Добавил:
Upload Опубликованный материал нарушает ваши авторские права? Сообщите нам.
Вуз: Предмет: Файл:
Глава 6 ИП.doc
Скачиваний:
11
Добавлен:
13.04.2015
Размер:
122.37 Кб
Скачать

6.2. Применение электронной цифровой подписи для подтверждения достоверности электронных документов

Одной из форм материального носителя документированной информации могут быть электронные носители. Документированная информация, представленная на электронных носителях, активно распространяется. Однако данный процесс привел к тому, что информация, представленная в электронном виде, в большинстве случаев не считается достоверной. Это связано с тем, что не уточнен статус электронного документа, не решены проблемы его идентификации, не определен статус информационных ресурсов, представленных в электронном виде.

По мере развития современных средств безбумажного документооборота возникла проблема обеспечения доказательств подлинности и целостности документа. Эта проблема затронула как сферу бизнеса и электронных платежей, так и сферу государственного управления. Постоянно расширяющееся применение информационных технологий при создании, обработке, передаче и хранении документов требует в определенных случаях сохранения конфиденциальности их содержания. Невозможно использование каких-либо документов без гарантии их достоверности, которую обеспечивает для документов на материальных носителях подпись должностного лица и печать организации. ГОСТ Р 6.30-2003 определяет, что реквизиты подпись и печать являются обязательными для обеспечения юридической силы документа12.

Использование таких реквизитов, как подпись и печать, гарантирует истинность и авторство документа путем сличения подписи с имеющимся образцом. Подпись обладает следующими свойствами, которые позволяют использовать ее для подобных целей13:

  • подпись аутентична, то есть с ее помощью получателю документа можно доказать, что она принадлежит подписывающему;

  • подпись служит доказательством, что только тот человек, чей автограф стоит на документе, мог подписать данный документ, и никто иной;

  • подпись непереносима, то есть является частью документа и поэтому перенести ее на другой документ невозможно;

  • документ с подписью является неизменяемым;

  • подпись неоспорима;

  • любое лицо, владеющее образцом подписи, может удостовериться, что документ подписан владельцем подписи.

Однако в электронном документе невозможно использовать реквизиты подпись и печать. Поэтому для обеспечения подлинности и достоверности электронных документов применяются различные технические методы защиты информации. Одним из наиболее эффективных методов защиты является криптография, которая активно применяется в государственных и коммерческих структурах. На основе криптографического механизма построена и электронная цифровая подпись. Подобная подпись применяется в электронном документообороте с середины 1990-х годов.

Внедрение электронной цифровой подписи (ЭЦП) позволяет решить многие проблемы при переходе с бумажного документооборота на электронный:

  • повысить скорость прохождения документов, писем, договоров, а так же всех сопутствующих документов. ЭЦП позволяет сократить цикл обработки документов, исключив некоторые этапы работы, традиционно присутствующие при обмене бумажными документами;

  • увеличить контроль над исполнением документов, поручений и указаний руководства;

  • обеспечить целостность и защиту от несанкционированных изменений электронных документов;

  • связать должностные полномочия физических лиц, участвующих в электронном документообороте, с электронным документом и ролевыми разграничениями, накладываемыми системой электронного документооборота;

  • обеспечить защиту информации от несанкционированного доступа путем внедрения аутентификации на основе сертификатов открытых ключей;

  • обеспечить защиту информации, передаваемой по открытым каналам связи, путем ее шифрования.

Решение перечисленных проблем позволит повысить эффективность деятельности организаций.

В 2002 году был принят Федеральный закон «Об электронной цифровой подписи»14. В Законе закреплены понятия и термины, имеющие определяющее значение для формирования электронного документооборота.

Электронный документ – документ, в котором информация представлена в электронно-цифровой форме.

Электронная цифровая подпись – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронно-цифровой подписи и позволяющий идентифицировать владельца сертификата ключа электронно-цифровой подписи, а также установить отсутствие искажения информации в электронном документе.

Закон выдвигает детализированные требования к ЭЦП, в том числе к применяемой технологии. Упомянутое криптографическое преобразование представляет собой одну из разновидностей шифрования, при которой с помощью секретного параметра преобразования (закрытого ключа) устанавливается взаимно-однозначное соответствие между блоком открытой информации, представленной в цифровом виде, и блоком шифрованной информации, также представленной в цифровом виде.

Система криптографической защитыможет обеспечивать конфиденциальность информации, контроль доступа к ней, возможность однозначной идентификации отправителя информации и исключает модификацию, незаметное для отправителя и получателя информации внесение изменений, отказ отправителя информации от своего авторства.

Различают два типа криптографических алгоритмов: симметричные и асимметричные. В первом случае оба абонента, участвующие в процессе передачи информации, используют одинаковые ключи, а во втором - разные, «секретный» и «открытый». Асимметричная криптография является более надежной и защищенной от подделки. Поэтому Закон признает только ЭЦП, построенные по принципу асимметричного шифрования. Алгоритм криптографического преобразования должен соответствовать ГОСТу 28147-8915, ГОСТу Р 34.10-9416и ГОСТу Р 34.11-9417. ЭЦП, построенные по принципу симметричного кодирования, а также различные символы, пароли, персональные идентификационные номера не признаются в качестве электронной подписи. В то же время Гражданский кодекс РФ в статье 160 позволяет рассматривать их как разновидность электронной подписи. Это согласуется с международной практикой о «технологической нейтральности» электронной подписи.

Целями использования ЭЦП в соответствии с действующим законодательством являются защита электронного документа от подделки, идентификация владельца подписи, установление отсутствия искажения информации в электронном документе. Следует отметить, что сама по себе ЭЦП не может защитить от подделки, она лишь может выявить изменения в электронном документе18. Таким образом, электронный документ, а следовательно, и электронный документооборот не может существовать без ЭЦП, которая должна обеспечивать достоверность электронных документов.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. К средствам ЭЦП относятся аппаратные и программные средства, обеспечивающие реализацию хотя бы одной из следующих функций: создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи, подтверждение подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей.

Идентификация подписи обеспечивается благодаря закрытому ключу электронной цифровой подписи– это уникальная последовательность символов, известная владельцу сертификата ключа подписей и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи. Фактически закрытый ключ представляет собой программу для зашифровывания информации, изложенной в электронном документе. Закрытый ключ хранится только у владельца ЭЦП, принимающего необходимые меры для ограничения доступа третьих лиц к закрытому ключу.

Цифровая подпись создается путем вычисления кода, выведенного из подписанного электронного документа и закрытого ключа. Для создания цифровой подписи используется так называемая «хэш-функция». Благодаря этой функции делается цифровой слепок с электронного документа в виде уникального кода. Потом программа подписывающей стороны преобразует полученный хэш-результат в цифровую подпись, соотнеся его с закрытым ключом подписывающих сторон19. В результате цифровая запись оригинальна как для электронного документа, так и для закрытого ключа, который использовался. Подлинность подписи можно проверить с помощью открытого ключа, благодаря которому идентифицируется подпись для третьих лиц.

Подтверждение подлинности электронной цифровой подписи осуществляется путем вычисления хэш-результата исходного электронного документа с помощью хэш-функции, которая используется при создании цифровой подписи. Лицо, получившее электронный документ с электронной цифровой подписью, проверяет, была ли цифровая подпись создана с помощью ключа, соответствующего открытому ключу, и соответствует ли вычисленный хэш-результат хэш-результату, выведенному из цифровой подписи. Для такой проверки лицо, получившее электронный документ с электронной цифровой подписью, должно обладать соответствующими аппаратными и программными средствами, которые называются открытым ключом.

Открытый ключ электронной цифровой подписипредставляет собой уникальную последовательность символов, соответствующую закрытому ключу, доступную любому пользователю информационной системы и предназначенную для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе. Открытый ключ передается всем участникам защищенного обмена информации для проверки подлинности электронного документа и установления личности лица, создавшего его.

Открытый ключ оформляется в виде сертификата. Сертификат ключа подписи– совокупность данных, включающая в себя открытый ключ электронной цифровой подписи, сведения, идентифицирующие владельца сертификата, сведения о стандарте используемого криптографического алгоритма электронной цифровой подписи, а также уникальный номер (серийный номер сертификата). Сведения, зафиксированные в сертификате, также заверяются ЭЦП удостоверяющего центра для защиты сертификата от подмены или искажения и записываются в специальную базу данных20.

Документ, подписанный электронной цифровой подписью, будет иметь юридическую силу или будет подлинным, если:

  • лицо, подписавшее его, вправе подписывать этот документ;

  • подписавшее лицо владеет сертификатом средств электронной цифровой подписи и подпись выполнена в пределах срока действия сертификата и в соответствии со сведениями, указанными в сертификате;

  • лицо, получившее электронный документ, обладает аппаратными и программными средствами, обеспечивающими проверку подлинности подписи.

Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий21:

  • сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

  • подтверждена подлинность электронной цифровой подписи в электронном документе;

  • электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Электронная цифровая подпись в электронном документе, сертификат которой содержит необходимые при осуществлении данных отношений сведения о правомочиях его владельца,признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенной печатью22.

Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают в себя открытый ключ электронной цифровой подписи и которые выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи. Для регистрации сертификатов ключей подписи созданы специализированные организации – удостоверяющие центры. Федеральная служба по надзору в сфере связи осуществляет лицензирование деятельности удостоверяющих центров, а также контроль за соблюдением установленных лицензионных требований и условий23. Федеральное агентство по информационным технологиям организует подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих органов и ведет единый государственный реестр сертификатов ключей подписей удостоверяющих центров и реестр сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления24. Оба этих федеральных органа исполнительной власти находятся в подчинении Министерства информационных технологий и связи РФ25.

В зависимости от вида информационной системы, содержащей электронный документ, для использования электронной цифровой подписи применяется два вида правового регулирования. Законом все информационные системы разделены на информационные системы общего пользования и корпоративные информационные системы. Для каждого вида информационных систем предусмотрен свой вид правового регулирования.

Информационная система общего пользования– это информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано. Как правило, это государственные (муниципальные) информационные системы или информационные системы средств массовой информации. Федеральные органы государственной власти, органы государственной власти субъектов РФ, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи26. Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется уполномоченным федеральным органом исполнительной власти, и выдаются пользователям сертификатов ключей подписей27.

Корпоративная информационная система– это информационная система, участником которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы28. В качестве примера корпоративной информационной системы могут выступать информационные системы банков или крупных фирм.

Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы. Содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы29.

Электронная цифровая подпись закрепляется за конкретным физическим лицом, уполномоченным государственным органом или организацией. Таким образом, владельцем электронной цифровой подписи является не орган или организация, а его должностное лицо. Применение ЭЦП в государственных информационных системах позволяет значительно расширить возможности таких систем и организовать полноценный электронный документооборот. Сертифицированные средства ЭЦП позволяют защитить государственные и муниципальные информационные ресурсы от несанкционированного доступа, а сертификат позволяет подтвердить соответствие средств ЭЦП предъявляемым к ним требованиям.

Использование ЭЦП подлежит лицензированиюпо сложной схеме, причем правовое регулирование в данной области еще не закончено. Так, статья 17 Федерального закона от 08.08.2001 № 128-ФЗ «О лицензировании отдельных видов деятельности»30определяет, что лицензированию подлежит деятельность по распространению шифровальных (криптографических) средств, деятельность по техническому обслуживанию шифровальных (криптографических) средств, предоставление услуг в области шифрования информации, а также разработка, производство шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем. Таким образом, законодательство официально закрепило ситуацию с двойным лицензированием. В результате лицензированию подлежат услуги, связанные с использованием электронной цифровой подписи и шифровальные средства для ее создания31.

Для внедрения ЭЦП в министерствах были приняты нормативные акты, которые разрешили использование ЭЦП в отдельных случаях. В качестве примера можно привести «Положение о системе передачи информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну, в технических каналах связи в системе МВД России». Данное положение разрешает использовать ЭЦП для обмена информацией конфиденциального характера в электронной форме.

В субъектах РФ были приняты распоряжения или указания, разрешающие использовать ЭЦП в электронном документообороте. В качестве примера можно привести «Распоряжение губернатора Белгородской области «О внедрении электронной цифровой подписи»32.

Тут вы можете оставить комментарий к выбранному абзацу или сообщить об ошибке.

Оставленные комментарии видны всем.

Соседние файлы в предмете [НЕСОРТИРОВАННОЕ]