Современные технологии документационного обеспечения управления - С. Кузнецов
Шрифт:
Интервал:
Закладка:
Если нормативными правовыми актами предусмотрено использование простой подписи, допускается вместо нее использовать усиленную квалифицированную подпись. Это сделано для случаев, если у лица, подписывающего документ, уже есть усиленная квалифицированная подпись. В перспективе, после внедрения универсальной электронной карты (УЭК), содержащей электронную подпись, она все шире будет использоваться вместо простой подписи, так как обеспечивает более высокую степень защиты.
Для определения, какую подпись применить, можно использовать приложение к Правилам определения видов электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия (другими словами, так же, как и в случае с простой подписью, не допускать попадания ключа в чужие руки).
Из этого вытекает следующее требование – не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена. Если же есть основание полагать, что ключ попал в чужие руки, был скопирован и т. п., то в течение одного рабочего дня об этом нужно уведомить удостоверяющий центр, выдавший ключ, и иные заинтересованные стороны, то есть других участников электронного взаимодействия (другие организации, с которыми вы обмениваетесь электронными документами, используя данный ключ).
Усиленная подпись, как и ранее применявшаяся электронноцифровая подпись, использует две технологии: технологию хэш-суммы, гарантирующую, что документ не был видоизменен с момента подписания, и технологию открытого и закрытого ключа, позволяющую однозначно определить лицо, подписавшее документ. Если отбросить технические детали, то хэш-сумма – это некая контрольная сумма, вычисляемая по документу. Технология хэш-суммы такова, что по данному документу всегда получится данная хэш-сумма. Если же в документе изменить хоть один знак – хэш-сумма будет другая. Технология вычисления хэш-суммы является односторонней, то есть если по данному документу всегда можно вычислить хэш-сумму, то по хэш-сумме нельзя восстановить содержимое документа. Именно эта хэш-сумма в зашифрованном виде внедряется в файл (файлы) документа. Таким образом, используется гораздо более жесткая, надежная технология, чем в традиционных документах на бумаге. Если в документе на бумаге уже после подписания можно что-то подправить, в многостраничном документе – заново распечатать те листы, на которых нет подписи, то электронный документ после подписания изменить уже нельзя. Соответственно и регистрационный номер, и дату на исходящем документе служба ДОУ уже поставить не может, как и отметку о поступлении на входящем – все сведения вносятся в карточку документа и пересылаются в системах межведомственного документооборота в виде отдельного xml-файла.
За решение второй задачи – однозначно определить, кто именно подписал документ, отвечает другая технология – электронных ключей. Используют два типа ключей – ключ электронной подписи, который применяют для подписания документа, и созданный на его основе парный ему ключ проверки электронной подписи. В основе работы ключей лежат криптографические технологии (шифрование). По сути, ключ – это какое-то число (уникальная последовательность символов). Чтобы ключ или подпись нельзя было расшифровать, используются очень длинные числа, чем длиннее – тем выше стойкость ключа. Чаще всего используются ключи, длиной 512 бит, 1024 бита или 2048 бит.
Что происходит при подписании документа? Специальная программа (средство электронной подписи) вычисляет по документу хэш-сумму, которая затем шифруется с помощью ключа электронной подписи и в зашифрованном виде внедряется в файл подписываемого документа.
Средства электронной подписи выполняют две задачи: позволяют установить факт изменения подписанного электронного документа после момента его подписания и обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.
То есть электронный документ не может быть изменен после подписания, и электронный ключ, которым подписываются документы, не может быть изготовлен на основе той информации, которая содержится в самой электронной подписи.
К средствам электронной подписи предъявляются требования:
1. Показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает. То есть, когда вы подписываете документ, вы должны его видеть.
2. Создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи. То есть при подписании вы должны лично нажать на соответствующую кнопку и подтвердить, что хотите подписать документ электронной подписью.
3. Однозначно показывать, что электронная подпись создана.
Для проверки подписи используется другой ключ – ключ проверки электронной подписи. Если ключ электронной подписи служит для шифрования, то ключ проверки работает в обратном направлении – он служит для расшифровки хэш-суммы, лежащей в основе электронной подписи. Идея простая – вы используете для подписания свой личный шифр (ключ). Получатель документа с помощью ключа проверки расшифровывает хэш-сумму, которая сравнивается с вычисленной по документу хэш-суммой. Если зашифрованная в подписи и вычисленная по документу хэш-суммы совпали – значит документ не изменялся с момента подписания, а раз ключ проверки подошел для расшифровки – значит использовался шифр (ключ) именно того лица, подпись которого стоит под документом.
Федеральным законом «Об электронной подписи» введено еще несколько положений, специфичных именно для документов в электронной форме.
Так как документ в электронной форме может быть составным, например, сопроводительное письмо в формате Microsoft Word, таблица в Excel, проект в Project и т. п., то одной электронной подписью могут быть подписаны несколько связанных между собой электронных документов (пакет электронных документов). При подписании электронной подписью пакета электронных документов каждый из электронных документов, входящих в этот пакет, считается подписанным электронной подписью того вида, которой подписан пакет электронных документов.
Еще одно положение – о возможности автоматического создания электронной подписи и возможность использования электронной подписи юридического лица. Эти положения введены в связи с использованием электронной подписи в автоматизированных информационных системах, например, электронные образы документов, отправляемых службой ДОУ, могут автоматически заверяться электронной подписью организации.
Значительная часть Федерального закона посвящена удостоверяющим центрам. Какова их роль? Удостоверяющие центры выдают ключи подписи, ключи проверки подписи, выдают соответствующие сертификаты, а главное – отвечают за правильность сведений, внесенных в подпись. Удостоверяющий центр хранит сертификаты проверки ключа подписи в течение всего срока своего существования, что позволяет в любой момент проверить правильность подписания документа.
Удостоверяющий центр несет финансовую ответственность за свою деятельность, финансовое обеспечение его ответственности составляет 1,5 млн руб. Он хранит и выдает ключи электронной подписи, ключи проверки электронной подписи, сертификаты ключей, ведет реестр сертификатов ключей проверки электронной подписи и др.
Введенная Федеральным законом аккредитация удостоверяющих центров наряду с использованием средств электронной подписи, соответствующих установленным требованиям, создают единое пространство цифровых подписей, в котором документы могут подписываться ключом, выданным любым аккредитованным удостоверяющим центром, и направляться в любую организацию.
(Вопросы использования электронной подписи также рассмотрены в главе 3 «Основные требования к составлению и оформлению документов», в параграфе «Подписание документов»).
Массовое создание и использование компьютерных баз данных обострило проблему обеспечения защиты документов и информации от несанкционированного доступа. Этот вопрос рассматривается в целом ряде законов. Всю информацию и документы ограниченного доступа можно разделить на несколько категорий: документы, содержащие государственную тайну; документы, содержащие коммерческую тайну, и служебная информация ограниченного распространения (для служебного пользования).
Прежде всего, выделим информацию, отнесенную к государственной тайне. Закон Российской Федерации «О государственной тайне» от 21.07.1993 № 5485-1 (ред. от 08.11.2011) [10] дает исчерпывающее перечисление сведений, составляющих государственную тайну (статья 5). Также в законе дано определение реквизита «гриф секретности» – «реквизиты, свидетельствующие о степени секретности сведений, содержащихся в их носителе, проставляемые на самом носителе и (или) в сопроводительной документации на него».