Protecția documentației electronice, așa cum probabil mulți oameni știu, este asigurată de o semnătură digitală electronică. Mulțumită semnatura electronica, documentele stocate în în format electronic dobândesc aceeași forță juridică ca și documentele pe hârtie sigilate cu sigiliu și semnătură de mână. De aceea, depozitarea EDS-urilor, de la furt sau falsificare, pentru posesorul certificatului ar trebui să fie o sarcină primordială în organizarea tuturor managementul documentelor electronice.
După cum arată practica, stocarea unui EDS pe un disc, o unitate flash sau un registru al computerului dvs. de lucru nu este doar departe de a fi sigură, dar poate crea și o serie de dificultăți inutile, deoarece cheia este criptată direct pe computerul utilizatorului, ceea ce înseamnă că informațiile practic nu sunt protejate deloc și aproape oricine le poate accesa. În plus, discurile și unitățile flash, ca în principiu orice alt mediu de stocare, pot fi corupte de intruși, iar toate informațiile stocate pe ele se pierd, motiv pentru care astăzi este nevoie urgentă de medii de stocare mai sigure și mai fiabile.
Experții sfătuiesc stocarea EDS pe jetoane speciale, care, trebuie spus, au un număr mare de avantaje incontestabile. În exterior, tokien-ul arată ca o unitate flash standard, dar o depășește semnificativ în ceea ce privește memoria. În plus, criptarea are loc direct pe token, iar accesul la informațiile plasate pe acesta este posibil numai după ce utilizatorul introduce codul PIN.
Este aproape imposibil să piratați sau să ridicați un cod PIN, în plus, toate eToken-urile au contoare de încercări nereușite de a introduce o parolă, după ce limita alocată se termină, codul PIN este blocat. Pinul nu este niciodată transmis împreună cu datele prin rețea, ceea ce înseamnă că este imposibil să îl interceptați. Un astfel de simbol poate servi proprietarului său de la cinci la douăzeci de ani. De aspect seamănă cu un breloc mic care se conectează la computere printr-un port USB și nu necesită fire, surse de alimentare sau cititoare speciale.
Pe lângă eToken, EDS poate fi stocat pe Rutoken, aceste două medii diferă în ceea ce privește cantitatea de memorie protejată și producător. Rutoken, după cum sugerează și numele, este produs în Rusia și are în medie aproximativ 32 de gigaocteți de memorie, dacă se dorește, pe el pot fi stocate până la 7 chei de semnătură electronică.
Orice pierdere de informații importante poate duce la cele mai grave consecințe, motiv pentru care este necesar să stocați cheile EDS pe suporturi durabile, convenabile și sigure, care vă vor permite să evitați procedura îndelungată de creare a unui nou certificat și cheie de semnătură electronică.
Toate puteți vedea tarifele pentru semnăturile electronice
În capitolul .
Regulamentul a fost elaborat ținând cont de:
Legea federală „Cu privire la electronică semnatura digitala»
„Reglementare temporară privind semnătura electronică digitală (EDS) în sistemul de plăți electronice interregionale ale Băncii Centrale a Federației Ruse în timpul experimentului”, aprobată la 16 august 1995 de prim-vicepreședintele Băncii Centrale a Federației Ruse A.V. Voilukov
Cerințe temporare ale Băncii Centrale a Federației Ruse nr. 60 din 03 aprilie 1997 „Cu privire la asigurarea securității tehnologiei de procesare a documentelor de plată electronică în sistem Banca centrala Federația Rusă»
Regulamentul Băncii Centrale a Federației Ruse nr. 20-P din 12 martie 1998 „Cu privire la regulile de schimb de documente electronice între Banca Rusiei, organizatii de credit(sucursale) și alți clienți ai Băncii Rusiei atunci când efectuează decontări prin rețeaua de decontare a Băncii Rusiei”, astfel cum a fost modificată prin Ordonanța Băncii Rusiei nr. 774-U din 11 aprilie 2000.
2. Prevederi generale
2.1. Prezentul regulament a fost elaborat pentru operatorii, abonații și abonații autorizați ai sistemelor de protecție criptografică a informațiilor (CIPF) care realizează interacțiuni electronice cu terți utilizând purtători de informații cheie (KKI).
2.2. Acest regulament include:
aranjamente organizatorice pentru lucrul cu NCI;
procedura de utilizare a NCI în sistemul de interacțiuni electronice;
procedura de fabricare, contabilizare, înregistrare a cheilor EDS și a cheilor de criptare în sistemul de interacțiuni electronice;
proceduri pentru compromiterea materialelor cheie;
procedura de asigurare a regimului de securitate la lucrul cu NCI.
2.3. Termeni de bază:
Purtător de informații cheie– suport de informații (dischetă, memorie flash și alte medii) pe care este stocată o cheie electronică, concepută pentru a proteja interacțiunile electronice.
CCMS- centrul de control al sistemelor cheie, locul de fabricație al purtătorului de informații cheie NCI.
Cheie de semnare secretă (privată).- o cheie destinată formării unei semnături digitale electronice de către aceasta documente electronice.
Deschideți cheia de semnare (publică).- o cheie care este generată automat în timpul producerii unei chei de semnătură secretă și care depinde în mod unic de aceasta. Cheia publică este concepută pentru a verifica corectitudinea semnăturii digitale electronice a unui document electronic. O cheie publică este considerată a aparține unui participant la interacțiunile electronice dacă a fost certificată (înregistrată) în conformitate cu procedura stabilită.
Cheie de criptare- o cheie concepută pentru a închide un document electronic în timpul interacțiunilor electronice.
Criptare- o metodă specializată de protejare a informațiilor împotriva cunoașterii terților cu acestea, bazată pe codificarea informațiilor conform algoritmului GOST 28147-89 folosind cheile corespunzătoare.
Compromisul informațiilor cheie- pierderea, furtul, copierea neautorizată sau suspiciunea de copiere a transportatorului informațiilor cheie NCI sau orice alte situații în care nu se știe cu certitudine ce sa întâmplat cu NCI. Compromisul informațiilor cheie include și concedierea angajaților care au avut acces la informațiile cheie.
Certificare cheie- procedura de certificare (semnare) a părții publice a cheii înregistrate cu semnătură digitală electronică.
Cerere pentru înregistrarea cheii- un mesaj de serviciu care conține o nouă cheie publică, semnat cu o semnătură digitală electronică.
3. Organizarea muncii cu purtătorii de informații cheie
Persoanele care au acces la purtătorii de informații cheie poartă responsabilitatea personală pentru acestea. Lista persoanelor care au acces la dischete cu informații cheie este întocmită de șeful Direcției Securitate Informațională și înregistrată în ordinul pentru Bancă.
Pentru a asigura identificarea expeditorilor și destinatarilor informațiilor, protejați-le de accesul neautorizat:
3.1. Președintele Consiliului de Administrație al Băncii numește din rândul șefilor de departamente responsabili pentru interacțiunile electronice cu organizațiile terțe și împuternicește angajații responsabili cu dreptul de a stabili semnătura electronică a documentelor transmise prin ordin al Băncii.
3.2. Șeful Direcției Securitate Informațională, de comun acord cu Șeful Direcției Tehnologia Informației, numește personalul informatic responsabil cu instalarea mijloacelor adecvate pentru asigurarea interacțiunilor electronice și a protecției informațiilor criptografice la posturile de lucru ale angajaților responsabili numiți la clauza 2.1.
3.3. Personalul FIB, împreună cu personalul IT, numiți în clauza 2.2. trebuie să desfășoare instruire pentru angajații responsabili ai departamentelor implicate în interacțiunile electronice cu organizații terțe, să lucreze cu instrumente electronice de gestionare a documentelor și CIPF.
3.4. Controlul asupra interacțiunilor electronice și utilizarea purtătorilor de informații cheie este efectuat de către angajații Direcției Securitate Informațională, Serviciului Control Intern și Departamentului Protecție Economică.
4. Ordinea de punere în funcțiune, stocare și utilizare a suporturilor de informații cheie
4.1. Procedura de fabricare, contabilizare și utilizare a purtătorilor de informații cheie
4.2.1. Procedura de fabricare și contabilizare a purtătorilor de informații cheie
Personal purtător de chei(cel mai adesea o dischetă) este de obicei realizată în centrul de control al sistemelor cheie (CMC). Dacă CCMS este deservit de o organizație terță, atunci dischetele cheie sunt primite de un angajat al Departamentului de securitate a informațiilor sau de un abonat CIPF autorizat alocat prin comandă pentru bancă. În cazul în care în Bancă se realizează dischete cu chei, aceasta se face pe baza unei cereri semnate de șeful departamentului utilizator NCI.
Generarea informațiilor cheie unice și înregistrarea acesteia pe o dischetă se realizează pe o „stație de lucru de generare a cheilor” autonomă special echipată, al cărei software îndeplinește funcțiile reglementate de proces tehnologic formarea cheilor de semnătură digitală electronică de către angajații autorizați ai departamentului de tehnologie a informației în prezența utilizatorului NKI, este marcată, înregistrată în „Jurnalul de contabilitate NKI” și eliberată acestuia împotriva semnăturii. Echipamentul „stației de lucru de generare a cheilor” ar trebui să asigure că informațiile secrete unice ale cheii ale interpretului sunt înregistrate numai pe suportul său personal.
Pentru a asigura posibilitatea restabilirii informațiilor cheie ale utilizatorului NCI în caz de defecțiune a dischetei cu chei, de obicei este creată o copie de lucru a acesteia. Pentru a vă asigura că atunci când copiați din original în copia de lucru a dischetei cheie, conținutul acestuia nu ajunge pe niciun mediu intermediar, copierea ar trebui să fie efectuată numai pe „stația de lucru pentru generarea cheilor”.
Dischetele cheie trebuie să aibă etichete adecvate care să reflecte: număr de înregistrare dischete (conform Jurnalului de contabilitate NCI), data fabricației și semnătura unui angajat autorizat al unității de securitate a informațiilor care a realizat discheta, tipul informațiilor cheie - dischetă cheie (original) sau dischetă cheie (copie), nume de familie, prenumele, patronimul și semnătura proprietarului-executant .
4.2.2. Procedura de utilizare a purtătorilor de informații cheie
Fiecare angajat (executor) care, în conformitate cu ale sale responsabilități funcționale dreptul de a pune o semnătură digitală pe ED a fost acordat, conform clauzei 2.1., se emite un purtător personal de informații cheie (de exemplu, o dischetă) pe care se află informațiile unice ale cheii („cheia secretă a semnăturii electronice”). înregistrate, aparținând categoriei de informații restricționate.
Dischetele cu chei personale (copii de lucru) trebuie să fie stocate de utilizator într-o cutie specială sigilată cu sigiliu personal.
În subdiviziune, contabilitatea și stocarea dischetelor cu chei personale ale artiștilor interpreți ar trebui efectuate de către persoana responsabilă cu securitatea informațiilor (în lipsa acestuia, de către șeful subdiviziunii) sau de către interpretul însuși (dacă are un seif sau un metal). cabinet). Dischetele cu cheie ar trebui să fie depozitate în seiful unității sau al contractantului responsabil cu securitatea informațiilor în cazuri individuale, sigilat cu sigiliile personale ale interpreților. Cutiile de creion sunt scoase din seif numai în momentul primirii (emiterii) copiilor de lucru ale dischetelor cheie către artiști. Dischetele de chei originale ale interpreților sunt stocate în Departamentul de Securitate Informațională într-o carcasă sigilată și pot fi folosite doar pentru a restabili copia de lucru a dischetei de chei în ordinea stabilită în cazul defecțiunii acesteia din urmă. Prezența dischetelor originale cu chei în cutii este verificată de către angajații OIB la fiecare deschidere și sigilare a carcasei.
Controlul asupra securității tehnologiei de prelucrare a documentelor electronice, inclusiv a acțiunilor utilizatorilor NCI care își desfășoară activitatea folosind dischete cu chei personale, se realizează de către departamentele responsabile cu securitatea informațiilor din competența lor și angajații Direcției Securitate Informațională.
Cheile EDS „deschise” ale executanților sunt înregistrate în modul prescris de către specialiștii Centrului de Management al Controlului și Comunicațiilor și Tehnologiilor Informaționale în directorul cheilor „deschise” utilizate la verificarea autenticității documentelor conform EDS-ului instalat pe acestea. .
5. Drepturile și obligațiile utilizatorului purtătorilor de informații cheie
5.1. Drepturi de utilizator media pentru informații cheie
Utilizatorul NCI ar trebui să aibă dreptul de a contacta persoana responsabilă cu securitatea informațiilor din departamentul său pentru consiliere cu privire la utilizarea unei dischete cu cheie și cu privire la problemele de asigurare a securității informaționale a procesului tehnologic.
Utilizatorul NCI are dreptul de a cere de la departamentul responsabil cu securitatea informațiilor și de la supervizorul său imediat crearea conditiile necesare pentru a îndeplini cerințele de mai sus.
Utilizatorul NCI are dreptul de a-și prezenta propunerile pentru îmbunătățirea măsurilor de protecție în domeniul său de activitate.
5.2. Responsabilitățile utilizatorului media cheie
Utilizatorul NCI, căruia, în conformitate cu acesta funcții oficiale i-a acordat dreptul de a pune o semnătură digitală pe ED, este personal responsabil pentru siguranța și utilizarea corectă a informațiilor cheie care i-au fost încredințate și a conținutului documentelor pe care se află EDS-ul său.
Utilizatorul purtătorilor de informații cheie este obligat să:
Să fii prezent personal în timpul producerii informațiilor tale cheie (dacă cheile sunt produse în IB la „stația de lucru de generare a cheilor”) pentru a fi sigur că conținutul dischetelor sale cheie (original și copie) nu este compromis.
Obțineți o copie funcțională a dischetei cheie împotriva semnăturii din Registrul NCI, asigurați-vă că este corect etichetată și protejată la scriere. Înregistrați-le (luați în considerare) la departamentul responsabil cu securitatea informațiilor, puneți-le într-o cutie de creion, sigilați-o cu sigiliul personal și transferați trusa pentru depozitare responsabilului cu securitatea informațiilor în ordinea stabilită sau puneți-o în seiful dvs. .
Utilizați numai o copie funcțională a dischetei cheie pentru lucru.
În cazul stocării NCI la subdiviziunea responsabilă cu securitatea informațiilor, la începutul zilei de lucru, primiți, iar la sfârșitul zilei de lucru predați-vă discheta cheie persoanei responsabile cu securitatea informațiilor. La prima deschidere a casetei, ambii sunt obligați să verifice integritatea și autenticitatea sigiliului de pe casetă. Dacă sigiliul de pe cutia de creion este rupt, atunci discheta este considerată compromisă.
Dacă o dischetă personală pentru chei este depozitată în seiful artistului, scoateți discheta cu chei din seif, dacă este necesar, iar când deschideți carcasa pentru prima dată, asigurați-vă că sigiliul de pe carcasă este intact și autentic. Dacă sigiliul de pe cutia de creion este rupt, atunci discheta este considerată compromisă.
ESTE STRICT INTERZIS să lăsați discheta cheii în computer. După ce a folosit o dischetă cu chei personale pentru semnare sau criptare, executantul trebuie să pună dischetele într-un seif, iar dacă NCI este stocat la departamentul responsabil cu securitatea informațiilor, să predea discheta cu cheia personală pentru stocare temporară departamentului responsabil cu securitatea informatiei.
La sfârșitul zilei de lucru, puneți discheta cheii în carcasă, care trebuie sigilată și depozitată în seif.
În cazul deteriorării copiei de lucru a dischetei cheie (de exemplu, în cazul unei erori la citirea dischetei), contractantul este obligat să o transfere unui angajat autorizat al sistemului de securitate a informațiilor, care trebuie, în prezența utilizatorului NCI sau a departamentului responsabil cu securitatea informațiilor, faceți o nouă copie a dischetei cu chei din originalul disponibil în sistemul de securitate a informațiilor și emiteți-o acestuia din urmă în locul celei vechi.(coruptă) dischetă cu chei .
O copie de lucru deteriorată a dischetei cheie trebuie distrusă în modul prescris în prezența interpretului. Toate aceste acțiuni trebuie înregistrate în Registrul NCI.
5.3. Utilizatorului purtătorilor de informații cheie îi este interzis
lăsați o dischetă cu chei personale fără supraveghere personală nicăieri;
transferați-vă discheta cu cheia personală altor persoane (cu excepția depozitării într-o cutie de creion sigilată persoanei responsabile cu securitatea informațiilor);
faceți copii neînregistrate ale dischetei de cheie, imprimați sau copiați fișiere de pe aceasta pe un alt mediu de stocare (de exemplu, un hard disk pentru computer), eliminați protecția la scriere de pe dischetă, faceți modificări la fișierele aflate pe discheta de chei;
utilizați o dischetă cu cheie personală pe o unitate de disc și/sau pe un computer defecte cu bună știință;
semnați orice mesaje și documente electronice cu „cheia EDS secretă” personală, cu excepția acelor tipuri de documente care sunt reglementate de procesul tehnologic;
informați pe cineva din afara serviciului că este proprietarul „cheii EDS secrete” pentru acest proces tehnologic.
6. Procedura de compromitere a purtătorilor de informații cheie
Evenimentele asociate cu compromiterea informațiilor cheie ar trebui să includă următoarele evenimente:
pierderea dischetelor cheie;
pierderea dischetelor cheie cu detectarea ulterioară;
concedierea angajaților care au avut acces la informații cheie;
apariția suspiciunilor de scurgere de informații sau denaturarea acesteia în sistemul de comunicații;
nedecriptarea mesajelor primite sau trimise de la abonați;
încălcarea sigiliului de pe seif sau container cu dischete cu cheie.
Primele trei evenimente ar trebui tratate ca un compromis necondiționat al cheilor EDS valide. Următoarele trei evenimente necesită o atenție specială în fiecare caz particular. La compromiterea cheilor EDS și a criptării Participantului la schimbul de documente electronice, sunt prevăzute următoarele măsuri:
oprește transmiterea de informații folosind chei EDS compromise sau criptare;
raportează faptul compromisului către Departamentul de Securitate Informațională.
Participant la schimbul de documente electronice imediat:
Un angajat al Departamentului de Securitate Informațională, pe baza notificării Participantului ED Exchange, exclude cheia EDS compromisă din baza de date electronică a cheilor publice sau exclude numărul criptografic al Participantului la Exchange Documente Electronice din lista de abonați.
În caz de urgență, Participantul la schimbul de documente electronice după compromis poate continua să lucreze la cheile de rezervă, care sunt înregistrate în „Jurnalul de înregistrare a NKI”.
Un participant la schimbul de documente electronice depune o cerere pentru producerea unei noi chei și primește noi chei EDS și de criptare cu înregistrarea în Registrul NCI.
Mesajele de testare sunt schimbate folosind noi chei EDS și de criptare.
7. Asigurarea securității informațiilor atunci când lucrați cu purtătorii de informații cheie
Ordinea amplasării, dotarea specială, securitatea și regimul în incinta în care se află fondurile protecţie criptograficăși purtători de informații cheie:
mijloacele de protecție criptografică pentru deservirea purtătorilor de informații cheie sunt amplasate în sediul Băncii Server și al Departamentului de securitate a informațiilor;
amplasarea, dotarea si regimul special in incinta in care se afla mijloacele de protectie criptografica si purtatorii de informatii cheie, asigura securitatea informatiilor, mijloacelor de protectie criptografica si a informatiilor cheie, minimizand posibilitatea accesului necontrolat la mijloacele de protectie criptografica, vizualizare. procedurile de lucru cu mijloace de protecție criptografică de către persoane străine;
procedura de admitere în sediu este determinată de instrucțiunea internă, care se elaborează ținând cont de specificul și condițiile de funcționare a Instituției de Credit;
ferestrele incintei sunt dotate cu gratii metalice si alarme antiefractie care impiedica accesul neautorizat in incinta. Aceste camere au uși solide de intrare cu încuietori fiabile;
pentru depozitarea dischetelor cheie, a documentației de reglementare și operaționale, a dischetelor de instalare, incinta este prevăzută cu seifuri;
procedura stabilită pentru protecţia spaţiilor prevede controlul periodic stare tehnica mijloace de securitate și alarme de incendiu și respectarea regimului de securitate;
amplasarea și instalarea mijloacelor de protecție criptografică se realizează în conformitate cu cerințele documentației pentru mijloacele de protecție criptografică;
blocurile de sistem ale calculatoarelor cu mijloace de protecție criptografică sunt echipate cu mijloace de control al deschiderii lor.
Procedura pentru asigurarea siguranței stocării dischetelor cheie:
toate cheile de criptare, cheile EDS și dischetele de instalare sunt preluate în Bancă pentru contabilizarea copie cu copie în „Jurnalul contabil NCI” și „Jurnalul contabil CIPF” alocate în aceste scopuri;
contabilizarea și stocarea suporturilor de chei de criptare și a dischetelor de instalare, lucrul direct cu acestea este încredințat angajaților IIB sau angajaților responsabili numiți prin ordin al Băncii. Acești angajați sunt personal responsabili pentru siguranța cheilor de criptare;
înregistrarea cheilor de criptare făcute pentru utilizatori, înregistrarea eliberării acestora pentru muncă, întoarcerea de la utilizatori și distrugerea se efectuează de către un angajat al IIB;
stocarea cheilor de criptare, cheilor EDS, dischetelor de instalare este permisă în aceeași stocare cu alte documente în condiții care exclud distrugerea lor neintenționată sau altă utilizare neprevăzută de regulile de utilizare a sistemelor de criptoprotecție;
împreună cu aceasta, prevede posibilitatea stocării separate în siguranță a cheilor de lucru și de rezervă destinate utilizării în caz de compromitere a cheilor de lucru în conformitate cu regulile de utilizare a instrumentelor de protecție criptografică;
o cheie privată EDS validă înregistrată pe un suport magnetic (dischetă) trebuie păstrată într-un seif personal, sigilat (container) al persoanei responsabile. Ar trebui exclusă posibilitatea copierii și utilizării neautorizate a EDS de către o persoană neautorizată;
cheia EDS de rezervă trebuie păstrată în același mod ca și cea actuală, dar întotdeauna într-un container separat sigilat.
Cerințe pentru angajații implicați în operarea și instalarea (instalarea) instrumentelor de protecție criptografică și purtătorilor de informații cheie:
numai angajații au voie să lucreze cu mijloace de protecție criptografică și purtători de informații cheie, cunoscând regulile funcționarea acestuia, deținând abilități practice de lucru pe un PC, având studiat regulile de utilizare și documentația operațională privind mijloacele de protecție criptografică;
angajatul trebuie să fie conștient de posibilele amenințări la adresa informațiilor în timpul prelucrării, transmiterii, stocării, metodelor și mijloacelor de protecție a informațiilor.
Distrugerea informațiilor cheie și a dischetelor:
distrugerea informațiilor cheie de pe dischete ar trebui făcută prin reformatarea dublă necondiționată a dischetei cu comanda DOS „FORMAT A: / U”;
distrugerea unei dischete cu cheie devenită inutilizabilă ar trebui făcută prin topirea pe foc (ardere) sau măcinarea unei dischete magnetice scoase din carcasă.
Până în prezent, EDS și analogii săi sunt introduși din ce în ce mai mult în viață și utilizați în procesele de afaceri, în ciuda imperfecțiunii legislației. În munca operațională, EDS este convenabil și eficient, dar stocarea pe termen lung a documentelor semnate cu o semnătură electronică este o problemă serioasă care nu a fost complet rezolvată nicăieri în lume. Deoarece tehnologia este încă foarte tânără, există puține cercetări în domeniul asigurării securității documentelor electronice cu EDS.
Autoritățile statului rus, care reglementează activitatea operațională cu documente electronice, nu se gândesc la ce se va întâmpla cu ele în viitor. La stabilirea perioadelor de păstrare, caracteristicile acestora nu sunt luate în considerare, iar existența lor este adesea ignorată complet. Repartizarea stabilită prin Legea „On arhivareîn Federația Rusă” a termenilor de stocare departamentală a documentelor electronice va duce inevitabil la pierderea unei părți semnificative a informațiilor, deoarece este necesară o organizare diferită a stocării. Este necesar să aveți grijă de stocarea pe termen lung a documentelor electronice în momentul creării lor.
Sunt câteva probleme importante pe care organizațiile vor trebui să rezolve în timpul stocării pe termen lung a documentelor cu EDS:
- Cum se asigură verificarea EDS pentru o perioadă lungă de timp și este necesar? Cum se dovedește autenticitatea, integritatea etc. documente electronice relevante?
Răspunsul la întrebarea despre necesitatea stocării documentelor cu EDS este dat de actuala legislatură si reglementari care prevad conservarea pe termen mediu (5-10 ani) a documentelor electronice cu posibilitatea verificarii EDS-ului. Pentru majoritatea întrebărilor rămase, nu există încă răspunsuri, dar există deja cerințe care trebuie îndeplinite.
- Ce să faci cu documentele de stocare permanentă semnate electronic? Spre deosebire de documentele pe hârtie, care pot rămâne pe rafturile de arhivă timp de secole, documentele electronice nu pot fi păstrate neschimbate mai mult de 7-10 ani. După această perioadă, fie suportul de informare își pierde fiabilitatea, fie echipamentul, software-ul sau formatul în care este înregistrat documentul devine învechit. De aceea este pur și simplu de neconceput să vorbim despre 75 de ani de stocare în organizarea documentelor electronice - nu va fi nimic de acceptat pentru stocare. Puține organizații au forța de muncă, experiența și resursele pentru a organiza această activitate.
- EDS nu este invulnerabil și, în timp, poate fi compromis și/sau falsificat. Falsificarea semnăturilor digitale „vechi” poate avea consecințe nu mai puțin catastrofale decât falsificarea celor existente. Deja acum, legislația permite semnarea digitală a documentelor care au semnificative financiare și semnificație juridică. Trebuie să ne gândim cum să ne protejăm de apariția în 10-20 de ani a unei mase de documente electronice falsificate, presupuse aparținând începutului secolului al XXI-lea și certificate de EDS „corectă”. Dacă astăzi nu vă ocupați de măsurile organizatorice și de protecție adecvate, atunci probleme majore sunt posibile mai târziu.
Cerințe organizației
managementul afacerilor și al documentelor
Pentru ca interesele organizației să fie protejate în mod corespunzător, este necesar să ne gândim în prealabil în ce măsură și cum ar trebui să se reflecte informațiile despre semnătura digitală în documentul în sine și în metadatele acestuia.
În 2000, Arhivele Naționale din Statele Unite au inclus în Document Management Guidelines for Agencies Using Electronic Signatures cerințele pe care toate documentele semnate electronic, atunci când sunt afișate în formă care poate fi citită de om (pe hârtie sau pe un ecran de monitor), trebuie să conțină:
- numele expeditorului sau al persoanei care a semnat acest document,
- data si ora semnarii,
- intențiile clar declarate ale semnatarului, i.e. tastați text:
- "Sunt de acord"
- „Expeditorul își asumă responsabilitatea tranzacției”,
- „expeditorul este autorizat să semneze pentru altcineva”, etc.
Aceste cerințe vizează asigurarea confortului de a lucra cu documente pentru o perioadă lungă de timp, inclusiv atunci când nu va mai fi posibilă verificarea EDS.
Multe dintre organizațiile noastre, atunci când descifrează EDS, includ și în versiune tipărită informații despre document despre persoana care l-a semnat și data semnării. A treia cerință, de regulă, nu ni se aplică, ceea ce este păcat - o „rezoluție electronică”, din care intențiile semnatarului sunt clare, face documentul mai „irevocabil”.
Cerințele pentru fluxul de documente și pentru activitățile serviciului DOW au ca scop asigurarea conservării tuturor documente necesare. Pentru a face acest lucru, serviciul DOW al organizației trebuie să:
- include în sistemul de management al documentelor al organizației toate documentele care apar în procesul de utilizare a semnăturii digitale și a infrastructurii cheii publice, precum și salvarea metadatelor suficiente pentru căutarea și lucrul cu acestea;
- păstrați acest set de documente pentru aceeași perioadă de timp ca și documentul însuși cu un EDS.
- integritatea documentelor nu este asigurată, acestea putând fi modificate de către utilizator;
- documentele sunt disponibile numai utilizatorilor individuali și, prin urmare, nu devin o resursă corporativă;
- apar dificultăți la stabilirea perioadelor de păstrare a unor astfel de documente, la examinarea valorii și alocarea lor pentru distrugere.
Cel mai bine este să organizați stocarea întregului set de documente legate de utilizarea EDS în sistemele electronice de gestionare a documentelor, deoarece astfel de sisteme permit:
- asigura stocarea securizata, controlul si inregistrarea accesului la acestea;
- atribuirea și urmărirea perioadelor de păstrare;
- Efectuați distrugere confidențială controlată la expirarea perioadelor de păstrare.
Experții americani notează că tehnologiile asociate cu utilizarea EDS sunt încă foarte tinere și nu au trecut prin „focul și apa” litigiilor. Prin urmare, este recomandat să vă gândiți cum să „puneți paie” și să vă aprovizionați cu un set suficient de documente în cazul în care trebuie să mergeți în instanță:
- un mesaj că EDS a fost verificat cu succes,
- data si ora verificarea documentelor,
- ID operațiune,
- un link către documentele de reglementare interne care reglementează activitatea (inclusiv data și versiunea documentului);
- alte informații pe care organizația le consideră necesare să le înregistreze.
Documentatie de utilizare
semnături digitale
In organizatie
Orice modificare a sistemului de management al documentelor al organizației, de regulă, presupune o modificare a compoziției documentației. Introducerea noilor tehnologii nu face excepție: organizațiile au un întreg set de documente noi, inexistente anterior, care trebuie, de asemenea, înregistrate și păstrate în strictă conformitate cu legea, astfel încât în orice situații disputabile organizația să își poată dovedi cazul. .
În timpul transferului de informații pot fi create și stocate următoarele documente:
- În organizații-expeditori și destinatari:
- documentul efectiv trimis,
- certificatul cheii expeditorului,
- întrebări/răspunsuri verificarea certificatului,
- regulamentele interne care reglementează utilizarea certificate de cheie,
- acorduri sau acorduri între participanții la schimbul de informații privind utilizarea EDS;
- notificări de revocare sau compromitere a certificatelor de cheie publică,
- primirea acceptării documentului sau refuzul de a acceptarea documentului,
- documente care stabilesc configurația software-ului utilizat,
- documente de testare și verificare a software-ului.
- În centrele de certificare:
- documentele de reglementare interne ale centrului de certificare care definesc regulile de lucru cu certificatele cheie (inclusiv procedura de organizare a eliberării certificatelor și procedura de stocare a certificatelor revocate);
- registrele certificatelor cheie,
- liste de certificate revocate și expirate,
- documentația de certificare reciprocă a centrelor de certificare,
- protocoale și jurnalele de audit ale sistemului informațional al centrului de certificare.
Dacă EDS este utilizat într-un sistem de informații corporative și proprietarul centrului de certificare este una dintre organizațiile care participă la schimbul de informații, atunci această organizație trebuie să documenteze activitățile centrului său de certificare.
Listele de documente enumerate reflectă cea mai simplă utilizare a unei infrastructuri cu cheie publică. Dacă sunt utilizate opțiuni mai complexe, atunci, în consecință, numărul documentelor crește.
Documentarea corectă a lucrului cu EDS este o sarcină importantă, dar este și mai important să organizați depozitarea fiabilă a tuturor documentelor, în strictă conformitate cu cerințele legii. Există și mai multe probleme aici și este foarte, foarte greu să le rezolvi.
Organizarea stocarii documentelor cu EDS
Pentru a spune ușor, este ilogic să vorbim despre utilizarea EDS în mod izolat de problemele de gestionare a documentelor și de stocare în arhivă a documentelor, dar din anumite motive este obișnuit să se facă acest lucru. Nici oamenii de stat, nici specialiştii în tehnologia informaţiei, de regulă, nu se gândesc la faptul că documentele sunt necesare nu numai pentru activităţile operaţionale de afaceri şi management. Ele, printre altele, stabilesc diferitele drepturi și obligații ale statului, persoanelor și organizațiilor, evenimentelor care au avut loc, deciziile luateși consecințele acțiunilor întreprinse. Astfel de documente sunt supuse stocării permanente sau pe termen lung și tocmai aici este utilă semnătura digitală munca operațională unealta se transformă într-o așchie.
Cu cât o organizație folosește mai multe documente electronice în activitatea sa, cu atât se confruntă mai repede cu probleme în domeniul managementului documentelor și al stocării arhivelor.
O organizație trebuie să țină cont de cerințele care există în legislație și reguli care guvernează activitatea cu EDS, privind organizarea depozitării unui număr de documente.
Fragment de document
Legea federală „Cu privire la semnătura digitală electronică” din 10 ianuarie 2002 nr. 1-FZ Articolul 7 1. Perioada de păstrare a certificatului cheie de semnătură sub formă de document electronic în centrul de certificare este determinată de acordul dintre centrul de certificare și proprietarul certificatului cheie de semnătură. Aceasta oferă acces participanților la sistemul de informații la centrul de certificare pentru a obține un certificat de cheie de semnătură. 2. Perioada de păstrare a certificatului cheie de semnătură sub formă de document electronic în centrul de certificare după anularea certificatului cheie de semnătură trebuie să fie cel puțin cea stabilită. lege federala termenul de prescripție pentru relațiile specificate în certificatul cheie de semnătură. După expirarea perioadei de stocare specificate, certificatul de cheie de semnătură este exclus din registrul certificatelor de cheie de semnătură și transferat în modul de stocare arhivă. Perioada de depozitare a arhivelor nu este mai mică de cinci ani. Procedura de eliberare a copiilor certificatelor cheie de semnătură în această perioadă este stabilită în conformitate cu legislația Federației Ruse. 3. Semnarea certificatului cheie sub forma unui document pe pe suport de carton stocate în modul prevăzut de legislația Federației Ruse privind arhivele și arhivarea. |
Conform regulilor muncii de birou, perioada de stocare este stabilită în funcție de semnificația documentului și de informațiile pe care le conține, și nu depinde de tipul suportului și de prezența unui EDS. Depozitarea documentelor semnate cu EDS trebuie organizată astfel încât să garanteze posibilitatea verificării autenticității semnăturii, iar centrul de certificare va trebui să asigure aceeași perioadă de păstrare a documentelor, echipamentelor și software-ului său - și in stare de functionare!
Dacă organizația transmite orice raportare în formă electronică , atunci este necesar să se determine procedura de conservare a acestuia în organizație pentru a asigura integritatea, autenticitatea și autenticitatea documentelor electronice.
Fragment de document
Procedura de depunere a declarației fiscale în formă electronică prin canale de telecomunicații 2. 3. La depunerea unei declarații fiscale în formă electronică, contribuabilul trebuie să respecte următoarea procedură de gestionare a documentelor electronice:
|
Întrebarea modului în care statul își va îndeplini obligațiile nu a fost încă rezolvată. care decurge din articolul 15, clauza 2 din Legea cu privire la EDS, potrivit căruia, la lichidarea centrelor de certificare nestatale, se transferă documentația acestora, precum și obligația de verificare a semnăturilor „vechi” (a se vedea articolul 4, clauza 1). la „puterea executivă a organismului federal autorizat”. Acum problemele centrelor de certificare sunt gestionate de Agenția Federală pentru tehnologia de informație(FAIT) din subordinea Ministerului Informațiilor și Comunicațiilor.
În Regulamentul „Cu privire la agentie federala privind tehnologiile informaționale”, aprobat prin Decretul Guvernului Federației Ruse din 30 iunie 2004 nr. 319, în secțiunea privind atribuțiile acestui organ executiv, este scris că trebuie să organizeze:
- confirmarea autenticității semnăturilor electronice digitale ale persoanelor autorizate ale centrelor de certificare în certificatele de chei de semnătură emise de acestea;
- menţinerea unui unitar registrul de stat certificate ale cheilor de semnătură ale centrelor de certificare și un registru al certificatelor cheilor de semnătură ale persoanelor autorizate ale organismelor guvernamentale federale și oferă, de asemenea, acces la acestea pentru cetățeni, organizații, autorități guvernamentale și guverne locale.
Dar cine va fi responsabil pentru restul documentației, cine o va stoca și, cel mai important, cine va confirma autenticitatea EDS - este încă neclar!
Pe Internet, puteți găsi adesea povești optimiste despre cât de bine și de convenabil este să stocați documente semnate cu un EDS. Fără probleme, doar comoditate și plăcere pură:
Când trece la gestionarea electronică a documentelor cu contrapărți, organizația trebuie să se gândească la cum să păstreze arhiva în viitor. Pe ce suporturi să stocați documentele în formă electronică și cum să le confirmăm semnificația legală?
În ce format și pe ce suport să stocați documentele
Care este problema?
Organizațiile trebuie să păstreze diverse documente contabile, economice și de personal de la câțiva ani până la câteva decenii. De exemplu, contabilitate documente sursă vor trebui păstrate cinci ani după anul în care acestea ultima data utilizate în scopuri contabile.
Un document electronic ar trebui să poată fi citit chiar și la câțiva ani de la crearea sa. Problema este că tehnologia calculatoarelor iar software-ul devin învechit, iar editorii și cititorii au versiuni noi.
Este foarte probabil ca un document care a fost creat cu câțiva ani în urmă să nu poată fi citit din cauza lipsei dispozitivului sau programului necesar. De exemplu, astăzi este dificil să citești informații de pe o dischetă de 3,5 inci, deși acum 10 ani era un mediu de stocare obișnuit.
Documentul trebuie să fie stocat în formatul în care a fost creat. Dacă modificați formatul, semnătura electronică nu se va potrivi cu documentul. În consecință, nu se va mai putea dovedi autenticitatea acestuia.
Cum să decizi?
Rescrierea periodică a informațiilor din mediile învechite către altele mai moderne va ajuta la rezolvarea acestei probleme. Când vine vorba de software, toți dezvoltatorii importanți acceptă formatele versiunilor anterioare atunci când dezvoltă versiuni noi ale produselor lor.
Dacă schimbul a fost efectuat prin serviciul operatorului EDI, atunci documentele vor fi disponibile în orice moment. Operatorii mari stochează documentele pe termen nelimitat în „cloud” și permit ca acestea să fie vizualizate, încărcate și să primească date de pe certificatul de semnătură electronică (EDS) cu care au fost semnate. Este necesar doar accesul la internet.
Cum se confirmă semnificația juridică a documentelor
Care este problema?
Semnătura electronică este utilizată pentru a identifica persoana care semnează un document și protejează documentul de a fi schimbat după ce a fost semnat. Dar certificatul de semnătură electronică are o perioadă de valabilitate de maximum 15 luni și poate dura câțiva ani pentru a confirma valabilitatea semnăturii electronice.
Cum să decizi?
Această problemă este rezolvată de serviciul de marcaj temporal oferit de centrele de certificare și unele sisteme informaționale. Un atribut suplimentar este adăugat semnăturii electronice în momentul creării acesteia - o ștampilă sau o ștampilă de timp.
Serviciul atașează, de asemenea, o listă a certificatelor revocate în prezent documentului semnat. Prin semnarea listei cu semnătură electronică, serviciul confirmă că semnătura este valabilă la momentul semnării.
Autenticitatea semnăturii în acest caz poate fi confirmată chiar și după expirarea certificatului în sine. O semnătură electronică cu un marcaj de timp se numește avansată. O astfel de semnătură nu numai că simplifică arhivarea documentelor electronice, dar este și o condiție pentru gestionarea documentelor electronice cu sisteme informatice ale unora.
Locația de depozitare a cheii electronice trebuie protejată împotriva accesului neautorizat. EDS este format din două părți. formă deschisă constă dintr-un cod care este accesibil unei game largi de persoane. Formularul închis este criptat și ascuns în baza de date de înregistrare. Legislația nu precizează clar unde este stocat EDS după primirea de către semnatar. Sunt indicate regula de nedezvăluire a informațiilor și forma de numire a persoanelor responsabile.
Dezavantajele stocării pe computer:
EDS este instalat pe toate computerele de pe care utilizatorul va trimite documentația. Dacă proprietarul uită să închidă computerul cu o parolă după utilizare, cheile sunt șters cu ușurință
Exportul/importul unei chei private atunci când vă mutați fizic într-o altă locație necesită drepturi de acces și calificări.
Stocarea recomandată a cheilor EDS este depozitele specializate Rutoken și e-Token. Sunt chei USB și carduri inteligente. Accesul la aceste seifuri se face numai prin PIN. Sunt ușor de transportat și ușor de manevrat. Toate operațiunile se efectuează direct în depozit. Cheia nu intră în baze de date externe.
Avantajele acestei metode de stocare sunt:
protectie fata de straini
pătrundere
acces la orice dispozitiv
să lucreze fără certificat
automatizarea procesului de conectare
pe EDMS și sistemul informatic
Cerințe privind răspunderea utilizatorului
Legea nu specifică cum se păstrează EDS-ul. Cu toate acestea, cerințele de răspundere din partea proprietarului sunt clar precizate. Legea cu privire la semnătura electronică digitală are cerințe clare.
Cerințe cadru legislativ prescrie:
- Părțile la interacțiunea electronică păstrează confidențialitatea EDS-ului, se angajează să-l protejeze împotriva utilizării fără acordul proprietarului.
- Proprietarii notifică centrul de certificare a cheii despre încălcarea confidențialității EDS, pierderea sau primirea de informații de către terți.
- Este interzisă utilizarea unei chei compromise.
- Aplicați metode de verificare și potrivire a cheii electronice.
Sursa federală prescrie regulile de stocare a semnăturilor digitale cu acces la verificare. Software trebuie să fie înregistrat și să ofere chei de acces autorității de certificare a cheilor. Organismul care a eliberat cheia are dreptul de a verifica locul de depozitare cu verificarea ulterioară a corectitudinii includerii acesteia în documente.
De asemenea, se oferă acces la documentația electronică. Termenele de stocare a suporturilor de semnătură digitală sunt determinate de nomenclatorul cazurilor și de conținutul documentului.
Sunt descrise reguli clare pentru stocarea EDS în organizație. Din partea titularului semnăturii, protecția datelor trebuie asigurată. Dacă cheia nu se află în seif, aceasta trebuie instalată pe fiecare PC folosit. Se negociază cercul persoanelor care au acces la documentație și fluxul documentelor.
Se presupune că responsabilitatea pentru utilizarea EDS în organizații este asumată de funcții de conducere și Contabil șef. Aceste persoane sunt desemnate printr-un protocol special.
Informațiile despre acestea sunt introduse în arhiva centrului de control și eliberarea cheilor. Metoda de stocare a unei semnături electronice într-o întreprindere este lăsată la alegerea proprietarului.
Răspunderea și transferul drepturilor de utilizare
Stocarea unui EDS într-o organizație necesită numirea unor persoane îndreptățite să utilizeze o semnătură digitală electronică. Legislația specifică procedura de stocare a EDS într-o organizație.
Ordinul de numire a unei persoane responsabile de EDS include informații despre numele complet al angajaților. Sunt indicate autorităţile şi funcţiile îndeplinite. Sunt prescrise regulile de utilizare a semnăturii electronice.
Un document intern numește persoana responsabilă pentru EDS, ordinul este semnat împreună cu un acord de confidențialitate. Persoanei sau persoanelor desemnate li se citesc instrucțiuni privind utilizarea EDS. Li se spune cum să stocheze EDS și să protejeze accesul la date de la terți. Sunt explicate regulile pentru adăugarea unei chei la un document.
Utilizatorului i se cere:
secretul informatiilor
si intimitate
proces de schimb de informații
stocarea cheilor private
străini
respectarea regulilor
funcţionarea sistemului staţiei de lucru
fluxul documentelor
Documentul nu indică locul în care este stocată semnătura electronică. Aceste informații sunt oferite oral în timpul briefing-ului.
Nu numai persoana desemnată, ci și organizația este responsabilă pentru utilizarea EDS. În cazul în care, în timpul transferului dreptului de utilizare a unei semnături, se încalcă procedura de informare și inaugurare, se aplică măsuri pentru ambele părți. Controlul asupra executării prevederilor ordinului rămâne în sarcina conducătorului (titularului) semnăturii.
EDS altcuiva: responsabilitate legislativă
Articolul 22 este definit în legislația Federației Ruse, care descrie responsabilitatea utilizării EDS-ului altcuiva. Persoanele care nu au permisiunea oficială cu acces la cheia electronică a altcuiva intră în răspundere penală, administrativă și civilă, prevăzută de codurile relevante.
În cazul constatării unor încălcări, persoanele condamnate poartă răspundere penală, semnătura electronică este considerată compromisă. Organizația sau conducerea ar trebui să comunice aceste informații tuturor părților interesate. Dacă acțiunile unei persoane au cauzat pierderi materiale, aceasta este însărcinată cu repararea prejudiciului. Persoana care acceptă cheia electronică conform contractului poartă întreaga responsabilitate pentru păstrarea acesteia.
Dacă aveți nevoie de sfaturi privind achiziționarea și alegerea unui EDS, contactați specialiștii noștri!