Что такое ЭЦП. Введение.
В настоящее время большая часть работы с различными документами переводится в электронную форму. При этом в виртуальную среду постепенно переносится процесс подписания и утверждения документов, что реализуется через механизм электронно-цифровой подписи (ЭЦП).
И как всегда, в начале внедрения новой технологии, возникают вопросы, в том числе на эту тему появляются вопросы на форуме DIRECTUM Club, причём уровень их сильно различается. Поэтому, чтобы расставить все по полочкам, в этом материале я начну с наиболее общих вопросов, а развитие тема получит в последующих публикациях.
Назначение ЭЦП
Основное назначение, как и у собственноручной подписи – закрепить в материальном виде согласие подписанта с выше написанным или подтвердить авторство. Электронная же подпись, кроме того, позволяет контролировать неизменность и целостность документа. Другими словами, технология ЭЦП обеспечивает неизменность документа, неотречимость и однозначную идентификацию автора.
Виды ЭЦП согласно законодательству
Согласно Федеральному закону №63-ФЗ «Об электронной подписи», имеет место деление ЭП на:
- простую электронную подпись;
- усиленную неквалифицированную электронную подпись;
- усиленную квалифицированную электронную подпись.
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.
Неквалифицированной электронной подписью является электронная подпись, которая:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
Квалифицированной электронной подписью является электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:
1) ключ проверки электронной подписи указан в квалифицированном сертификате;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом.
Подробнее о видах ЭЦП и их применении в ECM системах в статье «Выбор вида электронной подписи для использования в СЭД».
Действительность ЭЦП
Согласно Федеральному закону №63-ФЗ «Об электронной подписи», ЭЦП считается действительной, если:
- Сертификат был действителен на момент подписания (при наличии достоверной информации о моменте подписания электронного документа) или на момент проверки проверки действительности указанного сертификата, если момент подписания электронного документа не определен.
- Центр, выдавший сертификат, на момент подписания удовлетворял требованиям, к нему предъявляемым.
- Проверка подписи даёт положительный результат.
- Сертификат подписи использовался по назначению.
Варианты хранения закрытого ключа ЭЦП
Закрытый ключ ЭЦП может храниться в локальном хранилище Windows (если речь идёт именно об этой операционной системе), либо на внешнем носителе, который может являться как обычной «флешкой», так и специализированым устройством, например eToken или RuToken.
Плюсы и минусы каждого решения рассмотрены в статье «Хранение закрытого ключа электронной подписи».
Как обеспечить юридическую значимость ЭЦП внутри предприятия
П. 1 ст. 3 федерального закона «Об электронной подписи» гласит:
«Отношения в области использования электронных подписей регулируются настоящим Федеральным законом, другими федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, а также соглашениями между участниками электронного взаимодействия. Если иное не установлено федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или решением о создании корпоративной информационной системы, порядок использования электронной подписи в корпоративной информационной системе может устанавливаться оператором этой системы или соглашением между участниками электронного взаимодействия в ней».
Другими словами, если использование ЭЦП на предприятии регламентируется государством, то, при соблюдении всех условий, вопросов её значимости возникать не должно; если же организация негосударственная и соответствующих нормативных актов нет, то необходимо принять положение о статусе ЭЦП, в котором зафиксировать соответствие электронной подписи собственноручной и порядок её использования. При этом в законодательстве явно не указана необходимость применения сертифицированных средств ЭЦП.
* * *
Тем, кого заинтересовала тема значимости ЭЦП, рекомендую поучаствовать в онлайн-семинаре DIRECTUM 30 ноября, на котором будут рассматриваться вопросы построения юридически значимого документооборота между предприятиями и обмена счетами-фактурами. В ходе обсуждения можно будет задать вопросы экспертам в области и получить комментарии.
Продолжение следует…
Сергей, у меня вопрос следующий - что касается бизнес-партнеров, как должны регламентироваться вопросы применения Электронно-цифровой подписи между ними или какие существуют условия и процедуры для признания юридической значимости ЭЦП друг друга?
Сергей, вопрос по 3-му пункту описания неквалифицироваанной электронной подписи. Что понимается под внесением изменений после подписания ЭЦП? Ведь после подписания изменить документ невозможно!
Ярослав, нет ничего невозможного, тем более в мире информационных технологий. В данном случае подразумевается не только преднамеренное изменение документа, реализованное посредством несанкционированного доступа к системе, но и возможные аппаратные и программные сбои, могущие повлечь за собой искажения. Именно поэтому на ЭЦП и накладывается такое требование.
Авторизуйтесь, чтобы написать комментарий