Контакты
Подписка
МЕНЮ
Контакты
Подписка

Электронная подпись в системах ЭДО - мода или необходимость?

Электронная подпись в системах ЭДО - мода или необходимость?

В рубрику "Электронный документооборот" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Электронная подпись в системах ЭДО - мода или необходимость?

На сегодняшний день нет организации, которая бы не сталкивалась с необходимостью работы с внешним юридически значимым ЭДО. Это системы декларирования (ФНС, ПФР, ФТС и т.д.), электронных торгов, дистанционного банковского "обслуживания и т.д. Подобный опыт заставляет задумываться многих руководителей о полном отказе от бумажного делопроизводства в своей деятельности в пользу ЭДО.
Максим Чирков
Руководитель направления
развития сервисов ЭП
компании "Аладдин Р.Д."

Для того чтобы электронные документы приобрели юридическую значимость, они должны быть заверены электронной подписью (ЭП) и обработаны в соответствии с принятыми регламентами. ЭП обеспечивает авторство и целостность подписываемых данных. Об особенностях использования ЭП в различных системах ЭДО мы и поговорим в данной статье.

Внешний и внутренний ЭДО

При использовании ЭП стоит обратить особое внимание на хранение ключевой информации пользователей. Реестр, флэш-карта или дискета не являются безопасными с точки зрения защиты от копирования. Во избежание компрометации ключей ЭП необходимо использовать специальные отчуждаемые устройства (токены, смарт-карты). Доступ к ключевой информации надежно защищен PIN-кодом по аналогии с банковскими карточками. Самыми же безопасными на сегодняшний день являются токены и смарт-карты с неизвлекаемыми ключами с реализацией криптографических алгоритмов "на борту", например. еТокеп ГОСТ. Данные средства не выдают ключ ЭП на подпись в оперативную память рабочей станции, а производят все вычисления внутри устройства. Более того, в такие токены и смарт-карты невозможно записать сгенерированные вовне ключи ЭП, что дает гарантию уникальности данных ключей.

В первую очередь стоит разделить ЭДО на внешний и внутренний. Для внешнего удобнее всего пользоваться услугами систем межведомственного ЭДО. Данные системы обеспечивают обмен открытой и конфиденциальной информацией между компаниями по сети Интернет. К тому же, ряд систем принадлежат организациям - специальным операторам ЭДО, которые позволяют "законно" выставлять и получать счета-фактуры в электронном виде в рамках электронного документооборота счетов-фактур между продавцом и покупателем. В общем случае в Вашей компании оборудуются одно или несколько рабочих мест для взаимодействия с внешней системой ЭДО с установкой набора необходимых программных и криптографических средств, совместимых с системой оператора. Руководителю или уполномоченному лицу выдается ЭП аккредитованного Удостоверяющего центра (УЦ) на защищенном ключевом носителе, например, еТокеп. Все взаимодействие осуществляется в соответствии с регламентом оператора.

Для внутренних систем ЭДО все несколько сложнее. Здесь "правила игры" устанавливает организация самостоятельно. Большинство представленных на рынке систем ЭДО уже поддерживают работу с криптографией, причем не важно - западной или российской. Но одно лишь использование криптографических средств (даже сертифицированных ФСБ России) не позволяет утверждать о создании с их помощью системы юридически значимого электронного документооборота. Необходимо разработать внутренний регламент использования ЭП в конкретной системе ЭДО.

Применение криптографии с открытыми ключами требует наличия инфраструктуры открытых ключей (PKI), обеспечивающей управление закрытыми ключами пользователей (ключами ЭП) и их цифровыми сертификатами (сертификатами ключа проверки ЭП). Основным элементом PKI выступает УЦ, который является доверенной стороной, берущей на себя ответственность за подлинность данных в сертификате ключа ЭП. УЦ может быть как внутренним подразделением компании, так и внешней организацией.

Плюсы и минусы есть

Самый простой и незатратный - этоУЦ, организованный штатными средствами уже имеющегося в компании ПО, например Microsoft СА, входящего в состав всех современных серверных операционных систем Microsoft. Несомненными плюсами такого УЦ являются простота администрирования, низкая стоимость содержания, а также легкая интеграция в корпоративную инфраструктуру.

Из минусов стоит отметить, что ЭП, выданная данным УЦ, будет использовать западные криптографические алгоритмы (RSA), и в соответствии с действующей редакцией ФЗ № 63 "Об электронной подписи" ее можно определить как усиленную неквалифицированную ЭП. Применение этого вида подписи в ЭДО потребует особой проработки регламента использования ЭП в части признания данной ЭП равнозначной собственноручной подписи.

Чтобы снять все вопросы с соответствием ЭП равнозначной собственноручной подписи, необходимо использовать сертифицированные средства и квалифицированные сертификаты ключа проверки ЭП (квалифицированные сертификаты). Данные сертификаты могут выдать только аккредитованные УЦ. Если в системе ЭДО планируется использование квалифицированной ЭП, то сертификаты целесообразно приобретать у внешних аккредитованных УЦ, а не разворачивать свой внутренний УЦ, так как это влечет за собой существенные расходы на организацию, аккредитацию и сопровождение. К тому же, такая деятельность является лицензируемой.

Все системы ЭДО имеют внутреннее протоколирование действий с документами. Эти данные используются при расследовании конфликтных ситуаций. Для усиления контрольных функций целесообразно использование усовершенствованной подписи. Подписание с использованием служб штампов времени (TSP) и сервиса проверки статусов сертификатов в режиме реального времени (OCSP) позволит оперативно определить статус сертификата пользователя на момент подписания, а также установить момент подписания.

Использование систем ЭДО к настоящему времени уже стало стандартом де-факто для большинства крупных организаций. Динамика развития этого рынка позволяет прогнозировать возрастание интереса и со стороны малого и среднего бизнеса.

АЛАДДИН Р.Д.
129226 Москва,
ул. Докукина, 16, корп. 1, этаж 7
Тел.: (495) 223-0001
Факс: (495) 646-0882
E-mail: aladdin@aladdin-rd.ru
www.aladdin-rd.ru

Опубликовано: Журнал "Information Security/ Информационная безопасность" #2, 2013
Посещений: 3211

  Автор

Максим Чирков

Максим Чирков

Руководитель направления
развития сервисов ЭП,
ЗАО "Аладдин Р.Д."

Всего статей:  6

В рубрику "Электронный документооборот" | К списку рубрик  |  К списку авторов  |  К списку публикаций