Хранение эцп журнал. Как хранить юридически значимые электронные документы? Особенности хранения электронных документов

Команда

О практите применения электронной подписи при хранении электроных документов корреспонденту Клерк.Ру Льву Мишкину рассказал Иван Агапов, аналитик компании Synerdocs

Иван, вот уже целый год мы по закону можем обмениваться электронными документами. Но кроме передачи документов, нам необходимо их хранить и обеспечивать юридическую силу. Закон дает нам электронную подпись, как она помогает обеспечить юридическую значимость хранимых электронных документов?

Начнем с того, что документы имеют свой срок хранения - от пяти лет до нескольких десятилетий. И сам сертификат электронной подписи, который дается сотруднику компании, тоже имеет свой срок действия - как правило, один год. Закон требует, чтобы на момент проверки подписи сертификат либо был действующим, либо должно быть подтверждение, что в момент подписания он был таковым. Если делать проверку подписи спустя год, прямая проверка «в лоб» скажет, что подпись не действительна, поскольку срок сертификата истек.

Как раз этот вопрос и закрывает усовершенствованная электронная подпись. Во-первых, она позволяет доказать время подписания (штамп времени, в котором закреплен момент постановки подписи). Во-вторых, обеспечивает доказательство того, что в конкретное время сертификат действовал и ему можно доверять (списки отзывов, сертификаты из пути доверия).

Так решается принципиальная задача архивного хранения электронного документа - обеспечение юридической значимости документа, чей срок хранения превышает срок действия сертификата электронной подписи.

Сейчас при работе с электронными документами усовершенствованная электронная подпись - единственный гарант юридической силы? Как это отражается в сегодняшней практике, например, в суде?

Конечно, такая подпись - не единственный юридический фактор. Тут стоит вернуться к общей теории признания электронных документов юридически значимыми. Есть много мнений, но мы используем, так сказать, классическую цепочку приоритетов.

Например, у нас есть электронный документ, который мы собираемся использовать в суде, потому следует определить, имеет ли он юридическую значимость. Первое, что суд должен выяснить - может ли он вообще по закону создаваться и существовать в электронном виде. Второе, документ должен содержать все требуемые реквизиты. Третье, суд должен быть уверен, что лицо, которое его подписало, имело право документ подписывать, согласно Уставу, доверенности т.п. Все это фактически является правовым полем документа. И только потом выясняется, действительна ли электронная подпись.

На практике спорный вопрос действительности электронной подписи возникает не часто. Например, суд легко решает проблему с юридической значимостью документа в электронном виде, если стороны ранее заключили соглашение об обмене подписанными электронными документами и даже обменивались ими до возникновения спора. Суд проверяет, прежде всего, наличие факта соглашения об обмене электронными документами, которое фактически закрепляет юридическую силу документа. И только в исключительных случаях суд проверяет действительность самой электронной подписи.

Вернемся к вопросу о хранении электронных документов. Полностью ли электронная подпись решает проблемы обеспечения юридической значимости хранимых данных или какие-то риски сохраняются?

Решает, но не полностью. Закон обязывает нас иметь доказательства, но какие они могут быть - не определено. В нашей практике есть международные стандарты, но это все до сих пор не закреплено законом, потому присутствует потенциальный риск, что в определенный момент государство примет новый стандарт, и текущие технологии придется в корне менять.

Хотя мы склонны считать, что такой риск маловероятен, потому что есть международный опыт и стандарты, которые переделывать не целесообразно. Подтверждением служит и то, что последние предлагаемые поправки в ФЗ-63 «Об электронной подписи» говорят, что законодатели не идут вразрез с практикой.

Плюс к этому у нас сохраняются риски, связанные с самим электронным документом, как таковым. Его тоже нужно как-то хранить, а здесь уже всплывают классические проблемы электронного документа - это носители, это средства хранения и воспроизведения, это форматы и их поддержка. Естественно, что для документов со сроком хранения 5 или 10 лет это не особо актуально, но если мы говорим про документы со сроком хранения в несколько десятков лет, то очень сложно предугадать, что мы будем иметь спустя это время.

В России очень незначительная практика хранения электронных документов. Это не смотря на то, что с 2002 года действует ФЗ-1 «Об ЭЦП» и можно сдавать отчетность в электронном виде, то есть, получается, с электронными архивами мы имеем дело уже больше 10 лет. Правда, отчетность - это специфическая задача, в рамках которой сроки хранения незначительны.

Мы видим, что в практике сохраняется множество противоречий. Что с этим делать операторам электронного документооборота? Возможно, они имеют какое-то решение?

Могу отвечать только за нашу практику. У нас при передаче через сервис документа с электронной подписью, подпись проверяется и доводится до усовершенствованного формата - то есть, мы добавляем штамп времени и другие необходимые параметры. Таким образом, мы обеспечиваем решение задачи обеспечения юридической силой документов с длительным сроком хранения. И в данный момент это единственное подходящее решение.

Даже в этом случае вопрос не решается полностью. Технология электронной подписи тоже имеет свои ограничения, у сертификатов есть сроки действия. Поэтому придется регулярно повторять процедуру подтверждения сертификатов.

А по поводу документов с длительными (например, 50 лет) или постоянными сроками хранения можно вновь сослаться на Европу. Зарубежная практика идет по пути изменения подхода к сохранению в них юридической значимости. Например, упрощаются механизмы обеспечения целостности массива документов. Либо может даже идти речь о переводе в бумажный вид для хранения.

Получается, что по-прежнему главным сдерживающим фактором развития практики хранения электронных документов является законодательство. Помимо обозначенных проблем, каких еще решений вы ждете?

На самом деле все довольно оптимистично. Сегодня у нас уже есть предлагаемые поправки к ФЗ-63, которые несут полезный и позитивный характер, в частности, требования по использованию штампа времени в электронной подписи, вводится понятие о едином пространстве доверия. Это уже хорошо, это уже конкретика. Это влияет на развитие инфраструктуры использования электронной подписи, чтобы пользователь не ломал голову, какой сертификат лучше применять, а приступил к решению своих конкретных задач.

Сейчас сложилась такая ситуация, что зачастую электронная подпись привязана к определенной услуге. С учетом роста разнообразия сервисов, это становится неудобно пользователям. Им нужен один сертификат с максимально широким полем использования. При том, что мы ожидаем взрывной рост сервисов и областей применения электронной подписи, и если у нас не будет единого пространства доверия, то мы рискуем столкнуться с мощным системным кризисом.

Ну и, самое главное, не решен вопрос с регулированием архивов электронных документов. ФЗ-125 «Об архивном деле» уже устарел, в нем нет практически ничего про электронный документ. Там есть сроки хранения, но ни технологий, ни рекомендаций по электронным документам нет. При том, рынку будет достаточно хотя бы общих принципов и рекомендуемых стандартов, а уже над реализацией он подумает сам. В общем, мы ждем новостей по новому закону, который давно уже всем очень нужен.

На сегодняшний момент ЭЦП и ее аналоги все активнее внедряются в жизнь и используются в деловых процессах, несмотря на несовершенство законодательства. В оперативной работе ЭЦП удобна и эффективна, но долговременное хранение документов, подписанных электронной подписью, представляет собой серьезную проблему, которая до конца нигде в мире не решена. Поскольку технология еще очень молода, то и исследований в области обеспечения сохранности электронных документов с ЭЦП немного.

Российские государственные органы, регламентируя оперативную работу с электронными документами, не задумываются, что с ними будет происходить в дальнейшем. При установлении сроков хранения не учитываются их особенности, а зачастую вообще игнорируется их существование. Распространение установленных Законом «Об архивном деле в Российской Федерации» сроков ведомственного хранения на электронные документы неминуемо приведет к потере значительной части информации, поскольку требуется иная организация хранения. Позаботиться о длительном хранении электронных документов нужно в момент их создания.

Есть несколько важных вопросов, которые организации придется решать при долговременном хранения документов с ЭЦП:

  • Как обеспечить проверку ЭЦП на протяжении длительного периода времени, и нужно ли это? Как доказывать аутентичность, целостность и т.д. соответствующих электронных документов?

На вопрос о необходимости хранения документов с ЭЦП ответ дает действующее законодательство и нормативные акты, которые предусматривают как минимум среднесрочное (5-10 лет) сохранение электронных документов с возможностью проверки ЭЦП. На большую часть остальных вопросов ответов пока нет, но уже есть требования, которые нужно исполнять.

  • Что делать с подписанными электронным образом документами постоянного срока хранения? В отличие от бумажных, которые могут веками лежать на архивных полках, электронные документы не могут храниться в неизменном виде более 7-10 лет. После этого срока или теряет надежность носитель информации, или устаревает оборудование, программное обеспечение или формат, в котором документ записан. Именно поэтому говорить о 75 годах хранения в организации электронных документов просто немыслимо — принимать на хранение будет уже нечего. Только немногие организации располагают кадрами, опытом и ресурсами, необходимыми для организации такой работы.
  • ЭЦП не неуязвима, и со временем может быть скомпрометирована и/или подделана. Подделка «старых» ЭЦП может иметь не менее катастрофические последствия, чем подделка действующих. Уже сейчас законодательство допускает подписание цифровой подписью документов, имеющих существенное финансовое и юридическое значение. Нужно подумать о том, как защититься от появления через 10-20 лет массы подложных электронных документов, якобы относящихся к началу 21 века и заверенных «правильными» ЭЦП. Если не позаботиться о соответствующих организационных и иных мерах защиты сегодня, то впоследствии возможны крупные неприятности.

Требования к организации
делопроизводства и документооборота

Для того, чтобы интересы организации были должным образом защищены, необходимо заранее продумать, в каком объеме и каким образом информация об ЭЦП должна быть отражена в самом документе и его метаданных.

Национальные Архивы США еще в 2000 году включили в «Руководство по управлению документами для агентств, использующих электронные подписи» требования о том, что все подписанные электронным образом документы при выводе в человеко-читаемом виде (на бумагу или на экран монитора) должны содержать:

  • имя отправителя или лица, который этот документ подписал,
  • дату и время подписания,
  • ясно сформулированные намерения подписавшего, т.е. текст типа:
    • «одобряю»,
    • «отправитель берет на себя ответственность за транзакцию»,
    • «отправитель уполномочен подписать за кого-то еще» и т.п.

Эти требования нацелены на то, чтобы обеспечить удобство работы с документами в течение длительного времени, в том числе и тогда, когда уже не будет возможности осуществить проверку ЭЦП.

Многие наши организации, расшифровывая ЭЦП, тоже включают в печатный вариант документа данные о лице, его подписавшем, и дату подписания. Третье требование у нас, как правило, не применяется, а жаль — «электронная резолюция», из которой ясны намерения подписавшего, делает документ более «неотказуемым».

Требования к документообороту и к деятельности службы ДОУ направлены на то, чтобы обеспечить сохранение всех необходимых документов. Для этого служба ДОУ организации должна:

  • включать в систему документооборота организации все документы, возникающие в процессе использования ЭЦП и инфраструктуры открытых ключей, а также сохранять метаданные, достаточные для поиска и работы с ними;
  • сохранять данный набор документов в течение того же периода времени, что и сам документ с ЭЦП.
  • не обеспечивается целостность документов, и они могут быть модифицированы пользователем;
  • документы доступны только отдельным пользователям, и в результате они не становятся корпоративным ресурсом;
  • возникают сложности с установлением для таких документов сроков хранения, проведением экспертизы ценности и выделением их на уничтожение.

Лучше всего организовать хранение всего комплекта документов, связанных с использованием ЭЦП, в системах электронного документооборота, поскольку такие системы позволяют:

  • обеспечить защищенное хранение, контроль и протоколирование доступа к ним;
  • назначить и отследить сроки хранения;
  • провести контролируемое конфиденциальное уничтожение по истечении сроков хранения.

Американские специалисты отмечают, что технологии, связанные с использованием ЭЦП, пока еще очень молоды и не прошли «огонь и воду» судебных разбирательств. Поэтому рекомендуется подумать о том, как «подстелить соломку» и запастись достаточным комплектом документов на тот случай, если придется идти в суд:

  • Для каждой информационной системы, в которой используется ЭЦП, необходимо разработать политику (регламент) и процедуры. Необходимо описать в деловых и юридических терминах процессы, методы и технологию работы таким образом, чтобы каждая операция была зафиксирована аккуратно, точно и надежно. Поскольку этот документ в случае необходимости придется представлять в суд, в нем не должно быть привилегированной юридической информации, результатов анализа рисков и других конфиденциальных материалов;
  • Для каждой операции рекомендуется создавать суммарный (итоговый) документ в виде, понятном любому обывателю. Цель создания такого документа — в случае спора или судебного разбирательства доказать суду и участникам судебного процесса, что проведение каждой операции соответствует правилам, регламентам и процедурам, принятым в организации. Он должен быть составлен на языке, «понятном простому человеку», без использования сложных технических терминов и формулировок и содержать следующую информацию:
    • сообщение о том, что ЭЦП успешно проверена,
    • дату и время проверки документа,
    • идентификатор операции,
    • ссылку на внутренние нормативные документы, регламентирующие работу (включая дату и версию документа),
    • другую информацию, которую организация сочтет необходимым зафиксировать.

    Документирование использования
    электронно-цифровых подписей
    в организации

    Любое изменение в системе документооборота организации, как правило, влечет за собой изменение состава документации. Внедрение новых технологий не является исключением: в организациях возникает целый комплект новых, ранее не существовавших документов, которые тоже необходимо брать на учет и сохранять в строгом соответствии с законодательством, с тем, чтобы в любых спорных ситуациях организация могла доказать свою правоту.

    В процессе передачи информации могут создаваться и сохраняться следующие документы:

    • В организациях-отправителях и получателях:
      • собственно передаваемый документ,
      • сертификат ключа отправителя,
      • запросы/ответы по проверке сертификатов,
      • внутренние нормативные документы, регламентирующие порядок использования сертификатов ключей,
      • соглашения или договора между участниками информационного обмена об использовании ЭЦП,
      • уведомления об отзыве или компрометации сертификатов открытых ключей,
      • квитанции о принятии документа либо об отказе в приеме документа,
      • документы, фиксирующие конфигурацию используемого программного обеспечения,
      • документы по тестированию и проверке программного обеспечения.
    • В удостоверяющих центрах:
      • внутренние нормативные документы удостоверяющего центра, определяющие правила работы с сертификатами ключей (в том числе порядок организации выдачи сертификатов и порядок хранения аннулированных сертификатов),
      • реестры сертификатов ключей,
      • списки отозванных и утративших силу сертификатов,
      • документация взаимного удостоверения удостоверяющих центров,
      • протоколы и журналы аудита информационной системы удостоверяющего центра.

    Если ЭЦП используется в корпоративной информационной системе и владельцем удостоверяющего центра является одна из организаций — участников информационного обмена, то эта организация должна документировать деятельность своего удостоверяющего центра.

    Перечисленные списки документов отражают наиболее простой вариант использования инфраструктуры открытых ключей. Если используются более сложные варианты, то, соответственно, количество документов возрастает.

    Правильно задокументировать работу с ЭЦП — задача важная, но еще важнее организовать надежное хранение всех документов, в строгом соответствии с требованиями законодательства. Проблем здесь еще больше, и решить их очень и очень непросто.

    Организация хранения документов с ЭЦП

    Говорить о применении ЭЦП в отрыве от вопросов организации документооборота и архивного хранения документов, мягко говоря, нелогично, — но почему-то именно так принято поступать. Ни государственные мужи, ни специалисты информационных технологий, как правило, не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления. Они, помимо прочего, фиксируют разнообразные права и обязательства государства, частных лиц и организаций, произошедшие события, принятые решения и последствия совершенных действий. Такие документы подлежат постоянному или длительному хранению, и вот именно здесь ЭЦП из полезного для оперативной работы инструмента превращается в занозу.

    Чем больше электронных документов использует в своей работе организация, тем раньше она сталкивается с проблемами в области документооборота и архивного хранения.

    Организации необходимо учитывать требования, которые имеются в законодательных и нормативных актах , регулирующих работу с ЭЦП, по организации хранения ряда документов.

    Фрагмент документа

    Федеральный закон «Об электронной цифровой подписи» от 10.01.2002 г. № 1-ФЗ

    Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре

      1. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.

      2. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре после аннулирования сертификата ключа подписи должен быть не менее установленного федеральным законом срока исковой давности для отношений, указанных в сертификате ключа подписи.

      По истечении указанного срока хранения сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Срок архивного хранения составляет не менее, чем пять лет. Порядок выдачи копий сертификатов ключей подписей в этот период устанавливается в соответствии с законодательством Российской Федерации.

      3. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

    По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и от наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен будет обеспечить такой же срок хранения своих документов, оборудования и программного обеспечения — и в рабочем состоянии!

    Если организация сдает какую-либо отчетность в электронном виде , то необходимо определить порядок ее сохранения в организации, с тем, чтобы обеспечить целостность, подлинность и аутентичность электронных документов.

    Фрагмент документа

    Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи
    (утвержден приказом МНС России от 02.04.2002 г. № БГ-3–32/169)

    2. 3. При представлении налоговой декларации в электронном виде налогоплательщик соблюдает следующий порядок электронного документооборота:

    • после подготовки информации, содержащей данные налоговой декларации, налогоплательщик подписывает ее ЭЦП уполномоченного лица налогоплательщика и отправляет в зашифрованном виде в адрес налогового органа по месту учета;
    • в течение суток в адрес налогоплательщика налоговый орган высылает квитанцию о приеме декларации в электронном виде. После проверки подлинности ЭЦП уполномоченного лица налогового органа налогоплательщик сохраняет документ в своем архиве.

    Пока еще не решен вопрос о том, как государство будет выполнять свои обязанности , вытекающие из ст.15 п.2 Закона об ЭЦП, в соответствии с которой при ликвидации негосударственных удостоверяющих центров их документация, а также обязанности по проверке «старых» подписей (см. ст.4 п.1) переходят к «уполномоченному федеральному органу исполнительной власти». Сейчас вопросами удостоверяющих центров занимается Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.

    В Положении «О Федеральном агентстве по информационным технологиям», утвержденном постановлением Правительства Российской Федерации от 30 июня 2004 г. № 319 в разделе о полномочиях этого органа исполнительной власти записано, что он должен организовывать:

    • подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
    • ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.

    Но вот кто будет отвечать за остальную документацию, кто будет ее хранить и, самое главное, подтверждать подлинность ЭЦП — неясно до сих пор!

    В интернете чаще всего можно встретить оптимистические рассказы о том, как хорошо и удобно хранить документы, подписанные ЭЦП. Никаких проблем, одни удобства и сплошное удовольствие:


    • Положение разрабатывалось с учетом:

      Федерального закона «Об электронной цифровой подписи»

      «Временного положения о цифровой электронной подписи (ЭЦП) в системе межрегиональных электронных платежей ЦБ РФ в период проведения эксперимента», утвержденного 16 августа 1995 г. Первым Заместителем Председателя ЦБ РФ А.В.Войлуковым

      Временных требований ЦБ РФ № 60 от 03 апреля 1997 г. «По обеспечению безопасности технологии обработки электронных платежных документов в системе Центрального банка Российской Федерации»

      Положения ЦБ РФ № 20-П от 12 марта 1998 г. «О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России» в редакции Указания Банка России № 774-У от 11.04.2000 г.

    2. Общие положения

    2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

    2.2. Данное Положение включает:

      организационные мероприятия по работе с НКИ;

      порядок использования НКИ в системе электронных взаимодействий;

      порядок изготовления, учета, регистрации ключей ЭЦП и ключей шифрования в системе электронных взаимодействий;

      порядок действий при компрометации ключевых материалов;

      порядок обеспечения режима безопасности при работе с НКИ.

    2.3. Основные термины:

      Носитель ключевой информации – носитель информации (дискета, флэш-память, и прочие носители) на которых храниться электронный ключ, предназначенный для защиты электронных взаимодействий.

      ЦУКС - центр управления ключевыми системами место изготовления носителя ключевой информации НКИ.

      Секретный (закрытый) ключ подписи - ключ предназначенный для формирования им электронной цифровой подписи электронных документов.

      Открытый (публичный) ключ подписи - ключ, автоматически формируется при изготовлении секретного ключа подписи и однозначно зависящий от него. Открытый ключ предназначен для проверки корректности электронной цифровой подписи электронного документа. Открытый ключ считается принадлежащим участнику электронных взаимодействий, если он был сертифицирован (зарегистрирован) установленным порядком.

      Ключ шифрования - ключ предназначенный для закрытия электронного документа при электронных взаимодействиях.

      Шифрование - специализированный метод защиты информации от ознакомления с ней третьих лиц, основанный на кодировании информации по алгоритму ГОСТ 28147-89 с использованием соответствующих ключей.

      Компрометация ключевой информации - утрата, хищение, несанкционированное копирование или подозрение на копирование носителя ключевой информации НКИ или любые другие ситуации, при которых достоверно не известно, что произошло с НКИ. К компрометации ключевой информации также относится увольнение сотрудников, имевших доступ к ключевой информации.

      Сертификация ключа - процедура заверения (подписания) открытой части регистрируемого ключа электронной цифровой подписью.

      Заявка на регистрацию ключа - служебное сообщение, содержащее новый открытый ключ, подписанное электронной цифровой подписью.

    3. Организация работы с носителями ключевой информации

    Лица, имеющие доступ к носителям ключевой информации, несут за нее персональную ответственность. Список лиц, имеющих доступ к дискетам с ключевой информацией, составляется Начальником Отдела информационной безопасности и фиксируется в приказе по Банку.

    В целях обеспечения идентификации отправителей и получателей информации, защиты ее от несанкционированного доступа:

    3.1. Председатель Правления Банка назначает ответственных за осуществление электронных взаимодействий со сторонними организациями из руководителей подразделений и наделяет ответственных сотрудников правом установки электронной подписи отправляемых документов приказом по Банку.

    3.2. Начальник Отдела информационной безопасности, по согласованию с Начальником Управления информационных технологий назначает сотрудников УИТ ответственных за установку на рабочих станциях ответственных сотрудников, назначенных в п.2.1., соответствующих средств для обеспечения электронных взаимодействий и СКЗИ.

    3.3. Сотрудники ОИБ, совместно с сотрудниками УИТ, назначенные в п.2.2. должны провести обучение ответственных сотрудников подразделений, участвующих в электронных взаимодействиях со сторонними организациями, работе со средствами обеспечения электронного документооборота и СКЗИ.

    3.4. Контроль за электронными взаимодействиями и использованием носителей ключевой информации осуществляют сотрудники Отдела информационной безопасности, Службы внутреннего контроля и Управления экономической защиты.

    4. Порядок ввода в эксплуатацию, хранения и использования носителей ключевой информации

    4.1. Порядок изготовления, учета и использования носителей ключевой информации

    4.2.1. Порядок изготовления и учета носителей ключевой информации

    Персональный ключевой носитель (чаще всего - дискета) обычно изготавливается в центре управления ключевыми системами (ЦУКС). Если ЦУКС обслуживается сторонней организацией, то ключевые дискеты получаются сотрудником Отдела информационной безопасности или назначенным приказом по банку Уполномоченным абонентом СКЗИ. В случае, когда ключевые дискеты изготавливаются в Банке, то это осуществляется на основании заявки, подписанной руководителем подразделения пользователя НКИ.

    Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном «АРМ генерации ключей», программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками управления информационных технологий в присутствии самого пользователя НКИ, маркируется, учитывается в «Журнале учета НКИ» и выдается ему под роспись. Оснащение «АРМ генерации ключей» должно гарантировать, что уникальная секретная ключевая информация исполнителя записывается только на его персональный носитель.

    Для обеспечения возможности восстановления ключевой информации пользователя НКИ в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того чтобы при копировании с оригинала на рабочую копию ключевой дискеты ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей».

    Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Журналу учета НКИ»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации - ключевая дискета (оригинал) или ключевая дискета (копия), фамилия, имя, отчество и подпись владельца-исполнителя.

    4.2.2. Порядок использования носителей ключевой информации

    Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, согласно п.2.1., выдается персональный носитель ключевой информации (например, дискета), на который записана уникальная ключевая информация («секретный ключ ЭЦП»), относящаяся к категории сведений ограниченного распространения.

    Персональные ключевые дискеты (рабочие копии) пользователь должен хранить в специальном пенале, опечатанном личной печатью.

    В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии - руководителем подразделения) или самим исполнителем (при наличии у него сейфа или металлического шкафа). Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения или исполнителя в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Оригиналы ключевых дискет исполнителей хранятся в Отделе информационной безопасности в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие оригиналов ключевых дискет в пеналах проверяется сотрудниками ОИБ при каждом вскрытии и опечатывании пенала.

    Контроль за обеспечением безопасности технологии обработки электронных документов, в том числе за действиями пользователей НКИ, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками Отдела информационной безопасности.

    «Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС или УИТ в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.

    5. Права и обязанности пользователя носителей ключевой информации

    5.1. Права пользователя носителей ключевой информации

    Пользователь НКИ должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.

    Пользователь НКИ имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

    Пользователь НКИ имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.

    5.2. Обязанности пользователя носителей ключевой информации

    Пользователь НКИ, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.

    Пользователь носителей ключевой информации обязан:

      Лично присутствовать в при изготовлении своей ключевой информации (если ключи изготавливаются в ОИБ на «АРМ генерации ключей»), чтобы быть уверенным в том, что содержание его ключевых дискет (оригинала и копии) не компрометировано.

      Под роспись в «Журнале учета НКИ» получить рабочую копию ключевой дискеты, убедиться, что она правильно маркирована и на ней установлена защита от записи. Зарегистрировать (учесть) их у ответственного за информационную безопасность своего подразделения, положить их в пенал, опечатать его своей личной печатью и передать пенал на хранение ответственному за информационную безопасность установленным порядком или убрать в свой сейф.

      Использовать для работы только рабочую копию своей ключевой дискеты.

      В случае хранения НКИ у ответственного за информационную безопасность подразделения, в начале рабочего дня получать, а в конце рабочего дня сдавать ответственному за информационную безопасность свою ключевую дискету. При первом вскрытии пенала, они оба обязаны убедиться в целостности и подлинности печати на пенале. Если печать на пенале нарушена, то дискета считается скомпрометированной.

      В случае хранения персональной ключевой дискеты в сейфе исполнителя, доставать ключевую дискету из сейфа по необходимости и при первом вскрытии пенала убедиться в целостности и подлинности печати на пенале. Если печать на пенале нарушена, то дискета считается скомпрометированной.

      КАТЕГОРИЧЕСКИ ЗАПРЕЩАЕТСЯ оставлять ключевую дискету в компьютере. После использования персональной ключевой дискеты для подписи или шифрования исполнитель должен убрать дискеты в сейф, а в случае хранения НКИ у ответственного за информационную безопасность подразделения, сдавать свою персональную ключевую дискету на временное хранение ответственному за информационную безопасность в подразделении.

      По окончании рабочего дня убрать ключевую дискету в пенал, который должен быть опечатан и убран в сейф.

      В случае порчи рабочей копии ключевой дискеты (например при ошибке чтения дискеты) исполнитель обязан передать ее уполномоченному сотруднику ОИБ, который должен в присутствии пользователя НКИ или ответственного за информационную безопасность подразделения сделать новую копию ключевой дискеты с имеющегося в ОИБ оригинала и выдать ее последнему взамен старой (испорченной) ключевой дискеты.

      Испорченная рабочая копия ключевой дискеты должна быть уничтожена установленным порядком в присутствии исполнителя. Все эти действия должны быть зафиксированы в «Журнале учета НКИ».

    5.3. Пользователю носителей ключевой информации запрещается

      оставлять персональную ключевую дискету без личного присмотра где бы то ни было;

      передавать свою персональную ключевую дискету другим лицам (кроме как для хранения ответственному за информационную безопасность в опечатанном пенале);

      делать неучтенные копии ключевой дискеты, распечатывать или переписывать с нее файлы на иной носитель информации (например, жесткий диск ПЭВМ), снимать с дискеты защиту от записи, вносить изменения в файлы, находящиеся на ключевой дискете;

      использовать персональную ключевую дискету на заведомо неисправном дисководе и/или ПЭВМ;

      подписывать своим персональным «секретным ключом ЭЦП» любые электронные сообщения и документы, кроме тех видов документов, которые регламентированы технологическим процессом;

      сообщать кому-либо вне работы, что он является владельцем «секретного ключа ЭЦП» для данного технологического процесса.

    6. Порядок действий при компрометации носителей ключевой информации

    К событиям, связанным с компрометацией ключевой информации должны быть отнесены следующие события:

      утрата ключевых дискет;

      утрата ключевых дискет с последующим обнаружением;

      увольнение сотрудников, имевших доступ к ключевой информации;

      возникновение подозрений на утечку информации или ее искажения в системе связи;

      нерасшифровывание входящих или исходящих сообщений у абонентов;

      нарушение печати на сейфе или контейнере с ключевыми дискетами.

    Первые три события должны трактоваться как безусловная компрометация действующих ключей ЭЦП. Три следующих события требуют специального рассмотрения в каждом конкретном случае. При компрометации ключей ЭЦП и шифрования Участника обмена электронными документами предусмотрены следующие мероприятия:

      Участник обмена электронными документами немедленно:

      • прекращает передачу информации с использованием скомпрометированных ключей ЭЦП или шифрования;

        сообщает о факте компрометации в Отдел информационной безопасности.

      Сотрудник Отдела информационной безопасности на основании извещения Участника обмена ЭД исключает из электронной базы открытых ключей скомпрометированный ключ ЭЦП или исключает криптографический номер Участника обмена электронными документами из списка абонентов.

      В случае крайней необходимости Участник обмена электронными документами после компрометации может продолжить работу на резервных ключах, о чем делается запись в «Журнале учета НКИ».

      Участник обмена Электронными документами подает заявку на изготовление нового ключа и получает новые ключи ЭЦП и шифрования с регистрацией в «Журнале учета НКИ».

      Производится обмен тестовыми сообщениями на новых ключах ЭЦП и шифрования.

    7. Обеспечение информационной безопасности при работе с носителями ключевой информации

    Порядок размещения, специального оборудования, охраны и режима в помещениях, в которых находятся средства криптографической защиты и носители ключевой информации:

      средства криптографической защиты для обслуживания носителей ключевой информации размещаются в помещениях Серверной Банка и Отдела информационной безопасности;

      размещение, специальное оборудование и режим в помещениях, в которых размещены средства криптографической защиты и носители ключевой информации, обеспечивают безопасность информации, средств криптографической защиты и ключевой информации, сведение к минимуму возможности неконтролируемого доступа к средствам криптографической защиты, просмотра процедур работы со средствами криптографической защиты посторонними лицами;

      порядок допуска в помещения определяется внутренней инструкцией, которая разработана с учетом специфики и условий функционирования Кредитной организации;

      окна помещений оборудованы металлическими решетками и охранной сигнализацией, препятствующими несанкционированному доступу в помещения. В этих помещениях прочные входные двери, на которые установлены надежные замки;

      для хранения ключевых дискет, нормативной и эксплуатационной документации, инсталляционных дискет помещения обеспечены сейфами;

      установленный порядок охраны помещений предусматривает периодический контроль технического состояния средств охранной и пожарной сигнализации и соблюдения режима охраны;

      размещение и установка средств криптографической защиты осуществляется в соответствии с требованиями документации на средства криптографической защиты;

      системные блоки ЭВМ с средствами криптографической защиты оборудованы средствами контроля их вскрытия.

    Порядок обеспечения безопасности хранения ключевых дискет:

      все ключи шифрования, ключи ЭЦП и инсталляционные дискеты берутся в Банке на поэкземплярный учет в выделенных для этих целей «Журнале учета НКИ» и «Журнале учета СКЗИ»;

      учет и хранение носителей ключей шифрования и инсталляционных дискет, непосредственная работа с ними поручается сотрудникам ОИБ или ответственным сотрудникам, назначенных приказом по Банку. На этих сотрудников возлагается персональная ответственность за сохранность ключей шифрования;

      учет изготовленных для пользователей ключей шифрования, регистрация их выдачи для работы, возврата от пользователей и уничтожение ведется сотрудником ОИБ;

      хранение ключей шифрования, ключей ЭЦП, инсталляционных дискет допускается в одном хранилище с другими документами при условиях, исключающих их непреднамеренное уничтожение или иное, непредусмотренное правилами пользования систем криптозащиты, применение;

      наряду с этим предусмотрена возможность безопасного раздельного хранения рабочих и резервных ключей, предназначенных для использования в случае компрометации рабочих ключей в соответствии с правилами пользования средств криптографической защиты;

      действующий закрытый ключ ЭЦП, записанный на магнитный носитель (дискету), должен хранится в личном, опечатываемом сейфе (контейнере) ответственного лица. Возможность копирования и несанкционированного использования ЭЦП посторонним лицом должна быть исключена;

      резервный ключ ЭЦП должен хранится так же, как и действующий, но обязательно в отдельном опечатанном контейнере.

    Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты и носителей ключевой информации:

      к работе со средствами криптографической защиты и носителям ключевой информации допускаются только сотрудники, знающие правила его эксплуатации, владеющие практическими навыками работы на ПЭВМ, изучившие правила пользования и эксплуатационную документацию по средствам криптографической защиты;

      сотрудник должен иметь представление о возможных угрозах информации при ее обработке, передаче, хранении, методах и средствах защиты информации.

    Уничтожение ключевой информации и дискет:

      уничтожение ключевой информации с дискет должно производиться путем двойного безусловного переформатирования дискеты командой ДОС «FORMAT A: /U»;

      уничтожение ключевой дискеты, пришедшей в негодность должно производиться путем расплавления на огне (сожжения) или измельчения гибкого магнитного диска, извлеченного из корпуса.

    Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.

    Недостатки хранения на ПК:

    ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

    Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.


    Рекомендованное хранение ключей ЭЦП - специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

    Достоинствами этого метода хранения являются:

    защита от чужого
    проникновения

    доступ к любому устройству
    для работы без сертификата

    автоматизация процесса входа
    по СЭД и системе компьютера


    Требования к ответственности со стороны пользователя

    Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

    Требования законодательной базы предписывают:

    1. Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
    2. Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
    3. Запрещается использовать скомпрометированный ключ.
    4. Применять методы проверки и соответствия электронного ключа.

    Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

    Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.

    Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.

    Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.

    Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

    Ответственность и передача прав пользования

    Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.

    Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.

    Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.

    От пользователя требуется:

    сохранение тайны информации
    и конфиденциальность
    процесса обмена информацией

    хранение закрытых ключей от
    чужих лиц

    соблюдение пунктов правил
    эксплуатации АРМ системы
    документооборота


    В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.

    За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.

    Чужая ЭЦП: законодательная ответственность

    В законодательстве РФ определена статья 22, в которой описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.

    В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.

    Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!

    Электронно-цифровая подпись представляет собой новый шаг в идентификации и подтверждении документов. Чем же она является? По какому принципу работает? ЭЦП - это сложно или нет? Сможет её освоить только или же разобраться с нею по силам и пенсионерам?

    Общая информация

    Первоначально давайте разберёмся с терминологией. Что такое ЭЦП? Это специальный файл, что используется для подтверждения правомочности документов со стороны определённых лиц. Следует отметить, что электронно-цифровые подписи бывают двух типов - не/квалифицированные. В первом случае получить ЭЦП можно в домашних условиях. Для этого достаточно использовать специальные криптографические программы. Применять реквизит домашнего пошива можно для подтверждения подлинности документов и сообщений в кругу друзей или же в рамках небольшого предприятия.

    Тогда как квалифицированные ЭЦП - это файлы, что создаются различными организациями, имеющими необходимую для этого лицензию. Их наиболее важной особенностью является наличие юридической силы. Так, для них есть законодательная база, позволяющая использовать эти электронно-цифровые подписи в государственных и коммерческих структурах. К тому же, благодаря ним можно удаленно использовать госуслуги. ЭЦП - это ключ к отсутствию очередей, быстрому и оперативному получению ответов и государству с человеческим лицом.

    О сертификатах замолвим слово

    Что они собой представляют? Сертификат ЭЦП - это документ, что выдаётся владельцу удостоверяющим центром, что подтверждает подлинность человека. Когда генерируется ключ подписи, то данные о человеке или юридическом лице сохраняются. В сущности своей сертификат ЭЦП представляет собой что-то вроде электронного паспорта.

    Обмен электронными документами с их помощью может осуществляться только в случае действительности подписи. На какие сроки она выдаётся? Как правило, она создаётся на год или два. После окончания срока сертификат можно продлить. Следует отметить, что файл при любом изменении в реквизитах владельца ключа как то смена название, руководителя организации и прочем следует отзывать и оформлять новый.

    Оформление и продление

    Чтобы получить ЭЦП, необходимо заполнить специальную анкету, где указывается почтовый адрес и множество иной информации. Следует отметить, что в сертификате может быть практически любая информация. Но из-за ограничения действия в год или два приходится их постоянно обновлять. Почему?

    Дело в том, что информация, содержащаяся в сертификате, обладает определённым полезным сроком актуальности. Так, чем больше данных внесено в файл, тем скорее он становится недействительным. Поэтому и было введено такое ограничение срока действительности.

    При этом необходимо знать, что вся информация, что имеется в сертификате подписи, становится общедоступной. Поэтому рекомендуют включать в него как можно меньше данных. Получение ЭЦП также требует наличия носителя, где подпись будет храниться. Как правило, в такой роли используют флешки. Если необходимо продлить электронно-цифровую подпись, то следует обратиться в соответствующее учреждение.

    Кто может выдать ЭЦП?

    Электронные документы можно подписывать и своими самоделками. Но чтобы они имели юридическую силу, следует обратиться к учреждениям с соответствующей аккредитацией. Наиболее популярным является использование услуг налоговой службы. Так, в Российской Федерации чаще всего за оформлением ЭЦП обращаются к ФНС. Это связано как с общим признанием, широкими возможностями использования, так и с тем, что они предоставляют подписи бесплатно.

    При обращении к другим структурам, даже государственным, придётся заплатить несколько сотен или даже тысяч рублей. А учитывая тот факт, что получение ЭЦП будет повторяться каждый год или два, то не удивительно, что многие делают свой выбор в пользу ФНС. Кстати, если есть желание отозвать свою электронно-цифровую подпись, то для этого необходимо обратиться в организацию, что её выдала, с соответствующим заявлением. Когда же это может понадобиться? Вот небольшой список самых популярных причин:

    1. Изменились реквизиты организации.
    2. Уполномоченное лицо (владелец подписи) изменил свой статус: уволился, пошел на повышение, был переведён на другую должность.
    3. Носитель, где хранился ключ, был сломан и больше не может быть эксплуатирован.
    4. Подпись была скомпрометирована.

    Какие бывают ключи?

    Итак, мы уже знаем, что ЭЦП - это хорошо. Но как проверяется подлинность файла? Для этой цели формируется два ключа (определённые последовательности символов). Итак, есть:

    1. Закрытый (личный, секретный) ключ. Это уникальная последовательность символом, что берёт участие в формировании подписи. Он имеется только у своего собственника и известен исключительно ему.
    2. Открытый ключ. Криптографический инструмент, что доступен любому желающему. Используется для проверки подлинности ЭЦП.

    Как наложить электронно-цифровую подпись на документ?

    А теперь к главному. Как подписать ЭЦП необходимый документ? Для этого необходима специальная программа, что будет прошивать требуемый файл, внедряя в него электронно-цифровую подпись. Если документ при этом будет хоть как-то изменён, то ЭЦП будет стёрт.

    В качестве примера давайте рассмотрим линейку криптографических программ «КриптоПро». Она может быть использована как для создания, так и для подписания документа ЭЦП. Благодаря этому осуществляется разработка, производство, распространение и сопровождение защищенных криптографией файлов.

    Где хранить ЭЦП?

    Для этой цели может быть использован (по мере увеличения надежности) жесткий диск компьютера, ДВД, обычная флешка или же токен. Но в таких случаях может возникнуть ситуация, когда кто-то посторонний сможет получить доступ к электронно-цифровой подписи и использовать её во вред.

    Наиболее распространённым является использование флешки. Благодаря небольшому размеру её спокойно можно носить при себе, а использование не занимает много времени. Более защищенный, но менее популярный способ хранения - это токен. Так называют миниатюрное устройство, обладающее комплексом аппаратных и программных средств, что обеспечивает не попадание информации в чужие руки.

    Также токен может использоваться для получения безопасного дистанционного доступа к данным и защиты от посторонних глаз электронной переписки. Внешне он напоминает обычную флешку. Его особенностью является наличие защищенной памяти, благодаря чему стороннее лицо не сможет считать информацию с токена. Это устройство может решать целый спектр проблем безопасности в сферах аутентификации и криптографии.

    В заключение

    Сейчас люди при работе с документами часто используют бумажную форму, которая требует наличия нашей подписи, выполненной ручкой. Но по мере распространения использования электронных файлов потребность в ЭЦП будет возрастать. Со временем сложно будет представить себе деятельность и активность человека без этого инструмента.

    Вполне вероятно, что ЭЦП со временем превратится в полноценный электронный паспорт, важность которого сложно будет переоценить. Но в таком случае будут остро вставать вопросы о безопасности данных. Не следует забывать, что самый уязвимый фактор сейчас в любой технической системе - это человек. Для того чтобы ЭЦП не попал в руки злоумышленников, что используют его во вред, необходимо постоянно повышать свою информированность и квалификацию в использовании технологических продуктов.

    © Copyright 2024, magazin-obi.ru - Коммерческий директор.