Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.
В 1994 г. была принята первая часть Гражданского кодекса РФ (от 30.11.94 № 51-ФЗ), в котором в ст. 160 («Письменная форма сделки») была оговорена возможность использования при совершении сделок «электронно-цифровой подписи… в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон», а ст. 434 также предусматривала возможность заключения договора «путем обмена документами посредством… электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору».
Немногим раньше письмом Высшего Арбитражного Суда РФ от 19.08.94 № С1-7/ОП-587 «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» подтверждалась возможность принятия в качестве доказательств документов, изготовленных в электронном виде и подписанных электронной цифровой подписью, при наличии в договоре процедуры согласования разногласий и порядка доказательства подлинности договора и достоверности подписей.
При возникновении спора о наличии документов, подписанных электронно-цифровой подписью, стороны должны предъявить выписку из договора, в котором указана процедура порядка согласования разногласий. Всего через несколько месяцев был принят Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» (В настоящее время данный закон утратил силу, принят Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»), в котором утверждалось: «Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью (далее – ЭЦП).
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». В соответствии с законом было выпущено еще одно письмо Высшего Арбитражного Суда РФ от 07.06.95 № С1-7/03-316, в котором уже на основании формулировок нового закона говорилось, что при подтверждении юридической силы документа с электронной цифровой подписью такой документ может признаваться в качестве доказательства по делу, рассматриваемому арбитражным судом. Использование документов в электронной форме регулировалось и ведомственными нормативными документами.
Пример — Временное положение от 12.03.98 № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России» (Указание ЦБ РФ от 11.04.00 № 774-У).
Однако все законодательные и нормативно-методические документы предусматривали признание юридической силы ЭЦП только на уровне двусторонних соглашений при условии предварительного заключения между договаривающимися сторонами соглашения о взаимном признании документов, подписанных ЭЦП. То есть организации должны были сначала заключить в письменном виде договор о взаимном признании электронных документов, чтобы потом уже начинать ими обмениваться. Это позволило организовать работу систем типа «клиент — банк», но не дало возможности перевести электронные документы в сферу публичных взаимоотношений. Нужна была технология, позволяющая приравнять возможности использования электронных и обычных документов.
Для решения этой задачи был принят Федеральный закон от 10.01.02 № 1-ФЗ «Об электронной цифровой подписи» (далее – Закон «Об ЭЦП»), целью которого как раз было «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе».
Согласно ст. 3 ФЗ «Об электронно-цифровой подписи» от 10 января 2001 г. № 1-ФЗ:
– электронный документ — документ, в котором информация представлена в электронно-цифровой форме;
– электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
– средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
– сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
Согласно ст. 16 ФЗ «Об электронно-цифровой подписи» использование электронной цифровой подписи в сфере государственного управления:
После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 г. № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.
В Законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» прописаны условия использования ЭЦП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.
Благодаря ЭЦП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.
Юридическую силу электронно-цифровой подписи подтвердил Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 11 которого гласит, что «электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе».
То есть во всех случаях, когда в законодательстве прямо не указано, что документ должен быть составлен на бумаге, мы имеем право использовать электронные документы. Также в ст. 11 говорится: «В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами».
Если при использовании подписи на бумажном документе его юридическая сила может быть уточнена сверкой имеющейся подписи под документом с другими образцами подписи этого человека, а в случае судебного разбирательства — с помощью графологической экспертизы, то при внедрении технологии ЭЦП было необходимо обеспечить систему, позволяющую при получении (открытии) любого электронного документа, подписанного ЭЦП, однозначно идентифицировать подписавшего документ, а также установить отсутствие искажения информации в электронном документе после подписания.
Технически система подписания предусматривает использование криптографической технологии (шифрования) с подписанием документа с помощью закрытого (секретного) ключа и проверки подписи с помощи общедоступного (публичного) или, как еще его называют, открытого ключа.
Применение этой технологии предусматривает наличие удостоверяющих центров, которые будут выдавать закрытые ключи для подписания документов и поддерживать общедоступную базу открытых ключей, служащих для проверки подписи.
Во многом Закон «Об ЭЦП» является как раз законом об удостоверяющих центрах – им посвящена глава 3. Считаем, что именно задержками с созданием единой сети удостоверяющих центров и объясняется промедление с массовым распространением электронно-цифровой подписи, т. к. широкое применение электронно-цифровой подписи требует организации соответствующей инфраструктуры массовой выдачи закрытых ключей (для подписания документов) и распространения открытых ключей (для проверки достоверности электронно-цифровой подписи).
Для обозначения инфраструктуры распространения ключей часто используется английская аббревиатура PKI (public key infrastructure). В соответствии с постановлением Правительства РФ от 30.06.04 № 319 «Об утверждении положения о Федеральном агентстве по информационным технологиям» организация подтверждения подлинности «электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей», «ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти», а также «обеспечение доступа к ним граждан, организаций, органов государственной власти и органов местного самоуправления» было возложено на Федеральное агентство по информационным технологиям.
Однако возникает вопрос: можно ли доверять этому удостоверяющему центру, была ли проверена личность заявителя перед выдачей ему сертификата? Тут деятельность удостоверяющих центров чем-то напоминает деятельность нотариусов.
Поэтому и возникает в ст. 10 Закона уполномоченный федеральный орган, который «ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров».
Задержка с внедрением ЭЦП в сферу публичных взаимоотношений произошла во многом из-за неурегулированности вопросов создания корневого (головного) удостоверяющего центра, который должен регистрировать все удостоверяющие центры.
Так, например, распоряжение правительства Москвы «О создании московского головного регионального удостоверяющего центра» появилось еще 10.04.03 (№ 568-РП), а открытие Головного удостоверяющего центра г. Москвы (ГУЦ) состоялось только 01.12.06. Удостоверяющий центр по заявлению организации или физического лица создает для заявителя ключ, предназначенный для подписания документов, и сертификат ключа подписи, включающий открытый ключ для проверки электронно-цифровой подписи. Сертификат ключа подписи может включать как фамилию, имя, отчество, так и должность (с указанием наименования и местонахождения организации, в которой установлена эта должность) и квалификацию владельца сертификата ключа подписи, а также иные сведения, подтверждаемые соответствующими документами.
Таким образом, поскольку сертификат ключа подписи создается по письменному заявлению, личность заявителя и другие вносимые сведения подтверждаются соответствующими документами — это гарантирует соответствие личности подписавшего документ сведениям, указанным в сертификате ключа подписи. При этом в соответствии с п. 4 ст. 9 Закона «услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно».
Организационное обеспечение электронной цифровой подписи (ЭЦП) осуществляется в соответствии с законодательством государства, на территории которого используется данное средство ЭЦП. При отсутствии такого законодательства правовое регулирование в области применения средств ЭЦП осуществляется на основе нормативных актов административных органов.
Согласно ст. 3 ФЗ «ОБ электронно-цифровой подписи» от 10 января 2001 г. № 1-ФЗ:
электронный документ — документ, в котором информация представлена в электронно-цифровой форме;
электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;
средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;
сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;
Согласно ст. 16 ФЗ «Об электронно-цифровой подписи»
использование электронной цифровой подписи в сфере государственного управления
1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.
2. Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется уполномоченным федеральным органом исполнительной власти, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном настоящим Федеральным законом для удостоверяющих центров.
3. Порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления устанавливается нормативными правовыми актами соответствующих органов.
Владелец информационной системы, в которой применяется
электронная цифровая подпись при создании электронных документов,
обязан:
обеспечить соответствие применяемого программного и аппаратного обеспечения требованиям, определенным производителем средств электронной цифровой подписи и требованиям, содержащимся в
регламентах удостоверяющих центров;
обеспечить соблюдение требований действующего законодательства об электронной цифровой подписи при выполнении в информационной системе действий с электронными документами, требующими использования электронной цифровой подписи.
Владелец сертификата ключа подписи обязан выполнять требования действующего законодательства в области электронной цифровой подписи, нормативные правовые акты Правительства Москвы, нормативные акты организации — владельца информационной системы, в которой он применяет электронную цифровую подпись, Регламент удостоверяющего центра, правомерные требования и распоряжения администраторов взаимодействующих информационных систем, а также настоящий порядок.
Владельцы информационных систем, удостоверяющие центры, должностные лица, участники информационного обмена и иные лица несут предусмотренную действующим законодательством ответственность за причинение вреда их действиями или бездействием в случае несоблюдения ими требований настоящего порядка.
То есть для проверки подлинности подписи поступившего документа никаких расходов не требуется. Еще одна проблема — вопрос хранения открытых ключей, служащих для проверки подлинности электронно-цифровой подписи. В соответствии со ст. 7 Закона срок хранения открытого ключа в удостоверяющем центре не может быть меньше установленного законодательством срока исковой давности по документам, подписанным ЭЦП, после чего открытый ключ переводится в режим архивного хранения.
Законом установлен срок архивного хранения не менее пяти лет, т. е., например, суммарный срок хранения открытых ключей для документов временного (5 лет) срока хранения должен составить 10 лет.
С точки зрения делопроизводства имеется ряд нововведений по сравнению с традиционными технологиями работы с документами. В первую очередь это связано с тем, что в файл документа, подписанного ЭЦП, нельзя вносить изменения.
Контрольная сумма («хэш-сумма») по документу является основной составной частью ЭЦП и гарантирует, говоря языком Закона, «отсутствие искажения информации в электронном документе после подписания». Из этого вытекает ряд изменений. Если раньше при работе с бумажным документом сотрудник, обнаружив после его подписания опечатку, мог аккуратно исправить документ ручкой, что-то замазать, а в многостраничном документе с подписью только на последней или первой странице — даже заменить отдельные листы документа, то при использовании ЭЦП это уже невозможно — любое внесение изменений в документ приведет к тому, что ЭЦП документа будет недействительна.
По этой же причине в документе, подписываемом ЭЦП, недопустимо наличие автоматически обновляемых полей, часто присутствующих в шаблонах документов, например «дата печати документа», «местонахождение файла документа» и т. п. Автоматическое обновление поля в документе также приведет к тому, что документ изменится и ЭЦП аннулируется. Еще одно существенное изменение технологий связано с тем, что обычно после подписания бумажный документ передается в службу ДОУ (канцелярию, общий отдел, секретариат), где он регистрируется и на нем проставляется регистрационный номер.
Так как в файле документа после его подписания изменений допускать нельзя, значит, регистрационная информация должна вноситься только в регистрационную карточку на документ. Таким образом, только в регистрационной карточке (базе данных по документу) хранятся резолюции и другие реквизиты, которые раньше традиционно наносились на бумажный документ.
Соответственно, если традиционный документ — это лист бумаги со всеми имеющимися на нем реквизитами, отражающими жизненный цикл документа (дата, подпись, регистрационный номер, отметка о получении, резолюция, отметка об исполнении и направлении в дело и т. п.), то электронный документ — это файл с ЭЦП, открытый ключ для проверки подписи и запись в базе данных, т. е. электронная карточка, прикрепленная к документу и содержащая все необходимые реквизиты и сведения о его жизненном цикле.
Для работы с юридически значимыми электронными документами необходимо специализированное программное обеспечение, система электронного делопроизводства (СЭД), поэтому в этой ситуации на первый план по значимости выходит вопрос выбора и внедрения такой системы, обеспечивающей работу с электронными документами и ЭЦП для всех сотрудников организации.
Поскольку единого стандарта для обмена документами в электронной форме и передачи их в государственные архивы между организациями пока не существует (хотя в настоящее время ВНИИ документоведения и архивного дела (ВНИИДАД) уже разрабатывает методические рекомендации по организации работы с электронными документами), то здесь можно посоветовать ориентироваться на наиболее массовые программные продукты, которые в дальнейшем могут быть легко доработаны, как только соответствующие нормативно-методические документы будут приняты.
Электронная цифровая подпись, может применяться юридическими и физическими лицами для сдачи налоговой отчетности (налоговых деклараций) в электронном виде, получения необходимых справок, сдачи отчётности в ПФР и ФСС, ответов на вопросы из государственных органов и организаций, участия в конкурсах государственного и муниципального заказов и электронных торгах. Вне зависимости от места их проведения и места нахождения участника, а также для организации собственного (внутри предприятия) электронного документооборота, при взаимодействии с партнерами, для решения других прикладных задач.
Электронная цифровая подпись применяется также для идентификации в системах санкционированного доступа в помещения, в информационных системах и пр.
Технология применения системы ЭЦП предполагает наличие сети абонентов, посылающих друг другу подписанные электронные документы. Для каждого абонента генерируется пара ключей: закрытый и открытый.
Закрытый ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем подписанного электронного документа.
Электронная цифровая подпись используется для подтверждения подлинности документов, передаваемых по телекоммуникационным каналам. Функционально она аналогична обычной подписи и обладает ее основными достоинствами:
удостоверяет, что подписанный текст исходит от лица, поставившего подпись;
не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;
гарантирует целостность подписанного текста.
Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписанным текстом.
ЭЦП основана на достижениях современной криптографии. С помощью ЭЦП устанавливается однозначная взаимная связь между содержимым сообщения, самой подписью и парой ключей. Изменение хотя бы одного из этих элементов приводит к нарушению этой связи, а ее сохранение является подтверждением подлинности цифровой подписи и, следовательно, самого сообщения. ЭЦП реализуется при помощи асимметричных алгоритмов шифрования и хэш-функций.
Пользование ЭЦП включает две процедуры:
– формирование цифровой подписи;
– проверку цифровой подписи.
Есть два варианта генерации (создания) ЭЦП:
– генерирование закрытого ключа в УЦ;
– генерирование закрытого ключа на стороне пользователя.
Нередко пользователь самостоятельно генерирует закрытый ключ (на своем рабочем месте), после чего генерирует запрос в УЦ на изготовление сертификата ключа подписи (СКП) и регистрацию этого СКП в реестре УЦ. При этом сертификат ключа подписи пользователя в электронном виде подписывается ключом УЦ, и при открытии соответствующей вкладки на сертификате можно увидеть, каким ключом подписан данный СКП. Таким образом, уполномоченное лицо УЦ (это сотрудник, который получил соответствующее образование в области информационной безопасности) заверяет сертификат пользователя своим сертификатом, его еще называют корневым. Удостоверяющий центр своей подписью подтверждает все создаваемые им подписи.
Если закрытый ключ генерируется в УЦ, то уполномоченный сотрудник идет в УЦ, где в обязательном порядке предъявляет документ, удостоверяющий личность (как правило, паспорт) и передает администратору УЦ полный пакет документов, требуемый его регламентом. После этого администратор генерирует закрытый и открытый ключи клиента в специально оборудованном помещении. Далее администратор выдает единственный ключ, который должен обязательно выдаваться на защищенном носителе, и регистрирует сертификат, т.е. вносит его в реестр действующих СКП УЦ.
Согласно ст. 5 ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.:
1. Создание ключей электронной цифровой подписи осуществляется:
– для использования в информационной системе общего пользования — пользователем или по его обращению — удостоверяющим центром;
– для использования в корпоративной информационной системе — в порядке, установленном в этой системе.
2. При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей.
3. В корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП не допускается.
4. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.»
Рассмотрим особенности хранения ЭЦП
Защищенный носитель оснащен системой безопасности - пин — кодом, защитой от взлома, защитой от несанкционированного копирования изнутри, например, во время подписания. Но часто используются незащищенные носители, с которых ключи легко копируются, также есть возможность использования ЭЦП с компьютера, если она установлена на нем. С точки зрения безопасности, это в корне не правильно, возникает риск завладения ЭЦП третьими лицами. Кроме того, владелец ЭЦП может скопировать свою подпись и с защищенного носителя.
Как показала практика, руководители предприятий предпочитают получать ЭЦП на свое имя, но, как правило, самостоятельно не работают на торговых площадках и копируют подпись для своих сотрудников. Следует учитывать, что, если вы копируете подпись для нескольких подчиненных, в случае судебного разбирательства документы, подписанные данными ЭЦП, будут иметь полную юридическую силу. Соответственно, если кто-то подписал какой-либо документ ЭЦП руководителя, руководитель несет полную ответственность за действия, которые совершаются с помощью этой подписи. Например, если секретарь или уборщица по незнанию или по злому умыслу подписали какой-либо договор или контракт, то он имеет полную юридическую силу.
В этом случае, во-первых, непонятно, кто и где подписывает документы, во-вторых, появляется возможность действий со стороны третьих лиц от имени организации без ведома руководства. Правильнее выдать обычную бумажную доверенность уполномоченному лицу на получение еще одной ЭЦП, после получения которой он работает на торговой площадке от своего имени. Если допущена какая-либо ошибка, сразу понятно, кто ее совершил. В доверенности указываются все полномочия, которыми наделен сотрудник: например, он может совершать все действия по подаче заявки и участию в аукционе, но не имеет права подписывать государственный контракт. Таким образом, сотрудник может совершать все действия по участию в размещении заказа, но право подписи контракта остается только у руководителя предприятия.
При невнимательной работе с доверенностями возможен вариант наделения сотрудника слишком обширными полномочиями. Например, правами генерального директора. В этом случае сотрудник получает полномочия на любые действия от имени организации, в том числе на подписание любых документов и управления расчетным счетом. ЭЦП с такими правами должна храниться только в месте с ограниченным доступом (например, в сейфе).
Возможен вариант отсутствия у сотрудника полномочий на совершение конкретных юридических действий. То есть если у лица, которое подписывает электронные документы или контракты, нет прав подписи конкретных документов, контракт является юридически ничтожным, и его можно расторгнуть.
Тест
1. Какое из аппаратных средств относится к ЭЦП
ИНСТРУКЦИЯ
электронной цифровой подписи
ФГБУ ПГН
Термины и определенияАдминистратор безопасности информации – лицо, организующее, обеспечивающее и контролирующее выполнение требований безопасности информации при осуществлении обмена электронными документами. В штатной структуре ИВЦ ФГБУ ПГН
Электронная цифровая подпись (ЭЦП) – реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации и позволяющий идентифицировать владельца ключа, а также установить отсутствие искажения информации в электронном документе.
Закрытый ключ подписи – уникальная последовательность символов, известная владельцу сертификата и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств ЭЦП.
Открытый ключ подписи – уникальная последовательность символов, соответствующая закрытому ключу подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения подлинности ЭЦП в электронном документе.
Сертификат ключа подписи (сертификат) – документ на бумажном носителе или электронный документ, который включает в себя открытый ключ ЭЦП и который выдается удостоверяющим центром для подтверждения подлинности ЭЦП и идентификации владельца сертификата.
Носитель ключевой информации (ключевой носитель) – материальный носитель информации, содержащий закрытый ключ подписи или шифрования.
Шифрование – способ защиты информации от несанкционированного доступа за счет ее обратимого преобразования с использованием одного или нескольких ключей.
2. Общие положения
2.1. Настоящая Инструкция предназначена для пользователей автоматизированных систем , использующих средства электронной цифровой подписи (ЭЦП).
2.2. Электронно-цифровая подпись юридически равносильна живой подписи ее владельца.
2.3. Криптографические методы защиты позволяют обеспечить защиту целостности и авторства электронной информации применением ЭЦП. Невозможность ввода информации от чужого имени (невозможность подделки ЭЦП) гарантируется при сохранении в тайне закрытого ключа ЭЦП пользователей.
2.4. Инструкция содержит основные правила обращения с системами электронного документооборота и ключами ЭЦП, строгое выполнение которых необходимо для обеспечения защиты информации при обмене электронными документами.
2.5. Лица, допущенные к работам с ключами ЭЦП, несут персональную ответственность за безопасность (сохранение в тайне) закрытых ключей подписи и обязаны обеспечивать их сохранность, неразглашение и нераспространение, несут персональную ответственность за нарушение требований настоящей Инструкции.
2.6. Непрерывная организационная поддержка функционирования автоматизированных рабочих мест (АРМ) с ЭЦП предполагает обеспечение строгого соблюдения всеми пользователями требований администратора безопасности.
2.7. Работу с ключами ЭЦП и шифрования координирует администратор безопасности (лицо, ответственное за безопасность информации). Администратор безопасности проводит инструктаж с пользователями по правилам изготовления, хранения, обращения и эксплуатации ключей, о чем делается запись в соответствующем журнале (см. Приложение).
3. Порядок генерации ЭЦП
3.1. Порядок генерации ЭЦП регламентируется соответствующим Регламентом Удостоверяющего центра.
3.2. Владельцы ЭЦП и ответственные исполнители ЭЦП назначаются приказом директора института или приказом руководителей филиалов института (см. Приложение).
3.3. Пользователь, обладающий правом ЭЦП (ответственный исполнитель ЭЦП), вырабатывает самостоятельно или в сопровождении администратора безопасности личный открытый ключ подписи, а также запрос на получение сертификата открытого ключа (в электронном виде и на бумажном носителе).
3.4. Сертификаты ЭЦП и сами ЭЦП выдаются ответственному должностному лицу института, его филиалов и подразделений по доверенности, согласно соответствующего Регламента удостоверяющего центра.
3.5. Формирование закрытых ключей подписи и шифрования производится на учтенные съемные носители информации:
· дискета 3.5’’;
3.6. Закрытые ключи изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В повседневной работе используется рабочая копия ключевого носителя. Срок действия ключей – 1 год с момента выдачи сертификата.
3.7. Ни при каких обстоятельствах нельзя хранить ключи ЭЦП на жестких дисках АРМ.
Порядок хранения и использования ЭЦП4.1. Право доступа к рабочим местам с установленным программным обеспечением средств ЭЦП предоставляется только тем лицам, которые по приказу директора института или приказу руководителей его филиалов назначены ответственными исполнителями ЭЦП (см. Приложение) и им предоставлены полномочия на эксплуатацию этих средств.
4.3. В обязательном порядке для хранения ключевых носителей в помещении должно использоваться металлическое хранилище (сейф , шкаф, секция) заводского изготовления, оборудованное приспособлением для его опечатывания. Опечатывание хранилища должно производиться личной печатью ответственного исполнителя ЭЦП или его владельца.
4.4. Хранение ключевых носителей допускается в одном хранилище с другими документами и ключевыми носителями, при этом отдельно от них и в упаковке, исключающей возможность негласного доступа к ним. Для этого ключевые носители помещаются в специальный контейнер, опечатываемый личной металлической печатью ответственного исполнителя или владельца ЭЦП.
4.5. Транспортирование ключевых носителей за пределы организации допускается только в случаях, связанных с производственной необходимостью. Транспортирование ключевых носителей должно осуществляться способом, исключающим их утрату, подмену или порчу.
4.6. На технических средствах, оснащенных средствами ЭЦП, должно использоваться только лицензионное программное обеспечение фирм-производителей.
4.7. Должны быть приняты меры по исключению несанкционированного доступа посторонних лиц в помещения, в которых установлены технические средства ЭЦП.
4.8. Запрещается оставлять без контроля вычислительные средства, на которых эксплуатируется ЭЦП после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение парольной заставки.
4.9. Ответственные исполнители ЭЦП обязаны вести журнал учета ключевых документов и своевременно заполнять его (см. Приложение).
4.10. Ключевая информация содержит сведения конфиденциального характера, хранится на учтенных в установленном порядке носителях и не подлежит передаче третьим лицам (см. Приложение).
4.11. Носители ключевой информации относятся к материальным носителям, содержащим информацию ограниченного распространения и должны быть учтены по соответствующим учетным формам (см. Приложение).
4.12. Формирование закрытых ключей подписи и шифрования производится на учтенные съемные носители информации:
· дискета 3.5’’;
· идентификатор Touch-Memory DS1993 – DS1996;
· идентификатор Rutoken и т. д.
4.13. Закрытые ключи изготавливаются в 2-х экземплярах: эталонная и рабочая копии. В повседневной работе используется рабочая копия ключевого носителя. Срок действия ключей – 1 год с момента выдачи сертификата.
4.14. Ни при каких обстоятельствах нельзя хранить ключи ЭЦП на жестких дисках АРМ.
4.15. При физической порче рабочей копии ключевого носителя, пользователь немедленно уведомляет об этом администратора безопасности. Администратор безопасности в присутствии пользователя изготовляет очередную рабочую копию ключевого носителя с эталонной копии с отражением выполненных действий в соответствующих учетных формах.
4.16. Ключевой носитель извлекается из опечатанного контейнера только на время работы с ключами. Перед вскрытием контейнера необходимо проверить целостность печати и ее принадлежность. В нерабочее время опечатанный контейнер с ключевыми носителями должен находиться в хранилище.
4.17. При необходимости временно покинуть помещение, в котором проводятся работы с использованием ЭЦП, ключевой носитель должен быть вновь помещен в контейнер и опечатан.
· осуществлять несанкционированное администратором безопасности копирование ключевых носителей;
· разглашать содержимое ключевых носителей и передачу самих носителей лицам, к ним не допущенным, а также выводить ключевую информацию на дисплей и принтер;
· использовать ключевые носители в режимах, не предусмотренных правилами пользования ЭЦП, либо использовать ключевые носители на посторонних ПЭВМ;
· записывать на ключевые носители постороннюю информацию.
Порядок уничтожения ключей на ключевых носителях5.1. Приказом директора института или руководителей его филиалов и подразделений должна быть создана комиссия по уничтожению ключевой информации.
5.2. Ключи должны быть выведены из действия и уничтожены в следующих случаях:
· плановая смена ключей;
· изменение реквизитов ответственного исполнителя (владельца) ЭЦП;
· компрометация ключей;
· выход из строя (износ, порча) ключевых носителей;
· прекращение полномочий пользователя ЭЦП.
5.3. Уничтожение ключей может производиться путем физического уничтожения ключевого носителя, на котором они расположены, или путем стирания (разрушения) ключей без повреждения ключевого носителя. Ключи стирают по технологии, принятой для соответствующих ключевых носителей многократного использования (дискет, Touch Memory, Rutoken и т. п.). Непосредственные действия по стиранию ключевой информации регламентируются эксплуатационной и технической документацией.
5.4. Ключи должны быть уничтожены не позднее 10 суток после вывода их из действия (окончания срока действия). Факт уничтожения оформляется актом (см. Приложение) и отражается в соответствующих учетных формах (см. Приложение). Экземпляр акта должен быть передан в ИВЦ инженеру по защите информации не позднее 3 суток после уничтожения ключевой информации.
Действия при компрометации ключей6.1. Компрометация ключа – утрата доверия к тому, что используемые ключи обеспечивают безопасность информации.
6.2. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:
· потеря ключевых носителей;
· потеря ключевых носителей с последующим обнаружением;
· нарушение правил хранения и уничтожения (после окончания срока действия ключа);
· возникновение подозрений на утечку информации или ее искажение;
· нарушение печати на контейнере с ключевыми носителями;
· случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в т. ч. случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).
6.3. При компрометации ключа пользователь немедленно прекращает обмен электронными документами с другими пользователями и извещает о факте компрометации администратора безопасности и инженера по защите информации ИВЦ института.
6.4. По факту компрометации ключей должно быть проведено служебное расследование с оформлением уведомления о компрометации.
6.5. Факт компрометации закрытых ключей подписи должен быть подтвержден официальным уведомлением института в адрес Удостоверяющего центра о компрометации в письменном виде. Уведомление должно содержать идентификационные параметры сертификата, дату и время компрометации, характер компрометации, подпись владельца ключа подписи, подпись руководителя и печать института или его филиала.
6.6. Выведенные из действия скомпрометированные ключи уничтожаются (см. п.5.2 настоящей Инструкции), о чем делается запись в журнале учета ЭЦП (см. Приложение).
Обязанности Администратора безопасности информации7.1. Администратор безопасности проводит опечатывание системных блоков рабочих станций с установленным средством ЭЦП, исключающее возможность несанкционированного изменения аппаратной части рабочих станций. При этом номер пломбы заносится в Учетную карточку персонального компьютера и в Журнал заявок на ремонт персональных компьютеров и оргтехники.
7.2. Администратор безопасности инструктирует Пользователей систем электронного документооборота по правилам обращения с ЭЦП.
7.3. Администратор безопасности контролирует целостность аппаратных средств и программных продуктов, используемых для систем электронного документооборота, в которых используются ЭЦП.
7.4. Контроль за правильностью и своевременностью выполнения регламентных работ с ЭЦП осуществляет Администратор безопасности и уполномоченные лица Удостоверяющего центра.
7.5. Администратор безопасности осуществляет непрерывный контроль за всеми действиями Пользователей систем электронного документооборота, в которых используются ЭЦП.
7.6. Не реже чем 2 раза в год Администратор безопасности информации проводит проверки всех АРМ пользователей, используемых для систем электронного документооборота на предмет соблюдения требований действующих Регламентов Удостоверяющих центров и настоящей Инструкции.
Обязанности Ответственных исполнителей ЭЦП8.1. Ответственные исполнители ЭЦП при работе с ключевыми документами обязаны руководствоваться положениями соответствующего Регламента Удостоверяющего центра и настоящей Инструкции.
8.2. Ответственные исполнители ЭЦП обязаны организовать свою работу по генерации ЭЦП в полном соответствии с положениями соответствующего Регламента Удостоверяющего центра и п.3 настоящей Инструкции.
8.3. Ответственные исполнители ЭЦП обязаны организовать свою работу с ключевыми документами в полном соответствии с п.4 настоящей Инструкции.
8.4. Уничтожение ключевой информации с ключевого носителя может производится только в полном соответствии с положениями соответствующего Регламента Удостоверяющего центра и п.5 настоящей Инструкции.
8.5. В случае каких-либо изменений реквизитов ЭЦП (плановая смена ключей, изменение реквизитов владельцев или Ответственных исполнителей, генерация новой ЭЦП, и др.) в течении 3 суток Ответственные исполнители ЭЦП обязаны предоставить Администратору безопасности информации следующие документы:
◦ копию Приказа о назначении Владельцев и Ответственных исполнителей ЭЦП;
◦ копию Сертификата новой ЭЦП;
◦ копию Акта на уничтожение ключей ЭЦП (см. Приложение).
8.6. Ответственные исполнители ЭЦП обязаны выполнять требования Администратора безопасности информации в части, касающейся обеспечения информационной безопасности института, его подразделений и филиалов.
Обязанности Техников клиник9.1. Техники клиник не являются непосредственными участниками электронного документооборота и не могут быть допущены к ключевым документам.
9.2. В случае необходимости проведения технического обслуживания или других работ на АРМ Ответственных исполнителей ЭЦП, связанного с нарушением целостности пломбы на системных блоках, техники клиник в обязательном порядке делают отметку в Журнале заявок на ремонт персональных компьютеров и оргтехники о срыве пломбы с указанием ее номера. После проведения необходимых работ Техник опечатывает системный блок номерной пломбой с указанием ее номера в Журнале заявок на ремонт персональных компьютеров и оргтехники и Учетной карточке персонального компьютера.
9.3. Не реже чем 1 раз в месяц техники клиник обязаны проверять наличие обновленных сведений об ЭЦП в соответствующих Журналах учета ключевых документов (ведется Ответственными исполнителями ЭЦП, согласно п. 4.9 настоящей Инструкции) и информировать Администратора безопасности информации обо всех обновленных сведениях об ЭЦП.
Приложение
по правилам обращения с ключевыми документами
электронной цифровой подписи
на уничтожение ключей ЭЦП (шифрования)
"_____" ____________________ 200__г
Комиссия, __________________________________________________________________________
(наименование организации, номер и дата приказа)
в составе: председателя ______________________________________________________________,
и членов комиссии____________________________________________________________________
в присутствии пользователя КД по причине ______________________________________________
(окончание срока действия, прекращение полномочий, компрометация)
подготовила к уничтожению ключевые документы стиранием ключевой информации:
Таблица 1.*
Ключевой носитель | Учетный № | Экз. № | Реквизиты сертификата | |
Комиссия установила, что при подготовке данных информация с ГМД, указанных в табл. 2, не считывается. Перечисленные ГМД к дальнейшему использованию не пригодны и подлежат уничтожению измельчением магнитных дисков.
Таблица 2.*
Ключевой носитель | Учетный № | Экз. № | Реквизиты сертификата | Ф. И.О. владельца сертификата ключа ЭЦП |
Члены комиссии:
____________________________ __________________________________________ (подпись) (Ф. И.О)
«Разрешаю уничтожить»
____________________________________
(руководитель организации)
____________________________________
(подпись) (Ф. И.О.)
МП «_____» ____________200__г.
Ключевые документы, перечисленные в табл. 1, уничтожены стиранием ключевой информации двойным форматированием.
Ключевые документы, перечисленные в табл. 2, уничтожены методом измельчения магнитных дисков.
Члены комиссии:
____________________________ __________________________________________ (подпись) (Ф. И.О)
____________________________ __________________________________________ (подпись) (Ф. И.О)
Акт экз. №1 - в дело
Акт экз. №2 - в отдел РСиБИ УФК.
* Примечание: Таблица 1 заполняется при стирании ключевой информации с ГМД.
Таблица 2 заполняется при уничтожении ключевого носителя.
Приложение
по правилам обращения с ключевыми документами
электронной цифровой подписи
Форма Приказа о назначении Владельцев и Ответственных исполнителей ЭЦП
«____» ______________ 201 г. № _________
О назначении владельцев и ответственных исполнителей электронно-цифровой подписи
С целью обеспечения контроля за целостностью передаваемых электронных документов с применением электронно-цифровой подписи (ЭЦП) на ((наименование системы электронного документооборота))
ПРИКАЗЫВАЮ:
1. Назначить основным владельцем ЭЦП ((должность, ФИО владельца ЭЦП))
2. Назначить ответственным исполнителем и поручить исполнение обязанностей по постановке ЭЦП на электронных документах ((наименование системы электронного документооборота)), ((должность, ФИО ответственного исполнителя ЭЦП)).
3. Все действия должностных лиц, связанных с системой электронного документооборота ((наименование системы электронного документооборота)) в отношении этой системы организовать в строгом соответствии с действующим Регламентом Удостоверяющего центра и требованиями Инструкции по правилам обращения с ключевыми документами электронной цифровой подписи ФГУ «Пятигорский ГН».
4. Контроль за исполнением настоящего приказа оставляю за собой
Директор ((подпись)) ((ФИО директора))
Основным владельцем ЭЦП как правило назначается директор или его заместитель.
В том числе с флешки, а также . Если вас интересует, где хранится ЭЦП на компьютере, узнайте из этой статьи.
Где хранится ЭЦП на компьютере
Если нужно узнать какие сертификаты установлены на ваш компьютер, для этого можно воспользоваться Панелью управления Windows , выбрав Свойства браузера .
Как посмотреть ЭЦП
Собственно, здесь и будут перечислены все сертификаты. Но также, чтобы посмотреть сертификаты ЭЦП можно воспользоваться и другим способом.
Нажмите сочетание клавиш (Win + R), в открывшемся окне введите команду certmgr.msc и нажмите Ок .
В открывшемся окне вы увидите несколько вкладок с наименованиями каталогов/категорий, в которых расположены сертификаты.
Где хранится ЭЦП в реестре
Все сертификаты ЭЦП хранятся в реестре Windows в специальном разделе. Чтобы посмотреть сертификат ЭЦП , необходимо открыть реестр Windows и найти путь до сертификата, который выглядит следующим образом:
HKEY\LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-23…\Keys
Где находится ЭЦП в Windows XP
В Windows XP путь до сертификата немного отличается. И это единственное отличие заключается в отсутствии папки Wow6432Node . Чтобы посмотреть сертификат ЭЦП в Windows XP , необходимо открыть следующий путь.
Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что по возможным последствиям аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом реализовано в специализированных хранилищах. К слову, электронная подпись это не сохраненная в виде файла картинка с вашими закорючками, а строка бит, полученная в результате криптографического преобразования информации с использованием закрытого ключа, позволяющая идентифицировать владельца и установить отсутствие искажения информации в электронном документе. У электронной подписи имеется и открытый ключ – код, который доступен всем, с помощью него можно определить, кто и когда подписал электронный документ.
Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в том числе:
Теперь вернемся к специализированным хранилищам. На текущий момент в некоторых системах электронного документооборота реализована возможность использования хранилищ, например e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти.
Помимо указанных выше преимуществ при использовании защищенных хранилищ можно выделить следующие:
- гарантируется сохранность ключа, в том числе при потере носителя на время, необходимое для отзыва сертификата (ведь о потере ЭП необходимо срочно сообщать в удостоверяющий центр, как сообщается в банк при потере банковской карты);
- нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь;
- «токен» можно одновременно использовать для авторизации при входе в операционную систему компьютера и в СЭД. То есть он становится персональным средством аутентификации.
Если СЭД имеет интеграционные решения со специализированными хранилищами для закрытых ключей, то все преимущества проявляются и при работе с системой.
Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.
Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты рекомендуют использовать подобные устройства в работе, но выбор, конечно, всегда остается за вами.
В се больше российских предприятий внедряют у себя системы электронного документооборота, уже на собственном опыте оценивая преимущества данной технологии работы с документами. Электронный обмен данными осуществляется посредством информационных систем, компьютерных сетей, Интернета, электронной почты и множества других средств.
А электронная подпись - это реквизит электронного документа, предназначенный для защиты информации от подделки.
Использование электронной подписи позволяет:
- принимать участие в электронных торгах, аукционах и тендерах;
- выстраивать взаимоотношения с населением, организациями и властными структурами на современной основе, более эффективно, с наименьшими издержками;
- расширить географию своего бизнеса, совершая в удаленном режиме различные, в том числе экономические, операции с партнерами из любых регионов России;
- значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
- построить корпоративную систему обмена электронными документами (являясь одним из ее элементов).
С использованием электронной подписи работа по схеме «разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии» уходит в прошлое. Теперь все можно делать в электронном виде!
Разновидности электронной подписи
Установлены следующие виды , которые регулируются : простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной.
Таблица
Чем различаются между собой 3 вида электронной подписи
Свернуть Показать
Любую электронную подпись подделать очень сложно. А с усиленной квалифицированной подписью (самой защищенной из трех) при современном уровне вычислительных мощностей и требуемых временных ресурсов это сделать просто невозможно.
Простые и неквалифицированные подписи на электронном документе заменяют бумажный документ, подписанный собственноручной подписью, в случаях, оговоренных законом или по согласию сторон . Усиленная квалифицированная подпись может рассматриваться как аналог документа с печатью (т.е. «сгодится» для любых случаев ).
Электронный документ с квалифицированной подписью заменяет бумажный документ во всех случаях, за исключением тех, когда закон требует наличия документа исключительно на бумаге. Например, с помощью таких подписей граждане могут обращаться в государственные органы для получения государственных и муниципальных услуг, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы.
Закрытым ключом подписываем, открытым - проверяем электронную подпись
Чтобы иметь возможность подписывать документы электронной подписью, необходимо иметь:
- ключ ЭП (так называемый закрытый ключ) - с его помощью создается электронная подпись для документа;
- сертификат ключа проверки ЭП (открытый ключ ЭП) - с его помощью проверяется подлинность электронной подписи, т.е. подтверждается принадлежность ЭП определенному лицу.
Организации, которые осуществляют функции по созданию и выдаче сертификатов ключей проверки ЭП, а также ряд иных функций, называются удостоверяющими центрами .
В процессе создания сертификата ключа проверки ЭП каждому пользователю генерируются ключ ЭП и ключ проверки ЭП. Оба этих ключа хранятся в файлах. Для того чтобы никто, кроме владельца подписи, не мог воспользоваться ключом ЭП, его обычно записывают на защищенный ключевой носитель (как правило, совместно с ключом проверки электронной подписи). Его так же, как банковскую карточку, для дополнительной защиты снабжают PIN-кодом . И точно так же, как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи, необходимо ввести правильное значение PIN-кода (см. Рисунок).
Защищенные ключевые носители изготавливаются различными производителями и обычно внешне напоминают флэш-карту. Именно обеспечение пользователем конфиденциальности своего ключа ЭП гарантирует отсутствие возможности у злоумышленников подписать документ от имени владельца сертификата.
Для обеспечения конфиденциальности ключа ЭП необходимо выполнять рекомендации по хранению и использованию ключа ЭП, содержащиеся в документации, как правило, выдаваемой пользователям в удостоверяющем центре, - и вы будете защищены от неправомерных действий, совершаемых с ключом электронной подписи от вашего имени. Лучше всего, если ваш закрытый ключ будет доступен исключительно вам. Эту идею очень важно донести до каждого владельца ключа. Лучше всего этого добиться путем издания инструктивных материалов на данный счет и ознакомления с ними сотрудников под подпись.
Рисунок
Программа запрашивает пароль (PIN-код) для того, чтобы подписать документ электронной подписью при помощи ключа ЭП, содержащегося на подключенной к компьютеру «флэшке»
Свернуть Показать
Пример 1
Фрагмент Руководства по обеспечению безопасности использования квалифицированной электронной подписи ОАО «Электронная Москва»
Свернуть Показать
При создании электронной подписи средства электронной подписи должны:
- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
- создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
- однозначно показывать, что электронная подпись создана.
При проверке электронной подписи средства электронной подписи должны:
- показывать содержание электронного документа, подписанного электронной подписью;
- показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
- указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.
Сертификат ключа проверки ЭП содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Обычно сертификаты хранятся в хранилище операционной системы в изготовившем его удостоверяющем центре бессрочно (точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие). В соответствии с положениями Закона № 63-ФЗ удостоверяющий центр , изготовивший сертификат ключа проверки электронной подписи, обязан предоставлять безвозмездно любому лицу по его обращению информацию , содержащуюся в реестре сертификатов, в т.ч. информацию об аннулировании сертификата ключа проверки электронной подписи.
Свернуть Показать
Олег Комарский , IT-специалист
Удостоверяющий центр, выдавший электронную подпись, хранит сертификат ключа проверки этой ЭП бессрочно, точнее, в течение всего времени своего существования. Пока удостоверяющий центр работает, проблем нет, но т.к. центр является коммерческой организацией, он может прекратить свое существование. Таким образом, в случае прекращения деятельности УЦ возникает возможность потери информации о сертификатах, тогда электронные документы, подписанные электронными подписями, выданными закрывшимся УЦ, могут потерять свою юридическую значимость.
В связи с этим планируется создание своего рода государственного хранилища сертификатов (как действующих, так и отозванных). Это будет что-то вроде государственного нотариального центра, где будут храниться данные о всех сертификатах. Но пока такая информация хранится в УЦ бессрочно.
Что нужно учесть работодателю при оснащении своих сотрудников электронными подписями?
В сертификате ключа ЭП обязательно есть информация о Ф.И.О. его владельца , также есть возможность включения дополнительной информации, такой, как название компании и должность . Кроме того, в сертификате могут быть прописаны объектные идентификаторы (OID) , определяющие отношения, при осуществлении которых электронный документ, подписанный ЭП, будет иметь юридическое значение. Например, в OID может быть прописано, что работник имеет право размещать информацию на торговой площадке, но не может подписывать договоры. Т.е. с помощью OID можно разграничивать уровень ответственности и полномочий.
Существуют свои тонкости передачи полномочий при увольнении или переходе работников на другую должность. Их следует учитывать.
Пример 2
Свернуть Показать
При увольнении коммерческого директора Иванова, подписывавшего документы электронной подписью, для нового человека, сменившего Иванова в этом кресле, нужно заказывать новый ключевой носитель для работы с ЭП. Ведь не может Петров подписывать документы подписью Иванова (хоть и электронной).
Обычно при увольнении организуется перевыпуск ключей ЭП; как правило, для этого работники сами посещают удостоверяющий центр. Организация, оплачивающая выпуск ключей, тоже является владельцем ключа, поэтому она имеет право приостанавливать действие сертификата. Таким образом минимизируются риски: исключается ситуация, когда уволенный работник мог бы подписывать документы от имени прежнего работодателя.
Свернуть Показать
Наталья Храмцовская , к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО, член ГУД и ARMA International
Эффективная деловая деятельность организации зависит от многих факторов. Одним из ключевых элементов всей системы управления является принцип взаимозаменяемости сотрудников. Следует заранее подумать о том, кто подменит сотрудников, временно не исполняющих свои должностные обязанности из-за болезни, командировки, отпуска и т.д. Если ваша организация имеет дело с подписанием документов электронными подписями, этот аспект нужно учитывать отдельно. Тот, кто пренебрежительно относится к данному организационному вопросу, рискует нарваться на серьезные неприятности.
Показательным в данном смысле является дело № А56-51106/2011, которое рассматривал Арбитражный суд города Санкт-Петербурга и Ленинградской области в январе 2012 года.
Как возникла проблема:
- ООО «Сбытовое Объединение «Тверьнефтепродукт» в июле 2011 года подало единственную заявку на участие в открытом аукционе в электронной форме на поставку бензина по топливным картам для Верхне-Волжского отделения Федерального государственного бюджетного научного учреждения «Государственный научно-исследовательский институт озерного и речного рыбного хозяйства» (ФГНУ «ГосНИОРХ»). Аукционная комиссия заказчика приняла решение о заключении государственного контракта с единственным участником аукциона.
- Проект государственного контракта был направлен заказчиком оператору электронной площадки 12 июля 2011 года, а тот передал его в ООО. В установленный законодательством срок ООО не направило оператору электронной площадки проект контракта, подписанный электронной подписью лица, имеющего право действовать от имени участника размещения заказа, т.к. это должностное лицо было на больничном.
- В июле 2011 года Санкт-Петербургским Управлением Федеральной антимонопольной службы (УФАС) были рассмотрены представленные заказчиком сведения об уклонении ООО от заключения контракта и было принято решение о включении того в реестр недобросовестных поставщиков.
Не согласившись с решением УФАС, ООО обратилось в суд. Все три судебные инстанции сочли ООО виновным в уклонении от заключения контракта. А в последней инстанции в октябре 2012 года выплыло, что ООО обращалось к заказчику 10 августа 2011 года и в качестве причины неподписания контракта называло не болезнь своего сотрудника, а его халатность.
Другой интересный случай произошел при подписании государственного контракта электронной подписью неуполномоченного лица. Это дело Арбитражный суд Калужской области рассматривал в сентябре 2011 года (дело №А23-2637/2011).
Обстоятельства были таковы:
- В марте 2011 года ООО «СЭЛ ТЕХСТРОЙ» было признано победителем открытого аукциона. К этому моменту в ООО произошла смена генерального директора: прежний гендир В. стал заместителем нового гендиректора П. Но новому генеральному директору еще не успели оформить ЭЦП. Поэтому 14.03.2011 решили «упростить себе жизнь» и подписать госконтракт при помощи ЭЦП ушедшего со своего поста В. Однако главная ошибка была в том, что В. подписал документ как генеральный директор ООО «СЭЛ ТЕХСТРОЙ».
- Сведения об освобождении от должности генерального директора В. и назначении генеральным директором П., а также доверенность на осуществление действий от имени участника размещения заказа, выданная В. уже как заместителю генерального директора, были размещены на сайте электронной торговой площадки только 24.03.2011, т.е. после подписания и направления контракта заказчику.
- Эту оплошность заметил заказчик, посчитав, что контракт подписан неуполномоченным лицом, и в апреле 2011 года обратился в УФАС. В результате УФАС включило ООО в реестр недобросовестных поставщиков сроком на 2 года из-за уклонения от заключения госконтракта.
При рассмотрении данного дела в первой судебной инстанции суд отметил, что новый генеральный директор общества П. в своих объяснениях УФАС, во-первых, подтвердил готовность к подписанию госконтракта, во-вторых, признал допущенную ошибку, не оспаривая при этом полномочий В., указанных в доверенности. Кроме того, факт размещения доверенности на официальном сайте электронной площадки, пусть и с опозданием, был расценен судом как активные действия общества по устранению допущенной ошибки. В результате Арбитражный суд обязал УФАС исключить ООО из реестра недобросовестных поставщиков. В декабре 2011 года Двадцатый арбитражный апелляционный суд поддержал позицию суда первой инстанции.
Но Федеральный арбитражный суд Центрального округа в марте 2012 года рассудил иначе. По его мнению, 14.03.2011 В. использовал ЭЦП с нарушением положений ст. 4 Федерального закона «Об электронной цифровой подписи» и условий, указанных в сертификате ключа подписи (ведь электронный документ с ЭЦП, не соответствующей условиям, внесенным в сертификат, не имеет юридического значения). В итоге суд сделал вывод о том, что государственный контракт был подписан неуполномоченным лицом, и признал правомерным решение УФАС о признании ООО недобросовестным поставщиком.
Аналогичные дела часто рассматриваются судами. То директор, обладающий сертификатом ключа ЭП и имеющий право подписывать документы от имени общества, увольняется, а новый директор не успевает изготовить себе ЭП и вовремя подписать контракт. То пытаются подписать документы подписью уже уволившегося сотрудника (или переведенного на иную должность в той же организации). То возникают проблемы с халатностью сотрудников или их болезнью (как в первом из описанных случаев), и опять вовремя не успевают делегировать полномочия другому лицу и оформить ему ЭП. А результат один - организация попадает в список недобросовестных поставщиков и лишается права заключения контрактов, финансируемых из бюджета.
Получение работником организации ключа ЭП, обеспечение его сохранности и действия с ним обычно регламентируются приказом по организации с утверждением инструктивных материалов. В них определяется порядок применения ключей ЭП для подписания документов, получения, замены, аннулирования сертификата ключа проверки ЭП, а также действия, выполняемые при компрометации ключа ЭП. Последние аналогичны действиям, выполняемым при потере банковской карты.
Как выбрать удостоверяющий центр?
Законом № 63-ФЗ предусмотрено разделение удостоверяющих центров на прошедших и не прошедших процедуру аккредитации (сейчас ее осуществляет Министерство связи и массовых коммуникаций РФ). Аккредитованному удостоверяющему центру выдается соответствующее свидетельство, и для получения квалифицированного сертификата ключа проверки ЭП необходимо обращаться именно в такой УЦ. Неаккредитованные УЦ могут выдавать только другие виды подписей.
При выборе УЦ следует учитывать, что не каждый из них использует все возможные криптопровайдеры. То есть, если партнерам, организующим электронный документооборот, нужны электронные подписи, сгенерированные с использованием конкретного криптопровайдера, то следует выбирать удостоверяющий центр, работающий именно с данным средством криптографической защиты информации (СКЗИ).
Процедура получения ЭП и необходимые документы
Чтобы организовать обмен электронными документами между организациями, необходимо выполнить следующие действия:
- определить цели и специфику документооборота между вашей и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемых в электронном виде (такие типовые договоры подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк);
- совершить обмен сертификатами ключей проверки ЭП лиц, документы за подписью которых будут передаваться между организациями. Понятно, что получить такие сертификаты партнеры могут не только друг от друга, но и от удостоверяющего центра, осуществившего выпуск данных сертификатов;
- выпустить внутренние инструкции, регламентирующие порядок передачи и приема электронных документов другой организации, включая порядок проверки электронной подписи полученных документов и действия в случае выявления факта внесения изменений в документ после подписания его электронной подписью.
Для изготовления ключей электронной подписи и сертификатов ключей проверки ЭП пользователи должны предоставить в удостоверяющий центр заявительные документы, документацию, подтверждающую достоверность информации, подлежащую включению в сертификат ключа проверки ЭП, а также соответствующие доверенности.
Для обеспечения должного уровня идентификации пользователя процедура получения сертификатов ключей проверки ЭП требует личного присутствия его владельца.
Правда, есть и исключения. Например, сегодня для сотрудников государственных и бюджетных организаций, а также работников органов исполнительной власти города Москвы удостоверяющим центром ОАО «Электронная Москва» разработана система массовой выдачи сертификатов ключей проверки электронной подписи (СКПЭП), которая при сохранении высокого уровня достоверности идентификации пользователя позволяет сделать необязательным посещение удостоверяющего центра каждым сотрудником лично, что существенно сокращает денежные и временные затраты организации по сравнению с выдачей СКПЭП, организованной по традиционной схеме.
Сколько стоит электронная подпись?
Ошибочно считать, что удостоверяющий центр просто продает носители для хранения ключей и сертификатов, услуга является комплексной, и носитель с ключевой информацией является одной из составляющих. Стоимость полного пакета электронной подписи зависит от:
- региона;
- ценовой политики удостоверяющего центра;
- разновидности подписи и области ее применения.
Как правило, в этот пакет входят:
- услуги удостоверяющего центра по изготовлению сертификата ключа проверки ЭП;
- передача прав использования соответствующего программного обеспечения (СКЗИ);
- обеспечение получателя необходимым программным средством для работы;
- поставка защищенного ключевого носителя;
- техническая поддержка пользователей.
В среднем стоимость варьируется от 3 000 до 20 000 рублей на полный пакет с одним носителем ключевой информации. Понятно, что при заказе организацией десятка или сотни сертификатов ключей для своих сотрудников цена на одного «подписанта» будет существенно ниже. Перевыпуск ключей осуществляется через год.
В настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты. Электронную подпись широко внедряют как в государственных организациях, так и на предприятиях частного бизнеса. При этом необходимо учитывать, что разные виды ЭП имеют разную стоимость, что документ, заверенный ЭП, является юридически значимым, поэтому передача ключевых носителей вместе с PIN-кодом другим лицам недопустима.
Самое важное: электронная подпись существенно экономит время, избавляя от бумажной волокиты, что крайне актуально в условиях жесткой конкуренции и при удаленном расположении партнеров.
Проблема пока остается только в плоскости подтверждения подлинности такой подписи и документа с ней на протяжении его длительного срока хранения.
Сноски
Свернуть Показать