Добрый день.

К сожалению, в архиве рассылки не вижу (выпуска 19), я авторскую копию получил, а был ли выпуск рассылки непонятно. Поэтому повторяю его.
По-моему, очень интересная и важная тема - электронно-цифровая подпись (ЭЦП.)

М.К.

В нашей стране много говорилось и говорится о пользе и удобстве для государственного управления и деловой деятельности электронно-цифровой подписи (ЭЦП). Однако за три года, прошедшие с принятия в январе 2002 г. Федерального закона от 10.01.02 г. N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП), мы не наблюдаем повсеместного применения ЭЦП.

Часто можно слышать, что ЭЦП плохо внедряется из-за недостатков указанного Закона. Он, конечно, далек от совершенства, но даже самый плохой закон может лишь притормозить развитие новых технологий. Если определенная технология распространяется не так широко, как ожидалось, то обычно причиной тому служат объективные обстоятельства, тем более что Закон об ЭЦП никак не ограничивает использование данной технологии на основе двусторонних и многосторонних договоренностей.

Сегодня уже стало ясно, что идея безбумажного документооборота пока осталась несбыточной утопией. Можно говорить лишь об ограничении роста числа бумажных документов за счет широкого использования электронных. Например, в США наблюдается устойчивый рост объема бумажных документов на уровне 7% в год (в России - 10-15%).

В большинстве стран не предполагается переводить в электронный вид наиболее ответственные документы, такие, как документы на недвижимость, свидетельства о рождении, браке и смерти, завещания, крупные контракты и т.д. Следовательно, ограничена и сфера использования ЭЦП. В электронный вид в первую очередь переводятся наиболее массовые оперативные документы, например платежные документы разного рода, квитанции и т.п., для которых ЭЦП часто и не нужна.

В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, заинтересованность в применении ЭЦП резко снижается, потому что приходится все важные материалы изготовлять в бумажном виде, даже если в оперативной деятельности используются исключительно электронные документы и электронный документооборот. Организации вынуждены тратить значительные средства на традиционное бумажное делопроизводство и на хранение бумажной отчетности, и в результате технология ЭЦП у нас менее привлекательна для бизнеса, чем за рубежом.

И, наконец, чем шире применяется в нашей стране ЭЦП, тем больше выявляется проблем, заставляющих задуматься о целесообразности использования этой технологии в каждом конкретном случае.
Оперативное применение ЭЦП При оперативном применении ЭЦП возникает ряд проблем. Во-первых, уже отмечены случаи кражи и злоупотребления электронной подписью, переданной (в нарушение установленного порядка) руководителем своему секретарю и т.п. Ситуация понятная: многие наши руководители пока не готовы и не считают нужным регулярно сидеть за компьютером и подписывать документы, если они не имеют большого значения для деловой деятельности. Вот и переходят дискетки, USВ-брелки и прочие "безделушки" в другие руки, и рано или поздно находятся сотрудники, которые не прочь использовать чужую электронную подпись в собственных интересах.

В 1999 г. одна из крупнейших московских телекоммуникационных компаний перевела на счет некоего юридического лица около 1, 2 млн долл. По заявлению компании было заведено уголовное дело, и одновременно с этим компания попыталась через арбитражный суд возместить свои убытки за счет банка, обосновывая это тем, что такой платеж не совершался. При рассмотрении иска было доказано, что платеж был произведен с терминала компании, подключенного к системе "Клиент-банк", и что был использован подлинный электронный ключ одного из ее первых лиц. Результаты проведенной в банке экспертизы также показали, что информационная система банка работала нормально и несанкционированного доступа к ней не было. В итоге арбитражный суд иск компании отклонил, и попытка компенсировать ущерб от собственного головотяпства за счет обслуживающего банка не удалась.

Что произошло на самом деле, в решении арбитражного суда не говорится, но догадаться несложно. Скорее всего, загруженный работой руководитель компании не успевал подписывать финансовые документы для отправки в банк и передал эту обязанность вместе со своей электронно-цифровой подписью кому-то из сотрудников. Сотрудник же в какой-то момент сообразил, что у него появился тот самый "ключ от квартиры, где деньги лежат", и воспользовался ЭЦП руководителя для кражи денег компании.

Во-вторых, часто можно слышать, что важным достоинством ЭЦП является невозможность автора подписи отказаться от нее. Действительно, отказаться от своей ЭЦП гораздо труднее, чем, например, от факсимильного оттиска. Однако, если удастся доказать, что автор подписи не мог подписать конкретный документ в силу определенных обстоятельств, оспорить ЭЦП будет не сложнее, чем любой другой вид подписи.

В-третьих, ЭЦП - лишь один из способов защиты целостности и аутентичности электронного документа. В ряде случаев организации не применяют ЭЦП из-за того, что это экономически целесообразно или создает неудобства в работе. Главная причина в том, что во многих случаях затраты на сложные методы защиты себя не окупают, особенно при работе в "закрытых" корпоративных системах, в которых высокий уровень защиты и контроля и так должен обеспечиваться.
Показательно, что в банковской отрасли, где требования к обеспечению информационной безопасности весьма высоки, относятся к ЭЦП с умеренным энтузиазмом и используют их в основном в системах "Клиент-банк". При работе в защищенных системах, в которых предусмотрен строгий контроль за действиями пользователей, ЭЦП используется редко.

Еще один важный пример - электронная почта. Здесь ЭЦП и шифрование используются редко, несмотря на доступность этой технологии и на то, что за рубежом сообщения электронной почты признаются деловыми документами. В большинстве случаев авторы сообщений не видят необходимости в такой защите, тем более что шифрованные сообщения могут привлечь нежелательное внимание со стороны как хакеров, так и государственных служб, борющихся с терроризмом, отмыванием денег и т.п.
В корпоративных системах часто используются несертифицированные средства, не менее эффективные, чем "законная" ЭЦП. В этом случае не возникает проблемы с признанием юридической силы документов, поскольку заключаются соответствующие двусторонние или многосторонние соглашения. Кроме того, есть возможность самостоятельно выбирать средства защиты, режим работы "внутреннего" удостоверяющего центра и т.д.

Использование ЭЦП в долгосрочной перспективе Считается общепризнанным, что поставленную сегодня ЭЦП невозможно подделать с помощью имеющихся в настоящее время вычислительных мощностей и программного обеспечения. Однако это не означает, что она не будет подделана или иным способом скомпрометирована через 5, 10, 15 лет. Уже сейчас специалисты по информационной и компьютерной безопасности говорят о возможностях взлома алгоритмов, применяемых в ЭЦП.

Специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет - высокая, и это нужно учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны и аутентичность документа придется доказывать иначе, например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность.

Говорить о применении ЭЦП в отрыве от вопросов документооборота и архивного хранения документов не совсем правильно, но именно так принято поступать. Как правило, ни государственные мужи, ни специалисты информационных технологий не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления. В них помимо прочего фиксируются разнообразные права и обязанности государства, частных лиц и организаций, а также происшедшие события, принятые решения и последствия совершенных действий. Такие документы подлежат постоянному или длительному хранению, в этом случае ЭЦП из полезного для оперативной работы инструмента превращается в проблему. В отношении подписанных ЭЦП электронных документов необходимо обеспечить не только сохранность электронных документов в течение установленного срока хранения, но и возможность проверки подлинности ЭЦП в будущем, для этого:
- организация должна сохранять как подписанное ЭЦП сообщение, так и документы, отражающие процесс проверки подписи при получении сообщения;
- удостоверяющий центр (а при иерархической организации системы удостоверяющих центров - все центры) должен хранить свои документы, оборудование и программное обеспечение, необходимые для проверки подписи, в течение того же срока и содержать в рабочем состоянии;
- необходимо определить государственный орган, который должен взять на себя обеспечение сохранности документов, оборудования и программного обеспечения тех удостоверяющих центров, по тем или иным причинам прекративших свое существование.

Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи на протяжении всего срока хранения документа. Если же с помощью ЭЦП подписан документ постоянного срока хранения, то удостоверяющий центр должен будет обеспечить такой же срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии.

Важно, как государство будет выполнять свои обязанности, вытекающие из п. 2 ст. 15 Закона об ЭЦП, в соответствии с которой при ликвидации негосударственных удостоверяющих центров документация, а также обязанности по проверке "старых" подписей (п. 1 ст. 4) переходят к "уполномоченному федеральному органу исполнительной власти". Во-первых, пока непонятно, что это за орган.
Во-вторых, сейчас при ликвидации обычных коммерческих структур часто возникают проблемы с передачей на государственное хранение бумажных документов. С "наследием" удостоверяющих центров проблема будет еще острее, так как большая часть их документов существует в электронном виде. Обеспечить сохранность и использование такой документации в настоящее время не может ни один государственный архив страны, поскольку для этого нет ни материальных, ни технических, ни кадровых ресурсов.

Долговременное хранение документов с ЭЦП - в настоящее время соответствующих отечественных методических материалов и рекомендаций пока нет, поэтому приходится обращаться к зарубежному практическому опыту и методикам работы.

Еще в 2000 г. национальные архивы США (National Archives and Records Administration, NARA) выпустили действующее и сейчас руководство по управлению документами для агентств, использующих электронные подписи, включающее рекомендации по обеспечению надежности таких документов.
В руководстве подчеркивается, что существуют различные методы, которые можно использовать для сохранения надежности подписанных электронным образом документов на протяжении длительного периода. Правительственным агентствам рекомендуется выбирать практичные с их точки зрения методы, удовлетворяющие их деловым потребностям с учетом оценки рисков. Два таких метода уже к 2000 г. были опробованы в ряде государственных организаций США.

Первый метод. Сохраняется документация, подтверждающая подлинность документа, собранная во время или вскоре после подписания документа. В этом случае для того, чтобы надлежащим образом документировать процессы, проходившие в момент электронного подписания, нужно сохранять дополнительную информацию наряду с самим документом с ЭЦП. Она должна храниться в течение того же периода, что и подписанный электронным образом документ. Благодаря сохранению информации, которая засвидетельствовала подлинность электронной подписи в момент подписания документа, сохраняется юридическая сила подписи и удовлетворяются требования по полноте документации.

Дополнительно требуется, чтобы для документов постоянного срока хранения имя автора подписи и дата подписания включались в текстовом виде во все предназначенные для восприятия человеком представления электронного документа (такие, как изображение на экране дисплея или распечатка).
Данный метод считается предпочтительным в случае документов длительного или постоянного срока хранения, поскольку он меньше зависит от технологии.

Храмцовская Н.А. - ведущий эксперт по управлению документацией компании "Электронные Офисные Системы" (ЭОС), член "Гильдии Управляющих Документацией" и ARMA International.

Финансовая газета, 11 марта 2005.

Источник: http://www.e-rus.ru/site.shtml?id=11&n_id=953