Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Юрий Маслов  
#1 Оставлено : 5 мая 2009 г. 22:30:45(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Это для общего понимания технологии обеспечения юридической силы электронных документов, удостоверенных ЭЦП.

Термины и определения
Для понимания технологии ЭЦП необходимо привести ряд основных терминов и их определений.
Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное в машинном коде на магнитном носителе (дискета, флешка, токен и т.д.), с помощью которого создается ЭЦП.
Сертификат ключа подписи (эквивалентный термин: сертификат открытого ключа) – это своего рода электронное удостоверение, изготавливаемое и выдаваемое удостоверяющим центром, которое закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи. С помощью сертификата ключа подписи проверяется созданная в документе ЭЦП.
Удостоверяющий центр – это организация, которая изготавливает, выдает и управляет сертификатами ключей подписи пользователей.
Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации, шифровальное (криптографическое) средство) – это средство криптографической защиты информации (чаще всего выполнено в виде программы для ЭЦМ), с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.

Цели применения ЭЦП
Основной целью применения ЭЦП является переход с бумажной на безбумажную технологию. Т.е. подлинники (оригиналы) документов оформляются не в традиционной форме на бумажных носителях, а в виде электронных документов.
Такой переход приводит к тому, что:
• значительно сокращаются сроки передачи документов между сотрудниками или организациями. А это, например, исключит ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период надо закрывать, а оригиналы подтверждающих документов по хозяйственной операции ещё не поступили по почте. Почта у нас в стране приходит очень не быстро.
• сокращаются накладные расходы на документирование: бумага, почтовые расходы и т.д.


Типы систем документооборота
Прежде всего, нужно определиться, для чего вы хотите использовать возможности системы документооборота, в которой применяется ЭЦП. От выбранной цели будет зависеть как техническая, так и организационная сторона реализации проекта.
Следует различать две цели использования ЭЦП:
– для обеспечения корпоративной неотрекаемости;
– для применения ЭЦП в условиях равнозначности собственноручной подписи.

Система с корпоративной неотрекаемостью – это система обмена электронными сообщениями (документами), в которой конфликтные ситуации, связанные с использованием цифровой подписи, разрешаются на уровне администрации предприятия/организации, без рассмотрения в судебном порядке. Как правило, такие системы используются для построения внутрикорпоративной системы делопроизводства и документооборота.
В этой ситуации владелец системы (т.е. предприятие) сам определяет правила использования цифровой подписи, ему не требуется соблюдать нормы Федерального закона «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ). Получается, что он не ставит перед собой задачу построения юридически значимой системы электронного документооборота.

Система с применением ЭЦП в условиях равнозначности собственноручной подписи гарантирует, что ее электронные документы, подписанные ЭЦП, можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. Они будут признаны судом как полноценные документы, имеющие юридическую силу. Поэтому про такие системы говорят, что в них реализован юридически значимый документооборот.
При построении подобной системы, ее организатор должен привести свои правила использования ЭЦП в соответствие с нормами действующего законодательства РФ, включая нормы закона «Об электронной цифровой подписи».

Система документооборота с применением ЭЦП основывается на следующих основных элементах:
• сертифицированное средство ЭЦП – используется участниками системы для создания и проверки ЭЦП электронных документов;
• ключ подписи и сертификат ключа подписи – изготавливается и выдается удостоверяющим центром;
• удостоверяющий центр;
• соглашение о применении ЭЦП.
Эти элементы определены действующим законодательством и без них невозможно построение юридически значимого электронного документооборота в России.

Далее в настоящей статья мы будем говорить именно о системах с применением ЭЦП в условиях равнозначности собственноручной подписи и называть их просто системами.

Соглашение о применении ЭЦП
Участники системы документооборота должны договориться об условиях, при выполнении которых они будут принимать к исполнению документы, удостоверенные ЭЦП. Для этого они должны заключить между собой соглашение. Данный документ является основным организационным моментом в применении ЭЦП. Это определяется нормами действующего законодательства РФ (Гражданский кодекс, ФЗ «Об ЭЦП» и т.д.). Без такого соглашения ни один суд не примет электронный документ, удостоверенный ЭЦП, в качестве письменного доказательства.
Соглашение должно регламентировать все аспекты применения ЭЦП для удостоверения документов, в том числе технические. К основным аспектам, раскрываемым в соглашении, относятся:
• детализированные условия равнозначности ЭЦП собственноручной подписи;
• кто выступает в системе в качестве удостоверяющего центра;
• какие средства ЭЦП используются в системе;
• какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению;
• порядок разрешения конфликтов/споров, связанных с применением ЭЦП.
Примеры таких соглашений можно найти как в Интернете, так и получить, обратившись к профессиональным разработчикам средств ЭЦП, например, в ООО «КРИПТО-ПРО».

Удостоверяющие центры
Удостоверяющие центры являются еще одним обязательным компонентом в применении ЭЦП.
Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица. Различают удостоверяющие центры, которые:
• оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);
• обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).
Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.
Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги. В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.

Как применить ЭЦП во внутрикорпоративной системе делопроизводства и документооборота?

Здесь мы предполагаем, что все участники системы являются сотрудниками одной организации.
В таких системах указанное выше соглашение оформляется в виде локального нормативного акта организации (например, положения или регламента о порядке применения ЭЦП). Он вводится в действие приказом руководителя организации.
Применение ЭЦП во внутрикорпоративной системе как правило осуществляется в специализированных программных системах, автоматизирующих электронное делопроизводство и документооборот. Поэтому и средства применения ЭЦП внедряются вместе с программной системой автоматизации делопроизводства и документооборота.

Как применить ЭЦП в финансово-хозяйственной деятельности между предприятиями?

Система, в которой участвуют различные организации (физические или юридические лица), должна опираться на соглашение о применении ЭЦП оформленное в форме договора между участниками системы. Естественно, что не должно оформляться в виде двухстороннего договора. При большом количестве участников системы очень трудно заключить такое количество договоров и сложно вносить в них изменения в случае необходимости. Наиболее удобной формой оформления и заключения такого рода соглашения является договор присоединения в соответствии со ст. 428 ГК РФ.
В такой системе настойчиво рекомендуется заключить договор со сторонней организацией, предоставляющей услуги удостоверяющего центра, и не являющейся участником системы. Это поможет использовать эту организацию и в качестве экспертной организации при разрешении спорных ситуаций, связанных с применением ЭЦП.
При обмене электронных документов между организациями, как правило, не используется специализированных программных систем. Документы готовятся в виде файлов с помощью офисных приложений (Word, Excel) или экспортируются из учетных систем (1С, Парус и т.д.). После этого подписываются как файлы и пересылаются с помощью средств электронной почты контрагенту.


Пример самой простой системы обмена электронными документами, удостоверенными ЭЦП:

Каждое рабочее место участника обмена электронными документами с ЭЦП потребуется оснастить следующими средствами:
1. СКЗИ КриптоПро CSP (версия 3.0 или 3.6) (http://www.cryptopro.ru/CryptoPro/products/csp/default.htm) - стоимость лицензии на одно рабочее место - 1800 руб. Это то средство, которое реализует отечественные криптографические алгоритмы формирования/проверки ЭЦП, шифрования информации.
2. Приложение "КриптоАРМ СТАНДАРТ" версии 4 (http://www.cryptopro.ru/CryptoPro/products/crypto-arm/default.htm) - стоимость лицензии на одно рабочее место - 1200 руб. Это, то средство, которое предоставляет удобный пользовательский интерфейс выполнения криптографических операций конечным пользователем (по нажатии правой кнопки мыши на файле/группе файлов в контекстном меню появляются пункты - подписать/зашифровать; аналогично - проверить подпись/расшифровать)

Для формирования ключей и изготовления сертификатов ключей подписей предлагаем Вам воспользоваться услугами нашего Удостоверяющего центра - http://www.cryptopro.ru/...services/ca-service.htm. Есть несколько форм предоставления услуг - на приведенной странице Вы можете с ними ознакомиться.

Обмен подписанными файлами между участниками информационного обмена осуществляется с помощью почтовых сообщений, путем приаттачивания подписанных файлов. Все это в стандартных ЛЮБЫХ почтовых клиентах.

Указанное программное обеспечение и документация к нему доступна для скачивания и в течение одного месяца предоставляется встроенная временная лицензия (без ограничения функциональности ПО). Сформировать ключи изготовить тестовый сертификат вы сможете в тестовом Центре сертификации - http://www.cryptopro.ru/certsrv/.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.