بررسی قابلیت استناد به ادله الکترونیکی در حقوق موضوعه ایران- ... |
 |
دلیل عادی با یک امضای الکترونیکی ساده تصدیق میشود. قانون تجارت الکترونیک، صریحاً نامی از امضای الکترونیکی ساده نبرده است، بلکه در بند «ی» ماده۲ امضای الکترونیکی را به صورت عام تعریف کرده است اما با توجه به آنکه در بند «ک» همین ماده، امضای الکترونیکی مطمئن به صورت خاص تعریف شده است، در می یابیم که امضای الکترونیکی ساده، امضایی است که واجد شرایط مقرر در بند «ی» می باشد.
به موجب این بند، امضای الکترونیکی، عبارت از هر نوع علامت منضم شده یا به طور منطقی متصل شده به داده پیام است که برای شناسایی امضاء کننده داده پیام مورد استفاده قرار می گیرد که این امضاء میتواند به صورت تصویر ساده امضای دستی یا تایپ نام شخص در زیر سند، آدرس پست الکترونیکی وی، یک کارت هوشمند، انتخاب گزینه« موافقم» یا گذرواژه باشد که هیچ یک نمیتوانند انتساب سند به صادر کننده، هویت او و تمامیت سند را تضمین کنند زیرا تمامی این موارد به راحتی قابل جعل هستند، یک شخص ثالث به راحتی میتواند تصویر امضای دستی دیگری را از جانب او به سند ضمیمه کند یا با سرقت کارت هوشمند یا کشف گذر واژه او هویت وی را جعل کند، رایانه ها میتوانند کل کلمات، مکان ها و اصطلاحات موجود در یک زبان معین را به منظور کشف گذر واژه آزمون کرده و یک گذر واژه هشت حرفی را در عرض چند ثانیه بیابند برای تأمین امنیت نسبی، حداقل باید از یک گذر واژه ۹۸ بیتی استفاده کرد که به خاطر سپردن و یادگیری آن بسیار دشوار است (عبداللهی، ۱۳۹۱، ص۵۳).
بنابراین، امضای الکترونیکی از نظر فنی میتواند یک امضای ساده و یا یک امضای زیست سنجی باشد که در جای خود بحث خواهیم کرد.
۲-۶-۲- دلیل الکترونیکی مطمئن
در این مبحث، با دلیل الکترونیکی مطمئن و ساختار آن آشنا میشویم.
دلیل الکترونیکی مطمئن، داده پیامی است که توسط یک سیستم اطلاعاتی مطمئن تولید، ذخیره یا پردازش شده است و دارای امضای الکترونیکی مطمئن است. سطح ایمنی فناوری مورد استفاده در این سند به صورتی است که انتساب سند به صادر کننده، هویت او یا تمامیت سند را تضمین میکند.
همانگونه که بیان خواهیم کرد منشأ ایجاد دلایل الکترونیکی، اشخاص و سیستمهای اطلاعاتی هستند بنابراین، برای اطمینان دلیل باید از فناوری ای استفاده شود که صحت عمل سیستم اطلاعاتی و نیز صدور سند از جانب شخص صادر کننده را تضمین کند. صحت عمل سیستم اطلاعاتی ااز طریق سیستم اطلاعاتی مطمئن و صدورسند از جانب شخص صادر کننده با بهره گرفتن از امضای الکترونیکی مطمین تضمین میشود به علاوه دلیل پس از ایجاد باید به صورتی ایمن نگهداری شود.
بنابراین، سیستم اطلاعاتی مطمئن، امضای الکترونیکی مطمئن و سابقه مطمئن، ساختار یک دلیل الکترونیکی مطمئن را تشکیل میدهند که به بررسی آنها می پردازیم.(عبداللهی، ۱۳۹۱ ص۵۴).
۲-۶-۲-۱- سیستم اطلاعاتی مطمئن
سیستم اطلاعاتی مطمئن، یکی از ضروریات تحقق دلیل مطمئن است. سیستم اطلاعاتی، سیستمی برای تولید(اصل سازی)، ارسال، دریافت، ذخیره یا پردازش « داده پیام» است و شامل تمام انواع سخت افزار، نرمافزار و یا شبکه های ارتباطی است؛ بنابراین یک صندوق پستی الکترونیکی یا حتی دستگاه نمابر میتواند یک سیستم اطلاعاتی باشد. (عبداللهی، ۱۳۹۱، ص۵۴)
سیستم اطلاعاتی مطمئن، سیستمی است که اطلاعات را به گونه ای ذخیره کند که به هنگام لزوم، در دسترس باشند و از طرفی به گونه ای سازماندهی شود که با جلوگیری از هرگونه نفوذ و سوء استفاده، تمامیت و محرمانگی اطلاعات را تضمین کند. با توجه به آنکه همواره روش های جدیدی برای نفوذ به سیستمهای اطلاعاتی ایجاد میشود، معرفی یک زیر ساخت فنی ثابت به عنوان یک سیستم مطمئن امکان ندارد بلکه برای حفظ امنیت سیستم، باید روش های حفاظت از سیستم، به روز رسانی شود. با عنایت به این امر،قانون تجارت الکترونیک، معیارهای یک سیستم اطلاعاتی مطمئن را معرفی کرده است که تحقق آنها به فناوری روز بستگی دارد. بند ح ماده ۲ قانون تجارت الکترونیک مقرر میدارد:
«سیستم اطلاعاتی مطمئن، سیستم اطلاعاتی است که:
۱- به نحوی معقول، در برابر سوء استفاده و نفوذ محفوظ باشد.
۲- سطح معقولی از قابلیت دسترسی و تصدی صحیح را دارا باشد.
۳- به نحوی معقول، متناسب با اهمیت کاری که انجام میدهد پیکربندی و سازماندهی شده باشد.
۴- موافق با رویه ایمن باشد (عبداللهی، ۱۳۹۱، ص۵۵).
قانونگذار محفوظ بودن در برابر سوء استفاده و نفوذ، قابلیت دسترسی و تصدی صحیح، پیکربندی و سازماندهی و رویه ایمن را شروط سیستم اطلاعاتی مطمئن میداند که در زیر به بررسی آنها میپردازیم.
محفوظ بودن در برابر نفوذ و سوء استفاده: منظور از «سوء استفاده»، استفاده غیر مجاز از سیستم است که ممکن است توسط افراد داخل شبکه یا اشخاص ثالث صورت گیرد.
«نفوذ یابندگی»، به معنای دسترسی افراد رخنه گر از طریق شبکه یا محیط فیزیکی سیستمهای اطلاعاتی است. در صورتی که سیستم در مقابل این خطرات، محافظت نشود، ممکن است اطلاعات فاش شده، یا تغییر پیدا کرده و حذف شوند؛ به همین جهت، باید سیستم در مقابل این خطرات کنترل شود. کنترل سیستم، غالباً از سه طریق ۱٫ اداری ۲٫ تکنیکی ۳٫ فیزیکی انجام میشود.
برای کنترل اداری، سیستم باید به گونه ای طراحی شود که تنها اشخاص واجد صلاحیت بر حسب وظیفه شان و در همان حد اجازه ورود به سیستم را داشته باشند؛ تصدیق هویت افراد مجاز از طرفی مانند استفاده از کارت هوشمند، گذر واژه، شماره شناسایی شخصی و یا ویژگی های زیست سنجی مانند سنجش اثر انگشت، تصویر عنبیه چشم، صدا یا کف دست انجام میشود. به منظور کنترل تکنیکی سیستم، از نرمافزارهایی مانند دیواره آتش، سیستمهای کشف ورود غیر مجاز به سیستم و رمز نگاری دادهها استفاده میشود (عبداللهی، ۱۳۹۱، ص۵۵).
نفوذ به شبکه گاه از طریق محیط فیزیکی سیستمها صورت می گیرد بنابراین، محیط کار باید از دسترسی اشخاص ثالث مصون باشد. برای ایمنی محیط باید از قفل ها، درها، دوربین ها و سیستمهای کنترل عبور استفاده کرد؛ به منظور حفظ امنیت و سلامت دستگاه ها، محیط کار باید مجهز به ابزارهای خنک کننده و گرم کننده، هشدار دهنده ها و سیستمهای مهار آتش سوزی باشد. همچنین نمایش اطلاعات روی صفحه نمایشگر در حضور اشخاص ثالث میتواند منجر به فاش شدن اطلاعات شود که با نرمافزارهای ویژهای میتوان از نمایش اطلاعات جلوگیری کرد (عبداللهی، ۱۳۹۱، ص۵۶).
۲-۶-۲-۲- قابلیت دسترسی و تصدی صحیح
«قابلیت دسترسی» سیستم اطلاعاتی، به آن معناست که سیستم خارج از سرویس نباشد و کارایی سیستم و کنترل های امنیتی آنها به گونه ای باشد که هنگام نیاز به اطلاعات، بتوان از آنها استفاده کرد.
« تصدی صحیح»، به معنای آن است که مدیریت و سازماندهی نیروی انسانی، به شیوه ای باشد که امنیت سیستم حفظ شود و وظایف اشخاص باید به گونه ای تفکیک شود که امکان سوء استفاده آنان از اختیاراتشان، کمتر شود؛ برای مثال کسی که وظیفه درخواست پرداخت چک را به عهده دارد نباید شخصاً قادر به پرداخت آن باشد یا کسی که برنامه های کاربردی مانند برنامه حسابداری یک شرکت را طراحی میکند نباید خود مدیر سرور یا مدیر پایگاه داده باشد. میتوان سیستم را به گونه ای طراحی کرد که هر شخصی فقط در حیطه وظایفش، قدرت دسترسی به سیستم را داشته باشد (عبداللهی، ۱۳۹۱، ص۵۶).
۲-۶-۲-۳- پیکر بندی و سازماندهی
پیکر بندی سیستم، به معنای جمع سخت افزار داخلی و خارجی آن شامل حافظه، دیسک گردان، صفحه کلید، سخت افزارهای اضافی مانند ماوس، مودم و چاپگر ونیز چگونگی ارتباط یافتن عناصر یک شبکه اطلاعاتی با یکدیگر است. نوع سخت افزار مورد استفاده و سازماندهی آن، باید کارایی کافی برای انجام کار مورد نظر را داشته باشد؛ مثلاً اگر انتظار میرود که سیستم با سرعت بالا عمل کند باید از سخت افزاری استفاده شود که این نیاز را برآورده کند یا اگر سیستم برای انجام محاسبات پیچیده و حجیم استفاده میشود، سخت افزار باید از حافظه قویتری برخوردار باشد (عبداللهی، ۱۳۹۱، ص۵۶).
۲-۶-۲-۴- موافق بودن با رویه ایمن
بند «ط» ماده ۲ قانون تجارت الکترونیک، رویه ایمن را چنین تعریف کرده است: « رویه ای است برای تطبیق صحت ثبت « داده پیام» و منشأ و مقصد آن با تعیین تاریخ و برای یافتن هر گونه خطا یا تغییر در مبادله، محتوا و یا ذخیره سازی داده پیام از یک زمان خاص. یک رویه ایمن، ممکن است با بهره گرفتن از الگوریتم ها، کدها، کلمات یا ارقام شناسایی، رمز نگاری، روش های تصدیق یا پاسخ برگشت و یا طرق ایمنی مشابه انجام شود».
شرط ایمن بودن با بهره گرفتن از یک امضای دیجیتال به خوبی تأمین میشود. امضای دیجیتالی که توسط مراجع گواهی صادر شده باشد منشأ و مقصد داده پیام را به شیوه ای غیر قابل انکار تعیین میکند همچنین این امضاء با بهره گرفتن از عمل « خرد کردن» و ایجاد خلاصه داده پیام به گونه ای عمل میکند که هر تغییر ایجاد شده در پیام قابل کشف است. این امضاء مجهز به « مهر زمان» می باشد که تاریخ صدور امضاء را تعیین می کند (عبداللهی، ۱۳۹۱، ص۵۷).
قانونگذار، وجود «سطح معقولی» از شرایط مذکور را برای اطمینان یک سیستم اطلاعاتی لازم میداند. با توجه به معیار «سنجش معقول» که در بند«ن» ماده ۲ قانون تجارت الکترونیک ارائه شده است «شرایط مذکور با توجه به اوضاع و احوال مبادله داده پیام از جمله طبیعت مبادله، مهارت و موقعیت طرفین، حجم مبادلات طرفین در موارد مشابه، در دسترس بودن گزینه های پیشنهادی و رد آن گزینه ها از جانب هر یک از طرفین، هزینه گزینه های پیشنهادی، عرف و روش های معمول و مورد استفاده در این نوع مبادلات ارزیابی میشود» (عبداللهی، ۱۳۹۱، ص۵۷).
بنابراین در یک معامله کم بها، سیستمی که از سطح ایمنی پایینی برخوردار است، میتواند مطمئن محسوب شود زیرا استفاده از یک سیستم اطلاعاتی با سطح ایمنی بالا که مستلزم هزینه های سنگین است در چنین معاملاتی معقول نمی باشد. همچنین، در یک شرکت کوچک که فقط یک نفر مأمور ثبت اسناد است، یک گذر واژه ساده، سطح معقولی از تصدی صحیح را تحقق می بخشد اما در یک شرکت بزرگ که دارای شبکه رایانهای و سرور مرکزی است، تصدی صحیح در صورتی تحقق مییابد که حسابداران، صرفاً در حیطه کاری خود به شبکه دسترسی داشته باشند و پس از ثبت اطلاعات توان تغییر آنها را نداشته باشند (عبداللهی، ۱۳۹۱، ص۵۸).
یکی از راه های تأمین اطمینان سیستم، استفاده از نسخه های استاندارد و رویه های متحد الشکل است. سازمان بین المللی استاندارد سازی[۹]، تشکیل مؤسسه های استاندارد ملی از ۱۵۷ کشور دنیاست که قالب های مطمئن و پویا برای امنیت اطلاعات ارائه میکند.
مهمترین استاندارهایی که تا کنون توسط این مؤسسه ارائه شدهاند عبارتند از:
ISO-15443: چهار چوبی برای تضمین امنیت سیستمهای اطلاعاتی ارائه میکند.
ISO- 17799: دستورالعمل مدیریت یک سیستم اطلاعاتی مطمئن را معرفی میکند.
ISO- 27001: برای تأمین امنیت سیستمهای اطلاعاتی حرفه ای مفید است.
اجرای این استانداردها، امکان سوء استفاده از اطلاعات و نفوذ به سیستم را به حداقل رسانده، قابلیت دسترسی سیستم، صحت دادهها و غیر قابل انکار بودن ارسال و دریافت اطلاعات را تضین می کند (عبداللهی، ۱۳۹۱، ص۵۸).
یکی دیگر از استاندارهای معتبر دنیا، کتاب نارنجی استاندارد آمریکاست که توسط وزارت دفاع آمریکا اعلام شده است. نرمافزار و سخت افزار سیستم بر اساس این استاندارد به طور جداگانه بازرسی می شوند و دستگاه هایی که منطبق براین استاندارد باشند، تأیید یه دریافت میکنند (عبداللهی، ۱۳۹۱، ص۵۸).
کشورهای انگلستان و آلمان نیز دستورالعمل هایی را جهت استاندارد سازی سیستم ارائه کرده اند و تولید کنندگان نرمافزار و سخت افزاری که این دستورالعمل ها را مدنظر داشته باشند، گواهی امنیت دریافت میکنند. در کشورهای پیشرفته، سیستمهای رایانهای که برای مبادلات اقتصادی و تجاری مورد استفاده قرار میگیرند دادهها را به صورت دسته ای ارسال میکنند، قبل از ارسال آنها کدهای کنترلی فعال و همراه دادهها ارسال میشود، واحد پردازش مرکزی قبل از ارسال آنها را امتحان میکند اگر نتایج امتحان صحیح نباشد ۲۴ امتحان دیگر صورت می گیرد تا نقص سیستم آشکار شود (عبداللهی، ۱۳۹۱، ص۵۸).
۲-۶-۲-۵- امضای الکترونیکی مطمئن
یکی از ویژگی های دلیل الکترونیکی مطمئن، امضای الکترونیکی مطمئن است. امضای الکترونیکی مطمئن، از فناوری ویژهای برخوردار است. این امضاء به دلیل منحصر به فرد بودن، انتساب سند به صادر کننده و هویت او را تضمین میکند، و به گونه ای به سند متصل میشود که هر تغییری در داده پیام پس از آن، قابل کشف است. ماده ۱۰ قانون تجارت الکترونیک ایران، امضای الکترونیکی مطمئن را چنین تعریف کرده است:
امضای الکترونیکی مطمئن، باید دارای شرایط زیر باشد:
الف- نسبت به امضاء کننده منحصر به فرد باشد.
ب- هویت امضاء کننده « داده پیام» را معلوم کند.
ج- به وسیله امضاء کننده و یا تحت اراده انحصاری وی صادر شده باشد.
د- به نحوی به یک داده پیام متصل شود که هر تغییری در آن داده پیام قابل تشخیص و کشف باشد» (عبداللهی، ۱۳۹۱، ص۵۹).
امضای الکترونیکی به لحاظ فنی یا یک امضای دیجیتال است و یا یک فرایند تجاری معقول که قادر به تأمین کارکردهای مذکور در قانون باشد. قانون ایران در مورد امضای مطمئن«رویکرد فناوری- خنثی» را انتخاب کرده است، یعنی تبعیت از فناوری خاصی را لازم ندانسته بلکه شرایط یک امضای مطمئن را تعیین کرده و هر نوع امضای الکترونیکی با هر شرایط فنی در صورتی که قادر به تأمین شرایط مذکور باشد را امضای مطمئن تلقی میکند که در هر مورد دادرس باید تحقق شرایط مذکور در ماده ۱۰ را احراز کند. مزیت این رویکرد، آن است که معیاری پویا را ارائه کرده است بنابراین، در صورت ابداع روش های فنی جدید یا از بین رفتن امنیت روش های موجود، نیاز به اصلاح قانون نخواهد بود (عبداللهی، ۱۳۹۱، ص۶۰).
۲-۷- امضای الکترونیکی
امضای الکترونیکی، مهمترین رکن دلیل الکترونیکی است که عناصر اعتبار دلیل از جمله انتساب سند به صادر کننده، هویت او و تمامیت سند را تأمین کرده و به سند اعتبار می بخشد که البته تأمین تمام یا برخی از این عناصر، به نوع امضاء و فناوری مورد استفاده آن، بستگی دارد.
با توجه به آنکه آشنایی با امضای الکترونیکی و انواع آن، در شناخت دلیل الکترونیکی مؤثر است، در این مبحث به بیان تعریف و انواع امضای الکترونیکی، از نظر فنی می پردازیم و در نهایت با کمیسیون زیر ساخت کلید عمومی کشور و نهادهای آن که برای مستند سازی امضای دیجیتالی به وجود آمده است، آشنا میشویم (عبداللهی، ۱۳۹۱، ص۳۳).
۲-۷-۱- تعریف امضای الکترونیکی
بند «ی» ماده ۲ قانون تجارت الکترونیک، امضای الکترونیکی را چنین تعریف کرده است:
فرم در حال بارگذاری ...
|
[چهارشنبه 1400-07-28] [ 02:07:00 ب.ظ ]
|
