Una firma digital electrónica (EDS) es un atributo de un documento electrónico que le permite establecer la ausencia de distorsión de la información en un documento electrónico desde el momento en que se generó la EDS y verificar que la firma pertenece al propietario del certificado de clave EDS. . El valor del atributo se obtiene como resultado de la transformación criptográfica de la información utilizando la clave privada EDS.
En 1994, se adoptó la primera parte del Código Civil de la Federación Rusa (No. 51-FZ del 30 de noviembre de 1994), en el cual el art. 160 (“Forma escrita de la transacción”), la posibilidad de utilizar “transacción electrónica firma digital... en los casos y en la forma prescritos por la ley, otros actos jurídicos o acuerdo de las partes”, y el art. 434 también preveía la posibilidad de celebrar un contrato "mediante el intercambio de documentos por medio de... comunicaciones electrónicas o de otro tipo, que permitan establecer fehacientemente que el documento procede de una de las partes del contrato".
Un poco antes, la carta del Tribunal Supremo de Arbitraje de la Federación Rusa del 19 de agosto de 1994 No. S1-7 / OP-587 "Sobre ciertas recomendaciones adoptadas en reuniones sobre la práctica del arbitraje judicial" confirmó la posibilidad de aceptar como prueba documentos preparados. en en formato electrónico y firmado con firma digital electrónica, si el acuerdo tiene un procedimiento para conciliar desacuerdos y un procedimiento para probar la autenticidad del acuerdo y la confiabilidad de las firmas.
Si surge una disputa sobre la disponibilidad de documentos firmados con firma digital electrónica, las partes deben presentar un extracto del contrato, que indica el procedimiento para conciliar desacuerdos. Solo unos meses después, se adoptó la Ley Federal No. 24-FZ del 20 de febrero de 1995 "Sobre la información, la informatización y la protección de la información" (Actualmente, esta ley ha dejado de ser válida, Ley Federal del 27 de julio de 2006 No. 149-FZ “Sobre la información, las tecnologías de la información y la protección de la información”), que establecía: “La fuerza legal de un documento almacenado, procesado y transmitido utilizando sistemas automatizados de información y telecomunicaciones puede confirmarse mediante una firma digital electrónica (en adelante, - EDS).
En Rusia, un centro de certificación emite un certificado de firma electrónica legalmente significativo. Las condiciones legales para el uso de una firma digital electrónica en documentos electrónicos están reguladas por la Ley Federal del 10 de enero de 2002 No. 1-FZ "Sobre la firma digital electrónica", art. 3.
Se reconoce la fuerza legal de una firma digital electrónica si existen herramientas de software y hardware en el sistema de información automatizado que aseguren la identificación de la firma, y el cumplimiento del modo establecido para su uso. De conformidad con la ley, se emitió otra carta de la Corte Suprema de Arbitraje de la Federación de Rusia con fecha 07.06.95 No. С1-7 / 03-316, en la que, ya sobre la base de la redacción de la nueva ley, fue dijo que al confirmar la fuerza legal de un documento con una firma digital electrónica, dicho documento puede ser reconocido como prueba en un caso pendiente ante el tribunal arbitral. Uso de documentos en formulario electronico regulado por reglamentos departamentales.
Ejemplo - Reglamento Temporal No. 20-P del 12 de marzo de 1998 "Sobre las Reglas para el Intercambio de Documentos Electrónicos entre el Banco de Rusia, entidades de crédito(sucursales) y otros clientes del Banco de Rusia al realizar liquidaciones a través de la red de liquidación del Banco de Rusia” (Instrucción del Banco Central de la Federación Rusa del 11 de abril de 2000 No. 774-U).
Sin embargo, todos los documentos legislativos y reglamentarios prevén el reconocimiento de la fuerza jurídica de la EDS solo a nivel de acuerdos bilaterales, sujeto a la celebración preliminar entre las partes contratantes de un acuerdo sobre el reconocimiento mutuo de documentos firmados por la EDS. Es decir, las organizaciones primero tenían que concluir un acuerdo escrito sobre el reconocimiento mutuo de documentos electrónicos para comenzar a intercambiarlos más tarde. Esto hizo posible organizar el trabajo de los sistemas "cliente-banco", pero no permitió transferir documentos electrónicos a la esfera de las relaciones públicas. Se necesitaba una tecnología que equiparara las posibilidades de utilizar documentos electrónicos y convencionales.
Para solucionar este problema, se adoptó la Ley Federal N° 1-FZ del 10 de enero de 2002 “Sobre Firma Digital Electrónica” (en adelante, la Ley “Sobre EDS”), cuyo objetivo era precisamente “garantizar las condiciones legales para el uso de una firma digital electrónica en documentos electrónicos, con cuyo cumplimiento una firma digital electrónica en un documento electrónico se reconoce como equivalente a una firma manuscrita en un documento en copia impresa».
Según el art. 3 de la Ley Federal "Sobre la firma digital" del 10 de enero de 2001 No. 1-FZ:
- documento electrónico - un documento en el que la información se presenta en forma digital electrónica;
- firma digital electrónica - el requisito de un documento electrónico diseñado para proteger este documento electrónico de la falsificación, obtenido como resultado de la transformación criptográfica de información utilizando la clave privada de la firma digital electrónica y que permite identificar al propietario del certificado de clave de firma, así como establecer la ausencia de distorsión de la información en el documento electrónico;
- medios de firma digital electrónica - hardware y (o) software que proporciona la implementación de al menos una de las siguientes funciones - la creación de una firma digital electrónica en un documento electrónico utilizando la clave privada de la firma digital electrónica, confirmación utilizando el clave pública de la firma digital electrónica de la autenticidad de la firma digital electrónica en un documento electrónico, creación de claves privadas y públicas de firmas digitales electrónicas;
- certificado de medios de firma digital electrónica: un documento en papel emitido de acuerdo con las reglas del sistema de certificación para confirmar el cumplimiento de los medios de firma digital electrónica con los requisitos establecidos;
Según el art. 16 de la Ley Federal "Sobre Firma Digital Electrónica" el uso de la firma digital electrónica en el ámbito de la administración pública:
Después de la formación de EDS cuando se utilizó en la gestión de documentos electrónicos entre instituciones de crédito y oficinas de crédito en 2005, la infraestructura de gestión de documentos electrónicos entre las autoridades fiscales y los contribuyentes comenzó a desarrollarse activamente. La Orden del Ministerio de Impuestos y Tasas de la Federación Rusa del 2 de abril de 2002 No. BG-3-32/169 "Procedimiento para presentar una declaración de impuestos en forma electrónica a través de canales de telecomunicaciones" comenzó a funcionar. Define los principios generales del intercambio de información al presentar una declaración de impuestos en forma electrónica a través de canales de telecomunicaciones.
La Ley de la Federación Rusa del 10 de enero de 2002 No. 1-FZ "Sobre la firma digital electrónica" establece las condiciones para usar el EDS, las características de su uso en las áreas de administración pública y en el sistema de información corporativo.
Gracias a la EDS, ahora, en particular, muchos empresas rusas realizar sus actividades de compra y venta por Internet, a través de los "Sistemas comercio electrónico”, intercambiando con las contrapartes los documentos necesarios en formato electrónico, firmado con un EDS. Esto simplifica y acelera enormemente los procedimientos comerciales competitivos.
La fuerza legal de la firma digital fue confirmada por la Ley Federal del 27 de julio de 2006 No. 149-FZ "Sobre información, tecnologías de la información y protección de la información", art. 11 del cual establece que “un mensaje electrónico firmado con una firma digital electrónica u otro análogo de una firma manuscrita se reconoce como un documento electrónico equivalente a un documento firmado con una firma manuscrita, en los casos en que las leyes federales u otros actos legales reglamentarios no lo permitan. establecer o implicar la obligación de redactar dicho documento en papel.
Es decir, en todos los casos en que la legislación no establezca expresamente que el documento deba redactarse en papel, tenemos derecho a utilizar documentos electrónicos. También en el art. 11 dice: “Con el propósito de concluir contratos de derecho civil o registro de otras relaciones jurídicas que involucren a personas que intercambian mensajes electrónicos, el intercambio de mensajes electrónicos, cada uno de los cuales está firmado por una firma digital electrónica u otro análogo de la firma manuscrita del remitente de dicho mensaje, en la forma prescrita por las leyes federales, otros actos jurídicos reglamentarios o acuerdo de las partes, se considera como un intercambio de documentos.
Si, al usar una firma en un documento en papel, su fuerza legal puede aclararse al conciliar la firma existente debajo del documento con otras muestras de firma de esta persona, y en el caso de litigio, con la ayuda de un examen grafológico, entonces al introducir tecnología EDS, era necesario proporcionar un sistema que permitiera, al recibir (abrir) cualquier documento electrónico firmado con un EDS, identificar inequívocamente al firmante del documento, y también establecer la ausencia de distorsión de la información en el documento electrónico después de firma.
Técnicamente, el sistema de firma involucra el uso de tecnología criptográfica (cifrado) con la firma de un documento usando una clave privada (secreta) y verificando la firma usando una clave pública (pública) o, como también se le llama, pública.
El uso de esta tecnología prevé la presencia de centros de certificación que emitirán claves privadas para la firma de documentos y mantendrán una base de datos disponible públicamente de las claves públicas utilizadas para verificar la firma.
En muchos sentidos, la Ley "Sobre EDS" es solo la ley sobre los centros de certificación: a ellos se dedica el Capítulo 3. Creemos que son precisamente los retrasos en la creación. red única centros de certificación y explica el retraso en la distribución masiva de firmas digitales, ya que el uso generalizado de firmas digitales requiere la organización de una infraestructura adecuada para la emisión masiva de claves privadas (para firmar documentos) y distribución de claves públicas (para verificar la autenticidad de firmas digitales).
La abreviatura inglesa PKI (infraestructura de clave pública) se usa a menudo para referirse a la infraestructura de distribución de claves. De conformidad con el Decreto del Gobierno de la Federación Rusa del 30 de junio de 2004 No. 319 "Sobre la aprobación del reglamento sobre agencia Federal sobre tecnologías de la información» organización de la confirmación de la autenticidad de las «firmas digitales electrónicas de las personas autorizadas de los centros de certificación en los certificados de claves de firma emitidos por ellos», «mantenimiento de un registro estatal certificados de claves de firma de centros certificadores y el registro de certificados de claves de firma de personas autorizadas de organismos del gobierno federal”, así como “dar acceso a los mismos a ciudadanos, organizaciones, autoridades estatales y organismos Gobierno local”fue confiado a la Agencia Federal de Tecnologías de la Información.
Sin embargo, surge la pregunta: ¿se puede confiar en esta autoridad de certificación, se verificó la identidad del solicitante antes de emitirle un certificado? Aquí, las actividades de los centros de certificación recuerdan un poco a las actividades de los notarios.
Por tanto, aparece en el art. 10 de la Ley, el organismo federal autorizado que “mantiene un registro estatal unificado de certificados de clave de firma, con el cual los centros de certificación que trabajan con participantes en los sistemas públicos de información certifican los certificados de clave de firma emitidos por ellos, proporciona acceso gratuito a este registro y emite firma certificados clave de los correspondientes centros de certificación de personas autorizadas.
El retraso en la introducción de EDS en la esfera de las relaciones públicas se debió en gran parte a los problemas no resueltos de crear un centro de certificación raíz (jefe), que debería registrar todos los centros de certificación.
Entonces, por ejemplo, la orden del gobierno de Moscú "Sobre la creación del centro de certificación regional principal de Moscú" apareció el 10 de abril de 2003 (No. 568-RP) y la apertura del Centro de certificación principal de Moscú (GUC) tuvo lugar recién el 1 de diciembre de 2006. El centro de certificación, a solicitud de una organización o de un individuo, crea para el solicitante una clave destinada a firmar documentos y un certificado de clave de firma que incluye una clave pública para verificar una firma digital. El certificado de clave de firma puede incluir tanto el apellido, el nombre, el patronímico y el cargo (que indique el nombre y la ubicación de la organización en la que se establece este cargo) y las calificaciones del propietario del certificado de clave de firma, así como otros información confirmada por los documentos pertinentes.
Por lo tanto, dado que el certificado de clave de firma se crea mediante una solicitud por escrito, la identidad del solicitante y otra información ingresada se confirman mediante los documentos pertinentes; esto garantiza que la identidad del firmante del documento coincida con la información especificada en el certificado de clave de firma. . Al mismo tiempo, de conformidad con el apartado 4 del art. 9 de la Ley "los servicios de emisión de certificados de claves de firma registrados por un centro de certificación a los participantes en los sistemas de información, junto con información sobre su funcionamiento en forma de documentos electrónicos, se proporcionan de forma gratuita".
La provisión organizacional de firma digital electrónica (EDS) se lleva a cabo de acuerdo con la legislación del estado en cuyo territorio se utiliza esta herramienta EDS. A falta de tal legislación regulacion legal en el campo de aplicación de los medios EDS, se lleva a cabo sobre la base de actos reglamentarios de los órganos administrativos.
Según el art. 3 de la Ley Federal "Sobre la firma digital" del 10 de enero de 2001 No. 1-FZ:
documento electrónico - un documento en el que la información se presenta en formato digital electrónico;
firma digital electrónica - un atributo de un documento electrónico diseñado para proteger este documento electrónico de la falsificación, obtenido como resultado de la transformación criptográfica de información utilizando la clave privada de la firma digital electrónica y que permite identificar al propietario del certificado de clave de firma, como así como establecer la ausencia de distorsión de la información en el documento electrónico;
medios de firma digital electrónica - herramientas de hardware y (o) software que aseguran la implementación de al menos una de las siguientes funciones - la creación de una firma digital electrónica en un documento electrónico usando la clave privada de la firma digital electrónica, confirmación usando el clave pública de la firma digital electrónica de la autenticidad de la firma digital electrónica en documento electrónico, creación de claves privadas y públicas de firmas digitales electrónicas;
certificado de medios de firma digital electrónica: un documento en papel emitido de acuerdo con las reglas del sistema de certificación para confirmar el cumplimiento de los medios de firma digital electrónica con los requisitos establecidos;
Según el art. dieciséis Ley Federal "Sobre la firma digital" uso de la firma digital electrónica en el ámbito de la administración pública
1. Órganos federales de poder estatal, órganos de poder estatal de súbditos Federación Rusa, organismos de autogobierno local, así como organizaciones que participan en la circulación de documentos con estos organismos, utilizan firmas digitales electrónicas de personas autorizadas de estos organismos, organizaciones para firmar sus documentos electrónicos.
2. Los certificados de clave de firma de las personas autorizadas de los organismos del gobierno federal se incluyen en el registro de certificados de clave de firma que lleva el órgano ejecutivo federal autorizado y se emiten a los usuarios de los certificados de clave de firma de este registro en la forma establecida por esta Ley Federal para los centros de certificación. .
3. El procedimiento para organizar la emisión de certificados de claves de firma de las personas autorizadas de las autoridades estatales de las entidades constitutivas de la Federación de Rusia y las personas autorizadas de los órganos de autogobierno local se establece mediante actos jurídicos reglamentarios de los órganos pertinentes.
El titular del sistema de información en el que se utiliza
firma digital electrónica al crear documentos electrónicos,
deber:
asegurar el cumplimiento del software y hardware aplicado con los requisitos definidos por el fabricante de los medios de firma digital electrónica y los requisitos contenidos en
reglamentos de los centros de certificación;
velar por el cumplimiento de los requisitos de la legislación vigente en materia de firma digital electrónica cuando se realicen actuaciones en el sistema de información con documentos electrónicos que requieran el uso de firma digital electrónica.
El propietario del certificado de clave de firma está obligado a cumplir con los requisitos de la legislación vigente en el campo de la firma digital electrónica, los actos jurídicos reglamentarios del Gobierno de Moscú, los actos reglamentarios de la organización: el propietario del sistema de información en el que utiliza la firma digital electrónica, Reglamento del centro de certificación, requisitos legales y órdenes de administradores de sistemas de información interactuantes, así como orden real.
Los titulares de los sistemas de información, los centros certificadores, los funcionarios, los participantes en el intercambio de información y demás personas serán responsables conforme a la legislación vigente de causar daño por su acción u omisión si incumplen los requisitos de este procedimiento.
Es decir, no se requieren gastos para verificar la autenticidad de la firma del documento entrante. Otro problema es el tema del almacenamiento de claves públicas que sirven para verificar la autenticidad de una firma digital. De conformidad con el art. 7 de la Ley, el período de almacenamiento de una clave pública en un centro de certificación no puede ser inferior al plazo de prescripción establecido por la ley para los documentos firmados con EDS, luego del cual la clave pública se transfiere a la modalidad de almacenamiento en archivo.
La ley establece un período de almacenamiento de archivo de al menos cinco años, es decir, por ejemplo, el período total de almacenamiento de claves públicas para documentos de un período de almacenamiento temporal (5 años) debe ser de 10 años.
En términos de trabajo de oficina, hay una serie de innovaciones en comparación con las tecnologías de documentos tradicionales. En primer lugar, esto se debe a que no se pueden realizar cambios en el archivo de un documento firmado con un EDS.
El checksum ("hash sum") del documento es el componente principal del EDS y garantiza, en el lenguaje de la Ley, "la ausencia de distorsión de la información en el documento electrónico después de la firma". A partir de esto se siguen una serie de cambios. Si antes, cuando trabajaba con un documento en papel, un empleado, al descubrir un error tipográfico después de firmarlo, podía corregir cuidadosamente el documento con un bolígrafo, tapar algo y en un documento de varias páginas con una firma solo en la última o la primera página, incluso reemplazar hojas individuales del documento, luego, cuando se usa un EDS, esto ya no es posible; cualquier cambio en el documento conducirá al hecho de que el EDS del documento no será válido.
Por la misma razón, en un documento firmado con un EDS, es inaceptable tener campos actualizados automáticamente que a menudo están presentes en las plantillas de documentos, por ejemplo, "fecha de impresión del documento", "ubicación del archivo del documento", etc. Actualización automática de un campo en un documento también conducirá al hecho de que el documento será cambiado y la firma digital será cancelada. Otro cambio significativo en la tecnología se debe a que generalmente, después de firmar, un documento en papel se transfiere al servicio DOW (oficina, Departamento común, secretaría), donde está registrado y fijado número de registro.
Dado que no se pueden permitir cambios en el archivo del documento después de que se haya firmado, significa que la información de registro debe ingresarse solo en la tarjeta de registro del documento. Así, las resoluciones y otros detalles que tradicionalmente se aplicaban a un documento en papel se almacenan únicamente en la ficha de registro (base de datos del documento).
En consecuencia, si un documento tradicional es una hoja de papel con todos los detalles disponibles, reflejando ciclo vital documento (fecha, firma, número de registro, marca de recibo, resolución, marca de ejecución y remisión al expediente, etc.), entonces un documento electrónico es un archivo con un EDS, una clave pública para verificar una firma y una entrada en la base de datos, es decir, una tarjeta electrónica adjunta al documento y que contiene todos los detalles e información necesarios sobre su ciclo de vida.
Para trabajar con documentos electrónicos legalmente significativos, se necesita un software especializado, un sistema de gestión de registros electrónicos (EDMS), por lo tanto, en esta situación, el problema de elegir e implementar un sistema que proporcione trabajo con documentos electrónicos y EDS para todos los empleados de la la organización pasa a primer plano en importancia.
Dado que aún no existe un estándar único para el intercambio de documentos en formato electrónico y su transferencia a archivos estatales entre organizaciones (aunque en la actualidad el Instituto de Investigación de Archivos y Gestión de Registros de toda Rusia (VNIIDAD) ya está desarrollando pautas sobre la organización del trabajo con documentos electrónicos), entonces aquí podemos aconsejarle que se concentre en los más masivos productos de software, que puede finalizarse fácilmente en el futuro, tan pronto como se adopten los documentos normativos y metodológicos pertinentes.
Firma digital electrónica, puede ser utilizada por personas jurídicas y individuos Para entrega declaración de impuestos(declaraciones de impuestos) en formato electrónico, obtención de los certificados necesarios, presentación de informes a la Caja de Pensiones y Caja del Seguro Social, contestación de consultas de organismos y organismos estatales, participación en concursos de órdenes estatales y municipales y subastas electrónicas. Independientemente del lugar de su tenencia y la ubicación del participante, así como para organizar su propia gestión de documentos electrónicos (dentro de la empresa), al interactuar con socios y para resolver otros problemas aplicados.
La firma digital electrónica también se utiliza para la identificación en sistemas de acceso autorizado a locales, en sistemas de información, etc.
La tecnología de uso del sistema EDS supone la presencia de una red de suscriptores que se envían documentos electrónicos firmados entre sí. Para cada suscriptor, se genera un par de claves: privada y pública.
El suscriptor mantiene en secreto la clave privada y la utiliza para formar el EDS. La clave pública es conocida por todos los demás usuarios y está destinada a cheques EDS el destinatario del documento electrónico firmado.
Se utiliza una firma digital electrónica para confirmar la autenticidad de los documentos transmitidos a través de los canales de telecomunicaciones. Funcionalmente, es similar a una firma regular y tiene sus principales ventajas:
certifica que el texto firmado proviene del firmante;
no le da a la persona la oportunidad de rechazar las obligaciones asociadas con el texto firmado;
garantiza la integridad del texto firmado.
Una firma digital electrónica es una cantidad relativamente pequeña de información digital adicional que se transmite junto con el texto firmado.
EDS se basa en los logros de la criptografía moderna. Con la ayuda de EDS, se establece una relación inequívoca entre el contenido del mensaje, la firma en sí y el par de claves. Cambiar al menos uno de estos elementos conduce a una violación de esta conexión, y su conservación es una confirmación de la autenticidad de la firma digital y, en consecuencia, del mensaje mismo. EDS se implementa utilizando algoritmos de cifrado asimétrico y funciones hash.
El uso del EDS incluye dos procedimientos:
– formación de una firma digital;
– verificación de firma digital.
Hay dos opciones para generar (crear) un EDS:
– generación de una clave privada en la CA;
– generar una clave privada del lado del usuario.
A menudo, el usuario genera de forma independiente una clave privada (en su lugar de trabajo), después de lo cual genera una solicitud a la CA para la producción de un certificado de clave de firma (SKP) y el registro de este SKP en el registro de CA. Al mismo tiempo, el certificado de clave de firma del usuario está firmado electrónicamente por la clave CA, y cuando abre la pestaña correspondiente en el certificado, puede ver qué clave firmó este UPC. Así, la persona autorizada de la CA (esto es un empleado que ha recibido la educación adecuada en el campo de la seguridad de la información) certifica el certificado del usuario con su certificado, también llamado certificado raíz. La autoridad de certificación confirma con su firma todas las firmas que crea.
Si la clave privada se genera en la CA, entonces el empleado autorizado se dirige a la CA, donde es obligatorio presentar un documento de identidad (generalmente un pasaporte) y transferir el paquete completo de documentos requerido por sus regulaciones al administrador de la CA. Posteriormente, el administrador genera las claves privadas y públicas del cliente en una sala especialmente equipada. A continuación, el administrador emite una clave única, que debe emitirse en un medio seguro, y registra el certificado, es decir lo inscribe en el registro de UPC UTs operativas.
Según el art. 5 de la Ley Federal "Sobre Firma Digital Electrónica" No. 1-FZ del 10 de enero de 2002:
1. La creación de claves de firma digital electrónica se realiza:
- para uso en un sistema de información pública - por el usuario o, a petición suya, por un centro de certificación;
- para uso en un sistema de información corporativo - en la forma prescrita en este sistema.
2. Al crear claves EDS para usar en un sistema de información pública, solo deben usarse herramientas EDS certificadas. La compensación por pérdidas y daños incurridos en relación con la creación de claves EDS por herramientas EDS no certificadas puede asignarse a los creadores y distribuidores de dichas claves.
3. En los sistemas de información corporativa de las autoridades estatales federales, las autoridades estatales de las entidades constitutivas de la Federación Rusa y los gobiernos locales, no se permite el uso de herramientas EDS no certificadas y claves EDS creadas por ellos.
4. La certificación de herramientas EDS se lleva a cabo de acuerdo con la legislación de la Federación Rusa sobre certificación de productos y servicios.”
Considere las características del almacenamiento EDS
Los medios protegidos están equipados con un sistema de seguridad: código pin, protección contra piratería, protección contra copias no autorizadas desde el interior, por ejemplo, durante la firma. Pero a menudo se usan medios desprotegidos, desde los cuales las claves se copian fácilmente, también es posible usar un EDS desde una computadora si está instalado en ella. Desde el punto de vista de la seguridad, esto es fundamentalmente incorrecto, existe el riesgo de que terceros se apoderen del EDS. Además, el titular de la EDS puede copiar su firma desde un medio seguro.
Como ha demostrado la práctica, los líderes empresariales prefieren recibir un EDS en su propio nombre, pero, por regla general, no trabajan solos en los pisos comerciales y copian la firma para sus empleados. Tenga en cuenta que si copia la firma de varios subordinados, en caso de demanda, los documentos firmados con estos EDS tendrán plena fuerza legal. En consecuencia, si alguien firmó algún documento de la EDS del jefe, el jefe es totalmente responsable de las acciones que se realizan con la ayuda de esta firma. Por ejemplo, si una secretaria o señora de la limpieza, sin saberlo o con malicia, firmó algún acuerdo o contrato, entonces tiene plena fuerza legal.
En este caso, en primer lugar, no está claro quién y dónde firma los documentos y, en segundo lugar, es posible que terceros actúen en nombre de la organización sin el conocimiento de la dirección. Es más correcto emitir un poder notarial ordinario en papel a una persona autorizada para recibir otro EDS, después de recibirlo, trabaja en el piso de negociación en su propio nombre. Si se comete un error, inmediatamente queda claro quién lo cometió. El poder notarial indica todos los poderes conferidos al empleado: por ejemplo, puede realizar todas las acciones para presentar una solicitud y participar en la subasta, pero no tiene derecho a firmar contrato del gobierno. Por lo tanto, el empleado puede realizar todas las acciones para participar en la realización de un pedido, pero el derecho a firmar el contrato permanece solo con el jefe de la empresa.
En caso de trabajo desatento con poderes notariales, es posible otorgar al empleado poderes demasiado amplios. Por ejemplo, los derechos del director general. En este caso, el empleado recibe la autoridad para tomar cualquier acción en nombre de la organización, incluida la firma de cualquier documento y la gestión de la cuenta corriente. Los EDS con tales derechos deben almacenarse solo en un lugar con acceso limitado (por ejemplo, en una caja fuerte).
Es posible que el empleado no tenga la autoridad para realizar acciones legales específicas. Es decir, si una persona que firma documentos o contratos electrónicos no tiene los derechos para firmar documentos específicos, el contrato es legalmente nulo y puede ser rescindido.
Prueba
1. ¿Cuál del hardware se refiere al EDS?
Alena, ciertamente entiendo que el artículo es algo "informativo general" por naturaleza, pero aún así vale la pena resaltar la lista de "ventajas y desventajas" de cada solución más ampliamente. No estoy refutando en lo más mínimo la conclusión final de que las tarjetas inteligentes son más confiables, pero potencialmente crean muchas más dificultades que el banal "implica costos adicionales".
Por claves en la computadora local
Esto no es verdad. El proveedor criptográfico RSA predeterminado en las tiendas de Windows usa la carpeta C:\Users\ para almacenar claves privadas
Aquellas. los coloca en la parte itinerante del perfil, lo que significa que si el usuario trabaja en diferentes máquinas dentro red corporativa, le bastará con configurar un perfil móvil y no es necesario instalar certificados en cada máquina.
Mediante el uso de fichas
Aquí debe comprender que diferentes fabricantes implementan esta funcionalidad de diferentes maneras. Para algunos, el teclado del código PIN está ubicado directamente en el dispositivo, para otros, se usa un software especializado en la computadora.
En el primer caso, el dispositivo resulta más engorroso, pero más protegido contra la interceptación del código PIN, que se puede leer instalando un keylogger de software o hardware en la máquina del usuario, si se utiliza un software de entrada.
En particular, Rutoken usa software para ingresar códigos PIN, lo que significa que es potencialmente vulnerable.
Así es, no necesita instalar certificados, pero sí necesita instalar controladores de dispositivos, proveedores criptográficos y otros módulos.
Y este es un software adicional de bajo nivel con sus propias características y problemas específicos.
Sí, esto es cierto, pero solo con la condición de que use las funciones criptográficas del propio dispositivo (es decir, todo el cifrado y la firma los realiza el propio token).
Esta es la opción más segura, pero tiene una serie de limitaciones:
- algoritmos liberados. Por ejemplo, el mismo Rutoken (a juzgar por su documentación) solo admite GOST 28147-89 en hardware. Todos los demás algoritmos, aparentemente, ya están implementados en el software, es decir. con la extracción de la clave privada del repositorio.
- velocidad de interfaz Las tarjetas inteligentes simples implementan, por regla general, no las interfaces de hardware más rápidas (probablemente para simplificar y reducir el costo del dispositivo), por ejemplo, USB 1.1. Y dado que necesita transferir todo el archivo al dispositivo para firmarlo/encriptarlo, esto puede causar "frenos" inesperados.
Sin embargo (nuevamente, a juzgar por la documentación de Rutoken), los tokens también pueden actuar simplemente como almacenamiento encriptado. Por ejemplo, así es como funcionan junto con CryptoPro CSP. Bueno, entonces la conclusión es obvia: dado que un software puede acceder a las claves, otro puede hacerlo.
Preguntas adicionales
A la lista anterior, debemos agregar algunas preguntas más que también deben tenerse en cuenta al decidir si cambiar a tokens:
- ¿Cómo se actualizan los certificados? Por ejemplo, ni en el sitio web de Rutoken (en las secciones generales y el foro), ni en la documentación encontré ninguna mención del soporte de Rutoken para el Servicio de distribución de claves de Active Directory. Si este es el caso (y el propio Rutoken no proporciona otros mecanismos para la actualización masiva de claves), entonces todas las claves deben actualizarse a través de los administradores, lo que crea sus propios problemas (porque la operación no es trivial).
- qué software se usa en la empresa y requiere funciones criptográficas:
- puede funcionar a través de un proveedor de cifrado (algunos programas usan su propia implementación de algoritmos de cifrado y solo requieren acceso a las claves)
- puede utilizar proveedores criptográficos distintos a los estándar
- qué software adicional (además de los controladores de token) deberá instalarse en las estaciones de trabajo y servidores. Por ejemplo, la autoridad de certificación estándar de Microsoft no admite la generación de claves para algoritmos GOST (y es posible que el token no funcione con otros).
Hasta la fecha, EDS y sus análogos se están introduciendo cada vez más en la vida y se utilizan en procesos comerciales, a pesar de la imperfección de la legislación. EDS es conveniente y eficiente en el trabajo operativo, pero el almacenamiento a largo plazo de los documentos firmados firma electronica, es un problema grave que no ha sido completamente resuelto en ninguna parte del mundo. Dado que la tecnología aún es muy joven, hay poca investigación en el campo de garantizar la seguridad de los documentos electrónicos con EDS.
Las autoridades estatales rusas, que regulan el trabajo operativo con documentos electrónicos, no piensan en lo que les sucederá en el futuro. A la hora de establecer los periodos de conservación no se tienen en cuenta sus características, y muchas veces se ignora por completo su existencia. Distribución establecida por la Ley "Sobre archivando en la Federación Rusa” de los términos de almacenamiento departamental para documentos electrónicos conducirá inevitablemente a la pérdida de una parte significativa de la información, ya que se requiere una organización de almacenamiento diferente. Es necesario cuidar el almacenamiento a largo plazo de los documentos electrónicos en el momento de su creación.
Hay varios asuntos importantes qué organizaciones tendrán que resolver durante el almacenamiento a largo plazo de documentos con EDS:
- ¿Cómo garantizar la verificación de la EDS durante un largo período de tiempo? ¿Es necesario? Cómo probar la autenticidad, integridad, etc. documentos electrónicos relevantes?
La respuesta a la pregunta sobre la necesidad de almacenar documentos con EDS está dada por legislatura actual y normas que prevean la conservación de documentos electrónicos a por lo menos a medio plazo (5-10 años) con la posibilidad de comprobar el EDS. Para la mayoría de las preguntas restantes, aún no hay respuestas, pero ya hay requisitos que deben cumplirse.
- ¿Qué hacer con los documentos de almacenamiento permanente firmados electrónicamente? A diferencia de los documentos en papel, que pueden permanecer en estanterías de archivo durante siglos, los documentos electrónicos no se pueden almacenar sin cambios durante más de 7 a 10 años. Después de este período, el soporte de información pierde su confiabilidad o el equipo, software o formato en el que se registra el documento se vuelve obsoleto. Es por eso que es simplemente impensable hablar de 75 años de almacenamiento en la organización de documentos electrónicos: no habrá nada que aceptar para el almacenamiento. Pocas organizaciones tienen la mano de obra, la experiencia y los recursos para organizar este trabajo.
- EDS no es invulnerable y, con el tiempo, puede verse comprometido y/o falsificado. La falsificación de firmas digitales "antiguas" puede tener consecuencias no menos catastróficas que la falsificación de las existentes. Ya ahora, la legislación permite la firma digital de documentos de gran importancia financiera y legal. Necesitamos pensar en cómo protegernos de la aparición en 10-20 años de una masa de documentos electrónicos falsificados, supuestamente pertenecientes a principios del siglo XXI y certificados por el EDS "correcto". Si no se ocupa de las medidas de protección organizativas y de otro tipo adecuadas hoy, entonces es posible que haya problemas importantes más adelante.
Requisitos de la organización
gestión comercial y documental
Para que los intereses de la organización estén debidamente protegidos, es necesario pensar previamente en qué medida y cómo debe reflejarse la información sobre la firma digital en el propio documento y sus metadatos.
En el año 2000, los Archivos Nacionales de los Estados Unidos incluyeron en las Pautas de gestión de documentos para agencias que usan firmas electrónicas los requisitos que todos los documentos firmados electrónicamente, cuando se muestran en un formato legible por humanos (en papel o en una pantalla de monitor), deben contener :
- el nombre del remitente o de la persona que documento firmado,
- fecha y hora de la firma,
- intenciones claramente expresadas del signatario, es decir, teclee el texto:
- "Lo apruebo"
- "el remitente se hace responsable de la transacción",
- "el remitente está autorizado a firmar por otra persona", etc.
Estos requisitos tienen como objetivo garantizar la comodidad de trabajar con documentos durante mucho tiempo, incluso cuando ya no sea posible verificar el EDS.
Muchas de nuestras organizaciones, al descifrar el EDS, también incluyen en versión impresa información del documento sobre la persona que lo firmó y la fecha de la firma. El tercer requisito, por regla general, no se aplica a nosotros, lo cual es una pena: una "resolución electrónica", a partir de la cual quedan claras las intenciones del firmante, hace que el documento sea más "irrevocable".
Los requisitos para el flujo de documentos y para las actividades del servicio DOW tienen como objetivo garantizar la preservación de todos documentos requeridos. Para ello, el servicio DOW de la organización debe:
- incluir en el sistema de gestión documental de la organización todos los documentos que surjan en el proceso de uso de la infraestructura de firma digital y clave pública, así como guardar metadatos suficientes para buscarlos y trabajar con ellos;
- conservar este conjunto de documentos durante el mismo período de tiempo que el propio documento con un EDS.
- la integridad de los documentos no está asegurada y pueden ser modificados por el usuario;
- los documentos están disponibles solo para usuarios individuales y, como resultado, no se convierten en un recurso corporativo;
- surgen dificultades con el establecimiento de períodos de almacenamiento para dichos documentos, el examen del valor y su asignación para la destrucción.
Lo mejor es organizar el almacenamiento de todo el conjunto de documentos relacionados con el uso de EDS en los sistemas de gestión de documentos electrónicos, ya que dichos sistemas permiten:
- garantizar el almacenamiento seguro, el control y el registro de acceso a los mismos;
- asignar y realizar un seguimiento de los períodos de retención;
- Realizar destrucción confidencial controlada al vencimiento de los períodos de retención.
Los expertos estadounidenses señalan que las tecnologías asociadas con el uso de EDS aún son muy jóvenes y no han pasado por el "fuego y el agua" de los litigios. Por lo tanto, se recomienda pensar en cómo “poner paja” y abastecerse de un conjunto suficiente de documentos en caso de que tenga que ir a la corte:
- un mensaje de que el EDS se ha verificado con éxito,
- fecha y hora verificación de documentos,
- identificación de operación,
- enlace a interno regulaciones, regulando el trabajo (incluyendo la fecha y versión del documento),
- otra información que la organización considere necesario registrar.
Documentación de uso
firmas digitales
en la organización
Cualquier cambio en el sistema de gestión de documentos de la organización, por regla general, implica un cambio en la composición de la documentación. La introducción de nuevas tecnologías no es una excepción: las organizaciones tienen un conjunto completo de documentos nuevos, que antes no existían, que también deben registrarse y mantenerse en estricta conformidad con la ley, de modo que en cualquier situación controvertida la organización pueda probar su caso. .
Durante la transferencia de información, se pueden crear y almacenar los siguientes documentos:
- En organizaciones-remitentes y destinatarios:
- el documento real que se envía,
- certificado de clave de remitente,
- consultas/respuestas verificación de certificado,
- normas internas que rigen el uso de certificados de claves,
- acuerdos o acuerdos entre participantes en el intercambio de información sobre el uso de EDS,
- avisos de revocación o compromiso de certificados de clave pública,
- recibo de aceptación del documento o negativa a aceptación del documento,
- documentos que fijan la configuración del usado software,
- pruebas de software y documentos de verificación.
- En los centros de certificación:
- documentos reglamentarios internos del centro de certificación que definen las reglas para trabajar con certificados clave (incluido el procedimiento para organizar la emisión de certificados y el procedimiento para almacenar certificados revocados),
- registros de certificados clave,
- listas de certificados revocados y caducados,
- documentación de certificación mutua de centros de certificación,
- protocolos y registros de auditoría del sistema de información del centro de certificación.
Si el EDS se utiliza en un sistema de información corporativo y el propietario del centro de certificación es una de las organizaciones que participan en el intercambio de información, entonces esta organización debe documentar las actividades de su centro de certificación.
Las listas de documentos enumeradas reflejan el uso más simple de una infraestructura de clave pública. Si se utilizan opciones más complejas, entonces, en consecuencia, aumenta la cantidad de documentos.
Documentar correctamente el trabajo con EDS es una tarea importante, pero es aún más importante organizar el almacenamiento confiable de todos los documentos, en estricta conformidad con los requisitos de la ley. Hay aún más problemas aquí, y es muy, muy difícil resolverlos.
Organización del almacenamiento de documentos con EDS
Es, por decirlo suavemente, ilógico hablar sobre el uso de EDS de forma aislada de los problemas de gestión de documentos y almacenamiento de archivos de documentos, pero por alguna razón es habitual hacerlo así. Ni los estadistas ni los especialistas en tecnología de la información, por regla general, piensan en el hecho de que los documentos son necesarios no solo para la gestión y las actividades comerciales operativas. Ellos, entre otras cosas, fijan los diversos derechos y obligaciones del Estado, los individuos y las organizaciones, hechos ocurridos, decisiones tomadas y las consecuencias de las acciones realizadas. Dichos documentos están sujetos a almacenamiento permanente o a largo plazo, y es aquí donde la firma digital es útil para trabajo operativo herramienta se convierte en una astilla.
Cuantos más documentos electrónicos utilice una organización en su trabajo, antes se enfrentará a problemas en el campo de la gestión de documentos y el almacenamiento de archivos.
Una organización debe tener en cuenta los requisitos que existen en el marco legislativo y regulaciones que rige el trabajo con EDS, sobre la organización del almacenamiento de una serie de documentos.
Fragmento de documento
Ley Federal "Sobre Firma Digital Electrónica" del 10 de enero de 2002 No. 1-FZ Artículo 7 1. El plazo de conservación del certificado de clave de firma en forma de documento electrónico en el centro de certificación viene determinado por el acuerdo entre el centro de certificación y el titular del certificado de clave de firma. Esto proporciona acceso a los participantes del sistema de información al centro de certificación para obtener un certificado de clave de firma. 2. El período de almacenamiento del certificado de clave de firma en forma de documento electrónico en el centro de certificación después de la cancelación del certificado de clave de firma no debe ser inferior al período de prescripción establecido por la ley federal para las relaciones especificadas en la clave de firma. certificado. Después de la expiración del período de almacenamiento especificado, el certificado de clave de firma se excluye del registro de certificados de clave de firma y se transfiere al modo de almacenamiento de archivo. El período de almacenamiento de archivo no es inferior a cinco años. El procedimiento para emitir copias de certificados de clave de firma durante este período se establece de acuerdo con la legislación de la Federación Rusa. 3. El certificado de clave de firma en forma de documento en papel se almacena de la manera prescrita por la legislación de la Federación Rusa sobre archivos y archivo. |
De acuerdo con las reglas del trabajo de oficina, el período de almacenamiento se establece según la importancia del documento y la información que contiene, y no depende del tipo de medio y de la presencia de un EDS. El almacenamiento de los documentos firmados con un EDS debe organizarse de manera que garantice la posibilidad de verificar la autenticidad de la firma, y el centro de certificación deberá garantizar el mismo período de almacenamiento de sus documentos, equipos y software, y ¡En orden de trabajo!
Si la organización presenta algún informe en formato electrónico , entonces es necesario determinar el procedimiento para su conservación en la organización con el fin de garantizar la integridad, autenticidad y autenticidad de los documentos electrónicos.
Fragmento de documento
El procedimiento para presentar una declaración de impuestos en forma electrónica a través de canales de telecomunicación 2. 3. Al presentar una declaración en formato electrónico, el contribuyente deberá cumplir con el siguiente procedimiento para la gestión de documentos electrónicos:
|
La cuestión de cómo cumplirá el Estado con sus obligaciones aún no ha sido resuelta. derivados del artículo 15, inciso 2 de la Ley de EDS, según el cual, al liquidarse los centros de certificación no estatales, se transfiere su documentación, así como la obligación de verificar las firmas "antiguas" (ver artículo 4, inciso 1). al "poder ejecutivo del organismo federal autorizado". Ahora los temas de los centros de certificación son manejados por la Agencia Federal de Tecnologías de la Información (FAIT) dependiente del Ministerio de la Información y las Comunicaciones.
En el Reglamento "Sobre la Agencia Federal de Tecnologías de la Información", aprobado por Decreto del Gobierno de la Federación Rusa del 30 de junio de 2004 No. 319, en la sección sobre los poderes de este órgano ejecutivo, está escrito que debe organizar :
- confirmación de la autenticidad de las firmas digitales electrónicas de las personas autorizadas de los centros de certificación en los certificados de claves de firma emitidos por los mismos;
- mantener un registro estatal unificado de certificados de claves de firma de centros de certificación y un registro de certificados de claves de firma de personas autorizadas de organismos del gobierno federal, y también proporciona acceso a los mismos para ciudadanos, organizaciones, organismos gubernamentales y gobiernos locales.
Pero aún no está claro quién será responsable del resto de la documentación, quién la almacenará y, lo que es más importante, quién confirmará la autenticidad de la EDS.
En Internet, a menudo puede encontrar historias optimistas sobre lo bien y lo conveniente que es almacenar documentos firmados con un EDS. Sin problemas, solo comodidad y puro placer:
Cada vez más empresas rusas están implementando sistemas de gestión de documentos electrónicos, y ya estiman las ventajas de esta tecnología para trabajar con documentos desde su propia experiencia. El intercambio electrónico de datos se realiza a través de sistemas de información, Red de computadoras, internet, Correo electrónico y muchos otros medios.
Y una firma electrónica es un atributo de un documento electrónico diseñado para proteger la información de la falsificación.
El uso de una firma electrónica le permite:
- participar en transacciones electrónicas, subastas y licitaciones;
- construir relaciones con la población, las organizaciones y las estructuras de gobierno sobre una base moderna, más eficiente, al menor costo;
- expanda la geografía de su negocio realizando de forma remota varias operaciones, incluidas las económicas, con socios de cualquier región de Rusia;
- reducir significativamente el tiempo dedicado al procesamiento de la transacción y el intercambio de documentación;
- construir un sistema corporativo para el intercambio de documentos electrónicos (siendo uno de sus elementos).
Con el uso de una firma electrónica, el trabajo según el esquema "desarrollo de un proyecto en formato electrónico - creación de una copia en papel para la firma - envío de una copia en papel con una firma - consideración de una copia en papel" es cosa del pasado . ¡Ahora todo se puede hacer electrónicamente!
Variedades de firma electrónica.
Se establecen y regulan los siguientes tipos: firma electrónica simple y firma electrónica reforzada. Al mismo tiempo, una firma electrónica mejorada puede ser calificada y no calificada.
Mesa
Cuál es la diferencia entre 3 tipos de firma electrónica
Ocultar Mostrar
Es muy difícil falsificar cualquier firma electrónica. Y con una firma calificada mejorada (la más segura de las tres), con el nivel actual de potencia de cómputo y los recursos de tiempo requeridos, esto es simplemente imposible de hacer.
Las firmas simples y sin salvedades en un documento electrónico reemplazan un documento en papel firmado con una firma manuscrita, en los casos previstos por la ley o por acuerdo de las partes. Una firma calificada mejorada puede considerarse como un análogo de un documento con un sello (es decir, "adecuado" para cualquier ocasión).
El documento electrónico con firma cualificada sustituye al documento en papel en todos los casos, excepto cuando la ley exija que el documento sea exclusivamente en papel. Por ejemplo, con la ayuda de dichas firmas, los ciudadanos pueden solicitar a las agencias gubernamentales obtener información estatal y servicios municipales y las autoridades públicas pueden enviar mensajes a los ciudadanos e interactuar entre sí a través de los sistemas de información.
Firmamos con la clave privada, con la clave abierta verificamos la firma electrónica
Para poder firmar documentos con firma electrónica, debe tener:
- ES clave(así llamado cerrado clave): se utiliza para crear una firma electrónica para el documento;
- Certificado de clave de verificación ES (abierto clave ES): con su ayuda se verifica la autenticidad de la firma electrónica, es decir. se confirma la titularidad de la firma electrónica por parte de una determinada persona.
Las organizaciones que llevan a cabo las funciones de creación y emisión de certificados de claves de verificación ES, así como una serie de otras funciones, se denominan centros de certificación.
En el proceso de creación de un certificado de clave de verificación ES, se generan una clave ES y una clave de verificación ES para cada usuario. Ambas claves se almacenan en archivos. Para que nadie, excepto el propietario de la firma, pueda usar la clave ES, generalmente se escribe en Portador seguro de llaves(por regla general, junto con la clave de verificación de firma electrónica). Como una tarjeta bancaria, está equipada con Código PIN. Y al igual que con las transacciones con tarjeta, antes de usar la clave para crear una firma electrónica, debe ingresar el valor del código PIN correcto (ver Figura).
Los medios de clave protegidos se fabrican por varios fabricantes y por lo general se ven como una tarjeta flash. Es la provisión por parte del usuario de la confidencialidad de su clave ES lo que garantiza que los atacantes no podrán firmar el documento en nombre del propietario del certificado.
Para asegurar la confidencialidad de la clave ES, es necesario seguir las recomendaciones sobre el almacenamiento y uso de la clave ES, contenidas en la documentación, generalmente entregada a los usuarios en el centro de certificación, y estará protegido de acciones ilegales realizadas con la clave de firma electrónica en su nombre. Es mejor si su clave privada está disponible exclusivamente para usted. Es muy importante transmitir esta idea a todos los propietarios de la llave. Esto se logra mejor emitiendo materiales de orientación sobre esta cuenta y familiarizando a los empleados con ellos contra la firma.
Imagen
El programa solicita una contraseña (código PIN) para firmar el documento con una firma electrónica utilizando la clave ES contenida en la "unidad flash" conectada a la computadora
Ocultar Mostrar
Ejemplo 1
Fragmento de las Directrices para garantizar la seguridad del uso de una firma electrónica calificada de Electronic Moscow OJSC
Ocultar Mostrar
Al crear una firma electrónica, los medios de firma electrónica deben:
- mostrar a la persona que firma el documento electrónico el contenido de la información que firma;
- crear una firma electrónica solo después de que la persona que firma el documento electrónico confirme la operación para crear una firma electrónica;
- mostrar claramente que se ha creado la firma electrónica.
Al verificar una firma electrónica, los medios de firma electrónica deben:
- mostrar el contenido de un documento electrónico firmado con firma electrónica;
- mostrar información sobre cómo realizar cambios en un documento electrónico firmado con una firma electrónica;
- indicar la persona con cuya clave de firma electrónica se firman los documentos electrónicos.
El certificado de clave de verificación ES contiene toda la información necesaria para verificar la firma electrónica. Los datos del certificado son abiertos y públicos. Por lo general, los certificados se almacenan en el almacenamiento del sistema operativo en el centro de certificación que los produjo de forma indefinida (al igual que un notario público almacena toda la información necesaria sobre la persona que realizó el acto notarial para él). De conformidad con lo dispuesto en la Ley N° 63-FZ centro de verificación quien produjo el certificado de la clave de verificación de firma electrónica, está obligado a proporcionar gratuitamente a cualquier persona que lo solicite información contenida en el registro de certificados, incl. información sobre la cancelación del certificado de la clave de verificación de firma electrónica.
Ocultar Mostrar
Oleg Komarsky, Especialista en TI
El centro de certificación que emitió la firma electrónica conserva el certificado de la clave de verificación de este SE por tiempo indefinido, más precisamente, durante todo el tiempo de su existencia. Mientras la autoridad de certificación esté funcionando, no hay problemas, pero como el centro es organización comercial, puede dejar de existir. Así, en caso de terminación de las actividades de la CA, existe la posibilidad de pérdida de información sobre los certificados, entonces los documentos electrónicos firmados con firmas electrónicas emitidas por la CA cerrada pueden perder su significado jurídico.
En este sentido, está prevista la creación de una especie de depósito estatal de certificados (tanto válidos como revocados). Será algo así como un centro notarial estatal, donde se almacenarán los datos de todos los certificados. Pero por ahora, dicha información se almacena en la CA de forma indefinida.
¿Qué deben considerar los empleadores al equipar a sus empleados con firmas electrónicas?
En el certificado de clave ES necesariamente hay información sobre el nombre completo su dueno, también existe la posibilidad incluyendo información adicional como El nombre de la compañía y posición. Además, el certificado puede contener identificadores de objeto (OID), definiendo las relaciones en cuya ejecución tendrá valor jurídico un documento electrónico firmado por una SE. Por ejemplo, un OID puede establecer que un empleado tiene derecho a publicar información en el parqué, pero no puede firmar contratos. Aquellas. con la ayuda del OID es posible delimitar el nivel de responsabilidad y autoridad.
Hay sutilezas en la transferencia de autoridad por despido o transferencia de empleados a otro puesto. Deben tenerse en cuenta.
Ejemplo 2
Ocultar Mostrar
Cuando se despide al director comercial Ivanov, que firmó documentos con una firma electrónica, se debe ordenar un nuevo portador de llaves para una nueva persona que reemplazó a Ivanov en esta silla para trabajar con ES. Después de todo, Petrov no puede firmar documentos con la firma de Ivanov (aunque sea electrónica).
Por lo general, tras el despido, se organiza la reemisión de claves ES; por regla general, para ello, los propios empleados visitan un centro de certificación. La organización que paga por la emisión de las claves también es propietaria de la clave, por lo que tiene derecho a suspender la validez del certificado. De esta forma, se minimizan los riesgos: se excluye una situación en la que un empleado despedido podría firmar documentos en nombre de un antiguo empleador.
Ocultar Mostrar
Natalia Khramtsovskaya, Ph.D., experto líder en gestión de documentos de la empresa EOS, experto en ISO, miembro de GMD y ARMA International
La actividad empresarial eficaz de una organización depende de muchos factores. Uno de los elementos clave de todo el sistema de gestión es el principio de la intercambiabilidad de los empleados. Debe pensar con anticipación quién reemplazará a los empleados que temporalmente no están cumpliendo con sus deberes oficiales por enfermedad, viaje de negocios, vacaciones, etc. Si su organización se ocupa de la firma de documentos con firmas electrónicas, este aspecto debe ser considerado por separado. Cualquiera que descuide esta cuestión organizativa corre el riesgo de meterse en serios problemas.
Indicativo en este sentido es el caso No. A56-51106/2011, que fue considerado por el Tribunal de Arbitraje de San Petersburgo y región de leningrado en enero de 2012.
Cómo ocurrió el problema:
- En julio de 2011, Tvernefteprodukt Sales Association LLC presentó una solicitud única para participar en una subasta abierta en forma electrónica para el suministro de gasolina utilizando tarjetas de combustible para la sucursal del Alto Volga de la Institución Científica Presupuestaria del Estado Federal "Instituto Estatal de Investigación de Pesca de Lagos y Ríos". " (FGNU "GosNIORKh"). La comisión de subastas del cliente decidió celebrar un contrato estatal con el único participante en la subasta.
- El borrador del contrato estatal fue enviado por el cliente al operador. plataforma electronica 12 de julio de 2011 y lo transfirió a LLC. Dentro del plazo establecido por la ley, la LLC no envió el borrador del contrato firmado por la firma electrónica de la persona habilitada para actuar en nombre del participante de colocación de pedidos al operador del sitio electrónico, ya que este funcionario estaba de baja por enfermedad.
- En julio de 2011, el Departamento del Servicio Antimonopolio Federal de San Petersburgo (UFAS) consideró la información proporcionada por el cliente sobre la evasión de la LLC de celebrar un contrato y se tomó la decisión de incluirlo en el registro de proveedores sin escrúpulos.
Al no estar de acuerdo con la decisión de la OFAS, la LLC acudió a los tribunales. Los tres tribunales encontraron a LLC culpable de evasión de contrato. Y en última instancia, en octubre de 2012, se supo que la LLC aplicó al cliente el 10 de agosto de 2011 y calificó no la enfermedad de su empleado, sino su negligencia, como la razón para no firmar el contrato.
Otro caso interesante ocurrió cuando un contrato estatal fue firmado por una firma electrónica de una persona no autorizada. Este caso fue considerado por el Tribunal de Arbitraje de la Región de Kaluga en septiembre de 2011 (caso No. A23-2637/2011).
Las circunstancias fueron:
- En marzo de 2011, SEL TEHSTROY LLC fue declarado ganador de una subasta abierta. En ese momento, la LLC tuvo un cambio en el director general: el ex director general V. se convirtió en el adjunto del nuevo director general P. Pero el nuevo director general aún no había tenido tiempo de emitir un EDS. Por eso, el 14 de marzo de 2011, decidimos “simplificar nuestras vidas” y firmamos un contrato gubernamental con asistencia EDS renunció a su cargo V. Sin embargo error principal fue que V. firmó el documento como CEO SEL TECHSTROY LLC.
- En el sitio web de la plataforma de negociación electrónica solo el 24 de marzo de 2011, t .e. después de firmar y enviar el contrato al cliente.
- Este descuido fue advertido por el cliente, creyendo que el contrato fue firmado por una persona no autorizada, y en abril de 2011 recurrió a la OFAS. Como resultado, OFAS incluyó a LLC en el registro de proveedores sin escrúpulos por un período de 2 años debido a la evasión de celebrar un contrato estatal.
Al considerar este caso en primera instancia judicial, el tribunal señaló que el nuevo director general de la empresa, P., en sus explicaciones a la OFAS, en primer lugar, confirmó la disposición a firmar el contrato estatal y, en segundo lugar, admitió el error. sin disputar la autoridad de V., indicada en poder notarial. Además, el hecho de que el poder fuera publicado en el sitio web oficial de la plataforma electrónica, aunque con retraso, fue considerado por el tribunal como acciones activas de la empresa para subsanar el error cometido. Como resultado, el Tribunal de Arbitraje ordenó a la OFAS excluir a LLC del registro de proveedores sin escrúpulos. En diciembre de 2011, la Vigésima Corte de Apelaciones de Arbitraje confirmó la posición de la corte de primera instancia.
pero federales tribunal de arbitraje El Distrito Central en marzo de 2012 juzgó lo contrario. En su opinión, el 14 de marzo de 2011, V. utilizó la EDS en contravención a lo dispuesto en el art. 4 ley Federal"Sobre la firma digital electrónica" y las condiciones especificadas en el certificado de clave de firma (después de todo, un documento electrónico con un EDS que no cumpla con las condiciones incluidas en el certificado no tiene trascendencia jurídica). Como resultado, el tribunal concluyó que el contrato estatal fue firmado por una persona no autorizada y reconoció como legítima la decisión de la OFAS de reconocer a LLC como un proveedor sin escrúpulos.
Casos similares son a menudo escuchados por los tribunales. O el director, que tiene un certificado de clave ES y tiene derecho a firmar documentos en nombre de la empresa, renuncia y el nuevo director no tiene tiempo para hacer un ES por sí mismo y firmar un contrato a tiempo. Intentan firmar documentos con la firma de un empleado que ya se fue (o se transfirió a otro puesto en la misma organización). Luego hay problemas con la negligencia de los empleados o su enfermedad (como en el primero de los casos descritos), y nuevamente no tienen tiempo para delegar autoridad a otra persona y emitirle un SE. Y el resultado es el mismo: la organización cae en la lista de proveedores sin escrúpulos y pierde el derecho a celebrar contratos financiados con cargo al presupuesto.
La recepción por parte de un empleado de una organización de una clave ES, garantizando su seguridad y las acciones con ella, generalmente están reguladas por una orden para una organización con la aprobación de materiales de instrucción. Definen el procedimiento de uso de claves ES para la firma de documentos, obtención, sustitución, revocación del certificado de la clave de verificación ES, así como las acciones a realizar cuando la clave ES está comprometida. Estos últimos son similares a las acciones realizadas cuando se pierde una tarjeta bancaria.
¿Cómo elegir una autoridad de certificación?
La Ley No. 63-FZ prevé la división de los centros de certificación en los que han pasado y los que no han pasado el procedimiento de acreditación (ahora lo lleva a cabo el Ministerio de Telecomunicaciones y Comunicaciones Masivas de la Federación Rusa). A un centro de certificación acreditado se le emite un certificado apropiado, y para obtener certificado calificado la clave de verificación ES debe estar dirigida a dicha CA. Las CA no acreditadas solo pueden emitir otro tipo de firmas.
Al elegir una CA, se debe tener en cuenta que no todas utilizan todos los posibles proveedores de criptografía. Es decir, si los socios que organizan gestión de documentos electrónicos, necesita firmas electrónicas generadas con un proveedor criptográfico específico, entonces debe elegir un centro de certificación que trabaje específicamente con esta herramienta protección criptográfica información (SKZI).
El procedimiento para obtener un EP y los documentos necesarios
Para organizar el intercambio de documentos electrónicos entre organizaciones, debe realizar los siguientes pasos:
- determinar los objetivos y detalles del flujo de documentos entre su organización y otra. Este debe formalizarse en forma de acuerdo o contrato que defina y regule las operaciones y composición de los documentos con firma electrónica transmitidos electrónicamente (como contratos estándar firmar, por ejemplo, bancos con clientes, permitiéndoles utilizar el sistema cliente-banco);
- para intercambiar certificados de claves de verificación ES de personas cuyas firmas se transferirán entre organizaciones. Está claro que los socios pueden recibir dichos certificados no solo entre sí, sino también de la autoridad de certificación que emitió estos certificados;
- dictar instrucciones internas que regulen el procedimiento de transferencia y recepción de documentos electrónicos a otra organización, incluido el procedimiento de verificación de la firma electrónica de los documentos recibidos y las acciones en caso de detectar el hecho de realizar cambios en el documento después de firmarlo con una firma electrónica.
Para la producción de claves de firma electrónica y certificados de claves de verificación de ES, los usuarios deben presentar documentos de solicitud, documentación que confirme la exactitud de la información que se incluirá en el certificado de clave de verificación de ES, así como los poderes correspondientes al centro de certificación.
Para asegurar el adecuado nivel de identificación del usuario, el procedimiento de obtención de certificados de claves de verificación ES requiere la presencia personal de su titular.
Es cierto que hay excepciones. Por ejemplo, hoy para los empleados del gobierno y organizaciones presupuestarias, así como empleados de las autoridades ejecutivas de la ciudad de Moscú, el centro de certificación de Electronic Moscow OJSC desarrolló un sistema para la emisión masiva de certificados para claves de verificación de firma electrónica (SKPEP), que, manteniendo nivel alto La confiabilidad de la identificación del usuario hace que no sea necesario que cada empleado visite personalmente el centro de certificación, lo que reduce significativamente los costos financieros y de tiempo de la organización en comparación con la emisión de un SCEP organizado según el esquema tradicional.
¿Cuánto cuesta una firma electrónica?
Es un error pensar que un centro de certificación simplemente vende medios para almacenar claves y certificados, el servicio es complejo y el medio con información clave es uno de los componentes. Precio paquete completo de firma electrónica depende de:
- región;
- política de precios del centro de certificación;
- tipos de firma y su alcance.
Por lo general, este paquete incluye:
- servicios de un centro de certificación para la producción de un certificado de clave de verificación ES;
- transferencia de derechos de uso del software correspondiente (CIPF);
- proporcionar al destinatario el software necesario para el trabajo;
- suministro de un portador de claves seguro;
- soporte técnico al usuario.
En promedio, el costo varía de 3000 a 20 000 rublos por un paquete completo con un portador de información clave. Está claro que cuando una organización solicita una docena o cientos de certificados clave para sus empleados, el precio por "firmante" será significativamente menor. La reemisión de llaves se realiza en un año.
Actualmente, en Rusia, la circulación de documentos electrónicos que utilizan una firma electrónica está cobrando impulso rápidamente. La firma electrónica está ampliamente implementada en organizaciones gubernamentales así como en empresas privadas. Al mismo tiempo, se debe tener en cuenta que los diferentes tipos de SE tienen precios diferentes, que un documento certificado por un SE es legalmente significativo, por lo que la transferencia de portadores de llaves junto con un código PIN a otras personas es inaceptable.
Lo que es más importante, una firma electrónica ahorra significativamente tiempo, eliminando el papeleo, lo cual es extremadamente importante en un entorno altamente competitivo y cuando los socios se encuentran ubicados de forma remota.
El problema hasta ahora permanece solo en el plano de confirmar la autenticidad de tal firma y un documento con ella durante su largo período de almacenamiento.
notas al pie
Ocultar Mostrar
Una firma electrónica simple y no calificada (ES) puede almacenarse en cualquier medio, ya que no hay ninguna indicación al respecto en la Ley Federal No. 63-FZ "Sobre la firma electrónica". La cuestión del almacenamiento de una firma electrónica cualificada debería tomarse más en serio. Esta firma es equivalente a una manuscrita, se utiliza en el comercio electrónico y al concluir transacciones importantes con contrapartes. Por lo tanto, es más seguro almacenarlo en un medio seguro certificado por el FSB.
Medios seguros para una firma electrónica cualificada
Token (eToken, Rutoken, etc.)
Portador fiable y cómodo en forma de llavero USB. Adecuado para la mayoría de las aplicaciones, excepto EGAIS. Con él, puede enviar un informe al impuesto o Rosstat, firmar un acuerdo y participar en el comercio electrónico. Para firmar documentos con un token, debe instalar una herramienta de protección de información criptográfica (CIPF) en su computadora.
Token con CIPF integrado (Rutoken EDS, Rutoken EDS 2.0, JaCarta PKI/GOST/SE)
Un operador que parece un token regular, pero tiene un CIPF incorporado. Usando una firma electrónica en dicho medio, puede firmar documentos en cualquier computadora sin comprar software adicional. Rutoken EDS es adecuado para banca remota, trabajo en portales estatales, informes y gestión de documentos. No está diseñado para trabajar con plataformas comerciales y EGAIS. Rutoken EDS 2.0, como JaCarta PKI / GOST / SE, se utilizan solo para trabajar con EGAIS.
Protección adicional de la firma electrónica
Acceso a la firma PIN
Cada medio extraíble de la firma electrónica tiene un código PIN, una combinación de caracteres, después de ingresar, obtiene acceso a la firma. Se ingresa un código PIN cada vez que se firma un documento o cualquier otro acceso al SE. De forma predeterminada, el código es estándar, pero puede eliminarlo por completo o cambiarlo por uno propio. Hemos preparado una instrucción de reemplazo para Rutoken, eToken, JaCarta. Si es necesario, comuníquese con la CA y nuestro especialista lo ayudará a cambiar el código PIN.
Protección de copia de firma
De forma predeterminada, las claves de firma electrónica pueden copiarse en otros medios. Puede habilitar la protección contra copia si lo desea. Para ello, al presentar una solicitud, informe al gestor de que necesita una clave de firma electrónica no exportable. En este caso, será imposible copiar la firma del medio, ya que cualquier intento de exportar archivos resultará en un error.
Medios desprotegidos para una firma electrónica cualificada
En teoría, ES se puede escribir en cualquier medio extraíble. Pero los archivos en una unidad USB, disquete u otros medios no están protegidos de ninguna manera. Si los atacantes los roban y los descifran, podrán firmar cualquier documento. Por lo tanto, no recomendamos almacenar archivos de firmas electrónicas en dichos medios.
Escribir un ES en el registro de la computadora portátil es una opción popular, pero también insegura, para almacenar una firma. Cualquiera que acceda al sistema podrá firmar documentos o crear una copia de la clave. Si necesita mudarse a otro lugar de trabajo, entonces necesitará la ayuda de un especialista calificado para transferir la clave de firma electrónica. EP puede perderse por completo si algo le sucede a la computadora.
Lo que debe recordar al almacenar una firma electrónica calificada
Un transportista - para un empleado
Si registra los ES de diferentes empleados en un medio, se violará la confidencialidad de las claves privadas. Y por ley, todas las firmas se considerarán inválidas.
No puedes transferir tu EP a otra persona
Una firma electrónica es un análogo de una firma manuscrita. Sirve como un identificador para el propietario. Si le entrega el ES a otra persona y esta firma un documento con el que no está de acuerdo, no podrá impugnar esta decisión.
No puede almacenar EP en el dominio público
Una firma electrónica calificada debe almacenarse en un lugar seguro u otro lugar seguro. Un portaaviones que simplemente está sobre la mesa es fácil de robar para firmar un par de documentos "extra". Y cuando te des cuenta de esto, incluso en los tribunales no podrás probar tu inocencia.
Al cambiar detalles, cambie el ES
¿La empresa ha cambiado de nombre, ha dimitido el titular de la firma electrónica o ha cambiado de cargo? Cambia tu firma. No se demore, para no encontrarse con un paquete de pagos firmado por personas desconocidas, y para no violar el párrafo 1 del art. 2 de la Ley Federal N° 63-FZ "Sobre Firma Electrónica", exigiendo la identificación precisa del titular de la SE. Para reemplazar la firma electrónica, comuníquese con el administrador que la emitió. O comuníquese con el centro de certificación de Tenzor de la manera más conveniente para usted.
Prolongar EP en el tiempo
Si no renueva la firma electrónica, ésta dejará de ser válida. Y no podrá firmar ningún documento electrónico hasta que reciba un nuevo ES en el centro de certificación. Para obtener información sobre cómo renovar una firma electrónica, lea nuestro artículo.
Proteja su lugar de trabajo
El software antivirus lo protege de sorpresas desagradables. Los virus pueden imitar el comportamiento del propietario de la firma para firmar varios documentos que necesita un atacante. Y será difícil probar que no puso la firma.
No almacene las contraseñas en papel
Esta regla es la base de la seguridad informática. Se aplica no solo a las firmas electrónicas, sino también a todas las demás áreas. La contraseña para el token, cuidadosamente escrita en una etiqueta cerca de la computadora, complacerá indescriptiblemente al atacante.