Электронная цифровая подпись и особенности ее применения в органах власти и управления

     Эти функции возложены на удостоверяющий корневой УЦ, созданный уполномоченным федеральным органом исполнительной власти УФО как основа объединения удостоверяющих центров органов государственной власти. При этом УЦ, работающие с КИС, могут и не входить в систему центров, объединяемых корневым УЦ (рис. 3).  

     

     Рис. 3. УЦ, работающие с КИС, могут не входить  в систему центров, объединяемых корневым УЦ

     Статус  корневого УЦ и всей системы должен определиться указом президента РФ, проект которого уже подготовлен. Данный документ разработан Министерством экономического развития и торговли, прошел согласование с ФСБ России, с Министерством информационных технологий и связи и сейчас находится на рассмотрении в Министерстве юстиции. Таким образом, этот акт закрепит правовой статус федерального (корневого) удостоверяющего центра и определит правовую конструкцию «аккредитация удостоверяющих центров»¹³ как основу для построения системы удостоверяющих центров органов государственной власти. Аккредитация определит порядок вхождения в эту систему, но пока она отсутствует — корневой УЦ для органов власти является просто техническим субъектом, который позволяет создавать только ИТ-инфраструктуру. Следует отметить, что наличие или отсутствие корневого УЦ не мешает существующей практике применения ЭЦП. Постановление правительства может изменить эту практику, но пока такого постановления тоже не существует.

     Работа  с электронными документами, заверенными  ЭЦП, ведется и в госструктурах. Например, УЦ есть и у администрации президента, и у аппарата правительства, и у Государственной Думы, и у Федеральной налоговой службы (ФНС), и у Федеральной таможенной службы (ФТС). Причем, в ФТС есть свой корневой УЦ и создается система УЦ ФТС; именно на этой основе осуществляется таможенное декларирование в электронном виде.

 

      2.4 Почему необходим корневой УЦ

     Если  практика применения ЭЦП существует и правовые механизмы работают, в  чем же заключается необходимость  корневого УЦ? Рассмотрим недостатки работы госчиновников в случае отсутствия корневого УЦ. Допустим, некий чиновник посылает электронный документ с ЭЦП из одной федеральной службы в другую. Если ему нужно обмениваться документами с 17 министерствами, это значит, что он должен управлять 17 сертификатами.

     Очевидно, что чем больше список доверенных центров сертификатов, тем труднее  управлять такой системой. Поэтому  целесообразно заменить все эти  сертификаты на один корневой, а  для этого требуется издать такое  постановление, согласно которому, если ведомство входит в систему удостоверяющих центров, на всех его чиновников распространяются единые правила исполнения электронной документации. Вследствие этого уменьшаются межведомственные разногласия, а сама система становится более дешевой.

     Уполномоченный  федеральный орган исполнительной власти в области применения ЭЦП (УФО) в лице Росинформтехнологии  определяет, что в создаваемой  системе с корневым УЦ средства построения ЭЦП могут быть любыми, но они  должны быть технически совместимыми. Поясним данный момент. Даже если все системы создания ЭЦП сертифицированы, то есть соответствуют ГОСТ, это отнюдь не гарантирует их совместимости, поскольку ГОСТ не определяет параметры алгоритмов криптографии. Таким образом, ЭЦП, созданная с помощью одного средства, не может быть проверена на другом.¹⁴

     В свое время компания «КРИПТО-ПРО» обратилась к ведущим разработчикам шифровально-криптографических  средств с инициативой признать форматы «КРИПТО-ПРО» в качестве единого стандарта, и девять ведущих  разработчиков присоединились к  этому стандарту (среди них — ЗАО «Инфотекс», МО ПНИЭИ, ФГУП НТЦ «Атлас» ФСБ России и др.). Сегодня эта проблема частично решена: например, подпись, сделанная на СКЗИ Верба OW 6.1, проверяется на СКЗИ КриптоПро CSP, и наоборот. «КРИПТО-ПРО» предложила свои форматы мировому сообществу в IETF, и в настоящее время эти форматы определены на уровне RFC.

     Организаторы  корневого УЦ от имени Уполномоченного  федерального органа исполнительной власти в области применения ЭЦП заявляют о необходимости совместимости  средств реализации ЭЦП разных УЦ.

     Однако  некоторые разработчики выпускают  сегодня и несертифицированные  средства создания ЭЦП. Существует целый  ряд коммерческих организаций (правда, их не очень много), которые не используют ЭЦП, а действуют посредством  иных аналогов собственноручной подписи согласно нормам статьи 160 Гражданского кодекса. И хотя коммерческие организации могут договориться между собой и использовать не ЭЦП, а другой аналог собственноручной подписи, однако следует иметь в виду, что ЭЦП, в отличие от таких аналогов, обеспечивает меньше рисков. Электронная цифровая подпись шире по применению, поскольку федеральный закон об ЭЦП определяет условие равнозначности ЭЦП и собственноручной подписи в сфере гражданско-правовых отношений, а это более широкая сфера, чем договорные отношения, связанные с заключением договоров сделки.

     В принципе, действующее законодательство налагает ограничения по использованию  электронной формы только на такие  документы, для которых определено, что они должны быть прошнурованы (например, счет-фактура, оригинал которого должен быть в бумажном виде). Это нашло отражение и в определениях Северо-Западного федерального арбитражного суда. Некоторые документы бессмысленно выпускать в электронной форме. Возьмем, например, товарно-транспортную накладную (документ для сопровождения груза): если ваш груз где-то в лесу остановит сотрудник транспортной инспекции или сотрудник ГИБДД, то ему бесполезно показывать дискету. Скорее всего, груз в этом случае просто будет арестован и доставлен на штрафную стоянку. Отсюда следует, что возможность ведения оригиналов документов в электронной форме определяется в каждой конкретной КИС.

 

      2.5 Примеры действующих информационных систем

     Чтобы окончательно убедится в ложности отдельных мифов в области применения ЭЦП, приведем примеры существующих корпоративных информационных систем, действующих в правовом поле закона об электронной цифровой подписи (информация о них взята из открытых источников в Интернете).

     Пример 1. Торговая система оптового рынка  электроэнергии ЕЭС России

     Администратор системы — некоммерческое партнерство «Администратор торговой системы»¹⁵.

     Деятельность  системы регулируется регламентами оптового рынка электроэнергии, утверждаемыми  НП «АТС» и публикуемыми на сайте  администратора, и иными договорами, в том числе Соглашением о применении ЭЦП ¹⁶.

     Участники системы — генерирующие и энергосбытовые компании, оптовые потребители электроэнергии.

     Участникам  системы предоставляют услуги удостоверяющего  центра сразу три организации: само НП «АТС»¹⁷, ООО «КРИПТО-ПРО»¹⁸, удостоверяющий центр электронных цифровых подписей ОАО РАО «ЕЭС России».

     Регламентными документами НП «АТС» в качестве корпоративного стандарта средства ЭЦП определено СКЗИ «КриптоПро CSP».

     Типы  документов, исполняемые в электронной  форме, — договора купли-продажи электрической энергии, договора оказания услуг по оперативно-диспетчерскому управлению в электроэнергетике, договора об оказании услуг по передаче электрической энергии, иные договора, а также документы, связанные с исполнением договоров.

     Согласно  информации с сайта НП «АТС», среднесуточный объем сделок превышает 420 млн. руб.

     Пример 2. Сдача налоговой отчетности

     24 апреля на серверах системы  «Контур-Экстерн»¹⁹ заведена 100-тысячная учетная запись подключившегося абонента. Именно столько организаций и индивидуальных предпринимателей в России сдают налоговую и бухгалтерскую отчетность через Интернет с помощью системы «Контур-Экстерн», экономя время и силы.

     Из  всех представленных на рынке решений  система «Контур-Экстерн» является единственным продуктом, полностью  основанным на web-технологии тонкого клиента. Портальная организация серверов системы позволяет пользователям в единообразном технологическом процессе вести документооборот не только с налоговыми органами, но и (в ряде регионов) с территориальными подразделениями ПФР, Росстата и Соцстраха.

     Юридическую значимость всех циркулирующих в  системе «Контур-Экстерн» электронных  документов обеспечивает удостоверяющий центр компании «СКБ Контур», построенный  на базе ПАК «КриптоПро УЦ». Развиваясь вместе с системой, УЦ «СКБ Контур» стал к 2006 году самым крупным в России²⁰. Система защиты конфиденциальной информации в среде «Контур-Экстерн» выстроена с помощью программных продуктов компании «КРИПТО-ПРО» криптопровайдера «КриптоПро CSP» и расширения для защиты трафика «КриптоПро TLS».

 

      2.6 Технические аспекты применения ЭЦП

     В данном примере я не буду рассматривать весь инструментарий управления жизненным циклом документов в электронной форме, предоставляемых специализированными системами автоматизации делопроизводства и документооборота, поскольку информацию о конкретных реализациях можно получить у разработчиков и интеграторов таких систем.

     В настоящем примере хотелось бы рассказать об одном из вариантов применения ЭЦП при обмене электронными документами (и их исполнении) с ЭЦП.

     Традиционная  технология электронного документооборота строится на обмене документами, представленными  в виде файлов. Документы в виде файлов формируются путем экспортирования  из информационных систем, эксплуатируемых  в организациях («1С:Бухгалтерия» и т.д.) или с использованием офисных приложений MS Word и Excel.

     В качестве средства электронной цифровой подписи можно использовать средство криптографической защиты информации «КриптоПро CSP», сертифицированное  в системе сертификации РОСС RU.0001.030001. Средство ЭЦП обеспечивает поддержку большого числа типов ключевых носителей (рис. 4), а конкретный тип определяется самой организацией.   

     

     Рис. 4. Панель управления позволяет пользователю настроить параметры работы программного средства ЭЦП 

     Для предоставления пользовательского  интерфейса (рис. 5) к криптографическим  функциям СКЗИ «КриптоПро CSP» и для  автоматизации процедур формирования и проверки ЭЦП (в том числе множественной) можно использовать программное средство «КриптоАРМ» ²¹. Это средство не обеспечивает автоматизацию функций делопроизводства и документооборота, а только работает с операциями ЭЦП и шифрования.  

     

     Рис. 5. Интерфейс процесса создания подписи — достаточно простой и интуитивно понятный

     Не  менее прост и нагляден процесс  проверки ЭЦП в подписанном файле (рис. 6), выполняемом при исполнении документа в электронной форме. 

 

     

     

     Рис. 6. Информация о подписи должна представляться в максимально развернутом виде, чтобы исполнитель документа смог принять обдуманное решение по ЭЦП документа

     Таким образом, сотрудники компаний, являющиеся участниками документооборота, получают удобный и функциональный пользовательский интерфейс, обеспечивающий создание и  проверку подлинности ЭЦП на основе сертифицированного средства криптографической защиты информации. Передачу электронных документов, удостоверенных ЭЦП, можно осуществлять с использованием средств электронной почты, а также файловых протоколов передачи данных.

     Средняя оценочная стоимость затрат на программные средства ЭЦП на одного сотрудника организации из числа участников электронного документооборота составляет 1800 руб. Следовательно, миф о том, что ЭЦП — это очень дорого, тоже можно опровергнуть.

     2.7 Методы построения цифровой подписи

     Существует  несколько схем построения цифровой подписи:

• На основе алгоритмов симметричного шифрования. Данная схема предусматривает наличие в системе третьего лица — арбитра, пользующегося доверием обеих сторон. Авторизацией документа является сам факт зашифрования его секретным ключом и передача его арбитру.
• На основе алгоритмов асимметричного шифрования. На данный момент такие схемы ЭЦП наиболее распространены и находят широкое применение.

     Кроме этого, существуют другие разновидности  цифровых подписей (групповая подпись, неоспоримая подпись, доверенная подпись), которые являются модификациями описанных выше схем. Их появление обусловлено разнообразием задач, решаемых с помощью ЭЦП.

     Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хэш. Для вычисления хэша используются криптографические хэш-функции, что гарантирует выявление изменений документа при проверке подписи. Хэш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хэш-функция.²²

     Использование хэш-функций даёт следующие преимущества: