Электронный документ и электронный документооборот электронно цифровая подпись. Электронно-цифровая подпись в СЭД: что нужно знать? Как и где использовать
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Российский новый университет
по дисциплине «Правовая информатика»
«Электронный документооборот и электронная цифровая подпись»
г. Воскресенск,
Введение
1. Электронный документооборот
2. Электронная цифровая подпись
Заключение
Список литературы
Введение
Электронный обмен данными - это реальность, с которой сегодня сталкивается практически каждый. Информационные системы, компьютерные сети, электронная почта - вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде.
В последнее десятилетие появились и получили распространение новые инструментальные средства эффективного обеспечения управленческих процессов. В том числе речь идет о программном обеспечении, предназначенном для обработки управленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления документами» и «системы управления деловыми процессами».
При написании работы предстоит:
раскрыть понятие электронного документа и электронного документооборота;
сформулировать цели и способы организации электронного документооборота;
сформулировать проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.
1. Электронный документооборот
Системы электронного документооборота представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рамках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки корреспонденту или завершения исполнения и списания в дело должно быть обеспечено решение следующих функций:
регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;
учет резолюций, выданных по документам руководством организации, и постановка документов на контроль;
централизованный контроль исполнения документов;
списание документов в дело;
ведение информационно-справочной работы;
формирование делопроизводственных отчетов по организации в целом.
Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки зарегистрированных централизованно документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти данные вносятся в систему. При этом система автоматически отслеживает наступление даты предварительного уведомления о приближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о названных сроках.
Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.
Система электронного документооборота обязательно включает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотрудниками. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность работы за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реализовывать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки документов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архивных документов, так как по запросу в любой момент может быть выдана электронная копия документа.
С юридической точки зрения понятие электронного документооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допустимость и доказательственная сила) электронных документов. Поэтому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддержка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса документа.
Основной функцией традиционного документа является удостоверение некоторой информации. При составлении и использовании документа присутствуют два аспекта: во-первых, некоторая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информации, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру - экспертизу по проверке подлинности документа.
Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть - непосредственно содержание, вторая - вспомогательная информация, которая дает возможность установить его аутентичность (подлинность). К ней относятся реквизиты типа исходящего номера, подписей и печатей.
В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.
Необходимо также отметить, что в случае бумажного документа оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принципе может быть проверено путем проведения соответствующей экспертизы.
В ряде случаев существенно наличие именно оригинала документа. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, даже заверенной нотариально.
Таким образом, документ выполняет следующие функции:
фиксация некоторой (содержательной) информации;
фиксация лица, подписавшего документ;
фиксация условий составления документа;
доказательство в судебном разбирательстве;
функция оригинала, обеспечиваемая его уникальностью.
2. Электронная цифровая подпись
Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).
С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определенных условий (ст. 4 Закона об ЭЦП).
Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу - это просто последовательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее независимой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (исполненные на магнитных, оптических, кристаллических и иных носителях, распределенные в компьютерных сетях и т.п.).
Согласно Закону ЭЦП должна решать следующие задачи: защиту электронного документа от подделки, установление отсутствия искажений информации в электронном документе, идентификацию владельца сертификата ключа подписи (ст. 3).
Таким образом, ЭЦП должна обеспечить идентификацию (документ подписан определенным лицом) и аутентификацию (содержание не претерпело изменений с момента его подписания) электронного документа.
Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставившим, носит не биологический, а социальный характер. Возникновение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и технических факторов.
Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлинности ЭЦП и идентификацию человека, ее поставившего. Идентификация человека в традиционном понимании, как это происходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный документ ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствующем виде процесса.
Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП возможны договорные отношения между удаленными юридическими и физическими лицами без прямого или опосредованного физического контакта. Это свойство ЭЦП лежит в основе электронной коммерции.
Логическая природа ЭЦП позволяет не различать копии одного документа и сделать их равнозначными. Снимается естественное различие между оригиналом документа и его копиями, полученными в результате тиражирования (размножения).
Механизм обслуживания ЭЦП основан на программных и аппаратных средствах вычислительной техники, поэтому он хорошо автоматизируется. Все стадии обслуживания (создание, применение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производительности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может создавать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и правовое обеспечение.
Техническое обеспечение электронной цифровой подписи основано на использовании методов криптографии.
Любой документ можно рассматривать как уникальную последовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.
Чтобы последовательность символов, представляющих документ, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.
Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.
Метод шифрования - это формальный алгоритм, описывающий порядок преобразования исходного сообщения в результирующее. Ключ шифрования - это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствующие комбинации цифр - это метод шифрования. А конкретное указание, какую букву заменить, на какую последовательность цифр, является ключом.
Существуют симметричные и несимметричные методы шифрования.
Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алгоритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удаленного партнера.
Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой - открытым или публичным.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).
Открытый ключ электронной цифровой подписи - уникальная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому пользователю информационной системы и предназначенная для подтверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе (ст. 3 Закона об ЭЦП).
Закрытый ключ может быть скомпрометирован различными способами:
хищение ключа путем копирования в результате несанкционированного доступа к оборудованию (прямого или удаленного), на котором он хранится;
получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;
хищение ключа в результате хищения оборудования, на котором он хранится;
хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения сотрудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).
Незаконность данных традиционных методов компрометации обеспечивает законодательство.
Это не относится к нетрадиционным методам реконструкции закрытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны определенными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных программных и аппаратных средств и огромными затратами вычислительного времени. Существует специальная отрасль науки, называемая криптоанализом, которая позволяет воспроизводить зашифрованную информацию и оценить степень защиты информации.
Поскольку от алгоритмов, на основе которых действует средство ЭЦП, зависит надежность и устойчивость документооборота, к средствам ЭЦП предъявляются специальные требования.
Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной цифровой подписи в электронном документе с использованием закрытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи (п. 2 ст. 5). Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5).
Открытый ключ потому и называется открытым, что он доступен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью создания ложного канала связи. Допустим, сторона C желает перехватить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C участвует в "договорных" отношениях.
Эта форма злоупотребления основана на том, что хотя в открытом ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электронной коммерции, ни в электронном документообороте.
Таким образом, одним из основополагающих моментов использования электронной цифровой подписи для установления подлинности, целостности и аутентичности документов, хранимых, обрабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принадлежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Закона об ЭЦП посвящена механизму удостоверения личности владельца открытого ключа.
Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принадлежность открытого ключа конкретному юридическому или физическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как, - в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная государством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документооборота внутри ведомства - уполномоченному подразделению.
На практике сертификация открытых ключей выполняется следующим образом.
1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).
2. Удостоверяющий центр проверяет принадлежность открытого ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.
3. Любой партнер, желающий вступить в контакт с владельцем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если целостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.
Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удостоверения личности партнера в договорных отношениях. Но законность этих отношений удостоверяющим центром не подтверждается.
К удостоверяющим центрам предъявляются особые требования. Это обусловлено тем, что участники электронного документооборота не могут проверить корректность осуществления подобными организациями своих функций.
В настоящее время в соответствии с рекомендациями Европейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удостоверяющих центров, проверку соблюдения этими центрами необходимых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования возможности удостоверяющего центра нести гражданскую ответственность за ненадлежащее исполнение своих обязанностей необходимо выделить три критерия:
наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;
подтверждение этой суммы банковской гарантией;
наличие страховки.
Значительно более трудной представляется задача практического создания в нашей стране инфраструктуры открытых ключей (PKI - Public Key Infrastructure) в системах электронного документооборота и электронной торговли.
Термин "инфраструктура открытых ключей" включает в себя полный комплекс программно-аппаратных средств, а также организационно-технических мероприятий, необходимых для использования открытых ключей.
Основным компонентом инфраструктуры является собственно система удостоверяющих центров.
Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.
Иерархический принцип построения государственного управления подразумевает достаточно естественную структуру построения в перспективе системы удостоверяющих центров системы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и конечных пользователей.
В данной модели определяющую роль выполняет совокупность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.
В настоящее время распространение получили две структурные модели системы сертификации - централизованная и децентрализованная.
Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документооборота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном документообороте.
В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называется корневым удостоверяющим центром (корневым центром сертификации).
Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удостоверяющими центрами (доверенными центрами сертификации).
Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации.
Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:
установить наличие сертификата, удостоверенного электронной подписью удостоверяющего центра;
проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;
если вышестоящий центр тоже является не корневым, а доверенным, то и его подпись можно проверить в вышестоящем центре, и так далее, пока проверка не дойдет до корневого удостоверяющего центра.
Такую проверку надо выполнить только один раз. Убедившись в правомочности корневого удостоверяющего центра, можно настроить свое программное обеспечение так, чтобы в дальнейшем доверие ему выражалось автоматически. И лишь в случаях, когда цепочку сертификатов не удается проследить до ранее проверенного доверенного центра (или до корневого центра), программное oбecпeчение выдаст предупреждение о том, что открытый ключ не имеет удостоверенного сертификата и пользоваться им нельзя.
Сетевая модель сертификации основана на взаимных договоренностях сторон (в последнем случае они будут иметь правовое значение, только если прямо отражены в двусторонних договоpax). Так, например, при отсутствии централизованной структуры доверенных удостоверяющих центров (или параллельно с ней, если законодательство это допускает) могут существовать сетевые модели сертификации. Такие модели охватывают группы юридических и физических лиц, например, по ведомственной принадлежности.
Два юридических или физических лица, вступающих в электронные коммерческие взаимоотношения, могут сами взаимно заверить друг другу открытые ключи, если обменяются ими при личной встрече с предъявлением друг другу учредительных документов или удостоверений личности (для физических лиц). В этом случае у них нет оснований сомневаться в истинной принадлежности открытых ключей.
Однако, например, электронная коммерция строится исходя из того факта, что участники не нуждаются в очной встрече. В этом случае две стороны могут договориться о том, что им взаимно заверит ключи третья сторона, которую они выберут сами. Также могут договориться и прочие участники рынка. В результате возникает сложная структура, в которой все участники связаны, с одной стороны, двусторонними договорными отношениями, а с другой стороны, еще и выполняют функции заверителей для своих традиционных партнеров. С точки зрения отдельного коммерсанта доверие к его открытому ключу будет тем выше, чем большее количество сертификатов он получит от прочих участников рынка.
Заключение
В результате рассмотрения вопроса электронного документооборота и электронной цифровой подписи было раскрыто следующее:
понятие электронного документа и электронного документооборота;
цели и способы организации электронного документооборота;
проблемы, возникающие с введением в практику электронного документооборота и электронной цифровой подписи.
Использование системы электронного документооборота позволяет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. В тоже время электронная цифровая подпись способствует развитию электронного документооборота, повышается эффективность и скорость процесса документооборота.
Список литературы
1. Федеральный Закон РФ от 10.01.2002 № 1 - ФЗ "Об электронной цифровой подписи"
2. Беззубцев О.А., Мартынов В.Н., Мартынов В.М. Некоторые вопросы правового обеспечения использования ЭЦП // http://www.cio-world.ru/offline/2002/6/21492/.
3. Борохович Л., Монастырская А., Трохова М. Ваша интеллектуальная собственность. СПб.: Питер, 2007. С. 287.
4. Кристальный Б.В., Якушев М.В. Концепция российского законодательства в области Интернета // http://www.vic.spb.ru/law/doc/a84.htm.
5. Никитов В.А. и др. Информационное обеспечение государственного управления. М., 2008. С. 82-116.
6. Ткачев А.В. Законодательное регулирование правового статуса ЭЦП. Основные положения // http://www.confident.ru/magazine/new/18.html.
7. Чубукова С.Г., Элькин В.Д. Основы правовой информатики (юридические и математические вопросы информатики). Учебное пособие / Под ред. М.М. Рассолова. М.: Контракт, 2007.
Подобные документы
Цифровые способы обработки электрических сигналов, передачи и приема их в цифровой форме. Принцип работы автоколебательного мультивибратора. Разработка схемы электрической принципиальной устройства управления. Моделирование электронного коммутатора.
курсовая работа , добавлен 10.12.2012
Механика и принципы методов исследования поверхности твердого тела: вторичная электронная эмиссия; масс-спектрометрия. Принципы работы растрового электронного микроскопа. Разработка алгоритма расчетов секторных магнитов с однородным магнитным полем.
дипломная работа , добавлен 22.02.2012
Вычисление силовых трансформаторов с магнитопроводами типа ОЛ и Ш. Выбор размеров корпуса электронного блока с принудительным охлаждением. Расчет охлаждающей системы, площади радиатора проходного транзистора блока питания и параметров электронного блока.
курсовая работа , добавлен 01.04.2013
Функции микропроцессоров в измерительных приборах. Цифровые вольтметры постоянного тока с время - импульсным преобразованием. Назначение, принцип действия и устройство цифровых частотомера, спидометра, термометра электронного весового оборудования.
реферат , добавлен 10.06.2014
Методика разработки электронных устройств. Исследование основных принципов построения усилительных каскадов. Выбор и расчет электронного транзисторного усилителя с полосой рабочих частот 300Гц – 50кГц. Проведение макетирования и испытания усилителя.
курсовая работа , добавлен 22.01.2013
Проектирование элементов телекоммуникационных систем. Отличительные свойства и преимущества схем на коммутируемых конденсаторах. Расчет передаточной функции фильтра цифровой коррекции и коэффициента усиления. Схемы модуляции и выбор аналоговых ключей.
курсовая работа , добавлен 06.02.2013
Разработка структурной и принципиальной схем электронного тахометра. Изучение принципа работы датчика магнитного поля. Выбор микроконтроллера. Проектирование управляющей программы для микроконтроллера. Адаптация устройства к промышленному применению.
курсовая работа , добавлен 22.01.2015
Назначение электронного вольтметра, принцип его действия, технические характеристики, конструкция и структурная схема. Разработка схемы поверки вольтметра, составляющие погрешностей. Обработка результатов измерений. Безопасности при работе с прибором.
курсовая работа , добавлен 10.06.2013
Назначение основных блоков электронного трансформатора. Выбор входного выпрямителя и фильтра. Расчет трансформатора, мощности разрядного резистора и схемы силового инвертора. Разработка системы управления силовым инвертором. Проектирование блока защиты.
курсовая работа , добавлен 05.03.2015
Теоретические основы методов расчета корректирующих цепей САУ и исследование их устойчивости. Особенности модернизации электронного термометра с использованием корректирующей цепи последовательного типа. Исследование устойчивости типовых звеньев САУ.
Электронный документооборот
Электронный документооборот -- система ведения документации, при которой весь массив создаваемых, передаваемых и хранимых документов поддерживается с помощью информационно-коммуникационных технологий на компьютерах, объединенных в сетевую структуру, предусматривающую возможность формирования и ведения распределенной базы данных. При этом не отрицается использование бумажных документов, но приоритетным признается электронный документ, создаваемый, корректируемый и хранимый в компьютере.
Кроме того, электронный документооборот -- высокотехнологичное решение проблемы повышения эффективности работы любых организаций, в первую очередь проектных, конструкторских, строительных, научных, ремонтных и обслуживающих.Автоматическое отслеживание перемещения потоков информации внутри предприятия, а также порядка передачи конфиденциальных сведений позволяет значительно снизить трудозатраты делопроизводителей. Сквозной контроль исполнения на всех этапах работы способствует своевременной подготовке документации и существенному повышению качества работы исполнителей.
Информационные компьютерные технологии образуют основу решений, обеспечивающих централизованный автоматизированный обмен знаниями и позволяющих извлекать из всех доступных источников лишь необходимую информацию.
Система автоматизации документооборота, система электронного документооборота (СЭДО) -- автоматизированная многопользовательская система, сопровождающая процесс управления работой иерархической организации с целью обеспечения выполнения этой организацией своих функций. При этом предполагается, что процесс управления опирается на читаемые человеком документы, содержащие инструкции для сотрудников организации, необходимые к исполнению.
Основные принципы электронного документооборота:
Однократная регистрация документа, позволяющая однозначно идентифицировать документ;
Возможность параллельного выполнения операций, позволяющая сократить время движения документов и повышения оперативности их исполнения;
Непрерывность движения документа, позволяющая идентифицировать ответственного за исполнение документа (задачи) в каждый момент времени жизни документа (процесса);
Единая (или согласованная распределённая) база документной информации, позволяющая исключить возможность дублирования документов;
Эффективно организованная система поиска документа, позволяющая находить документ, обладая минимальной информацией о нём.
Электронная цифровая подпись, электронная подпись и цифровая подпись (понятия, отличия). Электронная цифровая подпись (понятие, виды, особенности и пределы использования)
Электронная цифровая подпись (ЭЦП) - последовательность символов, полученная в результате криптографического преобразования электронных данных. ЭЦП добавляется к блоку данных и позволяет получателю блока проверить источник и целостность данных и защититься от подделки. ЭЦП используется в качестве аналога собственноручной подписи.
Документ, заверенный электронной цифровой подписью (ЭЦП), считается принадлежащим соответствующей Стороне, если он подписан ЭЦП.
ЭЦП предназначена для аутентификации лица, подписавшего электронный документ. Кроме этого, использование цифровой подписи позволяет осуществить:
Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему;
Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев;
Доказательное подтверждение авторства документа. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.;
Все эти свойства ЭЦП позволяют использовать её для участия в электронных аукционах, а также подписи документов для участия в торгах государственных закупок.
Центр сертификации формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов.
Электронная подпись (ЭП) -- реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП. В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура -- «ЭП»).
Виды электронных подписей:
В ст. 5 Закона об электронной подписи установлены следующие виды электронных подписей, которые регулируются Законом: простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной. Указанные виды идентификации участника правоотношений в сфере электронного документооборота отличаются по надежности и сложности получения.
В новом Законе установлено, что простой электронной подписью является такая подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт ее формирования определенным лицом (п. 2 ст. 5).
Для усиленных электронных подписей в Законе предусмотрены более строгие требования. Так, неквалифицированная электронная подпись должна отвечать следующим признакам:
1) получается в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после его подписания;
4) создается с использованием средств электронной подписи.
Эти признаки разработчики Закона об электронной подписи взяли из Директивы ЕС N 1999/93/ЕС (п. 2 ст. 5).
1) получен квалифицированный сертификат, в котором указывается ключ проверки такой электронной подписи;
2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в Законе об электронной подписи.
Цифровая подпись -- это блок данных, сгенерированный с использованием некоторого секретного ключа. При этом с помощью открытого ключа можно проверить, что данные были действительно сгенерированы с помощью этого секретного ключа. Алгоритм генерации цифровой подписи должен обеспечивать, чтобы было невозможно без секретного ключа создать подпись, которая при проверке окажется правильной.
Цифровые подписи используются для того, чтобы подтвердить, что сообщение пришло действительно от данного отправителя (в предположении, что лишь отправитель обладает секретным ключом, соответствующим его открытому ключу). Также их можно использовать для удостоверения (сертификации - to certify) того, что документ принадлежит определенному лицу.
Цифровая подпись также включает в документ отметку времени; по сути это означает, что время подписания документа является частью этой подписи. Поэтому если кто-то попытается изменить документ, при проверке подписи это будет обнаружено. Некоторые почтовые программы, например Exmh или KMail, включенная в KDE, предоставляют возможность подписывать документы с помощью GnuPG прямо в интерфейсе программы. Используются два типа цифровых подписей: clearsigned (явно подписанные) документы и detached signatures (отдельно подписанные). Оба типа подписей включают одинаковую степень защиты подлинности, и не требуют от получателя расшифровывать всё сообщение.Цифровую подпись в цифровых документах ставят в тех же случаях, что и в бумажных.
Цифровые подписи помогают удостоверить следующее:
Подлинность - цифровая подпись помогает гарантировать, что поставивший подпись -- тот, кем он является в действительности.
Целостность - цифровая подпись помогает гарантировать, что содержимое документа не менялось и не подделывалось после ввода цифровой подписи.
Неотрекаемость - цифровая подпись помогает доказать любой из сторон авторство подписанного содержимого. «Отказ» означает, что владелец подписи отрицает свою связь с подписанным содержимым.
Для выполнения этих гарантий создатель документа должен заверить его содержимое цифровой подписью, которая удовлетворяет следующим требованиям:
Цифровая подпись является действующей.Это значит, что сертификат данной цифровой подписи является действующим (не просроченным).Лицо или организация, поставившая цифровую подпись, именуемая издателем, является законным владельцем цифровой подписи;
Сертификат цифровой подписи выдан издателю компетентным Удостоверяющим центром.
Правовой статус документов с ЭЦП по российскому законодательству
Принятый Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" (далее - Закон об электронной подписи, новый Закон) существенным образом изменяет правовое регулирование отношений, связанных с подписанием электронных документов. Ранее данные отношения регулировались исключительно Федеральным законом от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" (далее - Закон об ЭЦП), который перестанет действовать с 01.07.2012, однако сертификаты электронных цифровых подписей (далее - ЭЦП), выданные в соответствии с этим нормативным актом, можно будет использовать и далее.
Закон об ЭЦП в принципе не позволяет выдавать сертификаты ЭЦП юридическим лицам - при том, что именно эти участники оборота чаще используют электронные документы. Закон об электронной подписи устраняет это ограничение, что должно способствовать более широкому распространению электронных подписей в России.
Расширяется и сфера действия электронных подписей, которые теперь можно использовать не только при совершении гражданско-правовых сделок (п. 2 ст. 1 Закона об ЭЦП), но и при оказании государственных и муниципальных услуг, а также "при совершении иных юридически значимых действий" (ст. 1 Закона об электронной подписи).
Закон об электронной подписи вступил в силу 08.04.2011г.,допускает применение любой информационной технологии средств шифрования и любых криптографических технических устройств, если они соответствуют определенным требованиям надежности (п. 2 ст. 4 Закона).
В последнее время электронно-цифровая подпись () получает все большее распространение в отечественных корпоративных информационных системах. Однако однобокое, как правило, техническое освещение вопросов применения ЭЦП не позволяет увидеть картину в целом, в силу чего возникла необходимость рассмотреть эту область "с высоты птичьего полета". Не вдаваясь в детали, интересные только специалистам, мы постараемся рассказать о том, что позволяет и чего не позволяет реализовать электронно-цифровая подпись, а также дать практические рекомендации по применению ЭЦП в системах электронного документооборота, потребность в которых сегодня ощущается все сильнее.
Функционирование с ЭЦП обеспечивают четыре
компонента: программно-аппаратный комплекс СЭД,
имеющий в составе модуль “ЭЦП и шифрование”,
программно-аппаратные комплексы службы
штампов времени и удостоверяющего центра,
а также несколько криптопровайдеров
По общему мнению, собственноручная подпись на бумажном документе решает следующие задачи:
Убедить читателя в том, что человек, подписавший документ, сделал это сознательно (подпись достоверна);
Доказать, что именно этот человек, и никто другой, сознательно подписал документ(подпись неподдельна);
Будучи частью документа, защитить ее от мошеннического переноса в другой документ (подпись невозможно использовать повторно);
Защитить и сам документ (подписанный документ невозможно изменить);
Обеспечить материальность подписи и документа, гарантирующую, что человек, подписавший документ, не сможет утверждать впоследствии, что документ подписан не им (от подписи нельзя отказаться).
Однако, как показывает практика, собственноручная подпись на бумажном документе по самой своей природе оставляет лазейки для мошенников. Недаром для затруднения их действий на бланки документов наносят специальные защитные знаки, применяют нумерацию и скрепление листов, а кроме того, наряду с самой подписью используют собственноручное написание фамилии, имени, отчества на документе и т. п. Одним словом, при всех ее достоинствах собственноручная подпись обладает и целым рядом недостатков.
Как результат проникновения компьютерных технологий во все сферы человеческой деятельности возникла потребность реализовать аналог собственноручной подписи человека в электронном виде. Эта задача была успешно решена. В основе решения лежат разработанные в середине 1970-х гг. криптографические алгоритмы с открытым ключом, которые базируются на сложном математическом аппарате.
При этом ЭЦП устранила большинство проблем, свойственных подписи на бумажном документе, и обеспечила электронному документу следующие важнейшие характеристики:
- целостность - документ не может быть изменен после подписания;
Наиболее широкое применение сегодня ЭЦП находит в документационном обеспечении управления (ДОУ), в платежных системах, электронной торговле и бухгалтерии. Из перечисленных направлений наиболее востребованной и сложной является задача автоматизации ДОУ организаций - главная цель создания систем электронного документооборота (СЭД). Именно на нем мы и сосредоточим свое внимание в статье. Однако прежде необходимо уточнить, что понимается под использованием ЭЦП, имея в виду две основные его схемы:
Подписание электронного сообщения при его передаче и проверка подписи отправителя после получения, то есть защищенная передача документа . Часто подобную схему воспринимают как юридически значимый документооборот, что является глубоким заблуждением. электронного сообщения посредством ЭЦП - вещь, безусловно, полезная и нужная, но для обеспечения полноценного документооборота совершенно недостаточная;
Использование ЭЦП во всем жизненном цикле электронного документа - при его создании, согласовании, утверждении, ознакомлении с ним и т. д. Только в том случае, когда автоматизируется полный жизненный цикл документа и ЭЦП является его неотъемлемой частью, можно говорить об использовании полноценной, т. е. юридически значимой системы электронного документооборота.
Начиная работать с ЭЦП, пользователь делает запрос средствами СЭД на получение ключевой пары (а);
затем запрашивает сертификат для только что сгенерированного открытого ключа (б);
при необходимости подписать документ (только что созданный или полученный из СЭД) его данные передаются
в криптопровайдер для генерации ЭЦП, после чего на ЭЦП ставится штамп времени (в);
после получения документа из СЭД получатель передает его для проверки в криптопровайдер,
где проверяется не только сама ЭЦП, но также сертификат и штамп времени (г)
Далее будем рассматривать юридически значимые СЭД. Такие системы наиболее востребованы в крупных холдингах, государственных структурах управления, кредитных учреждениях, биржах, страховых компаниях - там, где необходимо в электронном виде документировать принятые решения и нести материальную ответственность в связи с ними.
СЭД с поддержкой ЭЦП: в чем выгоды
Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ, подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости - и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют.
Пользователи СЭД без ЭЦП вынуждены доверять системе, системным администраторам, другим участникам работы с документами, причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для доверия есть - это криптографические алгоритмы и протоколы.
Доказательность электронных документов имеет два важных следствия:
Возникает возможность полностью отказаться от бумажных документов при условии, что это не противоречит действующему законодательству (некоторые типы документов требуется иметь в бумажном виде). Это позволяет избежать дублирования информации на различных носителях, обеспечивает надежное хранение данных и предотвращает утечку конфиденциальной информации;
Отпадает надобность в физической передаче сотрудникам бумажных документов, что многократно ускоряет процессы принятия решений по документам и доведения решений руководства до сотрудников.
Принятие Федерального закона "Об электронно-цифровой подписи" стало токой отсчета для введения в оборот термина "юридически значимый электронный документооборот". Сейчас этот термин трактуется весьма широко, что часто вызывает недоразумения во взаимоотношениях заказчиков и разработчиков СЭД. Чтобы лучше понять этот термин, необходимо развеять некоторые заблуждения, касающиеся применения ЭЦП в СЭД и обеспечения юридической значимости документа:
по сути электронный документ без ЭЦП существовать не может. Если ЭЦП не применяется, то можно говорить лишь об электронном образе документа и не более того. Никакие графические образы подписи на документе (например, отсканированный бумажный оригинал) не могут рассматриваться как аналог собственноручной подписи. Более того, подобная практика вредна, поскольку создает иллюзию защищенности системы и ее участников;
важно понимать, что ЭЦП не обеспечивает конфиденциальность электронного документа. Эту задачу решает , которое, в свою очередь, никакого отношения к обеспечению юридической значимости документа не имеет. В случае совместного использования ЭЦП и шифрования нужно учитывать, что для того, чтобы ЭЦП была юридически значимой, пользователь должен видеть и понимать, чтo| он подписывает. Поэтому необходимо вначале создать ЭЦП, а уж затем зашифровать документ, который перед проверкой подписи должен быть расшифрован;
с определенностью можно констатировать, что на сегодняшний день нормативно-правовая и техническая база для реализации юридически значимого электронного документооборота в масштабах государства в нашей стране еще не создана. Тем не менее даже в рамках имеющегося законодательства и технической базы можно реализовать внутренний юридически значимый электронный документооборот в работе отдельно взятой организации или нескольких компаний, входящих в одну структуру, - корпоративный электронный документооборот.
Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу - возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота.
Действующие лица и исполнители
Как следует из вышеизложенного, ЭЦП - это аналог собственноручной подписи человека, применяемый в электронных документах. Электронно-цифровая подпись создается с помощью закрытого ключа - уникальной последовательности символов, которая известна его владельцу и предназначена для создания ЭЦП в электронных документах с использованием соответствующих средств.
Получатели электронного документа, подписанного ЭЦП, имеют возможность проверить действительность подписи посредством открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое в нем указано. Открытый ключ - это уникальная последовательность символов, которая математически связана с закрытым ключом ЭЦП. Открытый и закрытый ключи образуют так называемую ключевую пару.
Открытый ключ доступен любому пользователю информационной системы в составе сертификата ключа. Сертификат ключа является аналогом документа, удостоверяющего личность (например, паспорта). Это документ на бумажном носителе либо электронный документ с ЭЦП уполномоченного лица (сотрудника) удостоверяющего центра. Сертификат ключа помимо открытого ключа ЭЦП содержит идентификационные данные владельца. Сертификат передается пользователю СЭД и выполняет две задачи: подтверждает подлинность ЭЦП и идентифицирует владельца сертификата ключа подписи.
И в том и в другом случае используются средства электронно-цифровой подписи - программно-аппаратный комплекс, обеспечивающий реализацию хотя бы одной из следующих функций: создание ЭЦП в электронном документе с использованием закрытого ключа ЭЦП; подтверждение с использованием открытого ключа ЭЦП подлинности ЭЦП в электронном документе; создание закрытых и открытых ключей ЭЦП.
Аналогом третейского судьи, которому доверяют все участники документооборота, является удостоверяющий центр - организационная структура, осуществляющая деятельность по управлению сертификатами ключей и поддержке их использования в различных подсистемах корпоративной информационной системы. Удостоверяющий центр может быть внешней организацией или подразделением той или иной компании.
Еще один участник процесса - криптопровайдер. Это программный или аппаратно-программный модуль, реализующий один или несколько криптографических алгоритмов и предоставляющий свои функции внешним системам.
Аналогом даты на бумажном документе, которую собственноручно проставляет лицо, подписывающее документ, является штамп времени. Речь идет о свидетельстве третьей доверенной стороны - организационной единицы, носящей название службы штампов времени. СЭД передает туда так называемое хеш-сообщение, которое получается в результате криптографического преобразования документа. На это сообщение служба ставит штамп (средствами своего программно-аппаратного обеспечения), удостоверяющий, что электронный документ существовал на данный момент времени. В результате к хеш-сообщению добавляется значение, указывающее, когда службой штампов времени был получен запрос на проставление штампа времени. Проставляемое значение служба штампов времени подписывает собственной ЭЦП и возвращает документ обратно в СЭД.
Совокупность аппаратно-программного обеспечения, а также персонала, политик и процедур, необходимых для создания, хранения, распределения, управления жизненным циклом и использования сертификатов открытых и связанных закрытых ключей, называется инфраструктурой открытых ключей (ИОК).
Как всегда, все дело в деталях реализации !
Выбирая СЭД с поддержкой ЭЦП, следует обратить внимание на особенности реализации выбранной системы. Рассмотрим ключевые аспекты, которые необходимо учитывать.
Не только содержание, но и форма. Во многих СЭД в качестве электронного документа рассматривается файл какого-либо типа (например, Microsoft Word или Adobe Acrobat), прилагаемый к регистрационной карточке. Хотелось бы обратить внимание на одно обстоятельство: подписание просто файлов (содержательной части документов) не представляет большого интереса для организации. Строго говоря, не вся информация в документе является "неструктурированной", документ кроме содержательной части содержит реквизиты, которые можно и нужно выделять в отдельную структуру, чтобы в дальнейшем осуществлять по ним поиск и классификацию документов. Во многих ситуациях полезно подписывать не только содержание, но и форму. В этом случае можно отображать на экране компьютера и распечатывать электронный документ в том виде, в котором он был подписан, что позволит избежать всяческих конфликтных ситуаций.
Все нюансы бумажного документооборота. ЭЦП должна быть равнозначна собственноручной подписи и учитывать все нюансы бумажного делопроизводства. А именно - необходимо, чтобы СЭД позволяла подписать часть документа, поставить подпись в электронном документе последовательно (подписывается документ и все имеющиеся ЭЦП), параллельно (подписывается документ и все ЭЦП нижележащих уровней).
На рисунке 3 приведены примеры использования ЭЦП в документе. Подпись "заверяю" - последовательная подпись первого уровня - охватывает только содержательную часть документа (это подпись автора документа). Подписи "согласовано 1" и "согласовано 2" (визы согласующих) - это параллельные подписи второго уровня. Они охватывают содержательную часть документа и подпись первого уровня и при этом не зависят друг от друга. Подпись "утверждаю" (виза руководителя) - последовательная подпись третьего уровня - охватывает содержательную часть документа и все предыдущие подписи.
Формат электронного документа. Для полноценной реализации ЭЦП система электронного документооборота должна поддерживать формат документа, являющийся канонической формой, к которой будет приводиться любой "электронный документ" в СЭД. С точки зрения удобства работы и перспективы развития и интеграции предпочтительны СЭД, которые для описания формата документа используют язык XML. В настоящий момент международными организациями ведется работа по созданию стандарта формата электронного документа.
Штамп времени. Важно отметить, что при работе с ЭЦП неизбежно возникает проблема, обусловленная тем, что срок действия любого сертификата ограничен определенным промежутком времени. По истечении срока действия сертификата все созданные при его помощи ЭЦП теряют свое значение, поскольку невозможно определить, была ли ЭЦП создана, когда сертификат еще действовал, или когда срок его действия уже закончился. А это, в соответствии с Федеральным законом "Об электронно-цифровой подписи", автоматически означает недействительность ЭЦП.
Поэтому внимания заслуживают лишь СЭД, интегрированные со службой штампов времени, которая позволяет в один из атрибутов системы помещать штамп, фиксирующий момент создания ЭЦП. При таком решении имеется возможность проверять ЭЦП с учетом того, действовал ли сертификат в момент создания этой ЭЦП, а не в момент проверки.
Однако и этот штамп заверяется ЭЦП службы штампов времени, сертификат которой также имеет ограниченный срок действия. Для нивелирования данной проблемы существует стандартизированная методика, которая должна быть реализована в СЭД. Ее суть заключается в том, что, когда срок действия сертификата службы штампов времени подходит к концу, СЭД запрашивает для старого сертификата и набора служебной информации штамп времени с ЭЦП на новом сертификате, срок действия которого только начинается. Таким образом, благодаря действительности нового сертификата можно доказать, что до момента заверения действовал и старый сертификат.
Архивная копия электронного документа. СЭД должна позволять участнику системы получить архивную копию подписанного электронного документа, которая может быть представлена в качестве доказательства в случае возникновения конфликтной ситуации. Разумеется, необходимо учитывать ограничения политики безопасности, касающиеся конфиденциальных документов.
Создание ЭЦП под документом. Это действие должно выполняться пользователем осознанно. Не допускается подписывать документ в автоматическом режиме. Система обязательно должна задать вопрос, будет ли пользователь подписывать документ. Во многих существующих СЭД этому не уделяется должное внимание. Более того, некоторые разработчики, увлекаясь автоматизацией, специально реализуют автоматическую простановку ЭЦП под документом, что является абсолютно неверным подходом.
|
Факторы, влияющие на успех внедрения СЭД с ЭЦП Организационные Понимание того, для чего необходима ЭЦП и какие выгоды можно получить от ее применения. Политика информационной безопасности. Регламент бумажного делопроизводства. Нормативно-правовая база применения ЭЦП в СЭД. Квалифицированные специалисты в области информационной безопасности. Технические В организации развернута инфраструктура открытых ключей либо имеется договор о предоставлении услуг удостоверяющего центра сторонней организацией. Развернута служба штампов времени. Обеспечивается доверенная среда выполнения программного обеспечения СЭД на рабочих местах пользователей и серверах. На рабочих местах развернуты необходимые средства криптографической защиты. |
Делегирование полномочий. Отдельный вопрос - делегирование должностных полномочий одного пользователя системы другому. Очень часто руководители передают свое право подписания электронного документа доверенному лицу, при этом параллельно подписывают бумажный экземпляр документа, который в данном случае и является оригиналом. Вопрос не простой. Следует получить квалифицированную консультацию у юриста, в каких случаях делегирование допустимо и не противоречит действующему законодательству и каким образом этот факт должен быть оформлен документально. Просто передавать другому сотруднику свой закрытый ключ для создания ЭЦП недопустимо, поскольку такая ситуация трактуется как компрометация ключа, а следовательно, полученная под документом ЭЦП не является легитимной.
Если говорить о реализации СЭД, то технически делегирование реализуется как выпуск удостоверяющим центром специальных сертификатов, имеющих ограниченное применение (указывается в сведениях об отношениях) и срок действия; при этом в реквизитах ЭЦП указывается, от кого делегированы данные полномочия. Для многих читателей термин "сведения об отношениях" почти наверняка покажется странным. Этим термином обозначается свойство сертификата, позволяющее ограничить область его применения. Например, сотрудник имеет право поставить подпись под служебной запиской, но не имеет права подписать финансовый документ.
Бизнес-логика СЭД должна различать сертификаты, выпущенные для делегирования полномочий. Проверьте, чтобы эти возможности поддерживала СЭД и обеспечивающая ее инфраструктура.
Внедрение СЭД с ЭЦП в организации: факторы успеха
Регламент. Для обеспечения юридической значимости электронных документов в организации должен быть разработан и утвержден регламент применения ЭЦП. Разработку регламента следует поручить квалифицированным специалистам и привлечь (в качестве консультантов) юристов. При этом необходимо доработать внутреннюю нормативно-правовую базу компании, с тем чтобы регламент не противоречил другим нормативным актам. Для органов государственной власти кроме перечисленного требуется, чтобы средства ЭЦП и удостоверяющий центр были сертифицированы в установленном законом порядке.
Осведомленность. Участники системы электронного документооборота должны хорошо понимать, что такое ЭЦП, как ее использовать и что она им дает. Это может быть обеспечено проведением семинаров по применению ЭЦП для руководителей подразделений. А уже затем руководители должны довести до своих подчиненных, какие выгоды получает компания и каждый сотрудник от внедрения ЭЦП.
"Свои" или "чужие"? При развертывании в организации СЭД с ЭЦП необходимо решить, какую инфраструктуру открытого ключа использовать: разворачивать ли собственную (внутренняя) или прибегнуть к услугам сторонней компании (внешняя).
Как правило, крупные компании и холдинги реализуют ИОК собственными силами, т. е. службы являются внутренними. Это решение имеет ряд преимуществ, поскольку позволяет полностью контролировать процесс функционирования ИОК. Для средних организаций экономически целесообразным может оказаться использование услуг других компаний. При этом между организацией и компанией-поставщиком заключается договор на предоставление услуг удостоверяющего центра и службы штампов времени.
Для территориально распределенных организаций может быть целесообразным использование собственной иерархической структуры удостоверяющих центров. В этом случае удостоверяющий центр будет иметь корневой и подчиненные центры регистрации. Технически центры регистрации оснащены аппаратно-программными комплексами, реализующими функции работы с сертификатами ключей. В иерархической структуре удостоверяющего центра каждый центр регистрации (узел, к которому подключаются конечные пользователи) имеет собственный сертификат ключа, выпущенный и подписанный вышестоящим центром регистрации. При этом корневой центр регистрации использует сертификат ключа, подписанный собственным закрытым ключом (так называемый самоподписанный сертификат), так как у него нет вышестоящего центра регистрации. Установка самоподписанного сертификата корневого центра регистрации должна осуществляться по процедуре, исключающей подмену этого сертификата.
Кроме того, необходимо учитывать количество запросов, поступающих в удостоверяющий центр в единицу времени, и рассчитывать производительность сетевого оборудования, с тем чтобы обеспечить приемлемое время обработки запроса.
Выбор компонентов ИОК . Важным этапом является определение критериев, по которым следует выбирать компоненты ИОК. Необходимо изучить предлагаемые инфраструктуры открытых ключей: программное обеспечение удостоверяющего центра, аппаратно-программные или программные реализации систем для служб штампов времени, аппаратно-программные или программные криптопровайдеры. Выбор компонентов не слишком широк, и получить профессиональную консультацию вполне возможно. При этом необходимо иметь в виду, что имеющиеся аппаратно-программные комплексы импортного производства не обеспечивают работу с российскими криптографическими алгоритмами. Поддержка этих алгоритмов будет нужна, если возникнет потребность в сертификации СЭД.
Из практики внедрения СЭД следует отметить, что наиболее остро встает вопрос организации развертывания службы штампов времени, состоящей из двух частей: сервера штампов времени и доверенного источника времени. Конкретная реализация службы зависит от потребности организации в длительном хранении электронных документов, подписанных ЭЦП. Как правило, сервер штампов времени, с которым необходима периодическая синхронизация, является внешним по отношению к организации и, таким образом, становится "точкой отказа". Необходимо проработать вопрос обеспечения доступа к резервному серверу доверенного времени. На данный момент вопрос с доверенным источником времени на уровне государства никак не решен.
Выбор СЭД . Определившись с инфраструктурой, нужно потратить значительные усилия на выбор СЭД, поскольку предложений очень много. Принципиальные требования к СЭД уже обсуждались выше. Здесь отметим следующее.
Разработчики подавляющего большинства СЭД, представленных на рынке, заявляют, что поддерживают юридически значимый электронный документооборот, однако термин этот у каждого трактуется по-своему. Например, ЭЦП проставляется без использования штампов времени, но документ объявляется юридически значимым. Как правило, заявление о поддержке юридически значимого документооборота является преувеличением, поскольку многие важные вопросы использования ЭЦП остаются неразрешенными. В этой связи следует критически относиться к подобным заявлениям и уточнять: что же понимает под юридически значимым документооборотом конкретный производитель СЭД.
Желательно выбрать поставщика СЭД, имеющего опыт разработки регламента применения ЭЦП.
Во многих случаях в СЭД отсутствуют средства для разбора конфликтных ситуаций, связанных с действительностью ЭЦП или отрицанием авторства, что технически не позволяет представить доказательства в суде. В СЭД должна существовать четкая процедура разбора конфликтных ситуаций и представления доказательств третьей стороне.
Не исключено, что будет принято решение заказать разработку системы или существенно доработать существующую в организации СЭД. Последний подход не многим отличается по трудоемкости от заказной разработки, но значительно уступает в эффективности решения.
Управление внедрением . Внедрению должна предшествовать разработка стратегии автоматизации делопроизводства организации. В этом документе следует четко сформулировать цели внедрения СЭД, определить принципы построения и этапы внедрения СЭД в организации. Развертывание ЭЦП является составной частью процесса внедрения СЭД, и рассматривать этот процесс как независимый не рекомендуется. Внедрение же СЭД является ответственным делом, и подходить к нему следует с особой тщательностью.
При внедрении СЭД очень важна разработка нормативно-правовой базы. Этот процесс выполняется поэтапно (параллельно с внедрением самой системы) с учетом особенностей делопроизводства в организации и выбранной СЭД.
Как показывает практика, СЭД с ЭЦП можно внедрить безболезненно, если ЭЦП является составной частью архитектуры системы. Компания получит безусловную выгоду, если ЭЦП частично внедрена в СЭД, например в таких подсистемах, как "ведение договоров", "заявки на денежные средства" и т. п., но максимальную выгоду от применения СЭД можно извлечь только при полномасштабном развертывании ЭЦП.
Доверие к инфраструктуре . Обеспечение доверия к внешнему окружению СЭД является ключевым моментом развертывания ЭЦП в организации. Особое внимание следует обратить на доверенную (т. е. исключающую подмену) установку на рабочем месте пользователя самоподписанного сертификата корневого центра регистрации.
Желательно также обеспечить доверенную среду, в которой будет работать СЭД. Для получения полностью доверенной среды необходимо использовать ряд аппаратно-программных компонентов, обеспечивающих (возможно их поэтапное подключение):
Доверенную загрузку операционной системы, например с использованием "электронного замка";
Регулярное обновление ПО (как на серверах организации, так и на рабочих станциях);
Централизованную установку ПО на рабочих местах пользователя.
Необходимо также получить гарантии от разработчиков СЭД на отсутствие недокументированных функций в системе.
Если все эти вопросы тщательно проработаны, то организационные и технические сложности процесса внедрения ЭЦП будут минимальными.
Заключение
Изначально СЭД проектировались без учета применения ЭЦП, они моделировали работу с бумажными документами, от которых организации не собирались отказываться. По мере осознания того, что ЭЦП использовать нужно, разработчики стали встраивать в существующие СЭД функции ЭЦП, рассматривая их как дополнительные. Однако в результате получались решения с ограниченными возможностями, поскольку полноценное встраивание ЭЦП требовало слишком больших переделок в существующих системах.
Сегодня, на очередном витке развития информационных технологий, разработчики вновь создаваемых СЭД уже не рассматривают ЭЦП как некое дополнение и учитывают необходимость ее применения уже на этапе разработки архитектуры системы.
Мировой опыт развития СЭД показывает, что перспективы применения ЭЦП в электронном документообороте и смежных областях весьма впечатляющи. Наблюдается бурное развитие технологий потокового сканирования и распознавания графических образов, что позволяет перевести практически любые бумажные документы в электронный вид и обеспечить эффективный полнотекстовый поиск по ним. Развивается ИОК. В сочетании с общей тенденцией к ускорению принятия решений по документам и потребностью именно в юридически значимых электронных документах это приводит к тому, что электронная цифровая подпись становится востребованной, как никогда ранее.
PC Week/RE
В наш век компьютерных технологий для заверения документов стала применяться, так называемая электронная цифровая подпись или сокращенно ЭЦП. Однако в этом вопросе у многих нет четкого понимания того, зачем это нужно, ведь большинство привыкло работать по старинке, подписывая документы вручную. О том, как подписать документы электронной подписью, далее и пойдет речь.
цифровая подпись или ЭЦП?
ЭЦП представляет собой некий объект в электронном виде, по которому сразу же можно определить лицо, его сформировавшее, установить авторство, проверить аутентичность документа и т. д.
Естественно, визуально ЭЦП может выглядеть как обычная подпись в виде графического объекта, вставленного в документ. На самом деле здесь работают алгоритмы асимметричного шифрования и криптографии. Сама же ЭЦП использует закрытый ключ и сертификат ключа, что и позволяет определить доверенное лицо и принадлежность подписи именно ему, целостность документа и подтверждение факта его подписания.
Почему следует подписывать документы ЭЦП
Многие несколько недоумевают по поводу того, нужно ли и можно ли подписывать документы электронной подписью. На такой вопрос можно дать только утвердительный ответ. Для упрощенного понимания рассмотрим один пример.
Предположим, компания в лице генерального директора должна оформить двусторонний контракт. Понятно, что визировать его придется в любом случае, поскольку без этого он не будет иметь юридической силы. Но пересылка готового договора, скажем, по факсу оказывается невозможной. При отправке по электронной почте графический формат отсканированного документа не приветствуется, ведь подпись можно подделать. Таким образом, приходится отправлять тот же самый файл Word, а вот такой документ и должен быть подписан. Но как подписать документ «Ворд» электронной подписью? В общем-то, в этом нет ничего особо сложного. Далее будет рассмотрено несколько простых методов создания ЭЦП. А пока остановимся на правовых вопросах.
Нужно ли подписывать документы с электронной подписью вручную?
Многие офисные работники и руководители считают, что визировать документы, в которых имеется ЭЦП, дополнительно (вручную) нужно (так сказать, на всякий случай). Явное заблуждение. Это совершенно необязательно.
Дело в том, что при создании цифровой подписи и сертификата оформляется специальный договор с удостоверяющим центром и заверяется нотариусом, а на стадии формирования сертификата выдается закрытый ключ. С юридической точки зрения, это и есть подтверждение владельца ЭЦП. Таким образом, вывод напрашивается сам собой: вторичное визирование не нужно.
Алгоритм работы с ЭЦП
Выясним, как подписать документ и посмотрим на то, как все это работает.
В основу таких процессов положено создание криптограммы, которая хэширует заверяемый файл, определяя данные владельца, авторство и целостность данных. Созданный хэш на следующем этапе шифруется при помощи закрытого ключа, после чего происходит формирование либо целого документа с ЭЦП, либо отдельного файла подписи, привязанного к документу.
Получатель для расшифровки, аутентификации (подлинности) и проверки целостности документа использует открытый ключ. Конечно же, в общих чертах большинство алгоритмов очень похожи между собой. Разница может проявиться только в зависимости от типа используемого программного обеспечения.
Как подписать документ Word электронной подписью средствами редактора?
Многие пользователи даже не догадываются о том, что ЭЦП можно совершенно просто создать даже в офисном редакторе Word. Как подписать «вордовский» документ электронной подписью? Проще простого. Действия в разных версиях редактора несколько различаются, но в целом суть одна и та же. Рассмотрим создание подписи на примере Word 2007.
Итак, как подписать документы электронной подписью, используя только Word? Для этого после установки курсора в место, где предполагается поставить подпись, используется меню вставки, в котором выбирается пункт текста. Затем следует найти пункт строки подписи и в установить строку подписи MS Office.
В диалоговом окне настройки нужно указать данные лица, подписывающего документ, затем выбрать скан оригинальной подписи, после чего ввести собственное имя в поле рядом со значком «x». После этого будет отображена печатная версия подписи.
На планшете с рукописным вводом подпись можно поставить собственноручно. Если требуется подписать документ от имени нескольких лиц, нужно будет настроить поля подписей для каждого лица.
Можно поступить и проще, выбрав в меню кнопки «Офиса» строку «Подготовить», далее указать добавление подписи, затем использовать цель подписания документа, после этого сделать выбор подписи, и, наконец, - пункт «Подписать». Подписание будет подтверждено появившимся красным значком на панели и надписью, гласящей, что документ содержит ЭЦП.
Самые популярные инструменты для создания ЭЦП
Теперь посмотрим, каково может быть решение проблемы того, как подписать документ Для этого желательно использовать стороннее программное обеспечение.
Из русскоязычного ПО самыми популярными и наиболее распространенными являются следующие программные пакеты:
- «КриптоАРМ»;
- «Крипто ПРО»;
- «КриптоТри».
Первая программа выглядит самой простой, поэтому далее будет рассмотрено, как подписать документы электронной подписью, именно с ее помощью.
Создание ЭЦП на примере приложения «КриптоАРМ»
Для создания цифровой подписи при помощи этого приложения есть два метода: использование контекстного меню и выполнение действий через главный интерфейс программы. Для более простого понимания процесса остановимся на первом варианте, тем более что второй практически идентичен, только основное действие вызывается непосредственно из программы. Предположим, необходимо установить цифровую подпись на документ Word.
Сначала в «Проводнике» необходимо выбрать интересующий нас документ и в меню ПКМ выбрать строку «Подписать». После этого появится окно «Мастера», который поможет выполнить все дальнейшие действия. Нажимаем кнопку продолжения и проверяем, тот ли файл выбран. При необходимости можно добавить еще несколько объектов, чтобы осуществить их одновременное подписание.
Снова нажимаем кнопку «Далее» и в следующем окне выбираем метод кодировки. В принципе, можно ничего не менять и оставить настройки, предложенные по умолчанию. На следующем этапе можно ввести дополнительные данные (штамп времени, визу и т. д.). Попутно можно установить флажок в поле сохранения подписи в виде отдельного объекта (при последующей проверке подписи в документе потребуются оба файла). Если галочку не ставить, файл подписи будет объединен с документом.
После продолжения потребуется выбрать сертификат, который был выдан соответствующим удостоверяющим центром (он может находиться на внешнем носителе eToken или прописан в системном реестре). После этого остальные параметры можно не менять. По окончании всех действий останется только нажать кнопку «Готово».
Примечание: если для подписи выбрался отдельный файл, как правило, он будет располагаться в той же директории, что и исходный подписываемый документ, и иметь расширение SIG.
Особенности подписи документов PDF, HTML и XML
Наконец, несколько слов о других форматах. В принципе, для PDF-документов действия будут теми же, однако в силу специфики других программ от компании Adobe целесообразно отделять файл подписи от основного документа.
Возможна ситуация, когда получатель документа сначала захочет ознакомиться с его содержимым, используя для этого тот же Acrobat (Reader), а только потом станет проверять подпись. Кстати, некоторые приложения от Adobe тоже позволяют подписывать файлы собственными штатными средствами.
Если встраивать подпись в документы формата HTML при работе с тонкими клиентами, в браузере потребуется нажать «Подписать и отправить», после чего будет активирован скрипт разработчика, формирующий строковую переменную с данными по верификации документа, которая будет введена в специальное hidden-поле, подписана и передана на сервер POST-методом. Затем последует проверка документа и подписи, после чего на сервере сформируется таблица с полями самого подписанного документа и его ЭЦП.
Можно подписать как обычные документы, использовать средство «Офиса» InfoPath или создать специальный атрибут тэга в самом документе.
Краткие итоги
Вот кратко и все о том, как подписать документы электронной подписью. Конечно, здесь были приведены далеко не все методы, которые позволяют произвести такие операции, и рассмотрены не все программы для создания ЭЦП. Однако даже по такому краткому описанию уже можно понять, для чего нужна электронная подпись, и как в основе своей работают все необходимые алгоритмы.
Если посмотреть не некоторые типы программного обеспечения, в частности, офисные программы или наиболее популярные продукты от Adobe, можно использовать и их собственные средства. Однако в плане упрощения работы, по крайней мере, начинающему пользователю лучше использовать сторонние утилиты в виде примера с «КриптоАРМ». Само собой разумеется, что не следует забывать и о юридической стороне вопроса. Некоторые компании создают электронные подписи и сертификаты самостоятельно, но в конечном итоге они не то чтобы оказываются недействительными, но вот юридической силы не имеют.
10. Электронный документооборот
10.1. Понятие электронного документооборота
Электронный обмен данными - это реальность, с которой се-годня сталкивается практически каждый. Информационные сис-темы, компьютерные сети, электронная почта - вот далеко не полный перечень тех средств, с помощью которых происходит обмен данными в электронном виде.
В последнее десятилетие появились и получили распростра-нение новые инструментальные средства эффективного обеспе-чения управленческих процессов. В том числе речь идет о про-граммном обеспечении, предназначенном для обработки управ-ленческих документов. Здесь, прежде всего, следует упомянуть программное обеспечение классов «системы управления доку-ментами» и «системы управления деловыми процессами»1.
Такие системы представляют собой программные комплексы, применимые для решения ряда задач, в том числе и для построения корпоративных систем электронного документооборота. В рам-ках автоматизации процесса обработки документа в организации с момента его создания или получения до момента отправки кор-респонденту или завершения исполнения и списания в дело долж-но быть обеспечено решение следующих функций:
регистрация входящих в организацию документов, исходящих из организации документов и внутренних документов;
учет резолюций, выданных по документам руководством ор-ганизации, и постановка документов на контроль;
централизованный контроль исполнения документов;
списание документов в дело;
ведение информационно-справочной работы;
формирование делопроизводственных отчетов по организации в целом.
Использование системы электронного документооборота позво-ляет организовать передачу данных о ходе исполнения документов в электронном виде, что качественно меняет организацию контроля исполнения документов. Карточки зарегистрированных централи-зованно документов с резолюциями руководства рассылаются в электронном виде сотрудникам соответствующих подразделений. Они дополняют их резолюциями по исполнению документов, выдаваемыми руководителями структурных подразделений. По мере появления данных о ходе исполнения документов эти дан-ные вносятся в систему. При этом система автоматически отсле-живает наступление даты предварительного уведомления о при-ближении срока исполнения и наступление самого этого срока. Заинтересованные пользователи системы информируются о на-званных сроках.
Также значительно видоизменяется процесс согласования проектов документов, в рамках которого сотрудники, участвующие в процессе согласования, получают возможность обмениваться электронными версиями согласуемых проектов. Такая технология позволяет сократить время, затрачиваемое на передачу проектов в бумажном виде.
Система электронного документооборота обязательно вклю-чает текущий электронный архив, который решает проблемы оперативного доступа к информации и наличия возможности одновременного использования документа несколькими сотруд-никами. Такая форма организации хранения значительно снижает вероятность потери информации и повышает оперативность ра-боты за счет сокращения времени поиска нужного документа. Хранение текстов документов в электронном виде позволяет реа-лизовывать полнотекстовый поиск, что открывает принципиально новые возможности при ведении информационно-справочной работы, например, позволяет делать тематические подборки до-кументов по их содержанию. Использование электронного архива избавляет от необходимости создавать фонд пользования архив-ных документов, так как по запросу в любой момент может быть выдана электронная копия документа.
С юридической точки зрения понятие электронного докумен-тооборота отличается от понятия электронного обмена данными. В основе первого лежит легитимность (процессуальная допусти-мость и доказательственная сила) электронных документов. По-этому наряду с совершенствованием информационных технологий важную роль в процессе создания инфраструктуры электронного документооборота должна сыграть его законодательная поддерж-ка, суть которой состоит в придании данным, создаваемым и передаваемым электронным способом, юридического статуса доку-мента1.
Основной функцией традиционного документа является удо-стоверение некоторой информации. При составлении и использо-вании документа присутствуют два аспекта: во-первых, некото-рая информация, а во-вторых, сам документ как материальная вещь, которую можно предъявить или передать. Наличие этой материальной вещи позволяет подтвердить истинность информа-ции, содержащейся в документе. Возможно, для подтверждения истинности необходимо проделать некую процедуру - экспер-тизу по проверке подлинности документа.
Саму информацию, содержащуюся в документе, тоже можно разделить на две части. Первая часть - непосредственно содер-жание, вторая - вспомогательная информация, которая дает воз-можность установить его аутентичность (подлинность). К ней от-носятся реквизиты типа исходящего номера, подписей и печатей.
В состав информации, как содержательной, так и о носителе, могут входить и данные о времени, условиях и месте составления документа.
Необходимо также отметить, что в случае бумажного доку-мента оригинал существует в ограниченном, известном заранее количестве экземпляров. Например, может быть указано, что договор совершен в трех экземплярах, имеющих равную силу. Любой дополнительный экземпляр явится копией, что в принци-пе может быть проверено путем проведения соответствующей экспертизы.
В ряде случаев существенно наличие именно оригинала доку-мента. Например, продажа акции, выпущенной в документарной форме, вовсе не равносильна продаже копии ее сертификата, да-же заверенной нотариально.
Таким образом, документ выполняет следующие функции:
фиксация некоторой (содержательной) информации;
фиксация лица, подписавшего документ;
фиксация условий составления документа;
доказательство в судебном разбирательстве;
функция оригинала, обеспечиваемая его уникальностью.
10.2. Электронная цифровая подпись
Попытки регламентировать электронный обмен информацией предпринимались еще в Советском Союзе. Общий подход здесь ясен и не вызывает практически ничьих возражений: это принцип аналогии права. Точнее говоря, нужно создать правовую конст-рукцию, которая бы могла исполнять все основные функции при-вычного бумажного документа.
В России 10 января 2002 г. принят Закон об ЭЦП. Целью на-стоящего Федерального закона является обеспечение правовых условий использования электронной цифровой подписи в элек-тронных документах, при соблюдении которых электронная циф-ровая подпись в электронном документе признается равнознач-ной собственноручной подписи в документе на бумажном носи-теле.
В Законе дано определение электронного документа как до-кумента, в котором информация представлена в электронно-цифровой форме (ст. 3).
В законодательстве определены условия, при соблюдении ко-торых электронный документ приобретает статус письменного документа и может служить доказательством в судебном разби-рательстве. Так, ГК РФ связывает признание за электронным документом статуса письменного документа с наличием элек-тронной цифровой подписи. В п. 2 ст. 160 ГК РФ электронная цифровая подпись упоминается наряду с факсимильным воспроиз-ведением подписи как один из аналогов собственноручной под-писи. В ст. 75 АПК РФ указано, что наличие электронной циф-ровой подписи позволяет закрепить за электронным документом статус письменного доказательства. В Законе об информации электронная цифровая подпись (ЭЦП) называется реквизитом, закрепляющим за данным видом документа правовой статус до-кумента.
Таким образом, данные законодательные акты связывали ма-териально-правовое значение ЭЦП с приданием информации, представленной в электронно-цифровой форме, правового стату-са документа или письменного документа (доказательства). Не-смотря на то, что ГК РФ и АПК РФ рассматривают ЭЦП как аналог собственноручной подписи, они не допускали юридиче-ского отождествления ЭЦП с собственноручной (физической) подписью человека на бумажном документе. Акцент делался на закреплении одинакового правового статуса электронного доку-мента и традиционного письменного документа с использовани-ем для данной цели различных правовых и технических средств1.
Электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографи-ческого преобразования информации с использованием закрыто-го ключа электронной цифровой подписи и позволяющий иден-тифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе (ст. 3 Закона об ЭЦП).
С юридической точки зрения электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при соблюдении определен-ных условий (ст. 4 Закона об ЭЦП).
Рассмотрим основные отличия этих двух видов подписи.
Рукописная подпись подтверждает факт взаимосвязи между сведениями, содержащимися в документе, и лицом, подписавшим документ, т.е. является одним из средств идентификации лично-сти. В основу использования рукописной подписи как средства идентификации положена гипотеза об уникальности личных биометрических параметров человека. Механизм выполнения физической подписи непосредственно обусловлен психофизиоло-гическими характеристиками организма человека, и в силу этого подпись неразрывно связана с личностью подписывающего. По-этому и возможна идентификация лица по его подписи.
Применение рукописной подписи имеет исторический и тра-диционный характер, хотя и не лишено известных недостатков2.
Характерной особенностью рукописной подписи является ее неразрывная физическая связь с носителем информации. То есть рукописная подпись возможна только на документах, имеющих материальную природу. Электронные документы, имеющие логи-ческую природу, к этой категории не относятся. Таким образом, при совершении сделок, факт которых удостоверяется рукопис-ной подписью, стороны-участники должны находиться либо в непосредственном контакте, либо в опосредованном через мате-риальный носитель и услуги сторонних организаций (служб дос-тавки).
Другой недостаток рукописной подписи является функцио-нальным. Он связан с тем, что рукописная подпись обеспечивает только идентификацию документа, т.е. подтверждает его отноше-ние к лицу, поставившему подпись, но ни в коей мере не обеспечи-вает аутентификацию документа, т.е. его целостность и неизмен-ность. Без специальных дополнительных мер защиты рукописная подпись не гарантирует тот факт, что документ не подвергся со-держательным изменениям в ходе хранения или транспортировки.
Рассмотрим особенности электронной цифровой подписи. В отличие от рукописной подписи электронная цифровая подпись имеет не физическую, а логическую природу - это просто после-довательность символов, которая позволяет однозначно связать лицо, подписавшее документ, содержание документа и владельца ЭЦП. Логический характер электронной подписи делает ее незави-симой от материальной природы документа. С ее помощью можно подписывать документы, имеющие электронную природу (испол-ненные на магнитных, оптических, кристаллических и иных носи-телях, распределенные в компьютерных сетях и т.п.).
Согласно Закону ЭЦП должна решать следующие задачи: за-щиту электронного документа от подделки, установление отсут-ствия искажений информации в электронном документе, иденти-фикацию владельца сертификата ключа подписи (ст. 3).
Таким образом, ЭЦП должна обеспечить идентификацию (до-кумент подписан определенным лицом) и аутентификацию (со-держание не претерпело изменений с момента его подписания) электронного документа.
Однако следует отметить, что сущность же ЭЦП такова, что она не может непосредственно характеризовать владельца ЭЦП как личность. Связь же между ЭЦП и человеком, ее проставив-шим, носит не биологический, а социальный характер. Возникно-вение, существование и прекращение данной связи обусловлены совокупностью различных правовых, организационных и техни-ческих факторов.
Определение подлинности ЭЦП свидетельствует только о знании лицом, ее проставившим, закрытого ключа ЭЦП. Для того чтобы выяснить, действительно ли владелец сертификата ключа заверил документ ЭЦП, надо установить помимо факта подлин-ности ЭЦП и идентификацию человека, ее поставившего. Иден-тификация человека в традиционном понимании, как это проис-ходит по личной подписи, непосредственно по ЭЦП невозможна. Доказать, что именно данное лицо заверило электронный доку-мент ЭЦП, можно в результате процессуальной деятельности по доказыванию в ходе судебного разбирательства в соответствую-щем виде процесса1.
Независимость ЭЦП от носителя позволяет использовать ее в электронном документообороте. При использовании ЭЦП воз-можны договорные отношения между удаленными юридически-ми и физическими лицами без прямого или опосредованного фи-зического контакта. Это свойство ЭЦП лежит в основе электрон-ной коммерции.
Логическая природа ЭЦП позволяет не различать копии одно-го документа и сделать их равнозначными. Снимается естествен-ное различие между оригиналом документа и его копиями, полу-ченными в результате тиражирования (размножения).
Механизм обслуживания ЭЦП основан на программных и ап-паратных средствах вычислительной техники, поэтому он хоро-шо автоматизируется. Все стадии обслуживания (создание, при-менение, удостоверение и проверка ЭЦП) автоматизированы, что значительно повышает эффективность документооборота. Вместе с тем автоматизация хоть и способствует повышению производи-тельности труда, она выводит механизм подписи из-под контроля естественными методами (например, визуальными) и может соз-давать иллюзию благополучия. Поэтому для использования ЭЦП необходимо специальное техническое, организационное и право-вое обеспечение.
Техническое обеспечение электронной цифровой подписи ос-новано на использовании методов криптографии.
Любой документ можно рассматривать как уникальную по-следовательность символов. Изменение хотя бы одного символа в последовательности будет означать, что в результате получится уже совсем другой документ, отличный от исходного.
Чтобы последовательность символов, представляющих доку-мент, могла, во-первых, идентифицировать ее отправителя, а во-вторых, подтвердить ее неизменность с момента отправления, она должна обладать уникальными признаками, известными только отправителю и получателю сообщения. Для этого используются различные средства шифрования, создаваемые и изучаемые наукой криптографией.
Для шифрования и дешифрования информации необходимо знать метод и ключ шифрования.
Метод шифрования - это формальный алгоритм, описываю-щий порядок преобразования исходного сообщения в результи-рующее. Ключ шифрования - это набор параметров (данных), необходимых для применения метода. Так, например, буквы любой последовательности символов можно заменить на соответствую-щие комбинации цифр - это метод шифрования. А конкретное указание, какую букву заменить на какую последовательность цифр, является ключом.
Существуют симметричные и несимметричные методы шиф-рования.
Симметричный метод шифрования состоит в том, что партнер создает ключ шифрования, который передает другому партнеру. Сообщение шифруется и дешифруется одним ключом. Этот алго-ритм трудно напрямую использовать, например, в электронной коммерции, так как возникает проблема идентификации удален-ного партнера.
Несимметричная (асимметричная) криптография использует специальные математические методы. В результате применения этих методов создается пара ключей: то, что зашифровано одним ключом, может быть дешифровано другим, и наоборот. Владелец ключей один оставляет у себя, а другой может распространить, например, прямой рассылкой через Интернет. Ключ, оставленный у владельца, называется закрытым или личным, другой - откры-тым или публичным.
Закрытый ключ электронной цифровой подписи - уникальная последовательность символов, известная владельцу сертификата ключа подписи и предназначенная для создания в электронных документах электронной цифровой подписи с использованием средств электронной цифровой подписи (ст. 3 Закона об ЭЦП).
Открытый ключ электронной цифровой подписи - уникаль-ная последовательность символов, соответствующая закрытому ключу электронной цифровой подписи, доступная любому поль-зователю информационной системы и предназначенная для под-тверждения с использованием средств электронной цифровой подписи подлинности электронной цифровой подписи в элек-тронном документе (ст. 3 Закона об ЭЦП).
Закрытый ключ может быть скомпрометирован различными способами:
хищение ключа путем копирования в результате несанкцио-нированного доступа к оборудованию (прямого или удаленного), на котором он хранится;
получение ключа путем ответа на запрос, использованный с признаками мошенничества или подлога;
хищение ключа в результате хищения оборудования, на кото-ром он хранится;
хищение ключа в результате сговора с лицами, имеющими право на его использование (даже рядовой факт увольнения со-трудника, имевшего доступ к закрытому ключу организации, рассматривается как компрометация ключа).
Незаконность данных традиционных методов компрометации обеспечивает законодательство.
Это не относится к нетрадиционным методам реконструкции за-крытого ключа по исходным данным, полученным вполне легально, в частности по открытому ключу. Возможность реконструкции определяется тем, что открытый и закрытый ключи связаны опреде-ленными математическими соотношениями. Теоретически знание открытого ключа дает возможность восстановить закрытый ключ. Однако на практике это связано с наличием специальных про-граммных и аппаратных средств и огромными затратами вычисли-тельного времени. Существует специальная отрасль науки, назы-ваемая криптоанализом, которая позволяет воспроизводить зашиф-рованную информацию и оценить степень защиты информации.
Поскольку от алгоритмов, на основе которых действует сред-ство ЭЦП, зависит надежность и устойчивость документооборо-та, к средствам ЭЦП предъявляются специальные требования. Средства электронной цифровой подписи - аппаратные и (или) программные средства, обеспечивающие реализацию хотя бы одной из следующих функций - создание электронной циф-ровой подписи в электронном документе с использованием за-крытого ключа электронной цифровой подписи, подтверждение с использованием открытого ключа электронной цифровой подпи-си подлинности электронной цифровой подписи в электронном документе, создание закрытых и открытых ключей электронных цифровых подписей.
При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства элек-тронной цифровой подписи (п. 2 ст. 5). Использование несертифи-цированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается (п. 3 ст. 5).
Открытый ключ потому и называется открытым, что он дос-тупен каждому из партнеров владельца закрытого ключа. Есть очень простой прием подмены открытого ключа с целью созда-ния ложного канала связи. Допустим, сторона C желает перехва-тить чужие данные. В этом случае она может с помощью средств ЭЦП создать себе пару ключей и опубликовать открытый ключ якобы от имени партнера B. Тогда все сообщения от партнера А к партнеру B будут легко перехватываться и читаться стороной C, причем ни A, ни B не будут даже догадываться о том, что C уча-ствует в «договорных» отношениях.
Эта форма злоупотребления основана на том, что хотя в откры-том ключе и приводятся данные о его владельце, в нем нет средств, удостоверяющих, что эти данные подлинные. Без разрешения этого вопроса механизм ЭЦП не может быть использован ни в электрон-ной коммерции, ни в электронном документообороте.
Таким образом, одним из основополагающих моментов исполь-зования электронной цифровой подписи для установления подлин-ности, целостности и аутентичности документов, хранимых, об-рабатываемых и передаваемых с помощью информационных и телекоммуникационных систем, является подтверждение принад-лежности открытого ключа ЭЦП конкретному лицу посредством выдачи сертификата ключа подписи. Поэтому значительная часть Закона об ЭЦП посвящена механизму удостоверения личности владельца открытого ключа.
Во всех случаях этот механизм основан на том, что вводится (назначается) дополнительная сторона, удостоверяющая принад-лежность открытого ключа конкретному юридическому или фи-зическому лицу. Вопросы: кто именно имеет право удостоверять открытые ключи, когда и как, - в законодательстве различных государств решаются по-разному. В частности, это может быть государственный орган или организация, уполномоченная госу-дарством для ведения данной деятельности. Возможно, что для внутреннего документооборота предприятия эту функцию можно поручить лицу, назначенному руководством, а для документо-оборота внутри ведомства - уполномоченному подразделению.
На практике сертификация открытых ключей выполняется следующим образом.
1. Лицо (юридическое или физическое), создавшее себе пару ключей (открытый и закрытый) с помощью средства ЭЦП, должно обратиться в орган, уполномоченный выполнить сертификацию. Этот орган называется удостоверяющим центром (Закон об ЭЦП).
2. Удостоверяющий центр проверяет принадлежность откры-того ключа заявителю и удостоверяет этот факт добавлением к открытому ключу своей подписи, завизированной собственным закрытым ключом.
3. Любой партнер, желающий вступить в контакт с владель-цем открытого ключа, может прочитать удостоверяющую запись с помощью открытого ключа удостоверяющего центра. Если це-лостность этой записи не нарушена, то он может использовать открытый ключ партнера для связи с ним.
Следует четко понимать, что удостоверяющий центр заверяет только факт принадлежности открытого ключа конкретному лицу или организации. Наличие полноценного сертификата открытого ключа говорит о том, что ключ можно использовать для удосто-верения личности партнера в договорных отношениях. Но закон-ность этих отношений удостоверяющим центром не подтвержда-ется.
К удостоверяющим центрам предъявляются особые требова-ния. Это обусловлено тем, что участники электронного докумен-тооборота не могут проверить корректность осуществления по-добными организациями своих функций1.
В настоящее время в соответствии с рекомендациями Евро-пейского Совета национальное законодательство стран Европы в части требований к удостоверяющим центрам должно содержать требования одобрения или лицензирования деятельности удосто-веряющих центров, проверку соблюдения этими центрами необхо-димых для их деятельности условий, а также требование к уровню надежности технических и программных средств, используемых этими центрами, и т.д. В части экономического обоснования воз-можности удостоверяющего центра нести гражданскую ответст-венность за ненадлежащее исполнение своих обязанностей необ-ходимо выделить три критерия:
наличие собственного минимально установленного капитала, выраженного в абсолютной сумме;
подтверждение этой суммы банковской гарантией;
наличие страховки2.
Значительно более трудной представляется задача практиче-ского создания в нашей стране инфраструктуры открытых клю-чей (PKI - Public Key Infrastructure) в системах электронного документооборота и электронной торговли.
Термин «инфраструктура открытых ключей» включает в себя полный комплекс программно-аппаратных средств, а также орга-низационно-технических мероприятий, необходимых для исполь-зования открытых ключей.
Основным компонентом инфраструктуры является собственно система удостоверяющих центров. 10. Электронный документооборот 245
Для создания целостной системы удостоверяющих центров необходимо определить модель и общую структуру системы; степень участия в ее построении различных государственных органов и коммерческих структур; используемые при создании информационные технологии.
Иерархический принцип построения государственного управ-ления подразумевает достаточно естественную структуру по-строения в перспективе системы удостоверяющих центров сис-темы электронного документооборота: от федерального уровня, через региональные центры и до ведомственных структур и ко-нечных пользователей.
В данной модели определяющую роль выполняет совокуп-ность удостоверяющих центров верхнего уровня, которые должны удовлетворять самым высоким требованиям по информационной безопасности. От надежности защиты этого уровня и доверия к нему в большой мере зависит надежность всей системы в целом и степень доверия к ней.
В настоящее время распространение получили две структур-ные модели системы сертификации - централизованная и децен-трализованная.
Централизованная модель имеет иерархический характер и наиболее соответствует потребностям служебного документообо-рота. Децентрализованная модель имеет сетевой характер и может использоваться, например, в гражданском электронном докумен-тообороте.
В основе централизованной модели сертификации находится один уполномоченный орган сертификации. Такой орган называ-ется корневым удостоверяющим центром (корневым центром сертификации).
Если чисто технически корневой центр не может обеспечить все запросы на выдачу и проверку сертификатов, поступающие от юридических и физических лиц, то он может сертифицировать другие дополнительные органы, называемые доверенными удо-стоверяющими центрами (доверенными центрами сертификации).
Доверенные центры тоже могут удостоверять чужие открытые ключи своими открытыми ключами, но при этом их открытые ключи тоже нуждаются в удостоверении. Их удостоверяет своим закрытым ключом вышестоящий центр сертификации. Таким образом, участник электронного документооборота, получивший откуда-то открытый ключ неизвестного партнера, может:
установить наличие сертификата, удостоверенного электрон-ной подписью удостоверяющего центра;
проверить действительность подписи центра сертификации в вышестоящем удостоверяющем центре;
- Национальный транс: Культура и магия гаитянского вуду Гаитянский культ 4 буквы сканворд
- Каша из топора кратко. Сказка Каша из топора. Русская народная сказка. Хитрая наука — русская народная сказка
- Яблоко от яблони недалеко падает
- Михаил Зощенко. Самое главное. Самое главное, зощенко для детей Михаил зощенко самое главное
- Великая дивеевская тайна
- Последняя тайна царицы тамары Грузинская царица тамара
- Владыка петр. Петр Воронежский, сщмч. «Что это вы так трудитесь, владыко святый?»
- Апостол иуда искариот - святые - история - каталог статей - любовь безусловная Критика неканонического восприятия Иуды Искариота
- Когнитивно-поведенческая психотерапия Бек когнитивная терапия и эмоциональные расстройства
- Сонник: книги, книги на полках, старые книги, писать книгу
- К чему снится ива по соннику
- Туннельные войны Корея подземная война
- Сильная молитва луке крымскому перед операцией, об исцелении, выздоровлении больного и здравии Молитва луке крымскому после операции
- Как избавиться от соперницы навсегда заговор
- Молитвы Богородице: все молитвы ко Пресвятой Богоматери
- Православная молитва на очищение рода от грехов Молитва за предков и освобождение рода
- Что произошло с сыном Никиты Хрущева на самом деле?
- Черепаха страхование путешественников за границу — отзывы и личный опыт
- Когда стоит открывать диспут на AliExpress, если защита заказа заканчивается
- Открываем спор AliExpress: на каком языке писать обращение в техподдержку