Обеспечение юридически значимого электронного документооборота

Правовое регулирование отношений в области использования ЭП осуществляется в соответствии с федеральным законодательством:

●    ФЗ №63 «Об электронной подписи», вступил в силу в апреле 2011 года;

●    ФЗ №1 «Об электронной цифровой подписи», действует до 1 июля 2013 года;

●    Гражданский кодекс РФ, Часть первая, статьи 160 и 434;

●    Постановление Правительства РФ от 9 февраля 2012 г. № 111 «Об электронной подписи, используемой органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, о порядке ее использования, а также об установлении требований к обеспечению совместимости средств электронной подписи»;

●    Приказ Минкомсвязи России от 29 сентября 2011 г. № 242 «Об утверждении порядка передачи реестров квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи в случае прекращения деятельности аккредитованного удостоверяющего центра»;

●    Приказ Минкомсвязи России от 5 октября 2011 г. № 250 «Об утверждении порядка формирования и ведения реестров квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров»;

●    Приказ ФСБ России от 27 декабря 2011 г. № 795 «Об утверждении требований к форме квалифицированного сертификата ключа проверки электронной подписи»;

●    Приказ ФСБ России от 27 декабря 2011 г. № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра».

В том числе, вопросы использования ЭП, регулируются соглашениями, достигнутыми между всеми участниками электронного взаимодействия.

Электронная подпись может использоваться как при документообороте между контрагентами, так и в рамках одной, конкретно взятой компании.

Одно лишь использование сертифицированных средств не позволяет сказать, что созданная с их помощью система электронного документооборота автоматически приобретает юридическую значимость. Организации необходимо иметь:

●    Регламент использования ЭП в каждой отдельной системе документооборота, либо использовать иной документ, называемый Соглашением об использовании ЭП;

●    Регламент предоставления услуг Удостоверяющего центра (УЦ) по обслуживанию СЭД (для организаций, пользующихся услугами третьей доверенной стороны - УЦ)

Регламент использования ЭП в системе документооборота определяет:

●    порядок организации криптографической защиты информации при электронном документообороте;

●    работу с Удостоверяющим Центром;

●    порядок регистрации пользователей СЭД.

В Регламенте должен быть описан порядок разрешения конфликтных ситуаций, с которым должны согласиться пользователи СЭД. Также пользователи СЭД должны признать, что использование в СЭД средств криптографической защиты информации, которые реализуют ЭП и шифрование, достаточно для обеспечения конфиденциальности информационного взаимодействия.

В Регламенте определяется перечень программного обеспечения (вплоть до версий), с помощью которого могут создаваться электронные документы. На практике в таком Регламенте также приводится перечень документов (типов, наименований), которые могут подписываться ЭП, с описанием их форматов и, если требуется, правил оформления.

Кроме определения документов, в Регламенте определяются

●    формат сертификата ЭП;

●    используемые средства электронной подписи;

●    условия равнозначности ЭП и собственноручной подписи.

Организация выпуска ЭП

Здесь возможны два варианта развития событий:

Сторонний удостоверяющий центр

Сторонний УЦ удобен в случае обмена электронными документами с более чем двумя сторонними организациями, т.к. в случае присутствия в схеме обмена трех и более организаций, без участия УЦ, необходимо будет заключать перекрестные договоры о взаимном доверии ЭП каждого участника электронного документооборота.

Также услуги стороннего УЦ удобны в случае необходимости обеспечения ЭП не большого круга лиц организации, т.к. «содержание» собственного УЦ в данном случае, с экономической точки зрения, не целесообразно.

Здесь встает задача только выбора УЦ и заключения с ним необходимых соглашений (договоров).

Собственный УЦ

После принятия ФЗ №63 «Об электронной подписи», несколько упростилась задача обеспечения юридически значимого электронного документооборота, например, в конкретно взятой организации, или между двумя контрагентами, т.к. допускается использование (если стороны договорились об этом – ст. 160 ГК РФ) как простой электронной подписи, так и неквалифицированной электронной подписи (п. 2 ст. 6 ФЗ №63 «Об электронной подписи»). Т.е. для создания ЭП возможно использовать несертифицированные средства, например, службы Cryptographic Service Providers, входящие в состав Microsoft Windows.

В рамках компании достаточно внутреннего документа (п.1 ст. 3 ФЗ №63 «Об электронной подписи»), регламентирующего использование ЭП в организации. Такими документами могут выступать:

●    Приказ руководителя компании об использовании ЭП;

●    Приказ о назначении ответственного сотрудника или подразделения за использование ЭП в компании;

●    Положение об ЭП;

●    Регламент использования ЭП.

В данных документах необходимо, в том числе осветить условия признания электронных документов, подписанных ЭП, равнозначными документам на бумажном носителе, подписанным собственноручной подписью (ст. 6 ФЗ №63 «Об электронной подписи»).

В случае организации своего УЦ, роль УЦ на себя может взять одно из подразделений организации.

УЦ должен выполнять следующие функции (ст. 13 ФЗ №63 «Об электронной подписи»):

1.   Создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты лицам, обратившимся за их получением (заявителям);

2.   Устанавливает сроки действия сертификатов ключей проверки электронных подписей;

3.   Аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей;

4.   Выдает по обращению заявителя средства электронной подписи, содержащие ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающие возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

5.   Ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее - реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования;

6.   Устанавливает порядок ведения реестра сертификатов, не являющихся квалифицированными, и порядок доступа к нему, а также обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием информационно-телекоммуникационной сети "Интернет";

7.   Создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

8.   Проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;

9.   Осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;

10. Осуществляет иную связанную с использованием электронной подписи деятельность.

Система доверия между УЦ

Основной частью инфраструктуры открытых ключей, является система управления сертификатами открытых ключей, базирующаяся на системе Удостоверяющих Центров (УЦ). УЦ объединяются на основе используемой модели доверительных отношений.

Доверие, в отношении УЦ, означает заверка сертификата одного УЦ электронной подписью другого УЦ.

Различают три модели доверительных отношений УЦ:

●    корневая (иерархическая) модель доверия;

●    сетевая (на основе кросс-сертификации) модель доверия;

●    смешанная (гибридная) модель доверия.

В иерархической модели УЦ высшего уровня заверяют сертификаты УЦ низших уровней. Корневой УЦ имеет самозаверенный сертификат.

Преимущество данной модели – относительная простота масштабирования системы и построения цепочек сертификатов.

Недостаток – компрометация сертификата УЦ влечет за собой приостановление работы нижестоящих УЦ.

В сетевой модели все УЦ имеют самозаверенные сертификаты, а доверие строится на основе взаимной подписи сертификатов УЦ (кросс-сертификации). Различают двустороннюю кросс-сертификацию и одностороннюю кросс-сертификацию, реализующие, соответственно, взаимное доверие и одностороннее доверие УЦ в сетевой модели.

Преимущество сетевой модели – система менее уязвима к компрометации сертификатов УЦ.

Недостаток – сложен алгоритм построения цепочек сертификатов.

Гибридная модель доверия представляет из себя объединение иерархической и сетевой моделей в одной инфраструктуре УЦ. В этом случае часть УЦ из иерархии вступают в кросс-сертификацию с УЦ, не входящими в иерархию.