Как только речь зашла об электронной цифровой подписи, сразу же возникает проблема ее использования.
2. Проблемы использования электронной цифровой подписи
В современном, оснащенном компьютерами предприятии документы создаются и перемещаются в электронном виде, при этом необходимость подписания документов остается. Ведь сам по себе перевод документов в другую форму не изменяет сложившихся методов управления организацией.
Федеральный закон "Об информации, информационных технологиях и о защите информации" дает определение, какой документ признается электронным: "электронное сообщение, подписанное электронно-цифровой подписью (ЭЦП) или аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях если федеральными законами или иными нормативно-правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе". Главным атрибутом электронного документа, подтверждающим его подлинность, является электронная цифровая подпись.
В принятом в 2002 г. Законе "Об электронной цифровой подписи" под электронной цифровой подписью понимается "реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". В этом законе впервые в российском законодательстве предпринята попытка отказаться от реквизита "печать", заменив его определенным видом подписи, приемлемой для данного носителя, в частности электронной цифровой подписью. Такая подпись в соответствии с законом обладает уже свойствами двух реквизитов: "подпись" и "печать". Это соответствует отмеченной специалистами тенденции к слиянию в будущем реквизитов "подпись" и "печать" в один, который станет универсальным средством идентификации, как документа, так и личности. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силы (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
· подтверждена подлинность электронной цифровой подписи в электронном документе;
· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Поскольку ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, она жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь имеет возможность изготовить пару индивидуальных ключей: секретного – для формирования цифрового аналога подписи под документом и парного с ним, открытого – для проверки достоверности цифровых подписей, вычисленных с помощью данного конкретного ключа. Принадлежность секретного ключа ЭЦП определенному лицу удостоверяется сертификатом, выдаваемым удостоверяющим центром. Каждый участник информационной системы может владеть любым количеством сертификатов. Однако электронный документ с ЭЦП имеет юридическую силу лишь в рамках отношений, указанных в сертификате ключа подписи. Ключи электронных цифровых подписей создаются для использования:
· в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
· в корпоративной информационной системе в порядке, установленном в этой системе.
При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей не сертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.
Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.
В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз.
Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте.
Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований.
Необходимо отметить, что создание документов, поддерживающих ЭЦП, – задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации:
· обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения;
· сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов;
· предотвращать неавторизованный физический доступ к помещению, где хранятся документы;
· использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями;
· мигрировать документы со старых носителей на новые каждые 10 лет;
· контролировать отсутствие изменений в документах;
· осуществлять перевод документов на технологически нейтральные форматы, такие как XML и RTP,
· ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов;
· протоколировать все действия с документами.
Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.
Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.