Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭЦП и проверить принадлежность подписи владельцу сертификата ключа ЭЦП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП.

В 1994 г. была принята первая часть Гражданского кодекса РФ (от 30.11.94 № 51-ФЗ), в котором в ст. 160 («Письменная форма сделки») была оговорена возможность использования при совершении сделок «электронно-цифровой подписи… в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон», а ст. 434 также предусматривала возможность заключения договора «путем обмена документами посредством… электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору».

Немногим раньше письмом Высшего Арбитражного Суда РФ от 19.08.94 № С1-7/ОП-587 «Об отдельных рекомендациях, принятых на совещаниях по судебно-арбитражной практике» подтверждалась возможность принятия в качестве доказательств документов, изготовленных в электронном виде и подписанных электронной цифровой подписью, при наличии в договоре процедуры согласования разногласий и порядка доказательства подлинности договора и достоверности подписей.

При возникновении спора о наличии документов, подписанных электронно-цифровой подписью, стороны должны предъявить выписку из договора, в котором указана процедура порядка согласования разногласий. Всего через несколько месяцев был принят Федеральный закон от 20.02.95 № 24-ФЗ «Об информации, информатизации и защите информации» (В настоящее время данный закон утратил силу, принят Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»), в котором утверждалось: «Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью (далее – ЭЦП).

В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи», ст. 3.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования». В соответствии с законом было выпущено еще одно письмо Высшего Арбитражного Суда РФ от 07.06.95 № С1-7/03-316, в котором уже на основании формулировок нового закона говорилось, что при подтверждении юридической силы документа с электронной цифровой подписью такой документ может признаваться в качестве доказательства по делу, рассматриваемому арбитражным судом. Использование документов в электронной форме регулировалось и ведомственными нормативными документами.

Пример — Временное положение от 12.03.98 № 20-П «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России» (Указание ЦБ РФ от 11.04.00 № 774-У).

Однако все законодательные и нормативно-методические документы предусматривали признание юридической силы ЭЦП только на уровне двусторонних соглашений при условии предварительного заключения между договаривающимися сторонами соглашения о взаимном признании документов, подписанных ЭЦП. То есть организации должны были сначала заключить в письменном виде договор о взаимном признании электронных документов, чтобы потом уже начинать ими обмениваться. Это позволило организовать работу систем типа «клиент — банк», но не дало возможности перевести электронные документы в сферу публичных взаимоотношений. Нужна была технология, позволяющая приравнять возможности использования электронных и обычных документов.

Для решения этой задачи был принят Федеральный закон от 10.01.02 № 1-ФЗ «Об электронной цифровой подписи» (далее – Закон «Об ЭЦП»), целью которого как раз было «обеспечение правовых условий использования электронной цифровой подписи в электронных документах, при соблюдении которых электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе».

Согласно ст. 3 ФЗ «Об электронно-цифровой подписи» от 10 января 2001 г. № 1-ФЗ:

– электронный документ — документ, в котором информация представлена в электронно-цифровой форме;

– электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

– средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

– сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

Согласно ст. 16 ФЗ «Об электронно-цифровой подписи» использование электронной цифровой подписи в сфере государственного управления:

После становления ЭЦП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 г. № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.

В Законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» прописаны условия использования ЭЦП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.

Благодаря ЭЦП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через «Системы электронной торговли», обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭЦП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур.

Юридическую силу электронно-цифровой подписи подтвердил Федеральный закон от 27.07.06 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», ст. 11 которого гласит, что «электронное сообщение, подписанное электронной цифровой подписью или иным аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях, если федеральными законами или иными нормативными правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе».

То есть во всех случаях, когда в законодательстве прямо не указано, что документ должен быть составлен на бумаге, мы имеем право использовать электронные документы. Также в ст. 11 говорится: «В целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной цифровой подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами».

Если при использовании подписи на бумажном документе его юридическая сила может быть уточнена сверкой имеющейся подписи под документом с другими образцами подписи этого человека, а в случае судебного разбирательства — с помощью графологической экспертизы, то при внедрении технологии ЭЦП было необходимо обеспечить систему, позволяющую при получении (открытии) любого электронного документа, подписанного ЭЦП, однозначно идентифицировать подписавшего документ, а также установить отсутствие искажения информации в электронном документе после подписания.

Технически система подписания предусматривает использование криптографической технологии (шифрования) с подписанием документа с помощью закрытого (секретного) ключа и проверки подписи с помощи общедоступного (публичного) или, как еще его называют, открытого ключа.

Применение этой технологии предусматривает наличие удостоверяющих центров, которые будут выдавать закрытые ключи для подписания документов и поддерживать общедоступную базу открытых ключей, служащих для проверки подписи.

Во многом Закон «Об ЭЦП» является как раз законом об удостоверяющих центрах – им посвящена глава 3. Считаем, что именно задержками с созданием единой сети удостоверяющих центров и объясняется промедление с массовым распространением электронно-цифровой подписи, т. к. широкое применение электронно-цифровой подписи требует организации соответствующей инфраструктуры массовой выдачи закрытых ключей (для подписания документов) и распространения открытых ключей (для проверки достоверности электронно-цифровой подписи).

Для обозначения инфраструктуры распространения ключей часто используется английская аббревиатура PKI (public key infrastructure). В соответствии с постановлением Правительства РФ от 30.06.04 № 319 «Об утверждении положения о Федеральном агентстве по информационным технологиям» организация подтверждения подлинности «электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей», «ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти», а также «обеспечение доступа к ним граждан, организаций, органов государственной власти и органов местного самоуправления» было возложено на Федеральное агентство по информационным технологиям.

Необходимость центральной структуры обусловлена следующим. Дело в том, что, получив документ, подписанный электронно-цифровой подписью, следует обратиться в удостоверяющий центр, выдавший данному лицу подпись для получения сертификата ключа подписи, т. е. открытого ключа для проверки правильности подписи.

Однако возникает вопрос: можно ли доверять этому удостоверяющему центру, была ли проверена личность заявителя перед выдачей ему сертификата? Тут деятельность удостоверяющих центров чем-то напоминает деятельность нотариусов.

Поэтому и возникает в ст. 10 Закона уполномоченный федеральный орган, который «ведет единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками информационных систем общего пользования, заверяют выдаваемые ими сертификаты ключей подписей, обеспечивает возможность свободного доступа к этому реестру и выдает сертификаты ключей подписей соответствующих уполномоченных лиц удостоверяющих центров».

Задержка с внедрением ЭЦП в сферу публичных взаимоотношений произошла во многом из-за неурегулированности вопросов создания корневого (головного) удостоверяющего центра, который должен регистрировать все удостоверяющие центры.

Так, например, распоряжение правительства Москвы «О создании московского головного регионального удостоверяющего центра» появилось еще 10.04.03 (№ 568-РП), а открытие Головного удостоверяющего центра г. Москвы (ГУЦ) состоялось только 01.12.06. Удостоверяющий центр по заявлению организации или физического лица создает для заявителя ключ, предназначенный для подписания документов, и сертификат ключа подписи, включающий открытый ключ для проверки электронно-цифровой подписи. Сертификат ключа подписи может включать как фамилию, имя, отчество, так и должность (с указанием наименования и местонахождения организации, в которой установлена эта должность) и квалификацию владельца сертификата ключа подписи, а также иные сведения, подтверждаемые соответствующими документами.

Таким образом, поскольку сертификат ключа подписи создается по письменному заявлению, личность заявителя и другие вносимые сведения подтверждаются соответствующими документами — это гарантирует соответствие личности подписавшего документ сведениям, указанным в сертификате ключа подписи. При этом в соответствии с п. 4 ст. 9 Закона «услуги по выдаче участникам информационных систем сертификатов ключей подписей, зарегистрированных удостоверяющим центром, одновременно с информацией об их действии в форме электронных документов оказываются безвозмездно».

Организационное обеспечение электронной цифровой подписи (ЭЦП) осуществляется в соответствии с законодательством государства, на территории которого используется данное средство ЭЦП. При отсутствии такого законодательства правовое регулирование в области применения средств ЭЦП осуществляется на основе нормативных актов административных органов.

Согласно ст. 3 ФЗ «ОБ электронно-цифровой подписи» от 10 января 2001 г. № 1-ФЗ:

электронный документ — документ, в котором информация представлена в электронно-цифровой форме;

электронная цифровая подпись — реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе;

средства электронной цифровой подписи — аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций — создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей;

сертификат средств электронной цифровой подписи — документ на бумажном носителе, выданный в соответствии с правилами системы сертификации для подтверждения соответствия средств электронной цифровой подписи установленным требованиям;

Согласно ст. 16 ФЗ «Об электронно-цифровой подписи» использование электронной цифровой подписи в сфере государственного управления

1. Федеральные органы государственной власти, органы государственной власти субъектов Российской Федерации, органы местного самоуправления, а также организации, участвующие в документообороте с указанными органами, используют для подписания своих электронных документов электронные цифровые подписи уполномоченных лиц указанных органов, организаций.

2. Сертификаты ключей подписей уполномоченных лиц федеральных органов государственной власти включаются в реестр сертификатов ключей подписей, который ведется уполномоченным федеральным органом исполнительной власти, и выдаются пользователям сертификатов ключей подписей из этого реестра в порядке, установленном настоящим Федеральным законом для удостоверяющих центров.

3. Порядок организации выдачи сертификатов ключей подписей уполномоченных лиц органов государственной власти субъектов Российской Федерации и уполномоченных лиц органов местного самоуправления устанавливается нормативными правовыми актами соответствующих органов.

Владелец информационной системы, в которой применяется
электронная цифровая подпись при создании электронных документов,
обязан:

обеспечить соответствие применяемого программного и аппаратного обеспечения требованиям, определенным производителем средств электронной цифровой подписи и требованиям, содержащимся в
регламентах удостоверяющих центров;

обеспечить соблюдение требований действующего законодательства об электронной цифровой подписи при выполнении в информационной системе действий с электронными документами, требующими использования электронной цифровой подписи.

Владелец сертификата ключа подписи обязан выполнять требования действующего законодательства в области электронной цифровой подписи, нормативные правовые акты Правительства Москвы, нормативные акты организации — владельца информационной системы, в которой он применяет электронную цифровую подпись, Регламент удостоверяющего центра, правомерные требования и распоряжения администраторов взаимодействующих информационных систем, а также настоящий порядок.

Владельцы информационных систем, удостоверяющие центры, должностные лица, участники информационного обмена и иные лица несут предусмотренную действующим законодательством ответственность за причинение вреда их действиями или бездействием в случае несоблюдения ими требований настоящего порядка.

То есть для проверки подлинности подписи поступившего документа никаких расходов не требуется. Еще одна проблема — вопрос хранения открытых ключей, служащих для проверки подлинности электронно-цифровой подписи. В соответствии со ст. 7 Закона срок хранения открытого ключа в удостоверяющем центре не может быть меньше установленного законодательством срока исковой давности по документам, подписанным ЭЦП, после чего открытый ключ переводится в режим архивного хранения.

Законом установлен срок архивного хранения не менее пяти лет, т. е., например, суммарный срок хранения открытых ключей для документов временного (5 лет) срока хранения должен составить 10 лет.

С точки зрения делопроизводства имеется ряд нововведений по сравнению с традиционными технологиями работы с документами. В первую очередь это связано с тем, что в файл документа, подписанного ЭЦП, нельзя вносить изменения.

Контрольная сумма («хэш-сумма») по документу является основной составной частью ЭЦП и гарантирует, говоря языком Закона, «отсутствие искажения информации в электронном документе после подписания». Из этого вытекает ряд изменений. Если раньше при работе с бумажным документом сотрудник, обнаружив после его подписания опечатку, мог аккуратно исправить документ ручкой, что-то замазать, а в многостраничном документе с подписью только на последней или первой странице — даже заменить отдельные листы документа, то при использовании ЭЦП это уже невозможно — любое внесение изменений в документ приведет к тому, что ЭЦП документа будет недействительна.

По этой же причине в документе, подписываемом ЭЦП, недопустимо наличие автоматически обновляемых полей, часто присутствующих в шаблонах документов, например «дата печати документа», «местонахождение файла документа» и т. п. Автоматическое обновление поля в документе также приведет к тому, что документ изменится и ЭЦП аннулируется. Еще одно существенное изменение технологий связано с тем, что обычно после подписания бумажный документ передается в службу ДОУ (канцелярию, общий отдел, секретариат), где он регистрируется и на нем проставляется регистрационный номер.

Так как в файле документа после его подписания изменений допускать нельзя, значит, регистрационная информация должна вноситься только в регистрационную карточку на документ. Таким образом, только в регистрационной карточке (базе данных по документу) хранятся резолюции и другие реквизиты, которые раньше традиционно наносились на бумажный документ.

Соответственно, если традиционный документ — это лист бумаги со всеми имеющимися на нем реквизитами, отражающими жизненный цикл документа (дата, подпись, регистрационный номер, отметка о получении, резолюция, отметка об исполнении и направлении в дело и т. п.), то электронный документ — это файл с ЭЦП, открытый ключ для проверки подписи и запись в базе данных, т. е. электронная карточка, прикрепленная к документу и содержащая все необходимые реквизиты и сведения о его жизненном цикле.

Для работы с юридически значимыми электронными документами необходимо специализированное программное обеспечение, система электронного делопроизводства (СЭД), поэтому в этой ситуации на первый план по значимости выходит вопрос выбора и внедрения такой системы, обеспечивающей работу с электронными документами и ЭЦП для всех сотрудников организации.

Поскольку единого стандарта для обмена документами в электронной форме и передачи их в государственные архивы между организациями пока не существует (хотя в настоящее время ВНИИ документоведения и архивного дела (ВНИИДАД) уже разрабатывает методические рекомендации по организации работы с электронными документами), то здесь можно посоветовать ориентироваться на наиболее массовые программные продукты, которые в дальнейшем могут быть легко доработаны, как только соответствующие нормативно-методические документы будут приняты.

Электронная цифровая подпись, может применяться юридическими и физическими лицами для сдачи налоговой отчетности (налоговых деклараций) в электронном виде, получения необходимых справок, сдачи отчётности в ПФР и ФСС, ответов на вопросы из государственных органов и организаций, участия в конкурсах государственного и муниципального заказов и электронных торгах. Вне зависимости от места их проведения и места нахождения участника, а также для организации собственного (внутри предприятия) электронного документооборота, при взаимодействии с партнерами, для решения других прикладных задач.

Электронная цифровая подпись применяется также для идентификации в системах санкционированного доступа в помещения, в информационных системах и пр.

Технология применения системы ЭЦП предполагает наличие сети абонентов, посылающих друг другу подписанные электронные документы. Для каждого абонента генерируется пара ключей: закрытый и открытый.

Закрытый ключ хранится абонентом в тайне и используется им для формирования ЭЦП. Открытый ключ известен всем другим пользователям и предназначен для проверки ЭЦП получателем подписанного электронного документа.

Электронная цифровая подпись используется для подтверждения подлинности документов, передаваемых по телекоммуникационным каналам. Функционально она аналогична обычной подписи и обладает ее основными достоинствами:

удостоверяет, что подписанный текст исходит от лица, поставившего подпись;

не дает самому этому лицу возможности отказаться от обязательств, связанных с подписанным текстом;

гарантирует целостность подписанного текста.

Электронная цифровая подпись представляет собой относительно небольшое количество дополнительной цифровой информации, передаваемой вместе с подписанным текстом.

ЭЦП основана на достижениях современной криптографии. С помощью ЭЦП устанавливается однозначная взаимная связь между содержимым сообщения, самой подписью и парой ключей. Изменение хотя бы одного из этих элементов приводит к нарушению этой связи, а ее сохранение является подтверждением подлинности цифровой подписи и, следовательно, самого сообщения. ЭЦП реализуется при помощи асимметричных алгоритмов шифрования и хэш-функций.

Пользование ЭЦП включает две процедуры:

– формирование цифровой подписи;

– проверку цифровой подписи.

Есть два варианта генерации (создания) ЭЦП:

– генерирование закрытого ключа в УЦ;

– генерирование закрытого ключа на стороне пользователя.

Нередко пользователь самостоятельно генерирует закрытый ключ (на своем рабочем месте), после чего генерирует запрос в УЦ на изготовление сертификата ключа подписи (СКП) и регистрацию этого СКП в реестре УЦ. При этом сертификат ключа подписи пользователя в электронном виде подписывается ключом УЦ, и при открытии соответствующей вкладки на сертификате можно увидеть, каким ключом подписан данный СКП. Таким образом, уполномоченное лицо УЦ (это сотрудник, который получил соответствующее образование в области информационной безопасности) заверяет сертификат пользователя своим сертификатом, его еще называют корневым. Удостоверяющий центр своей подписью подтверждает все создаваемые им подписи.

Если закрытый ключ генерируется в УЦ, то уполномоченный сотрудник идет в УЦ, где в обязательном порядке предъявляет документ, удостоверяющий личность (как правило, паспорт) и передает администратору УЦ полный пакет документов, требуемый его регламентом. После этого администратор генерирует закрытый и открытый ключи клиента в специально оборудованном помещении. Далее администратор выдает единственный ключ, который должен обязательно выдаваться на защищенном носителе, и регистрирует сертификат, т.е. вносит его в реестр действующих СКП УЦ.

Согласно ст. 5 ФЗ «Об Электронной цифровой подписи» № 1-ФЗ от 10.01.2002 г.:

1. Создание ключей электронной цифровой подписи осуществляется:

– для использования в информационной системе общего пользования — пользователем или по его обращению — удостоверяющим центром;

– для использования в корпоративной информационной системе — в порядке, установленном в этой системе.

2. При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей.

3. В корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления использование несертифицированных средств ЭЦП и созданных ими ключей ЭЦП не допускается.

4. Сертификация средств ЭЦП осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.»

Рассмотрим особенности хранения ЭЦП

Защищенный носитель оснащен системой безопасности - пин — кодом, защитой от взлома, защитой от несанкционированного копирования изнутри, например, во время подписания. Но часто используются незащищенные носители, с которых ключи легко копируются, также есть возможность использования ЭЦП с компьютера, если она установлена на нем. С точки зрения безопасности, это в корне не правильно, возникает риск завладения ЭЦП третьими лицами. Кроме того, владелец ЭЦП может скопировать свою подпись и с защищенного носителя.

Как показала практика, руководители предприятий предпочитают получать ЭЦП на свое имя, но, как правило, самостоятельно не работают на торговых площадках и копируют подпись для своих сотрудников. Следует учитывать, что, если вы копируете подпись для нескольких подчиненных, в случае судебного разбирательства документы, подписанные данными ЭЦП, будут иметь полную юридическую силу. Соответственно, если кто-то подписал какой-либо документ ЭЦП руководителя, руководитель несет полную ответственность за действия, которые совершаются с помощью этой подписи. Например, если секретарь или уборщица по незнанию или по злому умыслу подписали какой-либо договор или контракт, то он имеет полную юридическую силу.

В этом случае, во-первых, непонятно, кто и где подписывает документы, во-вторых, появляется возможность действий со стороны третьих лиц от имени организации без ведома руководства. Правильнее выдать обычную бумажную доверенность уполномоченному лицу на получение еще одной ЭЦП, после получения которой он работает на торговой площадке от своего имени. Если допущена какая-либо ошибка, сразу понятно, кто ее совершил. В доверенности указываются все полномочия, которыми наделен сотрудник: например, он может совершать все действия по подаче заявки и участию в аукционе, но не имеет права подписывать государственный контракт. Таким образом, сотрудник может совершать все действия по участию в размещении заказа, но право подписи контракта остается только у руководителя предприятия.

При невнимательной работе с доверенностями возможен вариант наделения сотрудника слишком обширными полномочиями. Например, правами генерального директора. В этом случае сотрудник получает полномочия на любые действия от имени организации, в том числе на подписание любых документов и управления расчетным счетом. ЭЦП с такими правами должна храниться только в месте с ограниченным доступом (например, в сейфе).

Возможен вариант отсутствия у сотрудника полномочий на совершение конкретных юридических действий. То есть если у лица, которое подписывает электронные документы или контракты, нет прав подписи конкретных документов, контракт является юридически ничтожным, и его можно расторгнуть.

Тест

1. Какое из аппаратных средств относится к ЭЦП

В том числе с флешки, а также . Если вас интересует, где хранится ЭЦП на компьютере, узнайте из этой статьи.

Где хранится ЭЦП на компьютере

Если нужно узнать какие сертификаты установлены на ваш компьютер, для этого можно воспользоваться Панелью управления Windows , выбрав Свойства браузера .

Как посмотреть ЭЦП

Собственно, здесь и будут перечислены все сертификаты. Но также, чтобы посмотреть сертификаты ЭЦП можно воспользоваться и другим способом.

Нажмите сочетание клавиш (Win + R), в открывшемся окне введите команду certmgr.msc и нажмите Ок .

В открывшемся окне вы увидите несколько вкладок с наименованиями каталогов/категорий, в которых расположены сертификаты.

Где хранится ЭЦП в реестре

Все сертификаты ЭЦП хранятся в реестре Windows в специальном разделе. Чтобы посмотреть сертификат ЭЦП , необходимо открыть реестр Windows и найти путь до сертификата, который выглядит следующим образом:

HKEY\LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-23…\Keys

Где находится ЭЦП в Windows XP

В Windows XP путь до сертификата немного отличается. И это единственное отличие заключается в отсутствии папки Wow6432Node . Чтобы посмотреть сертификат ЭЦП в Windows XP , необходимо открыть следующий путь.

Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.

Недостатки хранения на ПК:

ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.

Рекомендованное хранение ключей ЭЦП - специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

Достоинствами этого метода хранения являются:

защита от чужого
проникновения

доступ к любому устройству
для работы без сертификата

автоматизация процесса входа
по СЭД и системе компьютера

Требования к ответственности со стороны пользователя

Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

Требования законодательной базы предписывают:

1. Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
2. Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
3. Запрещается использовать скомпрометированный ключ.
4. Применять методы проверки и соответствия электронного ключа.

Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.

Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.

Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.

Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

Ответственность и передача прав пользования

Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.

Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.

Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.

От пользователя требуется:

сохранение тайны информации
и конфиденциальность
процесса обмена информацией

хранение закрытых ключей от
чужих лиц

соблюдение пунктов правил
эксплуатации АРМ системы
документооборота

В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.

За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.

Чужая ЭЦП: законодательная ответственность

В законодательстве РФ определена статья 22, в которой описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.

В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.

Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!

Как известно, если у стороннего лица есть доступ к закрытому ключу вашей электронной подписи, последний может от вашего имени устанавливать ее, что по возможным последствиям аналогично подделке подписи на бумажном документе. Поэтому необходимо обеспечить высокий уровень защиты закрытого ключа, что наилучшим образом реализовано в специализированных хранилищах. К слову, электронная подпись это не сохраненная в виде файла картинка с вашими закорючками, а строка бит, полученная в результате криптографического преобразования информации с использованием закрытого ключа, позволяющая идентифицировать владельца и установить отсутствие искажения информации в электронном документе. У электронной подписи имеется и открытый ключ – код, который доступен всем, с помощью него можно определить, кто и когда подписал электронный документ.

Сейчас наиболее распространенный вариант хранения закрытого ключа – на жестком диске компьютера. Но у него существует ряд недостатков, в том числе:

Теперь вернемся к специализированным хранилищам. На текущий момент в некоторых системах электронного документооборота реализована возможность использования хранилищ, например e-Token и Rutoken. Что же такое e-Token или Rutoken (часто называют просто «токен»)? Это защищенное хранилище ключей в виде USB-брелоков и смарткарт, доступ к которому осуществляется только по пинкоду. При вводе неверного пинкода более трех раз хранилище блокируется, предотвращая попытки доступа к ключу путем подбора значения пинкода. Все операции с ключом производятся в памяти хранилища, т.е. ключ никогда его не покидает. Таким образом, исключается перехват ключа из оперативной памяти.

Помимо указанных выше преимуществ при использовании защищенных хранилищ можно выделить следующие:

• гарантируется сохранность ключа, в том числе при потере носителя на время, необходимое для отзыва сертификата (ведь о потере ЭП необходимо срочно сообщать в удостоверяющий центр, как сообщается в банк при потере банковской карты);
• нет необходимости устанавливать сертификат закрытого ключа на каждый компьютер, с которого работает пользователь;
• «токен» можно одновременно использовать для авторизации при входе в операционную систему компьютера и в СЭД. То есть он становится персональным средством аутентификации.

Если СЭД имеет интеграционные решения со специализированными хранилищами для закрытых ключей, то все преимущества проявляются и при работе с системой.

Рассмотрим вариант, когда пользователь хранит ключ в специализированном хранилище, при этом активно работает с ноутбука. Тогда, даже при утере мобильного рабочего места (при условии сохранения «токена»), можно не беспокоиться о том, что кто-то получит доступ к СЭД с ноутбука или сможет скопировать закрытый ключ и подписать электронные документы от имени этого пользователя.

Использование специализированных хранилищ предполагает дополнительные расходы, но при этом значительно увеличивается уровень обеспечения безопасности вашего ключа и системы в целом. Поэтому специалисты рекомендуют использовать подобные устройства в работе, но выбор, конечно, всегда остается за вами.

Электронно-цифровая подпись представляет собой новый шаг в идентификации и подтверждении документов. Чем же она является? По какому принципу работает? ЭЦП - это сложно или нет? Сможет её освоить только или же разобраться с нею по силам и пенсионерам?

Общая информация

Первоначально давайте разберёмся с терминологией. Что такое ЭЦП? Это специальный файл, что используется для подтверждения правомочности документов со стороны определённых лиц. Следует отметить, что электронно-цифровые подписи бывают двух типов - не/квалифицированные. В первом случае получить ЭЦП можно в домашних условиях. Для этого достаточно использовать специальные криптографические программы. Применять реквизит домашнего пошива можно для подтверждения подлинности документов и сообщений в кругу друзей или же в рамках небольшого предприятия.

Тогда как квалифицированные ЭЦП - это файлы, что создаются различными организациями, имеющими необходимую для этого лицензию. Их наиболее важной особенностью является наличие юридической силы. Так, для них есть законодательная база, позволяющая использовать эти электронно-цифровые подписи в государственных и коммерческих структурах. К тому же, благодаря ним можно удаленно использовать госуслуги. ЭЦП - это ключ к отсутствию очередей, быстрому и оперативному получению ответов и государству с человеческим лицом.

О сертификатах замолвим слово

Что они собой представляют? Сертификат ЭЦП - это документ, что выдаётся владельцу удостоверяющим центром, что подтверждает подлинность человека. Когда генерируется ключ подписи, то данные о человеке или юридическом лице сохраняются. В сущности своей сертификат ЭЦП представляет собой что-то вроде электронного паспорта.

Обмен электронными документами с их помощью может осуществляться только в случае действительности подписи. На какие сроки она выдаётся? Как правило, она создаётся на год или два. После окончания срока сертификат можно продлить. Следует отметить, что файл при любом изменении в реквизитах владельца ключа как то смена название, руководителя организации и прочем следует отзывать и оформлять новый.

Оформление и продление

Чтобы получить ЭЦП, необходимо заполнить специальную анкету, где указывается почтовый адрес и множество иной информации. Следует отметить, что в сертификате может быть практически любая информация. Но из-за ограничения действия в год или два приходится их постоянно обновлять. Почему?

Дело в том, что информация, содержащаяся в сертификате, обладает определённым полезным сроком актуальности. Так, чем больше данных внесено в файл, тем скорее он становится недействительным. Поэтому и было введено такое ограничение срока действительности.

При этом необходимо знать, что вся информация, что имеется в сертификате подписи, становится общедоступной. Поэтому рекомендуют включать в него как можно меньше данных. Получение ЭЦП также требует наличия носителя, где подпись будет храниться. Как правило, в такой роли используют флешки. Если необходимо продлить электронно-цифровую подпись, то следует обратиться в соответствующее учреждение.

Кто может выдать ЭЦП?

Электронные документы можно подписывать и своими самоделками. Но чтобы они имели юридическую силу, следует обратиться к учреждениям с соответствующей аккредитацией. Наиболее популярным является использование услуг налоговой службы. Так, в Российской Федерации чаще всего за оформлением ЭЦП обращаются к ФНС. Это связано как с общим признанием, широкими возможностями использования, так и с тем, что они предоставляют подписи бесплатно.

При обращении к другим структурам, даже государственным, придётся заплатить несколько сотен или даже тысяч рублей. А учитывая тот факт, что получение ЭЦП будет повторяться каждый год или два, то не удивительно, что многие делают свой выбор в пользу ФНС. Кстати, если есть желание отозвать свою электронно-цифровую подпись, то для этого необходимо обратиться в организацию, что её выдала, с соответствующим заявлением. Когда же это может понадобиться? Вот небольшой список самых популярных причин:

1. Изменились реквизиты организации.
2. Уполномоченное лицо (владелец подписи) изменил свой статус: уволился, пошел на повышение, был переведён на другую должность.
3. Носитель, где хранился ключ, был сломан и больше не может быть эксплуатирован.
4. Подпись была скомпрометирована.

Какие бывают ключи?

Итак, мы уже знаем, что ЭЦП - это хорошо. Но как проверяется подлинность файла? Для этой цели формируется два ключа (определённые последовательности символов). Итак, есть:

1. Закрытый (личный, секретный) ключ. Это уникальная последовательность символом, что берёт участие в формировании подписи. Он имеется только у своего собственника и известен исключительно ему.
2. Открытый ключ. Криптографический инструмент, что доступен любому желающему. Используется для проверки подлинности ЭЦП.

Как наложить электронно-цифровую подпись на документ?

А теперь к главному. Как подписать ЭЦП необходимый документ? Для этого необходима специальная программа, что будет прошивать требуемый файл, внедряя в него электронно-цифровую подпись. Если документ при этом будет хоть как-то изменён, то ЭЦП будет стёрт.

В качестве примера давайте рассмотрим линейку криптографических программ «КриптоПро». Она может быть использована как для создания, так и для подписания документа ЭЦП. Благодаря этому осуществляется разработка, производство, распространение и сопровождение защищенных криптографией файлов.

Где хранить ЭЦП?

Для этой цели может быть использован (по мере увеличения надежности) жесткий диск компьютера, ДВД, обычная флешка или же токен. Но в таких случаях может возникнуть ситуация, когда кто-то посторонний сможет получить доступ к электронно-цифровой подписи и использовать её во вред.

Наиболее распространённым является использование флешки. Благодаря небольшому размеру её спокойно можно носить при себе, а использование не занимает много времени. Более защищенный, но менее популярный способ хранения - это токен. Так называют миниатюрное устройство, обладающее комплексом аппаратных и программных средств, что обеспечивает не попадание информации в чужие руки.

Также токен может использоваться для получения безопасного дистанционного доступа к данным и защиты от посторонних глаз электронной переписки. Внешне он напоминает обычную флешку. Его особенностью является наличие защищенной памяти, благодаря чему стороннее лицо не сможет считать информацию с токена. Это устройство может решать целый спектр проблем безопасности в сферах аутентификации и криптографии.

В заключение

Сейчас люди при работе с документами часто используют бумажную форму, которая требует наличия нашей подписи, выполненной ручкой. Но по мере распространения использования электронных файлов потребность в ЭЦП будет возрастать. Со временем сложно будет представить себе деятельность и активность человека без этого инструмента.

Вполне вероятно, что ЭЦП со временем превратится в полноценный электронный паспорт, важность которого сложно будет переоценить. Но в таком случае будут остро вставать вопросы о безопасности данных. Не следует забывать, что самый уязвимый фактор сейчас в любой технической системе - это человек. Для того чтобы ЭЦП не попал в руки злоумышленников, что используют его во вред, необходимо постоянно повышать свою информированность и квалификацию в использовании технологических продуктов.