+7 (495) 956-79-28
Демо-версия клиента под BlackBerry
Версия для печати
Главная / Пресс-центр / Статьи и интервью / Защита СЭД и обеспечение юридической значимости электронного документооборота
Статьи и интервью

Защита СЭД и обеспечение юридической значимости электронного документооборота

09.09.2009

С активным внедрением автоматизации процессов документационного обеспечения управления и делопроизводства как в государственных, так и в коммерческих организациях выдвигаются новые требования к защите информации, в частности, к обеспечению юридической значимости электронной цифровой подписи.

Под системой электронного документооборота (СЭД) понимается организационно-техническая система, представляющая собой совокупность аппаратных и программных средств, реализующая электронный документооборот. В некоторых случаях в состав СЭД включают подсистему управления сертификатами ключей. Иногда под СЭД только программное обеспечение, с использованием которого реализуется электронный документооборот.

СЭД все активнее внедряются для автоматизации процессов документационного обеспечения управления и делопроизводства, а также автоматизации деятельности коллегиальных органов управления как в государственных, так и в коммерческих организациях.

До последнего времени системы автоматизации использовались в делопроизводственных службах как внутреннее средство автоматизации — автоматизировался процесс учета, хранения сведений о работе с документами и их поиска, а работа осуществлялась с документами в бумажном виде. В настоящее время ситуация начинает кардинально меняться. Это подтверждается и заявлениями руководства страны, и принятием нормативных актов, например правил делопроизводства в федеральных органах исполнительной власти, утвержденные постановлением Правительства Российской Федерации от 15.06.09 г. № 477, которые содержат раздел, определяющий особенности работы с электронными документами.

В СЭД объектом обработки становится сам электронный документ. Работа должностных лиц ведется непосредственно с электронным документом, причем для подписания и согласования электронных документов может применяться электронная цифровая подпись (ЭЦП), если такая функция реализована.

Это выдвигает новые требования к защищенности СЭД и обеспечению юридической значимости электронных документов. В СЭД эти задачи должна решать подсистема защиты информации. Основные ее задачи — обеспечение целостности и конфиденциальности электронных документов, разграничение прав пользователей доступа к электронным документам, а также регистрация событий, связанных с действиями пользователей при работе с электронными документами в СЭД.

Способы подтверждения электронной цифоовой подписи

Рассмотрим одну из задач — обеспечение целостности электронных документов с использованием ЭЦП с учетом требований Федерального закона от 10.01.02 г. № 1-ФЗ "Об электронной цифровой подписи" (далее – Закон об ЭЦП).

Закон об ЭЦП определяет электронную цифровую подпись как реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. При работе с ЭЦП используются закрытый и открытый ключи.

Закрытый ключ ЭЦП представляет определенную последовательность символов, которая известна только владельцу сертификата ключа подписи и предназначенная для создания в электронных документах ЭЦП. Открытый ключ ЭЦП представляет определенную последовательность символов, которая соответствует закрытому ключу ЭЦП, но доступна любому пользователю СЭД и предназначена для подтверждения ЭЦП в электронном документе.

Ввиду публичного характера открытого ключа необходимо предусмотреть механизм проверки его целостности и принадлежности именно тому лицу, которое сформировало ЭЦП (выполнило подписание электронного документа). Эту задачу решает сертификат ключа подписи, который содержит сведения о владельце (фамилия, имя, отчество и т.д.) и его открытый ключ. Сертификат ключа подписи представляет собой документ, который выпускается удостоверяющим центром. Если сертификат ключа подписи выпускается в электронной форме, то он заверяется ЭЦП уполномоченного лица этого удостоверяющего центра. Сертификат ключа подписи доступен всем пользователям СЭД и позволяет подтвердить подлинность ЭЦП в электронном документе и провести идентификацию владельца сертификата ключа подписи.

Одна из основных обязанностей владельца сертификата ключа подписи — хранить в тайне закрытый ключ ЭЦП и немедленно требовать приостановления действия сертификата ключа подписи при наличии оснований полагать, что тайна закрытого ключа ЭЦП нарушена. Это позволит защитить электронный документ от подделки и искажений, избежать конфликтных ситуаций.

В соответствии со ст. 4 Закона об ЭЦП электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

В некоторых СЭД реализуется только функция формирования ЭЦП для различных видов подписи (подписание, согласование, визирование и заверение) и функция проверки подписи для подтверждения или неподтверждения подлинности ЭЦП. Однако такая реализация не обеспечивает выполнения всех условий равнозначности ЭЦП в электронном документе собственноручной подписи в документе на бумажном носителе, что не позволяет признать подпись в данном электронном документе равнозначной собственноручной подписи в документе на бумажном носителе.

Юридическая значимость документа

Электронный документ с ЭЦП будет иметь юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи (область применения). Для обеспечения выполнения данного условия необходимо, во-первых, чтобы сертификат ключа подписи содержал сведения об отношениях, при осуществлении которых электронный документ с ЭЦП будет иметь юридическое значение; во-вторых, СЭД должна иметь функцию проверки соответствия области применения сертификата ключа подписи, владелец которого выполнил процедуру формирования ЭЦП, области применения сертификата ключа подписи, установленной для электронных документов в СЭД.

Первая задача должна решаться при выпуске удостоверяющим центром сертификата ключа подписи с необходимой областью применения. Вторая задача решается при реализации в СЭД функции проверки области применения при формировании и подтверждении подлинности ЭЦП. В случае несоответствия области применения СЭД должна запрещать выполнение операции формирования ЭЦП, а при проверке подлинности ЭЦП оповещать пользователя СЭД о несоответствии области применения сертификата.

Проверка выполнения условия о состоянии сертификата (действующий, утратил силу) также имеет некоторые особенности. Если ЭЦП не содержит доказательств о состоянии сертификата ключа подписи (относящийся к этой ЭЦП), то такую подпись называют просто "электронная цифровая подпись", а если содержит доказательства о состоянии сертификата ключа подписи — "усовершенствованная электронная цифровая подпись".

Если в СЭД формируется "простая" ЭЦП, то при подтверждении ее подлинности необходимо проверять состояние сертификатов ключа подписи в списках отозванных сертификатов, публикуемых удостоверяющим центром. Если сертификат ключа подписи, соответствующий проверяемой ЭЦП, отсутствует в списках отозванных, то подлинность ЭЦП подтвердить можно, следовательно, она является равнозначной собственноручной подписи в документе на бумажном носителе (при выполнении остальных условий). Если сертификат ключа подписи, соответствующий проверяемой ЭЦП, находится в списках отозванных, то подлинность ЭЦП подтвердить нельзя, следовательно, она не является равнозначной собственноручной подписи в документе на бумажном носителе. То есть для простой ЭЦП сертификат ключа подписи, относящийся к данному электронному документу, должен быть действующим в течение жизни электронного документа. Практически это не всегда возможно, так как сроки хранения электронного документа могут превышать период действия сертификата ключа подписи. Может быть утрачено доверие (компрометация) к закрытому ключу, используемому для формирования ЭЦП, а это приведет к изменению статуса сертификата ключа подписи — он станет недействующим (утратит силу).

Усовершенствованная ЭЦП содержит доказательства статуса сертификата ключа подписи на момент ее формирования для данного электронного документа, "штамп времени", подтверждающий момент формирования ЭЦП для данного электронного документа, а также сертификаты ключей подписи, использующихся при формировании усовершенствованной ЭЦП. Наличие указанных доказательств в усовершенствованной ЭЦП позволяет выполнять проверку условий равнозначности ЭЦП в электронном документе собственноручной подписи в документе на бумажном носителе. Эта проверка выполняется в СЭД без обращений к справочникам, в том числе удостоверяющего центра, не зависит от статуса сертификата ключа подписи после формирования усовершенствованной ЭЦП, а также позволяет организовать архивное хранение электронных документов, в том числе вне СЭД (система архивного хранения электронных документов).

Состав и структура усовершенствованной ЭЦП определяется, например, международным стандартом XML Advanced Electronic Signatures (XAdES).

Компания "ИнтерТраст" на основе указанного стандарта разработала стандарт предприятия, позволяющий формировать усовершенствованную ЭЦП для использования в корпоративной информационной системе электронного документооборота и делопроизводства - CompanyMedia с учетом особенностей электронных документов, используемых в области документационного обеспечения управления.

В общем случае усовершенствованная ЭЦП представляет собой ЭЦП электронного документа с добавлением элементов, которые содержат доказательства:

Штамп времени формируется в соответствии с протоколом TSP (Time-Stamp Protocol) на специальном сервере и содержит время выдачи и образ электронного документа, на который выдан штамп времени.

Доказательства актуальности сертификата ключа подписи на момент формирования ЭЦП формируются в соответствии с протоколом OCSP (Online Certificate Status Protocol) на специальном сервере или удостоверяющим центром и содержат идентификатор сертификата ключа подписи и его статус (действующий, не действующий), а также время выдачи.

Для выполнения криптографических функций в СЭД обычно используются сертифицированные российские средства криптографической защиты информации.

Сертифицированные российские средства криптографической защиты информации имеют все основные функции формирования и проверки ЭЦП, но не все позволяют выполнить процедуру формирования усовершенствованной ЭЦП.

Таким образом, в современных условиях одним из основных требований к СЭД является обеспечение возможности не только подтверждения подлинности ЭЦП электронного документа, но и выполнения проверки условий равнозначности ЭЦП в электронном документе собственноручной подписи в документе на бумажном носителе, что достигается применением усовершенствованной ЭЦП. Реализация таких функций в системе электронного документооборота предоставит возможность работать с документами только в электронной форме.

 
Подписка на новости
Ваш E-mail
вернуться наверх