17 – 19 ноября 2009 года в Санкт-Петербурге состоялась седьмая ежегодная международная научно-практическая конференция «PKI-Форум 2009».
      В ней приняли участие более 150 представителей из 7 стран Европы и СНГ, включая Беларусь, Казахстан, Латвию, Литву, Польшу, Российскую Федерацию, Эстонию. От Российской Федерации в работе конференции участвовали руководители и специалисты 38-ми удостоверяющих центров, 10-ти федеральных органов власти, 4-х региональных органов власти, 58-ми предприятий различных форм собственности, 4-х учебных заведений, 3-х общественных организаций.
      На пленарном и двух секционных заседаниях «PKI-Форум 2009» были представлены 28 докладов, проведено 2 круглых стола. В рамках работы секций и круглых столов был рассмотрен опыт производителей, интеграторов, эксплуатирующих организаций по вопросам внедрения и эксплуатации систем, использующих сервисы инфраструктуры открытых ключей. Участники конференции подвели итоги за год практической деятельности в сфере применения PKI в информационных системах предприятий и организаций, выявили проблемные вопросы отрасли, а также наметили конкретные цели по развитию PKI, расширению практики применения данных технологий на 2010 год.
      В ходе конференции было отмечено, что приоритетными направлениями развития и использования сервисов на основе PKI являются: формирование единого пространства электронной цифровой подписи Российской Федерации на основе единой системы удостоверяющих центров, обеспечение безопасности компонентов инфраструктуры открытых ключей, обеспечение защиты персональных данных. Особое внимание докладчиков уделялось обсуждению вопросов создания и использования сервисов PKI в интересах оказания массовых государственных услуг, исполнения государственных функций в электронном виде, электронной торговли, предоставления отчетности в электронном виде, а так же вопросов создания и эксплуатации корпоративных и ведомственных систем удостоверяющих центров, подсистемы удостоверяющих центров ОГИЦ.
      Большой интерес участников конференции вызвали вопросы использования технологий ЭЦП, организации инфраструктуры открытых ключей при создании единого пространства доверия ЭЦП и создания системы удостоверяющих центров на основе присоединениия к подсистеме УЦ ОГИЦ, использования в ведомственных, корпоративных и региональных информационных системах. В этой связи наиболее значимым представляется опыт реализации масштабной системы удостоверяющих центров ОАО «Газпром», создания методологических основ комплексного оценивания участников систем удостоверяющих центров на основе системы сертификации «ГАЗПРОМСЕРТ», а так же опыт применения PKI в ОАО «РЖД». Представители данных организаций подтвердили заинтересованность во взаимодействии корпоративных систем удостоверяющих центров с подсистемой УЦ ОГИЦ для построения единой системы удостоверяющих центров и пространства доверия ЭЦП Российской Федерации.
      В рамках рабочей программы конференции, были проведены двусторонние и многосторонние консультации по вопросам развития рынка ЭЦП с представителями Казахской, Польской, Белорусской и Российской сторон. По итогам консультаций было принято решение о дальнейшем развитии практики трансграничного применения электронной цифровой подписи в интересах торгово-экономических процедур в информационном пространстве. Определены пути дальнейшего развития двусторонних отношений в проблематике инфраструктуры открытых ключей. Представители Евросоюза, участвующие в конференции отметили, что в Евросоюзе решением Комиссии Евросоюза от 16.10.2009 г. для решения проблемы признания ЭЦП в странах ЕС установлено признание ЭЦП, основанной на квалифицированном сертификате – сертификате к которому выдвигаются самые жесткие требования. Для реализации этой цели с 28.12.2009 г. в ЕС будет публиковаться список доверенных сервисов (TSL, стандарт ETSI TS 102 231) включающий все субъекты, предоставляющие квалифицированные услуги в странах ЕС.
      Согласно общему мнению участников мероприятия 7-летний опыт применения Федерального закона «Об электронной цифровой подписи» – свидетельство успешного использования технологий на базе инфраструктуры открытых ключей и развития рынка удостоверяющих центров. Так, в настоящее время в едином государственном реестре сертификатов ключей подписей уполномоченных лиц удостоверяющих центров зарегистрировано более 240 сертификатов ключей подписей уполномоченных лиц удостоверяющих центров. Сертифицированные комплексы технических средств удостоверяющих центров развернуты и успешно применяются в государственной системе изготовления, оформления и контроля паспортно-визовых документов нового поколения, в Росинформтехнологии, в Банке России, Пенсионном Фонде Российской Федерации, Федеральном казначействе, ФМС России, ФНС России, ФТС России, крупнейших компаниях, в том числе ОАО «Газпром» и ОАО «РЖД». В стране широкомасштабно применяются системы электронного юридически значимого документооборота.
      Тем не менее, участники конференции единодушно констатируют факты и настойчивые попытки внесения в федеральный закон от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи» ряда законопроектных инициатив по его существенному изменению и, особо выделяющиеся попытки снижения требований к надежности применяемых средств электронной цифровой подписи. В частности, в рамках программы форума критически обсуждался вариант законопроекта «Об электронной подписи». Основным его концептуальным отличием от существующего ныне федерального закона «Об электронной цифровой подписи» является отсутствие требования об обязательной реализации электронной подписи на основе криптографического преобразования, что делает возможным применение некачественных, ненадежных аналогов собственноручной подписи.
      В рамках мероприятия обсуждались и отдельные недостатки в области применения РКI в Российской Федерации. Внимание участников конференции было обращено на недостаточную реализацию ряда положений Федерального закона от 10.01.2002 №1-ФЗ в части отсутствия в целом регулятивных механизмов деятельности удостоверяющих центров, в том числе статьи 8 о материальной ответственности удостоверяющих центров. Особое внимание было обращено на нормативную неопределенность аккредитации удостоверяющих центров для обеспечения процедур проведения электронных аукционов. Ведущие эксперты в области информационных технологий также отметили отсутствие единых подходов в реализации технологий PKI при отраслевом применении, единой системы требований к форматам сертификатов ключей подписей, и, как следствие, сделали вывод о необходимости введения общих правил регулирования деятельности удостоверяющих центров, основанной на базе требований по присоединению к подсистеме удостоверяющих центров ОГИЦ. Участники конференции констатируют, что ограничение экспорта шифровальных (криптографических) средств не позволяет обеспечить равные возможности для иностранных поставщиков государственного заказа, определенных статьей 13 Федерального закона от 21.06.2005 № 94-ФЗ «О размещении заказов на поставки товаров, выполнение работ, оказание услуг для государственных и муниципальных нужд».
      Кроме того, был обсужден ряд вопросов, касающихся политики ценообразования на рынке PKI-услуг. Ряд выступающих подчеркнули необходимость разработки решений, позволяющих снизить потребительскую стоимость услуг и поставки товаров для PKI-задач в интересах физических лиц, вплоть до предоставления бесплатных клиентских лицензий на СКЗИ для граждан при получении ими государственных услуг. Представители регуляторов особо отметили, что только ощутимое снижение стоимости средств ЭЦП и лицензий на программное обеспечение позволит сделать услугу массовой для конечного пользователя. Представители производителей решений и провайдеров услуг отметили, что рынок РКI в значительной степени зависит от массовости спроса на РКI решения.
      Успешное развитие и внедрение систем предоставления государственных услуг на базе единого пространства доверия ЭЦП напрямую связано с решением вопросов, связанных с человеческим фактором. Участники конференции видят проблему не только в квалификации специалистов, способных грамотно и быстро развернуть, настроить и обслужить удостоверяющие центры подсистемы УЦ ОГИЦ, но и в подготовке пользователей (клиентов) инфраструктуры открытых ключей.

      В качестве наиболее заметных характеристик «PKI-Форум 2009» следует отметить:

• значительное внимание вопросам применения сервисов PKI в интересах электронной торговли, в частности – систем государственного заказа;

• рассмотрение вопросов оказания государственных услуг и государственных функций в рамках единого пространства ЭЦП;
• значительное внимание вопросам комплексного оценивания удостоверяющих центров, входящих в системы, в целях создания гармонизированного единого пространства ЭЦП;
• усиление значимости вопросов, практического использования ЭЦП;
• значительная активность ведущих экспертов – представителей регуляторов в рамках работы форума.

      Заслушав и обсудив круг вопросов, связанных с использованием инфраструктуры открытых ключей, участники Конференции решили:

1. Принять к сведению доклад Росинформтехнологии о результатах проведенного мониторинга деятельности удостоверяющих центров и использования электронной подписи. Одобрить действия (работы) Росинформтехнологии по формированию единого пространства ЭЦП и создания системы удостоверяющих центров в рамках предоставления государственных услуг в электронном виде на основе присоединения удостоверяющих центров к подсистеме УЦ ОГИЦ в соответствии с существующими нормативными правовыми актами.

2. Отметить, что попытки упрощения технологий единого пространства ЭЦП Российской Федерации за счет снижения требований к надежности ЭЦП представляют реальную угрозу для эффективного использования юридически-значимого электронного документооборота, а в рамках электронного правительства – угрозу безопасности государства.
3. Предложить участникам форума в срок до 25 ноября 2009 года представить свои предложения по внесению изменений в ФЗ-1 «Об электронной цифровой подписи» через программный комитет форума.
4. Предложить ФСТЭК России рассмотреть возможность либерализации требований по ограничению экспорта отечественных шифровальных (криптографических) средств для иностранных участников процедур государственного заказа в электронном виде.
5. Предложить Росинформтехнологии при организации системы аккредитации УЦ рассмотреть возможность использования опыта и подходов системы комплексного оценивания соответствия аккредитуемых организаций и взаимодействия с аккредитованными организациями, на основе системы сертификации «ГАЗПРОМСЕРТ», представленной на форуме.
6. Просить участников конференции направить предложения в Росинформтехнологии по формированию единых подходов в реализации технологий PKI при отраслевом (ведомственном) применении, единой (межведомственной) системе требований к форматам сертификатов ключей подписей.
7. Рекомендовать Минобрнауки рассмотреть вопрос о включении учебных программ по подготовке различных категорий потребителей сервисов PKI в программы учебных заведений различных уровней и профилей, в курсы подготовки специалистов органов государственной власти, органов местного самоуправления, совместно с соответствующими регуляторами;
8. Создать открытую дискуссионную площадку в сети Internet для эффективного взаимодействия регуляторов с участниками рынка услуг в области PKI.
9. Организовать постоянный мониторинг проблематики PKI совместно с удостоверяющими центрами на основе анкетирования представителей различных сегментов рынка PKI (в том числе и удостоверяющих центров, зарегистрированных в едином государственном реестре) результаты мониторинга публиковать не реже 1 раза в год.
10. Обратить внимание регуляторов (Минэкономразвития России, Минкомсвязи России, Росархив, Минюст России, Росинформтехнологии, ФСБ России, ФСТЭК России) на назревшую необходимость безотлагательного нормативного регулирования вопросов обеспечения юридической значимости при длительном архивном хранении электронных документов.
11. Предложить Министерству экономического развития Российской Федерации и операторам электронных площадок государственного заказа использовать в качестве авторизованных удостоверяющих центров на электронных площадках государственного заказа удостоверяющие центры, из состава определенных уполномоченным федеральным органом исполнительной власти в области использования ЭЦП на основании требований Приказа Минкомсвязи России от 23.03.2009 №41 и опубликованных на Портале государственных и муниципальных услуг (функций) в соответствии с Правилами, утвержденными Постановлением Правительства Российской Федерации № 478 от 15.06.2009 (п.п.29-31).
12. Рекомендовать Минкомсвязи России и Росинформтехнологии продолжить работы по определению порядка применения проектной нормативно-технической базы трансграничного, межрегионального, межведомственного электронного документооборота на основе узла международного взаимодействия ОГИЦ, а так же по использованию практического опыта, прежде всего полученного в рамках инициатив единого таможенного союза.
13. Поддержать инициативы деловых кругов в применении технологий трансграничного, межрегионального, межведомственного электронного документооборота на основе сервисов доверенной третьей стороны в интересах трансграничных бизнес-процессов.
14. Рекомендовать производителям программного обеспечения удостоверяющих центров учесть требование федерального закона от 10.01.2002 №1-ФЗ «Об электронной цифровой подписи» ст.9 п.5 в части обеспечения уникальности открытого ключа, в том числе и в архиве УЦ.
15. С учетом инициативы компаний ИнфоТеКС и Сигнал-КОМ, предлагающих PKI-сообществу бесплатные неограниченные клиентские лицензии на свои средства криптографической защиты информации с сертифицированной реализацией российских криптографических стандартов с правом их безвозмездного использования при предоставлении адресных юридически значимых государственных услуг в электронной форме, предложить Росинформтехнологии и заинтересованным компаниям рассмотреть данную инициативу и подготовить соответствующие предложения.
16. В целях обеспечения интероперабельности продуктов российских разработчиков СКЗИ рекомендовать разработчиками, интеграторам и заказчикам систем массового предоставления государственных услуг стандарт PKCS#11, профиль которого рекомендован ТК-26 (ПК-2) Ростехрегулирования России и представленного стандартным расширением международного криптографического стандарта RSA Security Inc. PKCS #11 Cryptographic Token Interface (Cryptoki) V2.30 (стандарт интерфейса криптографических токенов) в качестве интерфейса взаимодействия программных средств СКЗИ и аппаратных компонент идентификационных элементов при использовании в системах массового предоставления через ОГИЦ государственных услуг в электронном виде.
17. Считать целесообразным проведение очередной VIII международной научно-практической конференции «PKI-Форум 2010» в Санкт-Петербурге в 2010 году.

      Участники конференции выразили благодарность организаторам за хорошую организацию мероприятия, представителям иностранных делегаций за неоценимую информацию в области использования ЭЦП и опыте европейских стран и государств СНГ, предоставленную в докладах и презентациях, и, наконец, жителям Санкт-Петербурга за теплый прием и заботу об участниках конференции в рамках деловых и неформальных мероприятий.

      Принято на итоговом пленарном заседании 19 ноября 2009 года.

      По поручению Оргкомитета седьмой ежегодной международной научно-практической конференции «PKI-Forum 2009»: