Электронно-цифровая подпись

ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ

Оглавление

Введение

В сложном сегодняшнем  мире, в котором мы живем и действуем, информация стала основным двигателем социального прогресса и едва ли не самым дорогим товаром. Компьютерные технологии, проникают все большое  в сферы  человеческой деятельности, что приводит к существенным изменениям в структуре производства, меняет привычные стереотипы в области  коммуникаций и воздействуют на многие жизненные процессы, становясь неотъемлемым инструментом в повседневной деятельности сотен миллионов людей. В этой связи является весьма важным осмысление такого существенного элемента информационной сферы, как юридические аспекты  организации электронного документооборота.

При реализации права на доступ к информации важно обеспечить, чтобы получаемая информация была достоверной, полной и ее подлинность при дальнейшем использовании не вызывала ни у кого сомнения. В связи с возрастающим хранением и использованием информации, в том числе ограниченного доступа в электронном виде, все чаще применяется понятие электронного документа. В то же время проблема сохранения электронных документов от уничтожения, копирования, модификации, подделки требует для своего решения специфических средств и методов защиты . Одним из распространенных в мире средств подтверждения подлинности "электронного документа" является электронно-цифровая подпись. В российском законодательстве - впервые в Гражданском кодексе Российской Федерации (п. 2 ст. 160)- использование электронной цифровой подписи допускается при совершении сделок, но лишь в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон1.

Электронная-цифровая подпись (ЭЦП)

Электронно-цифровая подпись - реквизит электронного документа, полученный в результате преобразования информации с использованием закрытого ключа ЭЦП и позволяющий установить подлинность и целостность содержащейся в электронном документе информации, а также обладателя ЭЦП2.

ЭЦП в электронном документе юридически равнозначна собственноручной подписи человека в документе на бумажном носителе при одновременном выполнении следующих условий: сертификат ключа ЭЦП не утратил силу (действует); подтверждена подлинность ЭЦП в электронном документе; ЭЦП использована в отношениях, в которых имеет юридическое значение.

Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии3.

С момента создания закрытого ключа ЭЦП и регистрации открытого ключа ЭЦП (получения сертификата ключа подписи) пользователь становится обладателем ЭЦП. Пользователь информационной системы может быть обладателем любого количества ключей ЭЦП, имеющих одинаковое или различное значение в зависимости от правоспособности их обладателя в отношениях, в которых они используются. Создание ключей ЭЦП для использования в открытой информационной системе осуществляется самим пользователем или по его обращению в удостоверяющий центр.

Нормативное регулирование отношений в области использования электронной цифровой  подписи.

Формирование системы электронного документооборота в различных сферах государственной и экономической деятельности вызвало  необходимость более детального регулирования отношений по использованию  ЭЦП. В 1999 г. Европейским Союзом была принята директива «Об общих условиях использования цифровых подписей». Помимо этого законы, регулирующие отношения в данной области, приняты в Республике Беларусь и Эстонской Республике. Примерно с 1999 г. и в РФ предпринимаются системные попытки разработки законопроекта «Об электронной цифровой подписи». Изначально на данный предмет существовали 2 основные точки зрения: одна группа специалистов отстаивала позицию, согласно которой необходима разработка законопроекта собственно об ЭЦП, вторая группа ратовала за более широкий подход –разработку законопроекта «Об электронном документе».

Оба подхода имеют право на существование и свое научное обоснование, однако против второго выдвигался одни весомы аргумент, который в конечном итоге и перевесил, а именно: создание законопроекта «Об электронном документе» в условиях существенной неопределенности в юридической науке и правовой материи самой категории «документ» неизбежно вызовет значительную затяжку в формировании доктринальных подходов, которые должны быть положены в основу такого акта. На подготовку такого документа уйдут годы, а время не ждет – в мире активно развивается электронная коммерция, функционируют многочисленные системы электронных расчетов в кредитно-финансовой сфере и т. д.

Проблема ЭЦП является одной из центральных при формировании электронного документооборота, поэтому ее разрешение в значительной степени ускорит реализацию стоящей задачи. В январе 2002 г. приняли ФЗ «Об электронной цифровой подписи». Данный акт имеет довольно точно определенную цель, под которой законодатель понимает «обеспечение правовых условий использования ЭЦП  в электронных документах, при соблюдении которых ЭЦП в электронном документе признается равнозначной собственноручной подписи в документе на бумажном носителе». Основная цель ФЗ об ЭЦП – уравнять юридическую силу ЭЦП в электронном документе с юридической силой собственноручной подписи в обычном, бумажном документе. Попытки создания проекта ФЗ «Об электронном документе» не прекращаются в России и по сей день. Одной из наиболее значимых категорий, естественно, является «электронный документ», определяемый довольно лаконично, как «документ, в котором информация представлена в электронно-цифровой форме». Определение несет значительную смысловую нагрузку, подчеркивая единство категории «документ». Для понимания всей проблемы электронного документооборота это является весьма важным, так как на первый план выдвигает общеупотребительное понятие «документ», вошедшее в юридическую практику многие века назад, ставя в зависимость от него форму отображения. Одной из наиболее важных дефиниций рассматриваемого Закона является определение категории «электронная цифровая подпись», представленное как «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе». Законодатель воспринимает ЭЦП как реквизит документа. Также воспринимается и собственноручная подпись в бумажном документе – как один из обязательных реквизитов. Юридическая сущность собственноручной подписи и ЭЦП не совпадают, что противоречит цели самого Закона, т. е. обеспечению правовых условий, при которых ЭЦП и собственноручная подпись должны быть равнозначными. Следующим важным моментом рассматриваемой дефиниции является указание на необходимость идентификации владельца сертификата ключа подписи. Дефиницию «владелец сертификата ключа подписи» следовало бы видоизменить на «владелец закрытого ключа электронной цифровой подписи» как наиболее точно отражающую сущность данных отношений. Владелец сертификата ключа подписи определяется в Законе как «физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом электронной цифровой подписи, позволяющим с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы)».

Сертификат ключа подписи является документом, который выдается участнику электронного документооборота удостоверяющим центром. Данный документ содержит: установочные данные владельца сертификата ключа подписи; описание средств ЭЦП, отношений, в которых используется ЭЦП; период времени использования ЭЦП; сведения об удостоверяющем центре, выдавшем данный сертификат, а также открытый ключ ЭЦП.

Сертификат ключа подписи является документом, с помощью которого контрагент владельца ЭЦП удостоверяет "личность" ЭЦП, ее своеобразным паспортом. Без наличия сертификата у участников электронного документооборота применение ЭЦП невозможно. Поэтому содержание сертификата ключа подписи жестко регламентировано Законом и его заполнение возложено на удостоверяющий центр. При этом необходимо, чтобы данный паспорт не был "просрочен", т.е. действовал на момент обмена электронным документом.

Требование Закона о наличии действующего сертификата ключа подписи корреспондируются с другим условием, предусмотренным в статье - "электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи". Данное требование направлено на то, чтобы контрагент владельца ЭЦП мог реализовать свои полномочия по проверке ЭЦП, предусмотренные в сертификате ключа подписи, а владелец ЭЦП использовал именно ту ЭЦП, сведения о которой имеются у его партнера.

Владелец ЭЦП должен лишь следить за тем, чтобы отношения, в которых используется ЭЦП, и период времени ее действия, совпадали с соответствующими сведениями, указанными в сертификате ключа подписи, имеющемся у его партнеров.

Последним условием, при соблюдении которого за ЭЦП признается юридический статус, является подтверждение подлинности электронной цифровой подписи в электронном документе.

Выполнение данного условия обеспечивается математическими и программными средствами, которые проверяют правильность функционирования соответствующих средств ЭЦП. Данные математические и программные средства разработаны не владельцем ЭЦЦ и находятся вне его контроля.

Таким образом, перечисленные в ст. 4 ФЗ «Об электронной подписи» принципы регулируют использование ЭЦП:

1) право участников  электронного взаимодействия использовать  электронную подпись любого вида  по своему усмотрению, если требование  об использовании конкретного  вида электронной подписи в  соответствии с целями ее использования  не предусмотрено федеральными  законами или принимаемыми в  соответствии с ними нормативными  правовыми актами либо соглашением  между участниками электронного  взаимодействия;

2) возможность использования  участниками электронного взаимодействия  по своему усмотрению любой  информационной технологии и (или) технических средств, позволяющих  выполнить требования настоящего  Федерального закона применительно к использованию конкретных видов электронных подписей;

3) недопустимость  признания электронной подписи  и (или) подписанного ею электронного  документа не имеющими юридической  силы только на основании того, что такая электронная подпись  создана не собственноручно, а  с использованием средств электронной  подписи для автоматического  создания и (или) автоматической  проверки электронных подписей  в информационной системе. 

Основные правовые  проблемы ЭЦП

Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее, в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 12 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф.

Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.

Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.

Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные.

Надо отметить наличие противоречий между обязанностью владельца сертификата ключа подписи возместить убытки (включая упущенную выгоду) в случае несоблюдения требований Закона и ограничением ответственности работника по ТК РФ только возмещением прямого действительного ущерба. Данная норма ФЗ «Об электронной подписи» в полном объеме может быть распространена только на владельцев сертификата ключа подписи, связанных с лицом, которому они причинили убытки гражданско-правовыми отношениями.

Положение (инструкция) об установлении режима тайны закрытого ключа ЭЦП либо другой подобный акт должны быть адресованы всем работникам работодателя, в том числе и не являющимся владельцами сертификатов ключей подписи, и быть обязательным для исполнения.

В положении должны содержаться следующие основные условия:

- тайна закрытого  ключа ЭЦП относится к конфиденциальной  информации - служебной тайне или  служебной информации;

- работники, не являющиеся  владельцами сертификатов ключей  подписи или специально не  уполномоченные работодателем, не  имеют доступа к средствам  ЭЦП и другим техническим средствам  защиты ЭЦП;

- работники должны  соблюдать требования по охране  средств ЭЦП, устанавливаемые работодателем  и владельцем ЭЦП в пределах  своих полномочий;

- работники должны  извещать работодателя обо всех  случаях нарушения режима охраны  тайны закрытого ключа ЭЦП;

- работники несут  ответственность за нарушение  режима охраны тайны закрытого  ключа ЭЦП, в том числе вплоть  до возмещения ущерба. Работники  должны быть ознакомлены с  положением под расписку.

В тех случаях, когда у работодателя работает достаточно большое количество владельцев сертификатов ключей ЭЦП, возможно, потребуется расширение локальной нормативной базы.

Необходимо отметить, что ограничения в использовании ЭЦП в большей степени связаны с тем фактом, что юридически значимая документация организации оформляется в основном на бумажных носителях, и приходится сочетать электронный документооборот на стадии подготовки и согласования, и бумажный на завершающем этапе оформления. Создание электронных документов, подлежащих длительному хранению, и проставление на них ЭЦП без одновременного создания их дубликата на бумаге неизбежно приводит к возникновению конфликтных ситуаций. Это обстоятельство, а также нормативно-методологическая нерешенность проблемы долговременного хранения электронных документов с ЭЦП заставляют руководителей организаций тщательно взвешивать все "за" и "против", перед тем как дать распоряжение хранить важные документы только в электронной форме.