* При перепечатке материалов ссылка на www.SeoLiga.ru обязательна!
Проблемы внедрения электронной цифровой подписи в практику делопроизводства
18 марта 2009
Электронная цифровая подпись и инфраструктура открытых ключей уже с начала 1990-х гг. нашли применение в отдельных секторах электронного документооборота и, в первую очередь, при проведении межбанковских операций. Но применялись они в закрытых корпоративных системах и на основе двух- или многосторонних соглашений. Принятие в прошлом году федерального закона "Об электронной цифровой подписи" создало правовую основу для обмена электронными документами с ЭЦП в отрытых информационных системах. Закон обеспечивает правовые условия для равноправного обмена бумажными и электронными (с ЭЦП) документами в первую очередь при совершении гражданско-правовых сделок, т. е. в сферах коммерции и в договорных отношениях. Однако он создает прецедент, а полученный в ходе его реализации опыт можно будет использовать в дальнейшем при обмене административной и другой управленческой документацией.
Принятая также недавно ФЦП «Электронная Россия» предполагает развитие электронного документооборота между федеральными органами власти, ОГВ субъектов федерации и различными организациями. Этому будут способствовать инвестиционные проекты, с этой целью будет формироваться соответствующая правовая среда. Собственно, ст. 19 закона «Случаи замещения печатей» уже можно считать правовой базой для внедрения в организациях полностью электронного внутреннего и внешнего документооборота при одновременном существовании в ее делопроизводстве значительной массы документов на бумажных носителях. Но практика обмена финансовыми и управленческими электронными документами окажется более сложной по сравнению с обменом банковскими платежами. Это связано, в первую очередь, со сроками хранения указанных видов документов и процедурой доказательства подлинности ЭЦП. Существующая (и весьма обоснованная) практика использования инфраструктуры открытых ключей в корпоративных системах показывает, что пользователи не стремятся слишком удлинять срок действия сертификата ключа ЭЦП: максимум год—полтора. В то время как срок хранения многих видов финансовой и управленческой документации значительно превышает этот период. Следует также отметить, что подтверждение подлинности ЭЦП — процесс технологически кратковременный. Он зависит от жизненного цикла средства ЭЦП — конкретной системы криптографической защиты данных. В частности, аутентификация электронного документа становится невозможной после смены технологической платформы. Это значит, что под вопросом оказывается подлинность документов, подписанных ранее. Вряд ли в таких условиях уместно обмениваться документами, предполагающими сроки хранения более 5 —7 лет. Отдельный круг проблем возникает при создании и использовании закрытых ключей ЭЦП. Пользователь должен отчетливо представлять, что с технологической точки зрения ЭЦП не является аналогом собственноручной подписи, которая имманентно присуща человеку. ЭЦП лучше сравнивать с факсимиле подписи, которое может создаваться и храниться где-то на стороне, причем в нескольких экземплярах. Закон предполагает, что ключи ЭЦП могут создаваться удостоверяющим центром (УЦ), но ни порядок создания, хранения и доступа к закрытым ключам ЭЦП в УЦ, ни ответственность центра за утечку данной информации не определены. В принципе, эти проблемы можно решить договором с УЦ, однако типовую форму такого договора еще только предстоит разработать. Порядок использования и хранения закрытого ключа ЭЦП самими пользователями также вызывает массу вопросов: каким образом обеспечить защиту ключа от несанкционированного доступа или перехвата; какие процедуры необходимо выполнить при введении закрытого ключа в средство ЭЦП; где следует хранить ключи (на отдельном устройстве, дискете, смарт-карте, USB-ключе или специальном чипе); нужно ли иметь страховые копии закрытых ключей и т. п. Единого решения для всех этих проблем не существует. Всякий раз придется учитывать стоимостные факторы, предпочтения пользователей и удобства в использовании, но главное — как данное решение вписывается в общую систему информационной безопасности организации. Следующий ряд проблем связан с тем, каким образом субъект, получивший электронный документ, узнает открытый ключ для проверки ЭЦП. Закон предполагает, что это можно сделать в удостоверяющем центре, выдавшем сертификат ключа подписи. Однако даже в корпоративных системах, где адрес УЦ выяснить несложно, для получения открытого ключа из реестра подписей необходимо будет указать уникальный номер его сертификата. А этот номер в свою очередь нужно будет как-то узнать. В информационных системах общего пользования по умолчанию неизвестен даже адрес удостоверяющего центра. Выйти из положения можно несколькими способами. Участники электронного документооборота могут: 1) обменяться сертификатами ключа ЭЦП до начала обмена электронными документами; 2) прикладывать электронную форму сертификата к каждому электронному документу; 3) пользоваться единым для всех УЦ, т. е. включиться в открытую корпоративную информационную систему; 4) использовать в качестве реквизитов электронного документа адрес УЦ, уникальный номер сертификата ключа ЭЦП и, возможно, сам открытый ключ. Последний вариант, возможно, окажется самым оптимальным, но для его реализации потребуется издание специального нормативного документа, например, ГОСТа на реквизиты электронных документов. Наконец, следует отметить проблему регистрации электронных документов с ЭЦП. Защита регистрационных индексов документов важна не менее, чем защита самого документа. Однако каким образом должна проходить регистрация созданных и тем более входящих документов пока неясно. Следует ли регистрационные индексы вносить в файл с электронным документом, а затем снова проводить хеширование или лучше создавать для индексов отдельные файлы-приложения к документам? Готовых технологических решений и предложений также пока не видно.
