Електронний цифровий підпис (ЕЦП) – реквізит електронного документа, що дозволяє встановити відсутність спотворення інформації в електронному документі з моменту формування ЕЦП та перевірити належність підпису власнику сертифіката ключа ЕЦП. Значення реквізиту утворюється в результаті криптографічного перетворення інформації з використанням закритого ключа ЕЦП.

У 1994 р. було прийнято першу частину Цивільного кодексу РФ (від 30.11.94 № 51-ФЗ), у якому ст. 160 («Письмова форма угоди») було обумовлено можливість використання під час укладання угод «електронно-цифрового підпису… у випадках та у порядку, передбачених законом, іншими правовими актами чи угодою сторін», а ст. 434 також передбачала можливість укладання договору «шляхом обміну документами за допомогою електронного або іншого зв'язку, що дозволяє достовірно встановити, що документ виходить від сторони за договором».

Дещо раніше листом Вищого Арбітражного Суду РФ від 19.08.94 № С1-7/ОП-587 «Про окремі рекомендації, прийняті на нарадах з судово-арбітражної практики» підтверджувалася можливість прийняття в якості доказів документів, виготовлених в електронному вигляді та підписаних електрон , за наявності у договорі процедури узгодження розбіжностей та порядку доказу справжності договору та достовірності підписів.

У разі спору про наявність документів, підписаних електронно-цифровим підписом, сторони повинні пред'явити витяг з договору, в якому зазначено процедуру порядку погодження розбіжностей. Усього через кілька місяців було прийнято Федеральний закон від 20.02.95 № 24-ФЗ «Про інформацію, інформатизацію та захист інформації» технології та захист інформації»), в якому стверджувалося: «Юридична сила документа, що зберігається, обробляється і передається за допомогою автоматизованих інформаційних та телекомунікаційних систем, може підтверджуватись електронним цифровим підписом (далі – ЕЦП).

У Росії її юридично значимий сертифікат електронного підпису видає посвідчувальний центр. Правові умови використання електронного цифрового підпису в електронних документах регламентує федеральний закон від 10 січня 2002 р. № 1-ФЗ «Про електронний цифровий підпис», ст. 3.

Юридична сила електронного цифрового підпису визнається за наявності в автоматизованій інформаційній системі програмно-технічних засобів, що забезпечують ідентифікацію підпису, та дотримання встановленого режиму їх використання». Відповідно до закону було випущено ще одного листа Вищого Арбітражного Суду РФ від 07.06.95 № С1-7/03-316, в якому вже на підставі формулювань нового закону говорилося, що при підтвердженні юридичної сили документа з електронним цифровим підписом такий документ може визнаватися як доказ у справі, що розглядається арбітражним судом. Використання документів в електронній формі регулювалось і відомчими нормативними документами.

Приклад - Тимчасове положення від 12.03.98 № 20-П "Про правила обміну електронними документами між Банком Росії, кредитними організаціями (філіями) та іншими клієнтами Банку Росії при здійсненні розрахунків через розрахункову мережу Банку Росії" (Вказівка ​​ЦБ РФ від 11.04.00 № 774-У).

Однак усі законодавчі та нормативно-методичні документи передбачали визнання юридичної сили ЕЦП лише на рівні двосторонніх угод за умови попереднього укладання між сторонами угоди про взаємне визнання документів, підписаних ЕЦП. Тобто організації мали спочатку укласти письмово договір про взаємне визнання електронних документів, щоб потім уже починати ними обмінюватися. Це дозволило організувати роботу систем типу «клієнт — банк», але з дозволило перевести електронні документи у сферу громадських взаємин. Потрібна була технологія, що дозволяє прирівняти можливості використання електронних та звичайних документів.

Для вирішення цього завдання було прийнято Федеральний закон від 10.01.02 № 1-ФЗ «Про електронний цифровий підпис» (далі – Закон «Про ЕЦП»), метою якого саме було «забезпечення правових умов використання електронного цифрового підпису в електронних документах, при дотримання яких електронний цифровий підпис в електронному документі визнається рівнозначним власноручним підписом у документі на паперовому носії».

Відповідно до ст. 3 ФЗ «Про електронно-цифровий підпис» від 10 січня 2001 р. № 1-ФЗ:

- електронний документ - документ, в якому інформація представлена ​​в електронно-цифровій формі;

- електронний цифровий підпис - реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису та що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному;

– засоби електронного цифрового підпису – апаратні та (або) програмні засоби, що забезпечують реалізацію хоча б однієї з наступних функцій – створення електронного цифрового підпису в електронному документі з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису автентичності електронного цифрового підпису в електронному документі, створення закритих та відкритих ключів електронних цифрових підписів;

– сертифікат засобів електронного цифрового підпису – документ на паперовому носії, виданий відповідно до правил системи сертифікації для підтвердження відповідності засобів електронного цифрового підпису встановленим вимогам;

Відповідно до ст. 16 ФЗ «Про електронно-цифровий підпис» використання електронного цифрового підпису у сфері державного управління:

Після становлення ЕЦП при використанні в електронному документообігу між кредитними організаціями та кредитними бюро у 2005 році активно почала розвиватися інфраструктура електронного документообігу між податковими органами та платниками податків. Почав працювати наказ Міністерства з податків і зборів РФ від 2 квітня 2002 р. № БГ-3-32/169 "Порядок подання податкової декларації в електронному вигляді по телекомунікаційним каналам зв'язку". Він визначає загальні принципи інформаційного обміну при поданні податкової декларації в електронному вигляді телекомунікаційними каналами зв'язку.

У Законі РФ від 10 січня 2002 р. № 1-ФЗ «Про електронний цифровий підпис» прописані умови використання ЕЦП, особливості її використання у сферах державного управління та в корпоративній інформаційній системі.

Завдяки ЕЦП тепер, зокрема, багато російських компаній здійснюють свою торгово-закупівельну діяльність в Інтернеті через «Системи електронної торгівлі», обмінюючись з контрагентами необхідними документами в електронному вигляді, підписаними ЕЦП. Це значно спрощує та прискорює проведення конкурсних торгових процедур.

Юридичну силу електронно-цифрового підпису підтвердив Федеральний закон від 27.07.06 № 149-ФЗ «Про інформацію, інформаційні технології та захист інформації», ст. 11 якого свідчить, що «електронне повідомлення, підписане електронним цифровим підписом або іншим аналогом власноручного підпису, визнається електронним документом, рівнозначним документу, підписаному власноручним підписом, у випадках, якщо федеральними законами чи іншими нормативними правовими актами не встановлюється або не мається на увазі вимога про складання такого документа на паперовому носії».

Тобто у всіх випадках, коли у законодавстві прямо не зазначено, що документ має бути складений на папері, ми маємо право використовувати електронні документи. Також у ст. 11 говориться: «З метою укладання цивільно-правових договорів або оформлення інших правовідносин, в яких беруть участь особи, які обмінюються електронними повідомленнями, обмін електронними повідомленнями, кожне з яких підписано електронним цифровим підписом або іншим аналогом власноручного підпису відправника такого повідомлення, у порядку, встановленому федеральними законами, іншими нормативними правовими актами чи угодою сторін розглядається як обмін документами».

Якщо при використанні підпису на паперовому документі його юридична сила може бути уточнена звіркою наявного підпису під документом з іншими зразками підпису цієї людини, а у разі судового розгляду – за допомогою графологічної експертизи, то при впровадженні технології ЕЦП необхідно було забезпечити систему, що дозволяє при отриманні ( відкритті) будь-якого електронного документа, підписаного ЕЦП, однозначно ідентифікувати документ, що підписав, а також встановити відсутність спотворення інформації в електронному документі після підписання.

Технічно система підписання передбачає використання криптографічної технології (шифрування) з підписанням документа за допомогою закритого (секретного) ключа та перевірки підпису за допомогою загальнодоступного (публічного) або, як його називають, відкритого ключа.

Застосування цієї технології передбачає наявність центрів, що засвідчують, які будуть видавати закриті ключі для підписання документів і підтримувати загальнодоступну базу відкритих ключів, що служать для перевірки підпису.

Багато в чому Закон «Про ЕЦП» є саме законом про центри, що засвідчують – їм присвячена глава 3. Вважаємо, що саме затримками зі створенням єдиної мережі центрів, що засвідчують, і пояснюється зволікання з масовим поширенням електронно-цифрового підпису, тому що широке застосування електронно- цифровий підпис вимагає організації відповідної інфраструктури масової видачі закритих ключів (для підписання документів) та розповсюдження відкритих ключів (для перевірки достовірності електронно-цифрового підпису).

Для позначення інфраструктури поширення ключів часто використовується англійська абревіатура PKI (Public Key Infrastructure). Відповідно до постанови Уряду РФ від 30.06.04 № 319 «Про затвердження положення про Федеральне агентство з інформаційних технологій» організація підтвердження справжності «електронних цифрових підписів уповноважених осіб засвідчувальних центрів у виданих ними сертифікатах ключів підписів», «ведення єдиного підпису» посвідчувальних центрів та реєстру сертифікатів ключів підписів уповноважених осіб федеральних органів державної влади», а також «забезпечення доступу до них громадян, організацій, органів державної влади та органів місцевого самоврядування» було покладено на Федеральне агентство з інформаційних технологій.

Необхідність центральної структури обумовлена ​​наступним. Справа в тому, що, отримавши документ, підписаний електронно-цифровим підписом, слід звернутися до центру, що посвідчив цій особі підпис для отримання сертифіката ключа підпису, тобто відкритого ключа для перевірки правильності підпису.

Однак виникає запитання: чи можна довіряти цьому центру, що засвідчує, чи була перевірена особа заявника перед видачею йому сертифіката? Тут діяльність центрів, що засвідчують, чимось нагадує діяльність нотаріусів.

Тому і виникає у ст. 10 Закону уповноважений федеральний орган, який «веде єдиний державний реєстр сертифікатів ключів підписів, якими посвідчувальні центри, що працюють з учасниками інформаційних систем загального користування, запевняють сертифікати ключів підписів, що видаються ними, забезпечує можливість вільного доступу до цього реєстру і видає сертифікати. посвідчувальних центрів».

Затримка з впровадженням ЕЦП у сферу публічних взаємин сталася багато в чому через неврегульованість питань створення кореневого (головного) центру, що посвідчує, який повинен реєструвати всі центри, що засвідчують.

Приміром, розпорядження уряду Москви «Про створення московського головного регіонального посвідчувального центру» з'явилося ще 10.04.03 (№ 568-РП), а відкриття Головного центру м. Москви (ГУЦ) відбулося лише 01.12.06. Центр затвердження організації або фізичної особи створює для заявника ключ, призначений для підписання документів, та сертифікат ключа підпису, що включає відкритий ключ для перевірки електронно-цифрового підпису. Сертифікат ключа підпису може включати прізвище, ім'я, по батькові, так і посаду (із зазначенням найменування та місцезнаходження організації, в якій встановлено цю посаду) та кваліфікацію власника сертифіката ключа підпису, а також інші відомості, що підтверджуються відповідними документами.

Таким чином, оскільки сертифікат ключа підпису створюється за письмовою заявою, особистість заявника та інші відомості, що вносяться, підтверджуються відповідними документами — це гарантує відповідність особи підписала документ відомостям, зазначеним у сертифікаті ключа підпису. При цьому відповідно до п. 4 ст. 9 Закону «послуги з видачі учасникам інформаційних систем сертифікатів ключів підписів, зареєстрованих центром, що засвідчує, одночасно з інформацією про їх дію у формі електронних документів надаються безоплатно».

Організаційне забезпечення електронного цифрового підпису (ЕЦП) здійснюється відповідно до законодавства держави, на території якої використовується цей засіб ЕЦП. За відсутності такого законодавства правове регулювання у сфері застосування коштів ЕЦП складає основі нормативних актів адміністративних органів.

Відповідно до ст. 3 ФЗ «ПРО електронно-цифровий підпис» від 10 січня 2001 р. № 1-ФЗ:

електронний документ - документ, в якому інформація представлена ​​в електронно-цифровій формі;

електронний цифровий підпис - реквізит електронного документа, призначений для захисту даного електронного документа від підробки, отриманий внаслідок криптографічного перетворення інформації з використанням закритого ключа електронного цифрового підпису та що дозволяє ідентифікувати власника сертифіката ключа підпису, а також встановити відсутність спотворення інформації в електронному документі;

засоби електронного цифрового підпису - апаратні та (або) програмні засоби, що забезпечують реалізацію хоча б однієї з наступних функцій - створення електронного цифрового підпису в електронному документі з використанням закритого ключа електронного цифрового підпису, підтвердження з використанням відкритого ключа електронного цифрового підпису автентичності електронного цифрового підпису електронний документ, створення закритих та відкритих ключів електронних цифрових підписів;

сертифікат засобів електронного цифрового підпису – документ на паперовому носії, виданий відповідно до правил системи сертифікації для підтвердження відповідності засобів електронного цифрового підпису встановленим вимогам;

Відповідно до ст. 16 ФЗ «Про електронно-цифровий підпис»використання електронного цифрового підпису у сфері державного управління

1. Федеральні органи державної влади, органи державної влади суб'єктів Російської Федерації, органи місцевого самоврядування, а також організації, що беруть участь у документообігу із зазначеними органами, використовують для підписання своїх електронних документів електронні цифрові підписи уповноважених осіб зазначених органів, організацій.

2. Сертифікати ключів підписів уповноважених осіб федеральних органів державної влади включаються до реєстру сертифікатів ключів підписів, який ведеться уповноваженим федеральним органом виконавчої влади, та видаються користувачам сертифікатів ключів підписів із цього реєстру у порядку, встановленому цим Федеральним законом для центрів, що засвідчують.

3. Порядок організації видачі сертифікатів ключів підписів уповноважених осіб органів державної влади суб'єктів Російської Федерації та уповноважених осіб органів місцевого самоврядування встановлюється нормативними правовими актами відповідних органів.

Власник інформаційної системи, в якій застосовується
електронний цифровий підпис при створенні електронних документів,
зобов'язаний:

забезпечити відповідність застосовуваного програмного та апаратного забезпечення вимогам, визначеним виробником засобів електронного цифрового підпису та вимогам, що містяться в
регламенти посвідчувальних центрів;

забезпечити дотримання вимог чинного законодавства про електронний цифровий підпис під час виконання в інформаційній системі дій з електронними документами, що потребують використання електронного цифрового підпису.

Власник сертифіката ключа підпису зобов'язаний виконувати вимоги чинного законодавства в галузі електронного цифрового підпису, нормативні правові акти Уряду Москви, нормативні акти організації — власника інформаційної системи, в якій він застосовує електронний цифровий підпис, Регламент посвідчувального центру, правомірні вимоги та розпорядження адміністраторів і навіть реальний порядок.

Власники інформаційних систем, що засвідчують центри, посадові особи, учасники інформаційного обміну та інші особи несуть передбачену чинним законодавством відповідальність за заподіяння шкоди їх діями або бездіяльністю у разі недотримання вимог цього порядку.

Тобто для перевірки справжності підпису документа, що надійшов, жодних витрат не потрібно. Ще одна проблема — питання зберігання відкритих ключів, які служать для перевірки автентичності електронно-цифрового підпису. Відповідно до ст. 7 Закону термін зберігання відкритого ключа в посвідчувальному центрі не може бути меншим за встановлений законодавством строк позовної давності за документами, підписаними ЕЦП, після чого відкритий ключ переводиться в режим архівного зберігання.

Законом встановлено термін архівного зберігання щонайменше п'ять років, т. е., наприклад, сумарний термін зберігання відкритих ключів документів тимчасового (5 років) терміну зберігання має становити 10 років.

З погляду діловодства є низка нововведень проти традиційними технологіями роботи з документами. У першу чергу це пов'язано з тим, що файл документа, підписаного ЕЦП, не можна вносити зміни.

Контрольна сума (хеш-сума) за документом є основною складовою ЕЦП і гарантує, мовою Закону, «відсутність спотворення інформації в електронному документі після підписання». З цього випливає низка змін. Якщо раніше при роботі з паперовим документом співробітник, виявивши після його підписання друкарську помилку, міг акуратно виправити документ ручкою, щось замазати, а в багатосторінковому документі з підписом лише на останній або першій сторінці — навіть замінити окремі аркуші документа, то при використанні ЕЦП це вже неможливо — будь-яке внесення змін до документа призведе до того, що ЕЦП документа буде недійсним.

З цієї ж причини в документі, що підписується ЕЦП, неприпустима наявність автоматично оновлюваних полів, які часто присутні в шаблонах документів, наприклад «дата друку документа», «місцезнаходження файлу документа» тощо. Автоматичне оновлення поля в документі також призведе до того, що документ зміниться та ЕЦП анулюється. Ще одна істотна зміна технологій пов'язана з тим, що зазвичай після підписання паперовий документ передається в службу ДОП (канцелярію, загальний відділ, секретаріат), де він реєструється та на ньому проставляється реєстраційний номер.

Так як у файлі документа після його підписання змін не можна допускати, значить, реєстраційна інформація повинна вноситися тільки в реєстраційну картку на документ. Таким чином, тільки в реєстраційній картці (базі даних документа) зберігаються резолюції та інші реквізити, які раніше традиційно наносилися на паперовий документ.

Відповідно, якщо традиційний документ — це аркуш паперу з усіма наявними на ньому реквізитами, що відображають життєвий цикл документа (дата, підпис, реєстраційний номер, відмітка про отримання, резолюція, відмітка про виконання та направлення у справу тощо), то електронний документ - це файл з ЕЦП, відкритий ключ для перевірки підпису та запис у базі даних, тобто електронна картка, прикріплена до документа і містить усі необхідні реквізити та відомості про його життєвий цикл.

Для роботи з юридично значущими електронними документами необхідне спеціалізоване програмне забезпечення, система електронного діловодства (СЕД), у цій ситуації першому плані за значимістю виходить питання вибору та впровадження такої системи, що забезпечує роботу з електронними документами та ЕЦП всім співробітників організації.

Оскільки єдиного стандарту для обміну документами в електронній формі та передачі їх до державних архівів між організаціями поки що не існує (хоча наразі ВНДІ документознавства та архівної справи (ВНДІДАД) вже розробляє методичні рекомендації щодо організації роботи з електронними документами), то тут можна порадити орієнтуватися на найбільш масові програмні продукти, які надалі можуть бути легко доопрацьовані, щойно відповідні нормативно-методичні документи будуть прийняті.

Електронний цифровий підпис, може застосовуватися юридичними та фізичними особами для подання податкової звітності (податкових декларацій) в електронному вигляді, отримання необхідних довідок, подання звітності до ПФР та ФСС, відповідей на питання з державних органів та організацій, участі у конкурсах державного та муніципального замовлень та електронних торгів. Незалежно від місця їх проведення та місця знаходження учасника, а також для організації власного (всередині підприємства) електронного документообігу при взаємодії з партнерами для вирішення інших прикладних завдань.

Електронний цифровий підпис застосовується також для ідентифікації в системах санкціонованого доступу до приміщень, в інформаційних системах та ін.

Технологія застосування системи ЕЦП передбачає наявність мережі абонентів, які надсилають один одному підписані електронні документи. Для кожного абонента генерується пара ключів: закритий та відкритий.

Закритий ключ зберігається абонентом у таємниці та використовується ним для формування ЕЦП. Відкритий ключ відомий всім іншим користувачам та призначений для перевірки ЕЦП одержувачем підписаного електронного документа.

Електронний цифровий підпис використовується для підтвердження справжності документів, що передаються телекомунікаційними каналами. Функціонально вона аналогічна звичайного підпису і має її основні переваги:

засвідчує, що підписаний текст походить від особи, яка поставила підпис;

не дає самій цій особі можливості відмовитися від зобов'язань, пов'язаних із підписаним текстом;

гарантує цілісність підписаного тексту.

Електронний цифровий підпис є відносно невеликою кількістю додаткової цифрової інформації, що передається разом з підписаним текстом.

ЕЦП ґрунтується на досягненнях сучасної криптографії. За допомогою ЕЦП встановлюється однозначний взаємний зв'язок між вмістом повідомлення, підписом і парою ключів. Зміна хоча б одного з цих елементів призводить до порушення цього зв'язку, а її збереження є підтвердженням справжності цифрового підпису і, отже, повідомлення. ЕЦП реалізується за допомогою асиметричних алгоритмів шифрування та хеш-функцій.

Користування ЕЦП включає дві процедури:

- Формування цифрового підпису;

- Перевірку цифрового підпису.

Є два варіанти генерації (створення) ЕЦП:

- генерування закритого ключа в УЦ;

– створення закритого ключа на стороні користувача.

Нерідко користувач самостійно генерує закритий ключ (на своєму робочому місці), після чого генерує запит в УЦ виготовлення сертифіката ключа підпису (СКП) і реєстрацію цього СКП в реєстрі УЦ. При цьому сертифікат ключа підпису користувача в електронному вигляді підписується ключем УЦ і при відкритті відповідної вкладки на сертифікаті можна побачити, яким ключем підписано даний СКП. Таким чином, уповноважена особа УЦ (це співробітник, який здобув відповідну освіту в галузі інформаційної безпеки) засвідчує сертифікат користувача своїм сертифікатом, його ще називають кореневим. Центр, що посвідчує, своїм підписом підтверджує всі створювані ним підписи.

Якщо закритий ключ генерується в УЦ, то уповноважений співробітник іде до УЦ, де обов'язково пред'являє документ, що засвідчує особу (як правило, паспорт) і передає адміністратору УЦ повний пакет документів, який його регламентом. Після цього адміністратор генерує закритий та відкритий ключі клієнта у спеціально обладнаному приміщенні. Далі адміністратор видає єдиний ключ, що має обов'язково видаватися на захищеному носії, і реєструє сертифікат, тобто. вносить його до реєстру діючих СКП УЦ.

Відповідно до ст. 5 ФЗ «Про Електронний цифровий підпис» № 1-ФЗ від 10.01.2002 р.:

1. Створення ключів електронного цифрового підпису здійснюється:

- для використання в інформаційній системі загального користування - користувачем або на його звернення - центром, що засвідчує;

– для використання в корпоративній інформаційній системі – у порядку, встановленому у цій системі.

2. При створенні ключів ЕЦП для використання в інформаційній системі загального користування слід застосовувати лише сертифіковані засоби ЕЦП. Відшкодування збитків та шкоди, що виникли у зв'язку зі створенням ключів ЕЦП несертифікованими засобами ЕЦП, може бути покладено на творців та розповсюджувачів таких ключів.

3. У корпоративних інформаційних системах федеральних органів державної влади, органів державної влади суб'єктів Російської Федерації та органів місцевого самоврядування використання несертифікованих засобів ЕЦП та створених ними ключів ЕЦП не допускається.

4. Сертифікація коштів ЕЦП здійснюється відповідно до законодавства Російської Федерації про сертифікацію продукції та послуг.

Розглянемо особливості зберігання ЕЦП

Захищений носій оснащений системою безпеки – пін – кодом, захистом від злому, захистом від несанкціонованого копіювання зсередини, наприклад, під час підписання. Але часто використовуються незахищені носії, з яких ключі легко копіюються, є можливість використання ЕЦП з комп'ютера, якщо вона встановлена ​​на ньому. З погляду безпеки, це докорінно неправильно, виникає ризик заволодіння ЕЦП третіми особами. Крім того, власник ЕЦП може скопіювати свій підпис із захищеного носія.

Як показала практика, керівники підприємств вважають за краще отримувати ЕЦП на своє ім'я, але, як правило, самостійно не працюють на торгових майданчиках та копіюють підпис для своїх співробітників. Слід враховувати, що якщо ви копіюєте підпис для кількох підлеглих, у разі судового розгляду документи, підписані даними ЕЦП, матимуть повну юридичну силу. Відповідно, якщо хтось підписав будь-який документ ЕЦП керівника, керівник несе повну відповідальність за дії, які здійснюються за допомогою цього підпису. Наприклад, якщо секретар чи прибиральниця за незнанням чи злим наміром підписали будь-який договір чи контракт, він має повну юридичну силу.

І тут, по-перше, незрозуміло, хто і де підписує документи, по-друге, з'являється можливість дій із боку третіх осіб від імені організації без відома керівництва. Правильніше видати звичайну паперову довіреність уповноваженій особі на отримання ще однієї ЕЦП, після отримання якої він працює на торговому майданчику від свого імені. Якщо допущено будь-яку помилку, відразу зрозуміло, хто її зробив. У довіреності зазначаються всі повноваження, якими наділений співробітник: наприклад, він може вчиняти всі дії щодо подання заявки та участі в аукціоні, але не має права підписувати державний контракт. Таким чином, співробітник може вчиняти всі дії щодо участі в розміщенні замовлення, але право підпису контракту залишається лише у керівника підприємства.

При неуважній роботі з довіреностями можливий варіант наділення співробітника надто великими повноваженнями. Наприклад, правами генерального директора. У цьому випадку співробітник отримує повноваження на будь-які дії від імені організації, у тому числі на підписання будь-яких документів та управління розрахунковим рахунком. ЕЦП з такими правами має зберігатися лише у місці з обмеженим доступом (наприклад, у сейфі).

Можливий варіант відсутності у співробітника повноважень скоєння конкретних юридичних действий. Тобто якщо особа, яка підписує електронні документи чи контракти, не має прав підпису конкретних документів, контракт є юридично нікчемним, і його можна розірвати.

Тест

1. Який з апаратних засобів відноситься до ЕЦП

У тому числі з флешки, а також . Якщо вас цікавить, де зберігається ЕЦП на комп'ютері, дізнайтеся з цієї статті.

Де зберігається ЕЦП на комп'ютері

Якщо потрібно дізнатись які сертифікати встановлені на ваш комп'ютер, для цього можна скористатися Панеллю керування Windows, обравши Властивості браузера.

Як подивитися ЕЦП

Власне, тут і буде перераховано всі сертифікати. Але також, щоб переглянути сертифікати ЕЦПможна скористатися й іншим способом.

Натисніть клавіші (Win + R), у вікні, введіть команду certmgr.mscта натисніть Ок.

У вікні ви побачите кілька вкладок з найменуваннями каталогів/категорій, в яких розташовані сертифікати.

Де зберігається ЕЦП у реєстрі

Усе сертифікати ЕЦП зберігаються у реєстрі Windowsу спеціальному розділі. Щоб подивитися сертифікат ЕЦП, необхідно відкрити реєстр Windows і знайти шлях до сертифіката, який виглядає так:

HKEY\LOCAL_MACHINE\SOFTWARE\Wow6432Node\Crypto Pro\Settings\Users\S-1-5-23…\Keys

Де знаходиться ЕЦП у Windows XP

У Windows XP шлях до сертифіката трохи відрізняється. І ця єдина відмінність полягає у відсутності папки Wow6432Node. Щоб переглянути сертифікат ЕЦП у Windows XPнеобхідно відкрити наступний шлях.

Місце зберігання електронного ключа має бути захищене від чужого доступу. ЕЦП і двох частин. Відкрита форма складається з коду доступного широкому колу осіб. Закрита форма зашифрована та прихована у базі даних реєстрації. У законодавстві не прописано чітко, де зберігається ЕЦП після отримання підписувачем. Вказано правило нерозголошення інформації та форма призначення відповідальних осіб.

Недоліки зберігання на ПК:

ЕЦП встановлюється на всі комп'ютери, з яких користувач надсилатиме документацію. Якщо власник забуде закрити паролем ПК після користування, ключі легко списуються

Експорт/імпорт закритого ключа під час фізичного переїзду на інше місце потребує прав доступу та кваліфікації.

Рекомендоване зберігання ключів ЕЦП – спеціалізовані сховища Rutoken та e-Token. Вони являють собою USB-брелоки та смарт-картки. Доступ до цих сховищ здійснюється лише за ПІН-кодом. Вони зручні для перенесення, прості у користуванні. Усі операції проводяться безпосередньо у сховищі. Ключ не потрапляє у зовнішні бази.

Достоїнствами цього методу зберігання є:

захист від чужого
проникнення

доступ до будь-якого пристрою
для роботи без сертифіката

автоматизація процесу входу
по СЕД та системі комп'ютера

Вимоги до відповідальності з боку користувача

Законом не зазначено, як зберігати ЕЦП. Проте чітко прописано вимоги до відповідальності з боку власника. Закон «Про електронний цифровий підпис» містить чіткі вимоги.

Вимоги законодавчої бази наказують:

1. Сторони електронної взаємодії зберігають конфіденційність ЕЦП, зобов'язуються захищати від використання без згоди власника.
2. Власники повідомляють центр сертифікації ключа про порушення конфіденційності ЕЦП, втрату або отримання інформації третіми особами.
3. Забороняється використовувати скомпрометований ключ.
4. Застосовувати методи перевірки та відповідності електронного ключа.

Федеральне джерело наказує правила зберігання ЕЦП з доступом до перевірки. Програмне забезпечення має бути прописане та давати ключі доступу центру сертифікації ключа. Орган, що видав ключ, має право перевірити місце зберігання з подальшою інспекцією коректності внесення його до документів.

Також надається доступ до електронної документації. Терміни зберігання цифрових носіїв підпису визначаються номенклатурою справ та змістом документа.

Описуються чіткі правила зберігання ЕЦП у створенні. З боку власника підпису має бути забезпечений захист даних. Якщо ключ не знаходиться в сховищі, він повинен бути встановлений на кожен ПК. Обговорюється коло осіб, які мають доступ до документації та документообігу.

Передбачається, що відповідальність за використання ЕЦП в організаціях беруть керівні посади та головний бухгалтер. Ці особи призначаються спеціальним протоколом.

Інформація про них вноситься до архіву центру контролю та видачі ключів. Метод, як зберігати електронний підпис у межах одного підприємства, залишається на вибір власника.

Відповідальність та передача прав користування

Зберігання ЕЦП в організації вимагає призначення осіб, які мають право використання електронного цифрового підпису. Законодавством зазначено порядок зберігання ЕЦП у створенні.

Наказ про призначення відповідального за ЕЦП включає інформацію ПІБ співробітників. Вказуються повноваження та функції. Прописується регламент користування електронним підписом.

Внутрішнім документом призначається відповідальний за ЕЦП наказ підписується разом із угодою про нерозголошення інформації. Призначеній особі чи особам вичитують інструктаж щодо користування ЕЦП. Їм розповідається порядок зберігання ЕЦП та захисту доступу даних від третіх осіб. Пояснюються правила внесення ключа до документа.

Від користувача вимагається:

збереження таємниці інформації
та конфіденційність
процесу обміну інформацією

зберігання закритих ключів від
чужих осіб

дотримання пунктів правил
експлуатації АРМ системи
документообігу

У документі не вказується, де зберігається електронний підпис. Цю інформацію повідомляють в усному порядку під час інструктажу.

За використання ЕЦП відповідальність несе як призначена особа, а й організація. Якщо при передачі прав на застосування підпису порушується порядок інформування та вступу на посаду, заходи застосовуються до обох сторін. Контроль за виконанням положень наказу залишається за керівником (власником) підпису.

Чужа ЕЦП: законодавча відповідальність

У законодавстві РФ визначено статтю 22, у якій описано відповідальність використання чужої ЕЦП. Особи, які не мають офіційного дозволу, з доступом до чужого електронного ключа потрапляють під кримінальну, адміністративну та цивільно-правову відповідальність, обумовлену відповідними кодексами.

У разі виявлення порушень викриті особи несуть кримінальну відповідальність електронний підпис вважається скомпрометованим. Організація чи керівництво повинні донести до всіх зацікавлених осіб цю інформацію. Якщо дії особи завдали матеріальних збитків, їй ставиться в провину відшкодувати збитки. Особа, що приймає електронний ключ за договором, несе повну відповідальність за його зберігання.

Якщо вам потрібна консультація щодо придбання та вибору ЕЦП – зверніться до наших фахівців!

Як відомо, якщо стороння особа має доступ до закритого ключа вашого електронного підпису, останній може від вашого імені встановлювати його, що за можливими наслідками аналогічно підробці підпису на паперовому документі. Тому необхідно забезпечити високий рівень захисту закритого ключа, що найкраще реалізовано у спеціалізованих сховищах. До речі, електронний підпис - це не збережена у вигляді файлу картинка з вашими гачок, а рядок біт, отриманий в результаті криптографічного перетворення інформації з використанням закритого ключа, що дозволяє ідентифікувати власника і встановити відсутність спотворення інформації в електронному документі. Електронний підпис має і відкритий ключ – код, який доступний усім, за допомогою нього можна визначити, хто і коли підписав електронний документ.

Нині найпоширеніший варіант зберігання закритого ключа – на жорсткому диску комп'ютера. Але у нього існує низка недоліків, у тому числі:

Тепер повернемось до спеціалізованих сховищ. На даний момент у деяких системах електронного документообігу реалізовано можливість використання сховищ, наприклад e-Token та Rutoken. Що таке e-Token або Rutoken (часто називають просто «токен»)? Це захищене сховище ключів у вигляді USB-брелоків та смарткарт, доступ до якого здійснюється лише за пінкодом. При введенні невірного пінкоду більше трьох разів сховище блокується, запобігаючи спробам доступу до ключа шляхом підбору значення пінкоду. Усі операції із ключем виробляються у пам'яті сховища, тобто. ключ ніколи його не залишає. Таким чином, виключається перехоплення ключа з оперативної пам'яті.

Крім зазначених вище переваг, при використанні захищених сховищ можна виділити наступні:

• гарантується збереження ключа, у тому числі при втраті носія на час, необхідний для відкликання сертифіката (адже про втрату ЕП необхідно терміново повідомляти у центр, що засвідчується, як повідомляється в банк при втраті банківської картки);
• немає потреби встановлювати сертифікат закритого ключа на кожен комп'ютер, з якого працює користувач;
• «Токен» можна одночасно використовувати для авторизації при вході в операційну систему комп'ютера і в СЕД. Тобто він стає персональним засобом автентифікації.

Якщо СЕД має інтеграційні рішення зі спеціалізованими сховищами для закритих ключів, всі переваги виявляються і під час роботи з системою.

Розглянемо варіант, коли користувач зберігає ключ у спеціалізованому сховищі, активно працює з ноутбука. Тоді, навіть за втрати мобільного робочого місця (за умови збереження «токена»), можна не турбуватися про те, що хтось отримає доступ до СЕД з ноутбука або зможе скопіювати закритий ключ і підписати електронні документи від імені цього користувача.

Використання спеціалізованих сховищ передбачає додаткові витрати, але при цьому значно збільшується рівень безпеки вашого ключа і системи в цілому. Тому фахівці рекомендують використовувати подібні пристрої у роботі, але вибір, звичайно, завжди залишається за вами.

Електронно-цифровий підпис є новий крок в ідентифікації та підтвердження документів. Чим вона є? За яким принципом працює? ЕЦП – це складно чи ні? Чи зможе її освоїти тільки чи розібратися з нею під силу і пенсіонерам?

Загальна інформація

Спочатку давайте розберемося з термінологією. Що таке ЕЦП? Це спеціальний файл, який використовується для підтвердження правочинності документів з боку певних осіб. Слід зазначити, що електронно-цифрові підписи бувають двох типів - некваліфіковані. У першому випадку отримати ЕЦП можна в домашніх умовах. Для цього достатньо використати спеціальні криптографічні програми. Застосовувати реквізит домашнього пошиття можна для підтвердження справжності документів та повідомлень у колі друзів або в рамках невеликого підприємства.

Тоді як кваліфіковані ЕЦП - це файли, що створюються різними організаціями, які мають необхідну ліцензію. Їх найважливішою особливістю є наявність юридичної сили. Так, для них є законодавча база, що дозволяє використовувати ці електронно-цифрові підписи у державних та комерційних структурах. До того ж завдяки ним можна віддалено використовувати держпослуги. ЕЦП - це ключ до відсутності черг, швидкого та оперативного отримання відповідей та держави з людським обличчям.

Про сертифікати замовимо слово

Що вони являють собою? Сертифікат ЕЦП - це документ, що видається власнику центром, що засвідчує, що підтверджує справжність людини. Коли генерується ключ підпису, то дані про людину чи юридичну особу зберігаються. По суті своєї сертифікат ЕЦП є щось на зразок електронного паспорта.

Обмін електронними документами з їх допомогою може здійснюватись лише у разі дійсності підпису. На який термін вона видається? Як правило, вона створюється на рік чи два. Після закінчення терміну сертифікат можна продовжити. Слід зазначити, що файл при будь-якій зміні в реквізитах власника ключа як зміна назва, керівника організації та інше слід відкликати та оформлювати новий.

Оформлення та продовження

Щоб отримати ЕЦП, необхідно заповнити спеціальну анкету, де вказується поштова адреса та безліч іншої інформації. Слід зазначити, що у сертифікаті може бути будь-яка інформація. Але через обмеження дії на рік чи два доводиться їх постійно оновлювати. Чому?

Справа в тому, що інформація, що міститься в сертифікаті, має певний корисний термін актуальності. Так, що більше даних внесено у файл, то швидше він стає недійсним. Тому й було запроваджено таке обмеження терміну дійсності.

При цьому необхідно знати, що вся інформація, яка є в сертифікаті підпису, стає загальнодоступною. Тому рекомендують включати до нього якнайменше даних. Отримання ЕЦП також потребує наявності носія, де підпис зберігатиметься. Як правило, у такій ролі використовують флешки. Якщо необхідно продовжити електронно-цифровий підпис, слід звернутися до відповідної установи.

Хто може видати ЕЦП?

Електронні документи можна підписувати і своїми саморобками. Але щоб вони мали юридичну силу, слід звернутися до установ із відповідною акредитацією. Найпопулярнішим є використання послуг податкової служби. Так, у Російській Федерації найчастіше за оформленням ЕЦП звертаються до ФНП. Це пов'язано як із загальним визнанням, широкими можливостями використання, так і з тим, що вони надають безкоштовні підписи.

При зверненні до інших структур, навіть державних, доведеться заплатити кілька сотень чи навіть тисяч карбованців. А враховуючи той факт, що отримання ЕЦП повторюватиметься щороку чи два, то не дивно, що багато хто робить свій вибір на користь ФНП. До речі, якщо є бажання відкликати свій електронно-цифровий підпис, то для цього необхідно звернутися до організації, що її видала, із відповідною заявою. Коли це може знадобитися? Ось невеликий список найпопулярніших причин:

1. Змінились реквізити організації.
2. Уповноважена особа (власник підпису) змінила свій статус: звільнився, пішов на підвищення, був переведений на іншу посаду.
3. Носій, де зберігався ключ, був зламаний і не може бути експлуатований.
4. Підпис було скомпрометовано.

Які ключі бувають?

Отже, ми вже знаємо, що ЕЦП – це добре. Але як перевіряється справжність файлу? Для цього формується два ключі (певні послідовності символів). Отже, є:

1. Закритий (особистий, таємний) ключ. Це унікальна послідовність символом, що бере участь у формуванні підпису. Він є тільки у свого власника та відомий виключно йому.
2. Відкритий ключ. Криптографічний інструмент, що доступний будь-кому. Використовується для автентифікації ЕЦП.

Як накласти електронно-цифровий підпис на документ?

А тепер до головного. Як підписати ЕЦП документ? Для цього необхідна спеціальна програма, що прошиватиме необхідний файл, впроваджуючи в нього електронно-цифровий підпис. Якщо документ буде хоч якось змінено, то ЕЦП буде стертий.

Як приклад розгляньмо лінійку криптографічних програм «КриптоПро». Вона може бути використана як для створення, так і підписання документа ЕЦП. Завдяки цьому здійснюється розробка, виробництво, розповсюдження та супровід захищених криптографією файлів.

Де зберігати ЕЦП?

Для цієї мети може бути використаний (у міру збільшення надійності) жорсткий диск комп'ютера, ДВД, звичайна флешка або токен. Але в таких випадках може виникнути ситуація, коли хтось сторонній зможе отримати доступ до електронно-цифрового підпису та використовувати його на шкоду.

Найбільш поширеним є використання флешки. Завдяки невеликому розміру, її спокійно можна носити при собі, а використання не займає багато часу. Більш захищений, але менш популярний спосіб зберігання – це токен. Так називають мініатюрний пристрій, що має комплекс апаратних і програмних засобів, що забезпечує не потрапляння інформації в чужі руки.

Також токен може використовуватися для отримання безпечного дистанційного доступу до даних та захисту від сторонніх очей електронного листування. Зовні він нагадує звичайну флешку. Його особливістю є наявність захищеної пам'яті, завдяки чому стороння особа не зможе рахувати інформацію з токена. Цей пристрій може вирішувати цілий спектр проблем безпеки у сферах автентифікації та криптографії.

На закінчення

Зараз люди під час роботи з документами часто використовують паперову форму, яка потребує наявності нашого підпису, виконаного ручкою. Але в міру поширення використання електронних файлів потреба в ЕЦП зростатиме. Згодом складно уявити собі діяльність та активність людини без цього інструменту.

Цілком імовірно, що ЕЦП згодом перетвориться на повноцінний електронний паспорт, важливість якого буде складно переоцінити. Але в такому випадку будуть гостро постати питання безпеки даних. Не слід забувати, що найвразливіший фактор зараз у будь-якій технічній системі – це людина. Для того, щоб ЕЦП не потрапив до рук зловмисників, що використовують його на шкоду, необхідно постійно підвищувати свою поінформованість та кваліфікацію у використанні технологічних продуктів.