Какво е електронен подпис. Основи за използване на електронен подпис при митническо освобождаване

Поради широкото използване информационни технологиивъв всички сфери на живота на съвременното общество управлението на процесите в организациите не е изключение. От особено значение в тази област са системите за електронно управление на документи, предназначени да организират и автоматизират процесите на взаимодействие между служителите. Използването на тези системи осигурява ефективно управлениедокументи за организацията и продуктивната работа на служителите. За да организирате пълноценно електронно управление на документи, е необходимо да използвате електронен подпис, който също ще е необходим за извършване на онлайн търговски операции и подаване на отчети до някои държавни агенции.

Правно основание

Първоначално електронният подпис се използва в банки на някои европейски държави, по-късно ООН и Европейският съюз се занимават с въпроса за правното му регулиране. AT Руска федерацияВъпросът за правната уредба на електронния подпис възниква през втората половина на 90-те години като част от дискусия в Държавна думапроблеми със сигурността при безкасовите плащания и електронната търговия и липсата на подходящ правен контрол. За първи път концепцията за електронен подпис е формулирана във Федералния закон от 10 януари 2002 г. „За електронния цифров подпис“ (по-нататък Федерален закон от 2002 г.), който стана невалиден от юли 2013 г. В съответствие с това закон, електронен цифров подпис- това е атрибут на електронен документ, предназначен да защитава този електронен документ от фалшифициране, получен в резултат на криптографска трансформация на информация с помощта на частния ключ на електронен цифров подпис и ви позволява да идентифицирате собственика на сертификата за ключ за подпис, т.к. както и да се установи липсата на изкривяване на информацията в електронен документ.

Понастоящем правното основание за използването на електронен подпис в Руската федерация е Федералният закон от 6 април 2011 г. „За електронния подпис“ (по-нататък Федерален закон от 2011 г.). В съответствие с него електронен подпис означава информация в електронна форма, която е приложена към друга информация в електронна форма (подписана информация) или е свързана по друг начин с такава информация и която се използва за идентифициране на лицето, подписващо информацията. текущ федерален закондефинирани са основните понятия и принципи за използване на електронен подпис, определени видовете електронни подписи и условията за тяхното признаване, регламентирани са правомощията на държавните органи, правата и задълженията на участниците в електронното взаимодействие с помощта на електронен подпис.

По този начин настоящата дефиниция за електронен подпис е по-широка от предишната и сега понятието електронен цифров подпис, дадено в предишния закон, е близко, но не и идентично с понятието засилен електронен подпис, чиито характеристики са следните:

Получава се в резултат на криптографска трансформация на информация с помощта на ключ за електронен подпис;

Позволява ви да идентифицирате лицето, подписало електронния документ;

Позволява ви да откриете факта на извършване на промени в електронен документ след момента на подписването му;

Създаден с помощта на инструменти за електронен подпис;

Ключът за проверка на електронния подпис е посочен в квалифицирания сертификат;

За създаване и проверка на електронен подпис се използват инструменти за електронен подпис, които са получили потвърждение за съответствие с изискванията, установени в съответствие с Федералния закон „За електронния подпис“ от 2011 г.

Трябва също да се отбележи, че в периода от април 2011 г. до юни 2013 г. и двата посочени по-горе закона действаха паралелно, което се дължи на необходимостта от време за преминаване на участниците на пазара и държавните агенции към нови сертификати и правила за работа с електронни подписи.

Същността на електронния подпис

Електронният подпис в Руската федерация се използва от физически и юридически лица и е аналог на ръкописния подпис на упълномощено лице на хартиен носител и запечатан само във връзка с придаване на юридическа сила на електронен документ. Основните цели на използването на електронен подпис са:

Електронен документооборот на фирмата;

Участие в електронна търговия на електронни платформи за търговия;

Подаване на отчети в държавни органи.

Предимствата на използването на електронен подпис за организация са следните точки:

Намаляване на времето за обмен на документи и извършване на транзакции;

Намаляване на разходите за създаване, доставка, съхранение на документи;

Гаранции за надеждност и конфиденциалност на предаваната информация;

Ефективна система за обмен на документи за служители на компанията;

Премахване на проблема с наличието/отсъствието на правомощия за подписване на определени документи.

По този начин, с електронно управление на документи с помощта на електронен подпис, е възможно да се избегнат много проблеми с работния процес на хартия, значително да се намали времето за обмен на информация и да се повиши ефективността на организацията като цяло.

В допълнение към предимствата на използването на електронен подпис, има и недостатъци:

Използване от недобросъвестни потребители;

Недостъпност/загуба на електронни архиви на всички документи на организации поради проблеми с оборудването;

Разходи за хардуер и софтуер.

Тези недостатъци обаче е по-вероятно да бъдат страхове, които са абсолютно безпочвени в случая правилна употребаелектронни системи за управление на документи с електронен подпис в предприятието: използването на индивидуализирани софтуер, създаване на резервни копия на информацията, навременен ремонт и подмяна на оборудване и др.

Използването на електронен подпис в Руската федерация се извършва въз основа на няколко принципа, които са фундаментални основи в тази област:

Свобода да избира вида на електронен подпис - участникът има право самостоятелно да определи вида на електронен подпис, ако изискването за използване на конкретен вид електронен подпис в съответствие с целите на неговото използване не е предвидено от федералните закони или регулаторни правни актове, приети в съответствие с тях или със споразумение между участниците в електронното взаимодействие;

Свобода на използване на информационни технологии и технически средства- участникът има възможност да използва по свое усмотрение всякакви информационни технологии и (или) технически средства, които позволяват да се изпълнят изискванията на Федералния закон от 2011 г. във връзка с използването на специфични видове електронни подписи;

Недопустимостта за признаване на електронен подпис и (или) електронен документ, подписан от него, за невалиден само въз основа на това, че такъв електронен подпис не е създаден от собствена ръка, а с помощта на инструменти за електронен подпис за автоматично създаване и (или) автоматично проверка на електронните подписи в информационната система.

Анализът на принципите на използване на електронен подпис ни позволява да заключим, че участник в електронното взаимодействие има свободата да избира вида на електронен подпис и необходимите технически средства в зависимост от целите на неговата дейност и правната уредба на тази дейност. по отношение на наличието/отсъствието на задължителни изисквания за електронен подпис.

Основни понятия

За пълно разбиране на механизма на функциониране на електронния подпис е необходимо не само повърхностно да се разбере неговата същност, но и да се проучат основните понятия, които се появяват в тази област.

Участниците в електронното взаимодействие са лица и (или) организации, които обменят информация в електронна форма, включително държавни органи, местни власти и др.

Корпоративна информационна система е информационна система, в която участниците в електронното взаимодействие съставляват определен кръг от хора.

Обществена информационна система е информационна система, в която участниците в електронното взаимодействие представляват неограничен кръг от лица и при чието използване на тези лица не може да бъде отказано.

Ключът за електронен подпис е уникална последователност от знаци, използвани за създаване на електронен подпис.

Ключ за проверка на електронен подпис - уникална последователност от знаци, уникално свързана с ключа за електронния подпис и предназначена за проверка на автентичността на електронния подпис.

Сертификат за ключ за проверка на електронен подпис е електронен документ или документ на хартиен носител, издаден от сертифициращ център или попечител на сертифициращия център и потвърждаващ, че ключът за проверка на електронния подпис принадлежи на собственика на сертификата за ключ за проверка на електронния подпис.

Квалифициран ключ за проверка на цифров подпис е сертификат за ключ за проверка на електронен подпис, издаден от акредитиран сертифициращ център или попечител на акредитиран сертификационен център или федерален изпълнителен орган, упълномощен в областта на използването на електронен подпис (Министерството на телекомуникациите и масовите комуникации на Руската федерация).

Инструментите за електронен подпис са инструменти за криптиране (криптографски), които се използват за създаване или проверка на електронен подпис, създаване или проверка на ключ за електронен подпис.

Сертифициращ орган е юридическо лице или индивидуален предприемач, който изпълнява функциите по създаване и издаване на сертификати за ключове за проверка на електронни подписи и др. Понастоящем функциите на главния сертифициращ център по отношение на акредитирани центрове за сертифициране се изпълняват от Министерството на телекомуникациите и масовите комуникации на Руската федерация, което извършва акредитацията на сертифициращи центрове.

Инструменти за сертифициращ център - софтуер и (или) хардуер, използвани за изпълнение на функциите на сертифициращ център.

Видове електронен подпис

Руското законодателство предвижда 3 основни вида електронен подпис:

1) прост електронен подпис - електронен подпис, който чрез използване на кодове, пароли или други средства потвърждава факта на формиране на електронен подпис от определено лице;

2) подобрен неквалифициран електронен подпис (неквалифициран електронен подпис) - електронен подпис, който се получава в резултат на криптографска трансформация на информация с помощта на ключ за електронен подпис и ви позволява да идентифицирате лицето, което е подписало електронния документ, и да откриете факта на изготвяне промени в документа след момента на подписването му, както и създадени с помощта на средства за електронен подпис;

3) подобрен квалифициран електронен подпис (квалифициран електронен подпис) - електронен подпис, който се получава в резултат на криптографска трансформация на информация с помощта на ключ за електронен подпис, ви позволява да идентифицирате лицето, което е подписало електронния документ и да откриете факта на изготвяне промени в документа след момента на подписването му, а също така създава с помощта на електронни подписи. В същото време ключът за проверка на електронния подпис е посочен в квалифицирания сертификат, а инструменти за електронен подпис, които са получили потвърждение за съответствие с изискванията, установени в съответствие със законодателството на Руската федерация в тази област, се използват за създаване/проверка на електронен подпис.

Във връзка с промените в законодателството и разпоредбите на Федералния закон „За електронния подпис“ от 2011 г., където няма предишна концепция за „електронен цифров подпис“, е необходимо да се разгледа въпросът за съотношението на настоящите подписи и новите. . По този начин сертификатите за ключове за подпис, издадени в съответствие с Федералния закон № 1-FZ от 10 януари 2002 г. „За електронния цифров подпис“, се признават за квалифицирани сертификати. В същото време електронен документ, подписан с електронен подпис, чийто ключ за проверка се съдържа в удостоверението за ключа за проверка на електронния подпис, издадено по предварително установения от закона ред, през периода на валидност на посочения сертификат , но не по-късно от 31 декември 2013 г., се признава за електронен документ, подписан с квалифициран електронен подпис. Също така, в случаите, когато федералните закони и други регулаторни правни актове, влезли в сила преди 1 юли 2013 г., предвиждат използването на електронен цифров подпис, се използва подобрен квалифициран електронен подпис.

Въпреки това, за да приложи изцяло електронния подпис във връзка с горните промени, организациите трябва да вземат предвид не само правните аспекти на равенството на определени видове подписи, но и да проучат технически аспект. Когато сравнявате сертификат квалифициран подписи сертификат за електронен цифров подпис, залегнал във Федералния закон от 2002 г., ще има разлика между тях в наличието / отсъствието на полето SNILS (застрахователен номер на индивидуална лична сметка в Пенсионния фонд на Руската федерация), което може да водят до невъзможност за използване в специфични системив зависимост от техните изисквания. В този случай е необходимо предварително да се запознаете с изискванията за вида на електронен подпис за конкретните цели на организацията или да имате и двата сертификата.

В същото време е важно да се знае, че квалифицираният електронен подпис не е универсален и неговото задължително използване е предвидено само за редица информационни системи на държавни органи, например като портала gosuslugi.ru или системите за отчитане на Федералната данъчна служба на Руската федерация. Относно търговски етажи, тогава те сами определят изискванията за електронни подписи и имат право да използват както квалифициран подпис, така и електронен цифров подпис, предвидени от Федералния закон от 2002 г. Подобна ситуация с независимостта на определяне от различни системи създава проблем в форма на невъзможността на някои от тях да работят с квалифициран електронен подпис дори до края на закона през 2002г.

В този сценарий най-логичното за организацията е да определи целите на използването на електронен подпис. Ако това е докладване на правителствени агенции, тогава е спешно да получите квалифициран подпис. Ако обаче говорим за други търговски транзакции, по-добре е да се свържете със сертифициращия център, за да получите квалифициран подпис, за да избегнете неудобна ситуация, в случай че някой сайт премине към задължителното си изискване.

Трябва също да се отбележи, че няколко взаимосвързани електронни документа (пакета) могат да бъдат подписани с един електронен подпис и всеки такъв документ поотделно се признава за подписан. В същото време все още не трябва да се забравят изискванията за конкретни видове електронни подписи в някои случаи.

Електронните подписи, създадени в съответствие с правните норми на чужда държава и международните стандарти, се признават в Руската федерация в зависимост от съответствието с характеристиките на определен тип. Издаването на удостоверение на ключа за проверка на електронния подпис в съответствие с нормите на чуждото право не е основание за анулиране на документа.

Процедурата за получаване на електронен подпис

Получаването на електронен подпис става на няколко етапа:

1. Намиране на правилния CA

За да получите електронен подпис, първо трябва да определите целите на използването на електронен подпис от вашата организация и в зависимост от тях да изберете център за сертифициране, който е упълномощен да изготвя сертификати за ключове за проверка на електронния подпис.

Компетентността на сертифициращия център включва:

Създаване и издаване на удостоверения за ключове за проверка на електронен подпис на лица, подали заявление за получаването им (заявители);

Утвърждаване на срокове на валидност на сертификати за ключове за проверка на електронен подпис;

Анулиране на издадени от него удостоверения за ключове за проверка на електронен подпис;

Издаване по искане на заявителя на електронен подпис означава, съдържащ ключ за електронен подпис и ключ за проверка на електронен подпис (включително създадените от сертифициращ център) или предоставяне на възможност за създаване на ключ за електронен подпис и ключ за проверка на електронен подпис от заявителя ;

Поддържане на регистър на издадени и анулирани от него сертификати за ключове за проверка на електронен подпис, включително информация, съдържаща се в сертификатите за ключове за проверка на електронен подпис, издадени от този удостоверяващ център, и информация за датите на прекратяване или анулиране на сертификати за ключове за проверка на електронен подпис и на основанията за такова прекратяване или анулиране;

Утвърждаване на реда за поддържане на регистъра на сертификатите, които не са квалифицирани, и реда за достъп до него, както и осигуряване на достъп на лицата до информацията, съдържаща се в регистъра на удостоверенията, включително чрез интернет;

Създаване на ключове за електронен подпис и ключове за проверка на електронен подпис по заявка на кандидатите;

Проверка на уникалността на ключовете за проверка на електронните подписи в регистъра на удостоверенията;

Извършване на проверка на електронни подписи по заявка на участници в електронното взаимодействие;

Извършване на други дейности, свързани с използването на електронен подпис.

Освен това сертифициращият орган има следните отговорности:

писмено информиране на кандидатите за условията и реда за използване на електронните подписи и средствата за електронен подпис, за рисковете, свързани с използването на електронни подписи, както и за мерките, необходими за осигуряване на сигурността на електронните подписи и тяхната проверка;

Осигуряване на релевантността на информацията, съдържаща се в регистъра на сертификатите, и нейната защита от неоторизиран достъп, унищожаване, модифициране, блокиране и други незаконни действия;

Предоставяне на безвъзмездно на всяко лице по негово искане по установения ред за достъп до регистъра на удостоверенията на информацията, съдържаща се в регистъра на удостоверенията, включително информация за анулирането на удостоверението на ключа за проверка на електронния подпис;

Осигуряване на поверителността на ключовете за електронен подпис, създадени от сертифициращия център.

По този начин основните функции на сертифициращия център са да проверява електронните подписи, чиито ключове за проверка са посочени в сертификатите за ключове за проверка на електронен подпис, издадени от доверени лица, и да осигурява електронно взаимодействие между доверени лица, както и доверени лица с сертифициращият орган. Информацията, вписана в регистъра на удостоверенията, подлежи на съхраняване през целия период на дейност на удостоверителния център, освен ако с нормативни актове е установен по-кратък срок. В случай на прекратяване на дейността на удостоверителния център без прехвърляне на функциите му на други лица, той трябва да уведоми писмено притежателите на удостоверения за ключове за проверка на електронен подпис, издадени от този удостоверяващ център и чийто срок на валидност не е изтекъл, поне един месец преди датата на прекратяване на този сертифициращ център. В този случай след приключване на дейността на сертифициращия център информацията, вписана в регистъра на сертификатите, трябва да бъде унищожена. В случай на прекратяване на дейността на сертифициращия център с прехвърляне на функциите му на други лица, той трябва да уведоми писмено собствениците на сертификати на ключове за проверка на електронен подпис, издадени от този удостоверяващ център и чиято валидност не е изтекла, най-малко един месец преди датата на прехвърляне на функциите му. В този случай, след приключване на дейността на сертифициращия център, информацията, вписана в регистъра на сертификатите, трябва да бъде прехвърлена на лицето, което е прехвърлило функциите на центъра за сертифициране, който е преустановил дейността си.

В същото време е важно да се оцени стабилността и качеството на доставчика на услуги, които по правило се определят от широчината на областите на използване на техните сертификати. И, разбира се, не трябва да взимате решение в зависимост от цената, тъй като за пълноценна работа трябва да закупите пълен комплект под формата на ключов носител, лиценз за право на използване на инструмент за електронен подпис и сертификат за ключ за проверка на електронен подпис. Цените варират. В интернет можете да намерите уебсайтовете на сертифициращи центрове в подходящ регион и да разберете цялата информация в детайли.

2. Подаване на заявление и документи за получаване на електронен подпис

След като решите за сертифициращия орган, трябва да изпратите заявление за издаване на сертификат за електронен подпис. Такова заявление може да бъде подадено на уебсайта чрез попълване на кратък формуляр, след обработката на който мениджърът ще се обади обратно, за да изясни подробностите за регистрацията, а по-късно ще е необходимо да предоставите списък с документи на Центъра за регистрация на сертифицирането център. Възможно е също така да попълните пълна регистрационна карта на сайта и да пристигнете на мястото на издаване на сертификати до момента, в който той е готов. На този етап формулярът за кандидатстване зависи от избора на конкретен сертифициращ орган.

След наблюдение на сайтовете на сертифициращите центрове, списъкът с документи, необходими за производство квалифициран сертификатКлючът за подпис обикновено изглежда така:

За юридически лица

Нотариално заверено копие или оригинал с обикновено копие на извлечението от Единния държавен регистър на юридическите лица

Нотариално заверено копие или оригинал с обикновено копие на удостоверението за регистрация в данъчния орган

За индивидуални предприемачи

Заявление за изготвяне на сертификат за ключ за подпис

Нотариално заверено копие или оригинал с обикновено копие на извлечение от USRIP

Нотариално заверено копие или оригинал с обикновено копие на удостоверението за регистрация в данъчния орган

Копие на притежател на сертификат SNILS

Копие от паспорта на бъдещия притежател на сертификат

Копие от паспорта на получателя на сертификата

Пълномощно за получаване на сертификат за ключ за подпис (ако това не е собственикът на сертификата)

Пълномощно, потвърждаващо пълномощията на собственика на сертификата за ключ за подпис (ако собственикът няма право да действа от името на юридическо лицебез пълномощно)

За физически лица

Заявление за изготвяне на сертификат за ключ за подпис

Нотариално заверено копие или оригинал с обикновено копие на удостоверението за регистрация в данъчния орган

Копие на паспорта

Копие на притежател на сертификат SNILS.

3. Получаване на сертификат и комплект

Личното присъствие на собственика на сертификата или негов доверен представител за получаване на сертификата на ключа за проверка на електронния подпис е предпоставка за повечето сертифициращи центрове. Въпреки факта, че на практика има случаи на предоставяне на услуги от разстояние чрез прехвърляне на сканирани документи за кандидатстване чрез електронна пощаи получаване на сертификат за електронен подпис също по пощата, най-често измамниците действат по този начин. Регистрацията на сертификат и издаването на комплект в сертифициращ център няма да отнеме много време. Този комплект обикновено включва:

Носител на ключ (флопи диск, флаш устройство, токен), съдържащ файлове с ключ за електронен подпис;

Сертификатът на ключа за проверка на електронния подпис, който също е записан като файл на същия ключов носител;

Копие от удостоверението на ключа за проверка на електронния подпис на хартиен носител с подпис и печат на удостоверителния център;

Лиценз за право на използване на компютърна програма, която от гледна точка на закона се нарича инструмент за електронен подпис;

Програмата на самия инструмент за електронен подпис (инсталационни файлове) и документация за него на CD.

В случай на кражба или загуба на ключа за електронен подпис, трябва да се свържете със сертифициращия център, да съобщите за този факт и да получите нов ключ и нов сертификат на ключа за проверка на електронния подпис, като всички етапи на получаването му ще трябва да се повторят и сертификатът ще бъде напълно различен.

Важно е също да се отбележи, че електронният подпис има дата на изтичане, като се разграничава периодът на валидност на ключа за подпис - това е периодът от време, през който ключът може да се използва за създаване на подпис, а срокът на валидност на ключа за проверка на подписа е периодът от време, през който ключът може да се използва за създаване на подпис.проверка на валидността на електронния подпис. По правило първият срок е 1 година, а вторият – от 1 до 15 години. Но дори и след получаване на нов ключ за подписване и нов сертификат след изтичане на стария, до изтичане на срока на "стария" сертификат, всички "стари" подписи ще се считат за валидни.

Изисквания към служителите на организацията при работа с електронен подпис

Въпреки простата процедура за получаване на електронен подпис, за ефективното му използване е необходимо да се обърне внимание на осигуряването на информационна сигурностна работното място на служителите. Процедурата за осигуряване на информационна сигурност при работа с електронен подпис, като правило, се определя от ръководителя на организацията въз основа на препоръки за организационни и технически мерки за защита, както и на действащото руско законодателство в областта на защитата на информацията.

Служителите, които имат достъп до ключова информация и работят с електронен подпис, трябва да бъдат идентифицирани и одобрени в конкретен списък. Те трябва да преминат подходящо обучение и да се запознаят с документацията за конкретна информационна система, както и с нормативните документи за използването на електронен подпис. Най-често организациите имат служител, отговорен за сигурността на работата на средствата за криптографска защита на информацията, който е ангажиран в пълния процес на поддръжка на тези процеси, включително създаването на специализирани длъжностни характеристики. В случай на уволнение или преместване в друг отдел с промяна в длъжностните задължения на служителя, се препоръчва да промените ключовете, до които този служител е имал достъп.

Трябва да се отбележи, че горните са най-много Общи изисквания, които за пореден път подчертават сериозността на използването на електронен подпис в организацията. На практика обаче всяка организация е индивидуална при регулирането на този въпрос.

Регистрация на трудови правоотношения

Особено актуално през последните години е използването на електронен подпис за регистриране на трудови правоотношения със служители, които са в дистанционен достъп. Така през април 2013 г. промените в Кодекс на труда RF, които регулират регулирането на работата на отдалечените работници и предвиждат сключване на трудов договор за отдалечена работа чрез обмен на електронни документи. В рамките на тези трудови правоотношения обаче ще се използва само квалифициран електронен подпис и за двете страни: работодателя и служителя. За потвърждаване на запознаване със заповедта за работа, правилата на вътрешния работен график, други документи в в електронен форматслужителят също трябва да използва само подобрен квалифициран електронен подпис.

Въпреки това, документи, свързани с трудова дейностна отдалечен работник се съставят и на хартиен носител чрез копия на документи в електронен вид, които се заверяват с квалифициран електронен подпис на работодателя и се изпращат на отдалечения работник за запознаване. Именно това копие служителят подписва с електронния си подпис.

Отговорност за нарушаване на законодателството за електронния подпис

Отговорност за нарушаване на разпоредбите на законодателството относно използването на електронен подпис е предвидена за различни участници в електронното взаимодействие. Важно е да се отбележи, че Федералният закон „За електронния цифров подпис“ от 2002 г. предвижда наказателна, гражданска и административна отговорност в съответствие с регулаторните правни актове на Руската федерация за злоупотреба с цифров подписдруго лице, включително неправомерно получаване на частен ключ и (или) без надлежни пълномощия, за незаконно създаване и използване на частни ключове, както и в случай на нанасяне на загуби на потребителя на публичния ключ поради неоторизиран достъп до частния ключ по вина на собственика на сертификата за ключ за подпис.

В действащия закон от 2011 г. обаче няма такива препратки към отговорността на участниците в електронното взаимодействие. В същото време законодателят обърна внимание на уредбата на отговорността на удостоверителния център за вреди, причинени на трети лица в резултат на неизпълнение или неправилно изпълнение на задължения, произтичащи от договора за предоставяне на услуги от сертифициращия център. , както и неизпълнение или ненадлежно изпълнение на задълженията, предвидени в този закон.

Така след проучване на правната уредба и организационни въпросиизползвайки електронен подпис, можем да заключим, че тази технология е актуална в момента. Широкото използване на информационните технологии и преминаването към електронно управление на документи ще дадат плодове в близко бъдеще. положително въздействиетова обаче отнема известно време. Правна уредба на механизмите за функциониране на електронните подписи, в т.ч преходен периодот изгубилия сила разпоредби на закона към новия правен ред се нуждае от допълнително доработване. Особено си струва да се отбележи сложността и сложността на използването на различни видове електронни подписи, което се отразява негативно на възприемането на организациите за процеса на въвеждане на нови технологии. Освен това проблемният момент е липсата на достатъчно правно регулиране на отговорността на всички участници в електронното взаимодействие. Предполага се, че е логично да се установи допълнителна отговорност на служителите чрез местни актове на конкретна организация. Въпреки това, в момента в Русия разпространението на електронни документи с помощта на електронен подпис бързо набира скорост.

Стандартите на EDS у нас са установени със закон. Изискванията за електронни подписи се съдържат във Федералния закон № 63-FZ и в Заповедта на Федералната служба за сигурност на Руската федерация № 796. Те определят структурата и съдържанието на изискванията за средствата за електронен подпис.

Изисквания за сигурност на EDS

Стандартите за сигурност посочват, че електронен подпис трябва да бъде създаден с помощта на устойчиви на нетърпение алгоритми. На първо място, това изискване се отнася до избора на ключ или възможността за въздействие върху него чрез софтуер или хардуер. Освен това EDS не трябва да е податлив на атаки, които засягат операционната среда - например повреда на BIOS.

Въпреки че стандартите не съдържат информация за използването на външни ключове, тяхното използване е един от малкото начини за осигуряване на необходимото ниво на защита. В същото време трябва да се помни, че всички компоненти на EDS не могат да бъдат разположени на физически, обикновено представени от USB ключ. Законовото изискване в този случай е недвусмислено - криптирането трябва да се извърши от програма, инсталирана на компютъра, която използва външен носител като удостоверяване. Стандартите също не позволяват кодиране с помощта на облачни услуги, които нямат валидиран държавни органиниво на сигурност.

Процедура за използване на електронен подпис

По отношение на процеса на заверка на документ и четене на EDS се налагат подобни изисквания:

1. Потребителят трябва да види съдържанието на подписания документ.
2. Потребителят трябва да потвърди подписването на документа.
3. Инструментите на ES трябва недвусмислено да показват, че подписът е създаден.

Независимо от вида, информацията за собственика на сертификата за подпис трябва да бъде „твърдо свързана“ в сертификата ES. Това значително улеснява анализа на спорове при взаимодействие с държавни агенции или контрагенти, които обработват голям поток от документи на ден.

• Изисквания към инструментите за електронен подпис
• Изисквания към инструментите на сертифициращия орган

Разработването на тези документи е предвидено в част 5 на член 8 от Федералния закон от 6 април 2011 г. № 63-FZ „За електронния подпис“.

Изискванията са предназначени за клиенти и разработчици на инструменти за електронен подпис и центрове за сертифициране при взаимодействието им помежду си и с организации, извършващи криптографски и специални проучвания на такива инструменти, както и при взаимодействието им с FSB, потвърждавайки съответствието на тези инструменти с установените изисквания.

Преди всичко се интересувах как тези изисквания отразяват въпроси, свързани с управлението на записи. Много подходящи предмети бяха открити в „Изисквания към средствата за електронен подпис”.

Когато създавате електронен подпис (ЕП), инструментите на ЕП трябва (клауза 8):

• да покаже на лицето, което подписва електронния документ, съдържанието на информацията, която подписва,
• създаване на ES само след като лицето, подписващо електронния документ, потвърди операцията по създаване на ES,
• ясно показват, че ЕС е създаден.

При проверка на ES инструментите за ES трябва (клауза 9):

• показват съдържанието на електронен документ, подписан от ES,
• показва информация за извършване на промени в подписания електронен документ на ЕС,
• посочете лицето, използващо ES ключа, от което са подписани електронните документи.

Тези изисквания не се прилагат за инструменти за ES, използвани за автоматично създаване и (или) автоматична проверка на ES в информационната система (клауза 10).

В зависимост от способността да се противопоставят на заплахи, ES инструментите се разделят на класове (клауза 12). В зависимост от класа изискванията за записване на събития, свързани с използването на инструмента ES, се различават:

33. За ES инструменти от класове KS1 и KS2 необходимостта от представяне на изисквания за регистриране на събития и тяхното съдържание са посочени в ТЗ за разработване (модернизиране) на инструменти за ES.

34. Съставът на инструментите на ES от класове KS3, KB1, KB2 и KA1 трябва да включва модул, който записва в електронния дневник на събитията в инструментите на ES и SF, свързани с изпълнението на инструмента за ES на неговите целеви функции.

Изискванията към посочения модул и списъкът с регистрирани събития се определят и обосновават от организацията, провеждаща изследването на инструмента за ES, за да се оцени съответствието на инструмента за ES с тези Изисквания.

Установени са и изискванията за осигуряване на безопасността на дневника на събитията:

35. Регистърът на събитията трябва да бъде достъпен само за лица, посочени от оператора на информационната система, в която се използва инструментът на ЕС, или упълномощени от него лица. В този случай дневникът на събитията трябва да бъде достъпен само за преглед на записи и за преместване на съдържанието на дневника на събитията в архивен носител.

Параграф 36 ми се стори изключително противоречив в документа, дата на изтичане на публичния ключ EP Веднага възниква въпросът, какво да кажем за тези организации, които ще подписват документи с постоянен или дългосрочен срок на съхранение с електронен подпис? Какво да правят с тези документи след 15 години - да ги хвърлят в електронния кош (в същото време забравяйки за правата и задълженията, свързани с тях)?

От моя гледна точка или авторите на документа са в противоречие с руския език и не могат да изразят компетентно своята мисъл, каквато и да е тя, или те в проблеми със закона, което не предвижда такава глупост като загубата на юридическа сила от подписа.

36. Срок на валидност на ключа за проверка на ЕС не трябва да надвишава срока на валидност на ES ключа с повече от 15 години.

37. Изискванията към механизма за наблюдение на периода на използване на ES ключа, блокиращ работата на ES инструмента в случай на опит за използване на ключа по-дълъг от посочения период, се определят от разработчика на ES инструмента. и обосновано от организацията, провеждаща проучване на инструмента за ES, за да оцени съответствието на инструмента за ES с тези Изисквания.

Възниква въпросът и за квалификацията на специалистите на Министерството на правосъдието, регистрирало успешно този документ.

(EDS) е атрибут на електронен документ, предназначен да защитава този електронен документ от фалшифициране, получен в резултат на криптографска трансформация на информация с помощта на частния ключ на електронен цифров подпис и позволяващ идентифициране на собственика на сертификата за ключ EDS, т.к. както и да се установи липсата на изкривяване на информацията в електронния документ.

Нормативни документи, свързани с EDS

Използването на EDS при сключване на сделки е регламентирано от Федералния закон от 10 януари 2002 г. N1-FZ „ЗА ЕЛЕКТРОННИЯ ЦИФРОВ ПОДПИС“. Законът провъзгласява общи разпоредби„правила“ на електронните пазари относно разпознаването на ЕЦП в електронен документ като еквивалентен на ръкописен подпис в документ на хартиен носител.

• Прикачен електронен цифров подпис

• Услуга Timestamp

  Срокът на валидност на всеки сертификат за EDS е ограничен до определен период от време. След изтичане на срока му на валидност всички документи, създадени с помощта на този ЕЦП, губят своята правна сила, т.к. невъзможно е да се определи дали сертификатът е бил актуален към момента на подписване на този документ или не? Това автоматично означава недействителност на документа в съответствие с Федералния закон „За електронния цифров подпис“.

  Услугата за времеви печат ви позволява да докажете факта на съществуването на документ в определен момент от време.

  Услугата за времеви печат може да бъде сертифициращ орган, който има точен и надежден източник на време и предоставя услуги за времеви печат.

  Печатът за време е аналогичен на датата на подписания документ. Той също така потвърждава, че сертификатът е бил валиден към момента на подписване на документа. Това означава, че все още е възможно да се използва анулираният сертификат за проверка на цифрови подписи, създадени преди отмяната. Този проблем е от значение за всички системи за електронно управление на документи. Печатът за време може да се използва и за потвърждение на получаването или изпращането на документ, когато е необходимо.

  Какво друго ви позволява да използвате цифров подпис?

  Електронният цифров подпис е един от най-важните елементи за организиране на пълноценно електронно управление на документи, т.к служи като аналог на саморъчния подпис на лице. В допълнение, използването на цифров подпис ви позволява да:

  * Контрол на целостта на прехвърления документ: в случай на случайна или умишлена промяна на документа, подписът става невалиден, тъй като се изчислява въз основа на първоначалното състояние на документа и отговаря само на него.
  * Защита срещу промени (фалшификация) на документа: гаранцията за откриване на фалшификация по време на контрол на целостта прави фалшификацията непрактична в повечето случаи.
  * Невъзможност за отказ от авторство. Тъй като е възможно да се създаде правилен подпис само ако частният ключ е известен и той трябва да бъде известен само на собственика, собственикът не може да откаже своя подпис върху документа.
  * Доказателство за авторство на документ: Тъй като е възможно да се създаде правилен подпис само чрез познаване на частния ключ и той трябва да бъде известен само на собственика, собственикът на двойката ключове може да докаже своето авторство на подписа под документа. В зависимост от детайлите на дефиницията на документа могат да бъдат подписани полета като „автор“, „извършени промени“, „клеймо за време“ и т.н.

  Какво трябва да се направи, за да се работи с EDS?

  За да работите с EDS трябва:

  • осигуряване на наличност на компютър в съответствие с изискванията;
  • осигуряване на наличието на специализиран софтуер за работа с ЕЦП;
  • определя лицето, на което се издава сертификатът за EDS;
  • изберете метода за получаване на EDS;
  • сключете договор за CA и заплащате услуги за издаване на сертификат за ключ за подпис.

  Оставете своя коментар!

инструменти, които осигуряват, на базата на криптографски трансформации, изпълнението на поне една от функциите:

създаване на ES с помощта на частен ключ EI

потвърждение с помощта на публичния ключ на ES

създаване на частни и публични ES ключове.

4. Инструменти за кодиране (ръчни шифри)

Средства, които реализират алгоритми за криптографска трансформация на информация с изпълнение на част от трансформацията чрез ръчни операции или с помощта на автоматизирани инструменти, базирани на такива операции.

5. Средства за производство на ключови документи.

Независимо от вида на ключов информационен носител

6. Ключови документи (независимо от вида на носителя)

Компрометиране на криптографски ключове –кражба, загуба, разкриване, неоторизирано копиране и други инциденти, в резултат на които криптографските ключове могат да станат достъпни за неупълномощени лица и/или процеси.

Лични данни (PD) –всяка информация, свързана с физическо лице, идентифицирано или определено въз основа на такава информация (субект на PD), включително неговото фамилно име, собствено име, бащино име, дата на раждане, адрес, семейство, социално, имуществено състояние, образование, професия и друга информация.

PD оператор -държавен орган или общински орган, юридическо или физическо лице, организиращо и/или извършващо обработка на ЛП, както и определяне на целите и съдържанието на обработката на ЛП.

EP -информация в електронна форма, която е приложена към друга информация в електронна форма (подписана информация) или е свързана по друг начин с такава информация и която се използва за идентифициране на лицето, подписало информацията.

ES сертификат за ключ за проверка -електронен документ или документ на хартиен носител, издаден от сертифициращ орган или упълномощен представител на ОС, и потвърждаващ, че ключът за проверка на ES принадлежи на собственика на сертификата за ключ за проверка на ES.

UC -юридическо лице или индивидуален предприемач, извършващ дейност по създаване и издаване на публични ключове за проверка на ЕСП, както и други функции, свързани с ЕСП и предвидени в закона.

Акредитация на CA -признаване от федералния изпълнителен орган, упълномощен в областта на използването на ЕС, на съответствието на СО с изискванията на законодателството.

CA фондове -софтуер и/или хардуер, използвани за изпълнение на функциите на CA.

средства на ЕП -криптографски или криптографски средства, използвани за изпълнение на поне 1 от функциите:

създаване на ES

ES проверка

създаване на ES ключ

създаване на ключ за проверка на ES

EP ключ -уникална последователност от знаци, предназначена да създаде ES. Ключ за проверка на ES - ...уникално свързан с ES ключа и предназначен за ES удостоверяване.

Квалифицирани сертификати за ключове за проверка на ES -Сертификат за ключ за проверка на ES, издаден от акредитиран CA или попечител на акредитиран CA или федерален изпълнителен орган, упълномощен в областта на използването на ES (упълномощен федерален орган)

GOST R 51275

ЗИ. Обекти за информатизация. Фактори, влияещи върху информацията. Основни разпоредби.

Област на приложение -Стандартът установява класификация и списък на факторите, влияещи върху ефективността на защитата на информацията в интерес на оправдани заплахи за информационната сигурност спрямо изискванията за информационна сигурност на обект на информатизация. Стандартът се прилага за обекти за информатизация, създаване и експлоатация в различни области на дейност (отбрана, икономика, наука и други)

Идентифицирането и отчитането на факторите, които влияят или могат да повлияят на защитената информация при конкретни условия, са в основата на планирането и прилагането на ефективни мерки, насочени към ИС на обекта на информатизация.

Пълнотата и надеждността на идентифицираните фактори се постига чрез отчитане на пълния набор от фактори, които влияят на всички елементи на RI (хардуер и софтуер за обработка на информация, средства за предоставяне на RI и т.н.) и на всички етапи на обработка на информацията.

Идентифицирането на факторите, влияещи върху защитената информация, трябва да се извършва, като се вземат предвид изискванията:

достатъчност на нивата на класификация на факторите, позволяващи да се формира техния пълен набор;

гъвкавост на класификацията. Позволява да се вземат предвид различни класифицирани фактори, както и да се правят промени, без да се нарушава структурата на класификациите.

Фактори, влияещи върху информацията:

обективен вътрешни сигнализиране извличане на сигнали, функции, присъщи на техническите средства на ОИ страничен EMP наличието на акустоелектрични преобразуватели в елементите на TS OI дефекти, повреди, повреди, аварии на превозното средство и OE системи дефекти, повреди, неуспехи

Обективна външна създадени от човека явления природни явления, природни бедствия

Субективно вътрешно разкриване на защитена информация от лица, които имат право на достъп до нея незаконосъобразни действия от страна на лица с право на достъп до защитена информация UA към защитена информация недостатъци в организацията на предоставяне на данни грешки в обслужването на персонала

Субективно външно достъп до защитена информация с помощта на TS UA към защитена информация блокиране на достъпа до защитена информация чрез претоварване на техническите средства за обработка на информация с фалшиви заявки за нейната обработка действия на престъпни групи и отделни престъпни субекти изкривяване, унищожаване или блокиране на информация с помощта на TS