Средство квалифицированной электронной подписи что. Об электронной подписи для «начинающих

• Требования к средствам электронной подписи
• Требования к средствам удостоверяющего центра

Разработка данных документов была предусмотрена частью 5 статьи 8 федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.

Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».

При создании электронной подписи (ЭП) средства ЭП должны (п.8):

• показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает,
• создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП,
• однозначно показывать, что ЭП создана.

При проверке ЭП средства ЭП должны (п.9):

• показывать содержание электронного документа, подписанного ЭП,
• показывать информацию о внесении изменений в подписанный ЭП электронный документ,
• указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.

Эти требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе (п.10).

В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:

33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

Установлены и требования к обеспечению сохранности журнала регистрации событий:

35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.

Крайне спорным в документе мне показался п.36, ограничивающий срок действия открытого ключа ЭП. Сразу возникает вопрос, а что же делать тем организациям, которые будут подписывать электронной подписью документы постоянного или длительного срока хранения? Что им делать с этими документами через 15 лет - выбрасывать на электронную помойку (заодно забыв о связанных с ними правах и обязанностях)?

С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством , которое не предусматривает такой глупости, как потеря подписью своей юридической силы.

36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет .

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

Встает вопрос и о квалификации специалистов Минюста, который благополучно зарегистрировал данный документ.

Стандарты ЭЦП в нашей стране устанавливаются законодательством. Требования, предъявляемые к электронным подписям, содержатся в Федеральном законе №63-ФЗ, и в Приказе ФСБ РФ №796. Они определяют структуру и содержание требований к средствам электронной подписи.

Требования к безопасности ЭЦП

Стандарты защиты указывают на то, что электронная подпись должна создаваться с применением устойчивых к взлому алгоритмов. Прежде всего, это требование касается подбора ключа или возможности воздействия на него с помощью программных либо аппаратных средств. Кроме того, ЭЦП не должна быть чувствительной к атакам, затрагивающим среду функционирования - например, повреждающим BIOS.

Хотя в стандартах и не содержится сведений об использовании внешних ключей, их применение - это один из немногих способов обеспечить требуемый уровень защиты. При этом нужно помнить, что все компоненты ЭЦП не могут располагаться на физическом , обычно представленном USB-ключом. Требование законодательства в этом случае однозначно - шифрование должно производиться установленной на компьютере программой, использующей внешний носитель в качестве подтверждения подлинности. Стандарты также не позволяют выполнять кодирование с помощью облачных сервисов, не имеющих подтвержденного государственными органами уровня безопасности.

Процедура использования электронной подписи

В отношении процесса заверения документа и считывания ЭЦП предъявляются похожие требования:

1. Пользователь должен видеть содержание подписываемого документа.
2. Пользователь должен подтвердить подписание документа.
3. Средства ЭП должны однозначно показать, что подпись создана.

Независимо от типа, в сертификате ЭП должны быть «зашиты» сведения о владельце сертификата подписи. Это значительно облегчает разбор спорных ситуаций, при взаимодействии с государственными органами или контрагентами, обрабатывающими большой поток документооборота в день.  

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг , для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

• правила, по которым подписанта определяют по его простой электронной подписи.
• обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Неквалифицированная электронная подпись, или НЭП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из функций:

создание ЭП с использованием закрытого ключа ЭИ

подтверждение с использованием открытого ключа ЭП

создание закрытого и открытого ключей ЭП.

4. Средства кодирования (ручные шифры)

Средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.

5. Средства изготовления ключевых документов.

Независимо от вида носителя ключевой информации

6.Ключевые документы (независимо от вида носителя)

Компрометация криптографических ключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптографические ключи могут стать доступными несанкционированным лицам и/или процессам.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и другая информация.

Оператор ПД – государственный орган или муниципальный орган, юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющие цели и содержание обработки ПД.

ЭП – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связанной с такой информацией и которая используется для определения лица, подписавшего информацию.

Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром или доверенным лицом УЦ, и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.

УЦ – юридическое лицо или индивидуальный предприниматель, осуществляющий функционирование по созданию и выдаче открытых ключей проверки ЭП, а также иные функции, связанные с ЭП и предусмотренные законодательством.

Аккредитация УЦ – признание федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП, соответствия УЦ требованиям законодательства.

Средства УЦ – программные и/или аппаратные средства, используемые для реализации функций УЦ.

Средства ЭП – шифровальные или криптографические средства, используемые для реализации хотя бы 1 из функций:

создание ЭП

проверка ЭП

создание ключа ЭП

создание ключа проверки ЭП

Ключ ЭП – уникальная последоватедьность символов, предназначенная для создания ЭП. Ключ проверки ЭП - … однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Квалифицированные сертификаты ключей проверки ЭП – сертификат ключа проверки ЭП, выдан аккредитованным УЦ или доверенным лицом аккредитованного УЦ или федеральным органом исполнительной власти, умолномоченным в сфере использования ЭП (уполномоченным федеральным органом)

ГОСТ Р 51275

ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Основные положения.

Область применения – Стандарт устанавливает классификацию и перечень факторов, воздействующих на результативность защиты информации в интересах обоснованных угроз безопасности информации к требованиям по ЗИ на объекте информатизации. Стандарт распространяется на объекты информатизации, создание и эксплуатирование в различных областях деятельности (оборона, экономика, наука и другие)

Выявление и учет факторов, воздействующих или тех, которые могут воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на ЗИ на объекте информатизации.

Полнота и достоверность выявляемых факторов достигается путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и так далее) и на всех этапах обработки информации.

Выявление факторов, воздействующих на защищаемую информацию, должно осуществляться с учетом требований:

достаточность уровней классификации факторов, позволяющая формировать их полное множество;

гибкость классификации. Позволяющая рассматривать множество классифицируемых факторов, а также вносить изменения без нарушения структуры классификаций.

Факторы, воздействующие на информацию:

Объективные внутренние передача сигналов извлечение сигналов, функций, присущих техническим средствам ОИ побочные ЭМИ наличие акустоэлектрических преобразователей в элементах ТС ОИ дефекты, сбои, отказы, аварии ТС и систем ОИ дефекты, сбои, отказы

Объективные внешние явления техногенного характера природные явления, стихийные бедствия

Субъективные внутренние разглашение защищаемой информации лицами, имеющими к ней право доступа неправомерные действия со стороны лиц, имеющих право доступа к защищаемой информации НСД к защищаемой информации недостатки организации обеспечения ЗИ ошибки обслуживания персонала ОИ

Субъективные внешние доступ к защищаемой информации с применением ТС НСД к защищаемой информации блокирование доступа к защищаемой информации путем перегрузки технических средств обработки информации ложными заявками на ее обработку действия криминальных групп и отдельных преступных субъектов искажение, уничтожение или блокирование информации с применением ТС

1. Для создания и проверки электронной подписи, создания ключа электронной подписи и ключа проверки электронной подписи должны использоваться средства электронной подписи, которые:

1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;

2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки;

3) позволяют создать электронную подпись в формате, устанавливаемом федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, и обеспечивающем возможность ее проверки всеми средствами электронной подписи.

2. При создании электронной подписи средства электронной подписи должны:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;

2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

3) однозначно показывать, что электронная подпись создана.

3. При проверке электронной подписи средства электронной подписи должны:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;

(см. текст в предыдущей редакции)

2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;

3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

4. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих сведения , составляющие государственную тайну, или предназначенные для использования в информационной системе, содержащей сведения, составляющие государственную тайну, подлежат подтверждению соответствия обязательным требованиям по защите сведений соответствующей степени секретности в соответствии с законодательством Российской Федерации. Средства электронной подписи, предназначенные для создания электронных подписей в электронных документах, содержащих информацию ограниченного доступа (в том числе персональные данные), не должны нарушать конфиденциальность такой информации.