корзина корзина корзина корзина корзина корзина корзина корзина корзина корзина
Войти
Корзина0
8 (800) 505 05 02 0
Удостоверяющий центр
Меню
  • Продукты и услуги
  • Решения
  • Пресс-центр
  • Поддержка
  • О компании
  • Прайс-лист
  • Контакты
    • 8 (800) 505 05 02
    Заказать звонок
    1. Главная
    2. Поддержка
    3. Обучающие материалы
    4. Доверенная третья сторона

    Доверенная третья сторона

         1. Проверка электронной подписи в электронном документе: требования, ответственность, проблемы реализации


    Здесь мы будем говорить о квалифицированной электронной подписи, так как ошибки в реализации процедур подписания и проверки электронного документа именно квалифицированной ЭП могут причинить пользователям наибольший ущерб.

    Процедура проверки ЭП в идеальной программе, удобной для пользователя, должна происходить автоматически, полностью соответствовать требованиям законодательства, результат выполнения данной процедуры должен быть простым и понятным для пользователя: верна подпись или нет. За видимой простотой должна быть реализована совокупность проверок, описанных в 11 статье Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». Фактически там описана система условий, необходимых для признания квалифицированной электронной подписи равнозначной собственноручной подписи:

    Квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата.
    То есть, пользователь должен быть уверен в том, что его программа корректно проверяет действительность аккредитации удостоверяющего центра, выдавшего проверяемый сертификат.

    Квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен.
    То есть, пользователь должен быть уверен в том, что его программа корректно проверяет действительность сертификата на момент проверки или на момент подписания, а также, при наличии, информацию о моменте подписания.

    Имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ.
    То есть, пользователь должен быть уверен в том, что средства электронной подписи, используемые его программой, корректно осуществляют указанные проверки, и корректно определяют, что для подписания проверяемого электронного документа был использован именно квалифицированный сертификат. 

    Квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
    То есть, пользователь должен быть уверен в том, что его программа корректно обрабатывает ограничения, указанные в проверяемом сертификате.

    На бытовом уровне все понимают, что за решения, принимаемые по результатам рассмотрения тех или иных документов, отвечают лица, уполномоченные принимать такие решения. В случае с электронными документами – это пользователи систем электронного документооборота, которые и принимают решения по результатам рассмотрения электронного документа. И если решение принято неверное, данные уполномоченные лица несут ответственность в соответствии с законодательством. 

    В настоящее время уже существует обширная арбитражная практика, позволяющая выделить основные причины конфликтных ситуаций, возникающих при использовании электронных документов с электронной подписью. Подробный анализ таких судебных разбирательств можно найти, например в блоге известного документоведа Натальи Храмцовской: http://rusrim.blogspot.ru/. Среди них можно выделить и прецеденты, когда некорректная реализация и применение процедур проверки приводила к признанию стороны, осуществляющей проверку – виновной. Общие причины таких прецедентов можно классифицировать следующим образом:

    Причины конфликтных ситуаций в информационных системах с электронной подписью Возможные пути минимизации таких причин
    1 Низкая квалификация пользователей Обучение пользователей
    2 Некорректное использование ключевых носителей, средств ЭП, систем электронного документооборота (СЭД)

    Обучение пользователей, в том числе разъяснение ответственности за нарушения требований нормативно-правовых и организационно-технических документов

    3 Некорректная
    и/ или неэргономичная реализация функционала ЭП в СЭД
    		 Обучение разработчиков СЭД, использование СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП на специализированные серверы операторов сервисов проверки электронной подписи
    4 Некорректное или неэргономичное предоставление услуг удостоверяющим центром и/или оператором СЭД Использование услуг УЦ аккредитованных уполномоченным федеральным органом, совершенствование вопросов регулирования и контроля деятельности аккредитованных УЦ, использование СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП на специализированные серверы операторов сервисов проверки электронной подписи

    Повышение компетенции пользователей – важная и сложная задача, которую «Удостоверяющий Центр Газинформсервис» решает для своих клиентов по мере возможностей. Однако, это направление не лежит в фокусе данной статьи. Это предмет отдельного серьезного рассмотрения.

    Анализ показывает, что значительная часть решений может быть достигнута путем использования СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП в зону ответственности удостоверяющего центра или специализированного оператора проверки ЭП. Далее рассмотрим данный подход подробнее.

         2. Возможные способы повышения качества процедуры проверки электронной подписи

    Первый способ – корректная реализация процедур проверки на уровне прикладной программы.

    В программах, к которым предъявляются высокие требования по уровню криптографической защищенности корректность встраивания шифровальных (криптографических) средств в прикладные системы контролируется уполномоченным федеральным органом в области безопасности – ФСБ России. Большинство широко используемых систем электронного документооборота к такой категории не относятся, но это никак не связано со степенью ответственности, которая может возникнуть в случае некачественной проверки электронной подписи в таких СЭД. Получается, что ответственность у уполномоченных лиц возникает настоящая, а должного контроля за реализацией функционала электронной подписи, в широко используемых СЭД нет.

    А без контроля, как известно, качественную систему реализовать не возможно.

    Второй способ – обращение в УЦ для проверки электронной подписи.

    В соответствии со статьей 13 Федерального Закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», удостоверяющий центр осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей. Традиционно удостоверяющие центры имеют в своем оснащении автоматизированные средства, позволяющие выполнять проверку электронных документов с электронной подписью. При этом, в большинстве случаев, Регламентом УЦ данная процедура описана и предполагает использование только в случаях, когда конфликтная ситуация уже возникла. В этом случае удостоверяющий центр выступает в качестве экспертной организации, которая, собрав всю объективную информацию, с использованием вышеупомянутых автоматизированных средств, выполняет контрольную проверку электронной подписи в электронном документе, по поводу которого возник спор.

    Однако, как известно, лучший способ выиграть в конфликтной ситуации – это не доводить до конфликтной ситуации.

    Третий способ – использование сервиса проверки электронной подписи удостоверяющего центра.

    Итак, анализ вариантов, описанных выше, показывает, что качественный сервис проверки электронной подписи может быть реализован только при наличии процедур контроля над его созданием и предоставлением, а также должен предоставляться на регулярной основе, а не только в случае возникновения конфликтной ситуации. Именно так работает сервис проверки электронной подписи удостоверяющего центра:

    • функционирует как элементы инфраструктуры удостоверяющего центра, следовательно соответствует нормативам, предъявляемым к удостоверяющему центру Федеральным законодательством и требованиями регуляторов;
    • предоставляется на регулярной основе, в качестве подписки для клиентов удостоверяющего центра.

    Результатом работы сервиса проверки электронной подписи, предоставляемого в режиме online, является квитанция, подписанная электронной подписью удостоверяющего центра, которая в удобной и понятной для пользователя форме представляет результат проверки. Удостоверяющий центр отвечает за сведения, представленные в квитанции своим финансовым обеспечением.