2

Что такое электронная цифровая подпись и для чего она нужна?

Аватар пользователя admin
Автор: 

Бизнес-аналитик
Казиева Нина

Сегодня много говорят о необходимости применения электронной подписи или электронной цифровой подписи (далее ЭЦП) и простоте ее использования. Вопросы о том, что же представляет собой электронная подпись или ЭЦП и каково ее практическое применение, рассмотрим с точки зрения законодательных норм Украины.

В статье 6 Закона Украины «Об электронных документах и электронном документообороте» от 22 мая 2003 года № 851-IV (далее — Закон № 851) зафиксировано, что электронная подпись является обязательным реквизитом электронного документа, который используется для идентификации автора и (или) подписанта электронного документа другими субъектами электронного документооборота. Логично, что для возможности нанесения подписи должностного лица на электронный документ понадобится аналог его собственноручной подписи.  Такой аналог должен предоставлять возможность однозначно идентифицировать человека, который нанес электронную подпись, поскольку электронный документ может подписывать только уполномоченное на это лицо.

Закон № 852 определяет электронную подпись как данные в электронной форме, которые прилагаются к другим электронным данным или логично с ними связаны и предназначенные для идентификации подписанта этих данных. Из этого следует, что аналог собственноручной подписи, которая позволяет идентифицировать подписанта, определен как электронная подпись.

Вместе с тем возникает необходимость в предоставлении гарантии того, что документ, на который нанесена электронная подпись, не изменялся. Как можно это сделать, если аналог собственноручной подписи позволяет лишь идентифицировать подписанта?

Ответ на этот вопрос также указан в Законе № 852, которым предусмотрен такой вид подписи, как электронная цифровая подпись (ЭЦП): «Электронная цифровая подпись - вид электронной подписи, полученной в результате криптографического преобразования набора электронных данных, который добавляется к этому набору или логически с ним объединяется и дает возможность подтвердить его целостность и идентифицировать подписанта».

Электронная цифровая подпись накладывается с помощью личного ключа и проверяется с помощью открытого ключа. Тут уже наблюдается техническая составляющая электронного документа. С точки зрения технологий, используемых нами, электронный документ - это набор электронных данных, при этом, сама подпись используется для подписания этих данных. 

В случае изменения данных, которые содержаться в электронном документе, подпись становится недействительной. Соответственно, эта подпись уже является гарантией того, что электронные данные, на которые была нанесена ЭЦП, не изменялись и подпись соответствует подписанту документа. Эта гарантия обеспечивает достоверность и целостность информации. Обратим внимание на этот аспект, поскольку, он обеспечивает одно из требований  информационной безопасности да и информации в целом. Ведь основными свойствами информации при ее использовании и ее защите являются: достоверность, полнота и целостность.

Электронная цифровая подпись накладывается с помощью личного ключа и проверяется с помощью открытого ключа.

Таким образом, построение юридически значимого электронного документооборота возможно лишь с использованием ЭЦП, поскольку любой официальный документ должен быть во-первых подписан, а во-вторых должен предоставлять гарантии в том, что информация, изложенная в документе не была изменена и является достоверной.

Некоторые документы предусматривают заверение печатью. Ее использование также возможно с применением ЭЦП. Если ЭЦП носит именной характер, т.е. она использует персональные данные подписанта, печать, как правило, содержит идентификационные данные предприятия. Но если электронный документ (для того чтобы на нем поставить печать), распечатывают, он уже будет считаться не электронным, а документом на бумажном носителе.

При использовании ЭЦП, прежде всего следует отметить, что электронная цифровая подпись предназначена для обеспечения деятельности физических и юридических лиц, которая осуществляется с использованием электронных документов (ч. 1 ст. 4 Закона Украины «Об электронной цифровой подписи» от 22 мая 2003 года № 852-IV далее — Закон № 852).

 

Где оформить ЭЦП?

Для того чтобы стать владельцем ЭЦП, необходимо обратится в Аккредитованный центр сертификации ключей (АЦСК). Таких центров в Украине на сегодня несколько десятков. Свою деятельности АЦСК осуществляет на основании соответствующей лицензии и свидетельства. С лицензиями и свидетельствами, условиями предоставления услуг, филиальной сетью,  перед обращением в АЦСК стоит ознакомится. Это можно сделать на сайте самого АЦСК и выбрать наиболее подходящий по условиям.

Деятельность АЦСК, как коммерческой структуры, контролирует Центральный удостоверяющий орган — государственная организация, регулирующая отношения в сфере использования ЭЦП.

 

Закрытый и открытый ключи ЭЦП

Исходя из прямого назначения ЭЦП — нанесение и проверка подписи, для каждой ЭЦП существуют два ключа: закрытый (личный) и открытый (публичный).

Закрытый ключ используется самим подписантом для нанесения ЭЦП на данные. Этот ключ носит конфиденциальный характер, записывается на определенный носитель (диск, флеш-накопитель, карту и т. д.), который должен быть доступен только владельцу ЭЦП. В противном случае этим ключом может воспользоваться злоумышленник. Поэтому, владелец ЭЦП несет ответственность за то, что только он использует свой личный ключ. Это происходит потому, что если в случае необходимости проверки подлинности подписи на бумаге, можно провести графологическую экспертизу, то ЭЦП таким образом проверить нельзя, поскольку это данные в электронном виде.

Генерация (создание) личного ключа происходит в отдельном помещении АЦСК на отдельном, защищенном в соответствии с требованиями норм по обеспечению безопасности, компьютере, в присутствии будущего владельца ключа. При этом владелец должен предварительно пройти регистрацию в АЦСК и подать необходимые документы, которые удостоверяют его личность.

Если произошла компрометация личного ключа (потеря пароля, носителя с личным ключом и т. д.), владелец должен сразу обратиться в АЦСК для блокировки ЭЦП. АЦСК размещает соответствующую информацию в списке отозванных сертификатов, тем самым предотвращая возможность злоумышленнику воспользоваться личным ключом в своих целях. Чем раньше владелец обратится в АЦСК, тем меньше риск того, что кто-то сможет воспользоваться его личным ключом.

Открытый ключ используется для проверки подписи. Он доступен всем лицам, заинтересованным в проверке подписи владельца личного ключа.

Операция засвидетельствования действия открытого ключа происходит в АЦСК путем проведения процедуры формирования сертификата открытого ключа — документа, удостоверяющего действие и принадлежность открытого ключа владельцу соответствующего закрытого ключа. Сертификаты ключей распространяются в основном в электронной форме, и используются для идентификации личности подписанта.

Сведения о сертификатах также хранятся в АЦСК, а в случае компрометации личного ключа заносятся в список отозванных сертификатов с тем, чтобы при проверке подписи всегда была актуальная информация о действии личного ключа.

 

Нанесение и проверка ЭЦП

На текущий момент, механизм нанесения и проверки подписи следующий: с помощью соответствующего программного обеспечения, которое может быть как самостоятельным, так и встроенным в автоматизированную систему, владелец наносит ЭЦП на документ, тем самым свидетельствует, что он согласен с данными, изложенными в документе. После чего все заинтересованные лица могут проверить нанесенную ЭЦП на срок действия ключа, его действительность и по списку отозванных сертификатов также используя соответствующее программное обеспечение.

Схема нанесения и проверки электронной цифровой подписи (ЭЦП)

Программное обеспечение для нанесения и проверки ЭЦП

Как уже упоминалось выше, нанесение и проверка ЭЦП происходят с помощью соответствующего программного обеспечения, которое можно получить в АЦСК при регистрации и получении закрытого ключа. Это программное обеспечение может работать как отдельно, так и подключаться к другим используемым системам, например, к системе электронного документооборота (СЭД).

Стоит заметить, что не все СЭД могут работать с ЭЦП по техническим причинам, т. е. из-за отсутствия специальных модулей для подключения такого программного обеспечения. Связано это с тем, что СЭД развивались в направлении автоматизации операций с электронной копией бумажного документа, но не работали с самим электронным документом, а возможность подписи действий с электронной копией не была необходимым условием работы пользователей в системах.

Поэтому на текущий момент в СЭД или вообще нельзя использовать ЭЦП без вмешательства разработчика, или возможно использовать, но подписывается в большинстве случаев действие, например, при загрузке документа в систему его можно подписать. СЭД не будет проверять полномочия подписанта, в итоге, зачастую подписывает, например, секретарь или делопроизводитель при загрузке сканированной копии в СЭД. Такой процесс работы никак нельзя назвать нанесением электронной цифровой подписи ответственного лица на электронный документ. В нем отсутствуют такие важные составляющие, как электронный документ и полномочия подписанта или, как их еще называют политики валидации документа.  Политики валидации используются для проверки полномочий подписанта и определения порядка подписи документа.

Следует заметить, что программное обеспечение для нанесения и проверки ЭЦП не обеспечивают поддержку политик валидации документа и это правильно, поскольку эти  функции закладываются в инструмент работы с самим документом.

Есть еще одно существенное ограничение: СЭД могут предоставлять возможность работы с ЭЦП, но не с тем, которое используется на предприятии. Такая ситуация связана с тем, что разработчик СЭД может сотрудничать только с определенными АЦСК и, таким образом ограничивать функционально в своей СЭД использование тех АЦСК, с которыми он не сотрудничает. При этом, предприятие может использовать ключи АЦСК, которого разработчик СЭД не поддерживает. Это немаловажный вопрос, но решаемый на уровне разработчика СЭД и предприятия, на котором планируется внедрение СЭД.  Для благоприятного решения этого вопроса необходимо проанализировать рынок поставщиков СЭД и ЭЦП до того, как начинать внедрение электронного документооборота. 

 

Вопросы по работе с электронным документом, требующие разрешения

Существует также ряд других важных вопросов, которые ЭЦП решить не в состоянии, поскольку это уже не зона ответственности подписи, а зона ответственности самого электронного документа, а именно политик валидации документа. Так например, политики обеспечивают решение вопроса о том, кто может подписать документ. Так, при наличии действующего ЭЦП, подпись делопроизводителя при загрузке документа не сделает его юридически значимым, потому что в зону ответственности делопроизводителя не входит подписание документов. Соответственно, на уровне документа необходимо определить правила подписания и политик валидации (проверки) самого документа.

Помимо этого, есть еще и разные виды подписи документа, например, при согласовании, или утверждении документа, ознакомлении с документом и т.д., которые несут в себе наборы правил для порядка нанесения ЭЦП на проект или документ.  Следующий немаловажный вопрос: как быть с тем, что на протяжении жизненного цикла документа в него требуется вносить дополнительные отметки, например, регистрационные реквизиты (а как мы упоминали выше, внесение новых данных делает подпись недействительной)? Эти вопросы решаются на уровне электронного документа, при работе с которым нужно необходимо предусматривать следующие проверки:

  • непосредственно ЭЦП;
  • правильность нанесения ЭЦП на электронный документ в соответствии  с  зонами ответственности и полномочиями ответственных лиц.

 

Много вопросов касается зоны ответственности документа и возможностей систем, которые позволяют нам работать с электронными документами. Решить их следует прежде, чем в Украине появится полноценный электронный документ. Хотя технологии не стоят на месте и активно развиваются, разработчикам все же приходится нелегко, поскольку сейчас они уже решают технические вопросы в соприкосновении с бизнес-применением. Для того чтобы разработчики предложили качественный продукт для работы с электронным документом, пользователям необходимо принять активное участие в решении этих вопросов.

 

Документы, в которых можно и нельзя использовать ЭЦП

И в завершении хотелось бы обозначить, какие из документов уже сегодня можно подписывать, не уходя в глубокие и концептуальные размышления. Это:

  • электронная отчетность в государственные органы;
  • договора на небольшие суммы;
  • акты выполненных работ;
  • накладные и т. д.

 

Применение цифровой подписи — это уровень доверия к самой ЭЦП, а поскольку уровень риска в приведенных выше примерах достаточно низкий, то и уровень доверия соответственно увеличивается.

Документы, которые ни в коем случае нельзя подписывать ЭЦП:

  • свидетельство о праве на наследство;
  • документ, который в соответствии с законодательством может быть создан только в одном оригинальном экземпляре.

 

Указанные документы зафиксированы в Законе № 851, но этот список может быть расширен самим пользователем в зависимости от уровня его доверия к электронным документам и ЭЦП.

В завершении хотелось бы отметить, что ЭЦП и электронный документ являются очень удобными, эффективными и надежными средствами работы с задокументированной информацией в электронном виде.

При правильном подходе ЭЦП обеспечивает достоверность и целостность информации, изложенной в документе, а сам электронный документ  гарантирует что подписант имеет право на подписание документа, и согласен с тем, что он подписывает. Бумажный носитель не обеспечивает таких удобных инструментов. Безусловно, можно, например,  проверить обычную подпись пройдя графологическую экспертизу, однако, для этого потребуются и время и усилия и ресурсы, в то время как при работе с ЭЦП АЦСК предоставляет эти услуги он-лайн.

Конечно, ЭЦП не обеспечивает той гибкости при обработке информации, которую дает бумага, но при этом дает удобные механизмы работы и контроля,  практически исключает возможность подделки и проведения операций задним числом.  А сегодня, с учетом уровня развития технологий,  уже можно достаточно легко определится с методами и приемами работы с информацией, обеспечением безопасности информации, возможностями и гарантиями, которые нам требуются.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки.
  • Строки и параграфы переносятся автоматически.
CAPTCHA
Введите код защиты на картинке
CAPTCHA на основе изображений
Введите код с картинки

Комментарии

Аватар пользователя Andriy

Нина, отличная статья. Очень доступно написано прям «на пальцах» показали :) Отдельное спасибо за схему «Нанесение и проверка ЭЦП» возьму для презентаций!

Аватар пользователя Михаил

Нина, статья полезная. Особенно то, что касается политик.
Как раз вопросы, которые всегда всплывают.
Здорово!

Аватар пользователя Евгений

Через месяца 2-3 ссылки на законы буду не актуальны поскольку сейчас принимается новый закон о ЭЦП

Аватар пользователя Александр

Наверное, ещё стоит обратить внимание на то, что зачастую идёт фривольное обращение с терминами электронная подпись (ЭП) и электронная цифровая подпись (ЭЦП). Разницу можно подчерпнуть, например, в глоссарии 21 CFR Part 11 (фармсектор, руководство по электронным записям и подписям): http://www.21cfrpart11.com/files/fda_docs/part11draftglossary_postres.pdf
Базовое отличие - необходимость криптографического шифрования в случае ЭЦП и отсутствие таковой необходимости в случае ЭП.
Даже в законе Украины идёт смешивание этих терминов, а это не одно и то же.
Например, вполне может использоваться СЭД, где применяется ЭП, но не реализована ЭЦП. Более того, важным является аспект, а для каких видов деятельности необходимо использование именно ЭЦП. Или, иначе формулируя вопрос, например системы менеджмента качества, ERP, CRM предприятий могут ограничиваться ЭП? Хотелось бы развить диалог в этом направлении.

Аватар пользователя Нина

Спасибо всем за комментарии и отзывы!
Отвечу на вопросы:
по Законам Украины могу сказать следующее: при работе с нармативными актами или стандартами необходимо обращать внимание на некоторые аспекты: в первую очередь на источник публикации, я, например, чаще всего использую РАДА, ну и конечно на редакцию, чем для меня и удобна РАДА, там всегда указано действует на текущее время нормативный акт или нет. В данном случае, ссылаюсь на сам ЗУ, а не на редакцию, поэтому актуальность останется.
к диалогу по ЭЦП или ЭП, на самом деле очень многие предприятия используют ЭП, регламентируя возможность такой работы только внутренними документами. Тут есть несколько факторов, на которые стоит обратить внимание, это финансовая сторона и юридическая сила. Иными словами, система менеджмента качества может безусловно обойтись и без ЭЦП, если требования к этой СМК позволяют это сделать.
Друзья!, пишите, я внимательно читаю ваши комментарии, и, на их основании я понимаю, какие темы вам интересно было бы осветить.

Аватар пользователя Александр

Интересной темой является валидация (тестирование ПО) - нормативная база, требования, стандарты, лучшие практики. Например, система ERP реализует определённую совокупность бизнес-процессов того или иного предприятия. В ходе развёртывания таковых систем нужно провести тестирование на предмет соответствия требованиям заказчика. Какие тут могут быть подходы и стратегии. Частично об этом идёт речь тут: http://itvesti.com.ua/tendencii/ecm-in-farm-interviews02-2014

Аватар пользователя Горобец Сергей

Добрый день, Нина
Уже ваша вторая статья на этом ресурсе - и такае же качественная. Освещаете, в общем-то, давно известные вещи, но на хорошем, понятном языке. Спасибо.
По поводу ЭЦП и ЭП, насколько мне известно, в нормативной базе у нас эти термины не разнесены.

Аватар пользователя Гость

Самая толковая статья про ЭЦП которую я читал. Четко и по теме, без зауми и воды.

Аватар пользователя Вячеслав

Ключ получил в АЦСК , сертификаты свои скачал ,но Как установить сертификат с закрытым ключём в систему так как без закрытого ключа сертификатом нельзя подписать документы в Word .

Аватар пользователя eqixyh

Как погодка сегодня? Я смотрел в <a href="http://pogoda.yandex.ru">yandex</a> тепло! Всегда бы так.