La protección de la documentación electrónica, como muchas personas probablemente saben, la proporciona una firma digital electrónica. Gracias a firma electronica, documentos almacenados en en formato electrónico adquieren la misma fuerza legal que los documentos en papel sellados con sello y firma manuscrita. Es por eso que el almacenamiento de EDS, de robo o falsificación, para el propietario del certificado debe ser una tarea primordial en la organización de todo. gestión de documentos electrónicos.
Como muestra la práctica, almacenar un EDS en un disco, unidad flash o registro de su computadora en funcionamiento no solo está lejos de ser seguro, sino que también puede crear una serie de dificultades innecesarias, ya que la clave se cifra directamente en la computadora del usuario, lo que significa que la información prácticamente no está protegida en absoluto, y casi cualquier persona puede acceder a ella. Además, los discos y las unidades flash, como en principio cualquier otro medio de almacenamiento, pueden ser corrompidos por intrusos y toda la información almacenada en ellos se pierde, por lo que hoy en día existe una necesidad urgente de medios de almacenamiento más seguros y confiables.
Los expertos aconsejan almacenar EDS en tokens especiales que, hay que decirlo, tienen una gran cantidad de ventajas innegables. Exteriormente, el token parece una unidad flash estándar, pero la supera significativamente en términos de memoria. Además, el cifrado ocurre directamente en el token, y el acceso a la información colocada en él solo es posible después de que el usuario ingrese el código PIN.
Es casi imposible piratear o recoger un código PIN, además, todos los eTokens tienen contadores de intentos fallidos de ingresar una contraseña, una vez que finaliza el límite asignado, el código PIN se bloquea. El pin nunca se transmite junto con los datos a través de la red, lo que significa que es imposible interceptarlo. Tal ficha puede servir a su propietario de cinco a veinte años. Por apariencia se asemeja a un pequeño llavero que se conecta a las computadoras a través de un puerto USB y no requiere cables, fuentes de alimentación o lectores especiales.
Además de eToken, EDS se puede almacenar en Rutoken, estos dos medios difieren en la cantidad de memoria protegida y el fabricante. Rutoken, como su nombre lo indica, se produce en Rusia y tiene un promedio de aproximadamente 32 gigabytes de memoria; si se desea, se pueden almacenar hasta 7 claves de firma electrónica.
Cualquier pérdida de información importante puede tener las consecuencias más graves, por lo que es necesario almacenar las claves EDS en medios duraderos, cómodos y seguros que le permitan evitar el largo procedimiento de creación de un nuevo certificado y clave de firma electrónica.
Todos puedes ver las tarifas de firma electrónica
En el capítulo .
El reglamento se elaboró teniendo en cuenta:
Ley Federal "Sobre Electrónica firma digital»
"Reglamento temporal sobre firma electrónica digital (EDS) en el sistema de pagos electrónicos interregionales del Banco Central de la Federación Rusa durante el experimento", aprobado el 16 de agosto de 1995 por el Primer Vicepresidente del Banco Central de la Federación Rusa A.V. Voilukov
Requisitos temporales del Banco Central de la Federación Rusa No. 60 del 3 de abril de 1997 "Sobre garantizar la seguridad de la tecnología para procesar documentos de pago electrónicos en el sistema Banco Central Federación Rusa»
Reglamento del Banco Central de la Federación Rusa No. 20-P del 12 de marzo de 1998 "Sobre las reglas para el intercambio de documentos electrónicos entre el Banco de Rusia, organizaciones de crédito(sucursales) y otros clientes del Banco de Rusia al realizar liquidaciones a través de la red de liquidación del Banco de Rusia” modificada por la Ordenanza del Banco de Rusia No. 774-U del 11 de abril de 2000.
2. Disposiciones generales
2.1. Este Reglamento ha sido desarrollado para operadores, suscriptores y suscriptores autorizados de sistemas de protección criptográfica de información (CIPF) que realizan interacciones electrónicas con terceros utilizando portadores de información clave (KKI).
2.2. Este Reglamento incluye:
arreglos organizativos para el trabajo con el NCI;
el procedimiento para el uso de NCI en el sistema de interacciones electrónicas;
el procedimiento para la fabricación, contabilidad, registro de claves EDS y claves de cifrado en el sistema de interacciones electrónicas;
procedimientos para comprometer materiales clave;
el procedimiento para garantizar el régimen de seguridad cuando se trabaja con NCI.
2.3. Términos básicos:
Portador de información clave– soporte de información (disquete, memoria flash y otros medios) en el que se almacena una clave electrónica, diseñado para proteger las interacciones electrónicas.
CCMS- el centro de control de sistemas clave, el lugar de fabricación del portador de información clave NCI.
Clave de firma secreta (privada)- una clave destinada a la formación de una firma digital electrónica por él documentos electronicos.
Clave de firma abierta (pública)- una clave que se genera automáticamente durante la producción de una clave de firma secreta y que depende únicamente de ella. La clave pública está diseñada para verificar la corrección de la firma digital electrónica de un documento electrónico. Se considera que una clave pública pertenece a un participante en interacciones electrónicas si ha sido certificada (registrada) de acuerdo con el procedimiento establecido.
Clave de encriptación- una llave diseñada para cerrar un documento electrónico durante interacciones electrónicas.
Cifrado- un método especializado para proteger la información de terceros que la conozcan, basado en la codificación de la información de acuerdo con el algoritmo GOST 28147-89 utilizando las claves apropiadas.
Compromiso de información clave- pérdida, robo, copia no autorizada o sospecha de copia del portador de la información clave del NCI o cualquier otra situación en la que no se sepa con certeza qué sucedió con el NCI. El compromiso de información clave también incluye el despido de empleados que tuvieron acceso a información clave.
Certificación clave- el procedimiento para certificar (firmar) la parte pública de la clave registrada con una firma digital electrónica.
Solicitud de registro de llaves- un mensaje de servicio que contiene una nueva clave pública, firmado con una firma digital electrónica.
3. Organización del trabajo con los portadores de información clave
Las personas que tienen acceso a los portadores de información clave asumen la responsabilidad personal por ella. La lista de personas que tienen acceso a disquetes con información clave es compilada por el Jefe del Departamento de Seguridad de la Información y registrada en la orden para el Banco.
Para asegurar la identificación de los remitentes y destinatarios de la información, protéjala del acceso no autorizado:
3.1. El Presidente del Directorio del Banco designa a los responsables de las interacciones electrónicas con organizaciones de terceros entre los jefes de departamento y faculta a los empleados responsables con el derecho de establecer la firma electrónica de los documentos enviados por orden del Banco.
3.2. El Jefe del Departamento de Seguridad de la Información, de acuerdo con el Jefe del Departamento de Tecnologías de la Información, designa al personal de TI responsable de instalar los medios apropiados para asegurar las interacciones electrónicas y la protección de la información criptográfica en los puestos de trabajo de los empleados responsables designados en la cláusula 2.1.
3.3. El personal de la FIB, junto con el personal de TI, designado en la cláusula 2.2. debe realizar capacitaciones para los empleados responsables de los departamentos involucrados en interacciones electrónicas con organizaciones de terceros, trabajar con herramientas de administración de documentos electrónicos y CIPF.
3.4. El control de las interacciones electrónicas y el uso de portadores de información clave lo realizan los empleados del Departamento de Seguridad de la Información, el Servicio de Control Interno y el Departamento de Protección Económica.
4. El orden de puesta en servicio, almacenamiento y uso de medios de información clave
4.1. El procedimiento para la fabricación, contabilidad y uso de portadores de información clave.
4.2.1. El procedimiento para la fabricación y contabilización de portadores de información clave.
Personal portador de llaves(la mayoría de las veces, un disquete) generalmente se fabrica en el centro de control de sistemas clave (CMC). Si el CCMS es atendido por una organización de terceros, los disquetes clave son recibidos por un empleado del Departamento de Seguridad de la Información o por un suscriptor autorizado de CIPF asignado por orden del banco. En el caso de que los disquetes clave se fabriquen en el Banco, esto se hace sobre la base de una solicitud firmada por el jefe del departamento de usuarios del NCI.
La generación de información clave única y su registro en un disquete se lleva a cabo en una "estación de trabajo de generación de claves" autónoma especialmente equipada, cuyo software realiza las funciones reguladas por proceso tecnológico la formación de claves de firma digital electrónica por parte de empleados autorizados del departamento de tecnología de la información en presencia del usuario del NCI, se marca, se registra en el "Diario de contabilidad del NCI" y se le entrega contra la firma. El equipo de la "estación de trabajo de generación de claves" debe garantizar que la información de la clave secreta única del artista intérprete o ejecutante se registre únicamente en su medio personal.
Para garantizar la posibilidad de restaurar la información clave del usuario NCI en caso de falla del disquete clave, generalmente se crea su copia de trabajo. Para garantizar que al copiar del original a la copia de trabajo del disquete clave, su contenido no termine en ningún medio intermedio, la copia debe realizarse solo en la "estación de trabajo de generación de claves".
Los disquetes clave deben tener etiquetas apropiadas que reflejen: número de registro disquetes (según el Registro de Contabilidad del NCI), fecha de fabricación y firma de un empleado autorizado de la unidad de seguridad de la información que hizo el disquete, tipo de información clave: disquete clave (original) o disquete clave (copia), apellido, nombre, patronímico y firma del propietario-intérprete.
4.2.2. El procedimiento para el uso de portadores de información clave.
Todo empleado (ejecutor) que, de acuerdo con su responsabilidades funcionales se ha otorgado el derecho de poner una firma digital en el ED, de acuerdo con la cláusula 2.1., se emite un portador personal de información clave (por ejemplo, un disquete) en el que se incluye información de clave única ("clave secreta de firma electrónica"). registrados, pertenecientes a la categoría de información restringida.
Los disquetes de claves personales (copias de trabajo) deben ser almacenados por el usuario en una caja especial sellada con un sello personal.
En la subdivisión, la contabilidad y el almacenamiento de los disquetes de claves personales de los artistas intérpretes o ejecutantes debe ser realizada por el responsable de la seguridad de la información (en su ausencia, por el jefe de la subdivisión) o por el propio artista intérprete o ejecutante (si tiene una caja fuerte o una caja metálica). gabinete). Los disquetes clave deben almacenarse en la caja fuerte de la unidad o del contratista responsable de la seguridad de la información en cajas individuales selladas con los sellos personales de los artistas intérpretes o ejecutantes. Los estuches de lápices se retiran de la caja fuerte solo en el momento de la recepción (emisión) de las copias de trabajo de los disquetes clave para los artistas intérpretes o ejecutantes. Los disquetes de llaves originales de los intérpretes se guardan en el Departamento de Seguridad de la Información en un estuche sellado y solo pueden utilizarse para restaurar la copia de trabajo del disquete de llaves en el orden establecido en caso de falla de este último. Los empleados de la OIB verifican la presencia de los disquetes originales de las llaves en los estuches en cada apertura y cierre del estuche.
El control sobre la seguridad de la tecnología para el procesamiento de documentos electrónicos, incluidas las acciones de los usuarios de NCI que realizan su trabajo utilizando disquetes de claves personales, lo realizan los departamentos responsables de la seguridad de la información dentro de su competencia y los empleados del Departamento de Seguridad de la Información.
Las claves EDS "abiertas" de los ejecutantes son registradas en la forma prescrita por los especialistas del Centro de Gestión de Control y Tecnologías de la Información y las Comunicaciones en el directorio de claves "abiertas" utilizadas al verificar la autenticidad de los documentos según el EDS instalado en ellos. .
5. Derechos y obligaciones del usuario de soportes de información clave
5.1. Derechos de los usuarios de los medios de información clave
El usuario del NCI debe tener derecho a ponerse en contacto con la persona responsable de la seguridad de la información de su departamento para obtener asesoramiento sobre el uso de un disquete clave y sobre cuestiones relacionadas con la seguridad de la información del proceso tecnológico.
El usuario de NCI tiene derecho a exigir del departamento responsable de la seguridad de la información y de su supervisor inmediato la creación condiciones necesarias para cumplir con los requisitos anteriores.
El usuario del NCI tiene derecho a presentar sus propuestas de mejora de las medidas de protección en su ámbito de trabajo.
5.2. Responsabilidades del usuario clave de los medios
El usuario del NCI, a quien, de acuerdo con sus funciones oficiales concedido el derecho de poner una firma digital en el ED, es personalmente responsable de la seguridad y el uso adecuado de la información clave que se le ha confiado y del contenido de los documentos en los que se basa su EDS.
El usuario de los portadores de información clave está obligado a:
Estar personalmente presente durante la producción de su información clave (si las claves se producen en el IB en la "estación de trabajo de generación de claves") para asegurarse de que el contenido de sus disquetes clave (original y copia) no se vea comprometido.
Obtenga una copia de trabajo del disquete clave contra la firma en el Libro de registro del NCI, asegúrese de que esté correctamente etiquetado y protegido contra escritura. Regístrelos (tómelos en cuenta) con el departamento responsable de la seguridad de la información, póngalos en un estuche, séllelo con su sello personal y transfiera el estuche para su almacenamiento al oficial de seguridad de la información en el orden establecido o guárdelo en su caja fuerte. .
Use solo una copia de trabajo de su disquete clave para el trabajo.
En el caso de almacenamiento de NCI con la unidad responsable de la seguridad de la información, al comienzo de la jornada laboral, reciba y al final de la jornada laboral entregue su disquete clave al responsable de la seguridad de la información. En la primera apertura del estuche, ambos están obligados a verificar la integridad y autenticidad del sello del estuche. Si el sello de la caja de lápices está roto, entonces el disquete se considera comprometido.
Si un disquete de clave personal está almacenado en la caja fuerte del artista, saque el disquete de clave de la caja fuerte si es necesario, y cuando abra la caja por primera vez, asegúrese de que el sello de la caja esté intacto y sea auténtico. Si el sello de la caja de lápices está roto, entonces el disquete se considera comprometido.
QUEDA ESTRICTAMENTE PROHIBIDO dejar la llave disquete en la computadora. Después de usar un disquete de clave personal para firma o encriptación, el artista debe colocar los disquetes en una caja fuerte y, si el NCI está almacenado en el departamento responsable de la seguridad de la información, entregar su disquete de clave personal para almacenamiento temporal al departamento responsable de seguridad de información.
Al final de la jornada laboral, guarde el disquete de la llave en el estuche, que debe sellarse y guardarse en la caja fuerte.
En caso de daño a la copia de trabajo del disquete clave (por ejemplo, en caso de error al leer el disquete), el contratista está obligado a transferirlo a un empleado autorizado del sistema de seguridad de la información, quien debe, en la presencia del usuario del NCI o del departamento responsable de la seguridad de la información, hacer una nueva copia del disquete clave del original disponible en el sistema de seguridad de la información y entregarlo a este último en lugar del anterior. .
Una copia de trabajo dañada del disquete clave debe destruirse de la manera prescrita en presencia del artista intérprete o ejecutante. Todas estas acciones deben ser registradas en el Libro de Registro NCI.
5.3. El usuario de portadores de información clave tiene prohibido
dejar un disquete de clave personal sin supervisión personal en ningún lugar;
transferir su disquete de clave personal a otras personas (excepto para el almacenamiento en un estuche sellado para lápices a la persona responsable de la seguridad de la información);
hacer copias no contabilizadas del disquete clave, imprimir o copiar archivos desde él a otro medio de almacenamiento (por ejemplo, un disco duro de PC), eliminar la protección contra escritura del disquete, realizar cambios en los archivos ubicados en el disquete clave;
usar un disquete de clave personal en una unidad de disco y/o PC a sabiendas defectuosa;
firmar cualquier mensaje y documento electrónico con su "clave EDS secreta" personal, excepto aquellos tipos de documentos que están regulados por el proceso tecnológico;
informar a alguien fuera del trabajo que él es el propietario de la "clave EDS secreta" para este proceso tecnológico.
6. Procedimiento para comprometer a los portadores de información clave
Los eventos asociados con el compromiso de información clave deben incluir los siguientes eventos:
pérdida de disquetes clave;
pérdida de disquetes clave con detección posterior;
despido de empleados que tuvieron acceso a información clave;
la aparición de sospechas de fuga de información o su distorsión en el sistema de comunicación;
no descifrado de mensajes entrantes o salientes de suscriptores;
violación del sello en la caja fuerte o contenedor con disquetes clave.
Los primeros tres eventos deben tratarse como un compromiso incondicional de claves EDS válidas. Los siguientes tres eventos requieren una consideración especial en cada caso particular. Al comprometer las claves EDS y el cifrado del Participante en el intercambio de documentos electrónicos, se prevén las siguientes medidas:
detiene la transmisión de información utilizando claves EDS comprometidas o encriptación;
informa el hecho de compromiso al Departamento de Seguridad de la Información.
Participante en el intercambio de documentos electrónicos inmediatamente:
Un empleado del Departamento de Seguridad de la Información, con base en la notificación del Participante de Intercambio de ED, excluye la clave EDS comprometida de la base de datos electrónica de claves públicas o excluye el número criptográfico del Participante de Intercambio de Documentos Electrónicos de la lista de suscriptores.
En caso de emergencia, el Participante en el intercambio de documentos electrónicos después del compromiso puede continuar trabajando en las claves de respaldo, que se registra en el "Diario de registro de NKI".
Un participante en el intercambio de Documentos Electrónicos presenta una solicitud para la producción de una nueva clave y recibe nuevos EDS y claves de cifrado con registro en el Registro NCI.
Los mensajes de prueba se intercambian utilizando nuevas EDS y claves de cifrado.
7. Garantizar la seguridad de la información cuando se trabaja con portadores de información clave
El orden de colocación, equipamiento especial, seguridad y régimen en el local en que se encuentren los fondos protección criptográfica y portadores de información clave:
los medios de protección criptográfica para dar servicio a los portadores de información clave están ubicados en las instalaciones del Banco del Servidor y el Departamento de Seguridad de la Información;
colocación, equipamiento especial y régimen en los locales donde se encuentran los medios de protección criptográfica y los portadores de información clave, garantizar la seguridad de la información, medios de protección criptográfica e información clave, minimizando la posibilidad de acceso no controlado a los medios de protección criptográfica, visualización los procedimientos para trabajar con medios de protección criptográfica por parte de personas extrañas;
el procedimiento de ingreso al recinto está determinado por el instructivo interno, el cual se desarrolla teniendo en cuenta las especificidades y condiciones de funcionamiento de la Institución de Crédito;
las ventanas del local están equipadas con rejas metálicas y alarmas antirrobo que impiden el acceso no autorizado al local. Estas habitaciones tienen puertas de entrada sólidas con cerraduras confiables;
para el almacenamiento de disquetes clave, documentación reglamentaria y operativa, disquetes de instalación, los locales están provistos de cajas fuertes;
el procedimiento establecido para la protección de locales prevé un control periódico condición técnica medios de seguridad y alarmas contra incendios y cumplimiento del régimen de seguridad;
la colocación e instalación de medios de protección criptográficos se realiza de acuerdo con los requisitos de la documentación para medios de protección criptográficos;
Los bloques del sistema de computadoras con medios de protección criptográfica están equipados con medios para controlar su apertura.
El procedimiento para garantizar la seguridad del almacenamiento de disquetes clave:
todas las claves de cifrado, claves EDS y disquetes de instalación se toman en el Banco para la contabilidad copia por copia en el "Diario de Contabilidad NCI" y el "Diario de Contabilidad CIPF" asignados para estos fines;
la contabilidad y el almacenamiento de los portadores de claves de cifrado y los disquetes de instalación, el trabajo directo con ellos se encomienda a empleados del IIB o empleados responsables designados por orden del Banco. Estos empleados son personalmente responsables de la seguridad de las claves de cifrado;
el registro de las claves de encriptación hechas para los usuarios, el registro de su emisión para el trabajo, la devolución de los usuarios y la destrucción es realizada por un empleado del IIB;
el almacenamiento de claves de cifrado, claves EDS, disquetes de instalación está permitido en el mismo almacenamiento con otros documentos en condiciones que excluyen su destrucción no intencional u otro uso no previsto por las reglas para el uso de sistemas de criptoprotección;
junto con esto, prevé la posibilidad de un almacenamiento separado seguro de las claves de trabajo y de respaldo destinadas a ser utilizadas en caso de compromiso de las claves de trabajo de acuerdo con las reglas para el uso de herramientas de protección criptográfica;
una clave privada EDS válida registrada en un medio magnético (disquete) debe almacenarse en una caja fuerte sellada personal (contenedor) de la persona responsable. Debe excluirse la posibilidad de copia y uso no autorizado de la EDS por parte de una persona no autorizada;
la clave EDS de respaldo debe almacenarse de la misma manera que la actual, pero siempre en un contenedor sellado separado.
Requisitos para los empleados involucrados en la operación e instalación (instalación) de herramientas de protección criptográfica y portadores de información clave:
solo los empleados pueden trabajar con medios de protección criptográficos y portadores de información clave, conociendo las reglas su funcionamiento, poseer habilidades prácticas de trabajo en una PC, haber estudiado las reglas de uso y documentación operativa sobre medios de protección criptográficos;
el empleado debe ser consciente de las posibles amenazas a la información durante su procesamiento, transmisión, almacenamiento, métodos y medios de protección de la información.
Destrucción de información clave y disquetes:
la destrucción de la información clave de los disquetes debe realizarse mediante un doble reformateo incondicional del disquete con el comando DOS "FORMAT A: / U";
la destrucción de un disquete clave que se ha vuelto inutilizable debe hacerse derritiéndolo (quemándolo) o triturando un disquete magnético extraído de la caja.
Hasta la fecha, EDS y sus análogos se están introduciendo cada vez más en la vida y se utilizan en procesos comerciales, a pesar de la imperfección de la legislación. En el trabajo operativo, EDS es conveniente y eficiente, pero el almacenamiento a largo plazo de documentos firmados con una firma electrónica es un problema grave que no se ha resuelto por completo en ninguna parte del mundo. Dado que la tecnología aún es muy joven, hay poca investigación en el campo de garantizar la seguridad de los documentos electrónicos con EDS.
Las autoridades estatales rusas, que regulan el trabajo operativo con documentos electrónicos, no piensan en lo que les sucederá en el futuro. A la hora de establecer los periodos de conservación no se tienen en cuenta sus características, y muchas veces se ignora por completo su existencia. Distribución establecida por la Ley "Sobre archivando en la Federación Rusa” de los términos de almacenamiento departamental para documentos electrónicos conducirá inevitablemente a la pérdida de una parte significativa de la información, ya que se requiere una organización de almacenamiento diferente. Es necesario cuidar el almacenamiento a largo plazo de los documentos electrónicos en el momento de su creación.
Hay algunos asuntos importantes qué organizaciones tendrán que resolver durante el almacenamiento a largo plazo de documentos con EDS:
- ¿Cómo garantizar la verificación de la EDS durante un largo período de tiempo? ¿Es necesario? Cómo probar la autenticidad, integridad, etc. documentos electrónicos relevantes?
La respuesta a la pregunta sobre la necesidad de almacenar documentos con EDS está dada por legislatura actual y normas que prevean la conservación de documentos electrónicos a por lo menos a medio plazo (5-10 años) con la posibilidad de comprobar el EDS. Para la mayoría de las preguntas restantes, aún no hay respuestas, pero ya hay requisitos que deben cumplirse.
- ¿Qué hacer con los documentos de almacenamiento permanente firmados electrónicamente? A diferencia de los documentos en papel, que pueden permanecer en estanterías de archivo durante siglos, los documentos electrónicos no se pueden almacenar sin cambios durante más de 7 a 10 años. Después de este período, el soporte de información pierde su confiabilidad o el equipo, software o formato en el que se registra el documento se vuelve obsoleto. Es por eso que es simplemente impensable hablar de 75 años de almacenamiento en la organización de documentos electrónicos: no habrá nada que aceptar para el almacenamiento. Pocas organizaciones tienen la mano de obra, la experiencia y los recursos para organizar este trabajo.
- EDS no es invulnerable y, con el tiempo, puede verse comprometido y/o falsificado. La falsificación de firmas digitales "antiguas" puede tener consecuencias no menos catastróficas que la falsificación de las existentes. Ya ahora, la legislación permite la firma digital de documentos que tienen importantes efectos financieros y trascendencia jurídica. Necesitamos pensar en cómo protegernos de la aparición en 10-20 años de una masa de documentos electrónicos falsificados, supuestamente pertenecientes a principios del siglo XXI y certificados por el EDS "correcto". Si no se ocupa de las medidas de protección organizativas y de otro tipo adecuadas hoy, entonces es posible que haya problemas importantes más adelante.
Requisitos de la organización
gestión comercial y documental
Para que los intereses de la organización estén debidamente protegidos, es necesario pensar previamente en qué medida y cómo debe reflejarse la información sobre la firma digital en el propio documento y sus metadatos.
En el año 2000, los Archivos Nacionales de los Estados Unidos incluyeron en las Pautas de gestión de documentos para agencias que usan firmas electrónicas los requisitos que todos los documentos firmados electrónicamente, cuando se muestran en un formato legible por humanos (en papel o en una pantalla de monitor), deben contener :
- el nombre del remitente o de la persona que firmó este documento,
- fecha y hora de la firma,
- intenciones claramente expresadas del signatario, es decir, teclee el texto:
- "Lo apruebo"
- "el remitente se hace responsable de la transacción",
- "el remitente está autorizado a firmar por otra persona", etc.
Estos requisitos tienen como objetivo garantizar la comodidad de trabajar con documentos durante mucho tiempo, incluso cuando ya no será posible verificar el EDS.
Muchas de nuestras organizaciones, al descifrar el EDS, también incluyen en versión impresa información del documento sobre la persona que lo firmó y la fecha de la firma. El tercer requisito, por regla general, no se aplica a nosotros, lo cual es una pena: una "resolución electrónica", a partir de la cual quedan claras las intenciones del firmante, hace que el documento sea más "irrevocable".
Los requisitos para el flujo de documentos y para las actividades del servicio DOW tienen como objetivo garantizar la preservación de todos documentos requeridos. Para ello, el servicio DOW de la organización debe:
- incluir en el sistema de gestión documental de la organización todos los documentos que surjan en el proceso de uso de la infraestructura de firma digital y clave pública, así como guardar metadatos suficientes para buscarlos y trabajar con ellos;
- conservar este conjunto de documentos durante el mismo período de tiempo que el propio documento con un EDS.
- la integridad de los documentos no está asegurada y pueden ser modificados por el usuario;
- los documentos están disponibles solo para usuarios individuales y, como resultado, no se convierten en un recurso corporativo;
- surgen dificultades con el establecimiento de períodos de almacenamiento para dichos documentos, el examen del valor y su asignación para la destrucción.
Lo mejor es organizar el almacenamiento de todo el conjunto de documentos relacionados con el uso de EDS en los sistemas de gestión de documentos electrónicos, ya que dichos sistemas permiten:
- garantizar el almacenamiento seguro, el control y el registro de acceso a los mismos;
- asignar y realizar un seguimiento de los períodos de retención;
- Realizar destrucción confidencial controlada al vencimiento de los períodos de retención.
Los expertos estadounidenses señalan que las tecnologías asociadas con el uso de EDS aún son muy jóvenes y no han pasado por el “fuego y el agua” de los litigios. Por lo tanto, se recomienda pensar en cómo “poner paja” y abastecerse de un conjunto suficiente de documentos en caso de que tenga que ir a la corte:
- un mensaje de que el EDS se ha verificado con éxito,
- fecha y hora verificación de documentos,
- identificación de operación,
- un enlace a los documentos reglamentarios internos que rigen el trabajo (incluida la fecha y versión del documento),
- otra información que la organización considere necesario registrar.
Documentación de uso
firmas digitales
en la organización
Cualquier cambio en el sistema de gestión de documentos de la organización, por regla general, implica un cambio en la composición de la documentación. La introducción de nuevas tecnologías no es una excepción: las organizaciones tienen un conjunto completo de documentos nuevos, que antes no existían, que también deben registrarse y mantenerse en estricta conformidad con la ley, de modo que en cualquier situación controvertida la organización pueda probar su caso. .
Durante la transferencia de información, se pueden crear y almacenar los siguientes documentos:
- En organizaciones-remitentes y destinatarios:
- el documento real que se envía,
- certificado de clave de remitente,
- consultas/respuestas verificación de certificado,
- reglamento interno que rige el uso de certificados clave,
- acuerdos o acuerdos entre participantes en el intercambio de información sobre el uso de EDS,
- avisos de revocación o compromiso de certificados de clave pública,
- recibo de aceptación del documento o negativa a aceptación del documento,
- documentos que fijan la configuración del software utilizado,
- pruebas de software y documentos de verificación.
- En los centros de certificación:
- documentos reglamentarios internos del centro de certificación que definen las reglas para trabajar con certificados clave (incluido el procedimiento para organizar la emisión de certificados y el procedimiento para almacenar certificados revocados),
- registros de certificados clave,
- listas de certificados revocados y caducados,
- documentación de certificación mutua de centros de certificación,
- protocolos y registros de auditoría del sistema de información del centro de certificación.
Si el EDS se utiliza en un sistema de información corporativo y el propietario del centro de certificación es una de las organizaciones que participan en el intercambio de información, entonces esta organización debe documentar las actividades de su centro de certificación.
Las listas de documentos enumeradas reflejan el uso más simple de una infraestructura de clave pública. Si se utilizan opciones más complejas, entonces, en consecuencia, aumenta la cantidad de documentos.
Documentar correctamente el trabajo con EDS es una tarea importante, pero es aún más importante organizar el almacenamiento confiable de todos los documentos, en estricta conformidad con los requisitos de la ley. Hay aún más problemas aquí, y es muy, muy difícil resolverlos.
Organización del almacenamiento de documentos con EDS
Es, por decirlo suavemente, ilógico hablar sobre el uso de EDS de forma aislada de los problemas de gestión de documentos y almacenamiento de archivos de documentos, pero por alguna razón es habitual hacerlo así. Ni los estadistas ni los especialistas en tecnología de la información, por regla general, piensan en el hecho de que los documentos son necesarios no solo para la gestión y las actividades comerciales operativas. Ellos, entre otras cosas, fijan los diversos derechos y obligaciones del Estado, los individuos y las organizaciones, hechos ocurridos, decisiones tomadas y las consecuencias de las acciones realizadas. Dichos documentos están sujetos a almacenamiento permanente o a largo plazo, y es aquí donde la firma digital es útil para trabajo operativo herramienta se convierte en una astilla.
Cuantos más documentos electrónicos utilice una organización en su trabajo, antes se enfrentará a problemas en el campo de la gestión de documentos y el almacenamiento de archivos.
Una organización debe tener en cuenta los requisitos que existen en el marco legislativo y regulaciones que rige el trabajo con EDS, sobre la organización del almacenamiento de una serie de documentos.
Fragmento de documento
Ley Federal "Sobre Firma Digital Electrónica" del 10 de enero de 2002 No. 1-FZ Artículo 7 1. El plazo de conservación del certificado de clave de firma en forma de documento electrónico en el centro de certificación viene determinado por el acuerdo entre el centro de certificación y el titular del certificado de clave de firma. Esto proporciona acceso a los participantes del sistema de información al centro de certificación para obtener un certificado de clave de firma. 2. El plazo de conservación del certificado de clave de firma en forma de documento electrónico en el centro de certificación tras la cancelación del certificado de clave de firma deberá ser al menos el establecido ley Federal el plazo de prescripción de las relaciones especificadas en el certificado de clave de firma. Después de la expiración del período de almacenamiento especificado, el certificado de clave de firma se excluye del registro de certificados de clave de firma y se transfiere al modo de almacenamiento de archivo. El período de almacenamiento de archivo no es inferior a cinco años. El procedimiento para emitir copias de certificados de clave de firma durante este período se establece de acuerdo con la legislación de la Federación Rusa. 3. Certificado de clave de firma en forma de documento sobre copia impresa almacenado de la manera prescrita por la legislación de la Federación Rusa sobre archivos y archivo. |
De acuerdo con las reglas del trabajo de oficina, el período de almacenamiento se establece según la importancia del documento y la información que contiene, y no depende del tipo de medio y de la presencia de un EDS. El almacenamiento de los documentos firmados con un EDS debe organizarse de manera que garantice la posibilidad de verificar la autenticidad de la firma, y el centro de certificación deberá garantizar el mismo período de almacenamiento de sus documentos, equipos y software - y ¡En orden de trabajo!
Si la organización presenta algún informe en formato electrónico , entonces es necesario determinar el procedimiento para su conservación en la organización con el fin de garantizar la integridad, autenticidad y autenticidad de los documentos electrónicos.
Fragmento de documento
El procedimiento para presentar una declaración de impuestos en forma electrónica a través de canales de telecomunicación 2. 3. Al presentar una declaración en formato electrónico, el contribuyente deberá cumplir con el siguiente procedimiento para la gestión de documentos electrónicos:
|
La cuestión de cómo cumplirá el Estado con sus obligaciones aún no ha sido resuelta. derivados del artículo 15, inciso 2 de la Ley de EDS, según el cual, al liquidarse los centros de certificación no estatales, se transfiere su documentación, así como la obligación de verificar las firmas "antiguas" (ver artículo 4, inciso 1). al "poder ejecutivo del organismo federal autorizado". Ahora los temas de los centros de certificación son manejados por la Agencia Federal para tecnologías de la información(FAIT) dependiente del Ministerio de la Información y las Comunicaciones.
En el Reglamento "Sobre agencia Federal sobre Tecnologías de la Información”, aprobado por el Decreto del Gobierno de la Federación Rusa del 30 de junio de 2004 No. 319, en la sección sobre los poderes de este órgano ejecutivo, está escrito que debe organizar:
- confirmación de la autenticidad de las firmas digitales electrónicas de las personas autorizadas de los centros de certificación en los certificados de claves de firma emitidos por los mismos;
- manteniendo unificado registro estatal certificados de claves de firma de centros de certificación y un registro de certificados de claves de firma de personas autorizadas de organismos del gobierno federal, y también proporciona acceso a los mismos para ciudadanos, organizaciones, autoridades gubernamentales y gobiernos locales.
Pero aún no está claro quién será responsable del resto de la documentación, quién la almacenará y, lo que es más importante, quién confirmará la autenticidad de la EDS.
En Internet, a menudo puede encontrar historias optimistas sobre lo bien y lo conveniente que es almacenar documentos firmados con un EDS. Sin problemas, solo comodidad y puro placer:
Al cambiar a la gestión de documentos electrónicos con contrapartes, una organización debe pensar en cómo mantener un archivo en el futuro. ¿En qué medios almacenar documentos en formato electrónico y cómo confirmar su significado legal?
En qué formato y en qué medios almacenar los documentos
¿Cuál es el problema?
Las organizaciones deben almacenar diversos documentos contables, económicos y de personal desde varios años hasta varias décadas. Por ejemplo, contabilidad documentos fuente deberán conservarse cinco años después del año en que se ultima vez utilizado con fines contables.
Un documento electrónico debe ser legible incluso varios años después de su creación. El problema es ese tecnologia computacional y el software se vuelve obsoleto, y los editores y lectores tienen nuevas versiones.
Es muy probable que un documento creado hace varios años no pueda leerse por falta del dispositivo o programa necesario. Por ejemplo, hoy en día es difícil leer información de un disquete de 3,5 pulgadas, aunque hace 10 años era un medio de almacenamiento común.
El documento debe almacenarse en el formato en el que fue creado. Si cambia el formato, la firma electrónica no coincidirá con el documento. En consecuencia, ya no será posible probar su autenticidad.
¿Cómo decidir?
La reescritura periódica de información de medios obsoletos a otros más modernos ayudará a resolver este problema. Cuando se trata de software, todos los principales desarrolladores admiten los formatos de versiones anteriores al desarrollar nuevas versiones de sus productos.
Si el intercambio se realizó a través del servicio del operador EDI, los documentos estarán disponibles en cualquier momento. Los grandes operadores almacenan los documentos de forma indefinida en la “nube” y permiten visualizarlos, cargarlos y recibir datos en el certificado de firma electrónica (EDS) con el que fueron firmados. Solo se necesita acceso a Internet.
Cómo confirmar el significado legal de los documentos
¿Cuál es el problema?
Una firma electrónica se utiliza para identificar a la persona que firma un documento y protege el documento de cambios después de que se haya firmado. Pero el certificado de firma electrónica tiene un período de validez de máximo 15 meses, y pueden pasar varios años hasta que se confirme la validez de la firma electrónica.
¿Cómo decidir?
Este problema se soluciona con el servicio de sello de tiempo que ofrecen los centros de certificación y algunos sistemas de información. Se agrega un atributo adicional a la firma electrónica en el momento de su creación: un sello o una marca de tiempo.
El servicio también adjunta una lista de los certificados actualmente revocados al documento firmado. Al firmar la lista con una firma electrónica, el servicio confirma que la firma es válida en el momento de la firma.
La autenticidad de la firma en este caso puede confirmarse incluso después de la expiración del certificado mismo. Una firma electrónica con sello de tiempo se denomina avanzada. Dicha firma no solo simplifica el almacenamiento de archivos de documentos electrónicos, sino que también es una condición para la gestión de documentos electrónicos con sistemas de información de algunos
El lugar de almacenamiento de la clave electrónica debe estar protegido contra el acceso no autorizado. El EDS consta de dos partes. formulario abierto consiste en un código que es accesible a una amplia gama de personas. El formulario cerrado está encriptado y oculto en la base de datos de registro. La legislación no especifica claramente dónde se almacena la EDS una vez recibida por el signatario. Se indica la regla de no divulgación de información y la forma de designación de los responsables.
Desventajas del almacenamiento de PC:
EDS está instalado en todos los equipos desde los que el usuario enviará documentación. Si el propietario olvida cerrar la PC con una contraseña después de usarla, las claves se cancelan fácilmente
La exportación/importación de una clave privada cuando se traslada físicamente a otra ubicación requiere derechos de acceso y calificaciones.
El almacenamiento recomendado de claves EDS son almacenamientos especializados de Rutoken y e-Token. Son llaveros USB y tarjetas inteligentes. El acceso a estas bóvedas es solo mediante PIN. Son fáciles de llevar y fáciles de manejar. Todas las operaciones se realizan directamente en el almacén. La clave no entra en bases de datos externas.
Las ventajas de este método de almacenamiento son:
protección de extraños
penetración
acceso a cualquier dispositivo
trabajar sin certificado
automatizar el proceso de inicio de sesión
en EDMS y sistema informático
Requisitos de responsabilidad del usuario
La ley no especifica cómo almacenar el EDS. Sin embargo, los requisitos para la responsabilidad por parte del propietario están claramente establecidos. La Ley de Firma Digital Electrónica tiene requisitos claros.
Requisitos Marco legislativo prescribir:
- Las partes de la interacción electrónica guardan la confidencialidad de la EDS, comprometiéndose a protegerla para que no sea utilizada sin el consentimiento del titular.
- Los titulares notifican al centro de certificación de la clave sobre la violación de la confidencialidad de la EDS, la pérdida o recepción de información por parte de terceros.
- Está prohibido utilizar una clave comprometida.
- Aplicar métodos de verificación y cotejo de la llave electrónica.
La fuente federal prescribe las reglas para almacenar firmas digitales con acceso a verificación. Software debe estar registrado y dar claves de acceso a la autoridad de certificación de claves. El organismo que emitió la clave tiene derecho a verificar el lugar de almacenamiento con la inspección posterior de la corrección de su inclusión en los documentos.
También se da acceso a la documentación electrónica. Los términos de almacenamiento de los soportes de firmas digitales están determinados por la nomenclatura de los casos y el contenido del documento.
Se describen reglas claras para almacenar EDS en la organización. Por parte del titular de la firma, se debe garantizar la protección de datos. Si la clave no está en la bóveda, debe instalarse en cada PC utilizada. Se negocia el círculo de personas que tienen acceso a la documentación y el flujo de documentos.
Se supone que la responsabilidad por el uso de EDS en las organizaciones es asumida por altos cargos y contador jefe. Estas personas son designadas por un protocolo especial.
La información sobre ellos se ingresa en el archivo del centro de control y la emisión de claves. El método de cómo almacenar una firma electrónica dentro de una empresa se deja a elección del propietario.
Responsabilidad y cesión de derechos de uso
El almacenamiento de un EDS en una organización requiere el nombramiento de personas con derecho a utilizar una firma digital electrónica. La legislación especifica el procedimiento para almacenar EDS en una organización.
La orden sobre el nombramiento de un responsable de la EDS incluye información sobre el nombre completo de los empleados. Se indican las autoridades y funciones desempeñadas. Se prescriben las reglas para el uso de una firma electrónica.
Un documento interno designa al responsable de la EDS, la orden se firma junto con un acuerdo de confidencialidad. Se leen a la persona o personas designadas las instrucciones sobre el uso del EDS. Se les dice cómo almacenar EDS y proteger el acceso a los datos de terceros. Se explican las reglas para agregar una clave a un documento.
El usuario está obligado a:
secreto de informacion
y privacidad
proceso de intercambio de información
almacenamiento de claves privadas
extraños
cumplimiento de las normas
funcionamiento del sistema de la estación de trabajo
flujo de documentos
El documento no indica dónde se almacena la firma electrónica. Esta información se da oralmente durante la sesión informativa.
No solo la persona designada, sino también la organización es responsable del uso del EDS. Si durante la cesión de los derechos de uso de la firma se viola el procedimiento de información e investidura, se aplican medidas a ambas partes. El control sobre la ejecución de las disposiciones de la orden permanece con el jefe (propietario) de la firma.
EDS de otra persona: responsabilidad legislativa
El artículo 22 se define en la legislación de la Federación Rusa, que describe la responsabilidad de usar el EDS de otra persona. Las personas que no tienen permiso oficial con acceso a la clave electrónica de otra persona están sujetas a responsabilidad penal, administrativa y civil, según lo estipulado en los códigos pertinentes.
En caso de detección de infracciones, los condenados asumen responsabilidad penal. La firma electrónica se considera comprometida. La organización o la dirección debe comunicar esta información a todas las partes interesadas. Si las acciones de una persona causaron pérdidas materiales, se le acusa de indemnizar por el daño. La persona que acepta la clave electrónica en virtud del contrato tiene toda la responsabilidad de su almacenamiento.
Si necesita asesoramiento para comprar y elegir un EDS, ¡contacte con nuestros especialistas!