O semnătură digitală electronică (EDS) este un atribut al unui document electronic care vă permite să stabiliți absența distorsiunii informațiilor dintr-un document electronic din momentul în care a fost generat EDS și să verificați dacă semnătura aparține proprietarului certificatului cheie EDS. . Valoarea atributului este obținută ca urmare a transformării criptografice a informațiilor folosind cheia privată EDS.
În 1994, a fost adoptată prima parte a Codului civil al Federației Ruse (nr. 51-FZ din 30 noiembrie 1994), în care art. 160 („Forma scrisă a tranzacției”), a fost prevăzută posibilitatea utilizării unei „semnături electronice digitale... în cazurile și în modul prevăzute de lege, alte acte juridice sau acordul părților”, iar art. 434 prevedea și posibilitatea încheierii unui contract „prin schimb de documente prin intermediul... electronică sau altă comunicare, care să permită stabilirea în mod credibil că documentul provine de la o parte la contract”.
Puțin mai devreme, scrisoarea Curții Supreme de Arbitraj a Federației Ruse din 19 august 1994 nr. S1-7 / OP-587 „Cu privire la anumite recomandări adoptate la ședințele privind practica arbitrajului judiciar” a confirmat posibilitatea de a accepta ca probe documente pregătite în în format electronicși semnat cu o semnătură digitală electronică, dacă acordul are o procedură de reconciliere a neînțelegerilor și o procedură de demonstrare a autenticității acordului și a fiabilității semnăturilor.
În cazul în care apare un litigiu cu privire la disponibilitatea documentelor semnate cu semnătură digitală electronică, părțile trebuie să prezinte un extras din contract, care să indice procedura de reconciliere a neînțelegerilor. La doar câteva luni mai târziu, a fost adoptată Legea federală nr. 24-FZ din 20 februarie 1995 „Cu privire la informare, informatizare și protecția informațiilor” (În prezent, această lege a devenit invalidă, Legea federală din 27 iulie 2006 nr. tehnologii și informații protectie”), care prevedea: „Forța juridică a unui document stocat, prelucrat și transmis prin intermediul sistemelor automate de informare și telecomunicații poate fi confirmată printr-o semnătură digitală electronică (denumită în continuare – EDS).
În Rusia, un certificat de semnătură electronică semnificativ din punct de vedere juridic este emis de un centru de certificare. Condițiile legale pentru utilizarea unei semnături digitale electronice în documentele electronice sunt reglementate de Legea federală din 10 ianuarie 2002 nr. 1-FZ „Cu privire la semnătura digitală electronică”, art. 3.
Forța juridică a semnăturii digitale electronice este recunoscută dacă în sistemul informatic automatizat există instrumente software și hardware care asigură identificarea semnăturii, precum și respectarea modului stabilit de utilizare a acestora. În conformitate cu legea, a fost emisă o altă scrisoare a Curții Supreme de Arbitraj a Federației Ruse din 07.06.95 nr. С1-7 / 03-316, în care, deja pe baza formulării noii legi, a fost a spus că la confirmarea forței juridice a unui document cu semnătură digitală electronică, un astfel de document poate fi recunoscut ca probă într-o cauză aflată pe rolul tribunalului arbitral. Utilizarea documentelor în formular electronic reglementate prin regulamente departamentale.
Exemplu - Regulamentul temporar nr. 20-P din 12 martie 1998 „Cu privire la regulile pentru schimbul de documente electronice între Banca Rusiei, organizatii de credit(sucursale) și alți clienți ai Băncii Rusiei la efectuarea decontărilor prin rețeaua de decontare a Băncii Rusiei” (Instrucțiunea Băncii Centrale a Federației Ruse din 11 aprilie 2000 nr. 774-U).
Cu toate acestea, toate actele legislative și de reglementare prevedeau recunoașterea forței juridice a EDS numai la nivelul acordurilor bilaterale, sub rezerva încheierii prealabile între părțile contractante a unui acord privind recunoașterea reciprocă a documentelor semnate de EDS. Adică, organizațiile trebuiau mai întâi să încheie un acord scris privind recunoașterea reciprocă a documentelor electronice pentru a începe ulterior schimbul lor. Acest lucru a făcut posibilă organizarea muncii sistemelor „client-bancă”, dar nu a făcut posibilă transferul documentelor electronice în sfera relațiilor publice. Era nevoie de o tehnologie care să echivaleze posibilitățile de utilizare a documentelor electronice și convenționale.
Pentru a rezolva această problemă, a fost adoptată Legea federală din 10 ianuarie 2002 nr. 1-FZ „Cu privire la semnătura electronică digitală” (denumită în continuare Legea „Cu privire la EDS”), al cărei scop a fost tocmai „asigurarea legii. condițiile de utilizare a semnăturii digitale electronice în documente electronice, cu respectarea cărora o semnătură digitală electronică într-un document electronic este recunoscută ca echivalentă cu o semnătură olografă într-un document pe pe suport de carton».
Potrivit art. 3 din Legea federală „Cu privire la semnătura digitală” din 10 ianuarie 2001 nr. 1-FZ:
- document electronic - un document în care informațiile sunt prezentate în formă electronică digitală;
- semnătura digitală electronică - cerința unui document electronic destinat să protejeze acest document electronic de fals, obținut ca urmare a transformării criptografice a informațiilor folosind cheia privată a semnăturii digitale electronice și care permite identificarea titularului certificatului cheii de semnătură; precum și să stabilească absența distorsionării informațiilor în documentul electronic;
- mijloace de semnătură digitală electronică - hardware și (sau) software care asigură implementarea a cel puțin uneia dintre următoarele funcții - crearea unei semnături digitale electronice într-un document electronic folosind cheia privată a semnăturii digitale electronice, confirmarea prin intermediul cheia publică a semnăturii digitale electronice a autenticității semnăturii digitale electronice într-un document electronic, crearea de chei private și publice de semnături digitale electronice;
- certificat de mijloace de semnătură digitală electronică - un document pe hârtie emis în conformitate cu regulile sistemului de certificare pentru a confirma conformitatea mijloacelor de semnătură digitală electronică cu cerințele stabilite;
Potrivit art. 16 din Legea federală „Cu privire la semnătura digitală electronică” utilizarea semnăturii digitale electronice în domeniul administrației publice:
După formarea EDS atunci când a fost utilizat în gestionarea documentelor electronice între instituțiile de credit și birourile de credit în 2005, infrastructura de gestionare a documentelor electronice între autoritățile fiscale și contribuabili a început să se dezvolte activ. A început să funcționeze Ordinul Ministerului Impozitelor și Cotizațiilor al Federației Ruse din 2 aprilie 2002 nr. BG-3-32/169 „Procedura de depunere a declarației fiscale în formă electronică prin canale de telecomunicații”. Acesta definește principiile generale ale schimbului de informații la depunerea unei declarații fiscale în formă electronică prin canale de telecomunicații.
Legea Federației Ruse din 10 ianuarie 2002 nr. 1-FZ „Cu privire la semnătura digitală electronică” stabilește condițiile de utilizare a EDS, caracteristicile utilizării acestuia în domeniile administrației publice și în sistemul informațional corporativ.
Datorită EDS, acum, în special, mulți companiile ruseștiîși desfășoară activitățile de tranzacționare și cumpărare pe Internet, prin intermediul „Sistemelor e-commerce”, schimbând cu contrapărțile documentele necesare în formă electronică, semnate cu EDS. Acest lucru simplifică și accelerează foarte mult procedurile comerciale competitive.
Forța juridică a semnăturii digitale a fost confirmată de Legea federală din 27 iulie 2006 nr. 149-FZ „Cu privire la informații, tehnologii informaționale și protecția informațiilor”, art. 11 din care prevede că „un mesaj electronic semnat cu o semnătură electronică digitală sau alt analog al unei semnături de mână este recunoscut ca document electronic echivalent cu un document semnat cu o semnătură de mână, în cazurile în care legile federale sau alte acte juridice de reglementare nu stabilește sau implică o cerință de a întocmi un astfel de document pe hârtie.
Adică, în toate cazurile în care legislația nu prevede expres că documentul trebuie întocmit pe hârtie, avem dreptul să folosim documente electronice. De asemenea, în art. 11 spune: „În scopul încheierii contracte de drept civil sau înregistrarea altor relații juridice care implică persoane care fac schimb de mesaje electronice, schimbul de mesaje electronice, fiecare dintre acestea fiind semnat printr-o semnătură digitală electronică sau alt analog al semnăturii de mână a expeditorului unui astfel de mesaj, în modul prevăzut de legile federale, alte acte juridice de reglementare sau acordul părților, este considerat ca un schimb de documente.
Dacă, la utilizarea unei semnături pe un document pe hârtie, forța sa juridică poate fi clarificată prin reconcilierea semnăturii existente sub document cu alte mostre de semnătură ale acestei persoane, iar în cazul litigiilor - cu ajutorul examinării grafologice, atunci când se introduce Tehnologia EDS, a fost necesar să se asigure un sistem care să permită, la primirea (deschiderea) oricărui document electronic semnat cu un EDS, identificarea fără ambiguitate a semnatarului documentului și, de asemenea, să stabilească absența distorsionării informațiilor din documentul electronic după semnare.
Din punct de vedere tehnic, sistemul de semnare presupune utilizarea tehnologiei criptografice (criptare) cu semnarea unui document folosind o cheie privată (secretă) și verificarea semnăturii folosind o cheie publică (publică) sau, așa cum se mai numește, publică.
Utilizarea acestei tehnologii prevede prezența centrelor de certificare care vor emite chei private pentru semnarea documentelor și vor menține o bază de date publică a cheilor publice utilizate pentru verificarea semnăturii.
În multe privințe, Legea „Cu privire la EDS” este doar legea centrelor de certificare – acestora le este dedicat capitolul 3. Credem că tocmai întârzierile în crearea o singură rețea centre de certificare și explică întârzierea distribuției în masă a semnăturilor digitale, deoarece utilizarea pe scară largă a semnăturilor digitale necesită organizarea unei infrastructuri adecvate pentru emiterea în masă a cheilor private (pentru semnarea documentelor) și distribuirea cheilor publice (pentru verificarea autenticității). de semnături digitale).
Abrevierea în limba engleză PKI (public key infrastructure) este adesea folosită pentru a face referire la infrastructura de distribuție a cheilor. În conformitate cu Decretul Guvernului Federației Ruse din 30 iunie 2004 nr. 319 „Cu privire la aprobarea regulamentului privind agentie federala pe tehnologia de informație» organizarea confirmării autenticității «semnăturilor electronice digitale ale persoanelor autorizate ale centrelor de certificare în certificatele de chei de semnătură eliberate de acestea», «menținerea unui sistem unificat registrul de stat certificate ale cheilor de semnătură ale centrelor de certificare și registrul certificatelor cheilor de semnătură ale persoanelor autorizate ale organismelor guvernamentale federale, precum și „oferirea accesului la acestea pentru cetățeni, organizații, autorități și organisme de stat administrația locală”a fost încredințată Agenției Federale pentru Tehnologii Informaționale.
Totuși, se pune întrebarea: se poate avea încredere în această autoritate de certificare, a fost verificată identitatea solicitantului înainte de a-i elibera un certificat? Aici, activitățile centrelor de certificare amintesc oarecum de activitățile notarilor.
Prin urmare, apare în art. 10 din Lege, organismul federal autorizat care „ține un registru de stat unificat al certificatelor de cheie de semnătură, cu ajutorul căruia centrele de certificare care lucrează cu participanții la sistemele de informații publice certifică certificatele de cheie de semnătură emise de aceștia, oferă acces gratuit la acest registru și eliberează semnătură. certificate cheie ale centrelor de certificare a persoanelor autorizate relevante.
Întârzierea introducerii EDS în sfera relațiilor publice sa datorat în mare măsură problemelor nerezolvate ale creării unui centru de certificare rădăcină (cap), care ar trebui să înregistreze toate centrele de certificare.
Deci, de exemplu, ordinul guvernului de la Moscova „Cu privire la crearea centrului regional de certificare a șefului din Moscova” a apărut la 10 aprilie 2003 (nr. 568-RP) și deschiderea Centrului de certificare a șefului din Moscova (GUC) a avut loc abia la 1 decembrie 2006. Centrul de certificare, la cererea unei organizații sau a unei persoane, creează pentru solicitant o cheie destinată semnării documentelor și un certificat de cheie de semnătură care include o cheie publică pentru verificarea unei semnături digitale. Certificatul cheie de semnătură poate include atât numele de familie, prenumele, patronimul și funcția (indicând numele și locația organizației în care este stabilită această funcție), cât și calificările proprietarului certificatului cheie de semnătură, precum și alte informații confirmate prin documente relevante.
Astfel, deoarece certificatul cheie de semnătură este creat printr-o cerere scrisă, identitatea solicitantului și alte informații introduse sunt confirmate de documentele relevante - acest lucru asigură că identitatea semnatarului documentului se potrivește cu informațiile specificate în certificatul cheie de semnătură. . Totodată, în conformitate cu paragraful 4 al art. 9 din Lege, „servicii de eliberare a certificatelor de chei de semnătură înregistrate de către un centru de certificare către participanții la sistemele informaționale, precum și informații despre funcționarea acestora sub formă de documente electronice, sunt furnizate gratuit”.
Furnizarea organizațională a semnăturii electronice digitale (EDS) se realizează în conformitate cu legislația statului pe teritoriul căruia este utilizat acest instrument EDS. În lipsa unei astfel de legislaţii reglementare legalăîn domeniul de aplicare a mijloacelor EDS, se realizează pe baza actelor de reglementare ale organelor administrative.
Potrivit art. 3 din Legea federală „Cu privire la semnătura digitală” din 10 ianuarie 2001 nr. 1-FZ:
document electronic - un document în care informațiile sunt prezentate în formă electronică digitală;
semnătură digitală electronică - un atribut al unui document electronic destinat să protejeze acest document electronic de fals, obținut ca urmare a transformării criptografice a informațiilor folosind cheia privată a semnăturii digitale electronice și care permite identificarea proprietarului certificatului cheii de semnătură, ca precum și să stabilească absența distorsionării informațiilor în documentul electronic;
mijloace de semnătură digitală electronică - instrumente hardware și (sau) software care asigură implementarea a cel puțin uneia dintre următoarele funcții - crearea unei semnături digitale electronice într-un document electronic folosind cheia privată a semnăturii digitale electronice, confirmarea prin intermediul cheia publică a semnăturii digitale electronice a autenticității semnăturii digitale electronice în document electronic, crearea de chei private și publice de semnături digitale electronice;
certificat de mijloace de semnătură digitală electronică - un document pe hârtie emis în conformitate cu regulile sistemului de certificare pentru a confirma conformitatea mijloacelor de semnătură digitală electronică cu cerințele stabilite;
Potrivit art. 16 Legea federală „Cu privire la semnătura digitală” utilizarea semnăturii digitale electronice în domeniul administrației publice
1. Organe federale ale puterii de stat, organe ale puterii de stat ale supușilor Federația Rusă, organele locale de autoguvernare, precum și organizațiile care participă la fluxul de documente cu aceste organisme, utilizează semnăturile digitale electronice ale persoanelor împuternicite ale acestor organisme, organizații pentru a-și semna documentele electronice.
2. Certificatele de cheie de semnătură ale persoanelor autorizate ale organismelor guvernamentale federale sunt incluse în registrul certificatelor de cheie de semnătură menținut de organismul executiv federal autorizat și eliberate utilizatorilor certificatelor de cheie de semnătură din acest registru în modul stabilit de prezenta lege federală pentru centrele de certificare .
3. Procedura de organizare a eliberării certificatelor de chei de semnătură ale persoanelor autorizate ale autorităților de stat ale entităților constitutive ale Federației Ruse și ale persoanelor autorizate ale organismelor locale de autoguvernare este stabilită prin actele juridice de reglementare ale organismelor relevante.
Proprietarul sistemului informatic în care este utilizat
semnătură digitală electronică la crearea documentelor electronice,
trebuie sa:
să asigure conformitatea software-ului și hardware-ului aplicat cu cerințele definite de producătorul mijloacelor de semnătură digitală electronică și cu cerințele cuprinse în
regulamentele centrelor de certificare;
asigură respectarea cerințelor legislației în vigoare privind semnătura digitală electronică atunci când se efectuează acțiuni în sistemul informațional cu documente electronice care necesită utilizarea unei semnături digitale electronice.
Proprietarul certificatului de cheie de semnătură este obligat să respecte cerințele legislației actuale în domeniul semnăturii digitale electronice, actelor juridice de reglementare ale Guvernului Moscovei, actelor de reglementare ale organizației - proprietarul sistemului informațional în care acesta folosește semnătura digitală electronică, Regulamentul centrului de certificare, cerințele legale și ordinele administratorilor sistemelor informatice care interacționează, precum și ordinea reală.
Proprietarii de sisteme informatice, centrele de certificare, funcționarii, participanții la schimbul de informații și alte persoane sunt răspunzători, conform legislației în vigoare, pentru cauzarea prejudiciului prin acțiunile sau inacțiunile lor, dacă nu respectă cerințele prezentei proceduri.
Adică, nu sunt necesare cheltuieli pentru a verifica autenticitatea semnăturii documentului primit. O altă problemă este problema stocării cheilor publice care servesc la verificarea autenticității unei semnături digitale. În conformitate cu art. 7 din Lege, perioada de păstrare a unei chei publice într-un centru de certificare nu poate fi mai mică decât termenul de prescripție stabilit de lege pentru documentele semnate cu EDS, după care cheia publică se trece în modul de stocare arhivistică.
Legea stabilește o perioadă de depozitare arhivă de cel puțin cinci ani, adică, de exemplu, perioada totală de păstrare a cheilor publice pentru documentele unei perioade de depozitare temporară (5 ani) ar trebui să fie de 10 ani.
În ceea ce privește munca de birou, există o serie de inovații în comparație cu tehnologiile tradiționale pentru documente. În primul rând, acest lucru se datorează faptului că nu se pot face modificări la dosarul unui document semnat cu un EDS.
Suma de control („suma hash”) a documentului este componenta principală a EDS și garantează, în limbajul Legii, „absența distorsionării informațiilor din documentul electronic după semnare”. Din aceasta decurg o serie de schimbări. Dacă mai devreme, când lucrează cu un document de hârtie, un angajat, după ce a descoperit o greșeală de tipar după semnarea acestuia, ar putea corecta cu atenție documentul cu un pix, a acoperi ceva și într-un document de mai multe pagini cu o semnătură numai pe ultimul sau pe primul. pagina, chiar înlocuiți foile individuale ale documentului, apoi atunci când utilizați un EDS, acest lucru nu mai este posibil - orice modificare a documentului va duce la faptul că EDS-ul documentului va fi invalid.
Din același motiv, într-un document semnat cu un EDS, este inacceptabil să existe câmpuri actualizate automat care sunt adesea prezente în șabloanele de document, de exemplu, „data tipăririi documentului”, „locația fișierului documentului”, etc. Actualizarea automată a unui document. câmpul dintr-un document va duce și la faptul că documentul va fi modificat și semnătura digitală va fi anulată. O altă schimbare semnificativă a tehnologiei se datorează faptului că, de obicei, după semnare, un document pe hârtie este transferat către serviciul DOW (oficiu, Departamentul comun, secretariat), unde este înregistrată și aplicată număr de înregistrare.
Deoarece modificările nu pot fi permise în dosarul documentului după ce acesta a fost semnat, înseamnă că informațiile de înregistrare trebuie introduse numai în cardul de înregistrare a documentului. Astfel, rezoluțiile și alte detalii care erau aplicate în mod tradițional unui document pe hârtie sunt stocate doar în cardul de înregistrare (baza de date de documente).
În consecință, dacă un document tradițional este o foaie de hârtie cu toate detaliile disponibile pe ea, reflectând ciclu de viață document (data, semnătură, număr de înregistrare, marca de primire, rezoluție, marca de executare și trimitere la cauză etc.), atunci un document electronic este un fișier cu un EDS, o cheie publică pentru verificarea unei semnături și o înscriere în baza de date, adică un card electronic atașat documentului și care conține toate detaliile și informațiile necesare despre ciclul său de viață.
Pentru a lucra cu documente electronice semnificative din punct de vedere juridic, este nevoie de un software specializat, un sistem electronic de gestionare a înregistrărilor (EDMS), prin urmare, în această situație, se pune problema alegerii și implementării unui astfel de sistem care să asigure munca cu documente electronice și EDS pentru toți angajații din organizarea trece în prim-plan în importanţă.
Întrucât nu există încă un standard unic pentru schimbul de documente în formă electronică și transferul lor în arhivele de stat între organizații (deși în prezent Institutul de Cercetare a Documentației și Arhivării din întreaga Rusie (VNIIDAD) se dezvoltă deja instrucțiuni privind organizarea muncii cu documente electronice), atunci aici vă putem sfătui să vă concentrați pe cele mai masive produse software, care în viitor poate fi finalizat cu ușurință de îndată ce sunt adoptate documentele de reglementare și metodologice relevante.
Semnătura digitală electronică, poate fi folosită de juridic și indivizii pentru livrare raportare fiscală(declarații fiscale) în formă electronică, obținerea adeverințelor necesare, depunerea de rapoarte la Fondul de pensii și la Fondul de asigurări sociale, răspunsul la întrebările organelor și organizațiilor de stat, participarea la concursuri pentru ordinele de stat și municipale și licitatie electronica. Indiferent de locul deținerii și locația participantului, precum și pentru organizarea propriei gestionări electronice a documentelor (în cadrul întreprinderii), atunci când interacționează cu partenerii, pentru rezolvarea altor probleme aplicate.
O semnătură digitală electronică este utilizată și pentru identificare în sistemele de acces autorizat la spații, în sistemele informaționale etc.
Tehnologia de utilizare a sistemului EDS presupune prezența unei rețele de abonați care își trimit documente electronice semnate între ei. Pentru fiecare abonat se generează o pereche de chei: private și publice.
Cheia privată este ținută secretă de către abonat și este folosită de acesta pentru a forma EDS. Cheia publică este cunoscută de toți ceilalți utilizatori și este destinată Verificări EDS destinatarul documentului electronic semnat.
O semnătură digitală electronică este utilizată pentru a confirma autenticitatea documentelor transmise prin canale de telecomunicații. Din punct de vedere funcțional, este similar cu o semnătură obișnuită și are principalele sale avantaje:
atestă că textul semnat provine de la semnatar;
nu oferă persoanei însăși posibilitatea de a refuza obligațiile asociate textului semnat;
garantează integritatea textului semnat.
O semnătură digitală electronică este o cantitate relativ mică de informații digitale suplimentare transmise împreună cu textul semnat.
EDS se bazează pe realizările criptografiei moderne. Cu ajutorul EDS, se stabilește o relație neechivocă între conținutul mesajului, semnătura în sine și perechea de chei. Modificarea a cel puțin unuia dintre aceste elemente duce la încălcarea acestei conexiuni, iar păstrarea acesteia este o confirmare a autenticității semnăturii digitale și, în consecință, a mesajului în sine. EDS este implementat folosind algoritmi de criptare asimetrică și funcții hash.
Utilizarea EDS include două proceduri:
– formarea unei semnături digitale;
– verificarea semnăturii digitale.
Există două opțiuni pentru generarea (crearea) unui EDS:
– generarea unei chei private în CA;
– generarea unei chei private din partea utilizatorului.
Adesea, utilizatorul generează independent o cheie privată (la locul său de muncă), după care generează o cerere către CA pentru producerea unui certificat de cheie de semnătură (SKP) și înregistrarea acestui SKP în registrul CA. În același timp, certificatul cheii de semnătură a utilizatorului este semnat electronic de cheia CA, iar când deschideți fila corespunzătoare din certificat, puteți vedea ce cheie a semnat acest UPC. Astfel, persoana împuternicită a CA (este un angajat care a primit educația corespunzătoare în domeniu securitatea informatiei) certifică certificatul utilizatorului cu propriul certificat, se mai numește și rădăcină. Autoritatea de certificare confirmă prin semnătură toate semnăturile pe care le creează.
Dacă la CA este generată cheia privată, atunci angajatul autorizat merge la CA, unde este obligatoriu să prezinte un act de identitate (de obicei un pașaport) și să transfere pachetul complet de documente cerut de reglementările sale către administratorul CA. După aceea, administratorul generează cheile private și publice ale clientului într-o cameră special echipată. În continuare, administratorul emite o singură cheie, care trebuie emisă pe un mediu securizat, și înregistrează certificatul, adică. îl înscrie în registrul de operare a UPC-urilor UPC.
Potrivit art. 5 din Legea federală „Cu privire la semnătura digitală electronică” nr. 1-FZ din 10 ianuarie 2002:
1. Crearea cheilor de semnătură digitală electronică se realizează:
- pentru utilizare într-un sistem de informare public - de către utilizator sau, la cererea acestuia, de către un centru de certificare;
- pentru utilizare într-un sistem informatic corporativ - în modul prescris în acest sistem.
2. Atunci când se creează chei EDS pentru a fi utilizate într-un sistem de informare public, ar trebui utilizate numai instrumente EDS certificate. Despăgubirile pentru pierderile și daunele suferite în legătură cu crearea cheilor EDS de către instrumente EDS necertificate pot fi atribuite creatorilor și distribuitorilor acestor chei.
3. În sistemele de informații corporative ale autorităților statului federal, autorităților de stat ale entităților constitutive ale Federației Ruse și guvernelor locale, utilizarea instrumentelor EDS necertificate și a cheilor EDS create de acestea nu este permisă.
4. Certificarea instrumentelor EDS se realizează în conformitate cu legislația Federației Ruse privind certificarea produselor și serviciilor.”
Luați în considerare caracteristicile stocării EDS
Media protejată este echipată cu un sistem de securitate - cod pin, protecție împotriva hackingului, protecție împotriva copierii neautorizate din interior, de exemplu, în timpul semnării. Dar adesea se folosesc medii neprotejate, de pe care cheile sunt copiate cu ușurință, este posibil să utilizați și un EDS de pe un computer dacă este instalat pe acesta. Din punct de vedere al securității, acest lucru este fundamental greșit, există riscul ca terți să pună mâna pe EDS. În plus, proprietarul EDS își poate copia semnătura de pe un mediu securizat.
După cum a arătat practica, liderii de afaceri preferă să primească un EDS în nume propriu, dar, de regulă, ei nu lucrează singuri pe platformele de tranzacționare și copiază semnătura pentru angajații lor. Vă rugăm să rețineți că dacă copiați semnătura pentru mai mulți subalterni, în cazul unui proces, documentele semnate cu aceste EDS vor avea forță juridică deplină. În consecință, dacă cineva a semnat orice document al EDS al șefului, șeful este pe deplin responsabil pentru acțiunile care sunt efectuate cu ajutorul acestei semnături. De exemplu, dacă o secretară sau o femeie de curățenie a semnat fără să știe sau cu răutate orice acord sau contract, atunci acesta are forță juridică deplină.
În acest caz, în primul rând, nu este clar cine și unde semnează documentele și, în al doilea rând, devine posibil ca terți să acționeze în numele organizației fără știrea conducerii. Este mai corect să se elibereze o procură obișnuită pe hârtie unei persoane autorizate pentru a primi un alt EDS, după primirea căruia lucrează pe planul de tranzacționare în nume propriu. Dacă se face o greșeală, este imediat clar cine a făcut-o. Procura indică toate puterile conferite angajatului: de exemplu, acesta poate efectua toate acțiunile pentru a depune o cerere și a participa la licitație, dar nu are dreptul de a semna un contract guvernamental. Astfel, angajatul poate efectua toate acțiunile pentru a participa la plasarea unei comenzi, dar dreptul de a semna contractul rămâne numai șefului întreprinderii.
În caz de muncă neatentă cu împuterniciri, este posibil să se acorde angajatului puteri prea extinse. De exemplu, drepturile directorului general. În acest caz, angajatul primește autoritatea de a întreprinde orice acțiune în numele organizației, inclusiv semnarea oricăror documente și gestionarea contului curent. EDS cu astfel de drepturi ar trebui stocat numai într-un loc cu acces limitat (de exemplu, într-un seif).
Este posibil ca angajatul să nu aibă autoritatea de a efectua anumite acțiuni legale. Adică, dacă o persoană care semnează documente electronice sau contracte nu are dreptul de a semna anumite documente, contractul este nul din punct de vedere juridic și poate fi reziliat.
Test
1. Care dintre hardware se referă la EDS
Alena, înțeleg cu siguranță că articolul este oarecum „informațional general” în natură, dar totuși merită să evidențiem mai pe larg lista cu „avantajele și dezavantajele” fiecărei soluții. Nu infirm deloc concluzia finală conform căreia smartcard-urile sunt mai fiabile, dar potenţial creează mult mai multe dificultăţi decât banalul „implică costuri suplimentare”.
Prin taste de pe computerul local
Nu este adevarat. Furnizorul de criptografie RSA implicit din magazinele Windows folosește folderul C:\Users\ pentru a stoca cheile private
Acestea. le plasează în partea de roaming a profilului, ceea ce înseamnă că dacă utilizatorul lucrează pe diferite mașini din interior rețeaua corporativă, îi va fi suficient să-și configureze un profil de roaming și nu este nevoie să instaleze certificate pe fiecare mașină.
Prin utilizarea jetoanelor
Aici trebuie să înțelegeți că diferiți producători implementează această funcționalitate în moduri diferite. Pentru unii, tastatura cu codul PIN este situată direct pe dispozitivul propriu-zis, pentru alții, pe computer este folosit software specializat.
În primul caz, dispozitivul se dovedește a fi mai greoi, dar mai protejat de interceptarea codului PIN, care poate fi citit prin instalarea unui keylogger software sau hardware pe mașina utilizatorului, dacă se folosește software de introducere.
În special, Rutoken folosește software pentru introducerea codurilor PIN, ceea ce înseamnă că este potențial vulnerabil.
Așa este, nu trebuie să instalați certificate, dar trebuie să instalați drivere de dispozitiv, furnizori criptografici și alte module.
Și acesta este un software suplimentar de nivel scăzut, cu propriile caracteristici și probleme specifice.
Da, acest lucru este adevărat, dar numai cu condiția să utilizați funcțiile criptografice ale dispozitivului însuși (adică toată criptarea și semnarea se fac chiar de token-ul).
Aceasta este cea mai sigură opțiune, dar are o serie de limitări:
- algoritmi eliberați. De exemplu, același Rutoken (judecând după documentația lor) acceptă doar GOST 28147-89 în hardware. Toți ceilalți algoritmi, aparent, sunt deja implementați în software, de exemplu. cu extragerea cheii private din depozit.
- viteza interfeței. Cardurile inteligente simple implementează, de regulă, nu cele mai rapide interfețe hardware (cel mai probabil pentru a simplifica și reduce costul dispozitivului), de exemplu, USB 1.1. Și din moment ce trebuie să transferați întregul fișier pe dispozitiv pentru semnare / criptare, acest lucru poate provoca „frâne” neașteptate.
Cu toate acestea (din nou, judecând după documentația Rutoken), jetoanele pot acționa, de asemenea, pur și simplu ca stocare criptată. De exemplu, așa funcționează împreună cu CryptoPro CSP. Ei bine, atunci concluzia este evidentă - deoarece un software poate accesa cheile, atunci altul o poate face.
Întrebări suplimentare
La lista de mai sus, trebuie să mai adăugăm câteva întrebări care ar trebui să fie luate în considerare atunci când decidem dacă trecem la jetoane:
- Cum se actualizează certificatele? De exemplu, nici pe site-ul Rutoken (în secțiunile generale și pe forum), nici în documentație nu am găsit vreo mențiune despre suportul Rutoken pentru Serviciul de distribuție a cheilor Active Directory. Dacă acesta este cazul (și Rutoken în sine nu oferă alte mecanisme pentru actualizarea în masă a cheilor), atunci toate cheile trebuie actualizate prin intermediul administratorilor, ceea ce creează propriile probleme (deoarece operațiunea nu este banală).
- ce software a folosit în întreprindere și care necesită funcții cripto:
- poate funcționa printr-un furnizor de cripto (unele software utilizează propria implementare a algoritmilor cripto și necesită doar acces la chei)
- pot folosi furnizori criptografici alții decât cei standard
- ce software suplimentar (pe lângă driverele de token) va trebui să fie instalat pe stațiile de lucru și servere. De exemplu, autoritatea de certificare standard Microsoft nu acceptă generarea de chei pentru algoritmii GOST (și este posibil ca tokenul să nu funcționeze cu alții).
Până în prezent, EDS și analogii săi sunt introduși din ce în ce mai mult în viață și utilizați în procesele de afaceri, în ciuda imperfecțiunii legislației. EDS este convenabil și eficient în munca operațională, dar stocarea pe termen lung a documentelor semnate semnatura electronica, este o problemă serioasă care nu a fost complet rezolvată nicăieri în lume. Deoarece tehnologia este încă foarte tânără, există puține cercetări în domeniul asigurării securității documentelor electronice cu EDS.
Autoritățile statului rus, care reglementează activitatea operațională cu documente electronice, nu se gândesc la ce se va întâmpla cu ele în viitor. La stabilirea perioadelor de păstrare, caracteristicile acestora nu sunt luate în considerare, iar existența lor este adesea ignorată complet. Repartizarea stabilită prin Legea „On arhivareîn Federația Rusă” a termenilor de stocare departamentală a documentelor electronice va duce inevitabil la pierderea unei părți semnificative a informațiilor, deoarece este necesară o organizare diferită a stocării. Este necesar să aveți grijă de stocarea pe termen lung a documentelor electronice în momentul creării lor.
Sunt cateva probleme importante pe care organizațiile vor trebui să rezolve în timpul stocării pe termen lung a documentelor cu EDS:
- Cum se asigură verificarea EDS pentru o perioadă lungă de timp și este necesar? Cum se dovedește autenticitatea, integritatea etc. documente electronice relevante?
Răspunsul la întrebarea despre necesitatea stocării documentelor cu EDS este dat de actuala legislatură si reglementari care prevad conservarea pe termen mediu (5-10 ani) a documentelor electronice cu posibilitatea verificarii EDS-ului. Pentru majoritatea întrebărilor rămase, nu există încă răspunsuri, dar există deja cerințe care trebuie îndeplinite.
- Ce să faci cu documentele de stocare permanentă semnate electronic? Spre deosebire de documentele pe hârtie, care pot rămâne pe rafturile de arhivă timp de secole, documentele electronice nu pot fi păstrate neschimbate mai mult de 7-10 ani. După această perioadă, fie suportul de informare își pierde fiabilitatea, fie echipamentul, software-ul sau formatul în care este înregistrat documentul devine învechit. De aceea este pur și simplu de neconceput să vorbim despre 75 de ani de stocare în organizarea documentelor electronice - nu va fi nimic de acceptat pentru stocare. Puține organizații au forța de muncă, experiența și resursele pentru a organiza această activitate.
- EDS nu este invulnerabil și, în timp, poate fi compromis și/sau falsificat. Falsificarea semnăturilor digitale „vechi” poate avea consecințe nu mai puțin catastrofale decât falsificarea celor existente. Deja acum, legislația permite semnarea digitală a documentelor de importanță financiară și juridică semnificativă. Trebuie să ne gândim cum să ne protejăm de apariția în 10-20 de ani a unei mase de documente electronice falsificate, presupuse aparținând începutului secolului al XXI-lea și certificate de EDS „corect”. Dacă nu vă ocupați de măsurile organizatorice și de protecție adecvate astăzi, atunci probleme majore sunt posibile mai târziu.
Cerințe organizației
managementul afacerilor și al documentelor
Pentru ca interesele organizației să fie protejate în mod corespunzător, este necesar să ne gândim în prealabil în ce măsură și cum ar trebui să se reflecte informațiile despre semnătura digitală în documentul în sine și în metadatele acestuia.
În 2000, Arhivele Naționale din Statele Unite au inclus în Document Management Guidelines for Agencies Using Electronic Signatures cerințele pe care toate documentele semnate electronic, atunci când sunt afișate într-o formă care poate fi citită de om (pe hârtie sau pe un ecran de monitor), trebuie să le conțină. :
- numele expeditorului sau al persoanei care a semnat acest document,
- data si ora semnarii,
- intențiile clar declarate ale semnatarului, i.e. tastați text:
- "Sunt de acord"
- „Expeditorul își asumă responsabilitatea tranzacției”,
- „expeditorul este autorizat să semneze pentru altcineva”, etc.
Aceste cerințe vizează asigurarea confortului de a lucra cu documente pentru o perioadă lungă de timp, inclusiv atunci când nu va mai fi posibilă verificarea EDS.
Multe dintre organizațiile noastre, atunci când descifrează EDS, includ și în versiune tipărită informații despre document despre persoana care l-a semnat și data semnării. A treia cerință, de regulă, nu ni se aplică, ceea ce este păcat - o „rezoluție electronică”, din care intențiile semnatarului sunt clare, face documentul mai „irevocabil”.
Cerințele pentru fluxul de documente și pentru activitățile serviciului DOW au ca scop asigurarea conservării tuturor documente necesare. Pentru a face acest lucru, serviciul DOW al organizației trebuie să:
- include în sistemul de management al documentelor al organizației toate documentele care apar în procesul de utilizare a semnăturii digitale și a infrastructurii cheii publice, precum și salvarea metadatelor suficiente pentru căutarea și lucrul cu acestea;
- păstrați acest set de documente pentru aceeași perioadă de timp ca și documentul însuși cu un EDS.
- integritatea documentelor nu este asigurată, acestea putând fi modificate de către utilizator;
- documentele sunt disponibile numai utilizatorilor individuali și, prin urmare, nu devin o resursă corporativă;
- apar dificultăți la stabilirea perioadelor de păstrare a unor astfel de documente, la examinarea valorii și alocarea lor pentru distrugere.
Cel mai bine este să organizați stocarea întregului set de documente legate de utilizarea EDS în sistemele electronice de gestionare a documentelor, deoarece astfel de sisteme permit:
- asigura stocarea securizata, controlul si inregistrarea accesului la acestea;
- atribuirea și urmărirea perioadelor de păstrare;
- Efectuați distrugere confidențială controlată la expirarea perioadelor de păstrare.
Experții americani notează că tehnologiile asociate cu utilizarea EDS sunt încă foarte tinere și nu au trecut prin „focul și apa” litigiilor. Prin urmare, este recomandat să vă gândiți cum să „puneți paie” și să vă aprovizionați cu un set suficient de documente în cazul în care trebuie să mergeți în instanță:
- un mesaj că EDS a fost verificat cu succes,
- data si ora verificarea documentelor,
- ID operațiune,
- link către intern reguli, reglementarea lucrării (inclusiv data și versiunea documentului),
- alte informații pe care organizația le consideră necesare să le înregistreze.
Documentatie de utilizare
semnături digitale
In organizatie
Orice modificare a sistemului de management al documentelor al organizației, de regulă, presupune o modificare a compoziției documentației. Introducerea noilor tehnologii nu face excepție: organizațiile au un întreg set de documente noi, inexistente anterior, care trebuie, de asemenea, înregistrate și păstrate în strictă conformitate cu legea, astfel încât în orice situații disputabile organizația să își poată dovedi cazul. .
În timpul transferului de informații pot fi create și stocate următoarele documente:
- În organizații-expeditori și destinatari:
- documentul efectiv trimis,
- certificatul cheii expeditorului,
- întrebări/răspunsuri verificarea certificatului,
- reglementări interne care reglementează utilizarea certificatelor cheie,
- acorduri sau acorduri între participanții la schimbul de informații privind utilizarea EDS;
- notificări de revocare sau compromitere a certificatelor de cheie publică,
- primirea acceptării documentului sau refuzul de a acceptarea documentului,
- documente care fixează configurația celor utilizate software,
- documente de testare și verificare a software-ului.
- În centrele de certificare:
- documentele de reglementare interne ale centrului de certificare care definesc regulile de lucru cu certificatele cheie (inclusiv procedura de organizare a eliberării certificatelor și procedura de stocare a certificatelor revocate);
- registrele certificatelor cheie,
- liste de certificate revocate și expirate,
- documentația de certificare reciprocă a centrelor de certificare,
- protocoale și jurnalele de audit ale sistemului informațional al centrului de certificare.
Dacă EDS este utilizat într-un sistem de informații corporative și proprietarul centrului de certificare este una dintre organizațiile care participă la schimbul de informații, atunci această organizație trebuie să documenteze activitățile centrului său de certificare.
Listele de documente enumerate reflectă cea mai simplă utilizare a unei infrastructuri cu cheie publică. Dacă sunt utilizate opțiuni mai complexe, atunci, în consecință, numărul documentelor crește.
Documentarea corectă a lucrului cu EDS este o sarcină importantă, dar este și mai important să organizăm stocarea fiabilă a tuturor documentelor, în strictă conformitate cu cerințele legii. Există și mai multe probleme aici și este foarte, foarte greu să le rezolvi.
Organizarea stocarii documentelor cu EDS
Este, ca să spunem ușor, ilogic să vorbim despre utilizarea EDS în mod izolat de problemele de gestionare a documentelor și de arhivare a documentelor, dar din anumite motive este obișnuit să se facă acest lucru. Nici oamenii de stat, nici specialiştii în tehnologia informaţiei, de regulă, nu se gândesc la faptul că documentele sunt necesare nu numai pentru activităţile operaţionale de afaceri şi management. Ele, printre altele, stabilesc diferitele drepturi și obligații ale statului, persoanelor și organizațiilor, evenimentele care au avut loc, deciziile luateși consecințele acțiunilor întreprinse. Astfel de documente sunt supuse stocării permanente sau pe termen lung și tocmai aici este utilă semnătura digitală munca operațională unealta se transformă într-o așchie.
Cu cât o organizație folosește mai multe documente electronice în activitatea sa, cu atât se confruntă mai devreme cu probleme în domeniul managementului documentelor și al stocării arhivelor.
O organizație trebuie să țină cont de cerințele care există în legislație și reguli care guvernează activitatea cu EDS, privind organizarea depozitării unui număr de documente.
Fragment de document
Legea federală „Cu privire la semnătura digitală electronică” din 10 ianuarie 2002 nr. 1-FZ Articolul 7 1. Perioada de păstrare a certificatului cheie de semnătură sub formă de document electronic în centrul de certificare este determinată de acordul dintre centrul de certificare și proprietarul certificatului cheie de semnătură. Aceasta oferă acces participanților la sistemul de informații la centrul de certificare pentru a obține un certificat de cheie de semnătură. 2. Perioada de stocare a certificatului cheie de semnătură sub forma unui document electronic în centrul de certificare după anularea certificatului cheie de semnătură nu trebuie să fie mai mică decât perioada de prescripție stabilită de legea federală pentru relațiile specificate în cheia de semnătură. certificat. După expirarea perioadei de stocare specificate, certificatul cheie de semnătură este exclus din registrul certificatelor cheie de semnătură și transferat în modul de stocare arhivă. Perioada de depozitare a arhivelor nu este mai mică de cinci ani. Procedura de eliberare a copiilor certificatelor cheie de semnătură în această perioadă este stabilită în conformitate cu legislația Federației Ruse. 3. Certificatul cheii semnăturii sub forma unui document pe hârtie este stocat în modul prevăzut de legislația Federației Ruse privind arhivele și arhivarea. |
Conform regulilor muncii de birou, perioada de stocare este stabilită în funcție de semnificația documentului și a informațiilor pe care le conține, și nu depinde de tipul de suport și de prezența unui EDS. Depozitarea documentelor semnate cu EDS trebuie organizată astfel încât să garanteze posibilitatea verificării autenticității semnăturii, iar centrul de certificare va trebui să asigure aceeași perioadă de păstrare a documentelor, echipamentelor și software-ului său - și in stare de functionare!
Dacă organizația transmite orice raportare în formă electronică , atunci este necesar să se determine procedura de conservare a acestuia în organizație pentru a asigura integritatea, autenticitatea și autenticitatea documentelor electronice.
Fragment de document
Procedura de depunere a declarației fiscale în formă electronică prin canale de telecomunicații 2. 3. La depunerea unei declarații fiscale în formă electronică, contribuabilul trebuie să respecte următoarea procedură de gestionare a documentelor electronice:
|
Întrebarea modului în care statul își va îndeplini obligațiile nu a fost încă rezolvată. care decurge din articolul 15, clauza 2 din Legea cu privire la EDS, potrivit căruia, la lichidarea centrelor de certificare nestatale, se transferă documentația acestora, precum și obligația de verificare a semnăturilor „vechi” (a se vedea articolul 4, clauza 1). la „puterea executivă a organismului federal autorizat”. Acum problemele centrelor de certificare sunt gestionate de Agenția Federală pentru Tehnologii Informaționale (FAIT) din subordinea Ministerului Informațiilor și Comunicațiilor.
În Regulamentul „Cu privire la Agenția Federală pentru Tehnologii Informaționale”, aprobat prin Decretul Guvernului Federației Ruse din 30 iunie 2004 nr. 319, în secțiunea privind competențele acestui organ executiv, este scris că trebuie să organizeze :
- confirmarea autenticității semnăturilor electronice digitale ale persoanelor autorizate ale centrelor de certificare în certificatele de chei de semnătură emise de acestea;
- menținerea unui registru de stat unificat al certificatelor de chei de semnătură ale centrelor de certificare și a unui registru de certificate de chei de semnătură ale persoanelor autorizate ale organismelor guvernamentale federale și, de asemenea, oferă acces la acestea pentru cetățeni, organizații, organisme guvernamentale și guverne locale.
Dar cine va fi responsabil pentru restul documentației, cine o va stoca și, cel mai important, va confirma autenticitatea EDS - este încă neclar!
Pe Internet, puteți găsi adesea povești optimiste despre cât de bine și de convenabil este să stocați documente semnate cu un EDS. Fără probleme, doar comoditate și plăcere pură:
Tot mai multe întreprinderi rusești implementează sisteme electronice de gestionare a documentelor, estimând deja avantajele acestei tehnologii pentru lucrul cu documente din propria experiență. Schimbul electronic de date se realizează prin sisteme informatice, retele de calculatoare, Internet, E-mail si multe alte mijloace.
Și o semnătură electronică este un atribut al unui document electronic conceput pentru a proteja informațiile împotriva falsificării.
Utilizarea unei semnături electronice vă permite să:
- participa la tranzacționare electronică, licitații și licitații;
- construirea relațiilor cu populația, organizațiile și structurile guvernamentale pe baze moderne, mai eficient, la cel mai mic cost;
- extindeți geografia afacerii dvs. efectuând de la distanță diverse operațiuni, inclusiv economice, cu parteneri din orice regiune a Rusiei;
- reducerea semnificativă a timpului alocat procesării tranzacției și schimbului de documentație;
- construirea unui sistem corporativ de schimb de documente electronice (fiind unul dintre elementele acestuia).
Cu utilizarea unei semnături electronice, lucrul conform schemei „dezvoltarea unui proiect în formă electronică - crearea unei copii pe hârtie pentru semnătură - trimiterea unei copii pe hârtie cu o semnătură - luarea în considerare a unei copii pe hârtie” este un lucru din trecut . Acum totul se poate face electronic!
Varietăți de semnătură electronică
Sunt stabilite și reglementate următoarele tipuri: o semnătură electronică simplă și o semnătură electronică îmbunătățită. În același timp, o semnătură electronică îmbunătățită poate fi calificată și necalificată.
Masa
Care este diferența dintre cele 3 tipuri de semnătură electronică
Restrângeți afișarea
Este foarte greu de falsificat orice semnătură electronică. Și cu o semnătură calificată îmbunătățită (cea mai sigură dintre cele trei), cu nivelul actual de putere de calcul și resursele de timp necesare, acest lucru este pur și simplu imposibil de realizat.
Semnăturile simple și necalificate pe un document electronic înlocuiesc un document pe hârtie semnat cu o semnătură de mână, în cazurile prevăzute de lege sau de acordul părților. O semnătură calificată îmbunătățită poate fi considerată un analog al unui document cu sigiliu (de ex. „potrivit” pentru orice ocazie).
Un document electronic cu semnătură calificată înlocuiește un document pe hârtie în toate cazurile, cu excepția cazului în care legea prevede ca documentul să fie exclusiv pe hârtie. De exemplu, cu ajutorul unor astfel de semnături, cetățenii pot aplica la agențiile guvernamentale pentru a obține stat și servicii municipale, iar autoritățile publice pot trimite mesaje cetățenilor și pot interacționa între ele prin intermediul sistemelor informaționale.
Semnăm cu cheia privată, cu cheia deschisă verificăm semnătura electronică
Pentru a putea semna documente cu semnătură electronică, trebuie să aveți:
- tasta ES(așa-zisul închis cheie) - este folosit pentru a crea o semnătură electronică pentru document;
- Certificatul cheii de verificare ES (deschis cheia ES) - cu ajutorul acesteia se verifică autenticitatea semnăturii electronice, adică. se confirmă deținerea semnăturii electronice de către o anumită persoană.
Organizațiile care îndeplinesc funcțiile de creare și eliberare a certificatelor de chei de verificare ES, precum și o serie de alte funcții, sunt numite centre de certificare.
În procesul de creare a unui certificat de cheie de verificare ES, o cheie ES și o cheie de verificare ES sunt generate pentru fiecare utilizator. Ambele chei sunt stocate în fișiere. Pentru ca nimeni, cu excepția proprietarului semnăturii, să poată folosi cheia ES, aceasta este de obicei scrisă pe purtător de chei securizat(de regulă, împreună cu cheia de verificare a semnăturii electronice). Este dotat, ca un card bancar Cod PIN. Și la fel ca în cazul tranzacțiilor cu cardul, înainte de a utiliza cheia pentru a crea o semnătură electronică, trebuie să introduceți valoarea corectă a codului PIN (vezi Figura).
Sunt fabricate medii de cheie protejate de diverși producătoriși de obicei arată ca un card flash. Furnizarea de către utilizator a confidențialității cheii sale ES garantează că atacatorii nu vor putea semna documentul în numele proprietarului certificatului.
Pentru a asigura confidențialitatea cheii ES, trebuie să urmați recomandările privind stocarea și utilizarea cheii ES, cuprinse în documentația, eliberată de obicei utilizatorilor în centrul de certificare - și veți fi protejat de acțiunile ilegale efectuate cu ajutorul electronicului. cheie de semnătură în numele dvs. Cel mai bine este dacă cheia dvs. privată este disponibilă exclusiv pentru dvs. Această idee este foarte importantă de transmis fiecărui proprietar al cheii. Acest lucru se realizează cel mai bine prin emiterea de materiale de orientare pe acest cont și familiarizarea angajaților cu acestea sub semnătură.
Imagine
Programul solicită o parolă (cod PIN) pentru a semna documentul cu semnătură electronică folosind cheia ES conținută pe „unitatea flash” conectată la computer
Restrângeți afișarea
Exemplul 1
Fragment din Ghidul pentru asigurarea securității utilizării unei semnături electronice calificate a Electronic Moscow OJSC
Restrângeți afișarea
La crearea unei semnături electronice, mijloacele de semnătură electronică trebuie:
- arată persoanei care semnează documentul electronic conținutul informațiilor pe care le semnează;
- crearea unei semnături electronice numai după ce persoana care semnează documentul electronic confirmă operațiunea de creare a unei semnături electronice;
- arată clar că semnătura electronică a fost creată.
La verificarea unei semnături electronice, mijloacele de semnătură electronică trebuie:
- arată conținutul unui document electronic semnat cu semnătură electronică;
- afișează informații despre efectuarea modificărilor unui document electronic semnat cu o semnătură electronică;
- indicați persoana care folosește a cărei cheie de semnătură electronică sunt semnate documentele electronice.
Certificatul cheii de verificare ES conține toate informațiile necesare pentru verificarea semnăturii electronice. Datele certificatului sunt deschise și publice. De obicei, certificatele sunt stocate în depozitul sistemului de operare din centrul de certificare care le-a produs pe termen nelimitat (la fel cum un notar public stochează toate informațiile necesare despre persoana care a efectuat actul notarial pentru el). În conformitate cu prevederile Legii nr. 63-FZ Centrul de verificare care a produs certificatul cheii de verificare a semnăturii electronice, este obligat sa furnizeze in mod gratuit oricarei persoane la cererea acesteia informatii cuprinse în registrul certificatelor, incl. informații despre anularea certificatului cheii de verificare a semnăturii electronice.
Restrângeți afișarea
Oleg Komarsky, Specialist IT
Centrul de certificare care a emis semnătura electronică stochează certificatul cheii de verificare a acestui SE pe termen nelimitat, mai precis, pe toată durata existenței acestuia. Cât timp autoritatea de certificare funcționează, nu există probleme, dar de atunci centrul este organizare comercială, poate înceta să mai existe. Astfel, în cazul încetării activității CA, există posibilitatea pierderii informațiilor despre certificate, atunci documentele electronice semnate cu semnături electronice emise de CA închisă își pot pierde semnificația juridică.
În acest sens, este planificată crearea unui fel de depozit de certificate de stat (atât valabile, cât și revocate). Va fi ceva ca un centru notarial de stat, unde vor fi stocate datele de pe toate certificatele. Dar deocamdată, astfel de informații sunt stocate în CA pe termen nelimitat.
Ce ar trebui să ia în considerare angajatorii atunci când își echipează angajații cu semnături electronice?
În certificatul cheii ES neapărat există informații despre numele complet proprietarul său, exista si posibilitatea inclusiv informații suplimentare precum Numele companieiși denumirea funcției. În plus, certificatul poate conține identificatori de obiecte (OID), definind relațiile în implementarea cărora un document electronic semnat de un SE va avea semnificație juridică. De exemplu, un OID poate afirma că un angajat are dreptul de a posta informații pe platforma de tranzacționare, dar nu poate semna contracte. Acestea. cu ajutorul OID se poate delimita nivelul de responsabilitate si autoritate.
Există subtilități în transferul de autoritate la concediere sau transferul angajaților într-o altă funcție. Ar trebui luate în considerare.
Exemplul 2
Restrângeți afișarea
Când directorul comercial Ivanov, care a semnat documente cu semnătură electronică, este demis, trebuie comandat un nou transportator de chei pentru ca o nouă persoană care l-a înlocuit pe Ivanov în acest scaun să lucreze cu ES. Până la urmă, Petrov nu poate semna documente cu semnătura lui Ivanov (deși electronic).
De obicei, la concediere, se organizează reemiterea cheilor ES; de regulă, pentru aceasta, angajații înșiși vizitează un centru de certificare. Organizația care plătește pentru eliberarea cheilor este și proprietara cheii, așa că are dreptul de a suspenda valabilitatea certificatului. În acest fel, riscurile sunt minimizate: este exclusă o situație în care un angajat concediat ar putea semna documente în numele unui fost angajator.
Restrângeți afișarea
Natalia Khramtsovskaya, Ph.D., expert principal în managementul documentelor al companiei EOS, expert ISO, membru GMD și ARMA International
Activitatea de afaceri eficientă a unei organizații depinde de mulți factori. Unul dintre elementele cheie ale întregului sistem de management este principiul interschimbabilității angajaților. Ar trebui să vă gândiți dinainte cine va înlocui angajații care nu își îndeplinesc temporar atributii oficiale din cauza bolii, calatoriei de afaceri, vacantei etc. Daca organizatia dumneavoastra se ocupa de semnarea documentelor cu semnatura electronica, acest aspect trebuie luat in considerare separat. Oricine neglijează această problemă organizațională riscă să se confrunte cu probleme serioase.
Indicativ în acest sens este cazul nr. A56-51106/2011, care a fost examinat de Curtea de Arbitraj din Sankt Petersburg și Regiunea Leningradîn ianuarie 2012.
Cum a apărut problema:
- În iulie 2011, Asociația de Vânzări Tvernefteprodukt SRL a depus o singură cerere de participare la o licitație deschisă în formă electronică pentru furnizarea de benzină folosind carduri de combustibil pentru filiala Volga Superioară a Instituției Științifice Bugetare de Stat Federal „Institutul de Cercetare de Stat pentru Pescuitul Lac și Fluvial " (FGNU "GosNIORKh"). Comisia de licitație a clientului a decis să încheie un contract de stat cu singurul participant la licitație.
- Proiectul contractului de stat a fost transmis de client operatorului platforma electronica 12 iulie 2011 și l-a transferat către LLC. În termenul stabilit de lege, SRL nu a transmis operatorului site-ului electronic proiectul de contract semnat prin semnătura electronică a persoanei îndreptățite să acționeze în numele participantului la plasarea comenzii, întrucât acest funcționar era în concediu medical.
- În iulie 2011, Departamentul din Sankt Petersburg al Serviciului Federal Antimonopol (UFAS) a luat în considerare informațiile furnizate de client despre sustragerea SRL de la încheierea unui contract și s-a luat decizia de a o include în registrul furnizorilor fără scrupule.
Nefiind de acord cu decizia OFAS, SRL a mers în instanță. Toate cele trei instanțele au găsit-o pe SRL vinovată de evaziunea contractului. Și în ultimă instanță, în octombrie 2012, a reieșit că SRL-ul a aplicat clientului pe 10 august 2011 și a numit nu boala angajatului său, ci neglijența acestuia, drept motiv pentru nesemnarea contractului.
Un alt caz interesant a apărut când un contract de stat a fost semnat printr-o semnătură electronică a unei persoane neautorizate. Acest caz a fost examinat de Curtea de Arbitraj a Regiunii Kaluga în septembrie 2011 (cazul nr. A23-2637/2011).
Circumstanțele au fost:
- În martie 2011, SEL TEHSTROY SRL a fost declarată câștigătoarea unei licitații deschise. În acest moment, SRL a avut o schimbare în directorul general: fostul director general V. a devenit adjunctul noului director general P. Dar noul director general nu avusese încă timp să emită un EDS. Prin urmare, pe 14 martie 2011, am decis să „ne simplificăm viața” și să semnăm un contract guvernamental cu Asistență EDS a demisionat din postul său V. Cu toate acestea principala greseala a fost că V. a semnat documentul ca CEO SEL TECHSTROY LLC.
- Informații despre demiterea directorului general V. și numirea lui P. în funcția de director general, precum și împuternicirea de a acționa în numele participantului la ordin, eliberată lui V. deja în calitate de director general adjunct, au fost publicate pe site-ul platformei electronice de tranzacționare abia pe 24 martie 2011, t .e. dupa semnarea si transmiterea contractului catre client.
- Această neglijare a fost sesizată de client, crezând că contractul este semnat de o persoană neautorizată, iar în aprilie 2011 a apelat la OFAS. Ca urmare, OFAS a inclus SRL in registrul furnizorilor fara scrupule pe o perioada de 2 ani din cauza sustragerii de la incheierea unui contract de stat.
Examinând această cauză în prima instanță, instanța a reținut că noul director general al societății, P., în explicațiile sale către OFAS, a confirmat, în primul rând, disponibilitatea de a semna contractul de stat, iar în al doilea rând, a recunoscut greșeala, fără a contesta autoritatea lui V., indicată în procură. În plus, faptul că împuternicirea a fost postată pe site-ul oficial al platformei electronice, deși cu întârziere, a fost considerat de instanță drept acțiuni active ale companiei pentru eliminarea greșelii comise. Drept urmare, Curtea de Arbitraj a dispus OFAS să excludă SRL din registrul furnizorilor fără scrupule. În decembrie 2011, Curtea a XX-a de Arbitraj a menținut poziția instanței de fond.
Dar Federal curtea de Arbitraj Districtul Central în martie 2012 a judecat contrariul. În opinia sa, la 14 martie 2011, V. a folosit EDS cu încălcarea prevederilor art. patru lege federala„La semnătura digitală electronică” și condițiile specificate în certificatul cheie de semnătură (la urma urmei, un document electronic cu un EDS care nu respectă condițiile incluse în certificat nu are semnificație juridică). Drept urmare, instanța a concluzionat că contractul de stat a fost semnat de o persoană neautorizată și a recunoscut drept legitimă decizia OFAS de a recunoaște SRL ca furnizor fără scrupule.
Cazuri similare sunt adesea judecate de instanțele de judecată. Apoi directorul, care are un certificat de cheie ES și are dreptul de a semna documente în numele companiei, renunță, iar noul director nu are timp să își facă un ES și să semneze un contract la timp. Ei încearcă să semneze documente cu semnătura unui angajat care a plecat deja (sau s-a transferat într-o altă poziție din aceeași organizație). Apoi, există probleme cu neglijența angajaților sau boala acestora (ca în primul dintre cazurile descrise), și din nou nu au timp să delege autoritatea unei alte persoane și să-i emită un ES. Și rezultatul este același - organizația se înscrie pe lista furnizorilor fără scrupule și își pierde dreptul de a încheia contracte finanțate de la buget.
Primirea de către un angajat al unei organizații a unei chei ES, asigurând siguranța acesteia și acțiunile cu aceasta sunt de obicei reglementate de un ordin pentru o organizație cu aprobarea materialelor de instruire. Aceștia definesc procedura de utilizare a cheilor ES pentru semnarea documentelor, obținerea, înlocuirea, revocarea certificatului cheii de verificare ES, precum și acțiunile efectuate atunci când cheia ES este compromisă. Acestea din urmă sunt similare cu acțiunile efectuate atunci când un card bancar este pierdut.
Cum să alegi o autoritate de certificare?
Legea nr. 63-FZ prevede împărțirea centrelor de certificare în cele care au trecut și cele care nu au trecut procedura de acreditare (acum este realizată de Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse). Un centru de certificare acreditat i se eliberează un certificat corespunzător, iar pentru a obține certificat calificat cheia de verificare ES trebuie adresată unei astfel de CA. CA neacreditate pot emite doar alte tipuri de semnături.
Atunci când alegeți un CA, trebuie să țineți cont de faptul că nu fiecare dintre ei folosește toți furnizorii posibili de cripto. Adică dacă partenerii se organizează managementul documentelor electronice, aveți nevoie de semnături electronice generate folosind un anumit furnizor criptografic, atunci ar trebui să alegeți o autoritate de certificare care lucrează în mod special cu acest instrument protecţie criptografică informații (SKZI).
Procedura de obținere a PE și documentele necesare
Pentru a organiza schimbul de documente electronice între organizații, trebuie să efectuați următorii pași:
- determinați obiectivele și specificul fluxului de documente dintre dvs. și o altă organizație. Acesta ar trebui să fie formalizat sub forma unui acord sau contract care definește și reglementează operațiunile și componența documentelor cu semnătură electronică transmise electronic (cum ar fi contracte standard semnează, de exemplu, băncile cu clienți, permițându-le să utilizeze sistemul client-bancă);
- să facă schimb de certificate ale cheilor de verificare ES ale persoanelor ale căror semnături vor fi transferate între organizații. Este clar că partenerii pot primi astfel de certificate nu numai unul de la celălalt, ci și de la autoritatea de certificare care a eliberat aceste certificate;
- emit instrucțiuni interne care reglementează procedura de transfer și primire a documentelor electronice către o altă organizație, inclusiv procedura de verificare a semnăturii electronice a documentelor primite și acțiuni în cazul depistarii faptului de a efectua modificări la document după semnarea acestuia cu semnătură electronică.
Pentru producerea cheilor de semnătură electronică și a certificatelor de chei de verificare ES, utilizatorii trebuie să depună documentele de aplicare, documentația care confirmă acuratețea informațiilor care urmează să fie incluse în certificatul cheii de verificare ES, precum și împuterniciri corespunzătoare către centrul de certificare.
Pentru a asigura un nivel adecvat de identificare a utilizatorului, procedura de obținere a certificatelor de chei de verificare ES necesită prezența personală a proprietarului acestuia.
Adevărat, există și excepții. De exemplu, astăzi pentru angajații guvernului și organizatii bugetare, precum și angajații autorităților executive ale orașului Moscova, centrul de certificare al Electronic Moscow OJSC a dezvoltat un sistem pentru eliberarea în masă a certificatelor pentru cheile de verificare a semnăturii electronice (SKPEP), care, menținând în același timp nivel inalt Fiabilitatea identificării utilizatorilor face inutilă vizitarea personală a centrului de certificare de către fiecare angajat, ceea ce reduce semnificativ costurile financiare și de timp ale organizației în comparație cu emiterea unui SCEP organizat conform schemei tradiționale.
Cât costă o semnătură electronică?
Este o greșeală să crezi că un centru de certificare vinde pur și simplu suporturi pentru stocarea cheilor și certificatelor, serviciul este complex, iar media cu informații cheie este una dintre componente. Preț pachet complet de semnătură electronică depinde de:
- regiune;
- politica de prețuri a centrului de certificare;
- tipurile de semnătură și domeniul acesteia.
De obicei, acest pachet include:
- servicii ale unui centru de certificare pentru producerea unui certificat de cheie de verificare ES;
- transferul drepturilor de utilizare a software-ului corespunzător (CIPF);
- furnizarea destinatarului cu software-ul necesar pentru lucru;
- furnizarea unui purtător de chei securizat;
- suport tehnic pentru utilizatori.
În medie, costul variază de la 3.000 la 20.000 de ruble pentru un pachet complet cu un singur transportator de informații cheie. Este clar că atunci când o organizație comandă o duzină sau sute de certificate cheie pentru angajații săi, prețul pentru un „semnatar” va fi semnificativ mai mic. Reemiterea cheilor se realizează într-un an.
În prezent, în Rusia, circulația documentelor electronice care utilizează o semnătură electronică câștigă rapid amploare. Semnătura electronică este implementată pe scară largă în organizatii guvernamentale cât şi în afacerile private. În acest sens, trebuie luat în considerare faptul că tipuri diferite ES au valori diferite, astfel incat un document certificat de ES este semnificativ din punct de vedere juridic, deci transferul purtători de cheiîmpreună cu codul PIN altor persoane nu este permis.
Cel mai important, o semnătură electronică economisește în mod semnificativ timp, eliminând documentele, care sunt extrem de importante într-un mediu extrem de competitiv și când partenerii sunt localizați la distanță.
Problema rămâne până acum doar în planul confirmării autenticității unei astfel de semnături și a unui document cu aceasta pe toată perioada lungă de stocare.
Note de subsol
Restrângeți afișarea
O semnătură electronică simplă și necalificată (ES) poate fi stocată pe orice suport, deoarece nu există nicio indicație în acest sens în Legea federală nr. 63-FZ „Cu privire la semnătura electronică”. Problema stocării unei semnături electronice calificate ar trebui luată mai în serios. Această semnătură este echivalentă cu una scrisă de mână, este utilizată în tranzacțiile electronice și la încheierea de tranzacții importante cu contrapărțile. Prin urmare, este mai sigur să-l stocați pe un mediu sigur, certificat de FSB.
Suport media sigur pentru o semnătură electronică calificată
Token (eToken, Rutoken etc.)
Suport de încredere și convenabil sub forma unui port USB. Potrivit pentru majoritatea aplicațiilor, cu excepția EGAIS. Cu acesta, puteți trimite un raport fiscal sau Rosstat, puteți semna un acord și puteți participa la tranzacționare electronică. Pentru a semna documente folosind un token, trebuie să instalați un instrument de protecție a informațiilor criptografice (CIPF) pe computer.
Token cu CIPF încorporat (Rutoken EDS, Rutoken EDS 2.0, JaCarta PKI/GOST/SE)
Un purtător care arată ca un jeton obișnuit, dar are un CIPF încorporat. Folosind o semnătură electronică pe un astfel de mediu, puteți semna documente pe orice computer fără a cumpăra software suplimentar. Rutoken EDS este potrivit pentru servicii bancare de la distanță, lucru pe portaluri de stat, raportare și gestionare a documentelor. Nu este conceput pentru a funcționa cu platforme de tranzacționareși EGAIS. Rutoken EDS 2.0, precum JaCarta PKI / GOST / SE, sunt folosite doar pentru a lucra cu EGAIS.
Protecție suplimentară a semnăturii electronice
Acces la semnătură PIN
Fiecare suport amovibil al semnăturii electronice are un cod PIN - o combinație de caractere, după care ați introdus accesul la semnătură. Un cod PIN este introdus de fiecare dată când semnați un document sau orice alt acces la ES. În mod implicit, codul este standard, dar îl puteți elimina complet sau îl puteți schimba cu al dvs. Am pregătit o instrucțiune de înlocuire pentru Rutoken, eToken, JaCarta. Dacă este necesar, contactați CA, iar specialistul nostru vă va ajuta să schimbați codul PIN.
Protecție împotriva copierii semnăturii
În mod implicit, cheile de semnătură electronică pot fi copiate pe alte medii. Puteți activa protecția împotriva copierii dacă doriți. Pentru a face acest lucru, atunci când depuneți o cerere, informați managerul că aveți nevoie de o cheie de semnătură electronică neexportabilă. În acest caz, va fi imposibil să copiați semnătura de pe suport, deoarece orice încercare de a exporta fișiere va duce la o eroare.
Suport media neprotejat pentru o semnătură electronică calificată
Teoretic, ES poate fi scris pe orice suport amovibil. Dar fișierele de pe o unitate USB, dischetă sau alte medii nu sunt protejate în niciun fel. Dacă atacatorii le fură și le decriptează, ei vor putea semna orice documente. Prin urmare, nu recomandăm stocarea fișierelor de semnătură electronică pe astfel de suporturi.
Scrierea unui ES în registrul laptopului este o opțiune populară, dar și nesigură pentru stocarea unei semnături. Oricine va avea acces la sistem va putea să semneze documente sau să creeze o copie a cheii. Dacă trebuie să te muți la altul la locul de muncă, atunci veți avea nevoie de ajutorul unui specialist calificat pentru a transfera cheia semnăturii electronice. EP poate fi pierdut complet dacă se întâmplă ceva cu computerul.
Ce trebuie să rețineți când stocați o semnătură electronică calificată
Un singur transportator - pentru un angajat
Dacă înregistrați ES ale diferiților angajați pe un singur mediu, atunci confidențialitatea cheilor private va fi încălcată. Și prin lege, toate semnăturile vor fi considerate nevalide.
Nu vă puteți transfera EP-ul unei alte persoane
O semnătură electronică este un analog cu una scrisă de mână. Acesta servește ca un identificator pentru proprietar. Dacă dați ES unei alte persoane, iar aceasta semnează un document cu care nu sunteți de acord, atunci nu veți putea contesta această decizie.
Nu puteți stoca EP în domeniul public
O semnătură electronică calificată trebuie păstrată într-un loc sigur sau în alt loc sigur. Un transportator care stă doar pe masă este ușor de furat pentru a semna câteva documente „în plus”. Și când vei observa acest lucru, nici în instanță nu vei putea să-ți dovedești nevinovăția.
Când schimbați detaliile, schimbați ES
Firma și-a schimbat denumirea, a demisionat titularul semnăturii electronice sau și-a schimbat funcția? Schimbați-vă semnătura. Nu amânați acest lucru, pentru a nu da peste o grămadă de facturi semnate de cineva necunoscut și pentru a nu încălca paragraful 1 al art. 2 din Legea federală nr. 63-FZ „Cu privire la semnătura electronică”, care necesită identificarea exactă a proprietarului ES. Pentru a înlocui semnătura electronică, contactați managerul care a emis-o. Sau contactați centrul de certificare Tenzor într-un mod convenabil pentru dvs.
Prelungiți EP-ul în timp
Dacă nu reînnoiți semnătura electronică, aceasta va deveni invalidă. Și nu veți putea semna niciun document electronic până când nu primiți un nou ES în centrul de certificare. Pentru informații despre cum să reînnoiți o semnătură electronică, citiți articolul nostru.
Protejați-vă locul de muncă
Software-ul antivirus vă protejează de orice surprize neplăcute. Virușii sunt capabili să imite comportamentul proprietarului semnăturii pentru a semna mai multe documente de care are nevoie un atacator. Și va fi greu să dovedești că nu ai pus semnătura.
Nu stocați parolele pe hârtie
Această regulă este baza securității computerului. Se aplică nu numai semnăturilor electronice, ci și tuturor celorlalte domenii. Parola pentru token, scrisă cu atenție pe un autocolant lângă computer, va mulțumi de nedescris atacatorului.