Prodaja stanova 

Što je elektronički potpis. Osnove korištenja elektroničkog potpisa u carinjenju

Zbog raširene uporabe informacijske tehnologije u svim sferama života suvremenog društva, upravljanje procesima u organizacijama nije iznimka. Od posebne važnosti u ovom području su elektronički sustavi za upravljanje dokumentima dizajnirani za organizaciju i automatizaciju procesa interakcije među zaposlenicima. Korištenje ovih sustava osigurava učinkovito upravljanje dokumentima organizacije i produktivnog rada zaposlenika. Za organiziranje potpunog elektroničkog upravljanja dokumentima potrebno je koristiti elektronički potpis, koji će također biti potreban za obavljanje poslova online trgovanja i podnošenje izvješća nekim državnim tijelima.

Pravna osnova

U početku se elektronički potpis koristio u bankama pojedinih europskih zemalja, kasnije su se pitanjem njegove pravne regulative bavili Ujedinjeni narodi i Europska unija. U Ruskoj Federaciji, pitanje pravne regulacije elektroničkog potpisa pojavilo se u drugoj polovici 90-ih u sklopu rasprave u Državnoj dumi o sigurnosnim problemima bezgotovinskog plaćanja i elektroničke trgovine i nedostatku odgovarajućih mehanizama pravne kontrole. Po prvi put, koncept elektroničkog potpisa formuliran je u Saveznom zakonu od 10. siječnja 2002. "O elektroničkom digitalnom potpisu" (dalje u tekstu: Savezni zakon iz 2002.), koji je postao nevažeći od srpnja 2013. U skladu prema ovom zakonu, elektronički digitalni potpis je nužan elektronički dokument dizajniran za zaštitu ovog elektroničkog dokumenta od krivotvorenja, dobivenog kao rezultat kriptografske transformacije informacija korištenjem privatnog ključa elektroničkog digitalnog potpisa i koji omogućuje identifikaciju vlasnika ključa potpisa certifikat, kao i utvrditi odsutnost izobličenja informacija u elektroničkom dokumentu.

Trenutno je pravni temelj za korištenje elektroničkog potpisa u Ruskoj Federaciji Savezni zakon od 6. travnja 2011. "O elektroničkom potpisu" (u daljnjem tekstu - Savezni zakon iz 2011.). U skladu s njime, elektronički potpis označava informaciju u elektroničkom obliku koja je priložena drugim informacijama u elektroničkom obliku (potpisana informacija) ili je na drugi način povezana s tim podacima i koja se koristi za identifikaciju osobe koja potpisuje informaciju. Važeći Savezni zakon definira osnovne pojmove i načela korištenja elektroničkog potpisa, utvrđuje vrste elektroničkih potpisa i uvjete za njihovo priznavanje, a također uređuje ovlasti državnih tijela, prava i obveze sudionika u elektroničkoj interakciji korištenjem elektroničkog potpisa. potpis.

Dakle, sadašnja definicija elektroničkog potpisa šira je od prethodne, a sada je pojam elektroničkog digitalnog potpisa dat u prethodnom zakonu blizak, ali ne i identičan konceptu poboljšanog elektroničkog potpisa čije su značajke su sljedeće:

Dobiveno kao rezultat kriptografske transformacije informacija pomoću ključa elektroničkog potpisa;

Omogućuje vam da identificirate osobu koja je potpisala elektronički dokument;

Omogućuje vam da otkrijete činjenicu unošenja izmjena u elektronički dokument nakon trenutka njegovog potpisivanja;

Izrađen pomoću alata za elektronički potpis;

Ključ za provjeru elektroničkog potpisa naveden je u kvalificiranom certifikatu;

Za izradu i provjeru elektroničkog potpisa koriste se alati za elektronički potpis koji su dobili potvrdu o usklađenosti sa zahtjevima utvrđenim u skladu sa Federalnim zakonom "O elektroničkom potpisu" iz 2011. godine.

Također treba napomenuti da su u razdoblju od travnja 2011. do lipnja 2013. oba navedena zakona djelovala paralelno, što je uvjetovano potrebom vremena za prijelaz sudionika na tržištu i državnih tijela na nove certifikate i pravila za rad s elektronički potpisi.

Bit elektroničkog potpisa

Elektronički potpis u Ruskoj Federaciji koriste fizičke i pravne osobe i analogan je rukom pisanom potpisu ovlaštene osobe na papiru i pečatu, samo u odnosu na davanje pravne snage elektroničkom dokumentu. Glavne svrhe korištenja elektroničkog potpisa su:

Elektronsko upravljanje dokumentima tvrtke;

Sudjelovanje u elektroničkom trgovanju na elektroničkim trgovačkim platformama;

Podnošenje izvješća državnim tijelima.

Prednosti korištenja elektroničkog potpisa za organizaciju su sljedeće točke:

Smanjenje vremena za razmjenu dokumenata i obavljanje transakcija;

Smanjenje troškova izrade, dostave, pohrane dokumenata;

Jamstva pouzdanosti i povjerljivosti prenesenih informacija;

Učinkovit sustav razmjene dokumenata za zaposlenike tvrtke;

Otklanjanje problema prisutnosti/odsutnosti ovlasti za potpisivanje određenih dokumenata.

Dakle, elektroničkim upravljanjem dokumentima pomoću elektroničkog potpisa moguće je izbjeći mnogo problema s tijekom papira, značajno smanjiti vrijeme za razmjenu informacija i povećati učinkovitost organizacije u cjelini.

Osim prednosti korištenja elektroničkog potpisa, postoje i nedostaci:

Korištenje od strane beskrupuloznih korisnika;

Nedostupnost/gubitak elektroničke arhive svih dokumenata organizacija zbog problema s opremom;

Troškovi hardvera i softvera.

Međutim, vjerojatnije je da će ti nedostaci biti strahovi koji su apsolutno neutemeljeni u slučaju ispravne uporabe sustava za elektroničko upravljanje dokumentima s elektroničkim potpisom u poduzeću: korištenje individualiziranog softvera, izrada sigurnosnih kopija informacija, pravodobna popravak i zamjena opreme i sl.

Korištenje elektroničkog potpisa u Ruskoj Federaciji provodi se na temelju nekoliko principa koji su temeljni temelji u ovom području:

Sloboda izbora vrste elektroničkog potpisa - sudionik ima pravo samostalno odrediti vrstu elektroničkog potpisa, ako zahtjev za korištenje određene vrste elektroničkog potpisa u skladu sa svrhom njegove uporabe nije predviđen saveznim zakonima ili regulatorni pravni akti doneseni u skladu s njima ili sporazumom između sudionika u elektroničkoj interakciji;

Sloboda korištenja informacijskih tehnologija i tehničkih sredstava - sudionik ima priliku koristiti, prema vlastitom nahođenju, bilo koju informacijsku tehnologiju i (ili) tehnička sredstva koja omogućuju ispunjavanje zahtjeva Saveznog zakona iz 2011. u vezi s korištenjem posebnih vrsta elektroničkih potpisa;

Nedopuštenost priznavanja elektroničkog potpisa i (ili) elektroničkog dokumenta koji je on potpisao nevažećim samo na temelju toga što takav elektronički potpis nije izrađen vlastitom rukom, već korištenjem alata elektroničkog potpisa za automatsku izradu i (ili) automatsku izradu provjera elektroničkih potpisa u informacijskom sustavu.

Analiza načela korištenja elektroničkog potpisa omogućuje nam da zaključimo da sudionik u elektroničkoj interakciji ima slobodu izbora vrste elektroničkog potpisa i potrebnih tehničkih sredstava, ovisno o ciljevima svoje djelatnosti i zakonskoj regulativi te djelatnosti. u smislu prisutnosti/odsutnosti obveznih zahtjeva za elektronički potpis.

Osnovni koncepti

Za potpuno razumijevanje mehanizma funkcioniranja elektroničkog potpisa potrebno je ne samo površno razumjeti njegovu bit, već i proučiti osnovne pojmove koji se pojavljuju u ovom području.

Sudionici elektroničke interakcije su osobe i (ili) organizacije koje razmjenjuju informacije u elektroničkom obliku, uključujući državna tijela, jedinice lokalne samouprave itd.

Korporativni informacijski sustav je informacijski sustav u kojem sudionici elektroničke interakcije čine određeni krug ljudi.

Sustav javnog informiranja je informacijski sustav u kojem sudionici elektroničke interakcije čine neograničen krug osoba i čije korištenje se tim osobama ne može uskratiti.

Ključ elektroničkog potpisa jedinstveni je niz znakova koji se koristi za izradu elektroničkog potpisa.

Ključ za provjeru elektroničkog potpisa - jedinstveni niz znakova koji je jedinstveno povezan s ključem elektroničkog potpisa i dizajniran za provjeru autentičnosti elektroničkog potpisa.

Certifikat ključa za provjeru elektroničkog potpisa je elektronički dokument ili papirnati dokument koji izdaje certifikacijski centar ili povjerenik centra za ovjeru i koji potvrđuje da ključ za provjeru elektroničkog potpisa pripada vlasniku certifikata ključa za provjeru elektroničkog potpisa.

Certifikat ključa za provjeru kvalificiranog digitalnog potpisa je certifikat ključa za provjeru elektroničkog potpisa koji izdaje akreditirani certifikacijski centar ili povjerenik akreditiranog certifikacijskog centra ili savezno izvršno tijelo ovlašteno u području uporabe elektroničkog potpisa (Ministarstvo telekomunikacija i masovnih komunikacija Republike Hrvatske). Ruska Federacija).

Alati za elektronički potpis su alati za šifriranje (kriptografski) koji se koriste za izradu ili provjeru elektroničkog potpisa, stvaranje ili provjeru ključa elektroničkog potpisa.

Tijelo za izdavanje certifikata je pravna osoba ili samostalni poduzetnik koji obavlja poslove izrade i izdavanja potvrda ključeva za provjeru elektroničkih potpisa i sl. Trenutno, funkcije glavnog centra za certifikaciju u odnosu na akreditirane certifikacijske centre obavlja Ministarstvo telekomunikacija i masovnih komunikacija Ruske Federacije, koje provodi akreditaciju centara za certifikaciju.

Alati centra za certifikaciju - softver i (ili) hardver koji se koristi za implementaciju funkcija centra za certifikaciju.

Vrste elektroničkog potpisa

Rusko zakonodavstvo predviđa 3 glavne vrste elektroničkog potpisa:

1) jednostavan elektronički potpis - elektronički potpis koji korištenjem kodova, lozinki ili na drugi način potvrđuje činjenicu da je određena osoba formirala elektronički potpis;

2) poboljšani nekvalificirani elektronički potpis (nekvalificirani elektronički potpis) - elektronički potpis koji se dobiva kao rezultat kriptografske transformacije informacija pomoću ključa elektroničkog potpisa, a omogućuje vam identificiranje osobe koja je potpisala elektronički dokument i otkrivanje činjenice izrade promjene u dokumentu nakon trenutka njegovog potpisivanja, kao i kreirane pomoću sredstava elektroničkog potpisa;

3) poboljšani kvalificirani elektronički potpis (kvalificirani elektronički potpis) - elektronički potpis, koji se dobiva kao rezultat kriptografske transformacije informacija pomoću ključa elektroničkog potpisa, omogućuje identificiranje osobe koja je potpisala elektronički dokument i otkrivanje činjenice izrade mijenja dokument nakon trenutka njegova potpisivanja, a također stvara pomoću elektroničkih potpisa. Istodobno, ključ za provjeru elektroničkog potpisa naveden je u kvalificiranom certifikatu, a alati za elektronički potpis koji su primili potvrdu o usklađenosti sa zahtjevima utvrđenim u skladu sa zakonodavstvom Ruske Federacije u ovom području koriste se za stvaranje/provjeru Elektronički potpis.

U vezi s promjenama u zakonodavstvu i odredbama Federalnog zakona "O elektroničkom potpisu" iz 2011. godine, gdje ne postoji prethodni koncept "elektroničkog digitalnog potpisa", potrebno je razmotriti pitanje omjera postojećih i novih potpisa. . Dakle, certifikati ključa potpisa izdani u skladu sa Saveznim zakonom br. 1-FZ od 10. siječnja 2002. "O elektroničkom digitalnom potpisu" priznaju se kao kvalificirani certifikati. Istovremeno, elektronički dokument potpisan elektroničkim potpisom, čiji je verifikacijski ključ sadržan u potvrdi ključa za provjeru elektroničkog potpisa, izdanoj u skladu s postupkom prethodno utvrđenim zakonom, tijekom razdoblja važenja navedene potvrde , ali najkasnije do 31. prosinca 2013. godine, priznaje se kao elektronički dokument, potpisan kvalificiranim elektroničkim potpisom. Također, u slučajevima kada savezni zakoni i drugi regulatorni pravni akti koji su stupili na snagu prije 1. srpnja 2013. predviđaju korištenje elektroničkog digitalnog potpisa, koristi se poboljšani kvalificirani elektronički potpis.

Međutim, kako bi u potpunosti primijenile elektronički potpis u vezi s gore navedenim promjenama, organizacije trebaju uzeti u obzir ne samo pravne aspekte jednakosti određenih vrsta potpisa, već i istražiti tehnički aspekt. Prilikom usporedbe potvrde o kvalificiranom potpisu i potvrde o elektroničkom digitalnom potpisu sadržane u Saveznom zakonu iz 2002. godine, bit će razlika u prisutnosti / odsutnosti polja SNILS (broj osiguranja individualnog osobnog računa u mirovinskom fondu Ruske Federacije), što može dovesti do nemogućnosti korištenja u određenim sustavima ovisno o njihovim zahtjevima. U tom slučaju potrebno je unaprijed upoznati zahtjeve za vrstu elektroničkog potpisa za specifične svrhe organizacije ili posjedovati oba certifikata.

Istodobno, važno je znati da kvalificirani elektronički potpis nije univerzalan i da je njegova obvezna upotreba predviđena samo za niz informacijskih sustava državnih tijela, na primjer, kao što je portal gosuslugi.ru ili sustavi izvješćivanja Federalna porezna služba Ruske Federacije. Što se tiče platformi za trgovanje, one same određuju zahtjeve za elektroničke potpise i imaju pravo koristiti i kvalificirani potpis i elektronički digitalni potpis predviđen Saveznim zakonom iz 2002. kvalificirane elektroničke potpise čak i do kraja zakona iz 2002. godine.

U ovom je scenariju najlogičnije za organizaciju odrediti svrhu korištenja elektroničkog potpisa. Ako se radi o izvješćivanju vladinih agencija, hitno je potrebno pribaviti kvalificirani potpis. Međutim, ako govorimo o drugim trgovačkim transakcijama, bolje je kontaktirati certifikacijski centar za dobivanje kvalificiranog potpisa kako bi se izbjegla neugodna situacija u slučaju da se bilo koje web mjesto prebaci na svoj obvezni zahtjev.

Također treba napomenuti da se više međusobno povezanih elektroničkih dokumenata (paketa) može potpisati jednim elektroničkim potpisom, a svaki takav dokument pojedinačno se prepoznaje kao potpisan. Istodobno, još uvijek ne treba zaboraviti na zahtjeve za određene vrste elektroničkih potpisa u nekim slučajevima.

Elektronički potpisi stvoreni u skladu s pravnim propisima strane države i međunarodnim standardima priznaju se u Ruskoj Federaciji ovisno o usklađenosti sa značajkama određene vrste. Izdavanje potvrde ključa za provjeru elektroničkog potpisa u skladu s normama stranog prava nije razlog za proglašavanje dokumenta nevažećim.

Postupak dobivanja elektroničkog potpisa

Dobijanje elektroničkog potpisa odvija se u nekoliko faza:

1. Pronalaženje pravog CA

Da biste dobili elektronički potpis, prvo morate odrediti svrhe korištenja elektroničkog potpisa od strane vaše organizacije i, ovisno o njima, odabrati certifikacijski centar koji je ovlašten za izradu potvrda ključeva za provjeru elektroničkog potpisa.

Nadležnost certifikacijskog centra uključuje:

Izrada i izdavanje potvrda ključeva za provjeru elektroničkog potpisa osobama koje su podnijele zahtjev za njihov primitak (podnositelji zahtjeva);

Odobrenje rokova valjanosti potvrda ključeva za provjeru elektroničkog potpisa;

Otkazivanje potvrda o ključevima za provjeru elektroničkog potpisa koje je on izdao;

Izdavanje elektroničkog potpisa na zahtjev podnositelja zahtjeva znači ključ za elektronički potpis i ključ za provjeru elektroničkog potpisa (uključujući one koje je izradio certifikacijski centar) ili pružanje mogućnosti izrade ključa elektroničkog potpisa i ključa za provjeru elektroničkog potpisa od strane podnositelja zahtjeva ;

Održavanje registra potvrda ključeva za provjeru elektroničkog potpisa koje je izdao i poništio, uključujući podatke sadržane u potvrdama o ključevima za provjeru elektroničkog potpisa koje je izdao ovaj certifikacijski centar, te podatke o datumima prestanka ili poništenja potvrda ključeva za provjeru elektroničkog potpisa i na temelju takvih raskida ili otkazivanja;

Odobrenje postupka vođenja registra nekvalificiranih potvrda i postupka pristupa njemu, kao i osiguravanje pristupa osobama podacima sadržanim u registru potvrda, uključujući korištenje interneta;

Izrada ključeva elektroničkog potpisa i ključeva za provjeru elektroničkog potpisa na zahtjev podnositelja zahtjeva;

Provjera jedinstvenosti ključeva za provjeru elektroničkih potpisa u registru certifikata;

Provedba provjere elektroničkih potpisa na zahtjev sudionika u elektroničkoj interakciji;

Obavljanje ostalih poslova vezanih uz korištenje elektroničkog potpisa.

Osim toga, certifikacijsko tijelo ima sljedeće odgovornosti:

Informiranje podnositelja zahtjeva u pisanom obliku o uvjetima i postupku korištenja elektroničkih potpisa i sredstava elektroničkog potpisa, o rizicima povezanim s korištenjem elektroničkog potpisa, te o mjerama potrebnim za osiguranje sigurnosti elektroničkih potpisa i njihovu provjeru;

Osiguravanje relevantnosti podataka sadržanih u registru potvrda i njihova zaštita od neovlaštenog pristupa, uništavanja, izmjene, blokiranja i drugih nezakonitih radnji;

besplatno pružanje bilo kojoj osobi na njezin zahtjev u skladu s utvrđenim postupkom za pristup registru potvrda podataka sadržanih u registru potvrda, uključujući podatke o poništenju potvrde ključa za provjeru elektroničkog potpisa;

Osiguravanje povjerljivosti ključeva elektroničkog potpisa koje je izradio certifikacijski centar.

Dakle, glavne funkcije certifikacijskog centra su provjera elektroničkih potpisa čiji su ključevi za provjeru naznačeni u potvrdama o ključevima za provjeru elektroničkog potpisa koje izdaju osobe od povjerenja, te osigurati elektroničku interakciju između osoba od povjerenja, kao i osoba od povjerenja s certifikacijsko tijelo. Podaci upisani u registar certifikata podliježu pohranjivanju tijekom cijelog razdoblja djelovanja certifikacijskog centra, osim ako je kraći rok utvrđen podzakonskim aktima. U slučaju prestanka rada certifikacijskog centra bez prijenosa njegovih funkcija na druge osobe, dužan je pisanim putem obavijestiti vlasnike potvrda ključeva za provjeru elektroničkog potpisa koje izdaje ovaj certifikacijski centar, a čija valjanost nije istekla, najmanje mjesec dana. prije datuma prestanka ove djelatnosti.certifikacijski centar. U tom slučaju, nakon završetka aktivnosti certifikacijskog centra, podaci upisani u registar certifikata moraju se uništiti. U slučaju prestanka djelatnosti certifikacijskog centra s prijenosom njegovih funkcija na druge osobe, dužan je pisanim putem obavijestiti vlasnike certifikata ključeva za provjeru elektroničkog potpisa koje izdaje ovaj certifikacijski centar, a čija valjanost nije istekla, najmanje mjesec dana prije datuma prijenosa svojih funkcija. U tom slučaju, nakon završetka aktivnosti certifikacijskog centra, podaci upisani u registar certifikata moraju se prenijeti na osobu koja je prenijela funkcije centra za certifikaciju koji je prestao s radom.

Pritom je također važno ocijeniti stabilnost i kvalitetu pružatelja usluga, koje su u pravilu određene širinom područja korištenja njihovih certifikata. I, naravno, ne biste trebali odlučivati ​​ovisno o cijeni, jer je za punopravan rad potrebno kupiti kompletan set u obliku ključa, licence za pravo korištenja alata za elektronički potpis i potvrda ključa za provjeru elektroničkog potpisa. Cijene variraju. Na internetu možete pronaći web stranice certifikacijskih centara u odgovarajućoj regiji i detaljno saznati sve informacije.

2. Podnošenje zahtjeva i dokumenata za dobivanje elektroničkog potpisa

Nakon što ste se odlučili za certifikacijsko tijelo, morate poslati zahtjev za izdavanje certifikata elektroničkog potpisa. Takvu prijavu možete podnijeti na web stranici ispunjavanjem kratkog obrasca, nakon obrade kojeg će upravitelj ponovno nazvati kako bi razjasnio pojedinosti registracije, a kasnije će biti potrebno dostaviti popis dokumenata u Registracijski centar certifikacije. centar. Također je moguće ispuniti punu registracijsku karticu na stranici i stići na mjesto izdavanja certifikata do trenutka kada bude spremno. U ovoj fazi, obrazac zahtjeva ovisi o izboru određenog tijela za certifikaciju.

Nakon praćenja stranica certifikacijskih centara, popis dokumenata potrebnih za izradu certifikata kvalificiranog ključa potpisa u pravilu izgleda ovako:

Za pravna lica

Ovjerena kopija ili izvornik s jednostavnom kopijom izvatka iz Jedinstvenog državnog registra pravnih osoba

Ovjerena kopija, ili original s jednostavnom kopijom potvrde o registraciji kod porezne uprave

Za individualne poduzetnike

Zahtjev za izradu certifikata ključa potpisa

Ovjerena kopija ili izvornik s jednostavnom kopijom izvatka iz USRIP-a

Ovjerena kopija ili original s jednostavnom kopijom potvrde o registraciji kod porezne uprave

Kopija posjednika SNILS certifikata

Preslika putovnice budućeg nositelja certifikata

Kopija putovnice primatelja certifikata

Punomoć za dobivanje certifikata ključa potpisa (ako ovo nije vlasnik certifikata)

Punomoć kojom se potvrđuje ovlaštenje vlasnika certifikata ključa potpisa (ako vlasnik nema pravo nastupati u ime pravne osobe bez punomoći)

Za pojedince

Zahtjev za izradu certifikata ključa potpisa

Ovjerena kopija, ili original s jednostavnom kopijom potvrde o registraciji kod porezne uprave

Kopija putovnice

Kopija posjednika SNILS certifikata.

3. Dobivanje certifikata i kompleta

Osobna prisutnost vlasnika certifikata ili njegovog provjerenog predstavnika za dobivanje potvrde ključa za provjeru elektroničkog potpisa preduvjet je za većinu certifikacijskih centara. Unatoč tome što u praksi postoje slučajevi pružanja usluga na daljinu putem slanja skeniranih prijavnih dokumenata e-poštom i primanja certifikata elektroničkog potpisa također putem pošte, prevaranti najčešće postupaju na ovaj način. Registracija certifikata i izdavanje kompleta u certifikacijskom centru neće oduzeti puno vremena. Ovaj komplet obično uključuje:

Nosač ključa (disketa, flash pogon, token) koji sadrži datoteke s ključem za elektronički potpis;

Potvrda ključa za provjeru elektroničkog potpisa, koji je također snimljen kao datoteka na istom ključnom mediju;

Presliku potvrde ključa za provjeru elektroničkog potpisa na papiru s potpisom i pečatom centra za ovjeru;

Licenca za pravo korištenja računalnog programa, koji se u smislu zakona naziva alatom za elektronički potpis;

Program samog alata za elektronički potpis (instalacijske datoteke) i dokumentacija za njega na CD-u.

U slučaju krađe ili gubitka ključa elektroničkog potpisa, morate se obratiti certifikacijskom centru, prijaviti tu činjenicu i dobiti novi ključ i novu potvrdu ključa za provjeru elektroničkog potpisa, dok će se sve faze dobivanja morati ponoviti a certifikat će biti potpuno drugačiji.

Također je važno napomenuti da elektronički potpis ima datum isteka, pri čemu se razlikuje razdoblje valjanosti ključa potpisa - to je razdoblje tijekom kojeg se ključ može koristiti za izradu potpisa, a rok valjanosti ključa za provjeru potpisa je vremensko razdoblje tijekom kojeg se ključ može koristiti za izradu potpisa.provjera valjanosti elektroničkog potpisa. U pravilu se prvi mandat određuje na 1 godinu, a drugi na 1 do 15 godina. Ali čak i nakon primitka novog ključa za potpisivanje i novog certifikata nakon isteka starog, sve dok "stari" certifikat ne istekne, svi će se "stari" potpisi smatrati valjanim.

Zahtjevi za zaposlenike organizacije pri radu s elektroničkim potpisom

Unatoč jednostavnoj proceduri dobivanja elektroničkog potpisa, za njegovo učinkovito korištenje potrebno je obratiti pozornost na osiguravanje informacijske sigurnosti na radnom mjestu zaposlenika. Postupak osiguranja informacijske sigurnosti pri radu s elektroničkim potpisom, u pravilu, utvrđuje čelnik organizacije na temelju preporuka o organizacijskim i tehničkim mjerama zaštite, kao i važećeg ruskog zakonodavstva u području zaštite informacija.

Zaposlenici koji imaju pristup ključnim informacijama i rade pomoću elektroničkog potpisa moraju biti identificirani i odobreni na posebnom popisu. Moraju proći odgovarajuću obuku i upoznati se s dokumentacijom za pojedini informacijski sustav, kao i s regulatornim dokumentima o korištenju elektroničkog potpisa. Organizacije najčešće imaju zaposlenika odgovornog za sigurnost rada alata za zaštitu kriptografskih informacija, koji je uključen u cijeli proces podrške tim procesima, uključujući izradu specijaliziranih opisa poslova. U slučaju otpuštanja ili premještaja u drugi odjel uz promjenu radnih obveza zaposlenika, preporuča se promjena ključeva kojima je taj zaposlenik imao pristup.

Treba napomenuti da su gore navedeni najopćenitiji zahtjevi koji još jednom naglašavaju ozbiljnost korištenja elektroničkog potpisa u organizaciji. Međutim, u praksi je svaka organizacija individualna u reguliranju ovog pitanja.

Registracija radnih odnosa

Posljednjih godina od posebne je važnosti korištenje elektroničkog potpisa za registraciju radnih odnosa sa zaposlenicima koji su na daljinu. Tako su u travnju 2013. godine stupile na snagu izmjene Zakona o radu Ruske Federacije koje reguliraju reguliranje rada radnika na daljinu i predviđaju sklapanje ugovora o radu na daljinu putem razmjene elektroničkih dokumenata. Međutim, u okviru ovih radnih odnosa koristit će se samo kvalificirani elektronički potpis za obje strane: poslodavca i radnika. Za potvrdu upoznavanja s nalogom o radu, internim pravilnikom o radu, drugim dokumentima u elektroničkom obliku, zaposlenik također mora koristiti samo poboljšani kvalificirani elektronički potpis.

Istovremeno, dokumenti koji se odnose na radnu djelatnost radnika na daljinu sastavljaju se i u papirnatom obliku putem kopija dokumenata u elektroničkom obliku, koji su ovjereni kvalificiranim elektroničkim potpisom poslodavca i poslani udaljenom radniku za pregled. Upravo taj primjerak zaposlenik potpisuje svojim elektroničkim potpisom.

Odgovornost za kršenje zakona o elektroničkom potpisu

Odgovornost za kršenje odredbi zakonodavstva o korištenju elektroničkog potpisa predviđena je za različite sudionike u elektroničkoj interakciji. Važno je napomenuti da Savezni zakon "O elektroničkom digitalnom potpisu" iz 2002. predviđa kaznenu, građansku i upravnu odgovornost u skladu s regulatornim pravnim aktima Ruske Federacije za nezakonitu upotrebu digitalnog potpisa druge osobe, uključujući nezakonito primanje privatnog ključa i (ili) bez odgovarajućeg ovlaštenja, za nezakonitu izradu i korištenje privatnih ključeva, kao i u slučaju nanošenja gubitaka korisniku javnog ključa zbog neovlaštenog pristupa privatnom ključu krivnjom vlasnika certifikata ključa potpisa.

Međutim, u važećem zakonu iz 2011. nema takvih upućivanja na odgovornost sudionika u elektroničkoj interakciji. Pritom je zakonodavac obratio pozornost na uređenje odgovornosti certifikacijskog centra za štetu prouzročenu trećim osobama zbog neispunjenja ili neispravnog ispunjavanja obveza koje proizlaze iz ugovora o pružanju usluga od strane certifikacijskog centra. , kao i neispunjavanje ili neuredno ispunjavanje obveza predviđenih ovim zakonom.

Dakle, nakon proučavanja zakonske regulative i organizacijskih aspekata korištenja elektroničkog potpisa, možemo zaključiti da je ova tehnologija aktualna u današnje vrijeme. Široka uporaba informacijske tehnologije i prelazak na elektroničko upravljanje dokumentima urodit će plodom u bliskoj budućnosti, ali to će potrajati. Potrebno je dodatno razraditi zakonsko uređenje mehanizama funkcioniranja elektroničkog potpisa, uključujući prijelazno razdoblje s odredbi nevažećih zakona na novi pravni poredak. Posebno je vrijedno istaknuti složenost i složenost korištenja različitih vrsta elektroničkih potpisa, što negativno utječe na percepciju organizacija u procesu uvođenja novih tehnologija. Uz to, problematična točka je nedostatak dovoljne zakonske regulative odgovornosti svih sudionika u elektroničkoj interakciji. Pretpostavlja se da je logično utvrditi dodatnu odgovornost zaposlenika lokalnim aktima određene organizacije. Međutim, trenutno u Rusiji cirkulacija elektroničkih dokumenata pomoću elektroničkog potpisa brzo dobiva na zamahu.

EDS standardi u našoj zemlji utvrđeni su zakonom. Zahtjevi za elektroničke potpise sadržani su u Federalnom zakonu br. 63-FZ i u Naredbi Federalne službe sigurnosti Ruske Federacije br. 796. Oni definiraju strukturu i sadržaj zahtjeva za sredstva elektroničkog potpisa.

EDS sigurnosni zahtjevi

Sigurnosni standardi pokazuju da se elektronički potpis mora izraditi pomoću algoritama otpornih na neovlašteno korištenje. Prije svega, ovaj se zahtjev odnosi na odabir ključa ili mogućnost utjecaja na njega pomoću softvera ili hardvera. Osim toga, EDS ne bi trebao biti osjetljiv na napade koji utječu na radno okruženje - na primjer, oštećuju BIOS.

Iako standardi ne sadrže podatke o korištenju stranih ključeva, njihovo korištenje jedan je od rijetkih načina za pružanje potrebne razine zaštite. Istodobno, treba imati na umu da se sve komponente EDS-a ne mogu nalaziti na fizičkom, obično predstavljenom USB ključem. Zakonski zahtjev u ovom slučaju je nedvosmislen - enkripciju mora provesti program instaliran na računalu koji koristi vanjski medij kao provjeru autentičnosti. Standardi također ne dopuštaju šifriranje korištenjem usluga u oblaku koje nemaju razinu sigurnosti provjerenu od strane vladinih agencija.

Postupak korištenja elektroničkog potpisa

Što se tiče postupka ovjere dokumenta i čitanja EDS-a, postavljaju se slični zahtjevi:

  1. Korisnik mora vidjeti sadržaj potpisanog dokumenta.
  2. Korisnik mora potvrditi potpisivanje dokumenta.
  3. ES alati moraju nedvosmisleno pokazati da je potpis stvoren.

Bez obzira na vrstu, podaci o vlasniku certifikata potpisa moraju biti “tvrdo uvezani” u ES certifikat. To uvelike olakšava analizu spornih situacija u interakciji s državnim agencijama ili suradnicima koji dnevno obrađuju veliki protok dokumenata.

  • Zahtjevi za alate za elektronički potpis
  • Zahtjevi za alate certifikacijskog tijela
Izrada ovih dokumenata predviđena je dijelom 5. članka 8. Federalnog zakona od 6. travnja 2011. br. 63-FZ "O elektroničkom potpisu".

Zahtjevi su namijenjeni kupcima i programerima alata za elektronički potpis i certifikacijskim centrima u njihovoj međusobnoj interakciji i s organizacijama koje provode kriptografske i posebne studije takvih alata, kao i u njihovoj interakciji s FSB-om, potvrđujući usklađenost takvih alata s utvrđenim zahtjevima.

Prije svega me zanimalo kako ti zahtjevi odražavaju pitanja vezana uz upravljanje dokumentima. Mnogi relevantni predmeti pronađeni su u "Zahtjevi za sredstva elektroničkog potpisa".

Prilikom izrade elektroničkog potpisa (ES), ES alati moraju (članak 8):

  • pokazati osobi koja potpisuje elektronički dokument sadržaj podataka koje potpisuje,
  • izraditi ES tek nakon što osoba koja potpisuje elektronički dokument potvrdi operaciju izrade ES-a,
  • jasno pokazuju da je ES stvoren.
Prilikom provjere ES-a, ES alati moraju (klauzula 9):
  • prikazati sadržaj elektroničkog dokumenta koji je potpisao ES,
  • prikazati informacije o uvođenju izmjena u potpisani elektronički dokument ES,
  • naznačiti osobu koja koristi ES ključ čiji su elektronički dokumenti potpisani.
Ovi se zahtjevi ne odnose na ES alate koji se koriste za automatsko kreiranje i (ili) automatsku provjeru ES-a u informacijskom sustavu (članak 10.).

Ovisno o sposobnosti otpora prijetnjama, ES alati se dijele na klase (klauzula 12). Ovisno o klasi, zahtjevi za snimanje događaja povezanih s korištenjem ES alata razlikuju se:

33. Za ES alate klasa KS1 i KS2, potreba za predočenjem zahtjeva za registraciju događaja i njihov sadržaj naznačeni su u TZ-u za razvoj (modernizaciju) ES alata.

34. Sastav ES alata klasa KS3, KB1, KB2 i KA1 trebao bi uključivati ​​modul koji u elektroničkom dnevniku bilježi događaje u ES i SF alatima koji se odnose na izvođenje ES alata njegovih ciljnih funkcija.

Zahtjeve za navedeni modul i popis registriranih događaja utvrđuje i opravdava organizacija koja provodi istraživanje ES alata kako bi se ocijenila usklađenost ES alata s ovim Zahtjevima.

Također su utvrđeni zahtjevi za osiguranje sigurnosti dnevnika događaja:
35. Dnevnik događaja trebao bi biti dostupan samo osobama koje odredi operater informacijskog sustava u kojem se koristi ES alat ili osobama koje on ovlasti. Istodobno, pristup zapisniku događaja trebao bi se izvršiti samo za pregled zapisa i premještanje sadržaja dnevnika događaja na arhivski medij.
Stavak 36. činio mi se krajnje kontroverznim u dokumentu, datum isteka javnog ključa EP. Odmah se postavlja pitanje, što je s onim organizacijama koje će dokumente s trajnim ili dugotrajnim pohranjivanjem potpisivati ​​elektroničkim potpisom? Što bi trebali učiniti s tim dokumentima za 15 godina - baciti ih u elektroničko smeće (isto zaboravljajući na prava i obveze povezane s njima)?

S moje točke gledišta, ili su autori dokumenta u suprotnosti s ruskim jezikom i nisu mogli kompetentno izraziti svoju misao, kakva god ona bila, ili su u nevolji sa zakonom, koji ne predviđa takvu glupost kao što je gubitak pravne snage potpisom.

36. Razdoblje valjanosti ES verifikacionog ključa ne smije prijeći razdoblje valjanosti ES ključa za više od 15 godina.

37. Zahtjeve za mehanizam za praćenje razdoblja korištenja ES ključa, blokiranje rada ES alata u slučaju pokušaja korištenja ključa duljeg od navedenog razdoblja, utvrđuje programer ES alata. i opravdano od strane organizacije koja provodi istraživanje ES alata kako bi se ocijenila usklađenost ES alata s ovim Zahtjevima.

Postavlja se pitanje i o kvalifikacijama stručnjaka Ministarstva pravosuđa koje je uspješno registriralo ovaj dokument.

(EDS) je atribut elektroničkog dokumenta dizajniran za zaštitu ovog elektroničkog dokumenta od krivotvorenja, dobivenog kao rezultat kriptografske transformacije informacija korištenjem privatnog ključa elektroničkog digitalnog potpisa i koji omogućuje identifikaciju vlasnika EDS certifikata ključa, kao kao i utvrditi nepostojanje izobličenja informacija u elektroničkom dokumentu.

Regulatorni dokumenti vezani uz EDS

Korištenje EDS-a prilikom sklapanja transakcija regulirano je Saveznim zakonom od 10. siječnja 2002. N1-FZ "O ELEKTRONIČKOM DIGITALNOM POTPISU". Zakon proglašava opće odredbe "pravila" na elektroničkim tržištima u pogledu prepoznavanja EDS-a u elektroničkom dokumentu kao ekvivalentno vlastitom potpisu u dokumentu na papiru.


  • Priloženi elektronički digitalni potpis

    • Usluga vremenske oznake

      Razdoblje valjanosti bilo kojeg EDS certifikata ograničeno je na određeno vremensko razdoblje. Nakon isteka roka valjanosti, svi dokumenti izrađeni korištenjem ovog EDS-a gube pravnu snagu, jer. nemoguće je utvrditi je li potvrda bila ažurirana u trenutku potpisivanja ovog dokumenta ili ne? To automatski znači nevaljanost dokumenta u skladu sa Federalnim zakonom "O elektroničkom digitalnom potpisu".

      Usluga vremenskog žiga omogućuje vam da dokažete činjenicu postojanja dokumenta u određenom trenutku.

      Usluga vremenskog žigosanja može biti certifikacijsko tijelo koje ima točan i pouzdan izvor vremena i pruža usluge vremenskog žiga.

      Vremenski žig je analogan datumu na potpisanom dokumentu. Također potvrđuje da je potvrda bila valjana u vrijeme potpisivanja dokumenta. To znači da je još uvijek moguće koristiti opozvani certifikat za provjeru digitalnih potpisa stvorenih prije opoziva. Ovaj problem je relevantan za sve sustave elektroničkog upravljanja dokumentima. Vremenska oznaka se također može koristiti za potvrdu primitka ili slanja dokumenta kada je to potrebno.

      Što vam još omogućuje korištenje digitalnog potpisa?

      Elektronički digitalni potpis jedan je od najvažnijih elemenata za organiziranje cjelovitog elektroničkog upravljanja dokumentima, jer služi kao analog vlastitog potpisa osobe. Osim toga, korištenje digitalnog potpisa omogućuje vam:

      * Kontrola integriteta prenesenog dokumenta: u slučaju bilo kakve slučajne ili namjerne promjene dokumenta, potpis će postati nevažeći, jer se izračunava na temelju početnog stanja dokumenta i odgovara samo njemu.
      * Zaštita od promjena (krivotvorenja) dokumenta: jamstvo otkrivanja krivotvorina tijekom kontrole integriteta čini krivotvorenje nepraktičnim u većini slučajeva.
      * Nemogućnost odbijanja autorstva. Budući da je ispravan potpis moguće napraviti samo ako je privatni ključ poznat, a on bi trebao biti poznat samo vlasniku, vlasnik ne može odbiti njegov potpis na dokumentu.
      * Dokaz o autorstvu dokumenta: Budući da je ispravan potpis moguće napraviti samo poznavanjem privatnog ključa, a on bi trebao biti poznat samo vlasniku, vlasnik para ključeva može dokazati svoje autorstvo potpisa ispod dokumenta. Ovisno o pojedinostima definicije dokumenta, mogu se potpisati polja kao što su "autor", "izmjene", "vremenska oznaka" itd.

      Što je potrebno učiniti za rad s EDS-om?

      Za rad s EDS-om potrebno je:

      • osigurati dostupnost osobnog računala u skladu sa zahtjevima;
      • osigurati dostupnost specijaliziranog softvera za rad s EDS-om;
      • odrediti osobu kojoj se izdaje EDS potvrda;
      • odabrati način dobivanja EDS-a;
      • sklopiti CA ugovor i platiti usluge izdavanja certifikata ključa potpisa.

      Ostavite svoj komentar!

alati koji na temelju kriptografskih transformacija omogućuju provedbu barem jedne od funkcija:

    stvaranje ES pomoću privatnog ključa EI

    potvrdu korištenjem javnog ključa ES-a

    stvaranje privatnih i javnih ES ključeva.

4. Alati za kodiranje (ručne šifre)

Sredstva koja implementiraju algoritme za kriptografsku transformaciju informacija uz provedbu dijela transformacije ručnim operacijama ili korištenjem automatiziranih alata temeljenih na takvim operacijama.

5. Sredstva za izradu ključnih dokumenata.

Bez obzira na vrstu nositelja ključnih informacija

6. Ključni dokumenti (bez obzira na vrstu medija)

Kompromitacija kriptografskih ključeva – krađa, gubitak, otkrivanje, neovlašteno kopiranje i drugi incidenti zbog kojih kriptografski ključevi mogu postati dostupni neovlaštenim osobama i/ili procesima.

Osobni podaci (PD) – sve informacije koje se odnose na pojedinca identificiranu ili utvrđenu na temelju takvih informacija (subjekt PD), uključujući njegovo prezime, ime, patronim, datum rođenja, adresu, obiteljsko, društveno, imovinsko stanje, obrazovanje, zanimanje i druge podatke.

PD operater - državno ili općinsko tijelo, pravna ili fizička osoba koja organizira i/ili provodi obradu PD-a, kao i utvrđuje svrhu i sadržaj obrade PD-a.

EP - informacije u elektroničkom obliku koje su priložene drugim informacijama u elektroničkom obliku (potpisane informacije) ili na drugi način povezane s takvim informacijama i koje se koriste za identifikaciju osobe koja je potpisala informaciju.

ES certifikat ključa za provjeru - elektronički dokument ili dokument na papiru koji je izdalo certifikacijsko tijelo ili ovlašteni predstavnik CA, a koji potvrđuje da ES verifikacijski ključ pripada vlasniku certifikata ES verifikacijskog ključa.

UC - pravna osoba ili samostalni poduzetnik koji obavlja poslove izrade i izdavanja javnih ključeva za provjeru ES-a, kao i druge funkcije vezane uz ES i predviđene zakonom.

Akreditacija CA - priznavanje od strane saveznog izvršnog tijela ovlaštenog u području korištenja ES-a usklađenosti CA sa zahtjevima zakonodavstva.

CA sredstva - softver i/ili hardver koji se koristi za implementaciju funkcija CA.

EP sredstva - enkripcijska ili kriptografska sredstva koja se koriste za implementaciju najmanje jedne od funkcija:

    stvaranje ES-a

    ES provjera

    stvaranje ES ključa

    stvaranje ES ključa za provjeru

EP ključ - jedinstveni niz znakova dizajniran za stvaranje ES. ES ključ za provjeru - ... jedinstveno povezana s ES ključem i namijenjena za ES autentifikaciju.

Kvalificirani certifikati ES verifikacijskih ključeva - ES certifikat ključa za provjeru izdaje akreditirani CA ili povjerenik akreditiranog CA ili savezno izvršno tijelo ovlašteno u području uporabe ES-a (ovlašteno savezno tijelo)

GOST R 51275

ZI. Objekti informatizacije. Čimbenici koji utječu na informacije. Osnovne odredbe.

Područje primjene - Standard utvrđuje klasifikaciju i popis čimbenika koji utječu na učinkovitost zaštite informacija u interesu opravdanih prijetnji informacijskoj sigurnosti zahtjevima informacijske sigurnosti na objektu informatizacije. Standard se odnosi na objekte informatizacije, stvaranje i djelovanje u različitim područjima djelatnosti (obrana, ekonomija, znanost i dr.)

Identifikacija i uvažavanje čimbenika koji utječu ili mogu utjecati na zaštićene informacije u određenim uvjetima čine osnovu za planiranje i provedbu učinkovitih mjera usmjerenih na IS na objektu informatizacije.

Potpunost i pouzdanost identificiranih čimbenika postiže se razmatranjem cjelokupnog skupa čimbenika koji utječu na sve elemente RI-a (hardver i softver za obradu informacija, sredstva pružanja RI-a i sl.) iu svim fazama obrade informacija.

Identificiranje čimbenika koji utječu na zaštićene informacije treba se provesti uzimajući u obzir zahtjeve:

dostatnost razina klasifikacije čimbenika, što omogućuje formiranje njihovog kompletnog skupa;

fleksibilnost klasifikacije. Omogućuje razmatranje raznih klasificiranih čimbenika, kao i izmjene bez kršenja strukture klasifikacija.

Čimbenici koji utječu na informacije:

cilj

domaći

    signaliziranje

    ekstrakcija signala, funkcije svojstvene tehničkim sredstvima OI

    bočni EMP

  • prisutnost akustoelektričnih pretvarača u elementima TS OI

    kvarovi, kvarovi, kvarovi, nesreće vozila i OE sustava

    nedostaci, kvarovi, kvarovi

Objektivni vanjski

    fenomeni koje je stvorio čovjek

    prirodne pojave, prirodne katastrofe

Subjektivna unutarnja

    otkrivanje zaštićenih informacija od strane osoba koje imaju pravo pristupa njima

    nezakonite radnje od strane osoba koje imaju pravo na pristup zaštićenim informacijama

    UA zaštićenim informacijama

    nedostaci u organizaciji pružanja podataka

    pogreške u službi osoblja

    Subjektivna eksterna

    pristup zaštićenim informacijama pomoću TS-a

    UA zaštićenim informacijama

    blokiranje pristupa zaštićenim informacijama preopterećenjem tehničkih sredstava obrade informacija lažnim zahtjevima za njihovu obradu

    radnje kriminalnih skupina i pojedinih kriminalnih subjekata

    izobličenje, uništavanje ili blokiranje informacija korištenjem TS-a