Добавлен: 06.07.2023
Просмотров: 73
Скачиваний: 2
СОДЕРЖАНИЕ
ГЛАВА 1. ОРГАНИЗАЦИОННО-ПРАВОВОЕ ОБЕСПЕЧЕНИЕ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
1.1 Проблема подтверждения подлинности
1.2 Закон «Об электронной цифровой подписи»
ГЛАВА 2: ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ
2.1 Электронная цифровая подпись
2.2.1 Открытый и закрытый ключи
2.2.2 Формирование подписи и отправка сообщения
В обычном документообороте документ считается таковым, если есть дата его регистрации. При электронном документообороте дата становится одним из важнейших реквизитов.
Допустим, что любой электронный документ, выходящий за пределы какой-либо замкнутой системы перед отправлением его в канал связи регистрируется и маркируется специальным атрибутом, в котором содержится точное время его отправки и сведения о том сервере, откуда он отправлен. Время прохождения сигнала электронного документа по каналам практически всегда заранее известно. Поэтому, получив сообщение с временной меткой всегда можно сверить время его прохождения. Если имеются различия во времени, например, задержка в его получении, то приемный сервер всегда может запросить у передающего подтверждение отправки документа. Если же сообщение, полученное после подтверждения, не совпадает с первоначально полученным, то можно с уверенностью говорить о несанкционированном вмешательстве.
2.3 Использование ЭЦП
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр.
Электронная цифровая подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.
Организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что ЭЦП, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации. Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться ЭЦП.
Удостоверяющий центр — это организация или подразделение организации, которая выпускает сертификаты ключей электронной цифровой подписи, это компонент глобальной службы каталогов, отвечающий за управление криптографическими ключами пользователей.
Центр сертификации ключей имеет право: предоставлять услуги по удостоверению сертификатов электронной цифровой подписи и обслуживать сертификаты открытых ключей, получать и проверять информацию, необходимую для создания соответствия информации указанной в сертификате ключа и предъявленными документами.
Российские удостоверяющие центры:
* Удостоверяющий Центр ЗАО «ПФ «СКБ Контур»
* Удостоверяющий Центр ФГУП НИИ «Восход»
* Удостоверяющий Центр DIP
* ООО Межрегиональный Удостоверяющий Центр
* НП «Национальный Удостоверяющий центр»
* ЗАО «АНК»
* ООО ПНК
* ЗАО Удостоверяющий Центр (Нижний Новгород)
* ЗАО Удостоверяющий Центр (Санкт-Петербург)
* ООО «Компания «Тензор»
* ОАО «Электронная Москва»
* Центр сертификации «Стандарт Тест»
* Всероссийский центр сертификации
* Удостоверяющий центр ЗАО «Сервер-Центр» (Владивосток)
* Удостоверяющий центр «ДСЦБИ «МАСКОМ» (Хабаровск) В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.
Сертификат содержит всю необходимую информацию для проверки ЭЦП. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т. п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.
Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.
Создание ЭЦП представляет собой сложную математическую процедуру и ее выполняют специальные программы — криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.
Однако в ряде случае законодательство требует применение сертифицированных государственными органами криптопровайдеров. В этом случае их придется покупать и устанавливать на всех компьютерах, на которых будут подписываться или проверяться ЭЦП. Создание же ключей и получение сертификатов будет возможно только после установки соответствующих криптопровайдеров, так как они будут использоваться в процессе создания ключей и дальнейших процессов формирования и проверки электронной цифровой подписи.
При самостоятельном выборе криптопровайдера следует учитывать, что не каждый удостоверяющий центр обслуживает всех возможных криптопровайдеров. Т. е. если партнерам, организующим электронный документооборот нужен конкретный криптопровайдер, следует выбирать удостоверяющий центр именно под него. Впрочем, большинство удостоверяющих центров работают со всеми наиболее популярными криптопровайдерами. Наиболее распространенные в России криптопровайдеры — это Microsoft Enchanced Provider и Microsoft Base Provider, «КриптоПРО» и Signal-COM.
Обеспечение применения электронной цифровой подписи реализуется с помощью специальных программных средств:
* «Крипто Банк» фирмы «Лан Крипто»
* Серия программ «КРИПТОН фирмы «Анкад»
* «КАРМА» компании «ЭОС»
Основное назначение системы криптографического обеспечения «КАРМА» — обеспечение применения электронной цифровой подписи и шифрования, в том числе и в юридически значимом электронном документообороте.
«КАРМА» может использоваться пользователем MS Windows для подписи, работы с ЭЦП файлов и шифрования файлов непосредственно в проводнике MS Windows.
«КАРМА» не требует специфических знаний по криптографии не только от пользователя, но и от программиста или системного администратора. Это становится возможным благодаря тому, что в системе криптографической защиты «КАРМА» используется высокоуровневый интерфейс и для обычного пользователя, и для пользователя — программиста. Система позволяет быстро и надежно дополнить любую прикладную систему средствами электронной цифровой подписи и шифрования.
2.4 Применение ЭЦП
В последнее время электронно-цифровая подпись (ЭЦП) получает все большее распространение в отечественных корпоративных информационных системах. Наиболее широкое применение сегодня ЭЦП находит в системах электронного документооборота (СЭД), в платежных системах, электронной торговле, бухгалтерии и бизнесе.
Применение ЭЦП с точки зрения бизнеса позволяет не только защитить информацию, но и достичь тактических и стратегических целей любого бизнеса, а именно: повышения рентабельности бизнеса и, как следствие, его конкурентоспособности.
Повышение рентабельности и конкурентоспособности достигается за счет оптимизации целой группы бизнес-процессов современной организации: внутренних процессов, процессов взаимоотношения с клиентами и процессов взаимоотношений в холдинговых структурах, с инвесторами и акционерами.
Оптимизация бизнес-процессов достигается за счет внедрения систем электронного документооборота и перехода на безбумажные технологии.
Основная отличительная черта СЭД с поддержкой ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы, снабженные ЭЦП, являются доказательствами: они документируют решение или какой-либо факт. Если при возникновении конфликтной ситуации существует электронный документ, подписанный ЭЦП, то на его основе можно провести расследование внутри организации, а при необходимости — и с привлечением третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП, такой возможности не предоставляют. Пользователи СЭД без ЭЦП вынуждены доверять системе, системным администраторам, другим участникам работы с документами, причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для доверия есть — это криптографические алгоритмы и протоколы.
ЭЦП нашла применение в деятельности государственных органов, о чем свидетельствуют принятые нормативные акты, например:
* Распоряжение Администрации Санкт-Петербурга № 751-ра от 15.05.2002 «Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Санкт-Петербурга»;
* Постановление Правительства Москвы № 299-ПП от 11.05.2004 «Об утверждении Положения о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц органов исполнительной власти города Москвы»;
* Приказ Федеральной налоговой службы №САЭ-3−09/7@ от 21.10.2004 «Об утверждении Порядка предоставления в электронном виде сведений, содержащихся в Едином государственном реестре юридических лиц и в Едином государственном реестре индивидуальных предпринимателей»;
Электронный документ, заверенный ЭЦП получил свое значительное развитие в сфере банковских правоотношений. Значительная роль в этом принадлежит Центральному Банку России. ЦБ РФ, как ни один другой государственный орган, принял значительное число нормативных актов, определяющих особенности применения ЭЦП в сфере финансово-кредитных правоотношений. В настоящее время действуют нормативные правовые акты ЦБ РФ, которые регулируют порядок использования ЭЦП в банковской сфере, от традиционных отношений между коммерческими банками и его клиентами до осуществления ЦБ РФ контрольно — надзорной функции и предоставлении кредитными организациями отчетности в электронной форме. Общим началом является признание юридической силы ЭД, подписанных ЭЦП, при положительном результате проверки ЭЦП. При этом почти все нормативно-правовые акты ЦБ РФ, вопреки ФЗ «Об ЭЦП», признают в качестве владельца ЭЦП юридическое лицо — кредитную организацию или ее клиента.
Не меньшее внимание уделяется вопросу применения ЭД при ведении бухгалтерского учета. ФЗ от 21.11.1996 г. «О бухгалтерском учете» позволяет составлять первичные и сводные учетные документы на бумажных и машинных носителях информации. В письме от 19.05.2006 г. Министерство Финансов Р Фразъяснило, что при ведении бюджетного учета допускается использованием ЭД с ЭЦП в порядке, аналогичном для документов на бумажных носителях информации при условии соблюдения действующего законодательства. При рассмотрении споров о легитимности ведения документов бухгалтерского учета в электронной форме суд, как правило, встает на сторону налогоплательщиков. Например, ФАС Северо-Западного округа постановлением от 6.06.2005г. признал недействительным решение ИМНС о привлечении налогоплательщика к ответственности на основании п. 2. ст. 120 НК РФ. Инспекция сделала ошибочный вывод об отсутствии у него книг покупок, продаж и учета счетов-фактур в связи с тем, что они составлялись сотрудниками бухгалтерии в электронном виде по формам, разработанным самим налогоплательщиком.
Не все документы закон разрешает оформлять в электронном виде. Установленный Н К РФ порядок оформления и заполнения счетов-фактур не разрешает выставлять их в электронном виде при расчетах по налогу на добавленную стоимость. Это подчеркивает ФНС России в своем письме от 14.02.2005 г. «О налоге на добавленную стоимость».
Заключение Использование методов безбумажной обработки и обмена документами позволяет значительно сократить время, затрачиваемое на оформление сделки и обмен документацией, усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов, построить корпоративную систему обмена документами. Однако при переходе на электронный документооборот встает вопрос авторства документа, достоверности и защиты от искажений.
Электронная цифровая подпись — это эффективное средство защиты информации от модификации, искажений, позволяющее при этом однозначно идентифицировать отправителя сообщения и перенести свойства реальной подписи под документом в область электронного документа. Электронная цифровая подпись является наиболее перспективным и широко используемым в мире способом защиты электронных документов от подделки и обеспечивает высокую достоверность сообщения.