Ключевые возможности

Поддерживаются следующие форматы документов:

• PKCS#7/CMS/CAdES;

• Microsoft Office;

• PDF (CMS/CAdES);

• XMLDSig.

Поддерживаются все основные платформы:

• Microsoft Windows;

• Apple OS X;

• Linux.

Поддерживаются все современные веб-браузеры:

• Microsoft Internet Explorer;

• Mozilla Firefox;

• Google Chrome;

• Opera;

• Apple Safari;

• Яндекс.Браузер.

Предоставляет единую точки входа для подписания документов и управления сертификатами пользователя.

Визуализация электронных документов.

Кому и зачем нужна визуализация ЭП?

Визуализация нужна не всем.

Пользователю, работающему с визуальным или бумажным представлением электронного документа, нужны представленные удобным образом сведения о том:

— Кто и когда подписал документ

— Намерение подписанта (утверждение, заверение, согласование, визирование, ознакомление и т.д.)

А также о результате проверки электронной подписи.

Арбитражная практика: Стороны не смогли представить в суд подлинник контракта

Суть спора: Расторжение государственного контракта (дело №А40-74288/11).

ФАС Московского округа в апреле 2012 года посчитал, что в дело была представлена только незаверенная копия неподписанного сторонами договора.

Общество ссылалось при этом на заключение договора в электронном виде. По мнению суда, из имеющейся в деле копии договора это не следовало.

По мнению суда, сведения о проверке и подтверждении подлинности цифровых подписей сторон должны быть отражены в копии договора лицом, представляющим эту копию.

Варианты визуализации

Визуализация наличия в документе электронной подписи (под контролем подписанта).

Визуализация результатов проверки ЭП (под контролем отображающей документ программы).

Комбинированная визуализация.

Варианты использования визуализации

Визуализация ЭП в электронном подлиннике, «сцепленная» с ЭП.

Визуализация ЭП в электронной или бумажной копии (самой ЭП нет).

Визуализация может быть «встроенной» в документ, а может создаваться динамически конкретным программным обеспечением.

Могут быть созданы веб-сервисы для проверки целостности и аутентичности электронных документов.

Сфера применения стандарта

Требования и рекомендации о внешнем представлении подписи в PDF-файле

— Внешнее представление подписи формируется подписантом. Автоматической проверки этих сведений не производится.

— Должна иметься возможность визуально сопоставить эту информацию с информацией, взятой из самой подписи.

Отображение результатов проверки подписи в PDF-файле

— Показывается в виде отдельного от основного текста объекта.

— Отчет имеет иерархическую структуру. На верхнем уровне отражается наиболее важная для обычного человека информация (итог проверки и имя подписанта).

Информации для включения в визуальное представление подписи

Если сертификат содержит образ сертификата, то он должен включаться в визуальное представление.

Если образа сертификата нет, то выдается:

— Имя подписанта

— Организационная принадлежность подписанта

— Изображение логотипа, взятое из сертификата подписанта

— Графическое изображение рукописной подписи, взятое из сертификата

А также:

— Вспомогательная информация, например, предупреждение о том, что сведения в визуальном представлении не проверяются.

Визуальное представление результатов проверки подписи

Статус: верна, неверна, неопределен.

Причина, по которой результат признан неверным или неопределенным.

Сведения о проверке целостности документа и о проверке сертификата.

Должна быть идентифицирована версия документа, которая была подписана. Должна быть возможность просмотреть эту версию.

Сведения о сертификате и его владельце

Выдаются в случае успешной проверки

Если сертификат содержит образ сертификата, то он должен включаться в визуальное представление

Если образа сертификата нет, то выдается:

— Имя подписанта

— Организационная принадлежность подписанта

— Изображение логотипа, взятое из сертификата подписанта

— Графическое изображение рукописной подписи, взятое из сертификата

Сведения о доверенном удостоверяющем центре

Информация о действительности сертификата на момент подписания

Визуальное представление результатов проверки отметки времени

Отметки времени подписываются организацией, оказывающей соответствующие услуги.

На верхнем уровне:

— Результаты проверки отметки времени

— Время, которое обозначено в самой отметке времени

— Название сервера, поставившего отметку времени, и название организации, которой он принадлежит.

В Минкомсвязи подготовлены и обсуждены на Экспертном совете по ЭД Проект Регламента обмена электронными документами при взаимодействии федеральных органов исполнительной власти между собой (одобрен Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности, протокол № 1 от 13 февраля 2014 г.)

Рекомендации по визуальному отображению электронных документов, подписанных электронной подписью, при взаимодействии федеральных органов исполнительной власти между собой (Приложение к регламенту)

В регламенте предлагается:

10. Отметка о подписании документа содержит текст «Документ подписан электронной подписью»...

11. Сведения о сертификате ЭП, использованном при подписании электронного документа, располагаются в нижней части штампа подписи и содержат следующие элементы:

— номер сертификата электронной подписи;

— владелец сертификата электронной подписи;

— срок действия сертификата электронной подписи

Роскомнадзор: Визуализация ЭП на бумажной копии ЭД

6.15.2. При направлении гражданину ответа, подписанного УКЭП, по почтовому адресу распечатанное на бумаге письмо заверяется специальным штампом «Копия электронного документа, подписанного электронной подписью» с указанием должности, ФИО и даты заверения уполномоченными лицами центрального аппарата и территориальных органов Роскомнадзора.

6.15.3. Не требуется заверение копии ответа, распечатанного на бумажном носителе, специальным штампом в случае, если в электронном шаблоне бланка используется визуализация информации о сертификате ЭП должностного лица. (Инструкция по работе с обращениями граждан, объединений граждан и юридический лиц Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций и ее территориальных органов (утв. Приказом Роскомнадзора от 15.11.1013 № 1308)

Опыт регионов: Санкт-Петербург Электронные документы, пописанные ЭП, при визуальном отображении содержат (п.3.1):

— Сведения об ЭП (штамп подписи, штампы подписей), которой (которыми) подписан электронный документ

— Уникальный номер документа

— Штрих-код («Правила визуального отображения электронных документов, подписанных ЭП в электронном документообороте» утверждены постановлением Правительства Санкт-Петербурга от 9 июля 2014 года № 590)

Сведения о УКЭП

Сведения об усиленной квалифицированной ЭП (штамп ЭП), которой подписан электронный документ, содержат следующие элементы (п.3.4):

— граница штампа ЭП (рамка)

— фамилия, инициалы лица, подписавшего документ, его должность

— отметка о подписании ЭП

— номер сертификата ЭП, использованного при подписании электронного документа

— дата подписания документа.

Сведения о простой ЭП

Сведения о простой ЭП (штамп ЭП), которой подписан электронный документ, содержат следующие элементы (п.3.6):

— граница штампа ЭП (рамка)

— фамилия, инициалы лица, подписавшего документ, его должность

— отметка о подписании ЭП

— сведения о простой ЭП — логин пользователя

— дата подписания документа.

Итог:

Визуализация ЭП может быть полезна в условиях смешанного документооборота

Визуализация ЭП может быть полезна при работе с «историческими» документами

Визуализация ЭП — не замена правильного оформления документа и его реквизитов, таких, как регистрационный номер, дата и фамилия подписанта

При создании бумажных копий электронного документа должны быть четко выделены сведения, которых в «теле» документа нет (например, сведения об ЭП и итогах ее проверки).

Комплекс средств автоматизации, реализующий сервисы ЭП.

Комплекс средств автоматизации это организационно-техническое объединение программно-технических средств автоматизации управления, включающих в себя средства передачи, ввода, хранения, обработки и выдачи необходимых данных.

Средства передачи данных

К видам связи традиционного назначения относятся: почтовая (буквенно-цифровая и графическая информация), телефонная (передача речи), телеграфная (буквенно-цифровые сообщения), факсимильная (буквенно-цифровая и графическая информация), радио, радиорелейная и спутниковая связь (буквенно-цифровая и графическая информация). Они делятся на: проводные (телефонные, телеграфные и т.п.) и беспроводные, в которых, в свою очередь выделяют: радио (всенаправленные, узконаправленные, сотовые и иные радио системы), радиорелейные и космические (спутниковые) устройства, системы и комплексы. При этом, например, передачу речи можно организовать по аналоговым и цифровым, проводным и беспроводным, телефонным и любым радио каналам связи.

Средства связи предоставляют возможность организации названных видов связи с использованием телефонных, факсимильных, телеграфных аппаратов, компьютеров с модемами и др. Пользователь обычно не знает, какие виды связи были задействованы при организации сеанса связи, в котором он участвовал. В ряде случаев системы и средства связи называютсредствами коммуникации, поскольку термин «коммуникация» (англ. «communication») в переводе означает средство связи.

Существуют различные классификации средств связи. Так по одной из них к средствам коммуникации относят средства и системы:

● стационарной и мобильной телефонной связи;

● телеграфной связи;

● факсимильной передачи информации и модемной связи;

● кабельной и радиосвязи, включая оптико-волоконную и спутниковую связь.

Классификация не даёт чёткого представления о рассматриваемой области, так как объединяет в одной позиции и средства, и системы связи, а также проводную (кабельную) и беспроводную (радио и спутниковую) связь.

Средства связи – технические системы передачи данных (СПД) и информации на расстояние, образующие канал связи и оконечные устройства приёма/передачи.

Современные средства связи предоставляют пользователям десятки и сотни различных сервисных услуг, например: выяснение времени и погоды в любой точке планеты, уточнение расписания движения различных видов транспорта и местоположения субъекта или объекта (средства навигации), возможность автоматического заказа билетов и номеров в гостиницах, автоматическое переключение вызова на другой телефонный аппарат или пейджер, циркулярную рассылку информации нескольким абонентам одновременно, ведение разговора сразу с несколькими абонентами, вызов абонентов с помощью долговременной памяти их номеров, автоматическое определение и запоминание номера вызывающего абонента, использование автоответчика с записью передаваемых сообщений, дистанционное управление телефоном, подключение к компьютеру и другие сервисы.

По видам передаваемых сигналов средства связи делятся на аналоговые и цифровые или дискретные.

К аналоговым относятся непрерывные сигналы, как правило, плавно меняющие амплитуду своих значений в течение сеанса передачи информации, например, речь в телефонном канале.

Реализация сервисов ЭП происходит в сети передачи информации. Сеть представляет собой совокупность компьютеров, объединенных средствами передачи данных. Средства передачи данных в общем случае могут состоять из следующих элементов: связных компьютеров, каналов связи (спутниковых, телефонных, цифровых, волоконно-оптических, радио - и других), коммутирующей аппаратуры, ретрансляторов, различного рода преобразователей сигналов и других элементов и устройств.

Средства (устро́йства) вво́да — периферийное оборудование, предназначенное для ввода (занесения) данных или сигналов в компьютер или в другое электронное устройство во время его работы.

Устройства ввода подразделяются на следующие категории:

• устройства ввода графической, звуковой и видео информации;

• механические устройства ввода;

• непрерывные устройства ввода (устройства, предоставляющие входные данные непрерывно, например, мышь, радиоприёмник, ТВ-тюнер);

• устройства ввода для пространственного использования (например, двухмерная мышь, трёхмерный навигатор).

Компьютерные указывающие устройства ввода по способу управления курсором делят на следующие категории:

• указывающие устройства прямого ввода (управление осуществляется непосредственно в месте видимости курсора (например, сенсорные панели и экраны));

• непрямые указывающие устройства (например, трекбол, компьютерная мышь).

Ввод информации при использовании сервисов ЭП может осуществляться всеми перечисленными выше устройствами.

Средства хранения информации при реализации сервисов ЭП

Говоря о средствах хранения и переноса информации, обычно подразумевают энергонезависимая внешняя память, которая предназначена для долговременного хранения и переноса информации. В зависимости от носителя ее можно подразделить на несколько типов:

• память на магнитных носителях — жесткие и гибкие магнитные диски и магнитные ленты;

• память на оптических носителях — компакт-диски с однократной и многократной записью;

• энергонезависимая электронная память — флэш-память.

Внешнюю память используют для следующих целей: хранение исходных, промежуточных и окончательных данных в процессе обработки информации; архивное хранение данных; перенос информации с одного компьютера на другой.

В каждом из этих случаев применяются свои типы внешней памяти.

Флэш-память — разновидность твердотельной полупроводниковой энергонезависимой перезаписываемой памяти. Она может быть прочитана сколько угодно раз (в пределах срока хранения данных, типично— 10-100 лет), но писать в такую память можно лишь ограниченное число раз (максимально — около миллиона циклов). Распространена флеш-память, выдерживающая около 100 тысяч циклов перезаписи— намного больше, чем способна выдержать дискета или CD-RW. Не содержит подвижных частей, так что, в отличие от жёстких дисков, более надёжна и компактна.

Средства обработки данных для нужд реализации сервисов ЭП – широчайший спектр электронно-вычислительных машин и различных мобильных устройств.

Средства выдачи необходимых данных для нужд реализации сервисов ЭП это множество типов дисплеев и принтеров.

Программные средства автоматизации, реализующие сервисы ЭП рассмотрены ранее в разделе «Взаимодействие с прикладным ПО (на примере КРИПТО ПРО)»

Лекция №7

Жизненный цикл сертификатов и ключей: регламенты генерации ключей ЭП и выпуска квалифицированных сертификатов ключей проверки ЭП в реализации УЦ основных производителей, форматы, носители, вопросы совместимости.

Требования Федеральных регуляторов.

Термин электронная цифровая подпись (ЭЦП) встречается во многих законах и подзаконных актах. Нормативные правовые акты предусматривают возможность использования ЭЦП в рамках отношений, которые являются их предметом регулирования. Обширность нормативных актов, в которых содержится понятие ЭЦП и которые регулируют отношения субъектов права в связи с применением ЭЦП, свидетельствует о межотраслевом характере института ЭЦП. Нормы, регулирующие отношения по использованию ЭЦП, имеют место быть в гражданском, банковском, налоговом, таможенной, пенсионном, административном и иных отраслях права.

Если обратиться налоговому законодательству, то согласно статье 80 Налогового кодекса РФ¹ налогоплательщик вправе подать декларацию, подписанную ЭЦП.

Таможенное законодательство позволяет осуществлять декларирование в электронной форме, что прямо предусмотрено Таможенным кодексом РФ² (статьи 63, 132, 423).

Пункт 2 статьи Федерального закона от 01 апреля 1996 года № 27-ФЗ «Об индивидуальном (персонифицированном) учете в системе государственного пенсионного страхования»³ дает возможность работодателям подавать сведения обо всех лицах, работающих у них по трудовому договору, а также по договорам гражданско-правового характера, в Пенсионный фонд в электронной форме при условии подтверждения юридической силы предоставленных документов ЭЦП.

Законодательство о бухгалтерском учете в Российской Федерации позволяет использовать в первичных учетных документах ЭЦП лиц, ответственных за совершение хозяйственных операций и правильность их оформления (статья 9 Федерального закона РФ от 21.11.1996 № 129-ФЗ «О бухгалтерском учете»⁴ и письмо Министерства Финансов РФ от 26 мая 2004 года № 04-02-05/2/28⁵).

Но указанные акты нельзя признать полноценными источниками права, регулирующие ЭЦП и отношения, связанные с ее использованием. Да, правовые акты МНС РФ или Таможенного комитета РФ регулируют процедуру подписания конкретных документов электронной подписью, аутентификации и подтверждения отсутствия искажения данных в ЭД. Но данные акты регулируют отношения по применению ЭЦП в конкретных правоотношениях и не носят универсальный характер. В большинстве взаимоотношения сторон по применения ЭЦП складываются в рамках гражданско- правовых отношений, и регулируются Гражданским кодексом и принятыми в соответствии с ним законами.

Первые попытки применения электронного документооборота в гражданско- правовых отношениях предпринимались в середине семидесятых годов. Правовое обоснование возможности использования ЭД опиралось на положения Гражданского кодекса РСФСР. ГК РСФСР 1964 года⁶ устанавливал для некоторых договоров, в том числе и для договоров, заключаемых на финансовом рынке, письменную форму их заключения (ст.41-48) Возможность использования систем ЭДО для заключения договоров пытались обосновать, исходя из принципа "что не запрещено, то разрешено".

В 1979 году Государственный Арбитраж СССР утвердил Инструктивные указания №И-1-4 «Об использовании в качестве доказательств по арбитражным делам документов, подготовленных с помощью электронно-вычислительной техники»⁷ , которые допустили использование ЭД и признали за ними юридическую силу. Согласно Инструктивным указаниям документы, изготовленные с помощью электронно-вычислительной техники, «поскольку они содержат данные об обстоятельствах, имеющих значение для дела, должны приниматься органами арбитража на общих основаниях в качестве письменных доказательств».

В начале 80 годов прошлого века был принят ряд ведомственных актов, определяющих требования к внутриотраслевым машинным документам (например, Приказом N 158 от 29 декабря 1980 г. Государственный комитет СССР по делам изобретений и открытий утвердил Положение о всесоюзной магнитно-ленточной службе патентной информации; свои положения были разработаны в ЦСУ СССР, Госплане СССР и некоторых других министерствах и ведомствах).

20 апреля 1981 г. Государственный комитет по науке и технике СССР постановлением N 100 утвердил «Временные общеотраслевые руководящие указания о придании юридической силы документам, создаваемым средствами вычислительной техники». В этом акте, в частности, говорилось, что документ на магнитном носителе «используется без преобразования в человекочитаемую (визуальную) форму при передаче информации на предприятия, в организации и учреждения или для обмена информацией между ними» (п. 3). При заключении предприятиями договора об обмене документами на магнитных носителях им предписывалось устанавливать дополнительные реквизиты, которые должны были отражаться на человекочитаемых копиях магнитных документов (п. 22); предприятия регламентировали своими нормативными актами порядок преобразования в человекочитаемую форму применяемого документа на магнитном носителе, изготовления машинограммы (пп. 18, 36), а также внесения изменений в подлинник документа на машинном носителе (п. 24). Временные указания, по существу, были первым общесоюзным документом, регламентирующим использование документов на магнитных носителях для обмена информацией между предприятиями.

Государственный комитет СССР по стандартам 9 октября 1984 г. ввел с 1 июля 1987 года Постановлением ГОСТ 6.10.4-84 «Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники»⁸. Данный стандарт определял требования к составу и содержанию реквизитов, придающих юридическую силу документам на машинных носителях информации, создаваемым средствами вычислительной техники, а также порядок внесения изменений в указанные документы⁹.

Но в правовых актах советского права, предоставлявших возможность участникам гражданско-правовых отношений использовать электронные документы, отсутствовали нормы, устанавливающие порядок использования ЭЦП, иных аналогов собственноручной подписи и определяющие права лиц, применяющих ЭЦП.

Российское законодательство на первоначальном этапе своего развития также прямо не допускало использование ЭЦП. В соответствии со ст. 58 Основ гражданского законодательства Союза ССР и Республик (утверждены постановление Верховного Совета СССР №2211-1 от 31 мая 1991 года)¹⁰ при заключении договора в письменной форме возможны и составление единого документа, подписываемого сторонами, и обмен письмами, телеграммами, телефонограммами и т.д. А поскольку перечень документов, которыми стороны могут обмениваться, не был исчерпывающим, постольку делался вывод, что и электронные документы могут быть использованы для этих целей. Но эта же статья требует, чтобы пересылаемые документы были подписаны стороной, которая их отправляет. В то время утверждение о том, что электронная цифровая подпись может использоваться при заключении договоров вместо традиционных средств подтверждения подлинности документов (подпись руки, мастичная печать), было недостаточно обоснованным.

Но, несмотря на отсутствие правового регулирования отношений по применению ЭЦП, в России уже начинала складываться практика по применению ЭЦП. Так, летом 1993 года юридическая фирма ЮКОН по заказу Межбанковского финансового дома разработала методику заключения финансовых сделок с использованием модема и электронной подписи. Договор об оплате заказа также был заключен с использованием электронной подписи¹¹.

Первым Федеральным законом, указывающим на допустимость использования ЭЦП и его юридическую силу, стал Федеральный закон "Об информации, информатизации и защите информации». В частности, п. 3 ст. 5 данного Закона гласит: "Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования".

Такая формулировка предполагает, что электронный документ может быть заверен ЭЦП и использован в тех случаях, когда явно не предусмотрены другие требования к форме документа. Данная норма намного расширило возможности использованию ЭЦП в гражданском обороте, и ее принятие стало позитивным шагом в развитии гражданского права в области регулирования ЭЦП. Федеральный закон «Об информации» закрепил одно из важнейших предназначений ЭЦП — это способность идентифицировать автора ЭД.

Одним из наиболее важных нормативных актов, создавших основу для использования ЭЦП в предпринимательской деятельности стал Гражданский кодекс РФ. Так, согласно ст. 160 12 ("Письменная форма сделки"), использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

В соответствии со ст. 434 ("Форма договора") договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

И, наконец, ст. 847 ("Удостоверение права распоряжения денежными средствами, находящимися на счете") устанавливает, что договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Таким образом, Гражданский кодекс РФ разрешил использование электронных документов, заверенных электронно-цифровой подписью, во всех случаях, когда требуется письменная форма сделки, за исключением тех, при которых установлены специальные требования к форме документа. В тех случаях, когда подобные требования установлены подзаконными актами, для применения ЭЦП достаточно решения соответствующих органов (на основании норм ГК и Закона "Об информации, информатизации и защите информации") о возможности использования параллельно с традиционными и электронных документов, удостоверенных ЭЦП.

Изначально наиболее широкое распространение электронные системы документооборота и ЭЦП получили в банковском секторе. Это было связано с увеличением числа и объемов транзакций, совершаемых кредитными организациями между собой и клиентами, их трансграничностью. Банк России является органом, координирующим, регулирующим и лицензирующим организацию расчетных систем в Российской Федерации. Его прерогативой является установление правил, форм, сроков и стандартов осуществления безналичных расчетов.

10 февраля 1998 года ЦБ РФ принял Временное Положение № 17-П «О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями» 13 . Другими базовыми документами, регулирующими отношения по использованию ЭЦП в банковской сфере, является Положение ЦБ РФ от 12 марта 1998 года № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России», Положение ЦБ РФ № 36-П от 23 июня 1998 года «О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России». Общее число нормативных актов Центрального Банка России, регламентирующих отношения по использованию ЭЦП или позволяющих использование ЭЦП в банковско-правовых отношениях, достаточно велико.

10 января 2002 года в истории российского правового регулирования электронного документооборота произошло знаменательное событие, был принят один из важных нормативных актов, призванных упорядочить отношения связанные с использованием ЭЦП в коммерческом обороте. Был принят Закон «Об ЭЦП». Проект, который лег в основу Закона «Об ЭЦП», был разработан по поручению Правительства РФ, Министерства связи России совместно ФАПСИ, Гостехкомиссией России, Минюста России, ФКЦБ РФ, Госстандарста РФ с участием Банка России 14 .

До принятия Закона «Об ЭЦП», отмечает В.Б. Наумов, 15 действовавшее законодательство применительно к использованию ЭЦП было диспозитивным, то есть предлагало участникам гражданского оборота самостоятельно определять аспекты собственной деятельности: от соответствующих юридических терминов до существенных условий гражданских договоров, которые заключаются между лицами использующие ЭЦП.

Закон «Об ЭЦП» включает в себя 21 статью, которые объединены в пять глав. В главе I "Общие положения" (статьи 1-3) определяется цель Закона об ЭЦП, предмет регулирования, указывается на нормативно-правовую базу, имеющую отношение к регулированию вопросов ЭЦП, а также раскрываются основные понятия.

Статьи 4-7 объединены в главу II "Условия использования ЭЦП", в которой закреплены условия, при соблюдении которых признается равнозначность ЭЦП и собственноручной подписи, принципы использования ЭЦП, нормы, определяющие статус 13 Вестник Банка России, 18 февраля 1998г. №10. 14 Леонтьев К.Б.. Комментарий к Федеральному закону "Об электронной цифровой подписи" (постатейный). - М.: ООО "ТК Велби", 2003, С.6. 15 Наумов В.Б.. Право и Интернет: Очерки теории и практики. — М.: Книжный дом «Университет», 2002, С.47сертификата ключа подписи - документа, позволяющего подтверждать подлинность ЭЦП и ее принадлежность конкретному лицу.

Нормы, регулирующие деятельность и правовое положение удостоверяющих центров, порядок приостановления, аннулирования сертификата ключа подписи, а также основные права и обязанности лиц, использующих ЭЦП, составляют Главу III "Удостоверяющие центры" (статьи 8-15).

В главе IV "Особенности использования ЭЦП" (статьи 16-19) предусмотрены особенности использования ЭЦП в сфере государственного управления, в корпоративных информационных системах (с ограниченным кругом участников), а также условия признания юридического значения иностранных ЭЦП и случаи, когда ЭЦП может замещать печать, которой заверяется бумажный носитель.

Закон «Об ЭЦП» ставит своей целью обеспечения правовых условий использования ЭЦП в электронных документах, при соблюдении которых ЭЦП признается юридически равнозначной собственноручной подписи в документе на бумажном носителе. Концепция закона базируется на понятии государственных гарантий правомерности использования ЭЦП. Иначе говоря, по сравнению с иными аналогами собственноручной подписи, только ЭЦП обеспечивает однозначное соответствие между электронным документом и лицом, его подписавшим16 . Что касается сферы применения Закона об ЭЦП, то здесь дело обстоит намного сложнее. В силу прямого указания в пункте 2 статьи 1 сфера регулирования ограничивается только отношениями, возникающими при совершении гражданско-правовых сделок, и другими специально предусмотренными законодательством РФ случаями. Таким образом, для применения норм Закона в иных отношениях, нежели отношения на основании гражданско-правовых сделок, необходимо принятие законодательных актов. Здесь имеется определенное расхождение с Типовым законом ЮНСИТРАЛ об электронных подписях, который применяется в случаях использования ЭЦП в контексте коммерческой деятельности. При этом Комиссия предлагает для государств, которые пожелают расширить применение закона следующий текст: «Настоящий Закон применяется в случаях, когда используются электронные сделки, за исключением следующих ситуаций…». При этом термину «коммерческая» должно придаваться широкое толкование, с тем, чтобы он охватывал вопросы, вытекающие из всех отношений коммерческого характера, являются ли они договорными или нет. Отношения коммерческого характера включают сделки, но не ограничиваются ими.

Закон «Об ЭЦП», определяя условия, при соблюдении которых ЭЦП признается равнозначной, указывает в качестве обязательных требований наличие действующего сертификата ключа подписи, подтверждение подлинности ЭЦП в электронном документе, а также соответствие отношений, в которых используется ЭЦП, сведениям, указанных в сертификате ключа подписи. В тоже время Модельный закон СНГ "Об электронной цифровой подписи" (принят на шестнадцатом пленарном заседании Межпарламентской Ассамблеи государств - участников СНГ 9 декабря 2000 г.) 17 определяет иные, но в тоже время схожие, условия соответствия ЭЦП собственноручной подписи. ЭЦП будет иметь равнозначный статус с собственноручной подписью, если:

 она прошла проверку на подлинность при помощи открытого ключа электронной цифровой подписи, имеющего регистрационное свидетельство аккредитованного Центра регистрации или в порядке, предусмотренном соглашением сторон;

 подписавшее лицо правомерно владеет закрытым ключом, используемым для создания электронной цифровой подписи;

 электронная цифровая подпись является действующей на момент подписания. 16 Войниканис Е.А. Якушев М.В. Информация. Собственность. Интернет: традиция и новеллы в современном праве. – М.: Волтерс Клувер. 2004. С. 128-130. 17 "Банки и технологии", N 2, 2001 г.

Одно лицо может быть владельцем любого количества сертификатов ключей подписей. При этом электронный документ с электронной цифровой подписью имеет юридическое значение при участии в отношениях, указанных в сертификате ключа подписи.

Модельный закон "Об электронной цифровой подписи", в отличие от Закона «Об ЭЦП», допускает использование средств электронной цифровой подписи, не имеющих сертификата, выданного Центром сертификации средств электронной цифровой подписи. При этом владелец несертифицированных средств электронной цифровой подписи (владелец закрытого ключа) обязан заявить об отсутствии сертификата всем пользователям открытого ключа, создаваемого этим средством электронной цифровой подписи. В случае использования заявленных несертифицированных средств электронной цифровой подписи риски убытков несут владелец закрытого ключа и получатель открытого ключа электронной цифровой подписи.

Законом «Об ЭЦП» предусматривается использование ЭЦП информационной системе общего пользования и корпоративной информационной системе. Системы дистанционного банковского обслуживания, управление расчетным счетом через Интернет представляет собой корпоративную информационную систему. Именно в этой системе в настоящий момент получило наибольшее распространение ЭЦП.

Одной из отличительных особенностей данного закона является его детальная регламентация изготовления и содержания сертификата ключа подписи, как в информационной системе общего пользования, так и в корпоративной информационной системе.

В Законе «Об ЭЦП» устанавливаются правовой статус удостоверяющих центров, их функции. Определяются отношения этих центров с уполномоченным федеральным органом исполнительной власти, который ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров

Закон указывает на так называемые «случаи замещения печатей». Это означает, что содержание документа на бумажном носителе, заверенного печатью и перенесенное в электронный документ, в соответствии с нормативными актами или соглашением сторон может заверяться ЭЦП уполномоченного лица. Возможность создания электронных копий заверенных печатью документов позволит постепенно устранить ту двойственность в отношениях между партнерами по сделкам, которая нередко существует в настоящее время: с одной стороны, имеется возможность оперативного обмена информацией с использованием ЭЦП, в то время как часть документов приходиться отправлять друг другу на обычных бумажных носителях, в том числе по причине необходимости скрепления их печатями в силу прямого указания закона 18 .

Следует отметить, что ни статья 160 ГК, регулирующая вопросы письменной формы сделки, ни статья 434 ГК, посвященная форме договора, не выдвигает в качестве обязательного требования скрепления документов печатями 19 .

Многие правоведы признают, что Закон «Об ЭЦП» в современной редакции далек от совершенства. Отчасти этому есть объяснение в том, что в принятии Закона главную роль играли государственные органы. Центральный Банк РФ и банковское сообщество как наиболее заинтересованные субъекты были отодвинуты от активного участия в законотворчестве.

Наблюдается несоответствие норм Закона принципам международного права и иностранного законодательства. Закон «Об ЭЦП» не воспроизводит подход иностранного законодательства и международного права к регулированию электронных подписей. Российский закон не регулирует отношения, возникающие при использовании иных 18 Леонтьев К.Б., указ. соч. С. 51, 52 19 Серго А.Г. «Интернет и право». — М.: «Бестеллер», 2003 С. 18аналогов собственноручной подписи. 20 . Практически все ученые и практикующие юристы сходятся во мнении, что ограничительную норму необходимо изменить, позволив использовать ЭЦП для значительно более широкого круга юридических действий и документов. Наряду с этим следует четко указать в законе, какие документы не могут использоваться в электронном виде и, соответственно, подписываться ЭЦП. В зарубежном законодательстве об ЭЦП такие запреты относятся к завещанию, ряду процессуальных документов и другим. Такие нормы в современном российском законодательстве за редким исключением отсутствуют. К исключению можно отнести положение статьи 4 Федерального закона от 11 марта 1997 года № 48-ФЗ «О переводном и простом векселе» 21 , который допускает возможность составления простого и переводного векселя только на бумаге (бумажном носителе). Пленум Верховного Суда РФ и Пленум Высшего Арбитражного Суда РФ в постановлении от 4 декабря 2000 года № 33/14 «О некоторых вопросах практики рассмотрения споров, связанных с обращением векселей» 22 дал разъяснение, в соответствии с которым следует учитывать, что нормы вексельного права не могут применяться в обязательствам, оформленным на электронных и магнитных носителях (п.2).

В Положении ЦБ РФ от 3 октября 2002 года №2-П «О безналичных расчетах в Российской Федерации» 23 устанавливаются требования к реквизитам расчетных документов. И если такие требования к чеку, как наличие наименования расчетного документа; числа, месяца, года его выписки; наименование банка плательщика и т.п., могут быть удовлетворены в электронных документах без особых сложностей, то такие требования, как наличие собственноручной подписи, заполнение чеков от руки чернилами принципиально не могут быть выполнены в отношении электронных документов.

Закон «Об ЭЦП», в отличие от Типового закона ЮНСИТРАЛ об электронных подписях, ориентирован исключительно на технологию использования ЭЦП, генерация которой основана на единственном математическом методе вычисления хэш-функции с использованием асимметричных криптографических открытых и закрытых ключей и не допускает использования других технологий и расширительного охвата других известных способов организации электронной подписи и тех, которые будут изобретены и внедрены в будущем. Последнее также не соответствует общепринятой мировой тенденции развития законодательства и действующей законодательной практике ООН, Европейского сообщества и ряда государств, где субъект, использующий электронную подпись, основанную на том или ином методе и технологии, сам решает, какая степень защиты электронного документа ему необходима. Предлагаемый подход возможен для использования ЭЦП в отдельных определенных сферах, например в государственном управлении, где требования могут быть жестко установлены законом24 .

Варианты генерации ключей, запрос на выпуск сертификата проверки подписи, заполнение опциональных полей сертификата.

Вариант 1 - Генерация ключей и запроса на сертификат осуществляется в Центре регистрации

Вариант 2 - Генерация запроса осуществляется самостоятельно владельцем ключа на собственных программно-аппаратных средствах

Если генерация ЭЦП происходит в удостоверяющем центре. Генерации подлежит закрытый ключ электронно-цифровой подписи. 

При генерировании закрытого ключа в удостоверяющем центре, уполномоченный должен обязательно предъявить документ, который удостоверяет его личность, это в качестве правила - паспорт и передать в распоряжение администратора центра все документы, которые требуются по регламенту.

Впоследствии администратор осуществляет генерацию ЭЦП в частности ее закрытого и открытого ключей. Для этого используется специально оборудованное помещение. Затем происходит передача владельцу единственного ключа. Он в обязательном порядке должен храниться на защищенных носителях. После этого происходит регистрация сертификата или внесение его в специальный реестр. 

По истечению всех процедур, уполномоченное лицо становится владельцем электронно-цифровой подписи, которая впоследствии позволит регистрироваться на электронных аукционах, в получении торговых площадей, подтверждения различной документации в электронном формате и т.д. Следует отметить, что без электронной подписи сегодня не обойтись не одной серьезной компании, которая имеет хоть какое-либо отношение с электронной коммерцией. 

Если судить по последним показателям, все больше средств аккумулируется в электронную коммерцию, которая охватывает почти все сферы бизнеса. Электронная подпись - это ключ к самому большому рынку в мире и продвижение товаров или услуг на этом рынке обещает большой рост прибыли любой компании, которая заинтересована в успехе своего предприятия и расширении собственного бизнеса.

Формат сертификата открытого ключа определен в рекомендациях Международного Союза по телекоммуникациям ITU (X.509) и документе RFC 3280 Certificate & CRL Profile организации инженерной поддержки Интернета Internet Engineering Task Force (IETF). IETF является открытым интернациональным сообществом исследователей, разработчиков сетевых протоколов, операторов и производителей, занимающихся проблемами развития сетей Интернет и обеспечением непрерывного функционирования существующей инфраструктуры. В настоящее время основным принятым форматом является формат версии 3, позволяющий задавать дополнения, с помощью которых реализуется определенная политика безопасности в системе. Несмотря на то, что документ RFC 3820 адресован Интернет-сообществу, формат сертификата открытого ключа предоставляет гибкий механизм передачи разнообразной информации и применяется в корпоративных PKI.

Сертификат открытого ключа подписи или шифрования представляет собой структурированную двоичную запись в формате абстрактной синтаксической нотации ASN.1. Сертификат содержит элементы данных, сопровождаемые цифровой подписью издателя сертификата (см. рис. 6.1). В сертификате имеется десять основных полей: шесть обязательных и четыре опциональных. Большая часть информации, указываемой в сертификате, не является обязательной, а содержание обязательных полей сертификата может варьироваться. К обязательным полям относятся:

 серийный номер сертификата Certificate Serial Number;

 идентификатор алгоритма подписи Signature Algorithm Identifier;

 имя издателя Issuer Name;

 период действия Validity (Not Before/After);

 открытый ключ субъекта Subject Public Key Information;

 имя субъекта сертификата Subject Name.

Под субъектом сертификата понимается сторона, которая контролирует секретный ключ, соответствующий данному открытому ключу. Наличие необязательных полей характерно для сертификатов версий 2 и 3, к необязательным полям сертификата относятся номер версии, два уникальных идентификатора и дополнения. Структура сертификата представлена на рис. 6.1.

Поле "Version" задает синтаксис сертификата, по умолчанию предполагается первая версия сертификата. Если в поле версии указывается 2, то сертификат содержит только уникальные идентификаторы, а если 3, то в сертификат включаются и уникальные идентификаторы и дополнения, что характерно для всех современных сертификатов. Сертификаты первой версии не содержат уникальные идентификаторы или дополнения.

Рис. 6.1. Структура сертификата

Издатель сертификатов присваивает каждому выпускаемому сертификату серийный номер Certificate Serial Number, который должен быть уникален. Комбинация имени издателя и серийного номера однозначно идентифицирует каждый сертификат.

В поле Signature Аlgorithm Identifier указывается идентификатор алгоритма ЭЦП, который использовался издателем сертификата для подписи сертификата, например ГОСТ Р 34.10-94 (см. рис. 6.2).

Рис. 6.2. Пример сертификата формата X.509

Поле "Issuer Name" содержит отличительное имя (формата X.500) третьей доверенной стороны, то есть издателя, который выпустил этот сертификат. В поле "Validity" (Not Before/After) указываются даты начала и окончания периода действия сертификата.

Поле "Subject Name" содержит отличительное имя субъекта, то есть владельца секретного ключа, соответствующего открытому ключу данного сертификата. Субъектом сертификата может выступать УЦ, РЦ или конечный субъект.

Поле "Subject Public Key Information" содержит информацию об открытом ключе субъекта: сам открытый ключ, необязательные параметры и идентификатор алгоритма генерации ключа. Это поле всегда должно содержать значение. Открытый ключ и необязательные параметры алгоритма используются для верификации цифровой подписи (если субъектом сертификата является УЦ) или управления ключами.

Необязательные поля "Issuer Unique Identifier" и "Subject Unique Identifier" информируют об уникальных идентификаторах субъекта и издателя сертификата и предназначены для управления многократным использованием имен субъектов и издателей. Вследствие неэффективности подобного механизма управления Интернет-стандарты профилей сертификата и списка аннулированных сертификатов не рекомендуют использовать в сертификатах эти поля.