Salg av leiligheter 

Hva er en elektronisk signatur. Grunnleggende om bruk av elektronisk signatur ved fortolling

På grunn av den utbredte bruken informasjonsteknologier i alle livssfærer i det moderne samfunnet er prosessledelse i organisasjoner intet unntak. Av spesiell betydning på dette området er elektroniske dokumenthåndteringssystemer designet for å organisere og automatisere prosessene for samhandling mellom ansatte. Bruken av disse systemene gir effektiv ledelse dokumenter fra organisasjonen og det produktive arbeidet til ansatte. For å organisere en fullverdig elektronisk dokumenthåndtering, er det nødvendig å bruke en elektronisk signatur, som også vil være nødvendig for å drive netthandel og sende inn rapporter til enkelte offentlige etater.

Lovlig basis

Opprinnelig ble den elektroniske signaturen brukt i banker i visse europeiske land, senere behandlet FN og EU spørsmålet om dens juridiske regulering. PÅ Den russiske føderasjonen spørsmålet om lovregulering av den elektroniske signaturen dukket opp i andre halvdel av 90-tallet som en del av en diskusjon i Statsdumaen sikkerhetsproblemer i kontantløse betalinger og e-handel, og mangelen på riktige juridiske kontroller. For første gang ble konseptet med en elektronisk signatur formulert i den føderale loven av 10. januar 2002 "On Electronic Digital Signature" (heretter - Federal Law of 2002), som har blitt ugyldig siden juli 2013. I samsvar med denne lov, elektronisk digital signatur- dette er et attributt til et elektronisk dokument designet for å beskytte dette elektroniske dokumentet mot forfalskning, oppnådd som et resultat av kryptografisk transformasjon av informasjon ved bruk av den private nøkkelen til en elektronisk digital signatur og som lar deg identifisere eieren av signaturnøkkelsertifikatet, som samt å fastslå fravær av informasjonsforvrengning i elektronisk dokument.

For øyeblikket er det juridiske grunnlaget for bruken av en elektronisk signatur i den russiske føderasjonen den føderale loven av 6. april 2011 "Om elektronisk signatur" (heretter - den føderale loven av 2011). Med elektronisk signatur menes i samsvar med den informasjon i elektronisk form som er knyttet til annen informasjon i elektronisk form (signert informasjon) eller på annen måte er knyttet til slik informasjon og som brukes til å identifisere den som signerer opplysningene. strøm føderal lov de grunnleggende begrepene og prinsippene for bruk av en elektronisk signatur er definert, typene elektroniske signaturer og vilkårene for anerkjennelse av dem er fastsatt, og statlige myndigheters fullmakter, rettigheter og plikter til deltakere i elektronisk samhandling ved bruk av elektronisk signatur er regulert.

Dermed er den nåværende definisjonen av en elektronisk signatur bredere enn den forrige, og nå er begrepet en elektronisk digital signatur gitt i den tidligere loven nær, men ikke identisk, med begrepet en forbedret elektronisk signatur, hvis egenskaper er følgende:

Innhentet som et resultat av kryptografisk transformasjon av informasjon ved hjelp av en elektronisk signaturnøkkel;

Lar deg identifisere personen som signerte det elektroniske dokumentet;

Lar deg oppdage det faktum at du gjør endringer i et elektronisk dokument etter signeringsøyeblikket;

Laget ved hjelp av elektroniske signaturverktøy;

Den elektroniske signaturverifiseringsnøkkelen er spesifisert i det kvalifiserte sertifikatet;

For å opprette og verifisere en elektronisk signatur, brukes elektroniske signaturverktøy som har mottatt bekreftelse på samsvar med kravene fastsatt i samsvar med den føderale loven "On Electronic Signature" av 2011.

Det skal også bemerkes at i perioden april 2011 til juni 2013 fungerte begge de ovennevnte lovene parallelt, noe som skyldtes behov for tid for overgang av markedsaktører og offentlige etater til nye sertifikater og regler for arbeid med elektroniske signaturer.

Essensen av den elektroniske signaturen

En elektronisk signatur i Den russiske føderasjonen brukes av enkeltpersoner og juridiske personer og er en analog av den håndskrevne signaturen til en autorisert person på papir og forseglet, bare i forhold til å gi juridisk kraft til et elektronisk dokument. Hovedformålene med å bruke en elektronisk signatur er:

Elektronisk dokumenthåndtering av selskapet;

Deltakelse i elektronisk handel på elektroniske handelsplattformer;

Innlevering av rapporter til offentlige etater.

Fordelene med å bruke en elektronisk signatur for en organisasjon er følgende:

Redusere tiden for utveksling av dokumenter og transaksjoner;

Redusere kostnadene ved å opprette, levere, lagre dokumenter;

Garantier for pålitelighet og konfidensialitet for den overførte informasjonen;

Effektivt dokumentutvekslingssystem for bedriftens ansatte;

Eliminering av problemet med tilstedeværelse / fravær av myndighet til å signere visse dokumenter.

Dermed er det med elektronisk dokumenthåndtering ved bruk av elektronisk signatur mulig å unngå mange papirarbeidsflytproblemer, redusere tiden for informasjonsutveksling betydelig og øke effektiviteten i organisasjonen som helhet.

I tillegg til fordelene ved å bruke en elektronisk signatur, er det også ulemper:

Bruk av skruppelløse brukere;

Utilgjengelighet / tap av elektroniske arkiver av alle dokumenter fra organisasjoner på grunn av problemer med utstyr;

Maskinvare- og programvarekostnader.

Imidlertid er disse manglene mer sannsynlig å være frykt som er helt grunnløs i tilfelle riktig bruk elektroniske dokumenthåndteringssystemer med elektronisk signatur hos bedriften: bruken av en individualisert programvare, lage sikkerhetskopier av informasjon, rettidig reparasjon og utskifting av utstyr, etc.

Bruken av en elektronisk signatur i Den russiske føderasjonen utføres på grunnlag av flere prinsipper som er de grunnleggende fundamentene på dette området:

Frihet til å velge type elektronisk signatur - deltakeren har rett til uavhengig å bestemme typen elektronisk signatur, hvis kravet om å bruke en bestemt type elektronisk signatur i samsvar med formålene med bruken ikke er gitt av føderale lover eller regulatoriske rettsakter vedtatt i samsvar med dem eller ved en avtale mellom deltakere i elektronisk interaksjon;

Frihet til å bruke informasjonsteknologi og tekniske midler- deltakeren har muligheten til å bruke, etter eget skjønn, all informasjonsteknologi og (eller) tekniske midler som gjør det mulig å oppfylle kravene i den føderale loven av 2011 i forhold til bruk av spesifikke typer elektroniske signaturer;

Ugyldigheten av å anerkjenne en elektronisk signatur og (eller) et elektronisk dokument signert av den som ugyldig bare på grunnlag av at en slik elektronisk signatur ikke ble opprettet av ens egen hånd, men ved å bruke elektroniske signaturverktøy for automatisk opprettelse og (eller) automatisk verifisering av elektroniske signaturer i informasjonssystemet.

En analyse av prinsippene for bruk av en elektronisk signatur lar oss konkludere med at en deltaker i elektronisk interaksjon har frihet til å velge type elektronisk signatur og nødvendige tekniske midler, avhengig av målene for hans aktivitet og den juridiske reguleringen av denne aktiviteten når det gjelder tilstedeværelse/fravær av obligatoriske krav til elektronisk signatur.

Enkle konsepter

For en full forståelse av funksjonsmekanismen til en elektronisk signatur, er det nødvendig ikke bare å overfladisk forstå essensen, men også å studere de grunnleggende konseptene som vises på dette området.

Deltakere i elektronisk interaksjon er personer og (eller) organisasjoner som utveksler informasjon i elektronisk form, inkludert statlige organer, lokale myndigheter, etc.

Et bedriftsinformasjonssystem er et informasjonssystem der deltakere i elektronisk interaksjon utgjør en viss krets av mennesker.

Et offentlig informasjonssystem er et informasjonssystem der deltakere i elektronisk samhandling utgjør en ubestemt krets av personer og i bruken av disse personene ikke kan nektes.

En elektronisk signaturnøkkel er en unik sekvens av tegn som brukes til å lage en elektronisk signatur.

Elektronisk signaturverifiseringsnøkkel - en unik sekvens av tegn som er unikt knyttet til den elektroniske signaturnøkkelen og designet for å bekrefte ektheten til den elektroniske signaturen.

Et verifikasjonsnøkkelsertifikat for elektronisk signatur er et elektronisk dokument eller et papirdokument utstedt av et sertifiseringssenter eller en tillitsmann for sertifiseringssenteret og bekrefter at verifiseringsnøkkelen for elektronisk signatur tilhører eieren av verifikasjonsnøkkelsertifikatet for elektronisk signatur.

Et kvalifisert verifikasjonsnøkkelsertifikat for digital signatur er et verifiseringsnøkkelsertifikat for elektronisk signatur utstedt av et akkreditert sertifiseringssenter eller en tillitsmann for et akkreditert sertifiseringssenter eller et føderalt utøvende organ autorisert innen bruk av elektronisk signatur (departementet for telekom og massekommunikasjon av den russiske føderasjonen).

Elektroniske signaturverktøy er krypteringsverktøy (kryptografiske) som brukes til å opprette eller verifisere en elektronisk signatur, opprette eller verifisere en elektronisk signaturnøkkel.

En sertifiseringsinstans er en juridisk enhet eller en individuell entreprenør som utfører funksjonene med å opprette og utstede sertifikater av nøkler for å verifisere elektroniske signaturer, etc. For tiden utføres funksjonene til hovedsertifiseringssenteret i forhold til akkrediterte sertifiseringssentre av departementet for telekom og massekommunikasjon i Den russiske føderasjonen, som utfører akkreditering av sertifiseringssentre.

Sertifiseringssenterverktøy - programvare og (eller) maskinvare som brukes til å implementere funksjonene til et sertifiseringssenter.

Typer elektronisk signatur

Russisk lovgivning gir tre hovedtyper elektronisk signatur:

1) enkel elektronisk signatur - en elektronisk signatur, som ved bruk av koder, passord eller andre midler bekrefter dannelsen av en elektronisk signatur av en bestemt person;

2) forbedret ukvalifisert elektronisk signatur (ukvalifisert elektronisk signatur) - en elektronisk signatur som er oppnådd som et resultat av kryptografisk transformasjon av informasjon ved hjelp av en elektronisk signaturnøkkel, og lar deg identifisere personen som signerte det elektroniske dokumentet og oppdage det faktum å lage endringer i dokumentet etter signeringsøyeblikket, samt opprettet ved hjelp av elektroniske signaturmidler;

3) forbedret kvalifisert elektronisk signatur (kvalifisert elektronisk signatur) - en elektronisk signatur, som er oppnådd som et resultat av kryptografisk transformasjon av informasjon ved hjelp av en elektronisk signaturnøkkel, lar deg identifisere personen som signerte det elektroniske dokumentet og oppdage det faktum å lage endringer i dokumentet etter signeringsøyeblikket, og oppretter også ved hjelp av elektroniske signaturer. Samtidig er den elektroniske signaturverifiseringsnøkkelen angitt i det kvalifiserte sertifikatet, og elektroniske signaturverktøy som har mottatt bekreftelse på samsvar med kravene fastsatt i samsvar med lovgivningen i Den russiske føderasjonen på dette området, brukes til å opprette/verifisere elektronisk signatur.

I forbindelse med endringer i lovgivning og bestemmelsene i den føderale loven "On Electronic Signature" fra 2011, der det ikke er noe tidligere konsept for "elektronisk digital signatur", er det nødvendig å vurdere spørsmålet om forholdet mellom nåværende signaturer og nye. . Signaturnøkkelsertifikater utstedt i samsvar med føderal lov nr. 1-FZ av 10. januar 2002 "On Electronic Digital Signature" blir således anerkjent som kvalifiserte sertifikater. Samtidig, et elektronisk dokument signert med en elektronisk signatur, hvis bekreftelsesnøkkel er inneholdt i sertifikatet til den elektroniske signaturverifiseringsnøkkelen, utstedt i samsvar med prosedyren tidligere fastsatt ved lov, i løpet av gyldighetsperioden til det spesifiserte sertifikatet , men senest 31. desember 2013, anerkjennes som et elektronisk dokument, signert med en kvalifisert elektronisk signatur. I tilfeller der føderale lover og andre regulatoriske rettsakter som trådte i kraft før 1. juli 2013 gir mulighet for bruk av en elektronisk digital signatur, brukes en forbedret kvalifisert elektronisk signatur.

Men for å kunne anvende den elektroniske signaturen fullt ut i forbindelse med endringene ovenfor, må organisasjoner ikke bare ta hensyn til de juridiske aspektene ved likestillingen av visse typer signaturer, men også å utforske teknisk aspekt. Når du sammenligner et sertifikat kvalifisert signatur og et elektronisk digital signatursertifikat nedfelt i den føderale loven av 2002, vil det være en forskjell mellom dem i nærvær / fravær av SNILS-feltet (forsikringsnummeret til en individuell personlig konto i den russiske føderasjonens pensjonsfond), som kan føre til at det er umulig å bruke i spesifikke systemer avhengig av deres krav. I dette tilfellet er det nødvendig å lære på forhånd om kravene til typen elektronisk signatur for de spesifikke formålene til organisasjonen, eller å ha begge sertifikater.

Samtidig er det viktig å vite at en kvalifisert elektronisk signatur ikke er universell, og den obligatoriske bruken er kun gitt for en rekke informasjonssystemer til statlige organer, for eksempel som gosuslugi.ru-portalen eller rapporteringssystemene til den føderale skattetjenesten i den russiske føderasjonen. Angående handelsgulv, så bestemmer de selv kravene til elektroniske signaturer og har rett til å bruke både en kvalifisert signatur og en elektronisk digital signatur gitt av den føderale loven av 2002. En lignende situasjon med uavhengighet av bestemmelse av ulike systemer skaper et problem i form av umuligheten for noen av dem å jobbe med kvalifiserte elektroniske signaturer selv ved utløpet av loven i 2002.

I dette scenariet er det mest logiske for organisasjonen å bestemme formålet med å bruke en elektronisk signatur. Hvis dette er rapportering til offentlige etater, så haster det å få en kvalifisert signatur. Men hvis vi snakker om andre handelstransaksjoner, er det bedre å kontakte sertifiseringssenteret for å få en kvalifisert signatur for å unngå en vanskelig situasjon i tilfelle at et nettsted bytter til sitt obligatoriske krav.

Det skal også bemerkes at flere sammenkoblede elektroniske dokumenter (pakke) kan signeres med én elektronisk signatur, og hvert slikt dokument for seg anerkjennes som signert. Samtidig bør man likevel ikke glemme kravene til spesifikke typer elektroniske signaturer i noen tilfeller.

Elektroniske signaturer opprettet i samsvar med lovreglene til en fremmed stat og internasjonale standarder anerkjennes i Russland, avhengig av samsvar med funksjonene til en bestemt type. Utstedelse av et sertifikat for verifiseringsnøkkelen for elektronisk signatur i samsvar med normene i utenlandsk lov er ikke en grunn til å ugyldiggjøre dokumentet.

Prosedyren for å få en elektronisk signatur

Innhenting av elektronisk signatur skjer i flere trinn:

1. Finne riktig CA

For å få en elektronisk signatur må du først bestemme formålene med å bruke en elektronisk signatur av organisasjonen din og, avhengig av dem, velge et sertifiseringssenter som er autorisert til å produsere sertifikater for bekreftelsesnøkler for elektronisk signatur.

Kompetansen til sertifiseringssenteret inkluderer:

Opprettelse og utstedelse av sertifikater for bekreftelsesnøkler for elektronisk signatur til personer som søkte om kvittering (søkere);

Godkjenning av gyldighetsperioder for sertifikater for bekreftelsesnøkler for elektronisk signatur;

Kansellering av sertifikater for bekreftelsesnøkler for elektronisk signatur utstedt av ham;

Utstedelse på forespørsel fra søkeren av elektronisk signatur betyr som inneholder en elektronisk signaturnøkkel og en elektronisk signaturverifiseringsnøkkel (inkludert de som er opprettet av et sertifiseringssenter) eller gir mulighet for å opprette en elektronisk signaturnøkkel og en elektronisk signaturverifiseringsnøkkel av søkeren ;

Opprettholde et register over sertifikater for bekreftelsesnøkler for elektronisk signatur utstedt og kansellert av ham, inkludert informasjon i sertifikatene for bekreftelsesnøkler for elektronisk signatur utstedt av dette sertifiseringssenteret, og informasjon om datoene for oppsigelse eller kansellering av sertifikater for verifiseringsnøkler for elektronisk signatur og om begrunnelsen for slike oppsigelser eller kanselleringer;

Godkjenning av prosedyren for å opprettholde registeret over sertifikater som ikke er kvalifisert, og prosedyren for å få tilgang til det, samt sikre tilgang for personer til informasjonen i sertifikatregisteret, inkludert bruk av Internett;

Opprettelse av elektroniske signaturnøkler og elektroniske signaturverifiseringsnøkler på forespørsel fra søkere;

Sjekke unikheten til nøkler for å verifisere elektroniske signaturer i sertifikatregisteret;

Implementering av verifisering av elektroniske signaturer på forespørsel fra deltakere i elektronisk interaksjon;

Utføre andre aktiviteter knyttet til bruk av elektronisk signatur.

I tillegg har sertifiseringsmyndigheten følgende ansvar:

Informere søkere skriftlig om vilkårene og prosedyren for bruk av elektroniske signaturer og elektroniske signaturmidler, om risikoene forbundet med bruk av elektroniske signaturer, og om tiltakene som er nødvendige for å sikre sikkerheten til elektroniske signaturer og deres verifisering;

Sikre relevansen av informasjonen i sertifikatregisteret, og dens beskyttelse mot uautorisert tilgang, ødeleggelse, modifikasjon, blokkering og andre ulovlige handlinger;

Gi gratis til enhver person på hans anmodning i samsvar med den etablerte prosedyren for tilgang til sertifikatregisteret informasjonen i sertifikatregisteret, inkludert informasjon om kansellering av sertifikatet til den elektroniske signaturverifiseringsnøkkelen;

Sikre konfidensialiteten til elektroniske signaturnøkler opprettet av sertifiseringssenteret.

Derfor er sertifiseringssenterets hovedfunksjoner å verifisere elektroniske signaturer, hvis verifikasjonsnøkler er angitt i sertifikatene til elektroniske signaturverifiseringsnøkler utstedt av betrodde personer, og å sikre elektronisk interaksjon mellom betrodde personer, samt betrodde personer med sertifiseringsmyndigheten. Opplysninger som er innført i sertifikatregisteret er gjenstand for lagring i hele sertifiseringssenterets aktivitetsperiode, med mindre en kortere periode er fastsatt ved regulatoriske rettsakter. Ved avslutning av sertifiseringssenterets virksomhet uten å overføre funksjonene til andre personer, må det skriftlig varsle eierne av sertifikater for elektronisk signaturverifiseringsnøkler utstedt av dette sertifiseringssenteret og hvis gyldighetsperiode ikke er utløpt, minst én måned før datoen for oppsigelse av dette sertifiseringssenteret. I dette tilfellet, etter fullføringen av aktivitetene til sertifiseringssenteret, må informasjonen som er oppført i sertifikatregisteret, ødelegges. Ved avslutning av sertifiseringssenterets virksomhet med overføring av funksjonene til andre personer, må det skriftlig varsle eierne av sertifikater for elektronisk signaturverifiseringsnøkler utstedt av dette sertifiseringssenteret og hvis gyldighet ikke er utløpt, minst en måned før datoen for overføring av funksjonene. I dette tilfellet, etter fullføring av virksomheten til sertifiseringssenteret, må informasjonen som er registrert i sertifikatregisteret overføres til personen som overførte funksjonene til sertifiseringssenteret som avsluttet sin virksomhet.

Samtidig er det også viktig å vurdere stabiliteten og kvaliteten til tjenesteleverandøren, som som regel bestemmes av bredden av bruksområdene til deres sertifikater. Og selvfølgelig bør du ikke ta avgjørelsen din avhengig av prisen, siden for fullverdig drift må du kjøpe et komplett sett i form av en nøkkelbærer, en lisens for retten til å bruke et elektronisk signaturverktøy og et sertifikat for en bekreftelsesnøkkel for elektronisk signatur. Prisene varierer. På Internett kan du finne nettstedene til sertifiseringssentre i en passende region og finne ut all informasjon i detalj.

2. Innlevering av søknad og dokumenter for innhenting av elektronisk signatur

Etter å ha bestemt deg for sertifiseringsinstans, må du sende en søknad om utstedelse av et elektronisk signatursertifikat. En slik søknad kan sendes inn på nettstedet ved å fylle ut et kort skjema, etter behandling som lederen vil ringe tilbake for å avklare detaljene for registreringen, og senere vil det være nødvendig å gi en liste over dokumenter til registreringssenteret for sertifiseringen senter. Det er også mulig å fylle ut et fullstendig registreringskort på siden og ankomme stedet for utstedelse av sertifikater når det er klart. På dette stadiet avhenger søknadsskjemaet av valget av en spesifikk sertifiseringsinstans.

Etter å ha overvåket nettstedene til sertifiseringssentre, listen over dokumenter som kreves for produksjon kvalifisert sertifikat Signeringsnøkkelen ser vanligvis slik ut:

For juridiske personer

Notarisert kopi eller original med en enkel kopi av utdraget fra Unified State Register of Legal Entities

Attestert kopi, eller original med enkel kopi av registreringsbeviset hos skattemyndigheten

For individuelle gründere

Søknad om produksjon av et signaturnøkkelsertifikat

En attestert kopi eller en original med en enkel kopi av et utdrag fra USRIP

Attestert kopi eller original med en enkel kopi av registreringsbeviset hos skattemyndigheten

Kopi av SNILS-sertifikatinnehaver

Kopi av passet til den fremtidige sertifikatinnehaveren

Kopi av sertifikatmottakers pass

Fullmakt for å få et signaturnøkkelsertifikat (hvis dette ikke er eieren av sertifikatet)

En fullmakt som bekrefter autoriteten til eieren av signaturnøkkelsertifikatet (hvis eieren ikke har rett til å handle på vegne av juridisk enhet uten fullmakt)

For enkeltpersoner

Søknad om produksjon av et signaturnøkkelsertifikat

Attestert kopi, eller original med enkel kopi av registreringsbeviset hos skattemyndigheten

Kopi av passet

Kopi av SNILS-sertifikatinnehaver.

3. Innhenting av et sertifikat og et sett

Den personlige tilstedeværelsen til eieren av sertifikatet eller hans betrodde representant for å få sertifikatet til den elektroniske signaturverifiseringsnøkkelen er en forutsetning for de fleste sertifiseringssentre. Til tross for at det i praksis er tilfeller av ekstern levering av tjenester ved bruk av overføring av skannede søknadsdokumenter via e-post og å få et elektronisk signatursertifikat også via post, handler som oftest svindlere på denne måten. Registrering av et sertifikat og utstedelse av et sett i et sertifiseringssenter vil ikke ta mye tid. Dette settet inkluderer vanligvis:

Nøkkelbærer (diskett, flash-stasjon, token) som inneholder filer med en elektronisk signaturnøkkel;

Sertifikatet til den elektroniske signaturverifiseringsnøkkelen, som også er registrert som en fil på samme nøkkelmedium;

En kopi av sertifikatet til den elektroniske signaturverifiseringsnøkkelen på papir med signaturen og seglet til sertifiseringssenteret;

Lisens for rett til å bruke et dataprogram, som i henhold til loven kalles et elektronisk signaturverktøy;

Programmet til selve det elektroniske signaturverktøyet (installasjonsfiler) og dokumentasjon for det på en CD.

I tilfelle tyveri eller tap av den elektroniske signaturnøkkelen, må du kontakte sertifiseringssenteret, rapportere dette og motta en ny nøkkel og et nytt sertifikat for den elektroniske signaturverifiseringsnøkkelen, mens alle stadier for å få den må gjentas og sertifikatet vil være helt annerledes.

Det er også viktig å merke seg at den elektroniske signaturen har en utløpsdato, mens signaturnøkkelens gyldighetsperiode skilles - dette er tidsperioden nøkkelen kan brukes til å lage en signatur, og signaturverifiseringsnøkkelens gyldighetsperiode er tidsperioden som nøkkelen kan brukes til å lage en signatur verifisering av gyldigheten til den elektroniske signaturen. Som regel er første termin satt til 1 år, og andre termin settes fra 1 til 15 år. Men selv etter å ha mottatt en ny signeringsnøkkel og et nytt sertifikat etter at det gamle utløper, inntil det "gamle" sertifikatet utløper, vil alle "gamle" signaturer anses som gyldige.

Krav til ansatte i organisasjonen ved arbeid med elektronisk signatur

Til tross for den enkle prosedyren for å få en elektronisk signatur, for effektiv bruk er det nødvendig å være oppmerksom på å sikre informasjonssikkerhet på arbeidsplassen til ansatte. Prosedyren for å sikre informasjonssikkerhet når du arbeider med en elektronisk signatur, bestemmes som regel av organisasjonens leder basert på anbefalinger om organisatoriske og tekniske beskyttelsestiltak, samt gjeldende russisk lovgivning innen informasjonsbeskyttelse.

Ansatte som har tilgang til nøkkelinformasjon og arbeider ved hjelp av elektronisk signatur, skal identifiseres og godkjennes i en bestemt liste. De må gjennomgå passende opplæring og gjøre seg kjent med dokumentasjonen for et bestemt informasjonssystem, samt forskriftsdokumenter om bruk av elektronisk signatur. Oftest har organisasjoner en ansatt som er ansvarlig for sikkerheten til driften av kryptografiske informasjonsbeskyttelsesverktøy, som er engasjert i hele prosessen med å støtte disse prosessene, inkludert opprettelsen av spesialiserte stillingsbeskrivelser. Ved oppsigelse eller overføring til annen avdeling med endring i arbeidsoppgavene til en ansatt, anbefales det å endre nøklene som den ansatte hadde tilgang til.

Det skal bemerkes at de ovennevnte er de mest Generelle Krav, som nok en gang understreker alvoret i bruken av elektronisk signatur i organisasjonen. Men i praksis er hver organisasjon individuell når det gjelder å regulere dette spørsmålet.

Registrering av arbeidsforhold

Særlig aktuelt de siste årene er bruken av elektronisk signatur for registrering av arbeidsforhold med ansatte som er i fjerntilgang. I april 2013 endres således Arbeidskodeks RF, som regulerer reguleringen av fjernarbeidernes arbeid og sørger for inngåelse av arbeidsavtale om fjernarbeid gjennom utveksling av elektroniske dokumenter. Innenfor rammen av disse arbeidsforholdene vil det imidlertid kun brukes en kvalifisert elektronisk signatur for begge parter: arbeidsgiver og arbeidstaker. For å bekrefte kjennskap til rekkefølgen for ansettelse, reglene for den interne fremdriftsplan, andre dokumenter i i elektronisk format den ansatte må også kun bruke en forbedret kvalifisert elektronisk signatur.

Imidlertid dokumenter vedr arbeidsaktivitet av en fjernarbeider er også utarbeidet i papirform ved hjelp av kopier av dokumenter i elektronisk form, som attesteres med en kvalifisert elektronisk signatur fra arbeidsgiver og sendes til fjernarbeideren for kjennskap. Det er denne kopien den ansatte signerer med sin elektroniske signatur.

Ansvar for brudd på lovverket om elektronisk signatur

Ansvar for brudd på bestemmelsene i lovverket om bruk av elektronisk signatur gis for ulike deltakere i elektronisk samhandling. Det er viktig å merke seg at den føderale loven "om elektronisk digital signatur" av 2002 gir strafferettslig, sivilt og administrativt ansvar i samsvar med den russiske føderasjonens lovverk for misbruk av digital signatur en annen person, inkludert ulovlig mottak av en privat nøkkel og (eller) uten riktig autoritet, for ulovlig opprettelse og bruk av private nøkler, samt i tilfelle tap av brukeren av den offentlige nøkkelen på grunn av uautorisert tilgang til den private nøkkelen på grunn av eieren av signaturnøkkelsertifikatet.

I gjeldende lov av 2011 er det imidlertid ingen slike henvisninger til ansvaret til deltakere i elektronisk interaksjon. Samtidig tok lovgiveren oppmerksomhet til reguleringen av sertifiseringssenterets ansvar for skade påført tredjeparter som følge av manglende oppfyllelse eller feilaktig oppfyllelse av forpliktelser som følger av kontrakten for levering av tjenester fra sertifiseringssenteret , samt manglende oppfyllelse eller utilbørlig oppfyllelse av forpliktelsene gitt i denne loven.

Dermed, etter å ha studert lovreguleringen og organisatoriske spørsmål ved hjelp av en elektronisk signatur kan vi konkludere med at denne teknologien er relevant på det nåværende tidspunkt. Den utbredte bruken av informasjonsteknologi og overgangen til elektronisk dokumenthåndtering vil bære frukter i nær fremtid. positiv påvirkning dette tar imidlertid litt tid. Juridisk regulering av mekanismene for funksjon av elektroniske signaturer, inkludert overgangsperiode fra lovens bestemmelser, som har mistet kraft, til den nye rettsorden, trenger ytterligere utdyping. Det er spesielt verdt å merke seg kompleksiteten og kompleksiteten i bruken av ulike typer elektroniske signaturer, noe som negativt påvirker oppfatningen av organisasjoner i ferd med å introdusere ny teknologi. I tillegg er det problematiske punktet mangelen på tilstrekkelig lovregulering av ansvaret til alle deltakere i elektronisk samhandling. Det er ment å være logisk å etablere ytterligere ansvar for ansatte ved lokale handlinger fra en bestemt organisasjon. Men for tiden i Russland øker sirkulasjonen av elektroniske dokumenter ved hjelp av en elektronisk signatur raskt.

EDS-standarder i vårt land er etablert ved lov. Kravene til elektroniske signaturer finnes i den føderale loven nr. 63-FZ, og i ordren til den føderale sikkerhetstjenesten i den russiske føderasjonen nr. 796. De definerer strukturen og innholdet i kravene til elektroniske signaturmidler.

EDS sikkerhetskrav

Sikkerhetsstandarder indikerer at en elektronisk signatur må opprettes ved bruk av manipulasjonssikre algoritmer. For det første gjelder dette kravet valg av nøkkel eller muligheten for å påvirke den ved hjelp av programvare eller maskinvare. I tillegg skal EDS ikke være utsatt for angrep som påvirker driftsmiljøet - for eksempel skade BIOS.

Selv om standardene ikke inneholder informasjon om bruk av fremmednøkler, er bruken av dem en av få måter å gi det nødvendige beskyttelsesnivået på. Samtidig må det huskes at alle EDS-komponenter ikke kan plasseres på en fysisk, vanligvis representert av en USB-nøkkel. Lovkravet i dette tilfellet er utvetydig - kryptering må utføres av et program installert på datamaskinen som bruker eksterne medier som autentisering. Standardene tillater heller ikke koding ved bruk av skytjenester som ikke har en validert statlige organer sikkerhetsnivå.

Prosedyre for bruk av elektronisk signatur

Når det gjelder prosessen med sertifisering av et dokument og lesing av en EDS, stilles lignende krav:

  1. Brukeren må se innholdet i det signerte dokumentet.
  2. Brukeren må bekrefte signeringen av dokumentet.
  3. ES-verktøy skal entydig vise at signaturen er opprettet.

Uavhengig av type skal informasjonen om eieren av signatursertifikatet være "hard-wired" i ES-sertifikatet. Dette letter i stor grad analysen av diskutable situasjoner når man samhandler med offentlige etater eller motparter som behandler en stor flyt av dokumentflyt per dag.

  • Krav til elektroniske signaturverktøy
  • Krav til sertifiseringsinstansens verktøy
Utviklingen av disse dokumentene ble gitt av del 5 av artikkel 8 i den føderale loven av 6. april 2011 nr. 63-FZ "On Electronic Signature".

Kravene er ment for kunder og utviklere av elektroniske signaturverktøy og sertifiseringssentre i deres samhandling med hverandre og med organisasjoner som utfører kryptografiske og spesielle studier av slike verktøy, samt i deres samhandling med FSB, som bekrefter at slike verktøy er i samsvar med de fastsatte kravene.

Jeg var først og fremst interessert i hvordan disse kravene gjenspeiler problemstillinger knyttet til arkivhåndtering. Mange relevante gjenstander ble funnet i "Krav til midler for elektronisk signatur".

Når du oppretter en elektronisk signatur (ES), må ES-verktøyene (klausul 8):

  • vise personen som signerer det elektroniske dokumentet innholdet i informasjonen han signerer,
  • opprette en ES først etter at personen som signerer det elektroniske dokumentet bekrefter operasjonen for å opprette en ES,
  • viser tydelig at ES er opprettet.
Når du sjekker ES, må ES-verktøyene (klausul 9):
  • vise innholdet i et elektronisk dokument signert av en ES,
  • vise informasjon om å gjøre endringer i det signerte ES elektroniske dokumentet,
  • angi personen som bruker ES-nøkkelen som elektroniske dokumenter er signert til.
Disse kravene gjelder ikke for ES-verktøy som brukes til automatisk opprettelse og (eller) automatisk verifisering av ES i informasjonssystemet (klausul 10).

Avhengig av evnen til å motstå trusler, er ES-verktøy delt inn i klasser (klausul 12). Avhengig av klassen varierer kravene for registrering av hendelser knyttet til bruken av ES-verktøyet:

33. For ES-verktøy i klassene KS1 og KS2 er behovet for å presentere krav til registrering av hendelser og deres innhold angitt i TOR for utvikling (modernisering) av ES-verktøy.

34. Sammensetningen av ES-verktøyene i klassene KS3, KB1, KB2 og KA1 bør inkludere en modul som registrerer i den elektroniske loggen av hendelser i ES- og SF-verktøyene knyttet til ytelsen til ES-verktøyet av dets målfunksjoner.

Kravene til den angitte modulen og listen over registrerte hendelser bestemmes og begrunnes av organisasjonen som utfører forskningen av ES-verktøyet for å vurdere ES-verktøyets samsvar med disse kravene.

Kravene for å sikre sikkerheten til hendelsesloggen er også fastsatt:
35. Hendelsesloggen skal bare være tilgjengelig for personer spesifisert av operatøren av informasjonssystemet som ES-verktøyet brukes i, eller personer autorisert av ham. Samtidig skal tilgang til hendelsesloggen kun utføres for å se poster og for å flytte innholdet i hendelsesloggen til arkivmedier.
Avsnitt 36 virket for meg ekstremt kontroversielt i dokumentet, utløpsdato for offentlig nøkkel EP. Spørsmålet dukker umiddelbart opp, hva med de organisasjonene som vil signere dokumenter med permanent eller langvarig lagringstid med elektronisk signatur? Hva skal de gjøre med disse dokumentene om 15 år - kaste dem i den elektroniske søpla (samtidig glemme rettighetene og pliktene knyttet til dem)?

Fra mitt synspunkt er enten forfatterne av dokumentet i strid med det russiske språket, og de kunne ikke på en kompetent måte uttrykke tankene sine, uansett hva det måtte være, eller de i trøbbel med loven, som ikke sørger for slik dumhet som tap av rettskraft ved signaturen.

36. Gyldighetsperiode for ES-verifiseringsnøkkelen må ikke overstige ES-nøkkelens gyldighetsperiode med mer enn 15 år.

37. Kravene til mekanismen for å overvåke bruksperioden for ES-nøkkelen, blokkering av driften av ES-verktøyet i tilfelle et forsøk på å bruke nøkkelen lenger enn den angitte perioden, bestemmes av utvikleren av ES-verktøyet og begrunnet av organisasjonen som forsker på ES-verktøyet for å vurdere ES-verktøyets samsvar med disse kravene.

Spørsmålet oppstår også om kvalifikasjonene til spesialistene i Justisdepartementet, som med suksess registrerte dette dokumentet.

(EDS) er et attributt til et elektronisk dokument designet for å beskytte dette elektroniske dokumentet mot forfalskning, innhentet som et resultat av kryptografisk transformasjon av informasjon ved bruk av den private nøkkelen til en elektronisk digital signatur og som gjør det mulig å identifisere eieren av EDS-nøkkelsertifikatet, som samt å fastslå fravær av informasjonsforvrengning i det elektroniske dokumentet.

Reguleringsdokumenter knyttet til EDS

Bruken av EDS ved inngåelse av transaksjoner er regulert av føderal lov av 10. januar 2002 N1-FZ "ON ELECTRONIC DIGITAL SIGNATURE". Loven forkynner generelle bestemmelser«regler» i elektroniske markeder angående anerkjennelse av en EDS i et elektronisk dokument som tilsvarende en håndskrevet signatur i et dokument på papir.


  • Vedlagt elektronisk digital signatur

    • Tidsstempeltjeneste

      Gyldighetsperioden for ethvert EDS-sertifikat er begrenset til en viss tidsperiode. Etter utløpet av gyldighetsperioden mister alle dokumenter opprettet ved hjelp av denne EDS sin juridiske kraft, fordi. er det umulig å fastslå om sertifikatet var oppdatert på tidspunktet for signering av dette dokumentet eller ikke? Dette betyr automatisk ugyldigheten av dokumentet i samsvar med den føderale loven "On Electronic Digital Signature".

      Tidsstempeltjenesten lar deg bevise eksistensen av et dokument på et bestemt tidspunkt.

      Tidsstempeltjenesten kan være en sertifiseringsinstans som har en nøyaktig og pålitelig tidskilde og leverer tidsstempeltjenester.

      Tidsstemplet er analogt med datoen på det signerte dokumentet. Den bekrefter også at sertifikatet var gyldig på tidspunktet dokumentet ble signert. Dette betyr at det fortsatt er mulig å bruke det tilbakekalte sertifikatet til å verifisere digitale signaturer opprettet før tilbakekallingen. Dette problemet er relevant for alle elektroniske dokumenthåndteringssystemer. Tidsstemplet kan også brukes til å bekrefte mottak eller utsendelse av et dokument ved behov.

      Hva annet lar deg bruke en digital signatur?

      En elektronisk digital signatur er et av de viktigste elementene for å organisere en fullverdig elektronisk dokumenthåndtering, pga fungerer som en analog av en persons håndskrevne signatur. I tillegg lar bruken av en digital signatur deg:

      * Integritetskontroll av det overførte dokumentet: i tilfelle utilsiktet eller tilsiktet endring av dokumentet, vil signaturen bli ugyldig, fordi den beregnes basert på dokumentets opprinnelige tilstand og kun tilsvarer den.
      * Beskyttelse mot endringer (forfalskning) av dokumentet: garantien for forfalskningsdeteksjon under integritetskontroll gjør forfalskning upraktisk i de fleste tilfeller.
      * Umulig å nekte forfatterskap. Siden det er mulig å lage en korrekt signatur bare hvis den private nøkkelen er kjent, og den skal være kjent kun for eieren, kan ikke eieren nekte sin signatur på dokumentet.
      * Bevis på dokumentforfatterskap: Siden det er mulig å lage en korrekt signatur kun ved å kjenne til den private nøkkelen, og den skal være kjent kun for eieren, kan eieren av nøkkelparet bevise sitt forfatterskap av signaturen under dokumentet. Avhengig av detaljene i dokumentdefinisjonen, kan felter som "forfatter", "endringer gjort", "tidsstempel" osv. signeres.

      Hva må gjøres for å jobbe med EDS?

      For å jobbe med EDS trenger du:

      • sikre tilgjengeligheten av en PC i samsvar med kravene;
      • sikre tilgjengeligheten av spesialisert programvare for arbeid med EDS;
      • bestemme personen som EDS-sertifikatet er utstedt til;
      • velg metoden for å oppnå en EDS;
      • inngå en CA-avtale og betale for tjenester for utstedelse av et signaturnøkkelsertifikat.

      Legg igjen din kommentar!

verktøy som gir, på grunnlag av kryptografiske transformasjoner, implementering av minst én av funksjonene:

    opprettelse av ES ved hjelp av privat nøkkel EI

    bekreftelse ved hjelp av den offentlige nøkkelen til ES

    opprettelse av private og offentlige ES-nøkler.

4. Kodingsverktøy (manuelle chiffer)

Midler som implementerer algoritmer for kryptografisk transformasjon av informasjon med implementering av deler av transformasjonen ved manuelle operasjoner eller ved bruk av automatiserte verktøy basert på slike operasjoner.

5. Fremstillingsmidler for nøkkeldokumenter.

Uavhengig av type nøkkelinformasjonsbærer

6. Nøkkeldokumenter (uavhengig av medietype)

Kompromiss med kryptografiske nøkler – tyveri, tap, avsløring, uautorisert kopiering og andre hendelser som følge av at kryptografiske nøkler kan bli tilgjengelige for uautoriserte personer og/eller prosesser.

Personopplysninger (PD) – all informasjon knyttet til en person identifisert eller bestemt på grunnlag av slik informasjon (PD-subjekt), inkludert etternavn, fornavn, patronym, fødselsdato, adresse, familie, sosial status, eiendomsstatus, utdanning, yrke og annen informasjon.

PD-operatør - statlig organ eller kommunalt organ, juridisk eller fysisk person som organiserer og/eller gjennomfører PD-behandling, samt fastsetter formål og innhold i PD-behandling.

EP - opplysninger i elektronisk form som er vedlagt annen informasjon i elektronisk form (signert informasjon) eller på annen måte knyttet til slik informasjon og som brukes for å identifisere den som har signert opplysningene.

ES-bekreftelsesnøkkelsertifikat - et elektronisk dokument eller et dokument på papir utstedt av en sertifiseringsmyndighet eller en autorisert representant for CA, og som bekrefter at ES-verifiseringsnøkkelen tilhører eieren av ES-verifiseringsnøkkelsertifikatet.

UC - en juridisk enhet eller en individuell entreprenør som driver med opprettelse og utstedelse av offentlige nøkler for å verifisere ES, samt andre funksjoner knyttet til ES og fastsatt ved lov.

Akkreditering av CA - anerkjennelse av det føderale utøvende organet som er autorisert innen ES-bruk av CAs samsvar med kravene i lovgivningen.

CA-midler - programvare og/eller maskinvare som brukes til å implementere funksjonene til CA.

EP-midler - kryptering eller kryptografiske midler som brukes til å implementere minst én av funksjonene:

    opprettelsen av ES

    ES-sjekk

    opprette en ES-nøkkel

    opprettelse av en ES-verifiseringsnøkkel

EP nøkkel - en unik sekvens av karakterer designet for å lage en ES. ES-verifiseringsnøkkel - ... unikt knyttet til ES-nøkkelen og beregnet for ES-autentisering.

Kvalifiserte sertifikater for ES-verifiseringsnøkler - ES-verifiseringsnøkkelsertifikat utstedt av en akkreditert CA eller en tillitsmann for en akkreditert CA eller et føderalt utøvende organ autorisert innen ES-bruk (autorisert føderalt organ)

GOST R 51275

ZI. Informatiseringsobjekter. Faktorer som påvirker informasjon. Grunnleggende bestemmelser.

Bruksområde - Standarden etablerer en klassifisering og en liste over faktorer som påvirker effektiviteten av informasjonsbeskyttelse av hensyn til berettigede trusler mot informasjonssikkerheten til kravene til informasjonssikkerhet ved et informatiseringsobjekt. Standarden gjelder for informatiseringsobjekter, opprettelse og drift innen ulike aktivitetsfelt (forsvar, økonomi, vitenskap og andre)

Identifisering og vurdering av faktorer som påvirker eller kan påvirke beskyttet informasjon under spesifikke forhold danner grunnlaget for planlegging og iverksetting av effektive tiltak rettet mot IS mot informatiseringsobjektet.

Fullstendigheten og påliteligheten til de identifiserte faktorene oppnås ved å vurdere hele settet med faktorer som påvirker alle elementer i RI (maskinvare og programvare for informasjonsbehandling, måter å gi RI, og så videre) og på alle stadier av informasjonsbehandlingen.

Identifisering av faktorer som påvirker beskyttet informasjon bør utføres under hensyntagen til kravene:

tilstrekkelig med nivåer av klassifisering av faktorer, som gjør det mulig å danne deres komplette sett;

klassifiseringsfleksibilitet. Tillater å vurdere en rekke klassifiserte faktorer, samt å gjøre endringer uten å krenke strukturen til klassifiseringene.

Faktorer som påvirker informasjon:

objektiv

innvendig

    signalisering

    utvinning av signaler, funksjoner som er iboende i de tekniske midlene til OI

    side EMP

  • tilstedeværelsen av akustoelelektriske transdusere i elementene i TS OI

    defekter, feil, feil, ulykker på kjøretøyet og OE-systemer

    defekter, feil, feil

Objektiv ekstern

    menneskeskapte fenomener

    naturfenomener, naturkatastrofer

Subjektiv intern

    utlevering av beskyttet informasjon fra personer som har rett til tilgang til den

    ulovlige handlinger fra personer som har rett til innsyn i beskyttet informasjon

    UA til beskyttet informasjon

    mangler i organiseringen av leveringen av data

    ansattes servicefeil

    Subjektiv ekstern

    tilgang til beskyttet informasjon ved hjelp av TS

    UA til beskyttet informasjon

    blokkering av tilgang til beskyttet informasjon ved å overbelaste de tekniske midlene for å behandle informasjon med falske forespørsler om behandlingen

    handlinger fra kriminelle grupper og individuelle kriminelle subjekter

    forvrengning, ødeleggelse eller blokkering av informasjon ved hjelp av TS