Проблемы использования электронной цифровой подписи

2. Проблемы использования электронной цифровой подписи

В современном, оснащенном компьютерами предприятии документы создаются и перемещаются в электронном виде, при этом необходимость подписания документов остается. Ведь сам по себе перевод документов в другую форму не изменяет сложившихся методов управления организацией.

Федеральный закон "Об информации, информационных технологиях и о защите информации" дает определение, какой документ признается электронным: "электронное сообщение, подписанное электронно-цифровой подписью (ЭЦП) или аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях если федеральными законами или иными нормативно-правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе". Главным атрибутом электронного документа, подтверждающим его подлинность, является электронная цифровая подпись.

В принятом в 2002 г. Законе "Об электронной цифровой подписи" под электронной цифровой подписью понимается "реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". В этом законе впервые в российском законодательстве предпринята попытка отказаться от реквизита "печать", заменив его определенным видом подписи, приемлемой для данного носителя, в частности электронной цифровой подписью. Такая подпись в соответствии с законом обладает уже свойствами двух реквизитов: "подпись" и "печать". Это соответствует отмеченной специалистами тенденции к слиянию в будущем реквизитов "подпись" и "печать" в один, который станет универсальным средством идентификации, как документа, так и личности. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

·  сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силы (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

·  подтверждена подлинность электронной цифровой подписи в электронном документе;

·  электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Поскольку ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, она жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь имеет возможность изготовить пару индивидуальных ключей: секретного – для формирования цифрового аналога подписи под документом и парного с ним, открытого – для проверки достоверности цифровых подписей, вычисленных с помощью данного конкретного ключа. Принадлежность секретного ключа ЭЦП определенному лицу удостоверяется сертификатом, выдаваемым удостоверяющим центром. Каждый участник информационной системы может владеть любым количеством сертификатов. Однако электронный документ с ЭЦП имеет юридическую силу лишь в рамках отношений, указанных в сертификате ключа подписи. Ключи электронных цифровых подписей создаются для использования:

·  в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

·  в корпоративной информационной системе в порядке, установленном в этой системе.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей не сертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.

Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.

В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз.

Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте.

Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований.

Необходимо отметить, что создание документов, поддерживающих ЭЦП, – задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации:

·  обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения;

·  сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов;

·  предотвращать неавторизованный физический доступ к помещению, где хранятся документы;

·  использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями;

·  мигрировать документы со старых носителей на новые каждые 10 лет;

·  контролировать отсутствие изменений в документах;

·  осуществлять перевод документов на технологически нейтральные форматы, такие как XML и RTP,

·  ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов;

·  протоколировать все действия с документами.

Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.

Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.

Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные.

Уверенность в аутентичности документа может основываться на уверенности в качестве системы делопроизводства в организации – точно так же, как в случае традиционных бумажных архивов.

Несмотря на достаточно широкое применение ЭЦП в различных сферах деятельности, специалисты по информационным технологиям отмечают, что внедрение ЭЦП идет медленнее, чем ожидалось. И причиной этому служат не недостатки Закона "Об ЭЦП" (который не ограничивает использование данной технологии на основе двусторонних и многосторонних договоренностей), а ряд сдерживающих факторов. К ним относятся следующие:

·  сферу использования ЭЦП ограничивает то обстоятельство, что, несмотря на широкое внедрение информационных технологий, не предполагается переводить в электронный вид наиболее важные документы – документы на недвижимость, свидетельства о рождении и т. п.;

·  невостребованность технологии ЭЦП для документов электронной почты, так как применение этой технологии может привлечь нежелательное внимание со стороны хакеров, госслужб, борющихся с терроризмом и т. п.;

·  проблемы, связанные с использованием ЭЦП, такие как подделка ЭЦП, незаконное получение и использование сертификатов ЭЦП, передача ЭЦП другому лицу в нарушение установленных правил;

·  отсутствие необходимости применения ЭЦП в закрытых информационных системах, в которых высокий уровень защиты и контроля и так обеспечивается;

·  отсутствие необходимой инфраструктуры в виде удостоверяющих центров и центров сертификации;

Необходимо отметить, что ограничения в использовании ЭЦП в большей степени связаны с тем фактом, что юридически значимая документация организации оформляется в основном на бумажных носителях, и приходится сочетать электронный документооборот на стадии подготовки и согласования, и бумажный на завершающем этапе оформления. Создание электронных документов, подлежащих длительному хранению, и проставление на них ЭЦП без одновременного создания их дубликата на бумаге неизбежно приводит к возникновению конфликтных ситуаций. Это обстоятельство, а также нормативно-методологическая нерешенность проблемы долговременного хранения электронных документов с ЭЦП заставляют руководителей организаций тщательно взвешивать все "за" и "против", перед тем как дать распоряжение хранить важные документы только в электронной форме.

Таким образом, ЭЦП, как и любое другое средство автоматизации делопроизводственных процессов, способно принести немалую пользу при правильном использовании. Но в каждом конкретном случае необходимо анализировать выгоды от использования ЭЦП и риски, связанные с ее применением. Для успешной и эффективной работы в электронной среде организациям необходимо использовать весь имеющийся арсенал информационных технологий, в том числе и электронно-цифровую подпись.

Сама технология электронной подписи осуществляется с помощью идентификации пользователя путем сличения реальной подписи с подписью в компьютерной системе, где создается ее электронный шаблон. Ввод подписей производится при помощи сканера или электронного пера. Электронная подпись, как и отпечатки пальцев, квалифицируются как уникальный показатель личности.

Экспресс-анализ подписи имеет большое значение во множестве задач банковского дела, управления финансами, предприятиями.

Заключение

Несмотря на минусы возникающие при введение электронного документооборота, есть масса плюсов: простота внесения изменений в документ, возможность помещать в документе не только текст, но и мультимедийные данные,

возможность использовать заранее заготовленные формы, более высокая скорость передачи информации по большому количеству адресов, экономия бумаги, более высокая компактность архивов, более простой контроль информационных потоков;

большая скорость поиска и извлечения информации, возможность защиты документов от несанкционированного доступа и разграничение прав доступа сотрудников к информации. Также автоматизация документооборота организации позволяет снизить количество служб, занятых работой с документами (курьеров, канцелярских работников и т.п.).

В случае использования электронного документооборота требуется гораздо меньше затрат на перестройку документооборота при изменении внешних условий, например требований со стороны фискальных органов по изменению формы отчетности.

Несмотря на то что эффективность электронного документооборота повсеместно признана, сегодня в России можно встретить все виды документооборота, представленные на рис. 1. Еще остались организации, которые по-прежнему работают в условиях бумажного делопроизводства, большинство используют в организации документооборота компьютеры и локальные сети, и лишь незначительный процент использует полностью автоматизированные системы управления электронными документами.

В идеале следствием развития электронного документооборота должны стать полностью безбумажные технологии. Однако сегодня бумажные документы все еще необходимы для соблюдения требований многих норм законодательства – налогового, законодательства о бухгалтерском учете и т.п. Одно из основных назначений документа – это способность удостоверять определенные факты. До последнего времени бумажный документ с необходимыми реквизитами и степенями защиты являлся основным способом доказательства того или иного факта, то есть имел юридическую силу. Бумага как материальный носитель обладает недостатком в том смысле, что не позволяет бесследно стирать и записывать новую информацию, однако этот ее недостаток оборачивается достоинством с точки зрения исключения подделки документа. Недаром русская поговорка гласит: что написано пером, не вырубишь топором.

Принятый в январе 2002 года Федеральный закон "Об электронной цифровой подписи" дает организациям возможность создавать системы обмена исключительно электронными документами, при котором электронный документ может выступать оригиналом, не нуждающимся в дублировании твердой копией. Технология ЭЦП позволяет обеспечить идентификацию и аутентификацию документа, однако сегодня легитимность ЭЦП абсолютна только для внутреннего документооборота, где она активно используется, поскольку внутренний документооборот регламентируется инструкцией по документообороту, утвержденной генеральным директором.

Таким образом, основной причиной наличия смешанного документооборота является то обстоятельство, что вопрос хождения ЭЦП до сих пор не решен на государственном уровне.

Однако обмен документами в электронном виде может использоваться не во всех, а только в некоторых направлениях деятельности организации. В тех сегментах обмена документами, где не требуется подпись, обмен документами может быть полностью безбумажным.

Используемая литература

1.  Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27 июля 2006 г. № 149-ФЗ. http://www.consultant.ru

2.  Федеральный закон "Об электронной цифровой подписи" от 08.11.2007 № 258-ФЗ. http://www.consultant.ru

3.  ГОСТ Р ИСО 15489-1. Управление документами. Общие требования. – М. Стандартинформ, 2007. – 34 с.

4.  Рекомендации по стандартизации Р 50.1.031-200. Информационные технологии поддержки жизненного цикла продукции. Терминологический словарь. Часть 1. Стадии жизненного цикла продукции. http://www.docload.ru

5.  Галахов В.В. Корнев И.К. Секретарское дело: учеб.-практ. пособие. – М.: Проспект, 2007. – 608 с.

6.  Кирсанова М.В., Аксенов Ю.М. Курс делопроизводства: ДОУ. – М.: ИНФРА-М, 2006. – 364 с.

7.  Ларьков Н.С. Документоведение. – М.: Восток-Запад, 2006. – 427 с.

8.  Рагулин П.Г. Информационные технологии. Электронный учебник. – Владивосток: 2004 г.

9.  Титоренко Г.А. Информационные технологии управления. – М.: ЮНИТИ-ДАНА, 2006. – 439 с.

10.  Журнал "Секретарское дело" №10 2006; №7, №11 2007.

11.