Журнал о системах электронного документооборота (СЭД)
Электронная цифровая подпись (ЭП)

Имеет ли право

  11 комментариев Добавить в закладки

 

"Я имею право" - надпись на тайском и английском. Источник: flickr.com, by u_findvoiceПредположим, две организации решили: обмениваемся только электронными документами. Или преимущественно электронными. Для того чтобы обеспечить доверие к документам, решили использовать ЭЦП.

Внимательно почитали Закон об ЭЦП, приняли Положения об ЭЦП, Об электронном документообороте внутри организации и между организациями, сформировали удостоверяющий центр или обратились за услугами во внешний, назначили ответственных за ведение реестра ЭЦП и выдачу ЭЦП пользователям. Даже определили доверенные форматы документов.

 

Тем самым закрепили право на существование и юридическую значимость электронного документа – по крайней мере, во взаимоотношениях двух организаций.

Но остается одна – может быть, не очень существенная – проблема. Подписи на бумажном документе доверие есть потому, что она заверена печатью; причем – что важно – заверяется не только личность подписавшего, но и его право подписывать этот тип документа.

Электронной цифровой печати нет, цифровая подпись – это единственное, что у нас есть. И при развитых горизонтальных связях, когда обмен документами между компаниями может идти без участия службы делопроизводства, факт наличия права подписи именно этого сотрудника не может быть проверен.

Есть ли выход? И так ли существенна эта проблема?

Ещё материалы автора
Похожие записи
Комментарии (11)
Наталья Храмцовская 02 августа 2007 г. 23:16  
Максим Галимов пишет: "...факт наличия права подписи именно этого сотрудника не может быть проверен"

Приличные удостоверяющие центры требуют предъявление нотариально заверенной доверенности на право совершения тех действий, которые планируется осуществлять с помощью ЭЦП (и информация о которых заносится в сертификат).

Максим Галимов пишет: "И так ли существенна эта проблема?"

У нас уже есть примеры нормативных актов, в которых устанавливается, что ЭЦП эквивалентна собственноручной подписи + печати. Проблема существует только тогда, когда закон или нормативный акт явно требует наличия печати на документе. Для многизх видов документов (даже для бумажных) печать не является обязательным реквизитом.

Максим Галимов 03 августа 2007 г. 08:46  

Да, для внешних удостоверяющий центров, не сомневаюсь, это должно быть просто обязательным - требовать доверенность. Только все равно, по-моему, проблема остается.

Просто моделирую ситуацию: вот приходит мне, ну скажем, какая-нибудь заявка, с помощью ЭЦП подписанная пользователем А из организации Б. Я уверен, что пользователь А имеет право подписывать какие-то документы организации Б, т.к. иначе ему не выдали бы ЭЦП. Но чтобы узнать, что он имеет право подписывать именно заявку, я должен либо запросить УЦ, либо вести собственный реестр (что плохо, т.к. люди меняются и за всеми изменениями не уследишь), либо в самом документе должна быть запись, на основании чего (доверенности, Устава) осуществлена подпись (чтобы как минимум позже можно было проверить).

Сергей Бушмелев 03 августа 2007 г. 09:41  

Насколько я понимаю, Максим обеспокоен тем фактом, что без печати организации на документе трудно проверить полномочия лица, подписавшего документ. Действительно, мы привыкли думать, что печать - вещь сугубо официальная, представляет именно само "юридическое лицо", а не его представителей, действующих на основании устава или доверенности. Печать на подпись абы кого не поставят, ибо ставит ее либо сам директор, либо строгий и неподкупный бухгалтер, либо не менее строгий, неподкупный, ответственный секретарь, который в случае сомнений запросто слетает в кабинет "генерального",  чтоб узнать, стоит ли ставить печать на ту или иную бумажку. Понятно, что это всего лишь "стереотип", но все же...

Когда же по электронной почте приходит не менее электронный документ, подписанный ЭЦП, скажем, заявка от партнера, с которым установлен самый что ни на есть электронный документооборот, может возникнуть вопрос, имел ли подписавший его [электронный документ] человек права на подпись этого документа? Здесь мы не говорим о документах, подписанных первым лицом предприятия, имя которого заранее известно, а о документах более "низкого полета", скажем, различных заявках, заказах от партнеров и т.п. Да и документ, подписываемый первым лицом предприятия, может быть подписан кем-то другим, например, его замом. И даже если в сертификате и есть заветное слово "зам", у контрагентов могут появиться сомнения в правомочности такого "замещения".

Думается, проблема выходит за рамки собственно электронного документооборота, касаясь и самого "базового" правоотношения (партнерство, поставка, выполнение работ, оказание услуг и т.п.), на базе которого данный электронный документооборот и построен. Можно, конечно, в случае сомнения, позвонить контрагенту и спросить у "верного человечка", кто есть такой этот Сидоров, что подписал документ.

Но есть, как мне кажется, способ лучше. Можно в соглашении об электронном документе определить, что все действия сотрудников организации - участника документооборота  (а, значит, и подписывание ими электронных документов)  считаются исполненными ими в рамках их полномочий и с ведома самого участника (читай - руководства данного участника). Получается такая виртуальная "ЭЦП юридического лица". И пусть голова болит уже у руководства контрагента! ;)

Андрей Корепанов 06 августа 2007 г. 09:13  

Наталья, Вы пишете, что удостоверяющие центры при выдаче сертификата заносят в него информацию о том, какие действия можно выполнять с помощью закрытого ключа, связанного с этим сертификатом. Но можно ли в него занести информацию, что владелец может подписывать только финансовые или только технологические документы? Что для этого используется? Существуют некие OID для задания свойств улучшенного ключа (enhanced key usage) или для этого применяются иные свойства сертификата? Не можете поделиться информацией?

Наталья Храмцовская 06 августа 2007 г. 16:33  
Конечно, в сертификате можно указать виды документов, которые сотрудник имеет право подписывать. Технические детали, честно говоря, я знаю "не очень". OID, если я не ошибаюсь, это глобальный идентификатор политики УЦ, в рамках которой выпускается сертификат - так что, наверное, его тоже можно использовать.

С моей точки зрения, как специалиста ДОУ, главная трудность состоит не в том, чтобы определить, как может использоваться ЭЦП - для этого средства найдутся. Труднее всего заставить пользователей после положительной проверки ЭЦП ещё и раскрыть и проверить сертификат. Там, где документы идут сплошным потоком, - это практически невозможно.
Андрей Корепанов 07 августа 2007 г. 10:11  
OID-это несколько больше. Это глобальный уникальный идентификатор классов объектов и атрибутов, используемых для построения ASN структур. Чтобы не углубляться в дебри, просто замечу, что цифровые сертификаты, криптографические сообщения, зашифрованные данные и еще многое, связанное с криптографией, в сущности своей являются ASN структурами. И, соответственно, как Вы правильно заметили, при описании политик УЦ без использования OID тоже не обходится. Я спросил Вас об информации про OID по простой причине. Свойства, описывающие назначение сертификата, представляют из себя атрибуты сертификата и задаются с использованием OID. Например, если Вы видите, что назначение сертификата "Проверка подлинности клиента", то в свойствах улучшенного ключа присутствует OID "1.3.6.1.5.5.7.3.2". Есть хорошо известный OID "1.3.6.1.4.1.311.10.3.12", соответсвующий назначению "Подписывание документа". Но вот хорошо известных OID для назначений использования сертификата, соответствующих, например, "Подписывание технологического документа" или "Подписывание финансового документа", мной, к сожалению не найдено. А вот, если бы они точно были, то уже можно говорить об автоматизации проверки полномочия подписания документа, т.к. при проверке подписи можно извлечь атрибуты сертификата и сопоставить назначение сертификата и вид документа.
Хотя это конечно только теория, т.к., как правило, цифровая подпись документа не защищает вид этого документа и подобная проверка ничего гарантировать не будет. Что же касается визуальной проверки человеком правомочности подписи, то, несомненно, подавляющее большинство взрослых людей отличит техническое задание смежному проектному институту от финансового отчета за текущий квартал, но не все виды документов так разительно отличаются. И, соответственно, и при такой проверке возможность манипуляции видами документами, согласитесь, возможна.
Максим Галимов 07 августа 2007 г. 10:22  

Судя по всему, перечень OID должен быть расширяемым.

Андрей Корепанов 07 августа 2007 г. 21:38  
Да, перечень расширяемый. Можно сказать, слишком легко расширяемый. Поэтому, скорее всего, различные УЦ для обозначения специфичных назначений сертификата используют различные OID. Таким образом, для автоматической обработки необходимо сначала определить кем выдан сертификат и только потом проверить остальные атрибуты сертификата. Однако, пытаться построить список всех УЦ на планете - бесперспективное занятие. А вот если бы нашелся список хорошо известных OID, к которым можно бы было привязаться, то задача бы значительно упростилась.
Наталья Храмцовская 07 августа 2007 г. 21:52  
Интересный пример OID приведен здесь: http://www.signatura.ru/oid.html (последняя таблица).

Как видно, OID-ы у каждого УЦ свои, - что не облегчает их использование для автоматического определения прав подписанта.
Андрей Корепанов 08 августа 2007 г. 08:18  

Наталья! Огромное спасибо за ценное указание про последнюю таблицу.

 

Всем спасибо за интересную дискуссию. Думаю, что истину мы установили: проверять право подписи нужно и можно. В идеале человеческий фактор должен быть исключен. Только это трудный путь для разработчиков систем электронного документооборота, поэтому готовых решений мы в ближайшем будущем вряд ли увидим.

Максим Галимов 08 августа 2007 г. 08:21  

Но хотя бы мы сможем "вручную" посмотреть, предназначается ли сертификат для подписания этого типа документов. Хотя, по-моему, можно кое-что придумать и для автоматического распознавания. Ведь вероятнее всего, организация будет работать с одним УЦ, и настроиться на его политики как-то можно попытаться.

Сейчас обсуждают
Больше комментариев