Наверх

Электронная подпись. Ответы на частые вопросы по организации использования ЭП

Архив
Время чтения: 9 минут
1
Электронная подпись. Ответы на частые вопросы по организации использования ЭП

Что нужно для начала эксплуатации электронной подписи и удостоверяющего центра? Нужен ли свой УЦ? Какова правовая основа использования ЭП внутри организации и при взаимодействии с внешними контрагентами?

Статья "Электронная подпись. Ответы на частые вопросы по организации использования ЭП"

В статье приведена информация, которая поможет ответить на следующие вопросы:

●   какова правовая основа использования ЭП внутри организации и при взаимодействии с внешними контрагентами?

●   что нужно для начала эксплуатации электронной подписи и удостоверяющего центра (УЦ)?

●   нужен ли свой УЦ?

●   как проверяются ЭП, полученные в разных УЦ?

Правовые основы

Правовое регулирование отношений в области использования ЭП осуществляется в соответствии с федеральным законодательством:

●   ФЗ №63 «Об электронной подписи», вступил в силу в апреле 2011 года;

●   Гражданский кодекс РФ, Часть первая, статьи 160 и 434;

●   Постановление Правительства РФ от 9 февраля 2012 г. № 111 «Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи»;

●   Приказ Минкомсвязи России от 29 сентября 2011 г. № 242 «Об утверждении порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра»;

●   Приказ Минкомсвязи России от 5 октября 2011 г. № 250 «Об утверждении порядка формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров»;

●   Приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»;

●   Приказ ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра».

Примечание: закон ФЗ №1 «Об электронной цифровой подписи» утратил силу 1 июля 2013 года, но сертификаты на электронно-цифровые подписи, выданные в соответствии с ним, действуют до 31.12.2013.

В том числе, вопросы использования ЭП, регулируются соглашениями, достигнутыми между всеми участниками электронного взаимодействия.

Электронная подпись может использоваться как при документообороте между контрагентами, так и в рамках одной, конкретно взятой компании.

Одно лишь использование сертифицированных средств не позволяет сказать, что созданная с их помощью система электронного документооборота автоматически приобретает юридическую значимость. Организации необходимо иметь:

●   Регламент использования ЭП в каждой отдельной системе документооборота, либо использовать иной документ, называемый Соглашением об использовании ЭП;

●   Регламент предоставления услуг Удостоверяющего центра (УЦ) по обслуживанию СЭД (для организаций, пользующихся услугами третьей доверенной стороны - УЦ)

Регламент использования ЭП в системе документооборота определяет:

●   порядок организации криптографической защиты информации при электронном документообороте;

●   работу с Удостоверяющим Центром;

●   порядок регистрации пользователей СЭД.

В Регламенте должен быть описан порядок разрешения конфликтных ситуаций, с которым должны согласиться пользователи СЭД. Также пользователи СЭД должны признать, что использование в СЭД средств криптографической защиты информации, которые реализуют ЭП и шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия.

В Регламенте определяется перечень программного обеспечения (вплоть до версий), с помощью которого могут создаваться электронные документы. На практике в таком Регламенте также приводится перечень документов (типов, наименований), которые могут подписываться ЭП, с описанием их форматов и, если требуется, правил оформления.

Кроме определения документов, в Регламенте определяются

●   формат сертификата ЭП;

●   используемые средства электронной подписи;

●   условия равнозначности ЭП и собственноручной подписи.

Организация получения ЭП

Здесь возможны два варианта развития событий:

●    Сторонний удостоверяющий центр

●    Собственный УЦ

Сторонний УЦ удобен в случае обмена электронными документами с более чем двумя сторонними организациями, т.к. в случае присутствия в схеме обмена трех и более организаций, без участия УЦ, необходимо будет заключать перекрестные договоры о взаимном доверии ЭП каждого участника электронного документооборота.

Также услуги стороннего УЦ удобны в случае необходимости обеспечения ЭП не большого круга лиц организации, т.к. «содержание» собственного УЦ в данном случае, с экономической точки зрения, не целесообразно.

Здесь встает задача только выбора УЦ и заключения с ним необходимых соглашений (договоров) и оплаты.

Разворачивание собственного УЦ

Как правило, собственный удостоверяющий центр (далее, УЦ) в компании создается с целью обеспечения внутреннего юридически значимого документооборота. Собственный УЦ имеет смысл разворачивать только в том случае, если в организации практикуется массовое применение электронной подписи всеми сотрудниками, вплоть до рядовых.

И для этого будет необходимо:

1. Собственно развернуть УЦ. А значит необходимо наличие специалистов, которые могут это сделать и в дальнейшем поддерживать работу УЦ.

2. Сформировать и выпустить пакет документов, регламентирующих использование электронной подписи, в компании, что тоже требует знаний и труда.

После принятия ФЗ №63 «Об электронной подписи», несколько упростилась задача обеспечения юридически значимого электронного документооборота, например, в конкретно взятой организации, или между двумя контрагентами, т.к. допускается использование (если стороны договорились об этом – ст. 160 ГК РФ) как простой электронной подписи, так и неквалифицированной электронной подписи (п. 2 ст. 6 ФЗ №63 «Об электронной подписи»).

То есть для разворачивания УЦ и создания ЭП возможно использовать несертифицированные средства, например, службы Cryptographic Service Providers, входящие в состав Microsoft Windows.

Перейдем к документации. В рамках компании достаточно пакета внутренних документов, регламентирующих использование ЭП в организации (п.1 ст. 3 ФЗ №63 «Об электронной подписи»). В пакет документов в первую очередь должны входить:

●   Приказ руководителя компании об использовании ЭП;

●   Приказ о назначении ответственного сотрудника или подразделения за использование ЭП в компании;

●   Положение об ЭП;

●   Регламент использования ЭП.

В данных документах необходимо, в том числе осветить условия признания электронных документов, подписанных ЭП, равнозначными документам на бумажном носителе, подписанным собственноручной подписью (ст. 6 ФЗ №63 «Об электронной подписи»).

В случае организации своего УЦ, роль УЦ на себя может взять одно из подразделений организации.

Функции Удостоверяющего центра

УЦ должен выполнять следующие функции (ст. 13 ФЗ №63 «Об электронной подписи»):

1. Создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);

2. Устанавливает сроки действия сертификатов ключей проверки электронных подписей;

3. Аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;

4. Выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

5. Ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;

6. Устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети "Интернет";

7. Создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

8. Проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;

9. Осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;

10. Осуществляет иную связанную с использованием электронной подписи деятельность.

Система доверия между УЦ

Так как удостоверяющих центов может быть много, и ЭП в разных организациях может быть получена в разных УЦ. Проверка ЭП на достоверность связана доверием между УЦ, в котором ЭП получена и проверяется.

Доверие, в отношении УЦ, означает заверение сертификата одного УЦ электронной подписью другого УЦ. УЦ объединяются на основе используемой модели доверительных отношений. Основной частью инфраструктуры открытых ключей, является система управления сертификатами открытых ключей, базирующаяся на системе Удостоверяющих Центров.

Различают три модели доверительных отношений УЦ:

●   корневая (иерархическая) модель доверия;

●   сетевая (на основе кросс-сертификации) модель доверия;

●   смешанная (гибридная) модель доверия.

В иерархической модели УЦ высшего уровня заверяют сертификаты УЦ низших уровней. Корневой УЦ имеет самозаверенный сертификат.

Преимущество данной модели – относительная простота масштабирования системы и построения цепочек сертификатов.

Недостаток – компрометация сертификата УЦ влечет за собой приостановление работы нижестоящих УЦ.

В сетевой модели все УЦ имеют самозаверенные сертификаты, а доверие строится на основе взаимной подписи сертификатов УЦ (кросс-сертификации). Различают двустороннюю кросс-сертификацию и одностороннюю кросс-сертификацию, реализующие, соответственно, взаимное доверие и одностороннее доверие УЦ в сетевой модели.

Преимущество сетевой модели – система менее уязвима к компрометации сертификатов УЦ.

Недостаток – сложен алгоритм построения цепочек сертификатов.

Гибридная модель доверия представляет из себя объединение иерархической и сетевой моделей в одной инфраструктуре УЦ. В этом случае часть УЦ из иерархии вступают в кросс-сертификацию с УЦ, не входящими в иерархию.

Дополнительные материалы по теме статьи:

●   Практика обеспечения юридической значимости 

●   Инструкция по электронному документообороту. Пишем вместе.

Источник: DIRECTUM Club

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 1

Вадим Майшев 8 ноября 2013
После принятия ФЗ №63 «Об электронной подписи», несколько упростилась задача обеспечения юридически значимого электронного документооборота, например, в конкретно взятой организации, или между двумя контрагентами, т.к. допускается использование (если стороны договорились об этом – ст. 160 ГК РФ) как простой электронной подписи, так и неквалифицированной электронной подписи (п. 2 ст. 6 ФЗ №63 «Об электронной подписи»).

Весьма спорное суждение. На самом деле, стало больше путаницы в головах. Использование неквалифицированной ЭП, даже с применением сертифицированных СКЗИ, требует предварительной договорной и регламентационной работы. Простая ЭП по сути а) вообще не является подписью - это аутентификация поднятая до уровня подписи, б) специалисты еще не придумали ни одной технологии, которую можно положить в основу механизма такой подписи, в) опять предварительная договорная работа.

Все это (не ЭЦП(ранее)/квалифицированная ЭП (сейчас)) жило и до 63-ФЗ, и может существовать и далее по ст.160 ГК РФ под названием "аналог собственноручной подписи". Просто кому-то это казалось сложно и захотелось что-то упростить - в итоге ничего не изменилось, а в головах путаница. Аутентификация (проверка субъекта с помощью паролей/устройств/сертификатов перед авторизацией - предоставлением ему полномочий для определенного действия) и подпись документа (защита документа от подделки и обеспечение авторства) - отличающиеся сущности.

Подпись нужна, как правило, для представления документа в другие организации, сложно представить, что простая/неквалифицированная ЭП подойдет для этого случая. Внутри организации нужно лишь проверить пользователя перед совершением действия в информационной системе - используется аутентификация, а там, где создается документ - нужен аналог собственноручной подписи или квалифицированная подпись, если документ надо будет представить в другую организацию.

Чтобы прокомментировать, или зарегистрируйтесь