- Cerințe de finanțare semnatura electronica
- Cerințe pentru instrumentele autorității de certificare
Cerințele sunt destinate clienților și dezvoltatorilor de instrumente de semnătură electronică și centre de certificare în interacțiunea lor între ei și cu organizațiile care efectuează studii criptografice și speciale ale unor astfel de instrumente, precum și în interacțiunea lor cu FSB, confirmând conformitatea acestor instrumente cu cerinţele stabilite.
M-a interesat în primul rând modul în care aceste cerințe reflectă probleme legate de gestionarea înregistrărilor. Multe articole relevante au fost găsite în „Cerințe pentru mijloacele de semnătură electronică”.
La crearea unei semnături electronice (ES), instrumentele ES trebuie (clauza 8):
- arată persoanei care semnează documentul electronic conținutul informațiilor pe care le semnează,
- creați un ES numai după ce persoana care semnează documentul electronic confirmă operațiunea de creare a unui ES,
- arată clar că SE a fost creat.
- arată conținutul unui document electronic semnat de un ES,
- afișează informații despre efectuarea modificărilor documentului electronic ES semnat,
- indicați persoana care utilizează cheia ES a cărei documente electronice sunt semnate.
În funcție de capacitatea de a rezista amenințărilor, instrumentele ES sunt împărțite în clase (clauza 12). În funcție de clasă, cerințele pentru înregistrarea evenimentelor asociate cu utilizarea instrumentului ES diferă:
33. Pentru instrumentele ES din clasele KS1 și KS2, necesitatea prezentării cerințelor pentru înregistrarea evenimentelor și conținutul acestora sunt indicate în TOR pentru dezvoltarea (modernizarea) instrumentelor ES.De asemenea, sunt stabilite cerințele pentru asigurarea siguranței jurnalului de evenimente:34. Instrumentele ES din clasele KS3, KB1, KB2 și KA1 ar trebui să includă un modul care remediază în jurnal electronicînregistrarea evenimentelor în mijloacele ES și SF legate de îndeplinirea de către instrumentul ES a funcțiilor sale țintă.
Cerințele pentru modulul specificat și lista evenimentelor înregistrate sunt determinate și justificate de către organizația care efectuează cercetarea instrumentului ES pentru a evalua conformitatea instrumentului ES cu aceste Cerințe.
35. Jurnalul de evenimente ar trebui să fie disponibil numai persoanelor specificate de operatorul sistemului informatic în care este utilizat instrumentul ES sau persoanelor autorizate de acesta. În acest caz, jurnalul de evenimente ar trebui să fie accesat numai pentru vizualizarea înregistrărilor și pentru mutarea conținutului jurnalului de evenimente pe medii de arhivă.Punctul 36 mi s-a părut extrem de controversat în document, data expirării cheii publice EP. Apare imediat întrebarea, cum rămâne cu acele organizații care vor semna documente cu o perioadă de stocare permanentă sau pe termen lung cu semnătură electronică? Ce ar trebui să facă cu aceste documente în 15 ani - să le arunce la coșul electronic (uitând în același timp de drepturile și obligațiile asociate acestora)?
Din punctul meu de vedere, fie autorii documentului sunt în dezacord cu limba rusă și nu și-au putut exprima în mod competent gândirea, oricare ar fi aceasta, fie ei în necaz cu legea, care nu prevede o asemenea prostie precum pierderea forței juridice prin semnătură.
36. Perioada de valabilitate a cheii de verificare ES nu trebuie să depășească perioada de valabilitate a cheii ES cu mai mult de 15 ani.Se pune întrebarea și despre calificările specialiștilor din Ministerul Justiției, care au înregistrat cu succes acest document.37. Cerințele pentru mecanismul de monitorizare a perioadei de utilizare a cheii ES, blocând funcționarea instrumentului ES în cazul încercării de a utiliza cheia mai mult decât perioada specificată, sunt determinate de dezvoltatorul instrumentului ES și justificate de organizația care efectuează cercetările instrumentului ES pentru a evalua conformitatea instrumentului ES cu aceste cerințe.
În Rusia, trei tipuri de semnături pot fi utilizate în gestionarea documentelor electronice: simple, îmbunătățite necalificate și îmbunătățite calificate. Să vedem în ce se deosebesc unele de altele, în ce condiții sunt echivalente cu cele scrise de mână și dau forță legală fișierelor semnate.
Semnătură electronică simplă sau PES
O semnătură simplă este familiară tuturor codurilor de acces din SMS, coduri de pe carduri răzuibile, perechi „login-parolă” în conturi personale site-uri web și e-mail. O semnătură simplă este creată prin intermediul sistemului informatic în care este utilizată și confirmă că semnătura electronică a fost creată de o anumită persoană.
Unde este folosit?
O simplă semnătură electronică este folosită cel mai adesea în operațiunile bancare, precum și pentru autentificarea în sistemele informaționale, pentru primirea serviciilor publice, pentru certificarea documentelor în cadrul unui sistem electronic de management al documentelor corporative (denumit în continuare EDF).
O semnătură electronică simplă nu poate fi utilizată la semnarea documentelor electronice sau într-un sistem informatic care conține secrete de stat.
Forța juridică
O semnătură simplă este echivalentă cu una olografă, dacă este reglementată de o semnătură separată act juridic sau a fost încheiat un acord între participanții la FED, care prevede:
- reguli prin care un semnatar este determinat de simpla lui semnătură electronică.
- obligația utilizatorului de a păstra confidențialitatea părții private a cheii PES (de exemplu, parola din perechea „login-parolă” sau codul SMS trimis la telefon).
În multe sisteme informatice, utilizatorul trebuie să-și verifice mai întâi identitatea în timpul unei vizite la operatorul de sistem pentru ca SPO-ul său să aibă forță juridică în viitor. De exemplu, pentru a primi un cont verificat pe portalul Serviciilor de Stat, trebuie să veniți personal la unul dintre centrele de înregistrare cu un act de identitate.
Semnătură electronică necalificată sau NEP
O semnătură electronică necalificată îmbunătățită (denumită în continuare NES) este creată folosind programe criptografice care utilizează cheia privată a semnăturii electronice. NEP identifică identitatea proprietarului și, de asemenea, vă permite să verificați dacă s-au făcut modificări fișierului de când a fost trimis.
O persoană primește două chei de semnătură electronică într-un centru de certificare: privată și publică. Cheia privată este stocată pe un purtător de chei special cu un cod PIN sau pe computerul utilizatorului - este cunoscută numai de proprietar și trebuie ținută secretă. Folosind cheia privată, proprietarul generează semnături electronice cu care semnează documentele.
Cheia publică a semnăturii electronice este disponibilă tuturor celor cu care proprietarul acesteia efectuează EDI. Este asociat cu o cheie privată și permite tuturor destinatarilor documentului semnat să verifice autenticitatea ES.
Faptul că cheia publică aparține proprietarului cheii private este scris în certificatul de semnătură electronică. Certificatul este, de asemenea, emis de o autoritate de certificare. Dar când se utilizează NEP, certificatul nu poate fi creat. Cerințele de structură sunt certificat calificat nu sunt stabilite în Legea federală nr. 63-FZ „Cu privire la semnătura electronică”.
Unde este folosit?
NEP poate fi utilizat pentru EDI intern și extern, dacă părțile au convenit anterior asupra acestui lucru.
Forța juridică
Participanții EDI trebuie să respecte condiții suplimentare, astfel încât documentele electronice certificate de NEP să fie considerate echivalente cu documentele pe hârtie cu semnătură de mână. Părțile trebuie în mod necesar să încheie între ele un acord privind regulile de utilizare a NEP și recunoașterea reciprocă a forței sale juridice.
Tot mai multe întreprinderi rusești implementează sisteme electronice de gestionare a documentelor, estimând deja avantajele acestei tehnologii pentru lucrul cu documente din propria experiență. Schimbul electronic de date se realizează prin sisteme informatice, retele de calculatoare, Internet, E-mail si multe alte mijloace.
Și o semnătură electronică este un atribut al unui document electronic conceput pentru a proteja informațiile împotriva falsificării.
Utilizarea unei semnături electronice vă permite să:
- ia parte la licitatie electronica, licitatii si licitatii;
- construirea de relații cu populația, organizațiile și structurile guvernamentale pe baze moderne, mai eficient, la cel mai mic cost;
- extindeți geografia afacerii dvs. efectuând de la distanță diverse operațiuni, inclusiv economice, cu parteneri din orice regiune a Rusiei;
- reducerea semnificativă a timpului alocat procesării tranzacției și schimbului de documentație;
- construirea unui sistem corporativ de schimb de documente electronice (fiind unul dintre elementele acestuia).
Folosind o semnătură electronică, lucrați conform schemei „dezvoltare proiect în în format electronic- crearea unei copii pe hârtie pentru semnătură - trimiterea unei copii pe hârtie cu o semnătură - examinarea unei copii pe hârtie" este de domeniul trecutului. Acum totul se poate face electronic!
Varietăți de semnătură electronică
Sunt stabilite și reglementate următoarele tipuri: semnătură electronică simplă și semnătură electronică îmbunătățită. În același timp, o semnătură electronică îmbunătățită poate fi calificată și necalificată.
Masa
Care este diferența dintre cele 3 tipuri de semnătură electronică
Restrângeți afișarea
Este foarte greu de falsificat orice semnătură electronică. Și cu o semnătură calificată îmbunătățită (cea mai sigură dintre cele trei), cu nivelul actual de putere de calcul și resursele de timp necesare, acest lucru este pur și simplu imposibil de realizat.
Semnăturile simple și necalificate pe un document electronic înlocuiesc un document pe hârtie semnat cu o semnătură de mână, în cazurile prevăzute de lege sau de acordul părților. O semnătură calificată îmbunătățită poate fi considerată un analog al unui document cu sigiliu (de ex. „potrivit” pentru orice ocazie).
Un document electronic cu semnătură calificată înlocuiește un document pe hârtie în toate cazurile, cu excepția cazului în care legea prevede ca documentul să fie exclusiv pe hârtie. De exemplu, cu ajutorul unor astfel de semnături, cetățenii pot aplica la agențiile guvernamentale pentru a obține stat și servicii municipale, iar autoritățile publice pot trimite mesaje cetățenilor și pot interacționa între ele prin intermediul sistemelor informaționale.
Semnăm cu cheia privată, cu cheia deschisă verificăm semnătura electronică
Pentru a putea semna documente cu semnătură electronică, trebuie să aveți:
- tasta ES(așa-zisul închis cheie) - este folosit pentru a crea o semnătură electronică pentru document;
- Certificatul cheii de verificare ES (deschis cheia ES) - cu ajutorul acesteia se verifică autenticitatea semnăturii electronice, adică. se confirmă deținerea semnăturii electronice de către o anumită persoană.
Organizațiile care îndeplinesc funcțiile de creare și emitere a certificatelor de chei de verificare ES, precum și o serie de alte funcții, sunt numite centre de certificare.
În procesul de creare a unui certificat de cheie de verificare ES, o cheie ES și o cheie de verificare ES sunt generate pentru fiecare utilizator. Ambele chei sunt stocate în fișiere. Pentru ca nimeni, cu excepția proprietarului semnăturii, să poată folosi cheia ES, aceasta este de obicei scrisă pe purtător de chei securizat(de regulă, împreună cu cheia de verificare a semnăturii electronice). Este dotat, ca un card bancar Cod PIN. Și la fel ca în cazul tranzacțiilor cu cardul, înainte de a utiliza cheia pentru a crea o semnătură electronică, trebuie să introduceți valoarea corectă a codului PIN (vezi Figura).
Sunt fabricate medii de cheie protejate de diverși producătoriși de obicei arată ca un card flash. Furnizarea de către utilizator a confidențialității cheii sale ES garantează că atacatorii nu vor putea semna documentul în numele proprietarului certificatului.
Pentru a asigura confidențialitatea cheii ES, este necesar să urmați recomandările privind stocarea și utilizarea cheii ES, cuprinse în documentația, eliberată de obicei utilizatorilor în centrul de certificare, și veți fi protejat de acțiunile ilegale efectuate cu cheia semnăturii electronice în numele dvs. Cel mai bine este dacă cheia dvs. privată este disponibilă exclusiv pentru dvs. Această idee este foarte importantă de transmis fiecărui proprietar al cheii. Acest lucru se realizează cel mai bine prin emiterea de materiale de orientare pe acest cont și familiarizarea angajaților cu acestea împotriva semnăturii.
Imagine
Programul solicită o parolă (cod PIN) pentru a semna documentul cu semnătură electronică folosind cheia ES conținută pe „unitatea flash” conectată la computer
Restrângeți afișarea
Exemplul 1
Fragment din Ghidul pentru asigurarea securității utilizării unei semnături electronice calificate a Electronic Moscow OJSC
Restrângeți afișarea
La crearea unei semnături electronice, mijloacele de semnătură electronică trebuie:
- arată persoanei care semnează documentul electronic conținutul informațiilor pe care le semnează;
- crearea unei semnături electronice numai după ce persoana care semnează documentul electronic confirmă operațiunea de creare a unei semnături electronice;
- arată clar că semnătura electronică a fost creată.
La verificarea unei semnături electronice, mijloacele de semnătură electronică trebuie:
- arată conținutul unui document electronic semnat cu semnătură electronică;
- afișează informații despre efectuarea modificărilor unui document electronic semnat cu o semnătură electronică;
- indicați persoana care folosește a cărei cheie de semnătură electronică sunt semnate documentele electronice.
Certificatul cheii de verificare ES conține toate informațiile necesare pentru verificarea semnăturii electronice. Datele certificatului sunt deschise și publice. De obicei, certificatele sunt stocate în depozitul sistemului de operare din centrul de certificare care le-a produs pe termen nelimitat (la fel cum un notar public stochează toate informațiile necesare despre persoana care a efectuat actul notarial pentru el). În conformitate cu prevederile Legii nr. 63-FZ Centrul de verificare care a produs certificatul cheii de verificare a semnăturii electronice, este obligat sa furnizeze in mod gratuit oricarei persoane la cererea acesteia informatii cuprinse în registrul certificatelor, incl. informații despre anularea certificatului cheii de verificare a semnăturii electronice.
Restrângeți afișarea
Oleg Komarsky, Specialist IT
Centrul de certificare care a emis semnătura electronică stochează certificatul cheii de verificare a acestui SE pe termen nelimitat, mai precis, pe toată durata existenței acestuia. Cât timp autoritatea de certificare funcționează, nu există probleme, dar de atunci centrul este organizare comercială, poate înceta să mai existe. Astfel, în cazul încetării activității CA, există posibilitatea pierderii informațiilor despre certificate, atunci documentele electronice semnate cu semnături electronice emise de CA închisă își pot pierde semnificația juridică.
În acest sens, este planificată crearea unui fel de depozit de certificate de stat (atât valabile, cât și revocate). Va fi ceva ca un centru notarial de stat, unde vor fi stocate datele de pe toate certificatele. Dar deocamdată, astfel de informații sunt stocate în CA pe termen nelimitat.
Ce ar trebui să ia în considerare angajatorii atunci când își echipează angajații cu semnături electronice?
În certificatul cheii ES neapărat există informații despre numele complet proprietarul său, exista si posibilitatea inclusiv informații suplimentare precum Numele companieiși denumirea funcției. În plus, certificatul poate conține identificatori de obiecte (OID), definind relațiile în implementarea cărora un document electronic semnat de un SE va avea semnificație juridică. De exemplu, un OID poate afirma că un angajat are dreptul de a posta informații pe platforma de tranzacționare, dar nu poate semna contracte. Acestea. cu ajutorul OID se poate delimita nivelul de responsabilitate si autoritate.
Există subtilități în transferul de autoritate la concediere sau transferul angajaților într-o altă funcție. Ar trebui luate în considerare.
Exemplul 2
Restrângeți afișarea
Când directorul comercial Ivanov, care a semnat documente cu semnătură electronică, este demis, trebuie comandat un nou transportator de chei pentru ca o nouă persoană care l-a înlocuit pe Ivanov în acest scaun să lucreze cu ES. Până la urmă, Petrov nu poate semna documente cu semnătura lui Ivanov (deși electronic).
De obicei, la concediere, se organizează reemiterea cheilor ES; de regulă, pentru aceasta, angajații înșiși vizitează un centru de certificare. Organizația care plătește pentru eliberarea cheilor este și proprietara cheii, așa că are dreptul de a suspenda valabilitatea certificatului. Astfel, riscurile sunt minimizate: este exclusă situația în care salariatul concediat ar putea semna documente în numele fostului angajator.
Restrângeți afișarea
Natalia Khramtsovskaya, Ph.D., expert principal în managementul documentelor al companiei EOS, expert ISO, membru GMD și ARMA International
Activitatea de afaceri eficientă a unei organizații depinde de mulți factori. Unul dintre elementele cheie ale întregului sistem de management este principiul interschimbabilității angajaților. Ar trebui să vă gândiți dinainte cine va înlocui angajații care nu își îndeplinesc temporar atributii oficiale din cauza bolii, calatoriei de afaceri, vacantei etc. Daca organizatia dumneavoastra se ocupa de semnarea documentelor cu semnatura electronica, acest aspect trebuie luat in considerare separat. Oricine neglijează această problemă organizatorică riscă să se confrunte cu probleme serioase.
Indicativ în acest sens este cazul nr. A56-51106/2011, care a fost examinat de Curtea de Arbitraj din Sankt Petersburg și Regiunea Leningradîn ianuarie 2012.
Cum a apărut problema:
- În iulie 2011, Tvernefteprodukt Sales Association LLC a depus o singură cerere de participare la o licitație deschisă în formular electronic pentru furnizarea de benzină pe carduri de combustibil pentru filiala Volga Superioară a Instituției Științifice pentru Bugetul Federal de Stat „Institutul de Cercetare de Stat al Pescuitului Lacurilor și Fluviului” (FGNU „GosNIORKh”). Comisia de licitație a clientului a decis să încheie un contract de stat cu singurul participant la licitație.
- Proiectul contractului de stat a fost transmis de client operatorului platforma electronica 12 iulie 2011 și l-a transferat către LLC. În termenul stabilit de lege, SRL nu a transmis operatorului site-ului electronic proiectul de contract semnat prin semnătura electronică a persoanei îndreptățite să acționeze în numele participantului la plasarea comenzii, întrucât acest funcționar era în concediu medical.
- În iulie 2011, Departamentul din Sankt Petersburg al Serviciului Federal Antimonopol (UFAS) a luat în considerare informațiile furnizate de client despre sustragerea SRL de la încheierea unui contract și s-a luat decizia de a o include în registrul furnizorilor fără scrupule.
Nefiind de acord cu decizia OFAS, SRL a mers în instanță. Toate cele trei instanțele au găsit-o pe SRL vinovată de evaziunea contractului. Și în ultimă instanță, în octombrie 2012, a reieșit că SRL-ul a aplicat clientului pe 10 august 2011 și a numit nu boala angajatului său, ci neglijența acestuia, drept motiv pentru nesemnarea contractului.
Un alt caz interesant a apărut când un contract de stat a fost semnat printr-o semnătură electronică a unei persoane neautorizate. Acest caz a fost examinat de Curtea de Arbitraj a Regiunii Kaluga în septembrie 2011 (cazul nr. A23-2637/2011).
Circumstanțele au fost:
- În martie 2011, SEL TEHSTROY SRL a fost declarată câștigătoarea unei licitații deschise. În acest moment, SRL a avut o schimbare în directorul general: fostul director general V. a devenit adjunctul noului director general P. Dar noul director general nu avusese încă timp să emită un EDS. Prin urmare, pe 14 martie 2011, am decis să „ne simplificăm viața” și să semnăm un contract guvernamental cu Asistență EDS a demisionat din postul său V. Cu toate acestea principala greseala a fost că V. a semnat documentul ca CEO SEL TECHSTROY LLC.
- Pe site-ul electronicului platforma de tranzactionare doar 24.03.2011, i.e. dupa semnarea si transmiterea contractului catre client.
- Această neglijare a fost sesizată de client, crezând că contractul este semnat de o persoană neautorizată, iar în aprilie 2011 a apelat la OFAS. Drept urmare, OFAS a inclus SRL in registrul furnizorilor fara scrupule pe o perioada de 2 ani din cauza sustragerii de la incheierea unui contract de stat.
Examinând această cauză în prima instanță, instanța a reținut că noul director general al societății, P., în explicațiile sale către OFAS, a confirmat, în primul rând, disponibilitatea de a semna contractul de stat, iar în al doilea rând, a recunoscut greșeala, fără a contesta autoritatea lui V., indicată în procură. În plus, faptul că împuternicirea a fost postată pe site-ul oficial al platformei electronice, deși cu întârziere, a fost considerat de instanță drept acțiuni active ale companiei pentru eliminarea greșelii comise. Drept urmare, Curtea de Arbitraj a dispus OFAS să excludă SRL din registrul furnizorilor fără scrupule. În decembrie 2011, Curtea a XX-a de Arbitraj de Apel a menținut poziția instanței de fond.
Dar Federal curtea de Arbitraj Districtul Central în martie 2012 a judecat contrariul. În opinia sa, la 14 martie 2011, V. a folosit EDS cu încălcarea prevederilor art. patru lege federala„Pe electronic semnatura digitala» și condițiile specificate în certificatul cheie de semnătură (la urma urmei, un document electronic cu EDS care nu respectă condițiile incluse în certificat nu are semnificație juridică). În cele din urmă, instanța a concluzionat că contract guvernamental a fost semnat de o persoană neautorizată și a recunoscut drept legală decizia OFAS de a recunoaște SRL ca furnizor fără scrupule.
Cazuri similare sunt adesea judecate de instanțele de judecată. Apoi directorul, care are un certificat de cheie ES și are dreptul de a semna documente în numele companiei, renunță, iar noul director nu are timp să își facă un ES și să semneze un contract la timp. Ei încearcă să semneze documente cu semnătura unui angajat care a plecat deja (sau s-a transferat într-o altă funcție din aceeași organizație). Apoi, există probleme cu neglijența angajaților sau boala acestora (ca în primul dintre cazurile descrise), și din nou nu au timp să delege autoritatea unei alte persoane și să-i emită un ES. Și rezultatul este același - organizația intră pe lista furnizorilor fără scrupule și își pierde dreptul de a încheia contracte finanțate de la buget.
Primirea de către un angajat al unei organizații a unei chei ES, asigurând siguranța acesteia și acțiunile cu aceasta sunt de obicei reglementate de un ordin pentru o organizație cu aprobarea materialelor de instruire. Aceștia definesc procedura de utilizare a cheilor ES pentru semnarea documentelor, obținerea, înlocuirea, revocarea certificatului cheii de verificare ES, precum și acțiunile efectuate atunci când cheia ES este compromisă. Acestea din urmă sunt similare cu acțiunile efectuate atunci când un card bancar este pierdut.
Cum să alegi o autoritate de certificare?
Legea nr. 63-FZ prevede împărțirea centrelor de certificare în cele care au trecut și cele care nu au trecut procedura de acreditare (acum este realizată de Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Federației Ruse). Un centru de certificare acreditat i se eliberează un certificat corespunzător, iar pentru a obține un certificat calificat al cheii de verificare ES este necesar să se aplice la o astfel de CA. CA neacreditate pot emite doar alte tipuri de semnături.
Atunci când alegeți un CA, trebuie să țineți cont de faptul că nu fiecare dintre ei folosește toți furnizorii posibili de cripto. Adică dacă partenerii se organizează managementul documentelor electronice, aveți nevoie de semnături electronice generate folosind un anumit furnizor criptografic, atunci ar trebui să alegeți o autoritate de certificare care lucrează în mod special cu acest instrument protecţie criptografică informații (SKZI).
Procedura de obținere a PE și documentele necesare
Pentru a organiza schimbul de documente electronice între organizații, trebuie să efectuați următorii pași:
- determinați obiectivele și specificul fluxului de documente dintre dvs. și o altă organizație. Acesta ar trebui să fie formalizat sub forma unui acord sau contract care definește și reglementează operațiunile și componența documentelor cu semnătură electronică transmise electronic (cum ar fi contracte standard semnează, de exemplu, băncile cu clienți, permițându-le să utilizeze sistemul client-bancă);
- să facă schimb de certificate ale cheilor de verificare ES ale persoanelor ale căror semnături vor fi transferate între organizații. Este clar că partenerii pot primi astfel de certificate nu numai unul de la celălalt, ci și de la autoritatea de certificare care a eliberat aceste certificate;
- emit instrucțiuni interne care reglementează procedura de transfer și primire a documentelor electronice către o altă organizație, inclusiv procedura de verificare a semnăturii electronice a documentelor primite și acțiuni în cazul depistarii faptului de a efectua modificări la document după semnarea acestuia cu semnătură electronică.
Pentru producerea cheilor de semnătură electronică și a certificatelor de chei de verificare ES, utilizatorii trebuie să depună documentele de aplicare, documentația care confirmă acuratețea informațiilor care urmează să fie incluse în certificatul cheii de verificare ES, precum și împuterniciri corespunzătoare către centrul de certificare.
Pentru a asigura un nivel adecvat de identificare a utilizatorului, procedura de obținere a certificatelor de chei de verificare ES necesită prezența personală a proprietarului acestuia.
Adevărat, există și excepții. De exemplu, astăzi pentru angajații guvernului și organizatii bugetare, precum și angajații autorităților executive ale orașului Moscova, centrul de certificare al Electronic Moscow OJSC a dezvoltat un sistem pentru eliberarea în masă a certificatelor pentru cheile de verificare a semnăturii electronice (SKPEP), care, menținând în același timp nivel inalt Fiabilitatea identificării utilizatorilor face inutilă vizitarea personală a centrului de certificare de către fiecare angajat, ceea ce reduce semnificativ costurile financiare și de timp ale organizației în comparație cu emiterea unui SCEP organizat conform schemei tradiționale.
Cât costă o semnătură electronică?
Este o greșeală să crezi că un centru de certificare vinde pur și simplu suporturi pentru stocarea cheilor și certificatelor, serviciul este complex, iar media cu informații cheie este una dintre componente. Preț pachet complet de semnătură electronică depinde de:
- regiune;
- politica de prețuri a centrului de certificare;
- tipurile de semnătură și domeniul acesteia.
De obicei, acest pachet include:
- servicii ale unui centru de certificare pentru producerea unui certificat de cheie de verificare ES;
- transferul drepturilor de utilizare a respectivului software(SKZI);
- furnizarea destinatarului cu software-ul necesar pentru lucru;
- furnizarea unui purtător de chei securizat;
- suport tehnic pentru utilizatori.
În medie, costul variază de la 3.000 la 20.000 de ruble pentru un pachet complet cu un singur transportator informatie cheie. Este clar că atunci când o organizație comandă o duzină sau sute de certificate cheie pentru angajații săi, prețul pentru un „semnatar” va fi semnificativ mai mic. Reemiterea cheilor se realizează într-un an.
În prezent, în Rusia, circulația documentelor electronice care utilizează o semnătură electronică câștigă rapid amploare. Semnătura electronică este implementată pe scară largă în organizatii guvernamentale precum și în afacerile private. În același timp, ar trebui să se țină seama de faptul că diferite tipuri de PE au cost diferit că documentul certificat de ES este semnificativ din punct de vedere juridic, prin urmare, transferul purtători de cheiîmpreună cu codul PIN altor persoane nu este permis.
Cel mai important, o semnătură electronică economisește în mod semnificativ timp, eliminând documentele, care sunt extrem de importante într-un mediu extrem de competitiv și când partenerii sunt localizați la distanță.
Problema rămâne până acum doar în planul confirmării autenticității unei astfel de semnături și a unui document cu aceasta pe toată perioada lungă de stocare.
Note de subsol
Restrângeți afișarea
înseamnă asigurarea, pe baza transformărilor criptografice, a implementării a cel puțin uneia dintre funcțiile:
crearea ES folosind cheia privată EI
confirmare folosind cheia publică a ES
crearea de chei ES private și publice.
4. Instrumente de codificare (cifre manuale)
Mijloace care implementează algoritmi de transformare criptografică a informațiilor cu implementarea unei părți a transformării prin operații manuale sau folosind instrumente automate bazate pe astfel de operațiuni.
5. Mijloace de producere a documentelor cheie.
Indiferent de tipul de purtător de informații cheie
6. Documente cheie (indiferent de tipul de media)
Compromisul cheilor criptografice – furtul, pierderea, dezvăluirea, copierea neautorizată și alte incidente în urma cărora cheile criptografice pot deveni disponibile persoanelor și/sau proceselor neautorizate.
Date personale (PD) – orice informații referitoare la o persoană identificată sau determinată pe baza unor astfel de informații (subiect PD), inclusiv numele de familie, prenumele, patronimul, data nașterii, adresa, familia, starea socială, statutul de proprietate, educația, profesia și alte informații.
Operator PD - agenţie guvernamentală sau autoritatea municipală, legal sau individual organizarea și/sau efectuarea prelucrării PD, precum și determinarea scopurilor și conținutului prelucrării PD.
EP - informații în formă electronică care sunt atașate altor informații în formă electronică (informații semnate) sau asociate în alt mod cu astfel de informații și care sunt utilizate pentru a identifica persoana care a semnat informația.
certificat cheie de verificare ES - un document electronic sau un document pe hârtie eliberat de o autoritate de certificare sau de un reprezentant autorizat al CA și care confirmă că cheia de verificare ES aparține proprietarului certificatului cheii de verificare ES.
UC - o persoană juridică sau un antreprenor individual care operează la crearea și eliberarea de chei publice pentru verificarea SE, precum și alte funcții legate de SE și prevăzute de lege.
Acreditarea CA - recunoașterea de către organul executiv federal autorizat în domeniul utilizării ES a conformității CA cu cerințele legislației.
fonduri CA - software și/sau hardware utilizat pentru implementarea funcțiilor CA.
fonduri PE - mijloace de criptare sau criptografice utilizate pentru a implementa cel puțin una dintre funcții:
crearea ES
Verificare ES
crearea unei chei ES
crearea unei chei de verificare ES
cheie EP - o secvență unică de caractere concepută pentru a crea un ES. Cheie de verificare ES -... asociat în mod unic cu cheia ES și destinat autentificării ES.
Certificate calificate ale cheilor de verificare ES - Certificat de cheie de verificare ES emis de o CA acreditată sau un mandatar al unei CA acreditate sau un organism executiv federal autorizat în domeniul utilizării ES (organism federal autorizat)
GOST R 51275
ZI. Obiecte de informatizare. Factori care afectează informația. Dispoziții de bază.
Zona de aplicare - Standardul stabilește o clasificare și o listă a factorilor care afectează eficacitatea protecției informațiilor în interesul amenințărilor justificate la adresa securității informațiilor la cerințele de securitate a informațiilor la un obiect de informatizare. Standardul se aplică obiectelor de informatizare, crearea și operarea în diverse domenii de activitate (apărare, economie, știință și altele)
Identificarea și luarea în considerare a factorilor care afectează sau pot afecta informațiile protejate în condiții specifice stau la baza planificării și implementării măsurilor eficiente care vizează SI la obiectul de informatizare.
Completitudinea și fiabilitatea factorilor identificați se realizează prin luarea în considerare a setului complet de factori care afectează toate elementele RI (hardware și software pentru prelucrarea informațiilor, mijloace de furnizare RI etc.) și în toate etapele procesării informațiilor.
Identificarea factorilor care afectează informațiile protejate ar trebui efectuată ținând cont de cerințele:
suficiența nivelurilor de clasificare a factorilor, permițând formarea setului lor complet;
flexibilitate de clasificare. Permițând să ia în considerare o varietate de factori clasificați, precum și să facă modificări fără a încălca structura clasificărilor.
Factori care afectează informația:
obiectiv intern
semnalizare extragerea semnalelor, funcții inerente mijloacelor tehnice ale OI lateral EMP |
Obiectiv extern fenomene create de om fenomene naturale, dezastre naturale |
Subiectiv intern dezvăluirea informațiilor protejate de către persoanele cu drept de acces la acestea acțiuni ilegale din partea persoanelor care au drept de acces la informații protejate UA la informațiile protejate deficiențe în organizarea furnizării datelor erori de serviciu ale personalului |
Subiectiv extern acces la informații protejate folosind TS UA la informațiile protejate blocarea accesului la informațiile protejate prin supraîncărcare mijloace tehnice prelucrarea informațiilor cu pretenții false pentru prelucrarea acestora acţiuni ale grupurilor infracţionale şi ale subiecţilor infractori individuali denaturarea, distrugerea sau blocarea informațiilor folosind TS |