующих стандартов
Приложение C: Введение в синтаксис Evidence Record Syntax (ERS) (в соответствии с IETF RFC 4998, https://tools.ietf.org/html/rfc4998  - Н.Х.)
Приложение D: Библиография
Во введении отмечается следующее:
«В настоящем документе представлен обзор механизмов обеспечения долговременной сохранности, которые могут использоваться для сохранения статуса действительности электронных цифровых подписей (digital signatures) и/или для обеспечения долговременной сохранности объектов с использованием технологии ЭЦП.

Документ может использоваться для поддержки всех видов услуг по обеспечению  долговременной сохранности, включая, например, квалифицированные сервисы долговременной сохранности для квалифицированных электронных подписей в соответствии со статьей 34 европейского закона eIDAS (нормативно-правовой акт Европейского парламента и Совета № 910-2014 от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке» - Regulation (EU) no. 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32014R0910&from=EN ), и, с соответствующими корректировками, квалифицированные сервисы долговременной сохранности для квалифицированных электронных печатей в соответствии со статьей 40 того же закона.»
В разделе «Область применения», в свою очередь, сказано:
1. Область применения

«Настоящий документ представляет собой предварительно концептуальное  исследование вопроса обеспечения долговременной сохранности данных (включая сохранение ЭЦП и подписанных ими данных).

Настоящий документ направлен на поддержку услуг по обеспечению долговременной сохранности в условиях различных нормативных режимов.

Примечание 1. В частности (но не исключительно) рассматриваемый в настоящем документе сервис долговременной сохранности ориентирован на поддержку квалифицированных сервисов обеспечения сохранности для квалифицированных электронных подписей или печатей, соответствующих закону eIDAS.

Примечание 2: В частности (но не исключительно), под «электронными цифровыми подписями» (digital signatures) в настоящем документе понимаются электронные подписи, усиленные электронные подписи, квалифицированные электронные подписи, электронные печати, усиленные электронные печати и квалифицированные электронные печати, соответствующие  закону eIDAS.

Настоящий документ охватывает два основных случая:

1) Сохранение статуса действительности электронных цифровых подписей (с использованием штампов времени, записей с подтверждающими сведениями -  Evidence Records и т.д.) и связанных с ними подписанных данных

Примечание 3: Здесь рассматривается квалифицированный сервис для квалифицированных электронных подписей или печатей, соответствующих закону eIDAS, для которых необходимо сохранить статус технической корректности (technical validity). Данный отчет ничего не может сказать о юридической действительности (legal validity) подписи.

Примечание 4: Действительность подписи означает, что статус подписи не будет меняться со временем, как в случае действительности подписи (статус TOTAL_PASSED согласно ETSI EN 319 102-1), так  и в случае её  недействительности (статус TOTAL_FAILED и, в некоторых случаях, INDETERMINATE, согласно ETSI EN 319 102-1).

Обеспечение долговременной сохранности статуса действительности включает в себя сохранение потока битов:
  • подписанных документов; и / или

  • иных электронных объектов, таких, как сертификаты, OCSP-квитанции, штампы времени и т.д.
2) Сохранение целостности потоков битов, образующих электронные объекты, независимо от того, подписаны они или нет, с использованием технологий электронной цифровой подписи (ЭЦП, штампы времени, записи с подтверждающими сведениями -  Evidence Records и т.д.).

Примечание 5: В данном случае, если основным объектом, долговременную сохранность которого необходимо обеспечить, является электронная подпись, то он обрабатывается так же, как и любой другой файл.

Примечание 6. В настоящем документе не рассматривается вариант сохранения целостности образующего электронный объект потока битов без использования технологий электронной цифровой подписи.

Кроме того, настоящий документ содержит перечень существующих стандартов и отдельных правовых концепций, относящихся к теме услуг по обеспечению долговременной сохранности.

В настоящем документе также предлагается концепция системы стандартов.»
Мой комментарий: При всем уважении к работе ETSI, не могу не отметить, что представления ИТ-специалистов о длительной перспективе какие-то очень … краткосрочные :) На самом деле то, что предлагается в данном документе – это решения, которые способны более-менее эффективно работать в интервале времени лет в 30 максимум. А что делать с электронными документами, которые нужно хранить столетия?

И, конечно же, не совсем правильно, с моей точки зрения, уходить от вопросов правовой действительности подписей. Технологии усиленных подписей способны дать максимальную отдачу лишь тогда, когда технические и правовые вопросы будут решаться в комплексе.

Источник: сайт ETSI
http://www.etsi.org/deliver/etsi_sr/019500_019599/019510/01.01.01_60/sr_019510v010101p.pdf

Комментариев нет:

Отправить комментарий