Содержание:

Введение

Сегодня сложно найти специалиста в области информатизации или телекоммуникаций, который бы не знал, что такое электронная цифровая подпись (ЭЦП). Однако мало кто осознает, что само по себе использование этой технологии только создает предпосылки для организации юридически значимого электронного документооборота. Точно так же как технология производства бумаги или авторучек - это лишь возможность организовать традиционный бумажный документооборот.

В скором будущем заключение договора будет возможно в электронной форме, который будет иметь такую же юридическую силу, как и письменный документ. Для этого он должен иметь механизм электронной цифровой подписи, подтверждаемый сертификатом. Владелец сертификата ключа подписи владеет закрытым ключом электронной цифровой подписи, что позволяет ему с помощью средств электронной цифровой подписи создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). Для того, чтобы электронный документ могли открыть и другие пользователи, разработана система открытого ключа электронной подписи.

Для того, чтобы иметь возможность скреплять электронный документ механизмом электронной цифровой подписи, необходимо обратиться в удостоверяющий центр за получением сертификата ключа подписи. Сертификат ключа подписи должен быть внесен удостоверяющим центром в реестр сертификатов ключей подписей не позднее даты начала действия сертификата ключа подписи.

Первый в России такой удостоверяющий центр запущен в сентябре 2002 г. Российским НИИ развития общих сетей (РосНИИРОС). Удостоверяющий центр по закону должен подтверждать подлинность открытого ключа электронной цифровой подписи.

Электронная подпись

Электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющей идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажений информации в электронном документе. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;-подтверждена подлинностью электронной цифровой подписи в электронном документе; электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

При этом электронной документ с электронной цифровой подписью имеет юридическое значение при осуществлении отношений, указанных в сертификате ключа подписи.

Новый формы электронной подписи

В 2019 году планируются существенные изменения, которые касаются электронной подписи. К основным таким нововведениям относится:

• вводится новый стандарт, применяющийся при создании квалифицированной ЭЦП, поэтому он называется теперь ГОСТ Р 34.10-2012;
• если у компании имеется сертификат для создания ЭП, созданный до начала 2019 года, то он будет действовать до 1 января 2020 года;
• эти изменения затронут каждого налогоплательщика, который во время работы пользуется квалифицированной ЭП.

Нововведения касаются даже формы данной подписи. К основным таким правкам в законодательство относится:

• вносятся определенные корректировки в программный код разных систем, применяющих подписи;
• вводятся новые сертификаты криптографической защиты сведений;
• придется компаниям приобретать новые системы, ПО и оборудование, соответствующее новым стандартам;
• после установки подходящего оборудования происходит замена ключей ЭП;
• новая форма не может существовать самостоятельно, поэтому для ее использования требуются средства ЭП, а также носители информации, например, USB-токены;
• основной сложностью введения всех правок считается необходимость снизить затраты на покупку нового дорогостоящего оборудования, без которого невозможно воспользоваться ЭП;
• уже сейчас многие банки, постоянно пользующиеся электронной подписью, начали постепенный переход на новую форму и стандарт;
• для защиты платежных операций наиболее часто банковские организации пользуются Рутокен ЭЦП 2.

Введение нового стандарта и формы ЭП обусловлено необходимостью развития всей системы в целом. Поэтому организации, которым требуется в 2019 году обновить подпись, должны заранее подготовить свое оборудование под новые требования.

Электронная подпись в системах электронного документооборота

Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ, подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости — и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют.

Электронный документ — это документ, подготовленный с использованием системы электронного документооборота, зафиксированный на материальном носителе в виде объекта СЭД и снабженный реквизитами, с помощью которых можно идентифицировать место, время создания и автора документа.

Пользователи СЭД без ЭЦП вынуждены доверять системе, системным администраторам, другим участникам работы с документами, причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для доверия есть — это криптографические алгоритмы и протоколы.

Доказательность электронных документов имеет два важных следствия:

• возникает возможность полностью отказаться от бумажных документов при условии, что это не противоречит действующему законодательству (некоторые типы документов требуется иметь в бумажном виде). Это позволяет избежать дублирования информации на различных носителях, обеспечивает надежное хранение данных и предотвращает утечку конфиденциальной информации;
• отпадает надобность в физической передаче сотрудникам бумажных документов, что многократно ускоряет процессы принятия решений по документам и доведения решений руководства до сотрудников.

Принятие федерального закона “Об электронно-цифровой подписи” стало точкой отсчета для введения в оборот термина “юридически значимый электронный документооборот”. Сейчас этот термин трактуется весьма широко, что часто вызывает недоразумения во взаимоотношениях заказчиков и разработчиков СЭД. Чтобы лучше понять этот термин, необходимо развеять некоторые заблуждения, касающиеся применения ЭЦП в СЭД и обеспечения юридической значимости документа: по сути электронный документ без ЭЦП существовать не может. Если ЭЦП не применяется, то можно говорить лишь об электронном образе документа и не более того. Никакие графические образы подписи на документе (например, отсканированный бумажный оригинал) не могут рассматриваться как аналог собственноручной подписи. Более того, подобная практика вредна, поскольку создает иллюзию защищенности системы и ее участников;

• важно понимать, что ЭЦП не обеспечивает конфиденциальность электронного документа. Эту задачу решает шифрование, которое, в свою очередь, никакого отношения к обеспечению юридической значимости документа не имеет. В случае совместного использования ЭЦП и шифрования нужно учитывать, что для того, чтобы ЭЦП была юридически значимой, пользователь должен видеть и понимать, чтó он подписывает. Поэтому необходимо вначале создать ЭЦП, а уж затем зашифровать документ, который перед проверкой подписи должен быть расшифрован;
• с определенностью можно констатировать, что на сегодняшний день нормативно-правовая и техническая база для реализации юридически значимого электронного документооборота в масштабах государства в нашей стране еще не создана. Тем не менее даже в рамках имеющегося законодательства и технической базы можно реализовать внутренний юридически значимый электронный документооборот в работе отдельно взятой организации или нескольких компаний, входящих в одну структуру, — корпоративный электронный документооборот.

Уже сегодня многие внутренние документы организации можно перевести в электронный вид (например, служебные записки, заявки на выделение денежных средств, различные внутренние отчеты, поручения и т. п.). Необходимо разработать нормативно-правовую базу организации, регламентирующую применение ЭЦП. Такой регламент обеспечит электронным документам юридическую силу — возможность представлять их в суде в качестве доказательства. Безусловно, небольшая правоприменительная практика вносит некоторые ограничения в применение ЭЦП, но не является принципиальным барьером для построения в отдельной компании внутреннего юридически значимого электронного документооборота.

Принципы формирования электронной подписи

Для успешного создания и использования ЭП электронного документа в современных условиях обмена электронными сообщениями и документами, в том числе в сетях общего пользования, необходимо, чтобы открытый ключ (в том числе и закрытый ключ) был соотнесен с лицом, создающим ЭП, а для его создания использовалось сертифицированное средство (специальное программное обеспечение).

Для выполнения первого условия необходимо обратиться в центр сертификации.

Удостоверяющий центр или центр сертификации - это организация или подразделение организации, которая выпускает сертификаты ключей электронной подписи.

Сертификат открытого ключа удостоверяет принадлежность открытого ключа некоторому лицу. Сертификат открытого ключа содержит имя субъекта, открытый ключ, имя удостоверяющего центра (или центра сертификации), политику использования соответствующего удостоверяемому открытому ключу закрытого ключа и другие параметры, заверенные подписью уполномоченного лица удостоверяющего центра.

Сертификат открытого ключа используется для идентификации субъекта и уточнения операций, которые субъекту разрешается совершать с использованием закрытого ключа, соответствующего открытому ключу, удостоверяемому данным сертификатом. Структура цифровых сертификатов, а также списков отозванных сертификатов (CRL), определяется стандартом X.509.

Заявитель обращается в удостоверяющий центр и представляет документы, необходимые для его идентификации (например, паспорт). Уполномоченный сотрудник УЦ выполняет проверку документов, после чего формируется пара ключей. Достоверность первого удостоверяется сертификатом, заверенным ЭП сотрудника УЦ. Секретный ключ на съемном носителе передается заявителю, который, расписываясь в получении сертификата и секретного ключа, обязуется никому не передавать секретный ключ, а в случае его утраты, обратиться в удостоверяющий центр для отзыва сертификата.

После получения закрытого ключа и сертификата открытого ключа, необходимо установить сертификат на компьютер, где будет создаваться электронная подпись. Процедура установки корневого сертификата удостоверяющего центра, а также личного сертификата с привязкой к секретному ключу, производиться с помощью средств операционной системы и специального программного обеспечения, обеспечивающего работу с сертификатом и закрытым ключом при выполнении операций шифрования и создания ЭП.

В операционных системах Microsoft Windows такое программное обеспечение получило название - криптопровайдер (Cryptography Service Provider, CSP). Криптопровайдер - это независимый модуль, позволяющий осуществлять криптографические операции, управление которым происходит с помощью функций CryptoAPI . Проще говоря, криптопровайдер – это посредник между операционной системой и клиентской программой, предназначенной для выполнения уже вполне конкретных действий, например, шифрования данных или создания ЭП документа. Криптопровайдер обычно устанавливается в систему в момент установки клиентской программы, поэтому этот сложный процесс не заметен для пользователя.

Также нужно отметить, что криптопровайдеры поддерживающие различные зарубежные криптографические алгоритмы, поставляются вместе с операционной системой и не требуют отдельной установки. В частности поэтому, для того чтобы подписать электронное сообщение в почтовой программ MS Outlook на сертификате выпущенном в вашей организации, Вам нужно только установить выпущенный сертификат на Ваш компьютер. Однако, полученную таким образом ЭП можно использовать только в рамках Вашей организации или группы компаний, имеющих внутреннее соглашение об использовании такой ЭП. Для обеспечения юридической значимости, т.е для того, чтобы полученная ЭП признавалась любыми другими гражданами и организациями, в том числе государственными органами, необходимо: во-первых, изготовить сертификат и получить секретный ключ в удостоверяющем центре (аккредитованном и имеющими необходимые лицензии ФСТЭК и ФСБ), во-вторых, использовать для изготовления ЭП специальное сертифицированное средство. Например, одним из таких средств является комплекс Крипто-АРМ производства ООО «Цифровые технологии», который должен использоваться вместе с сертифицированным криптопровайдером, производства ООО «КРИПТО-ПРО».

После того, как на компьютере установлены сертификат, соответствующее средство изготовления ЭП и произведены необходимые настройки, можно легитимно применять ЭП.

При использовании электронной подписи для защиты документов она может передаваться несколькими способами. Конкретный вариант выбирается исходя из того, какие задачи решаются с ее помощью.

Правовые аспекты применения электронной подписи

Использование электронных документов и электронной цифровой подписи (ЭЦП) регламентируется во многих законах и подзаконных актах. В большинстве взаимоотношения сторон по применения ЭЦП складываются в рамках гражданско-правовых отношений, и регулируются Гражданским кодексом РФ и принятыми в соответствии с ним законами.

Согласно п. 2 ст. 160 ГК РФ, регулирующей вопросы письменной формы сделки, использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон.

В соответствии со ст. 434 ГК РФ, посвященной форме договора, договор в письменной форме может быть заключен путем составления одного документа, подписанного сторонами, а также путем обмена документами посредством почтовой, телеграфной, телетайпной, телефонной, электронной или иной связи, позволяющей достоверно установить, что документ исходит от стороны по договору.

Согласно ст. 847 ГК РФ договором может быть предусмотрено удостоверение прав распоряжения денежными суммами, находящимися на счете, электронными средствами платежа и другими документами с использованием в них аналогов собственноручной подписи, кодов, паролей и иных средств, подтверждающих, что распоряжение дано уполномоченным на это лицом.

Таким образом, Гражданский кодекс РФ разрешает использование электронных документов, заверенных ЭЦП, во всех случаях, когда требуется письменная форма сделки, за исключением тех, при которых установлены специальные требования к форме документа. При этом следует обратить внимание, что ни статья 160 ГК РФ, ни статья 434 ГК РФ не выдвигает в качестве обязательного требования скрепления документов печатями.

Такими законодательными актами, которые регулируют использование ЭЦП, являются, в частности, Налоговый кодекс РФ, Арбитражный процессуальный кодекс РФ, Федеральный закон РФ от 21.11.1996 № 129-ФЗ «О бухгалтерском учете». Так, согласно статье 80 Налогового кодекса РФ налогоплательщик вправе подать декларацию, подписанную ЭЦП. Законодательство о бухгалтерском учете в Российской Федерации позволяет использовать в первичных учетных документах ЭЦП лиц, ответственных за совершение хозяйственных операций и правильность их оформления (статья 9 Федерального закона РФ от 21.11.1996 № 129-ФЗ «О бухгалтерском учете» и письмо Министерства Финансов РФ от 26 мая 2004 года № 04-02-05/2/28).

Законодательство в сфере защиты информации

1. Защита информации представляет собой принятие правовых, организационных и технических мер, направленных на:

• обеспечение защиты информации от неправомерного доступа, уничтожения, модифицирования, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий в отношении такой информации;
• соблюдение конфиденциальности информации ограниченного доступа;
• реализацию права на доступ к информации.

2. Государственное регулирование отношений в сфере защиты информации осуществляется путем установления требований о защите информации, а также ответственности за нарушение законодательства Российской Федерации об информации, информационных технологиях и о защите информации.

3. Требования о защите общедоступной информации могут устанавливаться только для достижения целей, указанных в пунктах 1 и 3 части 1настоящей статьи.

4. Обладатель информации, оператор информационной системы в случаях, установленных законодательством Российской Федерации, обязаны обеспечить:

• предотвращение несанкционированного доступа к информации и (или) передачи ее лицам, не имеющим права на доступ к информации;
• своевременное обнаружение фактов несанкционированного доступа к информации;
• предупреждение возможности неблагоприятных последствий нарушения порядка доступа к информации;
• недопущение воздействия на технические средства обработки информации, в результате которого нарушается их функционирование;
• возможность незамедлительного восстановления информации, модифицированной или уничтоженной вследствие несанкционированного доступа к ней;
• постоянный контроль за обеспечением уровня защищенности информации;
• нахождение на территории Российской Федерации баз данных информации, с использованием которых осуществляются сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации.

(п. 7 введен Федеральным законом от 21.07.2014 N 242-ФЗ)

5. Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, в пределах их полномочий. При создании и эксплуатации государственных информационных систем используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

6. Федеральными законами могут быть установлены ограничения использования определенных средств защиты информации и осуществления отдельных видов деятельности в области защиты информации.

Ключи электронной подписи

Сама ЦП — это лишь реквизит документа. Не стоит путать ЭЦП с такими понятиями как сертификат ЭП, ключевой носитель, лицензионный ключ.

Сертификат ключа проверки ЭП — документ, свидетельствующий о принадлежности ЭЦП ее законному владельцу. Представлен в бумажном либо электронном виде и выдается вместе с ключевой парой в УЦ. А поскольку сегодня практически везде используется КЭП, а для ее подтверждения необходимо получать квалифицированный сертификат, выдаваемый аккредитованным УЦ или органами исполнительной власти, имеющими данные полномочия, обычный документ для НЭП утратил свою силу.

Сертификат содержит ключ проверки, сведения о его владельце, периоде действия (дата «от» и «до») и другие, не менее важные, данные. Этот документ выдают на 12 месяцев. По истечении указанного периода владельцу ЭП следует обратиться в УЦ, чтобы заказать новый комплект ключей вместе с сертификатом.

Закрытый ключ электронной подписи — это уникальная последовательность символов, применяемая для создания ЭП. Открытый ключ — это тоже уникальная последовательность символов для проверки оригинальности электронной подписи (распространяется свободно). Первый ключ хранится в тайне и имеется только у его владельца. Если он станет доступен для посторонних, владельцу придется обратиться в УЦ для получения новых ключей. Старый ключевой набор после этого утратит свою силу.

Чтобы исключить риск копирования, храните ключ электронной подписи не на компьютере, а специальном защищенном носителе (USB-накопителе либо смарт-карте). По желанию клиента специалисты УЦ могут записать ключи на обычную флешку, но в таком случае они предупреждают об отсутствии высокого уровня защиты ценных данных.

Одного ключа недостаточно, чтобы заверить электронный документ подписью. Потребуются дополнительные средства ЭЦП. Ими может служить любое ПО для создания и проверки ЭП. Условно их можно классифицировать на два вида: криптопровайдеры и интерфейсы. Первые — это программы, осуществляющие разного рода криптографические операции. Например, шифрование и подписание электронных документов. Как правило, такой софт не имеет собственного интерфейса, то есть окон и различных кнопок для управления настройками. Наиболее популярным криптопровайдером, применяемом для работы с ключом КЭП, является КриптоПро CSP. В качестве интерфейса для него можно использовать КриптоАРМ, КриптоПро Office Signature и КриптоПро PDF. Для работы на некоторых госпорталах в роли интерфейса может служить браузер Internet Explorer.

Чтобы воспользоваться этими программами, необходимо скачать с сайта производителя установочные файлы — дистрибутивы и поставить их на свой компьютер.

Центры сертификации

Удостоверяющий центр ЭЦП является организацией с функциями администратора по выдаче сертификата ключа на основании ст. 13 закона «Об электронной подписи» (№ 63-ФЗ от 06.04.2011). Он создает сертификаты ключей проверки ЭЦП, устанавливает для них сроки действия и аннулирует их и ведет реестр выданных и аннулированных неквалифицированных сертификатов.

К ним поступают обращения для получения ЭЦП. Они уполномочены устанавливать личность заявителя (получателя ЭП) либо лица, которое выступает от его имени.

Встречаются случаи употребления названия: удостоверяющий центр ЭЦП. Это связано тем, что ранее действовал № 1-ФЗ «Об электронной цифровой подписи». С 1 января 2014 года окончательно вступил в силу № 63-ФЗ, и термин «электронная подпись» полностью заменил «электронную цифровую подпись». Хотя по сей день употребляют оба.

Порядок реализации своих полномочий УЦ устанавливает самостоятельно. Этот порядок существует в виде Регламента. Он содержит и права, и обязанности. Законом установлена ответственность за вред, причиненный третьим лицам, при условии неисполнения или ненадлежащего исполнения обязательств:

• договоры оказания услуг;
• Обязанностей.

Носители ключей электронной подписи

После подачи документов в удостоверяющий центр и формирования ЭЦП заявителю выдают на руки носитель ключа электронной подписи. Он представляет собой специальное записывающее устройство с защитой от перезаписи, где как раз и хранится числовой индивидуальный код, закрепленный за определенным гражданином. Именно с помощью того самого числового кода и происходит идентификация личности.

Что такое носитель электронной подписи? Теоретически – это любой накопитель, на который записаны метаданные ЭЦП в зашифрованном виде. С целью защиты персональных данных для этого сейчас используются:

• смарт-карты;
• eToken;
• рутокены.

Носитель ключа ЭП обязательно защищается индивидуальным паролем, который знает только владелец электронной подписи.

Считать информацию с такого накопителя может любое устройство, однако она будет представлена в шифрованном виде с применением криптографических алгоритмов (текущий принятый стандарт ГОСТ 28147-89).

Самым распространенным на текущий момент носителем для электронной подписи являются именно USB-токены ввиду своей невысокой стоимости. При этом они надежны, работать с ними можно на любом компьютере при наличии USB-порта (а для смарт-карт, к примеру, необходимо приобретать дополнительное считывающее устройство).

На рутокены записывается не только данные электронной подписи, но и специальное ПО для расшифровки данных. Общий объем встроенной энергонезависимой памяти в них составляет всего 128 килобайт. Для взаимодействия с ними необходимо устанавливать специализированное ПО и драйвера (поставляются в комплекте с устройством).

Процедура проверки электронной подписи

Проверка подписи в Word и Excel

Платный плагин «КриптоПро Office Signature» дает возможность создавать и проверять электронную подписи в стандартном интерфейсе Microsoft Office Word и Excel. Для этого необходимо установить программу и средство криптографической защиты информации КриптоПро CSP в соответствии с версией операционной системы.

Для проверки подписи получателю документа нужно убедиться, что версия программы, в которой создана подпись, совместима с версией, в которой подпись буду проверять. В противном случае корректно проверить подпись не получится. Проверить совместимости версий можно с помощью таблицы.

Чтобы проверить подпись в документе Word или Excel, нужно:

• нажать на значок подписи в документе;
• щелкнуть правой кнопкой мыши на строке подписи и выбрать пункт «Состав подписи».

При успешной проверке в сообщении будет указана информация о владельце подписи и действительности сертификата. Если сертификат недействителен или в документ после подписания вносили изменения, появится сообщение о том, что документ содержит недействительную подпись.

Проверка подписи в веб-сервисах

Контур.Крипто — бесплатный сервис от Удостоверяющего центра СКБ Контур для создания и проверки подписи, шифрования и расшифрования электронных документов. Удобство сервиса в том, что его не нужно скачивать и устанавливать, легко разобраться, как в нем работать. Настройка компьютера для работы с электронной подписью проходит автоматически.

В сервисе можно бесплатно проверить отсоединенную подпись, выпущенную любым удостоверяющим центром. В программе можно работать с файлами любого вида весом до 100 Мб.

Проверка подписи проходит по простому алгоритму:

• Зайдите на страницу «Проверка электронной подписи».
• Загрузите в появившееся окно подписанный файл и отдельно — файл подписи с расширением.sig.
• Запустите проверку (кнопка «Проверить подпись»).

В результате проверки Контур.Крипто:

• подтверждает, что подпись соответствует документу и он не был изменен. Укажет владельца подписи, дату подписания, наименование удостоверяющего центра;
• или не подтверждает подпись. В этом случае он назовет причину, по которой подпись не подтверждена.

Функция хеширования

Поскольку подписываемые документы — переменного (и как правило достаточно большого) объёма, в схемах ЭЦП зачастую подпись ставится не на сам документ, а на его хеш. Для вычисления хэша используются криптографические хеш-функции, что гарантирует выявление изменений документа при проверке подписи. Хеш-функции не являются частью алгоритма ЭЦП, поэтому в схеме может быть использована любая надёжная хеш-функция.

Использование хеш-функций даёт следующие преимущества:

• вычислительная сложность. Обычно хеш цифрового документа делается во много раз меньшего объёма, чем объём исходного документа, и алгоритмы вычисления хеша являются более быстрыми, чем алгоритмы ЭЦП. Поэтому формировать хэш документа и подписывать его получается намного быстрее, чем подписывать сам документ;
• совместимость. Большинство алгоритмов оперирует со строками бит данных, но некоторые используют другие представления. Хеш-функцию можно использовать для преобразования произвольного входного текста в подходящий формат;
• целостность. Без использования хеш-функции большой электронный документ в некоторых схемах нужно разделять на достаточно малые блоки для применения ЭЦП. При верификации невозможно определить, все ли блоки получены и в правильном ли они порядке.

Стоит заметить, что использование хеш-функции не обязательно при цифровой подписи, а сама функция не является частью алгоритма ЭЦП, поэтому хеш-функция может использоваться любая или не использоваться вообще.

В большинстве ранних систем ЭЦП использовались функции с секретом, которые по своему назначению близки к односторонним функциям. Такие системы уязвимы к атакам с использованием открытого ключа (см. ниже), так как, выбрав произвольную цифровую подпись и применив к ней алгоритм верификации, можно получить исходный текст. Чтобы избежать этого, вместе с цифровой подписью используется хеш-функция, то есть, вычисление подписи осуществляется не относительно самого документа, а относительно его хеша. В этом случае в результате верификации можно получить только хеш исходного текста, следовательно, если используемая хеш-функция криптографически стойкая, то получить исходный текст будет вычислительно сложно, а значит атака такого типа становится невозможной.

Конфиденциальное делопроизводство

Конфиденциальное делопроизводство - это специальный режим работы с документами, целью которого является обеспечение конфиденциальности ценной информации в организации, а также обеспечение сохранности документов и защита содержащейся в них информации. Конфиденциальное делопроизводство является важным элементом комплексной системы информационной безопасности на любом современном предприятии, в организации любого размера.

Для более полного понимания того, что такое конфиденциальное делопроизводство, нужно, прежде всего, выяснить, что же такое конфиденциальная информация. С этимологической точки зрения, слово «конфиденциальный» происходит от латинского «confidentia» -- доверие. В современном русском языке это слово означает «доверительный, не подлежащий огласке, секретный».

В российском законодательстве, к сожалению, четкого определения конфиденциальной информации нет, однако действующий ФЗ № 149 «Об информации, информационных технологиях и защите информации» описывает понятие «конфиденциальности». Так, конфиденциальность информации -- это обязательное для выполнения лицом, получившим доступ к определенной информации, требование не передавать такую информацию третьим лицам без согласия её обладателя.

В Указе Президента Российской Федерации «Об утверждении перечня сведений конфиденциального характера» к сведениям конфиденциального характера относят:

• сведения о фактах, событиях и обстоятельствах частной жизни гражданина, позволяющие идентифицировать его личность (персональные данные);
• сведения, составляющие тайну следствия и судопроизводства;
• служебные сведения, доступ к которым ограничен органами государственной власти в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (служебная тайна);
• сведения, связанные с профессиональной деятельностью, доступ к которым ограничен в соответствии с Конституцией Российской Федерации и федеральными законами (врачебная, нотариальная, адвокатская тайна, тайна переписки, телефонных переговоров, почтовых отправлений, телеграфных или иных сообщений и так далее);
• сведения, связанные с коммерческой деятельностью, доступ к которым ограничен в соответствии с Гражданским кодексом Российской Федерации и федеральными законами (коммерческая тайна);
• сведения о сущности изобретения, полезной модели или промышленного образца до официальной публикации информации о них.

Кроме вышеперечисленного, обладателю информации законом разрешается самостоятельно наделять её статусом конфиденциальности.

Защищённый электронный документооборот

КриптоСвязь{Защищенный Электронный Документооборот} обеспечивает конфиденциальность, целостность, достоверность, аутентичность, неотказуемость и юридическую значимость передаваемых через систему электронных документов. Уровень применяемых средств защиты информации и организационных мероприятий в системе позволяет обмениваться электронными документами, содержащими конфиденциальную информацию (персональные данные, служебная, банковская, коммерческая тайна и т.п.).

Защищенный электронный документооборот реализуется с использованием базовых приложений Инфраструктуры открытых ключей (ИОК) / Public Key Infrastructure (PKI) — технологической инфраструктуры и сервисов, гарантирующих безопасность информационных и коммуникационных систем, использующих криптографические алгоритмы с открытыми ключами.

При построении защищенного электронного документооборота применяются квалифицированная электронная подпись (а также шифрование) электронных документов, представленных в виде файлов, передаваемых между Участниами Системы, и квалифицированная электронная подпись и шифрование почтовых сообщений Internet. Для защиты электронных документов/сообщений используются сертифицированные средства криптографической защиты информации (СКЗИ) «КриптоПро CSP», а также совместимые с ними.

Применение сертифицированных СКЗИ обеспечивает использование в системе российских криптографических алгоритмов:

• алгоритм зашифрования/расшифрования данных и вычисление имитовставки в соответствии с ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая»;
• алгоритм формирования и проверки ЭЦП в соответствии с ГОСТ Р 34.10-2001. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
• алгоритм выработки значения хэш-функции в соответствии с ГОСТ Р 34.11-94 «Информационная технология. Криптографическая защита информации. Функция хэширования».

Использование электронной подписи в договорном процессе

Порядок заключения такого вида деловых документов, как договоры, регламентируется статьями из Гражданского и Трудового Кодексов:

• Статья 434 Гражданского Кодекса подтверждает, что договор между хозяйствующими субъектами (юридическими лицами, физическими лицами или некоммерческими организациями, ведущими от своего имени экономическую деятельность) можно заключить путем обмена электронными документами. Главное, чтобы можно было установить, что электронный документ исходит от стороны по договору.
• Статьи 312.1 и 312.2 Трудового Кодекса предусматривают, что договор с дистанционным сотрудником можно оформить в электронной форме.

В цифровом пространстве гарантом неизменности документа и подтверждения авторства выступает усиленная электронная подпись: квалифицированная или неквалифицированная. Применение электронной подписи в России регулируется федеральным законом № 63-ФЗ «Об электронной подписи» от 06.04.2011.

Чтобы сделка считалась действительной, документ должен обладать определенными признаками:

• Форма договора должна соответствовать законодательству.
• Содержание договора должно соответствовать закону.
• Подписант должен обладать подтвержденным правом заключать сделки.

Остановимся на особенностях, которые связаны с подписанием договоров в электронном виде. Деловые документы можно разделить на два вида: формализованные и неформализованные. От вида электронного документа зависит, что будет гарантировать его юридическую силу.

Формализованные документы

К таким документам относят трудовой договор с удаленным сотрудником и другие документы — например, счета-фактуры или отчетность. Чтобы придать формализованному документу юридическую силу, необходимо выполнить следующие условия:

• Составить документ в соответствии с форматом, установленным государством.
• Передать его другой стороне сделки в соответствии с установленным регламентом передачи документов.
• Подписать квалифицированной электронной подписью (далее — КЭП).

КЭП необходимо получить лично или по доверенности в удостоверяющем центре, который аккредитован Минкомсвязи. Электронная подпись должна быть действительна на момент подписания документа.

Неформализованные документы

К этой категории относятся все остальные деловые документы — например, хозяйственные договоры, доверенности, письма и т.д. Формат неформализованных документов государство не регулирует. Есть два способа обеспечить их юридическую силу:

• Подписать договор КЭП. Как и в случае с формализованными документами, квалифицированная подпись подтверждает авторство и неизменность содержания документа после того, как он был подписан.
• Подписать договор простой электронной подписью или неквалифицированной электронной подписью (НЭП). Если стороны решат использовать в документообороте эти виды подписей, им сначала необходимо заключить соглашение, в котором они признают юридическую силу данных видов электронных подписей (ст. 4 № 63-ФЗ). В этом соглашении прописываются требования к виду подписи, к реквизитам договора, его формату и другие условия. Если такое соглашение есть и стороны соблюдают указанный в нем регламент, электронные документы будут иметь юридическую силу.

Электронный договор, как и любой другой документ, который был подписан квалифицированной электронной подписью, равнозначен бумажному документы, который был подписан собственноручно. Но в этом правиле есть несколько исключений.

Договоры только на бумаге

В случаях, прямо установленных федеральным законом или другими нормативными актами, документ должен быть составлен только на бумажном носителе (п. 1 ст. 6 № 63-ФЗ).

Договоры только в электронном виде

И, наоборот, есть случаи, когда заключить договор можно только в электронном виде. Например, заключить контракт по результатам электронного аукциона в рамках федерального закона от 05.04.2013 № 44-ФЗ «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд».

То есть заключить договор можно в бумажной или электронной форме, если законом не предусмотрено, при несоблюдении письменной формы сделки, ее признают недействительной.

Социальные сети, движение и защита контента

Facebook обнаружил рост проблем, связанных с защитой контента, и принимает меры. В попытке увеличить понимание и представление о новостных источниках и авторах статей, Facebook размещает издательский логотип рядом со ссылками на статьи, которые фигурируют в тренде и результатах поисках.

Обновления Facebook приносит выгоду и брендам, и потребителям. Для того, что бы подняться над шумом пространства, заполненного кликбейтом, надежным источникам необходим брендинг на первых строках.

Кроме того, узнавание и привлечение к статьям из надежных источников важно для того, чтобы избежать «ложных новостей». Другими словами, защита контента и добавление издательских логотипов является выигрышной стратегией, шагом к более ответственному чтению, распространению и созданию.

И хотя это обновление в настоящее время только обкатывается в трендах и поисковых запросах, цель Facebook направлена на размещение издательских логотипов ко всему контенту.

А пока предпринимаются меры по защите авторских прав на идеи и контент при помощи последовательного использования последующих методов брендинга.

Три простых способа защитить контент в соцсетях

1. Чтобы быть уверенным, что контент тесно связан с брендом, нужно размещать и делиться им с сайта своего бренда.

Если поступать таким образом, когда компания или ее аудитория будет делиться контентом, сайт бренда появится в ссылке в посте, которую нельзя редактировать.

2. Размещать логотип в изображениях из постов блога. Так как Facebook обновил правила, связанные с редактированием ссылок с предварительным просмотром изображений, это значит, что изображение будет неизменно показываться в ссылке с предварительным просмотром. Поэтому, кто бы ни делился контентом, логотип компании, если он помещен на связанном изображение, будет всегда появляться вместе со ссылкой.

3. Оставаться верным своим брендовым цветам и создать шаблоны, которые можно повторно использовать в блоге. Изображение не обязательно должно содержать название и автора, как это происходит в Convince & Convert. Вместо этого изображения или графика должны репрезентовать бренд так, чтобы даже без логотипа они были сразу узнаваемыми.

Заключение

Электронная цифровая подпись может использоваться в нескольких ипостасях. Закон «Об ЭЦП» определяет условия применения ЭЦП как ответственной подписи в документе, аналога собственноручной подписи и печати. Подобным образом ЭЦП используется в системах электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего).Однако область применения ЭЦП не ограничивается приведенными областями. Сама по себе, электронная цифровая подпись - великолепный механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде.

Электронная подпись поможет проверить целостность электронного письма (e-Mail) и убедиться в надёжности отправителя, однозначно определит автора статьи, опубликованной в Интернете, и укажет дату публикации, позволит написать собственное мнение о прочитанном документе в Microsoft Word и прикрепить его в виде «стикера» к файлу, не «испортив» сам файл своими пометками, при этом надёжно привязав такой «стикер» к текущему содержимому документа (при изменении текста документа «стикер» сразу обнаружит, что документ изменялся),оставит «визитную карточку» о действиях, совершённых в электронном мире, подтвердит полномочия и т.п.

Цифровая подпись обеспечивает:

• Удостоверение источника документа. В зависимости от деталей определения «документа» могут быть подписаны такие поля как: автор, внесённые изменения, метка времени и т. д.
• Защиту от изменений документа. При любом случайном или преднамеренном изменении документа (или подписи) изменится хэш, следовательно подпись станет недействительной.
• Невозможность отказа от авторства. Так как создать корректную подпись можно лишь зная закрытый ключ, а он известен только владельцу, то владелец не может отказаться от своей подписи под документом.

Возможны следующие угрозы цифровой подписи:

• Злоумышленник может попытаться подделать подпись для выбранного им документа.
• Злоумышленник может попытаться подобрать документ к данной подписи, чтобы подпись к нему подходила.

При использовании надёжной хэш-функции, вычислительно сложно создать поддельный документ с таким же хэшем, как у подлинного. Однако эти угрозы могут реализоваться из-за слабостей конкретных алгоритмов хэширования, подписи, или ошибок в их реализациях.

Список использованной литературы

Федеральный закон "Об информации, информационных технологиях и о защите информации" от 27.07.2006 N 149-ФЗ

https://fbm.ru/novosti/novaya-forma-i-standart.html

https://ecm-journal.ru/card.aspx?contentid=1705636

https://www.copytrust.ru/articles/vse-ob-ep

https://studfile.net/preview/2555363/page:36/

http://www.consultant.ru/document/cons_doc_LAW_61798/

https://online-kassa.ru/blog/klyuch-elektronnoj-podpisi-chto-eto-i-kak-poluchit/

https://yandex.ru/turbo?text=https%3A%2F%2Fgoscontract.info%2Fetsp%2Fudostoveryayushchiy-tsentr-elektronnoy-podpisi

https://pro-ecp.ru/etsp/stati/chto-takoe-i-kak-poluchit-nositel-klyucha-elektronnoj-podpisi.html

https://ca.kontur.ru/articles/proverka-elektronnoi-podpisi

https://infopedia.su/11x91bf.html

https://www.infotrust.ru/cryptocon/protected-electronic-document

https://ca.kontur.ru/articles/kak-zaklyuchit-dogovor-v-elektronnoj-forme