- •1.1. Информация и сигналы
- •1.2. Информационные технологии и системы
- •База знаний;
- •Механизм вывода;
- •Интерфейс и пользователь.
- •1.3. Передача и оценка информации
- •1.4. Алгоритмы
- •2.1. Цели создания, назначение и структура еаис
- •2.2. Этапы развития еаис
- •2.3. Ведомственная интегрированная телекоммуникационная сеть
- •3.1. Общие принципы и органы управления
- •3.2. Правовые основы применения электронных документов и информационных технологий в таможенном деле и торговле
- •Глава 1. Общие положения.
- •Глава 2. Условия использования электронной цифровой подписи. Глава 3. Удостоверяющие центры.
- •Глава 4. Особенности использования электронной цифровой подписи. Глава 5. Заключительные и переходные положения.
- •3.3. Основные направления развития
- •4.1. Назначение и классификация вычислительных сетей
- •4.2. Физическая передающая среда для связи компьютеров
- •4.3. Эталонная модель взаимодействия вычислительных систем
- •4.4. Устройства организации взаимодействия в вычислительных сетях
- •4.5. Принципы управления и доступа в вычислительных сетях
- •4.6. Глобальная сеть Интернет
- •4.7. Параметры рабочих станций и вычислительных сетей
- •4.8. Контроль и восстановление
- •4.9. Средства вычислительных сетей таможенных органов
- •5.1. Размещение и организация
- •5.2. Понятия базы данных и системы управления базами данных
- •5.3. Файловая модель
- •5.4. Иерархическая и сетевая модели представления данных
- •5.5. Реляционная модель данных
- •5.6. Системы управления базами данных
- •5.7. Классификация и кодирование
- •5.8. Базы данных еаис
- •5.9. Информационно-поисковые системы
- •Август 14.08.2007
- •Январь 27.01.2007
3.2. Правовые основы применения электронных документов и информационных технологий в таможенном деле и торговле
Киотская конвенция
Успехи развития телекоммуникаций, электронных платежных систем, систем корпоративного электронного документооборота сделали возможным создание и внедрение в практику работы таможенных органов систем «электронного» декларирования, которые предполагают подачу документов и сведений, необходимых для декларирования товаров и транспортных средств, получение участниками ВЭД решений таможенных органов и других контролирующих организаций в электронной форме. Многие страны уже активно используют технологии таможенного оформления и контроля на основе электронных документов и электронного обмена (США, Австралия, Франция, Германия, Исландия и др.). Так, в США почти все товары оформляются путем подачи деклараций в электронной форме.
Таможенные службы практически всех развитых стран являются членами Совета таможенного сотрудничества (Всемирной таможенной организации). В их числе и таможенная служба России. Члены Совета обязуются способствовать упрощению и унификации таможенных процедур в соответствии с решениями Совета.
В апреле 1999 г. вступили в действие Общие положения Международной конвенции об упрощении и гармонизации таможенных процедур (Киотская конвенция), подготовленные Советом таможенного сотрудничества, которые «подлежат обязательному применению относительно таможенных процедур и методов, указанных в Общих положениях, а также по мере возможности применению относительно таможенных процедур и методов Специальных приложений». В таможенный кодекс РФ (2003 г.) заложены все основные стандарты и правила Конвенции, в том числе касающиеся информационных технологий и применения электронных документов.
Так, в главе 7 (Применение информационных технологий) Общих положений определено:
-
таможенная служба использует информационные технологии для успешного осуществления таможенных операций в случаях, когда это оказывается экономичным и эффективным как для нее, так и для торгового сообщества. Таможенная служба определяет условия для их применения;
-
при реализации на практике средств вычислительной техники таможенная служба придерживается соответствующих международных стандартов;
119
- внедрение информационных технологий осуществляется при максимальном взаимодействии со всеми непосредственно заинтересованными сторонами;
- новое или обновленное национальное законодательство предусматривает:
-
способы ведения электронной торговли, альтернативной ведению бумажной документации;
-
методы идентификации электронным способом и посредством бумажной документации;
-
право таможенной службы использовать для собственных потребностей и в надлежащих случаях производить обмен информацией с другими таможенными подразделениями и со всеми другими юридически уполномоченными сторонами посредством технологий электронной торговли.
Кроме того, в главах 3 (Очистка и другие таможенные формальности) и 9 (Информация, решения и постановления таможенной службы) указано:
п. 3.11. «Содержание товарной декларации определяется таможенной службой. Бумажный формат товарной декларации соответствует стандарту ООН.
Для автоматизированных процессов таможенной очистки формат товарной декларации, подаваемой электронным способом, соответствует международным стандартам электронного обмена информацией, как предписано в рекомендациях Совета таможенного сотрудничества по вопросам информационных технологий»;
п. 3.18. «Таможенная служба разрешает подачу сопроводительных документов электронной почтой»;
п. 3.21. «Таможенная служба разрешает подачу товарной декларации электронной почтой»;
п. 9.4. «Таможенная служба использует информационные технологии с целью совершенствования представления информации».
Основные положения Киотской конвенции, касающиеся использования информационных технологий для ускорения таможенного оформления и контроля, получили развитие в Рамочных стандартах Всемирной таможенной организации (более подробно см. в п. 3.3).
Таможенный кодекс Российской Федерации
Программы развития российской таможенной службы, дальнейшие перспективы совершенствования таможенного дела связывают с внедрением современных технологий таможенного оформления и контроля на основе электронных документов и электронного обмена между таможенными подразделениями и участниками ВЭД.
Со второй половины 90-х гг. в России начались работы по выполнению предварительных операций таможенного оформления и контроля на основе электронных документов. Это были эксперименты, так как российское таможенное законодательство (в первую очередь Таможенный кодекс РФ 1993 г.) не оговаривало возможность применения электронной формы декларирования. Более того, фактически таможенное оформление товара запрещалось до момента пересечения таможенной границы, хотя предварительное представление электронных документов и таможенное оформление - важнейшие компоненты технологий электронного декларирования. Таким образом, до недавнего времени практически отсутствовала серьезная правовая основа внедрения электронного декларирования в практику работы таможенных органов России.
Таможенный кодекс (ТК), введенный в действие с 1 января 2004 г., содержит семь статей, разрешающих участникам ВЭД представлять в таможенные органы документы в электронном виде, а таможенным органам - производить таможенное оформление и контроль.
Статьи Кодекса, в которых упоминаются электронные документы или говорится о возможности применения электронного обмена, можно разбить на три группы [40].
Первая группа статей разрешает субъектам, участвующим в процессах таможенного оформления, представлять и получать сведения в форме электронных документов:
-
«Декларирование товаров производится путем заявления таможенному органу в таможенной декларации или иным способом, предусмотренным настоящим Кодексом, в письменной, устной, электронной или конклюдентной форме сведений о товарах, об их таможенном режиме и других сведений, необходимых для таможенных целей» (гл. 14, ст. 124, п. 1)»;
-
«Документы, необходимые для таможенного оформления, могут быть представлены в форме электронных документов в соответствии с настоящим Кодексом» (гл. 8, ст. 63, п. 8);
-
«Перевозчик вправе представить документы (часть документов) в форме электронных документов в соответствии с настоящим Кодексом и в порядке, определенном федеральным органом исполнительной власти, уполномоченным в области таможенного дела» (гл. 9, ст. 72, п. 3);
-
«Транзитная декларация может быть представлена в форме электронного документа. Порядок представления транзитной декларации в форме электронного документа и порядок ее использования при внутреннем таможенном транзите определяются федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с настоящим Кодексом» (гл. 10, ст. 81, п. 7);
-
«Лицо, помещающее товары на СВХ, вправе представить необходимые документы и сведения в виде электронного документа в соответствии с настоящим Кодексом» (гл. 12, ст. 102, п. 4);
-
«При декларировании товаров и совершении иных таможенных операций, необходимых для выпуска товаров, декларант вправе: ... представлять документы и сведения, необходимые для декларирования товаров, в форме электронных документов в соответствии с настоящим Кодексом» (гл. 14, ст. 127, п. 1);
-
«По запросу лица, подавшего таможенную декларацию, таможенный орган немедленно выдает письменное подтверждение (в том числе в форме электронного документа) о получении таможенной декларации и представлении необходимых документов» (гл. 14, ст. 132, п. 1).
121
Таможенный кодекс РФ усилил контрольные функции таможенных органов в части возможности контроля после выпуска товара. Таможенные органы могут в течение года после выпуска товара контролировать правильность использования выпущенных товаров. Вторая группа включает статьи (ст. 363, 376), разрешающие таможенным органам запрашивать и получать документы при таком контроле в электронной форме, что позволяет упростить, ускорить и повысить эффективность контроля:
-
«В целях проверки достоверности сведений после выпуска товаров таможенные органы вправе запрашивать и получать коммерческие документы... и другую информацию, в том числе в форме электронных документов, относящуюся к внешнеэкономическим операциям с этими товарами, а в отношении товаров, ввозимых на таможенную территорию Российской Федерации, - также и к последующим операциям с данными товарами, у декларанта или иного лица, имеющего отношение к операциям с товарами» (гл. 34, ст. 363, п. 4);
-
при проведении специальной таможенной ревизии таможенный орган вправе «требовать безвозмездного представления любой документации и информации (включая банковскую), в том числе в форме электронных документов, относящихся к проведению производственных, коммерческих или иных операций с товарами, ввезенными на таможенную территорию РФ, и знакомиться с ней» (гл. 34, ст. 376, п. 4).
Особо следует отметить, что ТК РФ впервые в мировой таможенной практике содержит специальную главу (гл. 40) «Информационные системы и информационные технологии в таможенном деле» об использовании таможенными органами информационных технологий.
Статьи этой главы и составляют третью группу. В них рассматриваются общие требования к разработке и применению информационных технологий, ресурсов и защите информации; порядок и условия информационного взаимодействия с участниками ВЭД.
В таможенном органе, осуществляющем таможенное оформление и контроль, имеются специальные программы - специальные АРМ, с помощью которых должностное лицо таможенного органа выполняет просмотр и контроль представленных в таможенный орган электронных документов. В связи с этим представленные для оформления электронные документы должны быть в формате, не требующем дополнительных преобразований для использования программного обеспечения специалистами таможенных органов.
В статье 423 ТК РФ указывается, что внедрение информационных систем и технологий ведется в «соответствии со стандартами, действующими в Российской Федерации, и международными стандартами», а условия и порядок их использования устанавливаются федеральным органом исполнительной власти, уполномоченным в области таможенного дела.
Информационные системы и технологии, используемые для предоставления документов и сведений владельцами СВХ, владельцами таможенных складов, таможенными брокерами и иными лицами, должны отвечать требованиям, устанавливаемым федеральным органом исполнительной власти, уполномоченнымв области таможенного дела. Причем они могут использоваться только после их проверки таможенными органами (ст. 426).
Если статьи первой и второй групп определяют возможность использования электронных форм документов в процессах таможенного оформления и контроля, то п. 4 ст. 425 гл. 40 разрешает использовать для их передачи в таможню способы электронного обмена (к таким способам, в частности, относят подачу электронного документа с помощью электронной почты): «Документы, представление которых предусмотрено настоящим Кодексом или в определенном им порядке, в том числе таможенная декларация, могут представляться посредством электронных способов обмена информацией при соблюдении требований к документированию информации, установленных федеральным органом исполнительной власти, уполномоченным в области таможенного дела, а также иных требований, установленных законодательством Российской Федерации».
Следует отметить, что в Положении о специалисте по таможенному оформлению (постановление Правительства РФ от 17.07.1996 № 873) в обязанности специалиста вменялось, в частности, «составление документов и их электронных образов». Там же указывалось, что обязанностью таможенного брокера является «обеспечение совместимости используемых таможенным брокером средств автоматической обработки информации и программных продуктов со средствами автоматической обработки информации и программными продуктами, используемыми таможенными органами Российской Федерации».
В пункте 1.2 настоящего учебника указывалось, что важной задачей информационных систем является обеспечение информационной безопасности. В ТК РФ к защите информации относятся ст. 10 «Отношение к информации, полученной таможенными органами» и ст. 427 «Защита информации и прав субъектов, участвующих в информационных процессах и информатизации». В соответствии с этими статьями информация, полученная в ходе таможенной деятельности, может использоваться только в таможенных целях и не подлежит передаче третьим лицам (за исключением случаев, предусмотренных законодательством), причем на таможенные органы возлагается ответственность за разработку, создание и использование специальных программно-технических средств защиты этой информации.
Международные стандарты
и рекомендации по организации
электронного обмена
Очевидно, что электронный обмен документами по сравнению с традиционными способами обладает существенными преимуществами в оперативности, достоверности и надежности обмена информацией. Понятно, что дальнейший прогресс в торговле, банковском и таможенном деле должен предусматривать широкое использование электронного документооборота. Именно поэтому популярными и широко используемыми стали термины «электронная торговля», «электронные банки», «электронное декларирование», что предполагает использование современных средств связи, средств вычислительной техники и информационных технологий при заключении, подтверждении, оплате и выполнении торговых и иных сделок, в том числе операций по таможенному оформлению и контролю.
В Федеральном законе «Об электронной цифровой подписи» приводится следующее определение понятия электронного документа: «документ, в котором информация представлена в электронно-цифровой форме». При этом под электронно-цифровой понимают такую форму, в которой документ может храниться и обрабатываться ЭВМ.
С середины 80-х гг. прошлого века стали появляться стандарты, международные конвенции и соглашения, стимулирующие участников внешнеторговых сделок и перевозчиков использовать электронные формы документов.
Стремление к внедрению электронного обмена информацией во внешней торговле послужило одной из главных причин переработки в 1990 г. международных правил интерпретации коммерческих терминов «ИНКОТЕРМС». Так, во Введении «ИНКОТЕРМС-1990» говорится: «Намерение приспособить ИНКОТЕРМС к все возрастающему использованию средств компьютерной связи (EDI) явилось основной причиной их пересмотра в 1990 г.». Согласно редакции 1990 г. применение таких средств связи возможно при представлении сторонами различных документов (коммерческих счетов, документов, необходимых для таможенной очистки, или документов, подтверждающих поставку товаров, а также транспортных документов).
Принятые в 1990 г. Международным морским комитетом (ММК) Правила для электронных коносаментов (Rules for Electronic Bills of Lading) содержат механизм, предоставляющий возможность желающим осуществлять электронный обмен при полном сохранении существующего договорного обязательства перевозчика. Правила (п. 11) устанавливают эквивалентность электронных данных письменным документам.
Относительно электронного коносамента в «ИНКОТЕРМС-2000» появился абзац: «Несмотря на особенную юридическую природу коносамента, предполагается, что в ближайшем будущем он будет заменен электронным документом. Версия Инкотермс (Incoterms) уже 1990 года должным образом учла это ожидаемое усовершенствование. В соответствии со статьями А.8 терминов бумажные документы могут быть заменены электронной информацией при условии, что стороны договорились осуществлять электронную связь. Такая информация может передаваться непосредственно заинтересованной стороне или через третью сторону, обеспечивающую дополнительные услуги».
В 1995 году Комиссией ООН по торговому праву (UNCITRAL) разработан и опубликован модельный закон об электронной подписи, на основе которого в последующие годы во многих странах были приняты национальные законы, определившие условия и правила, по которым электронные документы получают юридический статус, аналогичный бумажным документам с подписями и печатями. Федеральный закон РФ «Об электронной цифровой подписи» был подписан Президентом РФ 10 января 2002 г.
124
Многие действующие системы электронного документооборота, связанные с электронным обменом при международных перевозках, таможенном оформлении или при международных межбанковских операциях, в той или иной степени используют стандарты и рекомендации UN/EDIFACT. В отличие от рассматривавшихся выше документов, которые создают правовую основу и излагают принципы применения электронных документов, UN/EDIFACT касается технических вопросов формирования сообщений и организации электронного обмена [36,43,75].
В 1988 году Международная организация по стандартизации ISO (International Organization for Standardization) утвердила первые стандарты UN/EDIFACT (ЭДИФАКТ ООН). Сегодня под UN/EDIFACT понимается комплекс справочников и правил, направленных на унификацию построения электронных сообщений в различных областях человеческой деятельности. Они широко применяются при разработке типовых сообщений, систем электронного кодирования и обмена в различных предметных областях. Интерес к этим стандартам обусловлен тем, что они позволяют унифицировать обозначения, правила оформления документов и порядок электронного обмена при осуществлении внешнеторговых сделок, а также сократить объемы передаваемых электронных сообщений. Например, подсчитано, что платежное поручение в виде стандартного UN/EDIFACT сообщения PAYORD1 имеет объем (при хранении на ЭВМ) примерно в 5 раз меньше исходного документа.
В некоторых экспериментальных разработках российской таможни имеют место попытки использовать стандарты UN/EDIFACT. При этом надо иметь в виду, что наиболее целесообразно этот стандарт применять при международном обмене электронными сообщениями. Если обмен сообщениями идет внутри страны, то удобнее, а зачастую и выгоднее пользоваться собственными стандартами и правилами.
Нормативно-правовую основу UN/EDIFACT составляют стандарты ISO 7372 и ISO 9735.
В ряде структур, функционирующих под эгидой ООН и ЕС и занимающихся проблемами стандартизации, есть специальные органы по развитию и продвижению стандартов UN/EDIFACT. Наряду с другими документами ими выпущено около 30 рекомендаций.
Ниже приведены некоторые из них.
Рекомендация № 5. «Сокращения для ИНКОТЕРМС» (Abbreviations of Incoterms. Alphabetic code for INCOTERMS 1990).
Принята в мае 1990 г. Область применения - рекомендует правительственным органам и международным организациям использовать сокращения торговых терминов для целей кодирования во внешнеторговых документах.
1
EDIFACT
предполагает использование стандартных
сообщений, каждое из которых имеет свое
стандартное имя.
125
Принята в октябре 1988 г. Область применения - рекомендация устанавливает метод стандартного и однозначного представления в цифровой форме даты, времени суток и периода времени.
Рекомендация № 24. «Согласование кодов статуса перевозки».
Принята в сентябре 1995 г. В рекомендации предусматривается система кодирования для обозначения статуса перевозки. Кодовые обозначения, предусмотренные этой рекомендацией, предназначены для использования в справочных и/или автоматизированных системах для обмена информацией между всеми участниками международной торговли.
Рекомендация № 25. «Об использовании стандарта Организации Объединенных Наций для электронного обмена данными в управлении, торговле и на транспорте (ЭДИФАКТ ООН)».
Принятая в сентябре 1995 г. Рекомендация направлена на осуществление согласованных мер правительствами в целях внедрения стандарта ЭДИФАКТ/ ООН (UN/EDIFACT) в качестве международного стандарта для электронного обмена данными (ЭОД) между государственными компаниями во всех экономических секторах на общемировой основе. Рекомендация предназначена для использования на национальном, региональном и международном уровнях.
В 1995 году европейская организация стандартизации CEN приняла решение об опубликовании 25 типовых UN/EDIFACT-сообщений в качестве европейских стандартов. Сообщения относятся к сферам банковской деятельности, торговли, таможенной практики, транспорта и строительства.
Летом 1997 г. ECOSOC (Экономический и социальный совет ООН) принял решение придать Рекомендации № 25 статус рекомендации ООН, что влечет за собой международное признание ЭДИФАКТ ООН и применение в качестве международного стандарта. Россия также приняла Рекомендацию № 25.
Стандарты UN/EDIFACT определяют форматы передаваемых данных и отчасти протокол электронного взаимодействия. При их разработке ключевыми являлись следующие соображения:
-
передача содержания документа, а не его формы, которая различна в разных странах (при проведении платежей оформляются платежные поручения, содержащие одинаковую информацию, но имеющие несколько разные формы-бланки представления);
-
использование унифицированных наборов элементов данных, из которых по установленным синтаксическим правилам составляются информационные сегменты (заголовок документа, информация об условиях поставки, об участнике сделки и т.п.);
-
использование (где возможно) унифицированных кодов задания информации, содержащейся в документе (указание типа валюты или названия банка);
-
независимость форматных и структурных преобразований передающей и принимающей сторон, которые должны обеспечиваться специальными программами-конверторами, выполняющими преобразования из внутренних форматов пользователя в формат UN/EDIFACT и наоборот.
126
Считается, что технологии электронного обмена, основанные на применении гандартов UN/EDIFACT, имеют следующие достоинства:
- при внедрении этих стандартов не требуется переделка имеющих-я программных систем пользователя, достаточно разработать и установить
инвертор;
-
появляется возможность работать по стандартам (в частности, использовать справочники и классификаторы), которые используют многие участники международной торговли;
-
создаются предпосылки для автоматического формирования и обработки передаваемых и поступающих документов и сообщений;
-
снижаются расходы на пересылку документов и сообщений в связи с минимизацией объемов передаваемых данных.
Основными понятиями в UN/EDIFACT являются: элемент данных, сегмент, сообщение.
Элемент данных - единица данных, для которой определен метод идентификации, описания и задания значения.
Сегмент - определенный набор элементов данных, функционально взаимосвязанных и идентифицируемых по их порядковым позициям в наборе. Каждый сегмент имеет строго определенную структуру, описанную в специальном справочнике сегментов стандарта UN/ EDIFACT.
Сообщение UN/ EDIFACT - набор сегментов в последовательности, заданной в справочнике сообщений.
По стандарту UN/EDIFACT подготовка документов для электронного обмена ведется в соответствии с определенными требованиями.
-
Любой документ, предназначенный для электронного обмена, состоит из типовых сегментов.
-
Сегмент состоит из полей (элементов данных), причем одно и то же поле может входить в различные сегменты. Каждый сегмент предназначен для указания определенных данных.
-
Для повышения универсальности и сокращения объема данных применяются кодовые таблицы (справочники), в соответствующем поле которых вместо текста часто проставляется некоторый код. Партнеры, обменивающиеся такими электронными документами, должны иметь идентичные справочники. Состав и наполнение справочников стандартизуется на трех уровнях: международном, национальном и компаративном (фирменном).
Например, для платежного поручения подходящим по назначению является стандартное сообщение PAYORD (рис. 3.4). Названия стандартных сегментов PAYORD приведены в прямоугольниках рисунка (каждое имя - три символа). Имя самого сообщения - UNSM. На рисунке показана итоговая последовательность сегментов для рассматриваемого сообщения, которая собственно и передается по каналу связи. В начале и в конце сообщения ставятся служебные, обязательные сегменты UNH (заголовок) и UNT (окончание сообщения). Каждый из других сегментов содержит вполне определенную информацию. Так, сегмент DIM - дата/время/период, МОА – денежная сумма, FII - информация о финансовой организации (банке), NAD - наименование и адрес и т.д.
Рис. 3.4. Представление отечественного платежного поручения в виде последовательности сегментов в формате UN/EDIFACT
Отправитель UN/EDIFACT-сообщения может запросить (в сегменте UNB) от получателя уведомление о получении электронного сообщения, его синтаксической или семантической правильности служебных сегментов, а также о поддержании получателем функции, запрошенной в служебных сегментах.
В стандартах UN/EDIFACT имеются несколько сообщений, на основе которых можно организовать взаимодействия декларанта и таможни в процессе таможенного оформления:
CUSDEC - грузовая таможенная декларация;
CUSRES - ответ таможни;
CONTRL - сообщение-подтверждение о передаче.
В частности, эти сообщения использовались в экспериментальной системе электронного обмена российской таможни в рамках программы Cast Com проекта TEDIM.
Заметим, что форматы UN/EDIFACT наиболее эффективны при электронном обмене с зарубежными партнерами. В корпоративных и национальных системах обычно применяются иные форматы, хотя они могут использовать некоторые компоненты UN/EDIFACT (например, различные классификаторы). В значительной мере это связано с необходимостью дополнительных преобразований при работе в системе UN/EDIFACT.
К середине 90-х гг. разработчикам EDIFACT стало понятно, что основные усилия должны быть направлены на разработку и внедрение стандартов и сценариев электронного обмена на основе форматов и правил EDIFACT применительно к конкретным областям. Сегодня ряд международных организаций занимается подобной работой.
Один из вариантов упрощения и сокращения объема электронных сообщений - применение унифицированной системы кодирования производителей, перевозчиков и товаров с использованием штрих-кодов и стандартов EDIFACT. Ведущая роль в развитии и применении такой системы принадлежит Европейской (European Article Numbering Association - EAN International) и Северо-Американской (Uniform Code Council - UCC) ассоциациям товарной нумерации. EAN International совместно с UCC (Uniform Code Council - Национальная организация EAN в США) разрабатывает и управляет международной многоотраслевой системой стандартов EANUCC для товарной нумерации и штрихового
128
кодирования, позволяющей идентифицировать и передавать данные о товарах, услугах, предприятиях, транспортных единицах [43, 45, 74] и др.
Разработанный этими организациями комплекс правил и стандартов для использования электронного обмена данными в процессе оформления и выполнения торговых сделок получил название EANCOM. Он основывается на использовании некоторого подмножества стандартных сообщений UN/EDIFACT. Стандарты и правила EANCOM содержат подробные толкования сообщений применительно к тем или иным операциям в торговле, сценариям их применения. Редакция EANCOM-2002 включала около 50 стандартных сообщений: SLSRPT -отчет о продажах; SLSECT - прогноз продаж; REMADV - уведомление о денежном переводе; IFTMAN - уведомление о прибытии; QUALITY - отчет о качестве и др.
Национальные организации товарной нумерации EAN уполномочены EAN International использовать систему EAN-UCC на национальном или региональном уровнях в качестве официальных представителей EAN International в данной стране или группе стран. В каждой стране может существовать только одна национальная организация - представитель EAN International. В России это Ассоциация автоматической идентификации ЮНИСКАН/EAN РОССИЯ.
В сообщениях EANCOM каждый продукт (товар), к какой бы группе он ни принадлежал, имеет свой уникальный стандартный номер EAN. В то же время каждая сторона, использующая сообщения в формате EANCOM, идентифицирована уникальным номером EAN (Location Number).
Существуют несколько систем кодирования: EAN/UCC-8, EAN/UCC-12, EAN/UCC-13, EAN/UCC-14 (ITF-14). Наиболее распространен код EAN/UCC-13.
Номер товара EAN/UCC-13 уникален в международном масштабе. На начало 2005 г. свыше 900 тысяч компаний в 128 странах мира кодировали свою продукцию штриховыми кодами EAN-13 (по данным сайта www.ean.ru).
При вступлении в ЮНИСКАН/EAN РОССИЯ предприятие получает официальное свидетельство о присвоении 9-значного регистрационного номера -глобального префикса предприятия (GCP) в международной системе EAN-UCC. Регистрационный номер состоит из префикса Национальной организации, который присваивает EAN International, и номера предприятия внутри Национальной организации. Глобальный префикс предприятия входит составной частью в товарные номера EAN/UCC-13, EAN/UCC-14 (ITF-14), глобальный идентификационный номер GLN, серийный код транспортной упаковки SSCC-18.
Номер товара EAN/UCC-13 имеет следующую структуру:
-
3 цифры - это код (префикс) Национальной организации - члена EAN International (например, 460-469 - ЮНИСКАН/EAN РОССИЯ, 482 - EAN Украина, 540-549 - EAN Бельгии-Люксембурга и т.д.);
-
6 цифр - это регистрационный номер предприятия, присвоенный Национальной организацией;
- 3 цифры - это порядковый номер продукции внутри предприятия;
- последняя 13-я цифра - контрольное число. Оно вычисляется на основании предыдущих двенадцати.
129
Рис. 3.5. Пример фикс)
EAN - код, включенный в электронное сообщение и представляющий в компактном виде информацию о производителе и товаре. С целью ускорения подсчета стоимости покупок, учета количества и номенклатуры продаж и т.п. систему кодирования EAN/UCC взяли за основу в системах штрихового кодирования. Штрих-код наносится на этикетку, которая наклеивается на упаковку товара. При считывании штрих-кода специальным прибором определяется стоимость товара, результаты продаж помещаются в БД предприятия. В результате не только повышается точность подсчета и стоимость покупки, но также формируются учетные данные, необходимые для контроля продаж.
Наиболее распространен штриховой код EAN-13, который необходимо отличать от международного товарного номера EAN/UCC-13. Штриховой код EAN-13 (рис. 3.5) представляет собой визуальное графическое изображение уникального международного номера товара EAN/UCC-13 в виде, пригодном для автоматического считывания специальным прибором. Значение номера EAN/UCC-13 продублировано арабскими цифрами в нижней части штрихового
Штриховой
код EAN-13
можно использовать для
штрих-кода EAN-13 «внутреннее использование». Например, универсам может изготовить собственные этикетки со штриховым кодом, начинающимся с цифры «2», и наклеить их на товары, на которых отсутствует штриховой код изготовителя. Номер, кодируемый штрих-кодом EAN-13, и в этом случае состоит из 13 цифр, однако его структура определяется самим пользователем. Надо иметь в виду, что данная маркировка не должна использоваться за пределами этого предприятия.
Коммерческие компании в зависимости от своих потребностей сами определяют, какими сообщениями и сценариями им следует ограничиться.
Весь перечень стандартных сообщений EANCOM можно разделить на четыре категории [74].
1. Сообщения для передачи базовой информации (Master Data) содержат относительно редко изменяемые данные (характеристики продукции, наименования и реквизиты предприятий, фамилии и должности ответственных лиц и т.д.). В их число входят:
-
«информация об участнике» - PARTIN: используется для обозначения всех сторон - участников информационного обмена уникальными идентификационными номерами (EAN Location Numbers) с указанием их подробных реквизитов (наименование, адрес, ответственные сотрудники, финансовые реквизиты, номер банковского счета и т.д.), а также другой необходимой информации;
-
«данные о продукции» - PRODAT: обеспечивает участников подобной информацией об отдельном виде продукции, товаров или услуг (описание, логистические данные, стоимостные характеристики и т.д.).
130
2. Сообщения для коммерческих транзакций покрывают все этапы торгового цикла (от запроса расценок до уведомления о денежном переводе за выполненный заказ):
-
о ценах и расценках - QUOTES, REQOTE, PRICAT: содержат все данные, относящиеся к условиям поставки товаров и услуг для покупателя (условия поставки, оплаты, цены, надбавки и скидки и т.д.);
-
об оформлении заказа - ORDERS, ORDRSP: относятся к процессам заказа, начиная с его оформления, уточнения, изменения при необходимости и заканчивая указанием характеристик заказа (количество, даты, конечные пункты доставки);
-
транспортные и логистические сообщения - IFTMIN, IFTSTA, IFTMBF, IFTMBC: обеспечивают передачу информации, относящейся к заказу на перевозку, отгрузке продукции и доставке заказа грузополучателю;
-
о денежном переводе за выполненный заказ - «Счет» INVOICE и «Уведомление о денежном переводе» REMADV: касаются оплаты заказанных товаров. Покупатель может автоматически получить счет от поставщика товара по факту заказа продукции.
-
Сообщения для планирования и отчета - SLSRPT, SLSFCT: содержат информацию сводного характера, необходимую для планирования. Они предоставляют коммерческим партнерам средство обмена точными данными об их потребностях, содержат различные по объему и по периодичности формирования отчеты и прогнозы, касающиеся поставок, продаж, управления запасами, и позволяют партнерам учесть при планировании их взаимные интересы и рыночные тенденции. Служебное сообщение синтаксического контроля CONTRL может быть отправлено получателем сообщения для уведомления о подтверждении информационного обмена.
-
Сообщение общего назначения - GENRAL: может применяться для отправки данных, для которых не существует стандартных сообщений.
Новые версии стандарта EANCOM выходят через каждые 2 года. При этом строго соблюдается правило, по которому обеспечивается полная совместимость EANCOM с базовым стандартом UN/EDIFACT.
Международная Ассоциация товарной нумерации (EAN International), Совет по унифицированному коду США и Канады (Uniform Code Council) и участники Глобальной коммерческой инициативы (Global Commerce Initiative) опубликовали первый вариант открытого международного стандарта электронного бизнеса по модели В2В на основе использования XML-схем [74]. XML - это наименование расширенного языка разметки - Extensible Markup Language, широко используемого при работе через сеть Интернет. Как и в предыдущих разработках, стандарт предполагает применение единых систем кодирования товаров, перевозчиков, коммерческих партнеров и т.д.
Госстандарт России выпустил ряд стандартов, создавших правовую основу внедрения стандартов EANCOM в России. Это, в частности:
- ГОСТ Р ИСО/МЭК 15426-1-2002 Автоматическая идентификация. Кодирование штриховое. Верификатор линейных символов штрихового кода. Требования соответствия;
-ГОСТ Р 51294.1-99 Автоматическая идентификация. Кодирование штриховое. Идентификаторы символик;
-
ГОСТ Р 51294.2-99 Автоматическая идентификация. Кодирование штриховое. Описание формата требований к символике;
-
ГОСТ Р 51294.3-99 Автоматическая идентификация. Кодирование штриховое. Термины и определения;
-
ГОСТ Р 51294.4-2000 (ИСО/МЭК 15459-1-99) Автоматическая идентификация. Международная уникальная идентификация транспортируемых единиц. Общие положения и ряд других стандартов.
Стандарты и правила UN/EDIFACT и EANCOM сегодня являются технической основой для организации электронного обмена в различных областях человеческой деятельности. Например, в системе межбанковских телекоммуникаций SWIFT хотя и используются собственные форматы электронных данных, но там, где это возможно, применяются стандарты и правила UN/EDIFACT. Таможенная служба США имеет несколько стандартов на форматы электронного обмена с участниками ВЭД, в их числе и форматы на основе UN/EDIFACT.
Электронное декларирование как система электронного документооборота
Переход к электронному декларированию - магистральное направление совершенствования в ближайшие годы информационных таможенных технологий в российской таможне. В частности, «Программа модернизации информационной системы таможенных органов» (на 2004-2008 гг.) и «Концепция развития таможенных органов», одобренная решением Правительства Российской Федерации от 14.12.2005 № 2225-р, предусматривают разработку и внедрение в практику работы таможенных органов технологий электронного декларирования.
Электронное декларирование представляет собой выполнение декларирования и иных процедур таможенного оформления и контроля исключительно на основе электронных документов и других компьютерных данных с использованием средств электронного обмена.
Декларанты и таможенные органы заинтересованы в скорейшем внедрении электронного декларирования, поскольку оно обеспечивает возможность получения товара практически сразу же по его прибытии в пункт назначения. Это достигается, во-первых, за счет применения компьютерных технологий документального таможенного оформления и контроля, так как все документы поступают в электронной форме; во-вторых, за счет предварительного представления документов, необходимых для таможенного оформления. Поэтому таможенные органы могут провести большую часть операций таможенного оформления и контроля до прибытия товара.
Электронное декларирование целесообразно для таможенных органов, прежде всего, потому, что предварительная подача документов дает время для контроля и тщательного анализа представленных данных и документов, а также для оценки возможности нарушения таможенных правил. При этом могут привлекаться электронные БД не только таможенной службы, но и других ведомств и организаций.
Таким образом, применение электронного декларирования позволяет существенно уменьшить поток бумажных документов, ускорить таможенное оформление документов и в целом повысить качество таможенного контроля.
Торговлю можно рассматривать как некоторый процесс перемещения товаров и денег, сопровождающийся документооборотом1. Перемещение товаров от поставщика к потребителю и денег к поставщику является конечной целью торговли. Причем в это движение вовлекается множество других участников, одним из которых является таможня. Работа с документами составляет значительную часть деятельности сотрудников предприятий торговли, банков и таможни. Фактически автоматизация деятельности вышеперечисленных организаций - это автсматизация работы с документами.
Современные таможенные технологии предполагают широкое использование электронного обмена электронными документами таможни с декларантами и другими участниками ВЭД. Для организации такого обмена таможня использует специально созданную ведомственную электронную почту.
Торговля и таможенное оформление предполагают проведение определенных платежей, для чего могут использоваться электронные платежные системы. Там, где существует финансовая ответственность, неизбежно возникает юридическая значимость представляемых документов. Эффективным техническим способом решения проблемы обеспечения электронных документов таким же юридическим статусом, как и у бумажных форм документов, является использование цифровой электронной подписи. Для случаев использования электронных документов в торговле и международных перевозках создана специальная нормативно-правовая база (в том числе в области таможенного дела).
Как в никакой другой области, для систем электронного обмена документами важны стандартизация и унификация, регламентирующие правила, которые должны соблюдаться участниками электронного обмена при создании и применении систем электронного документооборота. Ряд международных организаций активно ведут разработки рекомендаций, стандартов и справочников в этой области. Причем национальные стандарты, как правило, разрабатываются с учетом требований международных стандартов. Без стандартов невозможно обеспечить единообразие в электронном обмене и полноценное взаимодействие между участниками такого обмена. В международной торговле, таможенном и банковском деле сегодня наиболее широко используются комплексы стандартов и рекомендаций UN/EDIFACT и EANCOM. Заметим, что в данном случае речь идет не о внутрифирменном документообороте, а о документообороте между предприятиями в процессе оформления и исполнения сделок.
133
В системах электронного декларирования все поступающие в них сведения и документы, необходимые для таможенного оформления и контроля, представляются в электронном виде. При этом участники процессов таможенного оформления и контроля взаимодействуют между собой с использованием средств электронного обмена [41,43]. Поэтому системы электронного декларирования -это, по сути, системы электронного документооборота.
Создание системы электронного взаимодействия и обмена электронными документами - сложная комплексная проблема [9, 33, 43, 45, 73, 74, 75, 78, 79]. Поскольку структура и основные компоненты такой системы в определенной мере зависят от ее назначения и масштабов применения, для систем, работающих с электронными формами документов и применяемых в торговле, в том числе при таможенном оформлении и контроле товаров и транспортных средств, можно выделить ряд общих компонент.
Характерными компонентами таких систем электронного документооборота являются:
-
БД и СУБД - используются для хранения и поиска различных документов и данных, причем часть БД должна быть доступна для круглосуточной работы в оперативном (on-line) режиме;
-
сети передачи данных и электронная почта - обеспечивают формирование, передачу и прием электронных сообщений, в том числе в режимах удаленного доступа;
-
электронная платежная система - комплекс средств учета и проведения платежей, иных финансовых операций между финансовыми и коммерческими организациями, банками покупателя и продавца, таможенных органов и декларантов и др.;
-
вычислительные сети и комплексы прикладных программ - используются для решения конкретных задач пользователя. При этом могут применяться как внутрифирменные (корпоративные) ЛВС, так и глобальная вычислительная сеть Интернет;
-
средства защиты информационных систем и электронного обмена данными - обеспечивают защиту хранимой информации и передаваемых сообщений от несанкционированного доступа и нарушения целостности данных. Для этих целей широко используются программные и программно-аппаратурные средства защиты на основе криптографических методов. В частности, с помощью таких методов формируется электронная цифровая подпись для придания электронным копиям документов такой же юридической силы, как и у бумажных форм этих документов. Для передачи документов и данных по каналам связи и через сеть Интернет используются специально разработанные протоколы защищенного обмена;
-
нормативно-правовая база - обеспечивает, в первую очередь, правовой статус электронного документооборота. К важнейшим компонентам такой базы относятся национальные законы и международные соглашения, оговаривающие возможность применения электронных форм документов и порядок их применения при оформлении различных договоров, торговых сделок, проведения
134
финансовых расчетов и таможенного оформления, а также применения электронной цифровой подписи. Сюда же следует отнести и различные национальные программы и концепции, определяющие приоритеты развития законодательства и вложения финансовых средств в создание систем электронного документооборота со стороны государства.
Как в никакой другой области, для систем электронного обмена документами важны стандартизация и унификация, регламентирующие правила, которые должны соблюдаться участниками электронного обмена при создании и применении систем электронного документооборота. Ряд международных организаций активно ведут разработки рекомендаций, стандартов и справочников в этой области. Причем национальные стандарты, как правило, разрабатываются с учетом требований международных стандартов. Без стандартов невозможно обеспечить единообразие электронного обмена, понимание и полное взаимодействие между участниками такого обмена. Так, среди российских стандартов есть такие, которые касаются создания электронной цифровой подписи. Кроме того, ГНИВЦ ФТС России выпустил ряд документов с описанием форматов представления в электронном виде, необходимых для таможенного оформления и контроля, а также типовых электронных сообщений, отправляемых в ходе электронного декларирования.
В принципе и ранее использовавшиеся российской таможней средства и технологии автоматизации таможенного оформления и контроля представляли собой определенную систему электронного документооборота. Однако система электронного декларирования это не просто использование электронных документов для таможенного оформления и контроля, а новая технология с более высоким уровнем формализации и автоматизации, которой присущи следующие особенности:
-
использование в процессах таможенного оформления и контроля исключительно электронных форм документов;
-
удаленный компьютерный доступ декларанта и иных участников ВЭД при представлении документов, необходимых для таможенного оформления и контроля;
-
предварительное декларирование, т.е. подача электронных документов для целей таможенного оформления и контроля до прибытия товара к месту фактического оформления;
-
полная автоматизации документального контроля;
-
применение системы автоматической проверки рисков для оценки вероятности нарушения таможенных правил и цифровой подписи для придания юридической значимости передаваемым документам;
-
возможность осуществления платежей с использованием электронной платежной системы;
-
особая нормативно-правовая база.
135
Применение электронной цифровой подписи
Торговля посредством электронных документов, использование электронного декларирования для таможенного оформления предполагают, что электронные документы в юридическом отношении должны иметь такой же статус, как и бумажные. Сегодня считается, что эта проблема решена за счет использования электронной цифровой подписи.
При обмене электронными документами с использованием вычислительных сетей существенно снижаются затраты на их обработку и хранение, ускоряется поиск необходимой информации. Однако при этом возникает проблема аутентификации автора документа и самого документа, т.е. установления подлинности автора и отсутствия изменений в документе при его пересылке по каналам связи. В бумажном делопроизводстве эти проблемы решаются за счет того, что информация в документе и рукописная подпись автора жестко связаны с физическим носителем (бумагой). В электронных документах на машинных носителях такой связи обычно нет.
Переписка в электронном виде требует (как впрочем и бумажная) возможности не только самому получателю удостовериться в подлинности документа, но и доказать авторство документа третьей стороне, например, суду.
В традиционном бумажном документообороте для этого служит физическая подпись и печать организации. Использование физической подписи для подтверждения подлинности документа основывается на следующих ее свойствах:
- подпись уникальна у каждого физического лица;
- подпись неразрывно (посредством листа бумаги) связывается с данным документом;
- прочитать подпись и удостоверить ее подлинность могут многие.
При обработке документов в электронной форме совершенно не пригодны традиционные способы установления подлинности по рукописной подписи и оттиску печати на бумажном документе. Следовательно, требуется электронный аналог физической подписи и печати.
Решением этой проблемы для электронных документов является электронная цифровая подпись (ЭЦП).
Хотя практический способ получения цифровой подписи появился еще в 1977 г., однако только в конце XX в. стали появляться национальные законы, по которым электронные документы с ЭЦП получили тот же юридический статус, что и документы на бумажном носителе, подписанные собственноручной подписью. Подобные законы уже приняты в ряде стран (Германия, США, Индия, Ирландия, Эстония и др.). В России Закон «Об электронной цифровой подписи» был подписан Президентом РФ в январе 2002 г.
Следует отметить, что в России правовую основу организации документооборота с использованием цифровой подписи создали вступившие в действие еще до Закона «Об электронной цифровой подписи» Гражданский кодекс РФ
136
и Закон «Об информации, информатизации и защите информации»1. В одной из статей последнего говорится: «Документ, полученный из автоматизированной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством РФ. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться ЭЦП».
Цифровая подпись представляет собой дополнительной цифровой код, передаваемый вместе с подписываемым электронным текстом. Она связана определенным образом с текстом. Эта связь фактически и проверяется при «чтении» подписи, т.е. при определении ее подлинности. Если соответствия нет, то подпись и/или текст были искажены при передаче данных.
При проверке подлинности электронных документов с ЭЦП и бумажных документов с обычной подписью существуют некоторые особенности. Так, при подделке подписи физического лица имеется возможность проведения криминалистической экспертизы бумажного документа, которая с довольно высокой вероятностью позволяет выявить подделку и даже определить дату проставления подписи. Если же злоумышленник похитил секретный ключ отправителя и с его помощью поставил подпись под электронным документом, то фактически невозможно доказать подделку. С другой стороны, обычная подпись вовсе не гарантирует, что текст бумажного документа в процессе пересылки к получателю не был искажен, так как она связана с носителем документа (бумагой), но не с его текстом. В то же время цифровая подпись связана с текстом электронного сообщения, и искажение текста (при надлежащем хранении секретного ключа) будет обнаружено получателем.
Методы формирования (получения, проставления) цифровой подписи относятся к криптографическим методам. Такие методы предполагают преобразование (шифрование) исходного текста в непонятный вид, чтобы человек, не наделенный соответствующими полномочиями, не мог его прочитать. Для шифрования и обратного преобразования (расшифровывания) надо знать так называемый ключ2.
Существуют два основных вида криптографических систем - симметричные и асимметричные. В первом случае шифрование и дешифрирование выполняются с помощью одного и того же ключа; во втором используются разные ключи. Для электронного обмена с применением ЭЦП применяются асимметричные системы.
Обобщенная схема симметричной криптографической системы, в которой получатель и отправитель пользуются одним и тем же секретным криптографическим ключом «К», показана на рис. 3.6. Ключ применяется одновременно для шифрования и расшифровывания.
Рис. 3.6. Обобщенная схема симметричной криптосистемы
Отправитель имеет открытый текст исходного сообщения М, которое должно быть передано законному получателю по незащищенному каналу. Однако ключ К должен передаваться по защищенному каналу, что на рисунке обозначено пунктирной линией. За каналом следит перехватчик с целью перехватить и раскрыть передаваемое сообщение. Чтобы перехватчик не смог узнать содержание сообщения М, отправитель шифрует его с помощью обратимого преобразования Ек и получает зашифрованный текст (криптограмму) ЕК(М), который отправляет получателю и дешифруется последним для прочтения.
Общую идею функционирования асимметричной системы, предложенной У. Диффи и М. Хеллманом, иллюстрирует рис. 3.7 [58].
Отправитель А Криптограмма С сообщение М
Сообщение М Защищенный канал Получатель В
условие
Рис. 3.7. Схема формирования и использования ключей в асимметричной криптосистеме с открытым ключом
138
В ней два ключа: К0 - открытый ключ отправителя А; К, - секретный ключ получателя В. Генератор ключей располагается на стороне получателя В, чтобы не пересылать секретный ключ К. по незащищенному каналу. С помощью ключа К0 осуществляется шифрование посылаемого сообщения. Ключ К. применяется получателем В для расшифровывания полученного сообщения. Алгоритм формирования ключей подбирается таким, чтобы раскрытие секретного ключа К по известному открытому ключу К0 было бы вычислительно неразрешимой задачей.
В асимметричных криптосистемах секретный ключ называют закрытым или личным (private), а открытый - публичным (public).
Характерные особенности асимметричных криптосистем.
-
Открытый ключ К0 и криптограмма С (зашифрованный текст) могут быть отправлены по незащищенным каналам, т.е. допускается, что противнику известны К0 и С.
-
Алгоритмы шифрования (Еш) и расшифровывания (Dp) являются открытыми. Защита информации в асимметричной криптосистеме основана на секретности ключа К..
-
Для шифрования и расшифровывания информации используются различные ключи, которые, хотя и связаны между собой, устроены так, что вычислить по одному из них (открытому ключу) второй (секретный ключ) практически невозможно.
При использовании представленной на рис. 3.7 криптосистемы противник может перехватить открытый ключ К0. Это дает ему возможность шифровать и отправлять сообщения под видом, например, абонента А, но он не может читать перехваченные сообщения. Однако этот недостаток схемы на рис. 3.7 можно устранить, если ввести двойное шифрование. Для этого каждый из абонентов А и В должны сформировать по два ключа, один из которых открытый, другой - закрытый, и обменяться открытыми ключами. Готовя сообщение для передачи, отправитель А сначала шифрует сообщение своим секретным ключом, далее полученный текст шифруется им повторно, но уже открытым ключом получателя В. Сообщение направляется получателю В, который, приняв его, действует в обратном порядке. Сначала он дешифрирует полученное сообщение своим секретным ключом, после чего применяет открытый ключ отправителя А. Такое двойное шифрование делает для противника бессмысленным перехват открытых ключей.
Подобная схема передачи данных используется в протоколах, применяемых в электронной торговле для организации защищенной передачи данных. Например, согласно протоколу SSL, используемому при проведении платежей через сеть Интернет, абоненты перед каждым сеансом обмена данными сначала обмениваются открытыми ключами, с помощью которых создают единый секретный ключ (рис. 3.8), затем созданный ключ применяется для шифрования и расшифровывания передаваемых сообщений (т.е. после формирования ключа для работы используется симметричная криптосистема).
Упрощенно процесс формирования общего секретного ключа можно представить в виде последовательности выполнения следующих операций:
а) пользователи А и В предварительно договариваются о некоторых целых числах а и Р, которые могут быть не секретными;
139
б) пользователи А и В независимо друг от друга определяют для себя секретные ключи х и у, соответственно;
в) пользователь А вычисляет открытый ключ, используя выражение f(x) = ах (mod Р), а пользователь В - открытый ключ f(y) = ау (mod Р). Затем пользователи по открытым каналам связи обмениваются ключами f(x) и f(y);
г) пользователь А вычисляет ключ Ка, который будет далее применяться для шифрования (дешифрирования), по формуле Ка = (f(y))x= (ау)х (mod Р);
д) пользователь В вычисляет ключ Кв, который будет далее применяться для шифрования (дешифрирования), по формуле Kn = (f(x))y= (ах)у (mod Р);
ж) в результате выполнения операций пунктов г) и д) получаем общий ключ
, так как (ау) х= (ах)у. Вышерассмотренная процедура формирования общего секретного ключа показана на рис. 3.8.
Рис. 3.8. Схема формирования общего секретного ключа
Главной особенностью, принципиально отличающей схему получения пользователями общего секретного ключа от традиционной, является то, что секретный ключ не передается по каналам связи. Обмен производится только открытыми ключами f(x) и f(y), которые могут передаваться по любому доступному, в том числе не защищенному, каналу связи. При этом по перехваченным в канале открытым ключам f(x) и f(y) практически невозможно получить общий ключ К, не зная хотя бы один из исходных секретных ключей х и (или) у. Такой гарантией служит сложность известной математической проблемы, которую приходится решать в ходе вычисления К по f(x) и f(y) при заранее неизвестных х и у. Если значения х и у по 512 бит каждое и выбираются случайным образом, то для вычисления К по f(x)=ax mod Р и f(y)=ay mod Р с целыми а и Р (по 512 бит каждое) перехватчику необходимо проделать не менее чем из 1024 операций, что потребует более 1000 лет работы любой современной суперЭВМ.
140
Таким образом, вычисление общего секретного ключа К только по открытым ключам f(x) и f(y) является практически невыполнимой задачей, и пользователи могут без страха применять ключ К для криптографической защиты информации.
Заметим, что системы шифрования с единым ключом при одной и той же криптостойкости обладают более высоким быстродействием, чем асимметричные криптосистемы. При одинаковой криптостойкости последние имеют в несколько раз большую длину ключа (табл. 3.1), а чем длиннее ключ, тем дольше идут шифрование и расшифровывание.
Таблица 3.1
Соотношения длины ключей, обеспечивающих одинаковую криптостойкость
Длина ключа симметричной криптосистемы, бит |
Длина ключа асимметричной криптосистемы, бит |
56 |
384 |
64 |
512 |
80 |
768 |
112 |
1792 |
128 |
2304 |
В 1977 году У. Диффи и М. Хеллман предложили поменять в системе открытого шифрования роли секретного и открытого ключей: ключ подписания сделать секретным, а ключ чтения - открытым. Тогда получается, что подписать сообщение может только владелец секретного ключа, в то время как каждый, имеющий его открытый ключ, может прочитать сообщение. В результате получается аналог бумажного документа, который подписывает одно лицо, а читать могут многие.
Один из первых способов реализации цифровой подписи получил название RSA (рис. 3.9) по первым буквам имен его создателей - Rivets, Shamir, Adle-man. Он был разработан в 1977 г. в Массачусетсом технологическом институте США. На основе этого способа был разработан и опубликован в 1993 г. стандарт PKCS # 1: RSA Encrypton Standard.
Схема процесса формирования сообщения с ЭЦП и его прочтения по методу RSA приведена на рис. 3.9. Действия отправителя показаны в левой части рисунка. Он формирует и отправляет по каналам связи сообщение М, цифровую подпись t и открытый ключ в виде пары чисел (Е, N). Формирование перечисленных данных предполагает выполнение отправителем следующих действий:
-
по специальной методике определяются три значения X, Е и N, где X - секретный ключ, а Е, N - открытый ключ;
-
вычисляется хэш-функция m = h(M) сообщения М (М можно рассматривать как некоторое большое число, а значение хэш-функции - как некоторое математическое преобразование этого числа М. Особенность функции т, занимающей в памяти ЭВМ фиксированное число бит, - независимость от длины исходного М. Например, в отечественном стандарте - 256 бит);
- вычисляется цифровая электронная подпись t = mx (mod N).
Получив сообщение М, цифровую подпись t и открытый ключ в виде пары чисел (Е, N), получатель для проверки подлинности сообщения должен «прочитать» цифровую подпись. Для этого он выполняет следующие действия (правая часть рис. 3.9):
-
с использованием открытого ключа вычисляется число mx = tE (mod N) и хэш-функция т = h(M) полученного сообщения М;
-
сравниваются результаты вычислений. При mx = т считается, что сообщение М и подпись t являются подлинными.
Рис. 3.9. Обобщенная схема формирования и проверки
Метод RSA требует больших вычислительных затрат (необходимо использовать большие числа N, Е, X - не менее 512 бит). Сами авторы метода RCA рекомендуют следующие размеры длины открытого ключа (оценки сделаны для прогнозов развития вычислительной техники до 2004 г.): 768 бит - для частных лиц, 1024 бит - для коммерческой информации, 2048 бит - для особо секретной информации.
142
В последующем выяснилось, что этот метод имеет ряд серьезных недостатков с точки зрения криптостойкости, однако он до сих пор широко используется при передаче данных по сети Интернет.
В 1984 году был предложен более эффективный метод, получивший название EGSA (El Gamal Signature Algorithm). Этот алгоритм был положен в основу стандарта цифровой подписи, который был разработан в США в 1991 г.
Отечественный стандарт цифровой подписи представлен ГОСТ Р 34.10-94. В нем для повышения криптостойкости цифровая подпись состоит из двух чисел.
Участники системы электронного документооборота, в которой используются документы с ЭЦП, должны обмениваться открытыми ключами. В общем случае обмен производится заочно, без личного контакта, путем передачи по сетям связи.
Абонент А, получив ключ абонента Б, не может быть уверен, что этот ключ послал именно абонент Б. Поэтому возможно, что некто от имени Б будет получать информацию от А или посылать информацию от имени Б.
Чтобы снизить риск такого «маскарада» в системах электронного документооборота с ЭЦП, создаются центры сертификации (Certification Authority), или удостоверяющие центры. Во всех национальных законодательствах есть указания о системе сертификации.
Обычно органы государственной власти должны пользоваться центром, созданным уполномоченным федеральным органом либо юридическими лицами, действующими по его поручению. Иные организации могут сами создавать такие центры. В принципе возможно использование ЭЦП и без обращения к услугам удостоверяющих центров (центров сертификации). В этом случае отношения между пользователями ЭЦП устанавливаются договором. Центр сертификации может не только удостоверять принадлежность открытого ключа конкретному лицу, но и принимать на себя функции формирования, хранения и рассылки секретных и открытых ключей.
В общем виде процесс сертификации открытых ключей можно описать следующим образом:
а) лицо А (физическое или юридическое), желающее организовать документооборот с использованием ЭЦП, предоставляет в удостоверяющий центр свой открытый ключ;
б) удостоверяющий центр регистрирует это лицо и его ключ;
в) удостоверяющий центр добавляет к полученному ключу свою подпись и все это шифрует собственным закрытым ключом. В результате получается «сертификат» открытого ключа лица А;
г) открытый ключ для чтения таких сертификатов центр выдает всем лицам, которые будут обращаться для проверки факта принадлежности открытого ключа лицу А;
д) лицо Б, получив открытый ключ от лица А, проверяет его принадлежность к лицу А, обратившись в удостоверяющий центр. Последний по запросу Б направляет ему сообщение - сертификат открытого ключа лица А. Прочитав сообщение с помощью открытого ключа удостоверяющего центра, лицо Б сверяет ранее полученный от имени А ключ и ключ, указанный в «сертификате».
143
Совпадение ключей свидетельствует о том, что полученный от имени А ключ действительно принадлежит лицу А.
Естественно, что национальные законодательства об электронной цифровой подписи несколько различаются. Однако все они, в той или иной степени, регламентируют следующие вопросы:
- основные понятия;
- систему лицензирования и правовое регулирование деятельности удостоверяющих центров;
-
содержание, порядок выдачи, предъявления и хранения сертификатов;
-
правовой статус документов с ЭЦП;
-
правила пользования средством ЭЦП;
- распределение риска убытков, понесенных в результате неправомочного использования ЭЦП, а также в результате использования неисправного либо некачественного средства ЭЦП.
Возможны разные структуры построения системы сертификации ключей. В простейшем варианте - это некоторая организация, единолично выполняющая функции удостоверяющего центра. Однако при большом числе клиентов и их территориальном удалении центр может создавать филиалы, делегируя им обслуживание части клиентов. Тогда головной офис называют корневым центром, а филиалы - доверенными. Клиенты могут проверить, действительно ли они получают «сертификаты» из доверенных центров. Для этого клиенту выдают открытые ключи для чтения «сертификата» открытого ключа доверенного центра. Он удостоверяется вышестоящим центром. Прочитав «сертификат» открытого ключа доверенного центра, клиент может убедиться в его принадлежности к конкретному корневому удостоверяющему центру.
В России уже создан целый ряд центров сертификации (удостоверяющих центров). В частности, для использования цифровой подписи в процессах таможенного оформления создан главный (корневой) ведомственный удостоверяющий центр при ГНИВЦ ФТС России и несколько региональных удостоверяющих центров (Санкт-Петербург, Нижний Новгород, Новороссийск, Екатеринбург, Ростов-на-Дону, Владивосток).
В национальных законодательствах сертификаты открытых ключей других стран обычно признаются только в том случае, когда имеются соответствующие соглашения между странами.
Структура электронного сертификата закреплена Международным союзом связи в стандарте ITU-T Х.509. В соответствии с этим стандартом сертификат содержит следующие сведения:
версия - версия стандарта;
серийный номер - уникальный номер, присвоенный сертификату организацией, которая его подготовила. Он используется для учета выданных сертификатов внутри центра сертификации;
алгоритм подписи - указание на метод несимметричного шифрования при формировании подписи данного сертификата, а также на метод генерации дайджеста;
144
поставщик - сведения, идентифицирующие издателя сертификата (кто выдал сертификат);
даты начала и завершения действия сертификата;
субъект - сведения, идентифицирующие того, кто выдал сертификат;
открытый ключ - сертифицируемый открытый ключ с указанием метода его получения;
идентификатор ключа - внутренний идентификатор ключа, позволяющий центру сертификации ускорить свои процедуры;
алгоритм печати - алгоритм хэш-функции, с помощью которой получен дайджест ключа;
печать - дайджест или электронная печать (фактически это хэш-функция сертификата).
Наряду с международными стандартами существуют стандарты национальные, отраслевые и ведомственные, а также квазистандарты, связанные с отдельными средствами ЭЦП и действующие в ограниченных кругах пользователей этих средств. Обычно структура сертификата специально оговаривается в национальном законодательстве, посвященном электронной коммерции и ЭЦП, или в постановлениях органов, уполномоченных государством на ведение деятельности, связанной с регулированием отношений, возникающих в сфере электронной коммерции.
В России почти у каждого пользователя ЭВМ установлена одна из версий операционной системы Windows. При ее установке одновременно устанавливаются программы Internet Explorer и Outlook Express.
Первая программа является программой-браузером и предназначена для работы с ресурсами (службами) сети Интернет. В ней есть специальные режимы для обмена шифрованными сообщениями с электронной цифровой подписью. При этом пользователь может выбирать центры сертификации для своих ключей, проверять сертификаты своих абонентов.
Вторая программа (Outlook Express) предназначена для организации групповой работы и снабжена средствами обмена электронными сообщениями. Как и любая современная почтовая система, она имеет режимы работы с шифрованными и подписанными ЭЦП-сообщениями.
Многие пользователи, посылающие электронные сообщения через сеть Интернет, пользуются системой PGP (Pretty Good Privacy). Она была создана фирмой Pretty Good Privacy Inc. Система используется для шифрования и расшифровывания сообщений с проставлением ЭЦП. В PGP использован криптографический шифр IDEA, описанный в патенте США за номером 5214703.
Закон «Об электронной цифровой подписи»
Важный и своевременный шаг в координации национальных законодательств в области правового признания электронной цифровой подписи был сделан Комиссией ООН по торговому праву (UNCITRAL), которая разработала и опубликовала в 1995 г. модельный закон о такой подписи. Первый в мире
10 Ю. В. Малышснко
145
региональный закон об электронной цифровой подписи был принят в 1995 г. в штате Юта (США) [30], но соответствующий федеральный закон США появился только в 2000 г. Первой страной, принявшей национальный закон о цифровой подписи, была Германия (1997 г.). В нем были сформулированы основные понятия и принципы организации систем работы с ЭЦП. В дальнейшем он использовался в ряде стран для подготовки собственных законов об ЭЦП.
Федеральный закон «Об электронной цифровой подписи» был подписан Президентом РФ 10 января 2002 г.
В принципе еще до появления этого Закона в России существовала практика применения документооборота с использованием ЭЦП. В частности, с 1998 г. ЦБ РФ разрешил передачу отчетов и платежных поручений от кредитных организаций в ЦБ в электронном виде с использованием ЭЦП. Некоторые российские платежные системы для электронной торговли через сеть Интернет также допускали пересылку электронных документов с ЭЦП. Со второй половины 2000 г. Управление Министерства РФ по налогам и сборам по г. Москве проводило эксперимент по электронному обмену информацией между налогоплательщиками и местными налоговыми службами (передача отчетов, получение сведений о состоянии расчетов с бюджетами, получение информации о порядке сдачи отчетности). Для организации такого документооборота участники должны были заключить договор, в котором обязывались признавать юридическую силу документов с ЭЦП при выполнении оговоренных в договоре условиях.
Однако в связи с отсутствием законодательных положений, регламентирующих организационно-техническую сторону электронного обмена, его участники сами придумывали условия, при которых электронный документ считался юридически значимым. Появление Закона позволяет перейти к полномасштабному внедрению в России электронного документооборота.
Федеральный закон «Об электронной цифровой подписи» состоит из 5 глав и 21 статьи.