ТЕХНИЧЕСКИЕ  И  ПРАВОВЫЕ  АСПЕКТЫ  ИСПОЛЬЗОВАНИЯ  ЭЛЕКТРОННО-ЦИФРОВОЙ  ПОДПИСИ  И  ЭЛЕКТРОННОГО  ДОКУМЕНТООБОРОТА  С  ЦЕЛЬЮ  ОПТИМИЗАЦИИ  И  ПОВЫШЕНИЯ  ЭФФЕКТИВНОСТИ  БИЗНЕС-ПРОЦЕССОВ

Карпина  Анна  Сергеевка

студент  4  курса,  кафедра  комплексного  обеспечения  информационной  безопасности  автоматизированных  систем  ГУМРФ,  РФ,  г.  Санкт-Петербург

E-mail :  ani-mullen@yandex.ru

Соколов  Сергей  Сергеевич

научный  руководитель,  канд.  тех.  наук,  доцент  ГУМРФ,  РФ,  г.  Санкт-Петербург

Целью  автоматизации  любого  бизнес-процесса  является  повышение  эффективности  работы  всей  системы.  В  рамках  этой  задачи,  стоит  рассмотреть  один  из  важнейших  критериев  —  время  принятия  решений.

Каждая  организация  имеет  дело  с  определенным  набором  документов.  В  больших  корпорациях,  разнообразие  и  количество  таких  документов  внушительно:  начиная  от  договоров  с  клиентами  и  заканчивая  счетами-фактурами.  Документооборот  одного  предприятия  —  задача  не  из  легких,  а  что  делать,  когда  это  содружество  предприятий?  Передавать  документы  между  компаниями  посредством  почты  или  курьерской  доставки  слишком  медленно.  Бывает  так,  что  за  пару  часов  требуется  согласовать  и  одобрить  документы  между  компаниями,  расположенными  в  разных  городах.  В  таких  случаях,  просто  не  обойтись  без  электронных  документов.

Электронный  документооборот  позволяет  компаниям  работать  в  едином  информационном  пространстве,  экономить  время  доставки  документов,  экономить  на  расходных  материалах,  которые  ежемесячно  тратятся  при  работе  с  материальными  носителями  информации.  Он  предполагает  цифровой  формат  всех  документов,  а  это  значит,  их  можно  хранить  в  облаке  и  работать  удаленно,  тем  самым  повышая  мобильность  сотрудников  компаний.  К  тому  же,  электронная  организация  документов  уменьшает  время  поиска,  сортировки  и  редактирования  данных.

Особое  значение  в  данном  случае  начинает  приобретать  обеспечение  юридической  силы  электронного  документа.  Решением  этой  проблемы  выступает  специальный  реквизит  документа  —  электронная  цифровая  подпись  (ЭЦП).  ЭЦП  —  это  параметр  электронного  документа,  отвечающий  за  его  достоверность  и  являющийся  аналогом  собственноручной  подписи,  скрепленной  оттиском  печати.  Она  позволяет:

·     идентифицировать  автора;

·     обеспечить  защиту  документов  от  подделок;

·     подтвердить  целостность  и  неизменность  документа.

Главное  преимущество  ЭЦП  заключается  в  том,  что  вероятность  ее  подделывания  сводится  к  нулю.  ЭЦП  состоит  из  ключевой  пары:  открытого  ключа  и  закрытого  ключа.  Процесс  подтверждения  легитимности  ЭПЦ  включает  в  себя  систему  проверки  статуса  сертификата  пользователей  при  каждой  операции.  Иными  словами,  у  каждой  ЭЦП  есть  сертификат,  который  выдается  удостоверяющими  центрами  ЭЦП  и  который  подтверждает  подлинность  конкретной  ЭЦП.  Дополнительно,  в  удостоверяющих  центрах  ЭЦП  можно  заказать  услугу  временных  меток,  оставляемых  в  документах.  Они  позволяют  выявить,  когда  и  кто  именно  украл  ключ,  если  такое  произошло. 

Сложность  структуры  такой  системы  оправдывается  возможностью  предотвращения  спорных  ситуаций,  а  в  случае  их  возникновения,  служит  доказательством  в  суде.

Естественно,  чтобы  избежать  искажения  информации  или  подмены  отправителя,  в  области  защиты  информации  уже  дано  используются  алгоритмы  шифрования.  Но  если  мы  будем  шифровать  объемный  документ,  это  займет  много  времени  и  памяти  компьютера,  к  тому  же,  стоит  учитывать  и  тот  факт,  что  его  в  последующем  нужно  будет  еще  и  расшифровать.  Но  даже  если  мы  прибегнем  к  данному  методу,  мы  не  будем  уверены  в  подлинности  отправителя.  Механизм  работы  ЭЦП  завязан  на  использовании  хеш-функции  и  криптосистемы  с  открытым  ключом. 

Хеш-функция  —  это  преобразование  входного  массива  данных  любой  длины  в  уникальную  битовую  строку  фиксированной  длины,  которую  называют  хешем.  Данная  процедура  напоминает  архивирование,  только  без  возможности  восстановления  исходных  данных  [1,  с.  347].  Так  как  хеш  уникален,  то,  он  мог  бы  выступить  в  качестве  ЭЦП.  Получателю  нужно  было  бы  произвести  аналогичное  хеширование  полученного  документа  и  при  совпадении  результатов  хеширования,  удостоверится  в  целостности  и  неизменности  полученной  информации.  Тем  не  менее,  хешировать  может  кто  угодно  и  когда  угодно,  а  это  значит,  что  если  данные  будут  перехвачены  злоумышленником,  подменены  и  вновь  хешированы,  то  вы  никогда  этого  не  узнаете.  Таким  образом,  механизмы  хеширования  защищают  от  случайной  подмены  данных  и  не  помогают  идентифицировать  отправителя.  Что  же  делать?

Как  упоминалось  ранее,  шифровать  длинные  сообщения  не  представляется  целесообразным.  Тут  и  нужен  хеш.  Хеш  обладает  малым  размером,  что  и  делает  его  привлекательным  для  использования  с  алгоритмами  шифрования.  Вместо  того  чтобы  шифровать  все  сообщение  шифрованию  подвергается  только  хеш.  В  ЭЦП  используется  асимметричное  шифрование  следующим  образом:  у  нашего  отправителя  есть  два  ключа:  закрытый  (секретный  ключ)  и  открытый.  Открытый  ключ  находится  в  свободном  доступе  и  его  может  получить  любой  человек.  В  нашем  случае,  он  есть  у  получателя.  Закрытый  —  есть  только  у  отправителя. 

Алгоритм  генерации  ЭЦП  и  передачи  документа  представлен  на  рис.  1.  Сначала  мы  берем  наш  документ  и  производим  хеширование.  С  помощью  закрытого  ключа,  шифруем  полученный  хеш,  то  есть,  получаем  ЭЦП  [6,  с.  55].  Таким  образом,  наши  данные  становятся  подписанными.  Посылаем  их  получателю.  В  свою  очередь,  получатель  берет  открытый  ключ,  дешифрует  ЭЦП,  а  так  же  хеширует  полученные  данные.  Если  значения  полученного  хеша  и  расшифрованной  ЭЦП  сошлись,  то  подлинность  нужного  отправителя  доказана. 

Рисунок  1.  Алгоритм  генерации  ЭЦП  и  передачи  документа

Для  верификации  отправителя  нужно  найти  его  сертификат  в  удостоверяющем  центре  ЭЦП.  Данные  сертификаты  открыты,  их  может  запросить  любой  желающий.  Для  электронного  документооборота  ЭЦП  является  аналогом  паспорта.  В  сертификате  содержится  информация  о  том,  кому  принадлежит  данная  подпись.

У  злоумышленника  остается  два  варианта:

·     украсть  секретный  ключ,  а  это  значит,  что  обладателю  ключа  стоит  быть  очень  внимательным  и  хранить  его  особенно  аккуратно;

·     подменить  сертификат  в  удостоверяющем  центре  ЭЦП,  но  для  этого  существуют  временные  метки.

Теперь  обратимся  к  правовой  части.  Очевидно,  что  документы  на  бумажных  носителях,  имеющие  юридическую  силу  и  документы,  участвующие  в  электронном  документообороте,  не  равнозначны  с  точки  зрения  законов  и  подзаконных  актов  Российской  Федерации.

Но,  время  меняется,  и  закон  меняется  вместе  с  ним.  В  статье  160  Гражданского  кодекса  Российской  Федерации  от  30.11.1994  №  51-ФЗ  предусмотрена  возможность  использования,  при  совершении  сделок,  «электронной  подписи…  в  случаях  и  в  порядке,  предусмотренных  законом,  иными  правовыми  актами  или  соглашением  сторон»  [2,  Ст.  160  п.  2].  А  в  статье  434  оговорено,  что  «договор  в  письменной  форме  может  быть  заключен  путем  обмена  документами  посредством  …электронной  или  иной  связи,  позволяющей  достоверно  установить,  что  документ  исходит  от  стороны  по  договору»  [2,  Ст.  434,  п.  2].

Чуть  позже  был  принят  Федеральный  закон  от  20.01.1995  №  24-ФЗ,  во  второй  главе  которого  говорилось:  «Юридическая  сила  документа,  хранимого,  обрабатываемого  и  передаваемого  с  помощью  автоматизированных  информационных  и  телекоммуникационных  систем,  может  подтверждаться  электронной  цифровой  подписью.

Юридическая  сила  электронной  цифровой  подписи  признается  при  наличии  в  автоматизированной  информационной  системе  программно-технических  средств,  обеспечивающих  идентификацию  подписи,  и  соблюдении  установленного  режима  их  использования»  [3,  Ст.  5  п.  3].  Но,  в  пункте  четвертом  той  же  статьи  упоминалось:  «Право  удостоверять  идентичность  электронной  цифровой  подписи  осуществляется  на  основании  лицензии»  [3,  Ст.  5  п.  4].  Которую,  как  говорилось  ранее  в  статье,  можно  получить  в  удостоверяющих  центрах  ЭЦП.

Как  мы  можем  наблюдать,  данные  законодательные  документы  признавали  юридическую  силу  ЭЦП  только  для  двух  сторон,  которые  имели  предварительную  договоренность  и  договор  в  письменном  виде,  в  котором  признавали  юридическую  силу  электронных  документов  друг  друга.  Значит,  пока  такие  документы  нельзя  было  считать  полностью  равнозначными  обычным  документам.

В  2002  году  вступает  в  силу  Федеральный  закон  от  01.01.02  №  1-ФЗ,  который  был  призван  выступить  подпоркой  для  утверждения  юридической  силы  ЭЦП.  Доказательством  этого  может  служить  данная  выдержка:  «Электронная  цифровая  подпись  в  электронном  документе  равнозначна  собственноручной  подписи  в  документе  на  бумажном  носителе  при  одновременном  соблюдении  следующих  условий:

сертификат  ключа  подписи,  относящийся  к  электронной  цифровой  подписи,  не  утратил  силу  (действует)  на  момент  проверки  или  на  момент  подписания  электронного  документа  при  наличии  доказательств,  определяющих  момент  подписания;

подтверждена  подлинность  электронной  цифровой  подписи  в  электронном  документе; 

электронная  цифровая  подпись  используется  в  соответствии  со  сведениями,  указанными  в  сертификате  ключа  подписи»  [5,  Ст.  4  п.  1].

В  данный  момент,  Федеральные  законы  №  24-ФЗ  и  №  1-ФЗ  утратили  свою  силу,  и  им  на  смену  пришли  Федеральный  закон  от  27.07.06  №  149-ФЗ  «Об  информации,  информационных  технологиях  и  о  защите  информации»  и  Федеральный  закон  от  06.04.11  №  63-ФЗ  соответственно. 

В  Федеральном  законе  №  63-ФЗ  говорится:  «Информация  в  электронной  форме,  подписанная  квалифицированной  электронной  подписью,  признается  электронным  документом,  равнозначным  документу  на  бумажном  носителе,  подписанному  собственноручной  подписью,  кроме  случая,  если  федеральными  законами  или  принимаемыми  в  соответствии  с  ними  нормативными  правовыми  актами  установлено  требование  о  необходимости  составления  документа  исключительно  на  бумажном  носителе»  [4,  Ст.  6  п.  1].  То  есть,  ЭЦП  уже  имеет  правовую  основу. 

Подводя  итог,  использование  электронного  документооборота  и  электронно-цифровой  подписи  не  только  экономит  время  и  уменьшает  затраты  на  материальные  носители,  но  и  обеспечивает  связь  нескольких  организаций  посредством  использования  единого  информационного  пространства.  Электронный  документ  с  использованием  ЭЦП  является  юридически  равнозначным  документу  на  бумажном  носителе.

Список  литературы:

1.Алферов  А.П.,  Зубов  А.Ю.,  Кузьмин  А.С.,  Черемушкин  А.В.  Основы  криптографии.:  Гелиос  АРВ,  2002.  —  480  с.

2.Гражданский  кодекс  Российской  федерации  от  30.11.94  №  51-ФЗ  //  Собрание  законодательства  РФ.  —  1994.  —  №  32.  —  Ст.  3301.

3.Об  информации,  информатизации  и  защите  информации:  Федеральный  закон  РФ  от  20.02.95  №  24-ФЗ  //  Собрание  законодательства  РФ.  —  1995.  —  №  8.  —  Ст.  609.

4. Об  электронной  подписи:  Федеральный  закон  РФ  от  06.04.11  №  63-ФЗ  //  Собрание  законодательства  РФ.  —  2011.  —  №  15.  —  Ст.  2036.

5.Об  электронной  цифровой  подписи:  Федеральный  закон  РФ  от  10.01.02  №  1-ФЗ  //  Собрание  законодательства  РФ.  —  2002.  —  №  2.  —  Ст.  127.

6.Рябко  Б.Я.,  Фионов  А.Н.  Основы  современной  криптографии.:  Научный  Мир,  2004.  —  173  с.