Контакты
Подписка
МЕНЮ
Контакты
Подписка

Актуальные вопросы применения электронных подписей

Актуальные вопросы применения электронных подписей

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Актуальные вопросы применения электронных подписей

Всегодняшних реалиях, связанных с повсеместным развитием информационных технологий, широкое распространение получают информационные системы, использующие в технологических процессах механизмы электронных подписей. При этом на практике специалисты испытывают массу затруднений, связанных с применением различных ее видов. В том, что такое электронная подпись, где и как она применяется, мы и попробуем разобраться в данной статье.
Константин Саматов
Начальник отдела по защите информации ТФОМС
Свердловской области, член АРСИБ, преподаватель
информационной безопасности УРТК им. А.С. Попова

Что такое электронная подпись?

Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Согласно ГОСТ Р 7.0.8–2013: Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения. Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме. Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица.

Полагаю, что такое непростое определение как раз и затрудняет правильное восприятие электронной подписи. Вообще электронную подпись следует рассматривать в трех аспектах:

  1. информация, которая присоединена к другой информации или иным образом связана с ней и на основе которой можно определить автора, т.е. непосредственно то лицо, которое подписало данный документ;
  2. реквизит документа, т.е. некая обязательная часть документа, т.к. именно подпись делает из электронного сообщения документ;
  3. аналог собственноручной подписи.

Реквизит документа – это элемент оформления документа (ГОСТ Р 7.0.8–2013). Правила оформления и порядок расположения реквизитов документов содержатся в ГОСТ Р 6.30–2003 "Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов".

Согласно ГОСТ Р 7.0.8–2013:

Подлинный документ – документ, сведения об авторе, времени и месте создания которого, содержащиеся в самом документе или выявленные иным путем, подтверждают достоверность его происхождения.

Подписание (документа) – заверение документа собственноручной подписью должностного или физического лица по установленной форме.

Подпись – реквизит, содержащий собственноручную роспись должностного или физического лица.

Говоря об аналогах собственноручной подписи, коим, в частности, является электронная подпись, следует отметить, что аналоги были известны еще со времени принятия первой редакции Гражданского кодекса Российской Федерации (ГК РФ), т.е. с 1995 г. Так, ч. 2 ст. 160 ГК РФ предусматривает использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронной подписи либо иного аналога собственноручной подписи – в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

Указанный принцип был впоследствии заимствован Федеральным законом от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" и, конечно же, Федеральным законом от 06.04.2011 № 63-ФЗ "Об электронной подписи".

В соответствии с ч. 4 статьи 11 Федерального закона от 27.07.06 № 149-ФЗ "Об информации, информационных технологиях и о защите информации" в целях заключения гражданско-правовых договоров или оформления иных правоотношений, в которых участвуют лица, обменивающиеся электронными сообщениями, обмен электронными сообщениями, каждое из которых подписано электронной подписью или иным аналогом собственноручной подписи отправителя такого сообщения, в порядке, установленном федеральными законами, иными нормативными правовыми актами или соглашением сторон, рассматривается как обмен документами.

Таким образом, изначально характерный для сферы частных (гражданских) правоотношений принцип возможности использования аналога собственноручной подписи перекочевал в сферу публичных правоотношений, что и явилось, по мнению автора, толчком к началу широкого применения электронной подписи в практике.

Виды и типы электронных подписей

Рассматривая вопрос электронной подписи и ее практического применения, нельзя не затронуть вниманием виды электронной подписи. Федеральный закон "Об электронной подписи" выделяет два вида – простая электронная подпись и усиленная электронная подпись. Последняя, в свою очередь, подразделяется на два типа: неквалифицированная электронная подпись и квалифицированная электронная подпись.

1. Простая – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Самый распространенный пример простой электронной подписи – это PIN-код банковской карты.

2. Усиленная электронная подпись:

  • Неквалифицированная электронная подпись:
    1. получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
    2. позволяет определить лицо, подписавшее электронный документ;
    3. позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
    4. создается с использованием средств электронной подписи.
  • Квалифицированная электронная подпись:
    1. соответствует всем признакам неквалифицированной электронной подписи;
    2. ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром;
    3. для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи".

Важно понимать, что усиленная электронная подпись отличается от простой использованием криптографических алгоритмов, а неквалифицированная от квалифицированной тем, что последняя может быть выдана только организацией (удостоверяющим центром), имеющей соответствующую аккредитацию.


Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью:

1. Квалифицированная усиленная электронная подпись считается полноценным аналогом собственноручной подписи по умолчанию, т.е. во всех случаях, кроме случая, когда в законодательстве предусмотрено составление документа исключительно на бумажном носителе. Надо сказать, что, например, автору такие случаи неизвестны. Даже "консервативное" бухгалтерское и налоговое законодательство благодаря внесенным в него в последние годы изменениям позволяет использовать усиленную квалифицированную электронную подпись как для текущей бухгалтерской (налоговой) документации, так и для архивной.

2. Простая или усиленная неквалифицированная электронная подпись будут являться полноценным аналогом собственноручной только в случаях, прямо предусмотренных в действующем законодательстве, либо если есть соглашение сторон, обменивающихся электронными документами. Опять же, следует отметить, что автору неизвестны нормативно-правовые акты, устанавливающие условия использования простой либо неквалифицированной усиленной электронных подписей, поэтому на практике юридическим гарантом признания указанных видов электронных подписей полноценным аналогом собственноручной подписи служит соглашение между участниками электронного взаимодействия.

На этом рассмотрение того, что такое электронная подпись, какие бывают ее виды и каковы условия признания электронной подписи юридически значимым аналогом собственноручной подписи, можно считать законченным. Перейдем к рассмотрению вопросов ее применения.

Практические аспекты применения различных видов электронных подписей

Исходя из практического опыта автора, можно сказать, что наиболее широкое применение электронные подписи получили в следующих сферах:

Согласно ст. 2 Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи" электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

1. Аутентификация и авторизация пользователей информационных систем. Для реализации данных функций подходят все виды электронной подписи, начиная с простой. Вообще исходя из формального определения простой электронной подписи, под ней можно понимать авторизацию посредством логина и пароля. В межведомственных информационных системах, в частности в СМЭВ (система межведомственного электронного взаимодействия), для аутентификации используются квалифицированные усиленные электронные подписи.

2. Сдача отчетности в налоговые органы, государственные внебюджетные фонды, органы статистики. В данном случае используется только квалифицированная усиленная электронная подпись, т.к. законодательством для данных видов документов установлено такое дополнительное требование, как заверение указанных документов печатью (ч. 3 ст. 6 Федерального закона "Об электронной подписи").

3. Использование электронной подписи в документообороте и обмене информацией в форме электронных документов. Собственно, это основная сфера применения электронной подписи, и именно для этой цели она и предназначена. Поэтому стоит остановиться на теме использования электронной подписи в документообороте подробнее.

Применение электронной подписи в документообороте и обмене документами

Давайте для начала определимся, что такое документооборот? Согласно ГОСТ Р 7.0.8–2013. "Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения" (утв. Приказом Росстандарта от 17.10.2013 № 1185-ст) под документооборотом понимается движение документов в организации с момента их создания или получения до завершения исполнения или отправки.

Виды и типы электронных подписей 1. Простая – электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом. Самый распространенный пример простой электронной подписи – это PIN-код банковской карты.
2. Усиленная электронная подпись: l Неквалифицированная электронная подпись:
1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.
• Квалифицированная электронная подпись:
1) соответствует всем признакам неквалифицированной электронной подписи;
2) ключ проверки электронной подписи указан в квалифицированном сертификате, т.е. сертификате, выданном аккредитованным удостоверяющим центром;
3) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом "Об электронной подписи".

Электронный документооборот согласно данному стандарту – это документооборот с использованием автоматизированной информационной системы (системы электронного документооборота).

Здесь также важно правильно понимать, что такое документ и чем он отличается от других видов материальных носителей информации.

Согласно ст. 2 Федерального закона "Об информации, информационных технологиях и о защите информации":

Электронный документ – документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

Документированная информация – зафиксированная на материальном носителе путем документирования информация с реквизитами, позволяющими определить такую информацию или в установленных законодательством Российской Федерации случаях ее материальный носитель.

Важно понимать:

  • электронный документ отличается от любого другого документа только формой;
  • документом считается только носитель информации, содержащий определенный набор реквизитов по установленным правилам;
  • основным реквизитом, позволяющим "преобразовать" носитель информации в документ, является подпись.

Исходя из этого, важным становится вопрос о соотношении понятий электронного документооборота и документооборота электронных копий документов. На практике нередко встречаются случаи, когда под электронным документооборотом понимается процесс движения электронных (сканированных) копий документов. Представляется, что указанное толкование является неверным. Электронным документооборотом допустимо признавать лишь оборот носителей информации, имеющих такой реквизит, как электронная подпись.

Весь документооборот состоит из двух больших потоков – это входящие и исходящие документы.

Если говорить про исходящий документопоток, то на практике возникает вопрос, какой вид (тип) электронной подписи следует применять при подписании исходящих документов. Наиболее рекомендуемым типом является квалифицированная усиленная электронная подпись, т.к. она может быть использована для обмена документами с неопределенным кругом лиц. Кроме того, бухгалтерская и налоговая документация (отчетность) может подписываться только усиленной квалифицированной электронной подписью, что прямо предусмотрено действующим законодательством. Неквалифицированная электронная подпись может быть использована в обмене, когда круг его участников заранее определен (ограничен). При этом важно понимать, что в соответствии с ч. 3 ст. 6 Федерального закона "Об электронной подписи" использование неквалифицированной электронной подписи допустимо для совершения любых юридически значимых действий, включая сделки с установленными дополнительными требованиями (скрепление печатью), при условии наличия соглашения между участниками взаимодействия.

Простая электронная подпись также может быть использована для совершения любых юридически значимых действий за исключением сделок с установленными дополнительными требованиями (скрепление печатью) при условии наличия соглашения между участниками взаимодействия.

В то же время простая электронная подпись, как правило, не обеспечивает целостность документа, поэтому нельзя с достоверностью утверждать, что в этот документ не вносились изменения. В свете изложенного автор полагает, что использование простой электронной подписи целесообразно лишь для внутренних документов юридического лица при наличии локального нормативного акта, устанавливающего условия ее признания аналогом собственноручной подписи.

Относительно входящего документооборота. Входящий документ, подписанный усиленной квалифицированной электронной подписью, организация обязана принимать, т.к. в соответствии с Федеральным законом "Об электронной подписи" она является полноценным аналогом собственноручной подписи. На практике может возникать проблема, связанная с несовместимостью программного обеспечения, осуществляющего подписание электронных документов. Поэтому участникам электронного обмена рекомендуется договариваться о том, какое программное обеспечение они будут использовать для подписания электронных документов.

Помимо несовместимости программного обеспечения, также существует проблема ведения электронного архива. Дело в том, что сертификаты электронной подписи имеют конечный срок действия. Как правило, он составляет один год. При этом в действующем законодательстве (ст. 11 Федерального закона "Об электронной подписи") предусмотрено, что квалифицированная электронная подпись признается действительной, если квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен. В случае с электронным архивом это означает, что необходимы метки, подтверждающие факт того, что сертификат был действителен на момент подписания электронного документа.

В заключение необходимо отметить, что с каждым днем количество направлений для использования электронных подписей все возрастает. В данной статье я постарался кратко изложить наиболее важные вопросы, возникающие в практике использования различных видов электронных подписей, правильное понимание которых является залогом их успешного применения.

Опубликовано: Журнал "Information Security/ Информационная безопасность" #4, 2016
Посещений: 12064

Приобрести этот номер или подписаться
  Автор

Константин Саматов

Константин Саматов

Руководитель направления в Аналитическом центре Уральского центра систем безопасности, член Ассоциации руководителей служб информационной безопасности, преподаватель дисциплин информационной безопасности в УрГЭУ и УРТК им. А.С. Попова

Всего статей:  23

В рубрику "Криптография" | К списку рубрик  |  К списку авторов  |  К списку публикаций