Здесь мы будем говорить о квалифицированной электронной подписи, так как ошибки в реализации процедур подписания и проверки электронного документа именно квалифицированной ЭП могут причинить пользователям наибольший ущерб.
Процедура проверки ЭП в идеальной программе, удобной для пользователя, должна происходить автоматически, полностью соответствовать требованиям законодательства, результат выполнения данной процедуры должен быть простым и понятным для пользователя: верна подпись или нет. За видимой простотой должна быть реализована совокупность проверок, описанных в 11 статье Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи». Фактически там описана система условий, необходимых для признания квалифицированной электронной подписи равнозначной собственноручной подписи:
Квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата.
То есть, пользователь должен быть уверен в том, что его программа корректно проверяет действительность аккредитации удостоверяющего центра, выдавшего проверяемый сертификат.
Квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен.
То есть, пользователь должен быть уверен в том, что его программа корректно проверяет действительность сертификата на момент проверки или на момент подписания, а также, при наличии, информацию о моменте подписания.
Имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ.
То есть, пользователь должен быть уверен в том, что средства электронной подписи, используемые его программой, корректно осуществляют указанные проверки, и корректно определяют, что для подписания проверяемого электронного документа был использован именно квалифицированный сертификат.
Квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
То есть, пользователь должен быть уверен в том, что его программа корректно обрабатывает ограничения, указанные в проверяемом сертификате.
На бытовом уровне все понимают, что за решения, принимаемые по результатам рассмотрения тех или иных документов, отвечают лица, уполномоченные принимать такие решения. В случае с электронными документами – это пользователи систем электронного документооборота, которые и принимают решения по результатам рассмотрения электронного документа. И если решение принято неверное, данные уполномоченные лица несут ответственность в соответствии с законодательством.
В настоящее время уже существует обширная арбитражная практика, позволяющая выделить основные причины конфликтных ситуаций, возникающих при использовании электронных документов с электронной подписью. Подробный анализ таких судебных разбирательств можно найти, например в блоге известного документоведа Натальи Храмцовской: http://rusrim.blogspot.ru/. Среди них можно выделить и прецеденты, когда некорректная реализация и применение процедур проверки приводила к признанию стороны, осуществляющей проверку – виновной. Общие причины таких прецедентов можно классифицировать следующим образом:
№ | Причины конфликтных ситуаций в информационных системах с электронной подписью |
Возможные пути минимизации таких причин |
1 | Низкая квалификация пользователей |
Обучение пользователей |
2 | Некорректное использование ключевых носителей, средств ЭП, систем электронного документооборота (СЭД) |
Обучение пользователей, в том числе разъяснение ответственности за нарушения требований нормативно-правовых и организационно-технических документов |
3 |
Некорректная и/ или неэргономичная реализация функционала ЭП в СЭД |
Обучение разработчиков СЭД, использование СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП на специализированные серверы операторов сервисов проверки электронной подписи |
4 | Некорректное или неэргономичное предоставление услуг удостоверяющим центром и/или оператором СЭД | Использование услуг УЦ аккредитованных уполномоченным федеральным органом, совершенствование вопросов регулирования и контроля деятельности аккредитованных УЦ, использование СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП на специализированные серверы операторов сервисов проверки электронной подписи |
Повышение компетенции пользователей – важная и сложная задача, которую «Удостоверяющий Центр Газинформсервис» решает для своих клиентов по мере возможностей. Однако, это направление не лежит в фокусе данной статьи. Это предмет отдельного серьезного рассмотрения.
Анализ показывает, что значительная часть решений может быть достигнута путем использования СЭД, разработанных только с участием организаций-лицензиатов ФСБ, имеющих лицензию на разработку защищенных с использованием шифровальных (криптографических) средств информационных систем, в том числе с переносом функционала по проверке ЭП в зону ответственности удостоверяющего центра или специализированного оператора проверки ЭП. Далее рассмотрим данный подход подробнее.
2. Возможные способы повышения качества процедуры проверки электронной подписи
Первый способ – корректная реализация процедур проверки на уровне прикладной программы.
В программах, к которым предъявляются высокие требования по уровню криптографической защищенности корректность встраивания шифровальных (криптографических) средств в прикладные системы контролируется уполномоченным федеральным органом в области безопасности – ФСБ России. Большинство широко используемых систем электронного документооборота к такой категории не относятся, но это никак не связано со степенью ответственности, которая может возникнуть в случае некачественной проверки электронной подписи в таких СЭД. Получается, что ответственность у уполномоченных лиц возникает настоящая, а должного контроля за реализацией функционала электронной подписи, в широко используемых СЭД нет.
А без контроля, как известно, качественную систему реализовать не возможно.
Второй способ – обращение в УЦ для проверки электронной подписи.
В соответствии со статьей 13 Федерального Закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», удостоверяющий центр осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей. Традиционно удостоверяющие центры имеют в своем оснащении автоматизированные средства, позволяющие выполнять проверку электронных документов с электронной подписью. При этом, в большинстве случаев, Регламентом УЦ данная процедура описана и предполагает использование только в случаях, когда конфликтная ситуация уже возникла. В этом случае удостоверяющий центр выступает в качестве экспертной организации, которая, собрав всю объективную информацию, с использованием вышеупомянутых автоматизированных средств, выполняет контрольную проверку электронной подписи в электронном документе, по поводу которого возник спор.
Однако, как известно, лучший способ выиграть в конфликтной ситуации – это не доводить до конфликтной ситуации.
Третий способ – использование сервиса проверки электронной подписи удостоверяющего центра.
Итак, анализ вариантов, описанных выше, показывает, что качественный сервис проверки электронной подписи может быть реализован только при наличии процедур контроля над его созданием и предоставлением, а также должен предоставляться на регулярной основе, а не только в случае возникновения конфликтной ситуации. Именно так работает сервис проверки электронной подписи удостоверяющего центра: