Электронный документооборот на фондовом рынке. Проблемы и пути решения

Стародубцева Галина

Светлой памяти Дмитрия Старовойтова посвящается

ЦЕЛИ И УЧРЕДИТЕЛЬСТВО НДЦ

    Учредителями НДЦ выступили Центральный банк Российской
    Федерации и ЗАО <Московская межбанковская валютная биржа> (ММВБ), которые в силу выполняемых ими функций на фондовом рынке непосредственно заинтересованы в развитии организованного рынка ценных бумаг.
    В течение 1998-1999 гг. по мере становления НДЦ как инфраструктурной организации в состав членов партнерства вошли крупнейшие российские банки: Сбербанк России, Внешторгбанк, Московский муниципальный банк - Банк Москвы, КБ <Чейз Манхеттен Банк Интернэшнл>, Международный Московский банк, банк <Российский кредит>, АКБ <Еврофинанс>, банк <Русский стандарт>.
    Целенаправленное расширение круга партнеров позволило внести новый импульс в развитие НДЦ и создало условия для более полного учета интересов депонентов1 в процессе осуществления депозитарной деятельности и для реализации планов создания и развития системы электронного документооборота НДЦ.
    Система учета и перерегистрации прав на ценные бумаги в России в настоящее время находится в процессе становления. Сегодня, как никогда, участники фондового рынка нуждаются в удешевлении и упрощении системы перерегистрации прав на ценные бумаги, а также в снижении операционных издержек.
    По состоянию на 1 декабря 1999 г. в НДЦ находилось на обслуживании 814 выпусков ценных бумаг 261 эмитента. Только в 1999 г. количество выпусков ценных бумаг, обслуживаемых НДЦ, увеличилось более чем в 2 раза. Общая стоимость ценных бумаг, находящихся на хранении в НДЦ, составляет около 1 трлн руб. по номинальной стоимости. НДЦ имеет счета номинального держателя в 108 специализированных регистраторах и их филиалах. Депонентами НДЦ являются более 400 профессиональных участников рынка ценных бумаг, представляющих экономическую элиту нашей страны.
    В 1998 г. в целях повышения качества обслуживания депонентов и сокращения сроков проведения операций начата работа по организации электронного документооборота между НДЦ и его клиентами.

ПРАВОВАЯ БАЗА

    На наш взгляд, для внедрения электронного документооборота на фондовом рынке в целом и в НДЦ в частности существует весьма небольшая правовая база.
    В первую очередь это положение п. 2 ст. 160 Гражданского кодекса РФ, в которой сказано: <Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон>.
    Высший арбитражный суд Российской Федерации в п. IV информационного письма № С1-7/ОП-587 от 19 августа 1994 г. <Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике> указывает, что при возникновении спора о наличии документов, подписанных электронно-цифровой подписью (ЭЦП), стороны должны предъявить выписку из договора, в котором указана процедура порядка согласования разногласий. Если же такая процедура в договоре отсутствует и одна из сторон оспаривает наличие документа, подписанного ЭЦП, то арбитражный суд вправе не принимать в качестве доказательств документы, подписанные ЭЦП. Тем самым закрепляется возможность организации электронного документооборота с использованием ЭЦП в качестве аналога собственноручной подписи.
    Единственным федеральным законом, предусматривающим возможность законного применения аналогов собственноручной подписи, является федеральный закон № 24-ФЗ от 20 февраля 1995 г.
    <Об информации, информатизации и защите информации>, который в ст. 5 определил, что документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
    В этом случае юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью. Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании соответствующей лицензии, выдаваемой уполномоченными органами.
    Комментируя вышеуказанный закон Высший арбитражный суд в своем Письме № С1-7/ОЗ-316 от 7 июня 1995 г. отметил следующий важный факт, делающий применение электронных документов легитимным для гражданского оборота: <...при подтверждении юридической силы документа электронной цифровой подписью этот документ может признаваться в качестве доказательства по делу, рассматриваемому арбитражным судом>.
    Но, к сожалению, вся законодательная база положениями этого закона и исчерпывается. Справедливости ради следует еще отметить закон Московской области № 9/98-ОЗ от 12 марта 1998 г. <Об информации и информатизации в Московской области>, который упоминает об автоматизированном документировании информации, но не более.
    Но, несмотря на весьма небольшую законодательную базу, компьютерные сети, электронные технологии развиваются весьма бурно и находят широкое применение как в государственных, так и в коммерческих структурах. Нельзя также не отметить возникновение в последние несколько лет целой армии индивидуальных пользователей, в праве именуемых <физическими лицами>, которые используют компьютерные ресурсы, в том числе информационные, в своем повседневном обиходе.
    В связи с этим в России назрела необходимость принятия четких, достаточно детальных законодательных актов об электронном документообороте. Сферой действия этих актов должны стать отношения, возникающие между субъектами в процессе создания, обработки, хранения и использования электронных документов, а также порядок регулирования этих отношений (мы сознательно не уточняем - государственного, это требует отдельной проработки), в том числе порядок разрешения конфликтных ситуаций, возникающих в процессе электронного документооборота, в отношении авторства и подлинности документов, используемых в нем.
    Несомненно, все сказанное выше имеет смысл только в случае придания электронному документообороту статуса юридически значимого гражданского оборота. Уточнение этой общей нормы, содержащейся в действующих законах, ее конкретизация в свете сложившейся практики - вот что должно стать целью разработки и принятия закона. Разработка такого законопроекта начата в Государственной думе РФ, хотя идет она не так быстро, как хотелось бы.
    Сейчас разработан законопроект <Об электронной цифровой подписи>, который <регулирует отношения, возникающие при использовании электронной цифровой подписи в обороте документов в электронной форме отображения>. Однако, на наш взгляд, предмет регулирования закона является достаточно узким, не дающим возможность полно отобразить все правовые проблемы, возникающие при использовании электронных документов. Положительным же аспектом является сам факт наличия такого законопроекта как основы для обсуждения вопросов и выработки общих универсальных решений.

ТРЕБОВАНИЯ И НОРМЫ ДЕЙСТВУЮЩЕГО ЗАКОНОДАТЕЛЬСТВА

    Но все, о чем говорилось выше, является благими пожеланиями из области будущего, надеемся, недалекого. В своем нынешнем бизнесе НДЦ, как и другие участники фондового рынка, руководствуется действующими законами, требованиями и нормами, устанавливаемыми Федеральным агентством правительственной связи и информации при Президенте РФ (ФАПСИ), которое осуществляет лицензирование деятельности в области защиты информации, а также положениями договоров и соглашений, заключенных НДЦ с депонентами.
    Лицензия ФАПСИ (регистрационный № ЛФ/17-381 от 29 сентября 1998 г.) предоставляет НДЦ право заниматься следующими видами деятельности в области защиты информации:

  • эксплуатацией сертифицированных ФАПСИ шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи в Системе головного депозитария НДЦ (СГД);
  • установкой (инсталляцией) в СГД НДЦ сертифицированных ФАПСИ шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи.
        Лицензия дает право депонентам НДЦ, пользователям СГД, осуществлять эксплуатацию сертифицированных ФАПСИ шифровальных средств, приобретенных у НДЦ, на основании заключенных ими с Центром договоров (соглашений), без получения отдельных лицензий Федерального агентства.
        Неправомерное искажение или фальсификация, уничтожение или разглашение определенной части информации, равно как и дезорганизация процессов ее обработки и передачи в СГД, может нанести серьезный материальный и моральный урон как НДЦ, так и депонентам, участвующим в процессах автоматизированного информационного взаимодействия.
        Жизненно важные интересы НДЦ и депонентов, как правило, заключаются в том, чтобы определенная часть информации, касающаяся их безопасности (конфиденциальная информация, сведения составляющие коммерческую тайну и персональные данные ), была бы постоянно легко доступна и в то же время надежно защищена от неправомерного ее использования: нежелательного разглашения, фальсификации, незаконного тиражирования или уничтожения.

    ПРОБЛЕМА ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ

        Острота проблемы обеспечения безопасности субъектов информационных отношений, защиты их законных интересов при использовании информационных и управляющих систем, хранящейся и обрабатываемой в них информации все более возрастает. Этому есть целый ряд объективных причин:

  • расширение сферы применения средств вычислительной техники и возросший уровень доверия к автоматизированным системам управления и обработки информации;
  • увеличение объемов обобщенной информации;
  • расширение круга должностных лиц, допущенных к информации;
  • информация становится особым товаром, ее стоимость зачастую многократно превосходит стоимость вычислительной системы, в рамках которой она существует;
  • развитие и распространение вычислительных сетей, территориально распределенных систем и систем с удаленным доступом к совместно используемым ресурсам;
  • доступность средств вычислительной техники и прежде всего персональных ЭВМ привела к распространению компьютерной грамотности в широких слоях населения, что закономерно привело к увеличению числа попыток неправомерного вмешательства в работу государственных и коммерческих автоматизированных систем как со злым умыслом, так и чисто <из спортивного интереса>;
  • практическое отсутствие стройной и непротиворечивой системы законодательно-правового регулирования отношений в сфере накопления и использования информации;
  • высвобождение в период экономического кризиса большого количества специалистов-профессионалов, досконально знающих все достоинства и слабые места вычислительных систем, располагающих подробнейшей документацией и самыми совершенными инструментальными и технологическими средствами для анализа и взлома механизмов защиты;
  • бурное развитие и распространение компьютерных вирусов.
        При выработке подходов к решению проблемы информационной безопасности НДЦ исходит из того, что защита информации в СГД не является самоцелью. Конечной целью создания системы информационной безопасности является защита всех категорий субъектов, прямо или косвенно участвующих в процессах информационного взаимодействия, от нанесения им ощутимого материального, морального или иного ущерба в результате случайных и преднамеренных воздействий на информацию и системы ее обработки и передачи.
        Стоит отметить, что элементы СГД базируются на надежных сетевых операционных системах и СУБД, которые имеют встроенные средства идентификации пользователя при подключении к системе и обращении к данным, а также средства протоколирования выполняемых действий. В результате этого пользователи получают строго ограниченные права доступа к ресурсам и все их попытки несанкционированного доступа регистрируются в соответствующих системных журналах и своевременно пресекаются.
        Вместе с тем приходится констатировать, что, хотя большинство современных сетевых операционных систем и обеспечивают некоторый набор средств для решения задач безопасности, они не могут гарантировать полной конфиденциальности информации, поскольку используют незащищенные сервисы.
        В связи с этим прикладное и системное программное обеспечение должно быть усилено специальными программными и аппаратными комплексами, использующими криптографические средства защиты информации.

    ПРАКТИКА ИНФОРМАЦИОННОЙ ЗАЩИТЫ

        В СГД используются сертифицированные средства криптографической защиты информации (СКЗИ), в частности <Верба-ОW>, на установку и эксплуатацию которых НДЦ имеет лицензию ФАПСИ. Применение несертифицированных СКЗИ не годится для государственных структур и учреждений и не рекомендуется для использования в коммерческих структурах.
        Для обеспечения защиты информации в СГД применяется комплекс организационно-технических мер, например: использование электронной цифровой подписи и шифрования, построение СГД на базе выделенных оптико-волоконных коммуникационных каналов Банка России и ММВБ, организация электронного документооборота в режиме реального времени, использование развитых сервисных возможностей СУБД и др.
        Технические решения, используемые при создании основного и резервного технических центров НДЦ, позволяют обеспечить бесперебойное функционирование программно-технических средств и средств коммуникаций СГД.
        Система взаимодействия с депонентами
        Основная задача при организации электронного документооборота состоит в предоставлении депонентам удобных и надежных средств доступа к информационным ресурсам НДЦ.
        Принципиальная позиция НДЦ в этом вопросе заключается в том, чтобы параллельно разрабатывать несколько организационно-технических вариантов доступа и на этой основе предоставлять своим депонентам возможность выбора той или иной схемы взаимодействия с НДЦ. Депоненты при этом будут учитывать объем своих операций с ценными бумагами, степень развития собственной технической базы, свои финансовые возможности, состояние фондового рынка и другие соображения.
        К настоящему времени в НДЦ разработаны и предлагаются различные варианты взаимодействия с депонентами.
        Их основу составляет Локальное рабочее место СГД (разработчик - НДЦ), которое позволяет депонентам, лишенным сетевого доступа к СГД, автоматизировать процесс подготовки поручений. В дальнейшем Локальное рабочее место СГД будет обеспечивать извлечение из электронной почты пакетов с отчетами об исполнении поручений, посланными из НДЦ, и просматривать отчеты с помощью сервера ActiveX системы Seagate Crystal Reports, а также подготовку почтовых сообщений с поручениями, взаимодействуя при этом с почтовыми клиентами, поддерживающими интерфейс MAPI (Messaging Application Programming Interface), и с серверами автоматизации защищенной электронной почты Х.400.
        Таким образом, Локальное рабочее место СГД постепенно приобретет функциональные возможности депозитарного рабочего места СГД, используя которые, при наличии электронной почты Open Mail ММВБ или защищенной электронной почты Х.400 депонент НДЦ получит практически функционально полный удаленный доступ к своим счетам в СГД.
        Однако существует серьезная проблема, заключающаяся в том, что система электронного документооборота НДЦ построена и развивается как классическая замкнутая система, рамки функционирования которой ограничены системой договорных отношений участников, выделенными каналами связи, ограничениями лицензии ФАПСИ на использование СКЗИ исключительно в рамках данной системы.
        По такому же типу строятся и системы, организаторами которых являются другие участники фондового рынка. Связь между ними осуществляется с использованием индивидуальных абонентских пунктов, работающих в рамках корпоративной сети. В настоящее время в НДЦ установлены рабочие места систем электронного документооборота ММВБ, ДКК, ЦМД, ОНЭКСИМ Банка и др.
        Однако интересы развития НДЦ как одного из основных инфраструктурообразующих элементов фондового рынка, которые, по-нашему мнению, совпадают с интересами всех участников этого рынка, заключаются в развитии системы электронного документооборота по типу открытой системы с удобным и простым доступом в нее любого участника. Тем более что для организации работы все чаще используются каналы связи общего пользования.

    ИНФРАСТРУКТУРА ОТКРЫТЫХ КЛЮЧЕЙ

        Основными элементами, обеспечивающими безопасное использование открытых сетей в деловом обороте и в коммерческих целях, в частности, являются подтверждение личности взаимодействующих сторон (контрагентов), обеспечение целостности и закрытия передаваемой информации. Одним из распространенных решений этой задачи, которое уже активно используется в бизнес-приложениях, является использование цифровых сертификатов, обеспечивающих гарантированное установление личности (принадлежности) субъекта.
        В основе механизмов цифровых сертификатов лежит использование криптографических алгоритмов с открытым ключом, которое обеспечивает выполнение процедур хеширования, шифрования и цифровой подписи.
        Промышленно развитые страны реализуют такие технологии уже более пяти лет. Разработаны международные рекомендации и стандарты на протоколы передачи информации. Развиваются инфраструктурные элементы, обеспечивающие внедрение таких систем. Их общее название - PKI (Public Key Infra-structure) - Инфраструктура открытых ключей (ИОК). Этим термином описывается полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования технологии с открытыми ключами.
        Суть технологии с открытыми ключами заключается в следующем:

  • Каждому пользователю сети, участвующему в информационном обмене электронными документами, генерируются уникальные секретный и открытый криптографические ключи. Секретный ключ является собственностью пользователя и держится в секрете от всех других пользователей сети. Открытый ключ должен быть известен всем пользователям сети, с которыми данный пользователь хочет осуществлять обмен электронными документами.
  • При подписании электронного документа электронной цифровой подписью на основе секретного ключа ЭЦП пользователя и текста документа путем криптографического преобразования данной информации вырабатывается криптографический код, который, собственно, и является электронной цифровой подписью данного пользователя под конкретным документом. Этот код добавляется в конец электронного документа либо сохраняется в отдельном файле. Любой пользователь сети, получивший данный документ и имеющий открытый ключ ЭЦП отправителя, на основании текста документа и открытого ключа отправителя может выполнить обратное криптографическое преобразование, обеспечивающее проверку электронной цифровой подписи отправителя. Если ЭЦП под документом верна, то это значит, что документ действительно подписан отправителем и в текст документа не внесено никаких исправлений. Таким образом, подписать электронный документ может только его автор на своем секретном ключе. Проверить подлинность подписи и неизменность документа может любой пользователь, имеющий открытый ключ автора.
  • При шифровании электронного документа, на основе секретного ключа шифрования отправителя, открытого ключа шифрования адресата и текста документа, путем криптографического преобразования данной информации вырабатывается криптографический код электронного документа (зашифрованный электронный документ), который не может быть прочитан кем-либо без предварительной расшифровки. Адресат, получивший этот зашифрованный документ, на основании кода документа, открытого ключа шифрования отправителя и своего секретного ключа шифрования может выполнить обратное криптографическое преобразование и расшифровать документ, т.е. привести его к исходному виду. Таким образом, зашифровать документ для конкретного адресата может любой пользователь сети, имеющий его открытый ключ. Расшифровать этот документ может только конкретный адресат на своем секретном ключе шифрования (см. рисунок).
        Для распространения открытых криптографических ключей между абонентами сетей обмена информацией используются цифровые сертификаты. Цифровой сертификат представляет собой компьютерный файл, содержащий открытый ключ, и набор дополнительных атрибутов, принадлежащих абоненту компьютерной сети. Основное предназначение сертификата - обеспечение надежного распространения открытого ключа электронной цифровой подписи абонента другим корреспондентам сети и предоставление им возможности контроля соответствия конкретного пользователя и его открытого ключа для организации безопасного электронного документооборота между ними. Особенно важным является то, что генерацию открытого и секретного ключа электронной цифровой подписи абонент может производить сам.
        Так как цифровой сертификат, как и любой электронный документ, может быть изменен в процессе обработки или передачи по компьютерным сетям, то для доверия к нему со стороны пользователей он должен быть заверен электронной цифровой подписью доверительного органа.
        Такие доверительные органы называются сертификационными центрами. Эти центры предназначены для удостоверения подлинности открытых криптографических ключей пользователей сетей и распространения цифровых сертификатов между ними. Открытые ключи сертификационных центров должны быть известны всем пользователям сетей.
        В свою очередь для доверия к ключам сертификационных центров они должны быть заверены электронной цифровой подписью главного (корневого) сертификационного центра. Этот центр должен быть независимой организацией и пользоваться абсолютным доверием как со стороны государственных органов, коммерческих фирм, так и со стороны физических лиц, не только непосредственно участвующих в обмене электронными документами, но и имеющих опосредованное отношение к ним (например, правоохранительные, судебные ор-ганы).
        Вся совокупность этих элементов и составляет инфраструктуру открытых ключей.
        Переход участников фондового рынка к информационному взаимодействию посредством обмена электронными документами в открытой системе обеспечит:
  • повышение оперативности подготовки документов;
  • сокращение времени доставки и обработки документов;
  • совершенствование процедур учета и хранения документов;
  • удешевление обращения документов;
  • уменьшение частоты возникновения конфликтов (в частности, из-за большей степени стойкости электронной цифровой подписи по сравнению с собственноручной подписью и печатью на аналогичных бумажных документах);
  • удешевление процедуры разрешения возникающих конфликтов (в частности, из-за технологичности процедуры проверки подлинности электронной цифровой подписи);
  • повышение конфиденциальности информационного обмена (даже при использовании открытых каналов связи);
  • повышение надежности обработки документов (в частности, по причине наличия принципиальной возможности практически полного исключения ручной обработки).
        На наш взгляд, создание инфраструктуры открытых ключей и в первую очередь центра доверия по подтверждению подлинности цифровых сертификатов даст возможность участникам фондового рынка построить цивилизованную открытую систему, которая позволит значительно снизить издержки участников и вместе с тем повысит надежность функционирования фондового рынка.

    • © ЗАО "Группа РЦБ".