Электронная подпись в системах ЭДО – мода или необходимость?
<br>Статья Максима Чиркова, руководителя направления развития сервисов ЭП компании "Аладдин Р.Д."
На сегодняшний день нет организации, которая бы не сталкивалась с необходимостью работы с внешним юридически значимым электронным документооборотом (ЭДО). Это системы декларирования (ФНС, ПФР, ФТС и т.д.), электронных торгов, дистанционного банковского обслуживания и т.д. Подобный опыт заставляет задумываться многих руководителей о полном отказе от "бумажного" делопроизводства в своей деятельности в пользу ЭДО.
Для того, чтобы "электронные" документы приобрели юридическую значимость, они должны быть заверены электронной подписью (ЭП) и обработаны в соответствии с принятыми регламентами. ЭП обеспечивает авторство и целостность подписываемых данных. Об особенностях использования ЭП в различных системах ЭДО мы и поговорим в данной статье.
При использовании ЭП стоит обратить особое внимание на хранение ключевой информации пользователей. Реестр, флэш-карта или дискета не являются безопасными с точки зрения защиты от копирования. Во избежание компрометации ключей ЭП необходимо использовать специальные отчуждаемые устройства (токены, смарт-карты). Доступ к ключевой информации надёжно защищён PIN-кодом по аналогии с банковскими карточками.
Самыми же безопасными на сегодняшний день являются токены и смарт-карты с неизвлекаемыми ключами с реализацией криптографических алгоритмов "на борту", например eToken ГОСТ. Данные средства не выдают ключ ЭП на подпись в оперативную память рабочей станции, а производят все вычисления внутри устройства. Более того, в такие токены и смарт-карты невозможно записать сгенерированные вовне ключи ЭП, что даёт гарантию уникальности данных ключей.
Внешний и внутренний ЭДО
В первую очередь, стоит разделять внешний и внутренний ЭДО. Для внешнего удобнее всего пользоваться услугами систем межведомственного ЭДО. Данные системы обеспечивают обмен открытой и конфиденциальной информацией между компаниями по сети Интернет. К тому же, ряд систем принадлежат организациям – специальным операторам ЭДО, - которые позволяют "законно" выставлять и получать счета-фактуры в электронном виде в рамках электронного документооборота счетов-фактур между продавцом и покупателем. В общем случае в Вашей компании оборудуется одно или несколько рабочих мест для взаимодействия с внешней системой ЭДО с установкой набора необходимых программных и криптографических средств, совместимых с системой оператора. Руководителю или уполномоченному лицу выдаётся ЭП аккредитованного Удостоверяющего центра (УЦ) на защищённом ключевом носителе, например eToken. Всё взаимодействие осуществляется в соответствии с регламентом оператора.
Для внутренних систем ЭДО всё несколько сложнее. Здесь "правила игры" устанавливает организация самостоятельно. Большинство представленных на рынке систем ЭДО уже поддерживают работу с криптографией, причём не важно "западной" или "российской". Но одно лишь использование криптографических средств (даже сертифицированных ФСБ России) не позволяет утверждать о создании с их помощью системы юридически значимого электронного документооборота. Необходимо разработать внутренний регламент использования ЭП в конкретной системе ЭДО.
Применение криптографии с открытыми ключами требует наличия инфраструктуры открытых ключей (PKI), обеспечивающей управление закрытыми ключами (ключами ЭП) пользователей и их цифровыми сертификатами (сертификатами ключа проверки ЭП). Основным элементом PKI выступает Удостоверяющий центр (УЦ), который является доверенной стороной, берущей на себя ответственность за подлинность данных в сертификате ключа ЭП. УЦ может быть как внутренним подразделением компании, так и внешней организацией.
Плюсы и минусы есть
Самый простой и не затратный – это УЦ, организованный штатными средствами уже имеющегося в компании ПО, например Microsoft CA, входящий в состав всех современных серверных операционных систем Microsoft. Несомненными плюсами такого УЦ являются простота администрирования, низкая стоимость содержания, а также лёгкая интеграция в корпоративную инфраструктуру.
Из минусов стоит отметить, что ЭП, выданная данным УЦ, будет использовать "западные" криптографические алгоритмы (RSA), и, в соответствии с действующей редакцией Федерального закона №63 "Об электронной подписи", её можно определить как усиленную неквалифицированную ЭП. Применение этого вида подписи в ЭДО потребует особой проработки регламента использования ЭП в части признания данной ЭП равнозначной собственноручной подписи.
Чтобы снять все вопросы с соответствием ЭП равнозначной собственноручной подписи, необходимо использовать сертифицированные средства ЭП и квалифицированные сертификаты ключа проверки ЭП (квалифицированные сертификаты). Данные сертификаты могут выдать только аккредитованные УЦ. Если в системе ЭДО планируется использование квалифицированной ЭП, то сертификаты целесообразно приобретать у внешних аккредитованных УЦ, а не разворачивать свой внутренний УЦ, так как это влечёт за собой существенные расходы на организацию, аккредитацию и сопровождение. К тому же, такая деятельность является лицензируемой.
Все системы ЭДО имеют внутреннее протоколирование действий с документами. Эти данные используются при расследовании конфликтных ситуаций. Для усиления контрольных функций целесообразно использование "усовершенствованной" подписи. Подписание с использованием служб штампов времени (TSP) и сервиса проверки статусов сертификатов в режиме реального времени (OCSP) позволит оперативно определить статус сертификата пользователя на момент подписания, а также установить момент подписания.
Использование систем ЭДО к настоящему времени уже стало стандартом де-факто для большинства крупных организаций. Динамика развития этого рынка позволяет прогнозировать возрастание интереса и со стороны малого и среднего бизнеса.