Имеет ли силу в данном случае электронная подпись?

Вместе с этой статьей выбирают:

  • Юридическая сила и юридическая значимость. Есть ли разница?

Понятие юридической силы документа – давно существующее и привычное всем специалистам понятие, значение которого определено ГОСТ Р 51141-98. Понятие юридического значения (значимости) документа – относительно новое, получившее широкое распространение только в последние 5-10 лет.

При этом следует отметить, что это понятие, во-первых, применяется обычно не к документу вообще, а к электронному документу, а во-вторых, наряду с этим понятием также используется понятие «юридически значимый электронный документооборот», которое широко употребляется как разработчиками систем электронного документооборота, так и пользователями этих систем.

Если понятие юридической силы имеет установленное стандартом определение, то понятие юридической значимости документа (документооборота) такого определения не имеет, что, безусловно, создает определенные трудности при употреблении этих понятий. Нередко даже в специальной литературе эти понятия считаются синонимичными. Насколько это верно? Поговорим о юридической значимости электронного документа более подробно.

Юридическая значимость электронного документа

Для того чтобы понять, что такое «юридическая значимость электронного документа» зададим себе вопрос, почему это понятие возникло именно тогда, когда мы стали активно работать с электронными документами и когда появилась возможность заверять электронный документ электронной подписью и соответственно сформировались предпосылки для перехода на безбумажный документооборот, т. е. исключения в определенных случаях документа на бумажном носителе из информационного обмена. Почему, имея дело с документами на бумажном носителе, мы могли обходиться понятием «юридическая сила документа» и нам его было достаточно? Очевидно, ответ на этот вопрос заключается в том, что документ на бумажном носителе – это самостоятельный физический объект, контроль над которым мы можем осуществлять непосредственно, отслеживая перемещение данного объекта в процессе его подготовки или исполнения.

Конечно, документ на бумажном носителе не существует сам по себе: в процессе подготовки он может быть связан с другими документами (например, документами, инициирующими издание данного документа или служащими основанием для его издания, с ранее подготовленными проектами и др.

); после того, как документ подготовлен или издан, он может перемещаться в другую систему документооборота или помещаться в дело и попадать в состав документального фонда, но в любом случае документ на бумажном носителе – это визуально воспринимаемый и контролируемый нами объект.

Отношения между субъектом, осуществляющим документирование (автором документа) и самим документом в данном случае можно графически представить следующим образом:

Совершенно иная ситуация складывается в случае с электронным документом, поскольку электронный документ создается с помощью информационной системы, передается из одной информационной системы в другую, хранится в информационной системе, т. е.

существует на протяжении своего жизненного цикла в информационной системе – системе электронного документооборота (СЭД). Визуально мы воспринимаем электронный документ через его представление в человекочитаемой форме как видеограмму на экране монитора или в виде распечатки на бумаге.

Контроль за документом на протяжении всего периода его существования осуществляет СЭД. В связи с этим отношения между автором электронного документа и собственно документом выглядят иначе:

Именно тот факт, что существование электронного документа обеспечивается информационной системой – СЭД, и человек не может непосредственно управлять электронным документом так, как он ранее управлял документом на бумажном носителе, ставит ряд дополнительных вопросов, решение которых необходимо для определения места электронных документов в системе социальных коммуникаций и в том числе признания за электронным документом статуса официального документа и, что самое главное, – возможности использовать электронные документы в качестве доказательства, в т. ч. в суде.

В Рекомендациях Европейской экономической комиссии ООН в отношении функциональной совместимости подписанных цифровых документов подчеркивается, что между цифровыми и бумажными документами много общего, но между ними есть и ряд важных различий, в частности «подписанные бумажные документы, как правило, содержат собственноручную подпись подписанта, тогда как цифровая подпись под электронным документом не имеет графической формы. Обычно только компьютерная программа способна произвести сложные математические расчеты, необходимые для проверки цифровой подписи».

Правовой режим электронной подписи у нас в стране установлен Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи», которым (ст.

6) определены условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью.

Эти условия различаются в зависимости от того, какой электронной подписью подписан документ, и состоят в следующем:

  1. «Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.
  2. Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи…».

Кроме того, законом (ст.

11) установлен порядок признания квалифицированной электронной подписи, который включает ряд условий, одним из которых является положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания.

Из приведенных положений закона вытекает, что сама возможность использования для подписания электронных документов того или иного вида электронной подписи должна быть установлена нормативными правовыми актами или соглашением сторон (в случае использования неквалифицированной или простой электронной подписи), а при получении электронного документа, подписанного электронной подписью, обязательна процедура проверки, которая должна подтвердить (или не подтвердить) принадлежность владельцу квалифицированного сертификата квалифицированной электронной подписи и отсутствие искажений в подписанном электронном документе.

Представим ситуацию: мы создали электронный документ внутренний, подписали его неквалифицированной или простой электронной подписью (в соответствии с установленным в организации порядком), следовательно, мы вправе считать, что данный электронный документ имеет юридическую силу.

Если тот же электронный документ необходимо будет передать контрагенту или представить в качестве доказательства в суд, нам придется совершить ряд дополнительных действий: либо подписать документ квалифицированной подписью, если у нас имеется электронная подпись для реализуемого типа отношений, либо руководствоваться соглашением между сторонами, дающим право использовать данный вид электронной подписи при обмене документами (если такое соглашение имеется), либо (если речь идет об использовании данного документа в качестве судебного доказательства) представить внутренний нормативный документ, устанавливающий порядок подписания электронных документов данного вида и подтверждающий, что документ имеет юридическую силу. И только в случае, если документ будет удовлетворять всем имеющимся условиям, можно будет считать, что он является юридически значимым документом.

Таким образом, применительно к электронному документу следует признать, что факт подписания электронного документа установленным видом электронной подписи означает, что данный документ обладает юридической силой, но это еще не означает, что данный документ может быть подлинным доказательством, если данный документ потребуется представить контрагенту либо иному органу или лицу. Говорить о том, что данный документ может выступать как доказательство, можно будет, как минимум, после проверки электронной подписи и получения положительного результата, а возможно, и после осуществления иных дополнительных действий, например представления соглашения, заключенного сторонами информационного обмена.

Из вышеизложенного можно сделать вывод: юридически значимый документ – это документ, который может выступать в качестве доказательства (подтверждения) деловой или иной деятельности, иначе говоря, это документ, содержание которого может восприниматься как подлинное.

Почему мы не пользовались понятием юридической значимости при работе с документами на бумажном носителе? Ответ очевиден: любой документ на бумажном носителе, имеющий юридическую силу, является одновременно юридически значимым документом.

Конечно, и при работе с документами на бумажном носителе возникали ситуации, требующие проверки подлинности документа, следовательно, и в этом случае при положительном результате можно было бы говорить, что документ является юридически значимым, или при неподтверждении подлинности документа – о том, что документ не является юридически значимым документом, а является подделкой, фальшивым документом. Как нам представляется, в отношении документов на бумажном носителе понятия «подлинный документ» и «юридически значимый документ» можно рассматривать как синонимы.

В заключение обратимся к ГОСТ Р ИСО 15489-1-2007 , который устанавливает требования к электронным документам. Стандарт устанавливает (раздел 7, пп. 7.2.1-7.2.

5), что принципы политики, процедуры и практика управления документами должны обеспечивать создание подлинных документов, обладающих определенными характеристиками, а именно: аутентичность, целостность, достоверность, пригодность для использования.

По ГОСТ Р ИСО 15489-1-2007 документ является аутентичным, если он соответствует установленным правилам, был создан или отправлен лицом, уполномоченным на это, был создан или отправлен в то время, которое обозначено в документе.

Достоверным является документ, содержание которого можно считать полным и точным представлением подтверждаемых операций, деятельности или фактов и которому можно доверять в последующих операциях или в последующей деятельности.

Целостность документа определяется его полнотой и неизменностью.

Пригодным для использования является документ, который можно найти (имеется в виду – в информационной системе), воспроизвести и интерпретировать. При воспроизведении должны сохраняться связи между документами, фиксирующие последовательность действий, связи с деловой деятельностью или операциями, в которых эти документы были созданы и применялись.

Сформулированные в стандарте требования, которым должны удовлетворять электронные документы, не имеют прямого отношения к юридической силе документа (как мы уже отмечали, для придания юридической силы документ должен быть подписан уполномоченным органом (лицом) установленным видом электронной подписи), но имеют самое непосредственное отношение к юридической значимости электронного документа, поскольку считать юридически значимым можно только тот электронный документ, который является аутентичным, достоверным, целостным и пригодным для использования.

Янковая В.Ф.

Источник: PRO-Делопроизводство и СЭД

Источник: https://www.synerdocs.ru/4581799.aspx

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

Имеет ли силу в данном случае электронная подпись?

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП  (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство.

Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако».

Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете.

Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым».

Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией).

На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову.

Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта.

В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр —  понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

  1. Клиент приобрел средство электронной подписи.
  2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
  3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов: 

  • целостность;
  • достоверность;
  • аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

Выбрать кнопку «Далее».

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

Источник: https://iecp.ru/articles/item/412631-ep-dlya-novichkov

Бухгалтерские и аудиторские термины — Audit-it.ru

Имеет ли силу в данном случае электронная подпись?

Электронно-цифровая подпись (ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронно-цифровая подпись – это программно-криптографическое средство, которое обеспечивает:

  • проверку целостности документов;
  • конфиденциальность документов;
  • установление лица, отправившего документ.

Преимущества использования электронно-цифровой подписи

Использование электронно-цифровой подписи позволяет:

  • значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
  • усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;
  • гарантировать достоверность документации;
  • минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;
  • построить корпоративную систему обмена документами.

Виды электронно-цифровой подписи

Существует три вида электронной цифровой подписи:

  • простая электронно-цифровая подпись;
  • усиленная неквалифицированная электронно-цифровая подпись;
  • усиленная квалифицированная электронно-цифровая подпись.

Простая электронно-цифровая подпись

Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом.

Простая электронно-цифровая подпись имеет  низкую степень защиты. Она позволяет лишь определить автора документа.

Простая электронно-цифровая подпись не защищает документ от подделки.

Усиленная неквалифицированная электронно-цифровая подпись

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Усиленная неквалифицированная электронно-цифровая подпись имеет среднюю степень защиты.

Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.

Усиленная квалифицированная электронно-цифровая подпись

Для квалифицированной электронной подписи характерны признаки неквалифицированной электронной подписи.

Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства.

Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты.

Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью.

Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота.

Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил.

А также установить, изменялся ли документ уже после того, как был подписан.

Электронные подписи и новый закон

Имеет ли силу в данном случае электронная подпись?

Бумажный документ с подписью и печатью является традиционным способом подтверждения юридических фактов. Практики создания бумажных документов и их обмена развивались столетиями и стали частью современной культуры делового оборота.

Однако с развитием технологии и общества эта культура существенно меняется, и скорость изменений такова, что акты нормативного регулирования зачастую не то, что не успевают, но становятся неактуальными уже в процессе подготовки.

Можно сказать, что эта судьба постигла и Директиву ЕС об электронных подписях 1999 года.

Она позволила странам-участницам разрабатывать свои собственные политики электронного документооборота и это привело к тому, что инфраструктуры стран, в части требований к идентификации и верификации, оказались несовместимыми друг с другом и, соответственно, малопригодными к условиям единого рынка.

Необходимо, однако, отдать Директиве ее должное: она фактически легитимизовала даже те способы электронного делового обмена, при которых целостность обмениваемых данных или идентификация его участников не защищены продвинутыми техническими средствами.

Проще говоря, суд может счесть действительным даже договор, заключенный путем обмена простыми электронными сообщениями, не говоря уже о клик-договорах (нажатие на виртуальную кнопку “согласен” или “подтверждаю”) или договорах, заключенных посредством скан-копий.

Гармонизируя свое законодательство с европейским, в 2003 году Украина приняла Закон “Об электронной цифровой подписи” (далее – Закон об ЭЦП), который внес в наше правовое поле понятия электронной подписи и электронной цифровой подписи. Схожим с ЕС образом электронная подпись, даже не защищенная криптографически, стала набирать популярность в украинском деловом обороте и получать все большее административное принятие.

В 2016 году европейская Директива была упразднена, а на замену ей пришел eIDAS – Регламент ЕС 2014 года об электронной идентификации, верификации и доверительных услугах1. Украина совершает аналогичную рокировку: Закон об ЭЦП утратит действие 7 ноября 2018 года, а в силу вступит Закон “Об электронных доверительных услугах” (далее – Закон об ЭДУ).

Очевидным образом, в Законе об ЭДУ многое взято за основу из eIDAS, ряд положений являются прямым переводом. Юристам следует иметь в виду факт этой аналогии, поскольку весьма вероятно, что не только закон, но и его толкование с правоприменением будут следовать за европейской практикой.

Что же касается данной статьи, то далее она посвящена содержанию и практическому значению Закона об ЭДУ в Украине, без отсылок к европейскому законотворчеству. Рассмотрим некоторые из основных элементов Закона об ЭДУ и начнем с электронной подписи.

Закон описывает электронную подпись, усовершенствованную электронную подпись и квалифицированную электронную подпись.

В самом простом виде электронная подпись – это электронные данные, которые прилагаются подписантом к другим электронным данным или логически связываются с ними и используются им в качестве подписи.

Усовершенствованная электронная подпись (УЭП) – это электронная подпись, которая соответствует таким дополнительным критериям:

– она произведена путем криптографического преобразования данных, с которыми связана, при помощи специального оборудования или программного обеспечения;

– при этом применялся личный ключ, который однозначно связан с подписантом и дает возможность его электронной идентификации;

– если происходит вмешательство в целостность данных, скрепленных такой подписью, такое вмешательство становится обнаружимым.

Квалифицированная электронная подпись (КЭП) – это такая подпись, которая соответствует всем критериям для УЭП и, дополнительно, следующим критериям:

– оборудование и/или программное обеспечение, которыми она осуществляется, подлежат дополнительным требованиям (на данный момент законодательство не уточняет, каким именно);

– она базируется на квалифицированном сертификате открытого ключа.

Здесь следует уделить внимание терминам “личный ключ” и “сертификат”. Криптографическая защита электронных подписей основана, как правило, на шифровании, которое предполагает использование пары “открытый ключ – личный ключ”.

Открытый ключ доступен для корреспондентов и для подписанта, а личный ключ должен находиться только у подписанта (эта асимметрия между ключами, кстати, и лежит в основе термина “асимметрическое криптографическое преобразование”, которое встречается в Законе).

При этом пара этих ключей создается таким образом, что присвоить документу электронную подпись можно только при помощи личного ключа, но проверить подпись можно при помощи открытого ключа, соответствующего личному ключу. Корреспондент, получив документ с усовершенствованной электронной подписью, может, в общем случае, полагаться на то, что это присвоение было сделано владельцем личного ключа.

Кроме того, при создании подписи происходит соотнесение данных о документе и данных, содержащихся в самой подписи, таким образом, что если после подписания изменить в документе что-либо, то он перестанет соответствовать подписи и корреспондент способен это обнаружить.

Однако использование пары ключей само по себе не решает вопрос идентификации подписанта. Ведь хотя корреспондент видит, что документу присвоена конкретная подпись, он не всегда может быть уверен в том, что личный ключ не был перехвачен или даже что открытый ключ изначально не был создан злоумышленником с целью выдачи себя за подписанта.

Чтобы минимизировать этот риск, в схему вводится еще один элемент: третья сторона, которая проверяет личность подписанта и, удостоверившись, что данные открытого ключа соответствуют личным данным подписанта, выдает сертификат – специальный набор данных, ассоциированный с удостоверяемым открытым ключом.

Теперь корреспондент, получив подписанный документ, который связан не только с открытым ключом, но и с сертификатом, может полагаться и на то, что лицо, применившее электронную подпись, является тем, чья эта подпись.

При этом если упомянутая третья сторона – удостоверитель внесена в специальный Доверительный список, товыдаваемый ею сертификат является квалифицированным сертификатом, и сама она имеет статус квалифицированного предоставителя электронных доверительных услуг.

Следует обратить внимание, что Закон делает специальный акцент на идентификации – ее проведение обязательно, если соответствующая услуга является квалифицированной.

Таким образом, более наглядно, чем с помощью формальных определений, хоть и более упрощенно, классы электронных подписей можно описать следующим образом. Электронная подпись – это любая электронная форма данных, используемая подписантом в качестве подписи, не обязательно защищенная.

Пример такой подписи – скан-изображение собственноручной подписи, которое прикладывается к текстовому файлу и конвертируется, скажем, в формат pdf.

Усовершенствованная электронная подпись – это подпись, сформированная с использованием средств криптографии, но при этом не обязательно с использованием сертификата, а если и с использованием, то не обязательно, чтобы сертификат был квалифицированным.

Примером существующего протокола, который, предположительно, можно счесть подпадающим под критерий усовершенствованной подписи, являются решения, основанные на стандарте OpenPGP.

Квалифицированная электронная подпись – должна быть основана на криптографии, и открытый ключ должен быть подтвержден сертификатом, и сам сертификат должен быть квалифицированным. Сегодняшним близким аналогом квалифицированной подписи являются, пожалуй, реализации цифровой электронной подписи на основании действующего Закона об ЭЦП.

Помимо электронной подписи, Закон вводит понятие и электронной печати. Электронная печать также может быть усовершенствованной и квалифицированной – критерии этих классов аналогичны соответствующим критериям классов подписей.

Отличие заключается в том, что электронной подписью может пользоваться как юридическое, так и физическое лицо, а электронной печатью – только юридическое.

В функциональном же смысле существенной разницы между электронной подписью и электронной печатью нет.

Следует сделать оговорку, что Закон предполагает установление требований, которым должны соответствовать средства электронной идентификации и средства квалифицированной подписи и печати; установление этих требований поручено Кабмину.

При этом Закон устанавливает принцип технологической нейтральности – то есть невмешательства госорганов в процесс разработки оборудования и программ для криптографической защиты, который не будет препятствовать достижению интероперабельности между ними.

Хотя эта формулировка не достаточно ясна, следуя европейскому опыту, можно предположить, что речь идет о возможности разработчиков и предоставителей услуг самим определять, какие схемы и решения использовать в рамках установленных требований, и с учетом принципа совместимости – например, использовать ли физические устройства доступа или облачные сервисы, использовать ли двухфакторную или многофакторную аутентификацию и т. п.

Закон об ЭДУ предусматривает, что электронная подпись или печать не могут быть признаны недействительными и лишены возможности рассматриваться как доказательство в судебных делах исключительно на том основании, что они имеют электронный вид или не соответствуют требованиям к квалифицированной электронной подписи или печати. С этой точки зрения, правовой статус простой электронной подписи остается прежним – отсутствие квалификации не делает документ с такой подписью автоматически недействительным, но степень доверия к ней может быть низкой. Квалифицированная электронная подпись, напротив, имеет презумпцию аутентичности. (Данная презумпция однако еще не означает неоспоримость; аналогично, даже аутентичность ручной подписи может быть оспорена). Усовершенствованная подпись занимает среднюю позицию: ее достоверность не презюмируется, однако Закон присваивает схемам с такой подписью среднюю степень надежности.

Закон предъявляет специальные требования к квалифицированным предоставителям доверительных электронных услуг. Чтобы получить этот статус, заявитель (который может быть физическим или юридическим лицом) должен, помимо прочих организационных и технических мер, осуществить аттестацию своей комплектной системы защиты информации.

Статус квалифицированного предоставителя услуг заявители получают со дня внесения соответствующей записи в Доверительный список (еще не создан).

Следует заметить, что аккредитованные центры сертификации ключей, созданные по Закону об ЭЦП, получают данный статус автоматически и должны быть внесены центральным удостоверительным органом в Доверительный список автоматически в течение года после вступления Закона в силу.

Помимо формирования, проверки и подтверждения действительности квалифицированных электронных подписей и печатей, их сертификатов и их хранения квалифицированные предоставители могут предоставлять следующие услуги:

– формирование, проверка и подтверждение электронной метки времени;

– заказная электронная доставка.

В данной статье не описываются юридические аспекты практики и перспектив этих услуг в украинском деловом обороте. Однако принципы идентификации, подтверждения сертификатов и удостоверение подписями в отношении этих услуг во многом аналогичны тому, что описано ранее в отношении электронных подписей и их классов. Возможно, этим дополнительным услугам будет посвящена отдельная статья.

На первый взгляд, Закон об ЭДУ больше напоминает технический норматив, чем, собственно, закон. Учитывая, что предыдущий Закон об ЭЦП носил похожий характер и воспринимался как нечто нишевое, есть соблазн не придавать этой реформе большое юридическое значение.

Однако в настоящее время резонанс как самого закона, так и темы электронной идентификации вообще может быть иным. В отличие от предыдущего десятилетия, идентификация клиентов и контрагентов становится существенно более важным аспектом для многих видов деятельности.

Во-первых, потому что коммерческая деятельность, в самом широком смысле, становится все более интернет-зависимой, а бизнес-отношения – все более дистанционными.

Во-вторых, потому что бизнесы обязаны идентифицировать всех, с кем имеют дело со все возрастающей тщательностью и со все возрастающей ответственностью за несоблюдение требований по идентификации.

Таким образом, есть вероятность, что в обозримом будущем применение технологий и практик, описанных в этой статье, станет необходимостью не только для банков и бизнесов с усиленным риск-менеджментом, но и для средних и малых бизнесов. В этом случае понимание того, как работает инфраструктура электронных подписей, может стать так же важно, как и умение пользоваться ноутбуком – как для юристов, так и для их клиентов.

Источник: http://uz.ligazakon.ua/magazine_article/EA011023

Консультант закона
Добавить комментарий