porezi 

Gdje se pohranjuje ecp? O elektroničkom potpisu za "početnike" Upute o pravilima postupanja s digitalnim potpisima

Digitalni potpis novi je korak u identifikaciji i potvrđivanju dokumenata. Što je ona? Na kojem principu radi? EDS - je li teško ili nije? Hoće li moći samo to svladati ili će se moći nositi s tim prema svojim snagama i umirovljenicima?

opće informacije

Prvo, pozabavimo se terminologijom. Što je ECP? Riječ je o posebnom dosjeu koji se koristi za potvrđivanje prihvatljivosti dokumenata od strane određenih osoba. Treba napomenuti da postoje dvije vrste digitalnih potpisa – nekvalificirani. U prvom slučaju, EDS možete dobiti kod kuće. Da biste to učinili, dovoljno je koristiti posebne kriptografske programe. Možete koristiti domaće rekvizite za provjeru autentičnosti dokumenata i poruka među prijateljima ili unutar male tvrtke.

Dok su kvalificirani digitalni potpisi datoteke koje stvaraju različite organizacije koje imaju potrebnu licencu za to. Njihovo najvažnije obilježje je postojanje pravne snage. Dakle, za njih postoji zakonodavna osnova koja dopušta korištenje ovih elektroničkih digitalnih potpisa u državnim i komercijalnim strukturama. Osim toga, zahvaljujući njima, možete daljinski koristiti javne usluge. EDS je ključ za izostanak redova, brzo i učinkovito primanje odgovora i stanje s ljudskim licem.

Recimo koju riječ o certifikatima

Što su oni? EDS certifikat je dokument koji vlasniku izdaje certifikacijski centar, a kojim se potvrđuje autentičnost osobe. Kada se generira ključ za potpis, spremaju se podaci o osobi ili pravnoj osobi. U biti, EDS potvrda je nešto poput elektroničke putovnice.

Razmjena elektroničkih dokumenata uz njihovu pomoć može se izvršiti samo ako je potpis valjan. Na koji rok se izdaje? U pravilu se stvara godinu ili dvije. Nakon isteka roka, certifikat se može obnoviti. Treba napomenuti da u slučaju bilo kakve promjene podataka o vlasniku ključa, kao što je promjena imena, voditelja organizacije i sl., datoteku treba opozvati i izdati novu.

Registracija i obnova

Za dobivanje EDS-a morate ispuniti poseban obrazac u kojem se navodi poštanska adresa i puno drugih podataka. Valja napomenuti da certifikat može sadržavati gotovo sve podatke. Ali zbog ograničenja od godinu ili dvije, moraju se stalno ažurirati. Zašto?

Činjenica je da informacije sadržane u certifikatu imaju određeno korisno razdoblje važnosti. Dakle, što se više podataka unese u datoteku, ona prije postaje nevažeća. Stoga je uvedeno takvo ograničenje roka valjanosti.

Istodobno, morate znati da svi podaci koji se nalaze u certifikatu za potpisivanje postaju javno dostupni. Stoga se preporuča uključiti što manje podataka. Za dobivanje EDS-a također je potrebna prisutnost medija na kojem će biti pohranjen potpis. U pravilu se u ovoj ulozi koriste flash diskovi. Ako trebate obnoviti svoj digitalni potpis, obratite se nadležnoj instituciji.

Tko može izdati EDS?

Elektronički dokumenti mogu se potpisati vašim domaćim proizvodima. No, kako bi imali pravnu snagu, trebali biste se obratiti institucijama s odgovarajućom akreditacijom. Najpopularnije je korištenje poreznih usluga. Dakle, u Ruskoj Federaciji najčešće se obraćaju Federalnoj poreznoj službi za registraciju EDS-a. To je zbog opće prihvaćenosti, širokog spektra korištenja i činjenice da potpise daju besplatno.

Kada se pozivate na druge strukture, čak i državne, morat ćete platiti nekoliko stotina ili čak tisuća rubalja. A s obzirom na činjenicu da će se dobivanje EDS-a ponavljati svake godine ili dvije, ne čudi što se mnogi odlučuju u korist Federalne porezne službe. Usput, ako postoji želja da opozovete svoj digitalni potpis, tada se za to trebate obratiti organizaciji koja ga je izdala, s odgovarajućom aplikacijom. Kada bi ovo moglo biti potrebno? Evo kratkog popisa najpopularnijih razloga:

  1. Podaci o organizaciji su se promijenili.
  2. Ovlaštena osoba (vlasnik potpisa) promijenila je svoj status: dala ostavku, otišla na unapređenje, premještena na drugu poziciju.
  3. Medij na kojem je ključ pohranjen je pokvaren i više se ne može koristiti.
  4. Potpis je ugrožen.

Koji su ključevi?

Dakle, već znamo da je EDS dobar. Ali kako se provjerava autentičnost datoteke? U tu svrhu formiraju se dva ključa (određeni niz znakova). Dakle, postoji:

  1. Zatvoreni (privatni, tajni) ključ. Ovo je jedinstveni niz znakova koji sudjeluje u formiranju potpisa. Dostupan je samo svom vlasniku i poznat je isključivo njemu.
  2. javni ključ. Kriptografski alat koji je dostupan svima. Koristi se za provjeru digitalnog potpisa.

Kako primijeniti digitalni potpis na dokument?

A sada o glavnoj stvari. Kako potpisati traženi dokument EDS-om? Za to je potreban poseban program koji će bljesnuti potrebnu datoteku, uvodeći digitalni potpis u nju. Ako se dokument barem nekako promijeni, EDS će se izbrisati.

Kao primjer, pogledajmo CryptoPro liniju kriptografskih programa. Može se koristiti i za izradu i za potpisivanje EDS dokumenta. Zahvaljujući tome, odvija se razvoj, proizvodnja, distribucija i održavanje kriptografski zaštićenih datoteka.

Gdje pohraniti EDS?

U tu svrhu (kako se pouzdanost povećava) može se koristiti tvrdi disk računala, DVD, obični flash pogon ili token. Ali u takvim slučajevima može doći do situacije kada netko izvana može pristupiti digitalnom potpisu i koristiti ga za štetu.

Najčešća je uporaba flash pogona. Zbog male veličine, lako ga možete nositi sa sobom, a korištenje ne oduzima puno vremena. Sigurnija, ali manje popularna metoda pohrane je token. Ovo je naziv minijaturnog uređaja koji ima kompleks hardvera i softvera, koji osigurava da informacije ne padnu u pogrešne ruke.

Također, token se može koristiti za dobivanje sigurnog udaljenog pristupa podacima i zaštitu elektroničke korespondencije od znatiželjnih očiju. Izvana, nalikuje običnom flash pogonu. Njegova značajka je prisutnost zaštićene memorije, tako da treća strana neće moći čitati informacije iz tokena. Ovaj uređaj može riješiti čitav niz sigurnosnih problema u područjima autentifikacije i kriptografije.

Konačno

Sada ljudi često koriste papirnati obrazac kada rade s dokumentima, što zahtijeva naš potpis olovkom. No kako se korištenje elektroničkih datoteka širi, potreba za EDS-om će se povećati. S vremenom će biti teško zamisliti aktivnost i aktivnost osobe bez ovog alata.

Vjerojatno će se digitalni potpis s vremenom pretvoriti u punopravnu elektroničku putovnicu, čija se važnost teško može precijeniti. Ali u ovom slučaju, pitanja o sigurnosti podataka bit će akutna. Ne treba zaboraviti da je najranjiviji čimbenik u svakom tehničkom sustavu sada osoba. Kako EDS ne bi dospio u ruke uljeza koji ga koriste za štetu, potrebno je stalno povećavati njihovu svijest i vještine u korištenju tehnoloških proizvoda.

Sve više ruskih poduzeća implementira sustave za elektroničko upravljanje dokumentima, već iz vlastitog iskustva procjenjuju prednosti ove tehnologije za rad s dokumentima. Elektronička razmjena podataka odvija se putem informacijskih sustava, računalnih mreža, interneta, e-pošte i mnogim drugim sredstvima.

A elektronički potpis atribut je elektroničkog dokumenta dizajniranog za zaštitu informacija od krivotvorenja.

Korištenje elektroničkog potpisa omogućuje vam:

  • sudjelovati u elektroničkom trgovanju, aukcijama i natječajima;
  • graditi odnose sa stanovništvom, organizacijama i strukturama vlasti na modernim osnovama, učinkovitije, uz najnižu cijenu;
  • proširite geografiju svog poslovanja daljinskim izvođenjem raznih operacija, uključujući one gospodarske, s partnerima iz bilo koje regije Rusije;
  • značajno smanjiti vrijeme utrošeno na obradu transakcije i razmjenu dokumentacije;
  • izgraditi korporativni sustav za razmjenu elektroničkih dokumenata (koji je jedan od njegovih elemenata).

Uz korištenje elektroničkog potpisa, rad po shemi „izrada projekta u elektroničkom obliku - izrada papirne kopije za potpis - slanje papirne kopije s potpisom - razmatranje papirne kopije" stvar je prošlosti . Sada se sve može obaviti elektronski!

Vrste elektroničkog potpisa

Utvrđene su i regulirane sljedeće vrste: jednostavni elektronički potpis i poboljšani elektronički potpis. Istovremeno, poboljšani elektronički potpis može biti kvalificiran i nekvalificiran.

Stol

Koja je razlika između 3 vrste elektroničkog potpisa

Sažmi emisiju

Vrlo je teško krivotvoriti bilo kakav elektronički potpis. A s poboljšanim kvalificiranim potpisom (najsigurnijim od tri), s trenutnom razinom računalne snage i potrebnim vremenskim resursima, to je jednostavno nemoguće učiniti.

Jednostavni i nekvalificirani potpisi na elektroničkom dokumentu zamjenjuju papirnati dokument potpisan svojeručnim potpisom, u slučajevima određenim zakonom ili sporazumom stranaka. Pojačani kvalificirani potpis može se smatrati analogom dokumenta s pečatom (tj. "prikladan" za svaku priliku).

Elektronički dokument s kvalificiranim potpisom zamjenjuje papirnati dokument u svim slučajevima, osim kada zakon nalaže da dokument bude isključivo na papiru. Primjerice, uz pomoć takvih potpisa građani se mogu obratiti državnim tijelima za primanje državnih i općinskih usluga, a državni organi mogu slati poruke građanima i međusobno komunicirati putem informacijskih sustava.

Potpisujemo privatnim ključem, otvorenim ključem provjeravamo elektronički potpis

Da biste mogli potpisati dokumente elektroničkim potpisom, morate imati:

  • ES tipka(takozvani zatvoreno ključ) - koristi se za izradu elektroničkog potpisa za dokument;
  • ES certifikat ključa za provjeru (otvoren ES ključ) - uz njegovu pomoć provjerava se autentičnost elektroničkog potpisa, t.j. potvrđuje se vlasništvo određene osobe nad elektroničkim potpisom.

Organizacije koje obavljaju funkcije kreiranja i izdavanja certifikata ES verifikacijskih ključeva, kao i niz drugih funkcija, nazivaju se certifikacijski centri.

U procesu izrade certifikata ES verifikacijskog ključa generiraju se ES ključ i ES verifikacijski ključ za svakog korisnika. Oba ova ključa pohranjena su u datotekama. Kako nitko osim vlasnika potpisa ne bi mogao koristiti ES ključ, obično se zapisuje siguran nosač ključeva(u pravilu zajedno s ključem za provjeru elektroničkog potpisa). Opremljen je, poput bankovne kartice PIN kod. I baš kao i kod kartičnih transakcija, prije korištenja ključa za izradu elektroničkog potpisa, morate unijeti ispravnu vrijednost PIN koda (vidi sliku).

Medij za sigurne ključeve proizvode različiti proizvođači i obično izgledaju poput flash kartice. Upravo osiguravanje povjerljivosti njegovog ES ključa od strane korisnika jamči da napadači neće moći potpisati dokument u ime vlasnika certifikata.

Kako biste osigurali povjerljivost ES ključa, morate slijediti preporuke o pohranjivanju i korištenju ES ključa, sadržane u dokumentaciji, koja se obično izdaje korisnicima u certifikacijskom centru - i bit ćete zaštićeni od nezakonitih radnji izvršenih elektroničkim ključ za potpis u vaše ime. Najbolje je da je vaš privatni ključ dostupan isključivo vama. Ovu ideju je vrlo važno prenijeti svakom vlasniku ključa. To se najbolje postiže izdavanjem materijala s uputama o ovom računu i upoznavanjem zaposlenika s njima pod potpisom.

Slika

Program traži lozinku (PIN-kod) kako bi dokument potpisao elektroničkim potpisom pomoću ES ključa koji se nalazi na “flash disku” spojenom na računalo

Sažmi emisiju

Primjer 1

Fragment Smjernica za osiguranje sigurnosti korištenja kvalificiranog elektroničkog potpisa Electronic Moscow OJSC

Sažmi emisiju

Prilikom izrade elektroničkog potpisa sredstva elektroničkog potpisa moraju:

  1. pokazati osobi koja potpisuje elektronički dokument sadržaj podataka koje potpisuje;
  2. izraditi elektronički potpis tek nakon što osoba koja potpisuje elektronički dokument potvrdi operaciju izrade elektroničkog potpisa;
  3. jasno pokazuju da je elektronički potpis stvoren.

Prilikom provjere elektroničkog potpisa, sredstva elektroničkog potpisa moraju:

  1. prikazati sadržaj elektroničkog dokumenta potpisanog elektroničkim potpisom;
  2. prikazati podatke o uvođenju izmjena u elektronički dokument potpisan elektroničkim potpisom;
  3. navesti osobu čijim su ključem elektroničkog potpisa potpisani elektronički dokumenti.

Certifikat ES verifikacijskog ključa sadrži sve potrebne podatke za provjeru elektroničkog potpisa. Podaci certifikata su otvoreni i javni. Obično se certifikati pohranjuju u pohranu operativnog sustava u certifikacijskom centru koji ih je proizveo na neodređeno vrijeme (baš kao što javni bilježnik pohranjuje sve potrebne podatke o osobi koja je za njega izvršila javnobilježnički čin). U skladu s odredbama Zakona br. 63-FZ centar za provjeru koji je izradio potvrdu ključa za provjeru elektroničkog potpisa, dužan je svakoj osobi na njezin zahtjev besplatno pružiti informacije sadržane u registru svjedodžbi, uklj. informacije o poništenju potvrde ključa za provjeru elektroničkog potpisa.

Sažmi emisiju

Oleg Komarsky, IT stručnjak

Certifikacijski centar koji je izdao elektronički potpis pohranjuje certifikat verifikacijskog ključa ovog ES-a na neodređeno vrijeme, točnije, tijekom cijelog vremena postojanja. Dok god certifikacijsko tijelo radi, nema problema, ali od centar je trgovačka organizacija, može prestati postojati. Dakle, u slučaju prestanka djelovanja CA postoji mogućnost gubitka podataka o certifikatima, tada elektronički dokumenti potpisani elektroničkim potpisima koje je izdala zatvorena CA mogu izgubiti svoj pravni značaj.

S tim u vezi planira se izrada svojevrsnog državnog repozitorija potvrda (važećih i opozvanih). Bit će to nešto poput državnog javnobilježničkog centra, gdje će se pohranjivati ​​podaci o svim potvrdama. Ali za sada se takve informacije pohranjuju u CA na neodređeno vrijeme.

Što poslodavci trebaju uzeti u obzir kada svoje zaposlenike opremaju elektroničkim potpisom?

U certifikatu ključa ES nužno postoje podaci o punom imenu njegov vlasnik, postoji i mogućnost uključujući dodatne informacije kao što su Naziv tvrtke i položaj. Osim toga, potvrda može sadržavati identifikatori objekata (OID-ovi), definirajući odnose u čijoj provedbi će elektronički dokument potpisan od strane ES-a imati pravni značaj. Na primjer, OID može navesti da zaposlenik ima pravo objavljivati ​​informacije na trgovačkom katu, ali ne može potpisivati ​​ugovore. Oni. uz pomoć OID-a moguće je razgraničiti razinu odgovornosti i ovlasti.

Postoje suptilnosti u prijenosu ovlasti nakon otpuštanja ili premještaja zaposlenika na drugo radno mjesto. Treba ih uzeti u obzir.

Primjer 2

Sažmi emisiju

Kada se smijeni komercijalni direktor Ivanov, koji je dokumente potpisivao elektroničkim potpisom, za rad s ES-om mora se naručiti novi nosač ključa za novu osobu koja je zamijenila Ivanova u ovoj fotelji. Uostalom, Petrov ne može potpisivati ​​dokumente Ivanovljevim potpisom (iako elektroničkim).

Obično se nakon otpuštanja organizira ponovno izdavanje ES ključeva; u pravilu za to sami zaposlenici posjećuju certifikacijski centar. Organizacija koja plaća izdavanje ključeva je ujedno i vlasnik ključa, pa ima pravo obustaviti valjanost certifikata. Dakle, rizici su minimizirani: isključena je situacija kada bi otpušteni radnik mogao potpisati dokumente u ime bivšeg poslodavca.

Sažmi emisiju

Natalia Khramtsovskaya, dr. sc., vodeći stručnjak za upravljanje dokumentima tvrtke EOS, ISO stručnjak, član GMD i ARMA International

Učinkovita poslovna aktivnost organizacije ovisi o mnogim čimbenicima. Jedan od ključnih elemenata cjelokupnog sustava upravljanja je načelo zamjenjivosti zaposlenika. Trebalo bi unaprijed razmisliti tko će zamijeniti zaposlenike koji zbog bolesti, službenih putovanja, godišnjih odmora i sl. privremeno ne obavljaju svoje dužnosti. Ako se vaša organizacija bavi potpisivanjem dokumenata elektroničkim potpisom, ovaj aspekt se mora razmotriti zasebno. Svatko tko zanemari ovo organizacijsko pitanje, riskira da upadne u ozbiljne probleme.

Indikativan je u tom smislu predmet broj A56-51106/2011, koji je u siječnju 2012. godine razmatrao Arbitražni sud Sankt Peterburga i Lenjingradske oblasti.

Kako je nastao problem:

  • U srpnju 2011. godine, Tvernefteprodukt Sales Association LLC podnijela je jedinstvenu prijavu za sudjelovanje na otvorenoj dražbi u elektroničkom obliku za isporuku benzina pomoću kartica za gorivo za ogranak Gornje Volge Federalne državne proračunske znanstvene ustanove "Državni istraživački institut za jezersko i riječno ribarstvo " (FGNU "GosNIORKh"). Dražbena komisija naručitelja odlučila je sklopiti državni ugovor s jedinim sudionikom dražbe.
  • Nacrt državnog ugovora naručitelj je poslao operateru elektroničke platforme 12. srpnja 2011., a ovaj ga je prenio na LLC. U roku utvrđenom zakonom, DOO nije poslalo nacrt ugovora potpisan elektroničkim potpisom osobe ovlaštene da djeluje u ime sudionika narudžbe operateru elektroničke stranice, budući da ovaj službenik bio je na bolovanju.
  • U srpnju 2011. Odjel Federalne antimonopolske službe u Sankt Peterburgu (UFAS) razmotrio je podatke koje je kupac dostavio o izbjegavanju LLC-a od sklapanja ugovora i donesena je odluka da se isti uvrsti u registar beskrupuloznih dobavljača.

Ne slažući se s odlukom OFAS-a, LLC se obratio sudu. Sva tri suda proglasila su LLC krivim za utaju ugovora. A u krajnjoj nuždi u listopadu 2012. ispostavilo se da se DOO 10. kolovoza 2011. obratilo kupcu i razlogom za nepotpisivanje ugovora nazvalo ne bolest svog zaposlenika, već njegov nemar.

Još jedan zanimljiv slučaj dogodio se prilikom potpisivanja državnog ugovora elektroničkim potpisom neovlaštene osobe. Ovaj slučaj je razmatrao Arbitražni sud Kaluške regije u rujnu 2011. (predmet br. A23-2637/2011).

Okolnosti su bile:

  • U ožujku 2011. godine SEL TEHSTROY doo proglašen je pobjednikom otvorene dražbe. Do tada je u LLC-u došlo do promjene glavnog direktora: bivši glavni direktor V. postao je zamjenik novog glavnog direktora P. Ali novi glavni direktor još nije imao vremena izdati EDS. Stoga su 14. ožujka 2011. odlučili “pojednostaviti svoj život” i potpisati državni ugovor uz pomoć EDS-a V. koji je napustio dužnost, no glavna pogreška je bila što je V. dokument potpisao kao generalni direktor SEL TEHSTROY doo.
  • Informacija o razrješenju generalnog direktora V. i imenovanju P. za glavnog direktora, kao i punomoć za rad u ime sudionika naloga, izdana V. već kao zamjeniku glavnog direktora, objavljena je na web stranicu platforme za elektroničko trgovanje samo 24. ožujka 2011. t .e. nakon potpisivanja i slanja ugovora kupcu.
  • Taj je propust uočio kupac, smatrajući da je ugovor potpisala neovlaštena osoba, te se u travnju 2011. godine obratio OFAS-u. Kao rezultat toga, OFAS je uvrstio LLC u registar nesavjesnih dobavljača na razdoblje od 2 godine zbog izbjegavanja sklapanja državnog ugovora.

Prilikom prvostupanjskog razmatranja ovog predmeta, sud je primijetio da je novi generalni direktor tvrtke P. u svojim objašnjenjima OFAS-u, prvo, potvrdio spremnost za potpisivanje državnog ugovora, a drugo, priznao pogrešku, ne osporavajući ovlasti V., naznačene u punomoći. Osim toga, činjenicu da je punomoć objavljena na službenoj web stranici elektroničke platforme, iako sa zakašnjenjem, sud je smatrao aktivnim djelovanjem tvrtke na otklanjanju učinjene pogreške. Kao rezultat toga, Arbitražni sud naložio je OFAS-u da isključi LLC iz registra nesavjesnih dobavljača. U prosincu 2011. Dvadeseti arbitražni žalbeni sud potvrdio je stav prvostupanjskog suda.

No, Savezni arbitražni sud Središnjeg okruga u ožujku 2012. presudio je drugačije. Prema njegovom mišljenju, V. je 14. ožujka 2011. godine koristio EDS protivno odredbama čl. 4. Federalnog zakona "O elektroničkom digitalnom potpisu" i uvjetima navedenima u certifikatu ključa potpisa (na kraju krajeva, elektronički dokument s EDS-om koji nije u skladu s uvjetima sadržanim u certifikatu nema pravni značaj). Kao rezultat toga, sud je zaključio da je državni ugovor potpisala neovlaštena osoba i priznao je legitimnom odluku OFAS-a o priznanju LLC-a kao beskrupuloznog dobavljača.

Slične slučajeve često vode sudovi. Tada direktor, koji ima certifikat ES ključa i ima pravo potpisivanja dokumenata u ime tvrtke, daje otkaz, a novi direktor nema vremena napraviti sebi ES i potpisati ugovor na vrijeme. Pokušavaju potpisati dokumente s potpisom zaposlenika koji je već otišao (ili prešao na drugo radno mjesto u istoj organizaciji). Zatim nastaju problemi s nemarom zaposlenika ili njihovom bolešću (kao u prvom od opisanih slučajeva), a opet nemaju vremena prenijeti ovlasti na drugu osobu i izdati joj ES. A rezultat je isti - organizacija pada na popis beskrupuloznih dobavljača i gubi pravo sklapanja ugovora financiranih iz proračuna.

Primanje ključa ES od strane zaposlenika organizacije, osiguravanje njegove sigurnosti i radnje s njim obično se reguliraju naredbom organizacije uz odobrenje uputnih materijala. Oni definiraju postupak korištenja ES ključeva za potpisivanje dokumenata, dobivanje, zamjenu, opoziv certifikata ES ključa za provjeru, kao i radnje koje se izvode kada je ES ključ kompromitiran. Potonji su slični radnjama koje se izvode kada je bankovna kartica izgubljena.

Kako odabrati certifikacijsko tijelo?

Zakon br. 63-FZ predviđa podjelu centara za certifikaciju na one koji su prošli i one koji nisu prošli postupak akreditacije (sada ga provodi Ministarstvo telekomunikacija i masovnih komunikacija Ruske Federacije). Akreditiranom certifikacijskom centru izdaje se odgovarajući certifikat, a za dobivanje kvalificiranog certifikata ES verifikacijskog ključa potrebno je podnijeti zahtjev takvom CA. Neakreditirani CA-i mogu izdavati samo druge vrste potpisa.

Prilikom odabira CA treba uzeti u obzir da ne koristi svaki od njih sve moguće kriptovalute. Odnosno, ako partneri koji organiziraju elektroničko upravljanje dokumentima trebaju elektroničke potpise generirane pomoću određenog davatelja kriptografskih usluga, tada biste trebali odabrati certifikacijski centar koji posebno radi s ovim alatom za zaštitu kriptografskih informacija (CIPF).

Postupak dobivanja EP-a i potrebnih dokumenata

Da biste organizirali razmjenu elektroničkih dokumenata između organizacija, morate izvršiti sljedeće korake:

  • odrediti ciljeve i specifičnosti tijeka dokumenata između vaše i druge organizacije. To bi trebalo biti formalizirano u obliku ugovora ili sporazuma koji definira i regulira poslovanje i sastav dokumenata s elektroničkim potpisom koji se prenose elektroničkim putem (takve standardne ugovore potpisuju, na primjer, banke s klijentima, dopuštajući im korištenje klijenta- bankovni sustav);
  • za razmjenu potvrda ES verifikacijskih ključeva osoba čiji će se potpisi prenositi između organizacija. Jasno je da partneri mogu dobiti takve certifikate ne samo jedni od drugih, već i od certifikacijskog tijela koje je izdalo te certifikate;
  • izdati interne upute kojima se uređuje postupak prijenosa i primanja elektroničkih dokumenata drugoj organizaciji, uključujući postupak provjere elektroničkog potpisa primljenih dokumenata i radnje u slučaju otkrivanja činjenice promjene dokumenta nakon potpisivanja elektroničkim potpisom.

Za izradu ključeva za elektronički potpis i potvrda ES verifikacijskih ključeva korisnici moraju certifikacijskom centru dostaviti dokumentaciju za prijavu, dokumentaciju koja potvrđuje točnost podataka koji će biti uključeni u certifikat ES verifikacijskog ključa, kao i odgovarajuće punomoći.

Kako bi se osigurala odgovarajuća razina identifikacije korisnika, postupak dobivanja potvrda ES verifikacijskih ključeva zahtijeva osobnu prisutnost vlasnika.

Istina, postoje iznimke. Na primjer, danas je za zaposlenike državnih i proračunskih organizacija, kao i zaposlenike izvršnih vlasti grada Moskve, certifikacijski centar Electronic Moscow JSC razvio sustav za masovno izdavanje potvrda ključeva za provjeru elektroničkog potpisa (SKKEP ), koji, uz zadržavanje visoke razine pouzdanosti identifikacije korisnika, omogućuje posjetu certifikacijskom centru svakom zaposleniku osobno, što značajno smanjuje financijske i vremenske troškove organizacije u usporedbi s izdavanjem SCPE-a, organiziranog prema tradicionalnom shema.

Koliko košta elektronički potpis?

Pogrešno je misliti da certifikacijski centar jednostavno prodaje medije za pohranu ključeva i certifikata, usluga je složena, a medij s ključnim informacijama jedna od komponenti. Cijena puni paket elektroničkog potpisa ovisi o:

  • regija;
  • cjenovna politika certifikacijskog centra;
  • vrste potpisa i njihov opseg.

Obično ovaj paket uključuje:

  • usluge certifikacijskog centra za izradu certifikata ES verifikacijskog ključa;
  • prijenos prava na korištenje odgovarajućeg softvera (CIPF);
  • osiguravanje primatelju potrebnog softvera za rad;
  • nabava sigurnog ključa;
  • tehnička korisnička podrška.

U prosjeku, trošak varira od 3.000 do 20.000 rubalja za kompletan paket s jednim nositeljem ključnih informacija. Jasno je da kada organizacija naruči desetak ili stotine certifikata ključeva za svoje zaposlenike, cijena po jednom "potpisniku" bit će znatno niža. Ponovno izdavanje ključeva vrši se za godinu dana.

Trenutno u Rusiji cirkulacija elektroničkih dokumenata pomoću elektroničkog potpisa brzo dobiva na zamahu. Elektronički potpis se široko primjenjuje kako u državnim organizacijama tako iu privatnim poduzećima. Pritom treba uzeti u obzir da različite vrste ES-a imaju različite cijene, da je dokument ovjeren od ES-a pravno značajan, pa je prijenos ključeva uz PIN kod na druge osobe neprihvatljiv.

Ono što je najvažnije, elektronički potpis značajno štedi vrijeme, eliminirajući papirologiju, što je iznimno važno u vrlo konkurentnom okruženju i kada su partneri udaljeni.

Problem zasad ostaje samo u ravnini potvrđivanja vjerodostojnosti takvog potpisa i dokumenta s njim tijekom dugog razdoblja čuvanja.

Fusnote

Sažmi emisiju


Uredba je izrađena uzimajući u obzir:

    Savezni zakon "O elektroničkom digitalnom potpisu"

    "Privremena regulativa o digitalnom elektroničkom potpisu (EDS) u sustavu međuregionalnih elektroničkih plaćanja Središnje banke Ruske Federacije tijekom eksperimenta", koju je 16. kolovoza 1995. odobrio prvi zamjenik predsjednika Središnje banke Ruske Federacije A.V. Voilukov

    Privremeni zahtjevi Središnje banke Ruske Federacije br. 60 od 3. travnja 1997. "O osiguravanju sigurnosti tehnologije za obradu dokumenata elektroničkog plaćanja u sustavu Centralne banke Ruske Federacije"

    Uredba Središnje banke Ruske Federacije br. 20-P od 12. ožujka 1998. „O pravilima razmjene elektroničkih dokumenata između Banke Rusije, kreditnih institucija (filijala) i drugih klijenata Banke Rusije prilikom izrade namirenja putem mreže poravnanja Banke Rusije" kako je izmijenjena Direktivom Banke Rusije br. 774-U od 11. travnja 2000.

2. Opće odredbe

2.1. Ova Uredba izrađena je za operatere, pretplatnike i ovlaštene pretplatnike sustava za kriptografsku zaštitu informacija (CIPF) koji provode elektroničke interakcije s trećim stranama koristeći nositelje ključnih informacija (KKI).

2.2. Ova Uredba uključuje:

    organizacijski aranžmani za rad s NCI;

    postupak korištenja NCI-a u sustavu elektroničkih interakcija;

    postupak izrade, računovodstva, registracije EDS ključeva i ključeva za šifriranje u sustavu elektroničkih interakcija;

    postupci za kompromitiranje ključnih materijala;

    postupak osiguranja sigurnosnog režima pri radu s NCI.

2.3. Osnovni pojmovi:

    Nositelj ključnih informacija– nosač informacija (disketa, flash memorija i drugi mediji) na kojem je pohranjen elektronički ključ, dizajniran za zaštitu elektroničkih interakcija.

    CCMS- centar upravljanja ključnim sustavima, mjesto proizvodnje NCI ključnog nosača informacija.

    Tajni (privatni) ključ za potpisivanje- ključ namijenjen za formiranje elektroničkog digitalnog potpisa elektroničkih dokumenata.

    Otvoreni (javni) ključ za potpisivanje- ključ koji se automatski generira tijekom izrade ključa tajnog potpisa i jedinstveno ovisi o njemu. Javni ključ je dizajniran za provjeru ispravnosti elektroničkog digitalnog potpisa elektroničkog dokumenta. Smatra se da javni ključ pripada sudioniku u elektroničkim interakcijama ako je certificiran (registriran) prema utvrđenom postupku.

    Ključ za šifriranje- ključ dizajniran za zatvaranje elektroničkog dokumenta tijekom elektroničkih interakcija.

    Šifriranje- specijalizirana metoda zaštite informacija od trećih osoba koje se s njima upoznaju, na temelju kodiranja informacija prema algoritmu GOST 28147-89 pomoću odgovarajućih ključeva.

    Kompromis ključnih informacija- gubitak, krađa, neovlašteno kopiranje ili sumnja u kopiranje nositelja ključnih informacija NCI-a ili bilo koje druge situacije u kojima se sa sigurnošću ne zna što se dogodilo s NCI-jem. Kompromis ključnih informacija uključuje i otpuštanje zaposlenika koji su imali pristup ključnim informacijama.

    Certifikacija ključeva- postupak ovjere (potpisa) javnog dijela registriranog ključa elektroničkim digitalnim potpisom.

    Prijava za registraciju ključa- servisna poruka koja sadrži novi javni ključ, potpisan elektroničkim digitalnim potpisom.

3. Organizacija rada s nositeljima ključnih informacija

Osobe koje imaju pristup nositeljima ključnih informacija snose osobnu odgovornost za to. Popis osoba koje imaju pristup disketama s ključnim podacima sastavlja voditelj Odjela za informacijsku sigurnost i evidentira je u nalogu za Banku.

Kako biste osigurali identifikaciju pošiljatelja i primatelja informacija, zaštitite ih od neovlaštenog pristupa:

3.1. Predsjednik Uprave Banke iz reda voditelja odjela imenuje odgovorne za elektroničke interakcije sa trećim organizacijama i ovlašćuje odgovorne djelatnike da postavljaju elektronički potpis dokumenata koji se šalju po nalogu Banke.

3.2. Voditelj Odjela za informacijsku sigurnost, u dogovoru s voditeljem Odjela za informacijsku tehnologiju, imenuje informatičko osoblje zaduženo za ugradnju odgovarajućih sredstava za osiguranje elektroničkih interakcija i kriptografske zaštite informacija na radnim stanicama odgovornih djelatnika imenovanih u točki 2.1.

3.3. Osoblje FIB-a, zajedno s IT osobljem, imenovano u točki 2.2. mora provoditi obuku za odgovorne djelatnike odjela uključenih u elektroničke interakcije s organizacijama trećih strana, rad s alatima za elektroničko upravljanje dokumentima i CIPF-om.

3.4. Nadzor nad elektroničkim interakcijama i korištenjem ključnih nositelja informacija provode djelatnici Odjela informacijske sigurnosti, Službe unutarnje kontrole i Odjela za zaštitu gospodarstva.

4. Redoslijed puštanja u rad, pohranjivanja i korištenja medija ključnih informacija

4.1. Postupak izrade, računovodstva i korištenja nositelja ključnih informacija

4.2.1. Postupak izrade i računovodstva nositelja ključnih informacija

Medij osobnog ključa (najčešće disketa) obično se izrađuje u centru za upravljanje ključnim sustavima (MCC). Ako CCMS servisira treća osoba, tada ključeve diskete prima djelatnik Odjela informacijske sigurnosti ili ovlašteni CIPF pretplatnik koji je nalogom dodijeljen banci. U slučaju kada se ključne diskete izrađuju u Banci, to se radi na temelju prijave koju potpisuje voditelj odjela korisnika NCI.

Generiranje jedinstvenih ključnih informacija i njihovo snimanje na disketu provodi se na posebno opremljenoj samostalnoj „radnoj stanici za generiranje ključeva“, čiji softver obavlja funkcije regulirane tehnološkim postupkom generiranja ključeva elektroničkog digitalnog potpisa, od strane ovlaštenog djelatnika odjela informacijske tehnologije u nazočnosti samog korisnika NCI-a, obilježava se, upisuje u "Računovodstveni list NCI" i izdaje mu se uz potpis. Oprema "Radne stanice za generiranje ključeva" trebala bi osigurati da se jedinstveni tajni ključevi izvođača bilježe samo na njegovom osobnom mediju.

Kako bi se osigurala mogućnost vraćanja ključnih informacija NCI korisnika u slučaju kvara diskete s ključem, obično se kreira njegova radna kopija. Kako bi se osiguralo da pri kopiranju s izvornika na radnu kopiju diskete s ključem njezin sadržaj ne završi na bilo kojem međumediju, kopiranje se treba izvesti samo na „radnoj stanici za generiranje ključeva“.

Ključne diskete moraju imati odgovarajuće oznake koje odražavaju: registarski broj diskete (prema NCI Record Book), datum proizvodnje i potpis ovlaštenog djelatnika jedinice za informacijsku sigurnost koji je izradio disketu, vrstu diskete. ključni podaci - ključna disketa (izvornik) ili ključna disketa (kopija), prezime, ime, patronim i potpis vlasnika-izvođača.

4.2.2. Postupak korištenja nositelja ključnih informacija

Svakom djelatniku (izvršitelju) kojemu je u skladu sa svojim funkcionalnim dužnostima odobreno pravo stavljanja digitalnog potpisa na ED, sukladno točki 2.1., izdaje se osobni nosač ključnih informacija (npr. disketa ), na kojem se bilježe podaci o jedinstvenom ključu (“tajni ključ elektroničkog digitalnog potpisa”), koji spadaju u kategoriju informacija s ograničenjem.

Diskete s osobnim ključem (radne kopije) korisnik mora pohraniti u posebnu kutiju zapečaćenu osobnom pečatom.

U pododjelu obračun i pohranu disketa osobnih ključeva izvođača treba provoditi osoba odgovorna za informacijsku sigurnost (u njegovoj odsutnosti voditelj odjela) ili sam izvođač (ako ima sef ili metalni kabinet). Ključne diskete treba čuvati u sefu odjela nadležnog za informacijsku sigurnost ili izvođača u pojedinim slučajevima zapečaćene osobnim pečatima izvođača. Pernice se uklanjaju iz sefa samo u trenutku zaprimanja (izdavanja) radnih primjeraka ključnih disketa izvođačima. Izvorne diskete ključeva izvođača pohranjene su u Odjelu za informacijsku sigurnost u zapečaćenoj kutiji i mogu se koristiti samo za obnavljanje radne kopije diskete ključa po utvrđenom redoslijedu u slučaju kvara potonje. Prisutnost originalnih ključeva disketa u kutijama provjeravaju djelatnici OIB-a pri svakom otvaranju i zatvaranju kućišta.

Kontrolu sigurnosti tehnologije obrade elektroničkih dokumenata, uključujući i postupanje korisnika NCI-a koji svoj posao obavljaju na disketama s osobnim ključevima, provode odjeli nadležni za informacijsku sigurnost iz svoje nadležnosti i djelatnici Odjela informacijske sigurnosti.

"Otvorene" EDS ključeve izvođača upisuju na propisani način stručnjaci Centra za upravljanje upravljačkim i komunikacijskim i informacijskim tehnologijama u imenik "otvorenih" ključeva koji se koriste prilikom provjere autentičnosti dokumenata prema EDS-u koji je na njima instaliran. .

5. Prava i obveze korisnika ključnih nositelja informacija

5.1. Prava korisnika medija za ključne informacije

Korisnik NCI-a treba imati pravo kontaktirati osobu odgovornu za informacijsku sigurnost svog odjela radi savjeta o korištenju diskete s ključem i pitanjima osiguranja informacijske sigurnosti tehnološkog procesa.

Korisnik NCI-a ima pravo od odjela nadležnog za informacijsku sigurnost i od svog neposrednog rukovoditelja zahtijevati stvaranje potrebnih uvjeta za ispunjavanje gore navedenih zahtjeva.

Korisnik NCI-a ima pravo podnijeti svoje prijedloge za poboljšanje mjera zaštite u svom području rada.

5.2. Odgovornosti ključnog korisnika medija

Korisnik NCI-a, koji je u skladu sa svojim službenim funkcijama dobio pravo stavljanja digitalnog potpisa na ED, osobno je odgovoran za sigurnost i ispravnu upotrebu ključnih informacija koje su mu povjerene i sadržaja dokumenti na kojima stoji njegov EDS.

Korisnik ključnih nositelja informacija dužan je:

    Biti osobno prisutan tijekom izrade vaših ključnih informacija (ako se ključevi proizvode u IB-u na "radnoj stanici za generiranje ključeva") kako biste bili sigurni da sadržaj njegovih disketa s ključevima (izvornik i kopija) nije ugrožen.

    Uzmite radnu kopiju diskete s ključem uz potpis u NCI knjizi zapisa, provjerite je li ispravno označena i zaštićena od pisanja. Registrirajte ih (uzmite u obzir) u odjelu nadležnom za informacijsku sigurnost, stavite ih u pernicu, zapečatite je svojim osobnim pečatom i prenesite pernicu na pohranu službeniku za informacijsku sigurnost prema utvrđenom redoslijedu ili je stavite u svoj sef .

    Za posao koristite samo radnu kopiju diskete s ključem.

    U slučaju pohrane NCI-a kod jedinice zadužene za informacijsku sigurnost, na početku radnog dana primite, a na kraju radnog dana svoj ključ disketu predate osobi odgovornoj za informacijsku sigurnost. Prilikom prvog otvaranja pernice obojica su dužna provjeriti cjelovitost i vjerodostojnost pečata na pernici. Ako je pečat na pernici slomljen, disketa se smatra ugroženom.

    Ako je disketa s osobnim ključem pohranjena u sefu izvođača, po potrebi izvadite disketu s ključem iz sefa, a prilikom prvog otvaranja kutije provjerite je li pečat na kućištu netaknut i autentičan. Ako je pečat na pernici slomljen, disketa se smatra ugroženom.

    STROGO JE ZABRANJENO ostavljati disketu s ključem u računalu. Nakon upotrebe diskete s osobnim ključem za potpisivanje ili šifriranje, izvođač mora diskete staviti u sef, a ako je NCI pohranjen u odjelu nadležnom za informacijsku sigurnost, predati svoju disketu osobnog ključa na privremenu pohranu odjelu nadležnom za sigurnost informacija.

    Na kraju radnog dana stavite disketu s ključem u kutiju, koju morate zatvoriti i spremiti u sef.

    U slučaju oštećenja radne kopije diskete ključa (npr. u slučaju greške pri čitanju diskete), izvođač je dužan istu prenijeti ovlaštenom djelatniku sustava informacijske sigurnosti, koji je dužan u prisutnost korisnika NCI-a ili odjela nadležnog za informacijsku sigurnost, učiniti novu kopiju diskete ključa s originala dostupnom u sustavu informacijske sigurnosti i izdati je potonjem umjesto stare (oštećene) diskete ključa .

    Oštećena radna kopija diskete ključa mora se uništiti na propisan način u prisutnosti izvođača. Sve ove radnje moraju biti zabilježene u NCI evidenciji.

5.3. Korisniku ključnih nositelja informacija zabranjeno je

    ostaviti disketu s osobnim ključem bez osobnog nadzora igdje;

    prenijeti disketu s osobnim ključem drugim osobama (osim za pohranu u zatvorenoj pernici osobi odgovornoj za informacijsku sigurnost);

    napraviti neobjavljene kopije diskete s ključem, ispisati ili kopirati datoteke s nje na drugi medij za pohranu (na primjer, tvrdi disk računala), ukloniti zaštitu od pisanja s diskete, izvršiti izmjene datoteka koje se nalaze na ključnoj disketi;

    koristiti disketu s osobnim ključem na svjesno neispravnom pogonu i/ili računalu;

    potpisivati ​​sve elektroničke poruke i dokumente svojim osobnim "tajnim EDS ključem", osim onih vrsta dokumenata koje su regulirane tehnološkim postupkom;

    obavijestiti nekoga izvan posla da je vlasnik "tajnog EDS ključa" za ovaj tehnološki proces.

6. Postupak kompromitiranja nositelja ključnih informacija

Događaji povezani s kompromitacijom ključnih informacija trebali bi uključivati ​​sljedeće događaje:

    gubitak ključnih disketa;

    gubitak ključnih disketa s naknadnim otkrivanjem;

    otpuštanje zaposlenika koji su imali pristup ključnim informacijama;

    pojava sumnje na curenje informacija ili njihovo izobličenje u komunikacijskom sustavu;

    nedešifriranje dolaznih ili odlaznih poruka od pretplatnika;

    kršenje pečata na sefu ili kontejneru s ključnim disketama.

Prva tri događaja treba tretirati kao bezuvjetni kompromis valjanih EDS ključeva. Sljedeća tri događaja zahtijevaju posebno razmatranje u svakom pojedinom slučaju. Prilikom kompromitiranja EDS ključeva i enkripcije Sudionika u razmjeni elektroničkih dokumenata predviđene su sljedeće mjere:

    Sudionik u razmjeni elektroničkih dokumenata odmah:

    • zaustavlja prijenos informacija korištenjem kompromitiranih EDS ključeva ili enkripcije;

      prijavljuje činjenicu kompromisa Odjelu informacijske sigurnosti.

    Djelatnik Odjela informacijske sigurnosti temeljem obavijesti Sudionika ED Razmjene isključuje kompromitirani EDS ključ iz elektroničke baze javnih ključeva ili isključuje kriptografski broj Sudionika razmjene elektroničkih dokumenata s popisa pretplatnika.

    U slučaju nužde, Sudionik u razmjeni elektroničkih dokumenata nakon kompromisa može nastaviti raditi na rezervnim ključevima, što se bilježi u "Dnevniku registracije NKI-ja".

    Sudionik u razmjeni elektroničkih dokumenata podnosi zahtjev za izradu novog ključa i dobiva novi EDS i ključeve za šifriranje uz upis u Registar NCI.

    Testne poruke se razmjenjuju korištenjem novih EDS-a i ključeva za šifriranje.

7. Osiguravanje informacijske sigurnosti pri radu s nositeljima ključnih informacija

Redoslijed smještaja, posebne opreme, sigurnosti i režima u prostorijama u kojima se nalaze sredstva kriptografske zaštite i nositelji ključnih informacija:

    sredstva kriptografske zaštite za servisiranje ključnih nositelja informacija nalaze se u prostorijama Banke poslužitelja i Odjela informacijske sigurnosti;

    smještaj, posebna oprema i režim u prostorijama u kojima se nalaze sredstva kriptografske zaštite i nositelji ključnih informacija, osiguravaju sigurnost informacija, sredstava kriptografske zaštite i ključnih informacija, minimizirajući mogućnost nekontroliranog pristupa sredstvima kriptografske zaštite, pregled postupke za rad sa sredstvima kriptografske zaštite od strane nepoznatih osoba;

    postupak ulaska u prostore utvrđuje se internim uputom, koji se izrađuje uzimajući u obzir specifičnosti i uvjete poslovanja Kreditne institucije;

    prozori prostorija opremljeni su metalnim rešetkama i protuprovalnim alarmima koji sprječavaju neovlašten pristup prostoriji. Ove sobe imaju čvrsta ulazna vrata s pouzdanim bravama;

    za pohranu disketa s ključevima, regulatorne i operativne dokumentacije, instalacijskih disketa, prostori su opremljeni sefovima;

    utvrđenim postupkom zaštite prostora predviđeno je povremeno praćenje tehničkog stanja sigurnosnih i protupožarnih alarma i poštivanje sigurnosnog režima;

    postavljanje i ugradnja sredstava kriptografske zaštite provodi se u skladu sa zahtjevima dokumentacije za sredstva kriptografske zaštite;

    sistemski blokovi računala sa sredstvima kriptografske zaštite opremljeni su sredstvima za kontrolu njihova otvaranja.

Postupak za osiguranje sigurnosti pohrane disketa s ključem:

    svi ključevi za enkripciju, EDS ključevi i instalacijske diskete preuzimaju se u Banci radi knjiženja kopija po primjerak u "NCI računovodstvenom dnevniku" i "CIPF računovodstvenom dnevniku" dodijeljenom za ove svrhe;

    knjigovodstvo i pohranu nositelja enkripcijskih ključeva i instalacijskih disketa, neposredan rad s njima povjerava se djelatnicima IIB-a ili odgovornim djelatnicima imenovanim nalogom Banke. Ovi zaposlenici osobno su odgovorni za sigurnost ključeva za šifriranje;

    registraciju šifriranih ključeva izrađenih za korisnike, registraciju njihovog izdavanja za rad, povrat od korisnika i uništavanje vrši djelatnik IIB-a;

    pohranjivanje ključeva za šifriranje, EDS ključeva, instalacijskih disketa dopušteno je u istoj pohrani s drugim dokumentima pod uvjetima koji isključuju njihovo nenamjerno uništavanje ili drugu upotrebu koja nije predviđena pravilima korištenja sustava kriptozaštite;

    uz to daje mogućnost sigurnog odvojenog pohranjivanja radnih i rezervnih ključeva namijenjenih za korištenje u slučaju kompromitacije radnih ključeva u skladu s pravilima korištenja alata za kriptografsku zaštitu;

    valjani EDS privatni ključ snimljen na magnetskom mediju (disketi) mora biti pohranjen u osobnom, zapečaćenom sefu (kontejneru) odgovorne osobe. Treba isključiti mogućnost kopiranja i neovlaštenog korištenja EDS-a od strane neovlaštene osobe;

    rezervni EDS ključ mora biti pohranjen na isti način kao i trenutni, ali uvijek u posebnom zatvorenom spremniku.

Zahtjevi za zaposlenike uključene u rad i instalaciju (instalaciju) alata za kriptografsku zaštitu i nositelja ključnih informacija:

    za rad sa sredstvima kriptografske zaštite i nositeljima ključnih informacija samo djelatnici koji poznaju pravila njegova rada, imaju praktične vještine rada na osobnom računalu, proučili su pravila uporabe i operativnu dokumentaciju za sredstva kriptografske zaštite;

    zaposlenik mora biti svjestan mogućih prijetnji informacijama tijekom njihove obrade, prijenosa, pohrane, metoda i sredstava zaštite informacija.

Uništavanje ključnih informacija i disketa:

    uništavanje ključnih informacija s disketa treba izvršiti dvostrukim bezuvjetnim preformatiranjem diskete DOS naredbom "FORMAT A: / U";

    uništavanje ključne diskete koja je postala neupotrebljiva treba obaviti topljenjem na vatri (spaljivanjem) ili mljevenjem diskete izvađene iz kućišta.

Kao što znate, ako treća strana ima pristup privatnom ključu vašeg elektroničkog potpisa, potonja ga može instalirati u vaše ime, što je po mogućim posljedicama slično krivotvorenju potpisa na papirnatom dokumentu. Stoga je potrebno osigurati visoku razinu zaštite privatnog ključa, što je najbolje implementirati u specijaliziranim skladištima. Inače, elektronički potpis nije slika spremljena u obliku datoteke s vašim škriljama, već niz bitova dobivenih kao rezultat kriptografske transformacije informacija pomoću privatnog ključa, koji vam omogućuje identifikaciju vlasnika i utvrđivanje odsutnost izobličenja informacija u elektroničkom dokumentu. Elektronički potpis ima i javni ključ – šifru koja je dostupna svima, pomoću kojega možete odrediti tko je i kada potpisao elektronički dokument.

Sada je najčešća opcija za pohranu privatnog ključa na tvrdom disku računala. Ali ima niz nedostataka, uključujući:

Sada se vratimo na specijalizirana skladišta. Trenutno je u nekim sustavima za elektroničko upravljanje dokumentima implementirana mogućnost korištenja skladišta, kao što su e-Token i Rutoken. Što je e-Token ili Rutoken (često se naziva jednostavno "token")? Riječ je o sigurnom pohranjivanju ključeva u obliku USB privjesaka za ključeve i pametnih kartica, pristup kojem se ostvaruje samo pomoću PIN koda. Ako unesete netočan pin kod više od tri puta, pohrana se zaključava, sprječavajući pokušaje pristupa ključu pogađanjem vrijednosti PIN koda. Sve operacije s ključem izvode se u memoriji za pohranu, t.j. ključ ga nikad ne napušta. Tako je isključeno presretanje ključa iz RAM-a.

Uz gore navedene prednosti pri korištenju sigurne pohrane, mogu se razlikovati sljedeće:

  • zajamčena je sigurnost ključa, uključujući i u slučaju gubitka nosača za vrijeme potrebno za opoziv certifikata (uostalom, gubitak ES-a mora se hitno prijaviti certifikacijskom centru, kao što je prijavljeno banci u slučaju gubitak bankovne kartice);
  • nema potrebe za instaliranjem certifikata privatnog ključa na svako računalo s kojeg korisnik radi;
  • "Token" se može istovremeno koristiti za autorizaciju prilikom prijave u operacijski sustav računala i u EDMS. To jest, postaje osobno sredstvo provjere autentičnosti.

Ako EDMS ima integracijska rješenja sa specijaliziranim skladištima za privatne ključeve, tada se sve prednosti očituju u radu sa sustavom.

Razmotrimo opciju kada korisnik pohranjuje ključ u specijaliziranu pohranu, dok aktivno radi s prijenosnog računala. Zatim, čak i ako se mobilno radno mjesto izgubi (pod uvjetom da je "token" spremljen), ne možete se brinuti da će netko dobiti pristup EDS-u s prijenosnog računala ili moći kopirati privatni ključ i potpisati elektroničke dokumente u ime ovog korisnika.

Korištenje specijaliziranih trezora uključuje dodatne troškove, ali se u isto vrijeme značajno povećava razina sigurnosti vašeg ključa i sustava u cjelini. Stoga stručnjaci preporučuju korištenje takvih uređaja u radu, ali izbor je, naravno, uvijek vaš.

Alena, svakako razumijem da je članak donekle "općenito informativne" prirode, ali ipak vrijedi istaknuti popis "prednosti i nedostataka" svakog rješenja šire. Ni najmanje ne opovrgavam konačan zaključak da su pametne kartice pouzdanije, ali potencijalno stvaraju puno više poteškoća nego što banalno "uzima dodatne troškove".

Tipkama na lokalnom računalu

Ovo nije istina. Zadani pružatelj RSA kriptografskih usluga u Windows trgovinama koristi mapu C:\Users\ za pohranu privatnih ključeva \AppData\Roaming\Microsoft\Crypto\RSA.

Oni. smješta ih u roaming dio profila, što znači da ako korisnik radi na različitim strojevima unutar korporativne mreže, bit će mu dovoljno postaviti roaming profil i nema potrebe za instaliranjem certifikata na svaki stroj.

Korištenjem tokena

Ovdje morate razumjeti da različiti proizvođači ovu funkcionalnost implementiraju na različite načine. Kod nekih se tipkovnica s PIN kodom nalazi izravno na samom uređaju, za druge se na računalu koristi specijalizirani softver.

U prvom slučaju uređaj se ispostavlja glomaznijim, ali zaštićenijim od presretanja PIN koda, koji se može očitati instaliranjem softverskog ili hardverskog keyloggera na korisnikov stroj, ako se koristi softver za unos.

Konkretno, Rutoken koristi softver za unos PIN kodova, što znači da je potencijalno ranjiv.

Tako je, ne morate instalirati certifikate, ali morate instalirati upravljačke programe uređaja, kriptografske davatelje usluga i druge module.

A ovo je dodatni softver niske razine sa svojim specifičnim značajkama i problemima.

Da, to je točno, ali samo pod uvjetom da koristite kripto funkcije samog uređaja (tj. svu enkripciju i potpisivanje vrši sam token).

Ovo je najsigurnija opcija, ali ima niz ograničenja:

  • objavljeni algoritmi. Na primjer, isti Rutoken (sudeći po njihovoj dokumentaciji) podržava samo GOST 28147-89 u hardveru. Svi ostali algoritmi su, očito, već implementirani u softveru, tj. s vađenjem privatnog ključa iz spremišta.
  • brzina sučelja. Jednostavne pametne kartice implementiraju, u pravilu, ne najbrža hardverska sučelja (najvjerojatnije kako bi se pojednostavila i smanjila cijena uređaja), na primjer, USB 1.1. A budući da trebate prenijeti cijelu datoteku na uređaj za potpisivanje/šifriranje, to može uzrokovati neočekivane "kočnice".

Međutim (opet, sudeći prema dokumentaciji Rutokena), tokeni mogu djelovati i jednostavno kao šifrirana pohrana. Na primjer, ovako rade u sprezi s CryptoPro CSP-om. Pa, onda je zaključak očigledan - budući da jedan softver može pristupiti ključevima, onda to može učiniti drugi.

Dodatna pitanja

Gornjem popisu moramo dodati još neka pitanja koja također treba uzeti u obzir pri odlučivanju hoćemo li se prebaciti na tokene:

  • Kako se ažuriraju certifikati? Na primjer, ni na web stranici Rutokena (u općim odjeljcima i na forumu), niti u dokumentaciji nisam pronašao spominjanje podrške Rutokena za Active Directory Key Distribution Service. Ako je to slučaj (a sam Rutoken ne pruža druge mehanizme za masovno ažuriranje ključeva), tada je sve ključeve potrebno ažurirati preko administratora, što stvara svoje probleme (jer operacija nije trivijalna).
  • koji se softver koristi u poduzeću i koji zahtijeva kripto funkcije:
    • može raditi preko davatelja kriptovaluta (neki softver koristi vlastitu implementaciju kripto algoritama i zahtijeva samo pristup ključevima)
    • mogu koristiti kriptografske pružatelje osim standardnih
  • koji će dodatni softver (osim drajvera za tokene) trebati instalirati na radnim stanicama i poslužiteljima. Na primjer, standardno Microsoftovo tijelo za izdavanje certifikata ne podržava generiranje ključeva za GOST algoritme (a token možda neće raditi s drugima).