Электронный документооборот. Электронная цифровая подпись. Электронная цифровая подпись - верное решение проблем документооборота

20.Электронный документооборот. Электронная цифровая подпись

Понятие, виды электронного документооборота.

Правовое обеспечение понятию «электронный документ» устанавливает Закон Республики Беларусь от 01.01.2001 г. «Об электронном документе и электронной цифровой подписи».

Электронный документ – документ в электронном виде с реквизитами, позволяющими установить его целостность и подлинность (здесь и далее по разделу понятие электронного документа отражается с точки зрения применения ЭЦП, в узкой трактовке данного понятия, согласно указанному Закону).

Согласно главе 3 вышеупомянутого Закона, электронные документы могут применяться во всех сферах деятельности, где используются программные, программно-технические и технические средства, необходимые для создания, обработки, хранения, передачи и приема информации в электронном виде.

Ограничения на применение электронных документов устанавливаются законодательством по решению сторон договора.

Представления критериев, которым должен соответствовать электронный документ по законодательству РБ, чтобы называться таковым, значительно строже общемировой практики ввиду обязательного наличия неотъемлемой особенной части электронного документа (электронной цифровой подписи) и является узким вариантом толкования данного понятия. Полагаем правильным руководствоваться приведенным выше определением электронного документа только в целях применения законодательства об электронной цифровой подписи.

Электронный документ должен соответствовать следующим требованиям:

создаваться, обрабатываться, храниться, передаваться и приниматься с помощью программных, программно-технических и технических средств; иметь структуру, состоящую из общей и особенной части. Общая часть электронного документа состоит из информации, составляющей содержание документа. Особенная часть электронного документа состоит из одной или нескольких электронных цифровых подписей, а также может содержать дополнительные данные, необходимые для проверки электронной цифровой подписи (электронных цифровых подписей) и идентификации электронного документа, которые устанавливаются техническими нормативными правовыми актами ; быть представляемым в форме, доступной и понятной для восприятия человеком.

Электронный документ по законодательству РБ имеет две формы представления: внутреннюю и внешнюю. Внутренней формой представления электронного документа является запись информации, составляющей электронный документ, на электронном носителе информации. Внешней формой представления электронного документа является воспроизведение электронного документа на электронном средстве отображения информации, на бумажном либо ином материальном носителе в форме, доступной и понятной для восприятия человеком.

Оригинал электронного документа существует только в электронном виде. Все идентичные экземпляры электронного документа являются оригиналами и имеют одинаковую юридическую силу. Документы, созданные организацией или физическим лицом на бумажном носителе и в электронном виде, идентичные по содержанию, имеют одинаковую юридическую силу. В этом случае документ на бумажном носителе не является копией электронного документа.

Копией электронного документа считается его создание путем удостоверения в порядке, установленном законодательством Республики Беларусь, формы внешнего представления электронного документа на бумажном носителе. При этом копия электронного документа должна содержать указание на то, что она является копией соответствующего электронного документа.

Юридическая сила электронного документа.

Электронный документ приравнивается к документу на бумажном носителе, подписанному собственноручно, и имеет одинаковую с ним юридическую силу. Если в соответствии с законодательством Республики Беларусь требуется, чтобы документ был оформлен в письменной форме, то электронный документ и его копия считаются соответствующими этому требованию. В случае, если в соответствии с законодательством Республики Беларусь требуется нотариальное удостоверение и (или) государственная регистрация документа, а документ создан в электронном виде, нотариальному удостоверению и (или) государственной регистрации подлежат электронный документ или его копия.

Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия).

В мире существует множественность подходов к определению понятий «электронная цифровая подпись», «электронная подпись», «цифровая подпись». В одних случаях законодательство государств говорит, что самое широкое понятие имеет электронная подпись, под которой часто понимают и электронную цифровую подпись, и цифровую подпись. При таких подходах под электронной подписью понимают любые включаемые в электронный документ элементы.

Электронная подпись – электронный звук, символ или процесс, прикрепленный или логически связанный с документом и выполненный или принятый лицом с намерением подписать документ (Uniform Electronic Transactions Act or «UETA» опубликован NCCUSL в 1999 году, США). Такая подпись прилагается к электронному документу, является аналогом собственноручной подписи. Примером электронной подписи может служить в равной степени как подпись, совершенная при помощи специальной цифровой ручки, так и отсканированное изображение подписи человека и пр. При этом гарантий, что лицо действительно подписало какой-либо документ при использовании электронной подписи, нет, поскольку такую подпись достаточно легко можно скопировать и вставить в конкретный документ.

Такой подход определения электронной подписи характерен при регулировании международной торговли (например, типовой закон ЮНИСТРАЛ, от 01.01.2001 г. «Об электронных подписях») используется в США и ряде других стран.

Следует все же отличать электронную подпись от цифровой. Потому что всякая электронная подпись – цифровая, но не всякая цифровая подпись – электронная. Поскольку цифровая подпись содержит шифрование (в основе алгоритмы шифрования), открытый и закрытый ключ, позволяющий идентифицировать принадлежность документа владельцу , а также подлинность и целостность документа.

Считается, что цифровую подпись нельзя подделать, скопировать, изменить, поскольку в ее основе используется криптографический метод защиты информации с использованием инфраструктуры открытых ключей (Public Key Infrastructure – PKI), что гарантирует целостность данных и, как следствие, безотказность документов и сделок.

По белорусскому законодательству электронная цифровая подпись – последовательность символов, являющаяся реквизитом электронного документа и предназначенная для подтверждения его целостности и подлинности. Характерным атрибутом ЭЦП является обязательное наличие сертификата открытого ключа. Сертификат открытого ключа – электронный документ, изданный поставщиком услуг и содержащий информацию, подтверждающую принадлежность указанного в нем открытого ключа определенной организации или физическому лицу, и иную информацию.

Подобный более строгий, чем в США, подход к понятию электронной подписи характерен для европейских стран.

Назначение электронной цифровой подписи.

Электронная цифровая подпись:

удостоверяет информацию, составляющую общую часть электронного документа; подтверждает целостность и подлинность электронного документа; является аналогом собственноручной подписи, может применяться как аналог оттиска печати или штампа.

Виды ЭЦП, особенности и пределы использования.

Поскольку в нашей стране практика использования ЭЦП только начинает набирать свои обороты, обратимся к опыту РФ, где буквально в 2011 году был принят ФЗ «Об электронной подписи», который установил следующие виды ЭЦП:

простая электронная подпись (ПЭП); усиленная электронная подпись (УЭП); усиленная неквалифицированная электронная подпись (НЭП); усиленная квалифицированная электронная подпись (КЭП).

Особенности использования связаны непосредственно с практикой применения, так называемая ПЭП предназначена для подписания электронных сообщений, направляемых в государственный орган, орган местного самоуправления или должностному лицу, и подтверждает, что электронное сообщение отправлено конкретным лицом. В свою очередь, НЭП – электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа подписи. Позволяет не только идентифицировать лицо, подписавшее электронный документ, но и обнаружить факт внесения изменений в электронный документ после его подписания. Применяется во всех видах отношений, если иное не установлено нормативным правовым актом или соглашением участников отношений. КЭП дополнительно подтверждается сертификатом от аккредитованного удостоверяющего центра.

То есть использование того или иного вида ЭЦП зависит от задачи, для решения которой эта подпись нужна. Чем проще задача – тем проще и требование к виду ЭЦП.

Мировая практика использования электронной подписи.

Любопытно при этом отметить, что первым аналогом использования электронной подписи можно назвать электронный телеграф. Так, в 1860-х годах в США с его помощью заключались контракты. В 1869 году суд США признал использование телеграфа при заключении сделки законным: «Нет никакой разницы, делает ли оператор оферту или акцепт… с помощью дюймового пера, прикрепленного в ручку для пера, или же его пером будет медная проволока длиною в несколько тысяч километров. В любом случае мысль передается на бумагу при помощи пальцев в руке, и не имеет значения, что в одном случае для записи используются обычные чернила, в то время как в другом более подходящим является поток, известный как электричество…».

Суды разных юрисдикций признают юридическую силу электронной подписи, которая может включать соглашения, совершенные через электронную почту, идентификационный ПИН, через банкомат , цифровой ручкой либо путем принятия интерактивной кликовой онлайн-лицензии. Такой подход позволяет учитывать многообразие форм осуществления юридически значимых действий и существенно экономить время и средства при взаимоотношениях между различными субъектами.

Правовой статус документов с ЭЦП по белорусскому законодательству.

Правовой статус ЭПЦ устанавливается ГК РБ, в частности ст. 161, 404 а также Закон Республики Беларусь от 01.01.2001 г. «Об электронном документе и электронной цифровой подписи.

По ГК РБ допускается, чтобы лицо осуществило сделку с использованием при совершении электронно-цифровой подписи либо иного аналога собственноручной подписи в случаях и порядке, предусмотренных законодательством или соглашением сторон.

Сам же Закон «Об электронном документе и электронной цифровой подписи» направлен на установление правовых основ применения электронных документов, определение основных требований, предъявляемых к электронным документам, а также правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе является равнозначной собственноручной подписи в документе на бумажном носителе.

Действие вышеуказанного Закона не распространяется на отношения, возникающие при использовании иных аналогов собственноручной подписи, а также при обращении документов в электронном виде, подтверждение целостности и подлинности которых осуществляется без применения сертифицированных средств электронной цифровой подписи.

Субъектами правоотношений являются государственные органы, другие организации и физические лица.

Удостоверяющие центры

Удостоверяющий центр – юридическое лицо, выполняющее функции создания, хранения и распространения сертификатов открытых ключей проверки электронной цифровой подписи и списков отозванных сертификатов открытых ключей проверки электронной цифровой подписи уполномоченных сотрудников регистрирующих органов и субъектов учета (постановление Совета Министров Республики Беларусь от 01.01.2001 г. № 000). Открытые ключи и другая информация о пользователях хранится удостоверяющими центрами в виде цифровых сертификатов.

Ситуация с Удостоверяющими центрами в Республике Беларусь сегодня следующая. Отдельно взятая организация создает свой Удостоверяющий центр на базе своего предприятия и выпускает серфтификаты открытых ключей, обеспечивает соответствующим программным обеспечением , формирует локальные документы, регламентирующие работы Удостоверяющего цента (такие как Политика безопасности Удостоверяющего центра и др.).

Сертификат открытого ключа, как правило, содержит следующие сведения:

уникальный регистрационный номер сертификата, даты начала и окончания срока его действия; ФИО владельца сертификата открытого ключа или его псевдоним; открытый ключ ЭЦП; наименование средств ЭЦП, с которыми данный открытый ключ электронной цифровой подписи используется; наименование и местонахождение Удостоверяющего центра, выдавшего сертификат; сведения об отношениях, при осуществлении которых электронный документ, заверенный ЭЦП, будет иметь юридическое значение; при необходимости в сертификате могут указываться дополнительные сведения.

В качестве примеров функционирования Удостоверяющих центров можно указать: Министерство юстиции Республики Беларусь (на примере АИС «Взаимодействие»), Министерство по налогам и сборам (при электронном декларировании), Национальный центр маркетинга и конъюнктуры цен для участия в электронных аукционах субъектов хозяйствования), единым порталом государственных услуг (на базе Министерства связи и информатизации Республики Беларусь), Фонд социальной защиты населения Министерства труда и социальной защиты Республики Беларусь (для целей подачи сведений по ФСЗН), универсальная торговая биржа » (для обслуживания процесса оформления биржевых сделок) и др.

Таким образом, сегодня Удостоверяющие центры существуют на уровне отдельных ведомств , структур и организаций. В ближайшем будущем планируется, что роль единого Удостоверяющего центра будет реализовывать Оперативно-аналитический центр при Президенте Республики Беларусь. Это должно позволить в полной мере заработать единой государственной системе управления открытыми ключами проверки электронной цифровой подписи. В дальнейшем предусматривается интеграция с Удостоверяющими центрами в РФ.

Удостоверяющий центр, как правило, выполняет следующие функции:

определяет порядок информационного взаимодействия; осуществляет контроль за соблюдением организациями – участницами информационного взаимодействия правил информационного взаимодействия; проводит выпуск сертификатов открытых ключей проверки электронной цифровой подписи и выдачу носителей ключевой информации пользователям в соответствии с регламентом, устанавливаемым уполномоченным органом; проводит выдачу программного обеспечения для оснащения автоматизированных мест пользователей для пользования ЭЦП; обеспечивает защиту от несанкционированного доступа; обеспечивает бесперебойную работу центрального узла АИС; обеспечивает доступ пользователей к АИС в строгом соответствии с их полномочиями; обеспечивает техническую поддержку пользователей АИС.

Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже

хорошую работу на сайт">

Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.

Российский новый университет

по дисциплине «Правовая информатика»

«Электронный документооборот и электронная цифровая подпись»

г. Воскресенск,

Введение

1. Электронный документооборот

2. Электронная цифровая подпись

Заключение

Список литературы

Введение

Электронный обмен данными - это реальность, с которой сегодня сталкивается практически каждый. Информационные системы, компьютерные сети, электронная почта - вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде.

В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами».

При написании работы предстоит:

раскрыть понятие электронного документа и электронного документооборота;

сформулировать цели и способы организации электронного документооборота;

сформулировать проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.

1. Электронный документооборот

Системы электронного документооборота представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:

регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;

учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;

централизованный контроль исполнения документов;

списание документов в дело;

ведение информационно-справочной работы;

формирование делопроизводственных отчетов по организации в целом.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки зарегистрированных централизованно документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках.

Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.

Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовывать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивных документов, так как по запросу в любой момент может быть выдана электронная копия документа.

С юридической точки зрения понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документа.

Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру - экспертизу по проверке подлинности документа.

Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть - непосредственно содержание, вторая - вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.

В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.

Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе может быть проверено путем проведения соответствующей экспертизы.

В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.

Таким образом, документ выполняет следующие функции:

фиксация некоторой (содержательной) информации;

фиксация лица, подписавшего документ;

фиксация условий составления документа;

доказательство в судебном разбирательстве;

функция оригинала, обеспечиваемая его уникальностью.

2. Электронная цифровая подпись

Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).

С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий (ст. 4 Закона об ЭЦП).

Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу - это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).

Согласно Закону ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).

Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.

Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов.

Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный документ ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствующем виде процесса.

Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.

Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения).

Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.

Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.

Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.

Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.

Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.

Метод шифрования - это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования - это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр - это метод шифрования. А конкретное указание, какую букву заменить, на какую последовательность цифр, является ключом.

Существуют симметричные и несимметричные методы шифрования.

Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.

Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой - открытым или публичным.

Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).

Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).

Закрытый ключ может быть скомпрометирован различными способами:

хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;

получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;

хищение ключа в результате хищения оборудования, на котором он хранится;

хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).

Незаконность данных традиционных методов компрометации обеспечивает законодательство.

Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.

Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависит надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.

Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5).

Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в "договорных" отношениях.

Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.

Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Закона об ЭЦП посвящена механизму удостоверения личности владельца открытого ключа.

Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как, - в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства - уполномоченному подразделению.

На практике сертификация открытых ключей выполняется следующим образом.

1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).

2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.

3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.

Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.

К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций.

В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:

наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;

подтверждение этой суммы банковской гарантией;

наличие страховки.

Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI - Public Key Infrastructure) в системах электронного документооборота и электронной торговли.

Термин "инфраструктура открытых ключей" включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей.

Основным компонентом инфраструктуры является собственно система удостоверяющих центров.

Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.

Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.

В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.

В настоящее время распространение получили две структурные модели системы сертификации - централизованная и децентрализованная.

Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте.

В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации).

Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации).

Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.

Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:

установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;

проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;

если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.

Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное oбecпeчение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.

Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договоpax). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.

Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.

Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Также могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка.

Заключение

В результате рассмотрения вопроса электронного документооборота и электронной цифровой подписи было раскрыто следующее:

понятие электронного документа и электронного документооборота;

цели и способы организации электронного документооборота;

проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.

Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. В тоже время электронная цифровая подпись способствует развитию электронного документооборота, повышается эффективность и скорость процесса документооборота.

Список литературы

1. Федеральный Закон РФ от 10.01.2002 № 1 - ФЗ "Об электронной цифровой подписи"

2. Беззубцев О.А., Мартынов В.Н., Мартынов В.М. Некоторые вопросы правового обеспечения использования ЭЦП // http://www.cio-world.ru/offline/2002/6/21492/.

3. Борохович Л., Монастырская А., Трохова М. Ваша интеллектуальная собственность. СПб.: Питер, 2007. С. 287.

4. Кристальный Б.В., Якушев М.В. Концепция российского законодательства в области Интернета // http://www.vic.spb.ru/law/doc/a84.htm.

5. Никитов В.А. и др. Информационное обеспечение государственного управления. М., 2008. С. 82-116.

6. Ткачев А.В. Законодательное регулирование правового статуса ЭЦП. Основные положения // http://www.confident.ru/magazine/new/18.html.

7. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики). Учебное пособие / Под ред. М.М. Рассолова. М.: Контракт, 2007.

Подобные документы

Цифровые способы обработки электрических сигналов, передачи и приема их в цифровой форме. Принцип работы автоколебательного мультивибратора. Разработка схемы электрической принципиальной устройства управления. Моделирование электронного коммутатора.

курсовая работа , добавлен 10.12.2012


Механика и принципы методов исследования поверхности твердого тела: вторичная электронная эмиссия; масс-спектрометрия. Принципы работы растрового электронного микроскопа. Разработка алгоритма расчетов секторных магнитов с однородным магнитным полем.

дипломная работа , добавлен 22.02.2012


Вычисление силовых трансформаторов с магнитопроводами типа ОЛ и Ш. Выбор размеров корпуса электронного блока с принудительным охлаждением. Расчет охлаждающей системы, площади радиатора проходного транзистора блока питания и параметров электронного блока.

курсовая работа , добавлен 01.04.2013


Функции микропроцессоров в измерительных приборах. Цифровые вольтметры постоянного тока с время - импульсным преобразованием. Назначение, принцип действия и устройство цифровых частотомера, спидометра, термометра электронного весового оборудования.

реферат , добавлен 10.06.2014


Методика разработки электронных устройств. Исследование основных принципов построения усилительных каскадов. Выбор и расчет электронного транзисторного усилителя с полосой рабочих частот 300Гц – 50кГц. Проведение макетирования и испытания усилителя.

курсовая работа , добавлен 22.01.2013


Проектирование элементов телекоммуникационных систем. Отличительные свойства и преимущества схем на коммутируемых конденсаторах. Расчет передаточной функции фильтра цифровой коррекции и коэффициента усиления. Схемы модуляции и выбор аналоговых ключей.

курсовая работа , добавлен 06.02.2013


Разработка структурной и принципиальной схем электронного тахометра. Изучение принципа работы датчика магнитного поля. Выбор микроконтроллера. Проектирование управляющей программы для микроконтроллера. Адаптация устройства к промышленному применению.

курсовая работа , добавлен 22.01.2015


Назначение электронного вольтметра, принцип его действия, технические характеристики, конструкция и структурная схема. Разработка схемы поверки вольтметра, составляющие погрешностей. Обработка результатов измерений. Безопасности при работе с прибором.

курсовая работа , добавлен 10.06.2013


Назначение основных блоков электронного трансформатора. Выбор входного выпрямителя и фильтра. Расчет трансформатора, мощности разрядного резистора и схемы силового инвертора. Разработка системы управления силовым инвертором. Проектирование блока защиты.

курсовая работа , добавлен 05.03.2015


Теоретические основы методов расчета корректирующих цепей САУ и исследование их устойчивости. Особенности модернизации электронного термометра с использованием корректирующей цепи последовательного типа. Исследование устойчивости типовых звеньев САУ.

Электронная цифровая подпись (ЭП)

Электронно-цифровая подпись в СЭД: что нужно знать?

Сергей Силин
31 января 2007 г. 13:13

Сергей Силин

В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область “с высоты птичьего полета”. Не вдаваясь в детали, интересные только специалистам, мы постараемся рассказать о том, что позволяет и чего не позволяет реализовать электронно-цифровая подпись , а также дать практические рекомендации по применению ЭЦП в системах электронного документооборота, потребность в которых сегодня ощущается все сильнее.

По общему мнению собственноручная подпись на бумажном документе решает следующие задачи:

• убедить читателя в том, что человек, подписавший документ, сделал это сознательно ( подпись достоверна );
• доказать, что именно этот человек, и никто другой, сознательно подписал документ ( подпись неподдельна );
• будучи частью документа, защитить ее от мошеннического переноса в другой документ ( подпись невозможно использовать повторно );
• защитить и сам документ ( подписанный документ невозможно изменить );
• обеспечить материальность подписи и документа, гарантирующую, что человек, подписавший документ, не сможет утверждать впоследствии, что документ подписан не им ( от подписи нельзя отказаться ).

Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.

Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.

При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:

• подлинность - подтверждение авторства документа;
• целостность - документ не может быть изменен после подписания;
• неотрицание авторства (неотрекаемость) - автор впоследствии не сможет отказаться от своей подписи. ·

Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций - главная цель создания систем электронного документооборота (СЭД). Именно на нем мы и сосредоточим свое внимание в статье. Однако прежде необходимо уточнить, что понимается под использованием ЭЦП, имея в виду две основные его схемы:

• подписание электронного сообщения при его передаче и проверка подписи отправителя после получения, то есть защищенная передача документа . Часто подобную схему воспринимают как юридически значимый документооборот , что является глубоким заблуждением. Защита электронного сообщения посредством ЭЦП - вещь, безусловно, полезная и нужная, но для обеспечения полноценного документооборота совершенно недостаточная;
• использование ЭЦП во всем жизненном цикле электронного документа - при его создании, согласовании, утверждении, ознакомлении с ним и т. д. Только в том случае, когда автоматизируется полный жизненный цикл документа и ЭЦП является его неотъемлемой частью, можно говорить об использовании полноценной, т. е. юридически значимой системы электронного документооборота .

Далее будем рассматривать юридически значимые СЭД . Такие системы наиболее востребованы в крупных холдингах, государственных структурах управления, кредитных учреждениях, биржах, страховых компаниях - там, где необходимо в электронном виде документировать принятые решения и нести материальную ответственность в связи с ними.

СЭД с поддержкой ЭЦП: в чем выгоды

Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ , подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости - и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют.

Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу - возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота. Действующие лица и исполнители Как следует из вышеизложенного, ЭЦП - это аналог собственноручной подписи человека, применяемый в электронных документах. Электронно-цифровая подпись создается с помощью закрытого ключа - уникальной последовательности символов, которая известна его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств. Получатели электронного документа, подписанного ЭЦП, имеют возможность проверить действительность подписи посредством открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое в нем указано. Открытый ключ - это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП. Открытый и закрытый ключи образуют так называемую ключевую пару. Открытый ключ доступен любому пользователю информационной системы в составе сертификата ключа. Сертификат ключа является аналогом документа, удостоверяющего личность (например, паспорта). Это документ на бумажном носителе либо электронный документ с ЭЦП уполномоченного лица (сотрудника) удостоверяющего центра. Сертификат ключа помимо открытого ключа ЭЦП содержит идентификационные данные владельца. Сертификат передается пользователю СЭД и выполняет две задачи: подтверждает подлинность ЭЦП и идентифицирует владельца сертификата ключа подписи. И в том и в другом случае используются средства электронно-цифровой подписи - программно-аппаратный комплекс, обеспечивающий реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; создание закрытых и открытых ключей ЭЦП. Аналогом третейского судьи, которому доверяют все участники документооборота, является удостоверяющий центр - организационная структура, осуществляющая деятельность по управлению сертификатами ключей и поддержке их использования в различных подсистемах корпоративной информационной системы. Удостоверяющий центр может быть внешней организацией или подразделением той или иной компании. Еще один участник процесса - криптопровайдер. Это программный или аппаратно-программный модуль, реализующий один или несколько криптографических алгоритмов и предоставляющий свои функции внешним системам. Аналогом даты на бумажном документе, которую собственноручно проставляет лицо, подписывающее документ, является штамп времени. Речь идет о свидетельстве третьей доверенной стороны - организационной единицы, носящей название службы штампов времени. СЭД передает туда так называемое хеш-сообщение, которое получается в результате криптографического преобразования документа. На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хеш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно в СЭД. Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей называется инфраструктурой открытых ключей (ИОК). Как всегда, все дело в деталях реализации! Выбирая СЭД с поддержкой ЭЦП, следует обратить внимание на особенности реализации выбранной системы. Рассмотрим ключевые аспекты, которые необходимо учитывать. Не только содержание, но и форма Во многих СЭД в качестве электронного документа рассматривается файл какого-либо типа (например, Microsoft Word или Adobe Acrobat), прилагаемый к регистрационной карточке. Хотелось бы обратить внимание на одно обстоятельство: подписание просто файлов (содержательной части документов) не представляет большого интереса для организации. Строго говоря, не вся информация в документе является “неструктурированной”, документ кроме содержательной части содержит реквизиты, которые можно и нужно выделять в отдельную структуру, чтобы в дальнейшем осуществлять по ним поиск и классификацию документов. Во многих ситуациях полезно подписывать не только содержание, но и форму. В этом случае можно отображать на экране компьютера и распечатывать электронный документ в том виде, в котором он был подписан, что позволит избежать всяческих конфликтных ситуаций. Все нюансы бумажного документооборота ЭЦП должна быть равнозначна собственноручной подписи и учитывать все нюансы бумажного делопроизводства. А именно - необходимо, чтобы СЭД позволяла подписать часть документа, поставить подпись в электронном документе последовательно (подписывается документ и все имеющиеся ЭЦП), параллельно (подписывается документ и все ЭЦП нижележащих уровней). На рисунке 3 приведены примеры использования ЭЦП в документе. Подпись “заверяю” - последовательная подпись первого уровня - охватывает только содержательную часть документа (это подпись автора документа). Подписи “согласовано 1” и “согласовано 2” (визы согласующих) - это параллельные подписи второго уровня. Они охватывают содержательную часть документа и подпись первого уровня и при этом не зависят друг от друга. Подпись “утверждаю” (виза руководителя) - последовательная подпись третьего уровня - охватывает содержательную часть документа и все предыдущие подписи. Формат электронного документа Для полноценной реализации ЭЦП система электронного документооборота должна поддерживать формат документа, являющийся канонической формой, к которой будет приводиться любой “электронный документ” в СЭД. С точки зрения удобства работы и перспективы развития и интеграции предпочтительны СЭД, которые для описания формата документа используют язык XML. В настоящий момент международными организациями ведется работа по созданию стандарта формата электронного документа. Штамп времени Важно отметить, что при работе с ЭЦП неизбежно возникает проблема, обусловленная тем, что срок действия любого сертификата ограничен определенным промежутком времени. По истечении срока действия сертификата все созданные при его помощи ЭЦП теряют свое значение, поскольку невозможно определить, была ли ЭЦП создана, когда сертификат еще действовал или когда срок его действия уже закончился. А это, в соответствии с федеральным законом “Об электронно-цифровой подписи”, автоматически означает недействительность ЭЦП. Поэтому внимание заслуживают лишь СЭД, интегрированные со службой штампов времени, которая позволяет в один из атрибутов системы помещать штамп, фиксирующий момент создания ЭЦП. При таком решении имеется возможность проверять ЭЦП с учетом того, действовал ли сертификат в момент создания этой ЭЦП, а не в момент проверки. Однако и этот штамп заверяется ЭЦП службы штампов времени, сертификат которой также имеет ограниченный срок действия. Для нивелирования данной проблемы существует стандартизированная методика, которая должна быть реализована в СЭД. Ее суть заключается в том, что, когда срок действия сертификата службы штампов времени подходит к концу, СЭД запрашивает для старого сертификата и набора служебной информации штамп времени с ЭЦП на новом сертификате, срок действия которого только начинается. Таким образом, благодаря действительности нового сертификата можно доказать, что до момента заверения действовал и старый сертификат. Архивная копия электронного документа СЭД должна позволять участнику системы получить архивную копию подписанного электронного документа, которая может быть представлена в качестве доказательства в случае возникновения конфликтной ситуации. Разумеется, необходимо учитывать ограничения политики безопасности, касающиеся конфиденциальных документов. Создание ЭЦП под документом Это действие должно выполняться пользователем осознанно. Не допускается подписывать документ в автоматическом режиме. Система обязательно должна задать вопрос, будет ли пользователь подписывать документ. Во многих существующих СЭД этому не уделяется должное внимание. Более того, некоторые разработчики, увлекаясь автоматизацией, специально реализуют автоматическую простановку ЭЦП под документом, что является абсолютно неверным подходом. Делегирование полномочий Отдельный вопрос - делегирование должностных полномочий одного пользователя системы другому. Очень часто руководители передают свое право подписания электронного документа доверенному лицу, при этом параллельно подписывают бумажный экземпляр документа, который в данном случае и является оригиналом. Вопрос не простой. Следует получить квалифицированную консультацию у юриста, в каких случаях делегирование допустимо и не противоречит действующему законодательству и каким образом этот факт должен быть оформлен документально. Просто передавать другому сотруднику свой закрытый ключ для создания ЭЦП недопустимо, поскольку такая ситуация трактуется как компрометация ключа, а следовательно, полученная под документом ЭЦП не является легитимной. Если говорить о реализации СЭД, то технически делегирование реализуется как выпуск удостоверяющим центром специальных сертификатов, имеющих ограниченное применение (указывается в сведениях об отношениях) и срок действия; при этом в реквизитах ЭЦП указывается, от кого делегированы данные полномочия. Для многих читателей термин “сведения об отношениях” почти наверняка покажется странным. Этим термином обозначается свойство сертификата, позволяющее ограничить область его применения. Например, сотрудник имеет право поставить подпись под служебной запиской, но не имеет права подписать финансовый документ. Бизнес-логика СЭД должна различать сертификаты, выпущенные для делегирования полномочий. Проверьте, чтобы эти возможности поддерживала СЭД и обеспечивающая ее инфраструктура. Внедрение СЭД с ЭЦП в организации: факторы успеха Регламент Для обеспечения юридической значимости электронных документов в организации должен быть разработан и утвержден регламент применения ЭЦП. Разработку регламента следует поручить квалифицированным специалистам и привлечь (в качестве консультантов) юристов. При этом необходимо доработать внутреннюю нормативно-правовую базу компании с тем, чтобы регламент не противоречил другим нормативным актам. Для органов государственной власти кроме перечисленного требуется, чтобы средства ЭЦП и удостоверяющий центр были сертифицированы в установленном законом порядке. Осведомленность Участники системы электронного документооборота должны хорошо понимать, что такое ЭЦП, как ее использовать и что она им дает. Это может быть обеспечено проведением семинаров по применению ЭЦП для руководителей подразделений. А уже затем руководители должны довести до своих подчиненных, какие выгоды получает компания и каждый сотрудник от внедрения ЭЦП. “Свои” или “чужие”? При развертывании в организации СЭД с ЭЦП необходимо решить, какую инфраструктуру открытого ключа использовать: разворачивать ли собственную (внутренняя) или прибегнуть к услугам сторонней компании (внешняя). Как правило, крупные компании и холдинги реализуют ИОК собственными силами, т. е. службы являются внутренними. Это решение имеет ряд преимуществ, поскольку позволяет полностью контролировать процесс функционирования ИОК. Для средних организаций экономически целесообразным может оказаться использование услуг других компаний. При этом между организацией и компанией-поставщиком заключается договор на предоставление услуг удостоверяющего центра и службы штампов времени. Для территориально распределенных организаций может быть целесообразным использование собственной иерархической структуры удостоверяющих центров. В этом случае удостоверяющий центр будет иметь корневой и подчиненные центры регистрации. Технически центры регистрации оснащены аппаратно-программными комплексами, реализующими функции работы с сертификатами ключей. В иерархической структуре удостоверяющего центра каждый центр регистрации (узел, к которому подключаются конечные пользователи) имеет собственный сертификат ключа, выпущенный и подписанный вышестоящим центром регистрации. При этом корневой центр регистрации использует сертификат ключа, подписанный собственным закрытым ключом (так называемый самоподписанный сертификат), так как у него нет вышестоящего центра регистрации. Установка самоподписанного сертификата корневого центра регистрации должна осуществляться по процедуре, исключающей подмену этого сертификата. Факторы, влияющие на успех внедрения СЭД с ЭЦП Организационные · Понимание того, для чего необходима ЭЦП и какие выгоды можно получить от ее применения. · Политика информационной безопасности. · Регламент бумажного делопроизводства. · Нормативно-правовая база применения ЭЦП в СЭД. · Квалифицированные специалисты в области информационной безопасности. Технические · В организации развернута инфраструктура открытых ключей либо имеется договор о предоставлении услуг удостоверяющего центра сторонней организацией. · Развернута служба штампов времени. · Обеспечивается доверенная среда выполнения программного обеспечения СЭД на рабочих местах пользователей и серверах. · На рабочих местах развернуты необходимые средства криптографической защиты. Кроме того, необходимо учитывать количество запросов, поступающих в удостоверяющий центр в единицу времени, и рассчитывать производительность сетевого оборудования, с тем чтобы обеспечить приемлемое время обработки запроса. Выбор компонентов ИОК Важным этапом является определение критериев, по которым следует выбирать компоненты ИОК. Необходимо изучить предлагаемые инфраструктуры открытых ключей: программное обеспечение удостоверяющего центра, аппаратно-программные или программные реализации систем для служб штампов времени, аппаратно-программные или программные криптопровайдеры. Выбор компонентов не слишком широк, и получить профессиональную консультацию вполне возможно. При этом необходимо иметь в виду, что имеющиеся аппаратно-программные комплексы импортного производства не обеспечивают работу с российскими криптографическими алгоритмами. Поддержка этих алгоритмов будет нужна, если возникнет потребность в сертификации СЭД. Из практики внедрения СЭД следует отметить, что наиболее остро встает вопрос организации развертывания службы штампов времени, состоящей из двух частей: сервера штампов времени и доверенного источника времени. Конкретная реализация службы зависит от потребности организации в длительном хранении электронных документов, подписанных ЭЦП. Как правило, сервер штампов времени, с которым необходима периодическая синхронизация, является внешним по отношению к организации и, таким образом, становится “точкой отказа”. Необходимо проработать вопрос обеспечения доступа к резервному серверу доверенного времени. На данный момент вопрос с доверенным источником времени на уровне государства никак не решен. Выбор СЭД Определившись с инфраструктурой, нужно потратить значительные усилия на выбор СЭД, поскольку предложений очень много. Принципиальные требования к СЭД уже обсуждались выше. Здесь отметим следующее. Разработчики подавляющего большинства СЭД, представленных на рынке, заявляют, что поддерживают юридически значимый электронный документооборот, однако термин этот у каждого трактуется по-своему. Например, ЭЦП проставляется без использования штампов времени, но документ объявляется юридически значимым. Как правило, заявление о поддержке юридически значимого документооборота является преувеличением, поскольку многие важные вопросы использования ЭЦП остаются неразрешенными. В этой связи следует критически относиться к подобным заявлениям и уточнять: что же понимает под юридически значимым документооборотом конкретный производитель СЭД. Желательно выбрать поставщика СЭД, имеющего опыт разработки регламента применения ЭЦП. Во многих случаях в СЭД отсутствуют средства для разбора конфликтных ситуаций, связанных с действительностью ЭЦП или отрицанием авторства, что технически не позволяет представить доказательства в суде. В СЭД должна существовать четкая процедура разбора конфликтных ситуаций и представления доказательств третьей стороне. Не исключено, что будет принято решение заказать разработку системы или существенно доработать существующую в организации СЭД. Последний подход не многим отличается по трудоемкости от заказной разработки, но значительно уступает в эффективности решения. Управление внедрением Внедрению должна предшествовать разработка стратегии организации. В этом документе следует четко сформулировать цели внедрения СЭД, определить принципы построения и этапы внедрения СЭД в организации. Развертывание ЭЦП является составной частью процесса внедрения СЭД, и рассматривать этот процесс как независимый не рекомендуется. Внедрение же СЭД является ответственным делом, и подходить к нему следует с особой тщательностью. При внедрении СЭД очень важна разработка нормативно-правовой базы. Этот процесс выполняется поэтапно (параллельно с внедрением самой системы) с учетом особенностей делопроизводства в организации и выбранной СЭД. Как показывает практика, СЭД с ЭЦП можно внедрить безболезненно, если ЭЦП является составной частью архитектуры системы. Компания получит безусловную выгоду, если ЭЦП частично внедрена в СЭД, например, в таких подсистемах, как “ведение договоров”, “заявки на денежные средства” и т. п., но максимальную выгоду от применения СЭД можно извлечь только при полномасштабном развертывании ЭЦП. Доверие к инфраструктуре Обеспечение доверия к внешнему окружению СЭД является ключевым моментом развертывания ЭЦП в организации. Особое внимание следует обратить на доверенную (т. е. исключающую подмену) установку на рабочем месте пользователя самоподписанного сертификата корневого центра регистрации. Желательно также обеспечить доверенную среду, в которой будет работать СЭД. Для получения полностью доверенной среды необходимо использовать ряд аппаратно-программных компонентов, обеспечивающих (возможно их поэтапное подключение): доверенную загрузку операционной системы, например, с использованием “электронного замка”; регулярное обновление антивирусного ПО (как на серверах организации, так и на рабочих станциях); централизованную установку ПО на рабочих местах пользователя. Необходимо также получить гарантии от разработчиков СЭД на отсутствие недокументированных функций в системе. Если все эти вопросы тщательно проработаны, то организационные и технические сложности процесса внедрения ЭЦП будут минимальными. Заключение Изначально СЭД проектировались без учета применения ЭЦП, они моделировали работу с бумажными документами, от которых организации не собирались отказываться. По мере осознания того, что ЭЦП использовать нужно, разработчики стали встраивать в существующие СЭД функции ЭЦП, рассматривая их как дополнительные. Однако в результате получались решения с ограниченными возможностями, поскольку полноценное встраивание ЭЦП требовало слишком больших переделок в существующих системах. Сегодня, на очередном витке развития информационных технологий, разработчики вновь создаваемых СЭД уже не рассматривают ЭЦП как некое дополнение и учитывают необходимость ее применения уже на этапе разработки архитектуры системы. Мировой опыт развития СЭД показывает, что перспективы применения ЭЦП в электронном документообороте и смежных областях весьма впечатляющи. Наблюдается бурное развитие технологий потокового сканирования и распознавания графических образов, что позволяет перевести практически любые бумажные документы в электронный вид и обеспечить эффективный полнотекстовый поиск по ним. Развивается ИОК. В сочетании с общей тенденцией к ускорению принятия решений по документам и потребностью именно в юридически значимых электронных документах это приводит к тому, что электронная цифровая подпись становится востребованной как никогда ранее.

В этой статье будут даны конкретные инструкции по установке ЭЦП в программе документооборота, в том числе ЭЦП фирмы КриптоПро для «1С:Документоборот». Мы также разместили для вас видео-ролик, показывающий все шаги. Но сначала немного об электронно-цифровых подписях в нашей жизни.

Мировое сообщество информационных технологий не стоит на месте, а уверено шагает в ногу со временем. На сегодняшний день трудно себе представить компанию, в которой не существовало бы компьютеров, принтеров и другой офисной техники. Век печатных машинок остался в прошлом и на сегодняшний день практически все применяют электронные документы вместо бумажного «документооборота» . И дело даже не в том, что в случае небольшой ошибки, допущенной во время набора текста, приходиться переводить бумагу на макулатуру, важнее всего время, которое будет потрачено на написание нового документа.

В электронном виде документооборот становится удобным и быстрым видом передачи документов. Достаточно сохранять шаблоны, а потом только подставлять данные, изменять или исправлять ошибки. Электронный обмен документами также не требует затрат на бумагу, на оплату услуг курьера и т.д.

Вот только с приходом новых технологий мошенники тоже «не дремлют» и стараются придумывать все новые способы для обмана. Например, при обмене электронными документами недобросовестные партнеры могут изменить в документе некоторые цифры, а потом выдавать этот документ за оригинал. Как раз для того, чтобы защитить себя в таких случаях стали разрабатываться и применяться разные методы защиты данных. Одной из самых популярных на сегодняшнее время является электронно-цифровая подпись.

Необходимость в ЭЦП возникла, когда нужно было скрыть от чужих глаз важную информацию, а также как подтверждение того, что документ не подвергался изменению за время прохождения по каналам связи. Механизм цифровой подписи был создан как побочный эффект криптографического шифрования с открытым ключом. Следствием такого подхода к шифрованию данных появилась возможность применения двух ключей – секретного и открытого.

Секретный ключ применяется собственно для самой подписи и доступен только автору информации, а открытый ключ предназначен для проверки подлинности документа и, как правило, является общедоступным. Чтобы проверить подлинность документа, открытый ключ, шифро-текст и исходный текст сопоставляются между собой. Если результаты проверки идентичны, значит, документ не подвергался изменениям. Шифро-текст не доступен никому, кроме обладателя секретного ключа, а потому он выступает гарантом подлинности и считается личной подписью владельца ключа – электронно-цифровой подписью.

Поскольку цифровая подпись является полным аналогом собственноручной подписи правомочного лица на бумажном документе, такой юридически значимый документооборот имеет полную законную силу. Файл (документ), заверенный электронной подписью, гарантирует целостность документов, их конфиденциальность, дает возможность установить личность отправителя. Использование такого документооборота не только сокращает время доставки и финансовые затраты компании, но и делает процедуру оформления, подготовки, хранения и учета документации более эффективной.

Электронный документооборот происходит следующим образом: сначала стороны договариваются между собой о средствах ЭЦП, которые будут использоваться в процессе обмена файлами. В России наиболее приемлемым и сертифицированным является программный или программно-аппаратный комплекс. После того, как средство выбрано и одобрено обеими сторонами, партнеры выполняют генерирование ключей по секретному и открытому ключу для каждой стороны. Для того, чтобы партнеры могли убедиться в подлинности ЭЦП, они обмениваются открытыми ключами. Этот процесс нужен для предотвращения конфликтной ситуации, которая может возникнуть в случае, если один из партнеров обнаружит при проверке, что личная подпись другой стороны не прошла идентификацию. Далее из исходного документа (файла) и его ЭЦП составляется непосредственно сам электронный документ. Такой документ состоит из двух частей: из общей, в которой содержится сам текст документа, и особой, содержащей все обязательные ЭЦП .

Видео-ролик о работе с ЭЦП в программе «1С:Документооборот»

Ролик показывает все процессы подключения ЭЦП к «1С:Документооборот» от скачивания и установки Крипто-Про до настройки «1С:Документооборот». Данный ролик записан нашими партнерами. Перейдите к следующей странице для просмотра.

Технический прогресс затронул все области профессиональной деятельности человека, предложив на смену старым методам работы новые современные подходы. Одними из таких универсальных открытий стал электронный документооборот, электронно цифровая подпись, позволяющие решать разнообразные задачи движения документов с момента их создания до завершения исполнения.

Что такое эцп?

Цифровое факсимиле представляет собой электронное подобие собственноручной подписи. Оно создается с помощью специальных математических алгоритмов и систем криптографического шифрования. Эта сложная конструкция на выходе трансформируется в закодированную строку, которую потребитель видит как стандартный реквизит. Эцп для электронного документооборота носит такой же юридический статус, что и оригинал. Правомерность цифровой подписи закреплена соответствующим Федеральным законом № 1 «Об электронной цифровой подписи».

Структура цифровой подписи

Электронное факсимиле обладает довольно специфической системой построения, состоящей из функциональных и защитных элементов программирования. Так, классическая эцп для эдо обязана содержать в себе:

• сертификат, подтверждающий соответствие открытого ключа электронной печати владельцу данного сертификата;
• открытый ключ, проверяющий подпись (тот же пароль);
• закрытый ключ, активизирующий ЭП и разрешающий заверять электронные документы.

Оба ключа работают только в тандеме, при двустороннем задействовании. Также оригинальная электронная подпись поддерживается специальным удостоверяющим центром, следящим за ее неизменностью и сохранностью.

Как и где использовать?

Эцп для документооборота разработана в целях защиты документа от подделывания и позволяет с легкостью устанавливать его авторство или легальность. Способ применения факсимиле несложный и выполняется в заданной последовательности. Чаще всего цифровая подпись применяется для:

• электронной отчетности в госорганах;
• актов выполненных работ;
• накладных;
• договоров и сделок на малые денежные суммы.

Используется активно и эцп счетов-фактур, способствуя оперативности пересылки оригинальных документов контрагенту, оптимизации работы с документооборотом и снижению расходов на его организацию. Исключением, где цифровая подпись не применяется, является свидетельство о праве наследования и акты, создаваемые только в единичных экземплярах.

Преимущества ЭЦП

• Защита документа от подделки и несанкционированного просмотра.
• Обеспечение целостности информации.
• Определение аутентичности документа и его автора.
• Сокращение время оформления бумаг.
• Полноценная замена рукописной подписи.
• Легальность.

Качественная электронная подпись для документооборота, купить которую можно в профильном центре регистрации, гарантирует безопасность и эффективность всего документационного вращения.