Что такое Электронная подпись?
Это реквизит электронного документа, предназначенный для его защиты от подделки.
Электронная подпись (далее — ЭП) позволяет определить владельца подписи, а также определить отсутствие изменений в электронном документе после его подписания.
Что такое Сертификат ключа?
Сертификат представляет собой документ, связывающий данные для проверки подписи с определенным лицом, подтверждает идентичность этого лица и заверяется электронной подписью Удостоверяющего центра.
Что такое Удостоверяющий центр?
Это юридическое лицо или индивидуальный предприниматель, которые обеспечивают изготовление сертификатов открытых ключей и управление (аннулирование, приостановление, возобновление) ими, а также выполняет иные функции, установленные законодательством Российской Федерации.
Аккредитация удостоверяющего центра проводится уполномоченным федеральным органом Минкомсвязи России. Минкомсвязи фактически определяет, достоин ли удостоверяющий центр доверия (в приказе Минкомсвязи №320 «Об аккредитации удостоверяющих центов» от 23 ноября 2011 года описаны основные правила аккредитации и порядок проверки удостоверяющих центров).
Список аккредитованных Удостоверяющих Центров можно скачать на сайте Минкомсвязи. или посмотреть на сайте Госуслуг.
Сколько времени занимает выпуск сертификата ЭП?
Обычно не более 1 рабочего дня с момента оплаты услуг Удостоверяющего центра.
Может ли один человек быть владельцем нескольких ЭП?
Одно физическое или юридическое лицо может иметь неограниченное количество ЭП.
Как проверить подлинность сертификата ЭП?
Проверка подлинности сертификата электронной подписи может быть осуществлена, например, на портале Госуслуг.
При проверке сертификата проверяется его действительность и квалифицированность.
Портал Госуслуг в соответствии с Федеральным законом №63- ФЗ «Об электронной подписи» и с приказом ФСБ РФ, который определяет структуру квалифицированного сертификата, проверяет все поля сертификата, их наполнение и соответствие данным правилам.
Как работает электронная подпись?
С помощью ЭП информация не шифруется и остается доступной любому имеющему к ней доступ пользователю.
Для определения идентичности автора и подтверждения подлинности документа используется «хэш-функция».
На первом этапе формирования документа с помощью электронной подписи строится специальная хэш-функция, которая идентифицирует содержание документа.
На втором этапе автор документа шифрует содержание хэш-функции своим персональным закрытым ключом. При этом зашифрованная им хэш-функция помещается в сам документ, сохраняется и передается вместе с ним. Размер хэш-функции весьма незначителен, поэтому не происходит ощутимого увеличения размера документа.
При получении документа, адресат может убедиться в его подлинности. Для этого получатель строит собственный вариант хэш-функции полученного документа.
Далее расшифровывается хэш-функция, содержащаяся в документе, и происходит сравнение этих двух хэш-функций. Их совпадения является гарантией подлинности документа и его авторства.
Как долго можно хранить подписанные электронные документы?
Хранить подписанные электронные документы можно неограниченное количество времени.
Проблематика этого вопроса в том, что по истечению срока действия сертификата ключа подписи необходимо иметь доказательную базу, что в момент подписи сертификат был действителен и имел соответствующий 63-ФЗ статус: квалифицированный или нет.
Нормативно этот вопрос в нашей стране пока не регулируется. Для создания подобной доказательной базы могут использоваться различные методы.
Например, при прохождении документа через средства аттестованного Оператора электронного документооборота действительность подписи под документом проверяется, а сам факт прохождения и его дата фиксируются специальным документом с подписью Оператора.
Какие правила безопасности нужно соблюдать при использовании электронной подписи?
Правила безопасности, в целом, общие для всех видов электронной идентификации:
- Хранить сертификат и закрытый ключ необходимо в месте, исключающем доступ посторонних (защищенный носитель, компьютер под паролем и т.д.);
- Использовать программное обеспечение, защищающее компьютер от несанкционированного доступа;
- Не передавать ключевой носитель и/или доступ к компьютеру посторонним лицам;
- Немедленно информировать удостоверяющий центр о факте компрометации ключа ЭП.
Можно ли проверить полномочия лица, подписавшего документ от имени организации электронной подписью?
Да, это возможно. Необходимо лишь посмотреть доступный всем пользователям сертификат владельца ЭП.
При получении ключей электронной подписи на сотрудника организации руководитель подтверждает должность и полномочия сотрудника (включая право подписи определенных категорий документов).
На основании этих данных в сертификате открытого ключа ЭП указывается должность и полномочия владельца электронной подписи.
Что делать, если сотрудник, на которого был оформлен сертификат электронной подписи, уволился?
В таком случае необходимо предоставить заявление на отзыв сертификата ключа подписи в Удостоверяющий центр, а также оформить заявку на получение нового сертификата.
Можно ли незаметно подделать текст электронного документа, который подписан ЭП?
Нет. Это невозможно, так как в случае любой несанкционированной модификации проверка ЭП покажет, что документ был изменен.
Что делать, если закрытый ключ ЭП утерян или оказался в руках неуполномоченного лица?
Это называется компрометацией ключа электронной подписи.
Первой задачей в такой ситуации является скорейшее уведомление Удостоверяющего центра о произошедшем для вывода скомпрометированного ключа из действия в системе.
С этого момента подпись теряет юридическую силу. После чего можно приступать к решению вопроса о получении нового сертификата ключа подписи.
Забыли пароль ЭП. Как восстановить ключ ЭП?
Если ключи хранились на сертифицированных носителях, то необходимо посмотреть в документации, прилагаемой к этим носителям о возможности разблокировки.
В остальных случаях необходимо получать новые в Удостоверяющем центре.
Что надо знать для применения электронной подписи
Самый обычный вопрос, который задаётся человеком, впервые столкнувшимся с необходимостью использования электронной подписи, звучит примерно так: «А зачем мне вообще электронная подпись? И нужна ли?»
Электронная подпись может использоваться в нескольких ипостасях. Закон «Об электронной подписи» определяет условия применения электронной подписи как ответственной подписи в документе, аналога собственноручной подписи и печати. Подобным образом электронная подпись используется в системах электронного документооборота различного назначения (организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и прочего).
Однако область применения электронной подписи не ограничивается приведенными областями. Сама по себе, электронная подпись – великолепный механизм обеспечения целостности и подтверждения авторства и актуальности любых данных, представленных в электронном виде.
Электронная подпись поможет проверить целостность электронного письма (e-Mail) и убедиться в надёжности отправителя. Однозначно определит автора статьи, опубликованной в Интернете, и укажет дату публикации. Позволит написать собственное мнение о прочитанном документе в Microsoft Word и прикрепить его в виде «стикера» к файлу, не «испортив» сам файл своими пометками, при этом надёжно привязав такой «стикер» к текущему содержимому документа (при изменении текста документа «стикер» сразу обнаружит, что документ изменялся). Оставит «визитную карточку» о действиях, совершённых в электронном мире, подтвердит полномочия и т.п.
И когда человек утвердительно отвечает на вопрос, нужна ли ему электронная подпись, встаёт следующий вопрос – «Что нужно сделать, чтобы всё это начало работать у меня?». На этот вопрос одной фразой ответить не возможно – нужно выполнить ряд условий, как технических, так и организационных.
Сначала об электронной подписи самой по себе – что она собой представляет, какие бывают электронные подписи, что нужно для её создания и проверки.
Что такое электронная подпись?
Электронная подпись – мощное средство контроля подлинности информации в электронном виде, обеспечения целостности электронных данных, подтверждения их авторства и актуальности. Электронная подпись – это информационный объект, создаваемый для подписываемых данных, позволяющий удостовериться в целостности и аутентичности этих данных.
Распространенное мнение об электронной подписи – «это что-то криптографическое» — верно лишь отчасти. Электронная подпись – это формализованная структура, электронный документ, состоящий из набора обязательных и не обязательных реквизитов – атрибутов электронной подписи. В состав обязательных атрибутов как раз и входит криптографическая часть, обеспечивающая надёжную идентификацию подписываемых данных и гарантирует надёжность источника информации о подписавшем.
Кроме криптографической части, электронная подпись обязательно содержит минимальную информацию о подписавшем и некоторую техническую информацию. Для прикладного использования, электронная подпись может содержать дату и время подписания, сведения для дополнительных механизмов проверки подписи, расширенную информацию о подписавшем, его полномочия и отношение к подписываемым данным, комментарии, файлы, графическое изображение собственноручной подписи и другие, функционально востребованные, данные.
Электронная подпись поможет убедиться в том, что после подписи документа конкретным человеком никто «незаметно» этот документ не изменит, проверит надежность отправителя электронного письма и сохранность его содержания, однозначно определит автора статьи, опубликованной в сети Интернет, и укажет дату публикации. Подробнее в разделе «Термины криптографии»
Если использовать электронную подпись при помощи «КАРМА», то можно заверять электронный документ и настоящей собственноручной подписью – при этом такая подпись будет надежно защищена от подделок, а выглядеть будет так, как на привычном бумажном документе.
Разновидности электронной подписи
Существуют различные виды электронной подписи.
Электронные подписи могут быть присоединены к подписываемым данным, отсоединены от них или находиться внутри данных. Наиболее часто применяют электронные подписи к данным, хранящимся в файлах, а сама подпись относится ко всему содержимому файла.
- Присоединенная электронная подпись
В случае создания присоединенной подписи создается новый файл электронной подписи, в который помещаются данные подписываемого файла. Этот процесс аналогичен помещению документа в конверт и его опечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для электронной подписи в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств СКЗИ уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.
-
Отсоединенная электронная подпись
При создании отсоединенной подписи файл подписи создается отдельно от подписываемого файла, а сам подписываемый файл никак не изменяется. Достоинством отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к СКЗИ. Только для проверки подписи нужно будет использовать и файл с электронной подписью, и подписанный ей файл. Недостаток отсоединенной подписи — необходимость хранения подписанной информации в виде нескольких файлов (подписанного файла и одного или нескольких файлов с подписями). Последнее обстоятельство существенно осложняет применение подписи, так как при любых манипуляциях с подписанными данными требуется копировать и передавать несколько независимых файлов.
-
Электронная подпись внутри данных
Применение электронной подписи этого вида существенно зависит от приложения, которое их использует, например электронная подпись внутри документа Microsoft Word или Acrobat Reader. Вне приложения, создавшего электронную подпись, без знания структуры его данных проверить подлинность частей данных, подписанных электронной подписью затруднительно.
«КАРМА» обеспечивает возможность создания и работы с присоединенной и отсоединенной подписями.
В электронной подписи содержится не только математический аналог подписи, позволяющий проверить целостность данных и гарантирующий их надежность. Электронная цифровая подпись содержит определенную информацию о подписавшем. Узнать больше подробностей можно по телефону: +7(495)221-24-31.
Разумеется, пользователь электронной подписи может не разбираться в таких тонкостях – именно для этого нужна «КАРМА». «КАРМА» не только возьмет на себя решение всех сложных технические проблем, но и предоставит Вам массу новых возможностей по защите информации.
Соподпись
Часто возникают ситуации, когда требуется документально зафиксировать своё согласие с чьим-либо мнением, разделить ответственность за подписанное содержимое («я согласен, только если он согласен»), заверить чью-то подпись для повышения доверия к содержимому (подтвердить квалификацию подписавшего) и т.д.
Для решения таких задач «КАРМА» предлагает механизм заверения электронной подписи – соподпись. С технической точки зрения, соподпись представляет собой электронную подпись, которой подписана другая электронная подпись, причём соподпись будет верна только в том случае, если верна электронная подпись, которую подписали. Неверность подписанной соподписью электронной подписи (отзыв её сертификата, искажение подписанных данных и прочее) автоматически делает неверной и соподпись.
Шифрование данных
Ещё одна возможность, которую предлагает «КАРМА» — шифрование данных. Шифрование – очень эффективный способ сохранить информацию доступной только заранее определённому кругу людей, включая автора защищаемых данных . Причём сделать это можно лично, и не важно, где после этого будет храниться или пересылаться скрытая информация – шифрование обеспечит одинаковое ограничение доступа к информации в любой системе.
При выполнении шифрования файла достаточно указать системе «КАРМА» имена сертификатов людей, допущенных к защищаемой информации и можно быть уверенным, что только они смогут прочитать информацию, содержащуюся в файле. Для всех остальных людей и программ файл с зашифрованными данными будет представлять бессмысленный набор символов. Ни люди, ни компьютерные программы не смогут расшифровать эти данные. Допущенные к расшифровке содержимого файла люди могут расшифровывать хранящиеся данные файла и использовать их в любое время.
Для того чтобы зашифрованная информация была доступна только ее автору, достаточно не указывать дополнительные сертификаты людей, допущенных к расшифровыванию данных. И тогда, только он сможет расшифровать зашифрованные им до этого данные.
Зашифрованный файл можно пересылать по электронной почте и хранить в любом месте не опасаясь того, что информация может быть подсмотрена посторонними. Современные криптографические средства гарантируют высочайшую степень защиты данных от несанкционированного доступа.
«КАРМА» делает работу с зашифрованными файлами простой, наглядной и удобной. Операции шифрования и расшифрования становятся доступными обычному компьютерному пользователю.
Для чего нужна электронная подпись?
Электронная подпись может применяться в разных областях:
-
Электронная подпись может быть использована как ответственная подпись на электронном документе – то есть в качестве аналога собственноручной подписи и/или печати на бумажном документе. В частности, в этой ипостаси электронная подпись используется в системах электронного документооборота разного назначения.
-
Точно также электронная подпись широко используется для подписи программ или отдельных модулей, чтобы пользователь компьютера, загружая эти программы из Интернета, и используя их в работе, мог быть убежден в надежности и корректности их работы и надежности источника получения этих программ.
-
Электронная подпись – это очень надежный инструмент, который позволяет, как установить авторство, так и подтвердить целостность любых данных в электронном виде. Например, полученное вами от, казалось бы, знакомого человека, письмо без электронной подписи может оказаться на самом деле поддельным или содержать искаженную после его отправления информацию. Использование электронной подписи такую возможность исключает. При проверке электронной подписи будет установлено, что документ был изменен после его подписания.
-
При ведении деловой переписки канцеляриями или секретарями разных компаний электронная подпись может служить в качестве «конверта» — на одном конце письмо запечатывают с помощью электронной подписи, а на финише получатель «вскрывает» конверт, предварительно убедившись в полной неприкосновенности и подлинности данных.
-
С помощью электронной подписи можно согласовывать электронные варианты документов (например, договоров) как между различными службами внутри одной организации, так и между разными организациями. В таком случае текст договора будет защищен от несогласованных изменений, а каждая ответственная инстанция должна будет согласовать документ с помощью собственной электронной подписи, подтвердив тем самым свое отношение к нему. Такая подпись безошибочно расскажет не только о том, кто подписал документ, но и укажет дату и время подписи. Если же сотрудник решит отказаться от ответственности за визирование документа или отправку информации в письме, скрепленном его электронной подписью, то электронная подпись легко его уличит. Например, часто договор требуется согласовать с юридическим отделом, бухгалтерией и другими подразделениями компании, и лишь после этого его подпишут руководители обеих сторон. Такое согласование и визирование всеми ответственными службами можно проводить уже сейчас в электронном виде, применяя электронную подпись.
Система «КАРМА» расширяет и облегчает применение электронной подписи. Система позволит подписать электронный документ собственноручной подписью и даже поставить печать. И тогда документ будет не только скреплен «невидимой» человеку электронной подписью, но и «живой» подписью, введенной при помощи сенсорного экрана планшетного устройства или факсимиле. Также «КАРМА» может «наклеивать» на электронный документ так называемые «стикеры». Не создавая примечаний в самом документе, «стикер» позволит высказать свое отношение к нему, нанести резолюцию, выдать поручение и т.д. При этом каждый «стикер» будет привязан к содержанию документа – и если кто-то попробует изменить документ или «стикер», это будет обнаружено при просмотре стикера.
Что нужно сделать для использования электронной подписи?
Перед тем как практически начать применять электронную подпись в своей работе, надо создать файлы сертификата и закрытого ключа. Сертификат будет использоваться для проверки подлинности данных подписанных электронной подписью любым человеком, использующим эти данные. А закрытый ключ нужен человеку для формирования электронной подписи подписываемых им данных. При создании сертификатов и ключей используется специальные криптографические программы, которые в принципе есть в составе операционной системы любого компьютера.
Однако, доверять полученному таким образом сертификатам могут только люди, работающие на этом компьютере. Для того чтобы создать и в дальнейшем использовать сертификат, которому будут доверять все, кто будет проверять подлинность электронной подписи, нужна определенная организация, которая обеспечит нормативную, организационную и правовую основу использования выпущенных ею сертификатов. Такой организацией является Удостоверяющий Центр.
1. Договор с Удостоверяющим центром.
Электронная подпись аналогична подписи человека, а для того чтобы убедиться в подлинности документов, подписываемых человеком, любая организация отправляет его сначала к нотариусу, который проверив дееспособность человека удостоверяет его собственноручную подпись на самых различных документах.
Конечно, организация, установив соответствующее программное обеспечение, может организовать собственный Удостоверяющий центр, но при этом следует иметь ввиду, что электронная подпись, наносимые работниками организации, не смогут иметь юридическое значение за пределами этой организации.
Поэтому точно так же, как и при обращении к нотариусам, следует пользоваться услугами внешних аттестованных удостоверяющих центров. Подписав договор с Удостоверяющим Центром организация может получать от него сертификаты для своих работников, которые будут пользоваться электронную подпись.
2. Создание закрытого ключа и получение сертификата.
В процессе создания сертификата каждому из таких работников будет сгенерирован закрытый ключ. Процедура создания ключей может выполняться по-разному. Ключи могут создаваться в Удостоверяющем центре и передаваться пользователям вместе с сертификатом. Ключи могут создаваться и на рабочем месте пользователя в организации, а открытая часть ключа пересылаться в Удостоверяющий центр для последующего изготовления сертификата.
И ключ, и сертификат хранятся в файлах. Для того, чтобы никто, кроме владельца подписи, не мог воспользоваться закрытым ключом, его обычно записывают на съемный носитель ключа. Его также как банковскую карточку для дополнительной защиты снабжают PIN кодом. И точно также как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи надо ввести правильное значение PIN кода.
Именно надежное сохранение пользователем своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего документ подписанта.
Сертификат содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Поэтому обычно сертификаты хранятся в хранилище операционной системы (в каждом компьютере, в общем сетевом хранилище, в базе данных и т.п.). Конечно, все сертификаты всегда хранятся и в Удостоверяющем центре, точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие.
Получение работником организации закрытого ключа, обеспечение его сохранности и действия с ним обычно регламентируется приказом по организации с утверждением инструктивных материалов. В них регламентируется порядок выпуска сертификатов, применение ключей для подписания документов, получение, замену, сдачу закрытого ключа работниками, и действия выполняемые при компрометации ключа. Последние аналогичны действиям выполняемым при потере банковской карты.
3. Установка криптопровайдера.
Создание электронной подписи представляет собой сложную математическую процедуру и ее выполняют специальные программы – криптопровайдеры. В современных операционных системах криптопровайдеры уже включены в их состав.
Однако в ряде случае законодательство требует применение сертифицированных государственными органами криптопровайдеров. В этом случае их придется покупать и устанавливать на всех машинах, на которых будут подписываться или проверяться электронная подпись. Создание же ключей и получение сертификатов будет возможно только после установки соответствующих криптопровайдеров, так как они будут использоваться в процессе создания ключей и дальнейших процессов формирования и проверки электронной цифровой подписи.
4. Установка системы «КАРМА»
Выполнив действия 1-3 уже можно применять электронную подпись, но при этом надо иметь соответствующие программы, которые умеют работать с электронной подисью. Например, можно использовать MS Office и создавать подписи внутри офисных документов.
Для того чтобы получить в свое распоряжение все возможности электронной подписи, использовать любые виды подписей и заставить их эффективно работать следует купить и установить систему «КАРМА» на каждый компьютер на котором будет подписываться или проверяться электронная подпись.
Как выбрать криптопровайдера?
Мы рекомендуем пользоваться услугами нашего партнера компании «Сигнал-КОМ», которая снабжает криптопровайдерами, реализованными на основе сертифицированного СКЗИ «Крипто-КОМ 3.2», и предоставляет услуги Удостоверяющего Центра. Однако есть случаи, когда требуются другие криптопровайдеры и удостоверяющие центры.
При самостоятельном выборе УЦ и криптопровайдера следует учитывать, что не каждый удостоверяющий центр обслуживает всех возможных криптопровайдеров. Т.е. если партнерам, организующим электронный документооборот нужен конкретный криптопровайдер, следует выбирать удостоверяющий центр именно под него. Впрочем, большинство удостоверяющих центров работают со всеми наиболее популярными криптопровайдерами. Наиболее распространенные в России криптопровайдеры – это Microsoft Enchanced Provider и Microsoft Base Provider, «КриптоПРО» и Signal-COM.
Электронная бандероль. Шифрование и электронная подпись
Для пересылки бумажных документов по почте, давно и успешно применяется бандероль – непрозрачный плотный конверт с адресом отправителя и получателя, в который вложено отправление. Конверт выполняет при этом две функции – сохраняет содержимое в неприкосновенном виде и содержит необходимую адресную информацию.
При работе с электронными документами, пересылаемыми по электронной почте, существует возможность пользоваться электронным аналогом привычной бандероли.
«КАРМА» позволяет одновременно зашифровать и подписать пересылаемые данные. В результате этой операции будет сформирован файл, в котором, как в конверте, будет спрятана Ваша информация, защищённая с помощью шифрования, а электронная подпись обеспечит как целостность «бандероли», так и снабдит «бандероль» информацией об отправителе.
Этот файл-бандероль можно отправить по электронной почте или на машинном носителе получателю. При этом абсолютно исключается случайная или намеренная фальсификации отправляемых данных и их просмотр.
Даже в том случае, если бандероль по ошибке попадёт не в те руки – прочитать информацию сможет лишь ее законный получатель. Извлечь же электронные документы из такой бандероли при помощи «КАРМА» не составляет труда для получателя.
Как организовать обмен электронными документами между организациями?
Для этого необходимо выполнить следующие действия:
-
Определить цели и специфику документооборота между вашей организацией и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемым в электронном виде. Такие типовые договора подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк, уполномоченные налоговыми органами организации;
-
Совершить обмен сертификатами лиц, документы, за подписью которых будут передаваться между организациями. Понятно, что получить такие сертификаты возможно не только из этой организации, но и от ее Удостоверяющего центра, или вообще скачать из доверенного и надежного источника хранения ее сертификатов. В любом случае при проверке электронной подписи документа потребуется сертификат владельца подписи. Конечно, если возможна и доступна работа в Интернете, при проверке электронной подписи средства криптографической защиты через Интернет могут и сами найти сертификат выдавшей организации и убедиться в его подлинности.
-
Выпустить внутренние инструкции, регламентирующие порядок передачи и приема электронных документов с другой организацией, включая порядок проверки электронной подписи полученных документов и действия в случае отсутствия подлинности электронной подписи.
Теперь можно начать обмен электронными документами между организациями.
Термины криптографии
Предлагаемый глоссарий не ставит перед собой цель максимально полно и точно осветить терминологию, касающуюся криптографии и электронной цифровой подписи. Глоссарий поможет Вам не запутаться в терминах, которые часто встречаются при использовании «КАРМА»
Еще одна цель глоссария — раскрыть основной смысл понятий, не углубляясь в специфические подробности, ведь знание основных принципов позволяет не запоминать множество деталей. Возможно, для специалистов в области криптографической защиты информации этот глоссарий покажется недостаточно подробным, но ведь специалистам такой глоссарий и не нужен.
Криптография
В дословном переводе с греческого – тайнопись, наука о математических способах сокрытия информации от постороннего читателя.
Криптография решает следующие задачи:
-
Шифрование — процесс преобразования обычного текста в шифрованный текст
-
Расшифровывание — процесс преобразования шифрованного текста в обычный текст
-
Имитозащита — защита от навязывания ложной информации
Криптографическая защита информации
Защита информации с помощью криптографических механизмов. При помощи криптографической защиты реализуются конфиденциальность (невозможность прочтения посторонними) и аутентичность (целостность, подлинность, авторство и не отказуемость от него ) информации.
Особенностью современной криптографической защиты информации является тот факт, что общедоступность алгоритмов, по которым преобразовывается информация, не влияет на степень защищённости данных.
СКЗИ
Средства криптографической защиты информации — программные и аппаратные средства, реализующие криптографические алгоритмы и обеспечивающие их применение для защиты информации.
Криптографический ключ
Криптографические ключи различаются согласно алгоритмам, в которых они используются.
-
Симметричные ключи — ключи, используемые в симметричных алгоритмах шифрования. Главное свойство симметричных ключей: для выполнения как прямого, так и обратного криптографического преобразования (шифрование — расшифровывание) необходимо использовать один и тот же ключ. С одной стороны, это обеспечивает более высокую конфиденциальность сообщений, с другой стороны, создаёт проблемы распространения ключей в системах с большим количеством пользователей.
-
Асимметричные ключи — ключи, используемые в асимметричных алгоритмах. Вообще говоря, они являются ключевой парой, поскольку всегда состоят из двух связанных друг с другом ключей:
-
Закрытый (секретный) ключ — ключ, известный только своему владельцу. Только сохранение пользователем в тайне своего закрытого ключа гарантирует невозможность подделки злоумышленником документа и электронной подписи от имени заверяющего.
-
Открытый (публичный) ключ — ключ, который может быть опубликован и используется для проверки подлинности подписанного документа, а также для предупреждения мошенничества со стороны заверяющего лица в виде отказа его от подписи документа.
-
Главное свойство ключевой пары: по секретному ключу легко вычисляется открытый ключ, но по известному открытому ключу практически невозможно вычислить секретный.
Удостоверяющий центр
Удостоверяющий центр – организация или подразделение, обеспечивающее взаимное доверие между участниками обмена электронными сообщениями, подписанными электронной цифровой подписью. Именно обеспечение доверия между сторонами является основной задачей удостоверяющего центра, в этом его задача близка к задаче службы нотариата. Только на основании доверия всех участников обмена к удостоверяющему центру строится механизм доверия сторон к электронным цифровым подписям и сведениям, указанным в сертификатах участников обмена.
Для реализации механизма взаимного доверия участников обмена удостоверяющий центр имеет центр сертификации, который:
-
изготавливает сертификаты открытых ключей;
-
создает ключи по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа;
-
приостанавливает и возобновляет действие сертификатов открытых ключей, а также аннулирует их;
-
ведет реестр сертификатов открытых ключей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем;
-
проверяет уникальность открытых ключей в реестре сертификатов ключей подписей и архиве удостоверяющего центра;
-
выдает сертификаты открытых ключей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии;
-
осуществляет по обращениям пользователей сертификатов открытых ключей подтверждение подлинности электронной подписи в электронном документе в отношении выданных им сертификатов открытых ключей;
-
может предоставлять участникам информационных систем иные связанные с использованием электронных подписей услуги.
Сертификат
Если быть точным – сертификат открытого ключа – цифровой или бумажный документ, подтверждающий соответствие между открытым ключом и информацией, идентифицирующей владельца ключа.
Содержит в себе информацию о владельце сертификата, сведения об открытом ключе, его назначении и области применения, Удостоверяющем Центре, выдавшем сертификат, сроке действия сертификата и другие данные. Сертификат в электронном виде защищён электронной подписью Удостоверяющего Центра, выдавшего сертификат – это позволяет доверять сведениям, указанным в сертификате, ответственность за них берёт на себя Удостоверяющий Центр.
Сертификат играет роль визитной карточки владельца в информационной среде, а так же несёт криптографическую нагрузку как хранилище открытого ключа.
Отдельно можно выделить сертификат корневого Удостоверяющего Центра. Такой сертификат является самоподписанным – для него нет электронной подписи, позволяющей проверить достоверность сведений, указанных в сертификате. Доверие сертификату корневого Удостоверяющего Центра оказывается априори, подтвердить достоверность указанных в нём сведений некому.
Цепочка сертификатов открытых ключей
Цепочка сертификатов – набор взаимосвязанных документов, который позволяет удостовериться, что предъявленный сертификат был выдан доверенным удостоверяющим центром. Последним звеном в этой цепочке является предъявленный сертификат, начальным — сертификат корневого доверенного центра сертификации, а промежуточными — сертификаты, выданные промежуточным центрам сертификации. Особенностью пути доверия является то, что при потере доверия к начальному звену цепочки (корневому центру сертификации) теряется доверие ко всей цепочке, то есть ко всем выданным данным центром сертификатам и к предъявленному в том числе.
Список отозванных сертификатов
Список отозванных сертификатов (СОС) – особым образом оформленный перечень идентификаторов сертификатов открытых ключей, признанных удостоверяющим центром недействительными по разным причинам. Опубликовывается удостоверяющим центром, доставляется пользователю (например, в виде файла с расширением .crl) и размещается в операционной системе. СОС является частью инфраструктуры открытых ключей и позволяет пользователю не допустить ошибочного доверия к какому либо сертификату открытого ключа, если удостоверяющий центр в доверии сертификату отказал.
Инфраструктура открытых ключей
Инфраструктура открытых ключей (англ. PKI — Public Key Infrastructure) – реализация технологии управления механизмами доверия между субъектами информационной системы, основанная на использовании открытых ключей и сертификатов.
Задачи, решаемые инфраструктурой открытых ключей:
-
установление доверия (в рамках заданной модели доверия)
-
система именования субъектов, обеспечивающая уникальность имени в рамках системы
-
связь имени субъекта и пары ключей (открытый и закрытый) с подтверждением этой связи средствами удостоверяющего центра, которому доверяет субъект, проверяющий правильность связи
Электронная подпись
Электронная подпись – формализованный и структурированный электронный документ, предназначенный для защиты подписанной информации от подделки, содержащий в себе полученный в результате криптографического преобразования информации с использованием закрытого ключа реквизит и позволяющий идентифицировать владельца сертификата, установить отсутствие искажения информации и обеспечивает неотказуемость подписавшегося.
Подпись – один из важнейших реквизитов документа. В ряде стран документ становится легитимным лишь при наличии подписи уполномоченного лица, без проставления на нем печати организации. Нечто подобное встречается и в нашей стране. Например, при оформлении счета-фактуры законодатель не требует заверять подписи лиц печатью выдавшей организации или индивидуального предпринимателя.
Козлова С.Ю.
Но развитие современных технологий вносит свои коррективы и в эту сферу отношений. С одной стороны, такие нововведения призваны облегчить процесс подписания документов и расширить возможности применения подписи для удостоверения, например, электронных документов. С другой стороны, очень важно при этом действовать в соответствии с законодательством, дабы избежать ситуаций, когда юридическая сила документа может быть оспорена в силу неправомерного использования того или иного аналога собственноручной подписи.
Кто и на каком основании
Подпись как реквизит документа выполняет, по крайней мере, три функции:
- она удостоверяет личность подписавшего;
- гарантирует, что он не сможет отказаться от подписанного;
- является подтверждением того, что отправитель заверил соответствующим образом именно тот документ, который отправил, а не какой-либо другой.
Согласно Гражданскому кодексу для удостоверения любых сделок требуется личная подпись гражданина. Перечень случаев, когда документ может быть подписан другим лицом, является исчерпывающим: наличие у гражданина физических недостатков, тяжелой болезни или его неграмотность. При этом подпись другого лица удостоверяется нотариусом. Однако Гражданский кодекс оговаривает ситуации, когда подпись документа возможна только лицом, от которого он исходит. Так, закрытое завещание должно быть собственноручно написано, причем подписано именно завещателем. Несоблюдение этих правил влечет недействительность завещания. Его подписание каким-либо другим, даже уполномоченным завещателем лицом, не допускается.
В организации правом подписи документов наделены лишь руководитель и главный бухгалтер. Этот перечень может быть расширен по решению руководителя, которое оформляется в виде соответствующего приказа или доверенности в зависимости от того, состоит ли лицо, наделяемое правом подписи, в штате организации. Поскольку приказ является внутренним документом, то передать право подписи по нему можно лишь работнику организации. Доверенность же предполагает такую возможность и применительно к лицу, не связанному с организацией трудовыми отношениями. Доверенность от имени юридического лица может быть выдана только руководителем или лицом, уполномоченным на это учредительными документами.
Судебно-арбитражная практика
Между ООО «ПроЛед» и ООО «Политекс» был заключен договор на поставку материалов и комплектующих от 28.11.2005 г. № ДП234, по условиям которого продавец обязуется передать в собственность покупателя товар в соответствии с письменными заказами покупателя, являющимися неотъемлемой частью договора, покупатель обязуется принимать и оплачивать товар.
Исполнение своих обязательств по договору истец обосновывает соответствующими товарными накладными. Однако данные накладные не имеют ссылки на договор № ДП234 от 28.11.2005 г., а также подписаны со стороны ответчика неуполномоченным лицом, так как отсутствует соответствующая доверенность или иное основание.
В соответствии со статьей 53 Гражданского кодекса, подпунктами 12–14 Положения по ведению бухгалтерского учета и бухгалтерской отчетности в РФ, статьи 9 закона «О бухгалтерском учете» документами, подтверждающими передачу и приемку товаров, являются акт о приемке товаров либо товарная накладная, подписанные руководителем предприятия и главным бухгалтером либо уполномоченными лицами. При этом в силу статей 182, 186 Гражданского кодекса такие полномочия представителя должны быть подтверждены в доверенности, выдаваемой представляемым (постановление Девятого арбитражного апелляционного суда от 30.01.2007 г. № 09АП-18701/2006-ГК).
Как правило, учредители при разработке устава будущего общества не придают особого значения урегулированию данного вопроса. В результате складывается ситуация, когда право выдачи доверенностей будет принадлежать только руководителю организации. А это не всегда удобно, поскольку в любой организации обстоятельства могут сложиться таким образом, что руководитель временно отсутствует, а доверенность, например, на получение ТМЦ, необходимо подписать здесь и сейчас.
Иными словами, не будет лишним в уставе указать должности лиц, обладающих правом подписи доверенностей. Если таких должностных лиц будет несколько, имеет смысл уточнить, какие именно доверенности вправе подписывать то или иное уполномоченное лицо.
Аналоги собственноручной подписи
В деятельности любой организации возможна ситуация, когда руководитель (или другое уполномоченное лицо) отсутствует на месте, а подписать документы надо немедленно. В этом случае на помощь может прийти факсимиле. Не исключена и необходимость передачи документа по электронным каналам связи. При этом сканирование не способно обеспечить его безопасность. В этом случае, чтобы сохранить первоначальный смысл и реквизиты документа и исключить вероятность прочтения его третьими лицами, следует воспользоваться электронной цифровой подписью (ЭЦП). Только факсимиле и ЭЦП являются на настоящий момент закрепленными в российском законодательстве аналогами собственноручной подписи.
Право использования при совершении сделок аналога собственноручной подписи имеет ряд ограничений. В частности, такое использование допускается лишь в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. Однако до сих пор законодатель не выработал четкой и однозначной позиции в отношении использования факсимиле и электронной цифровой подписи.
Факсимиле
Факсимильное воспроизведение подписи с помощью средств механического или иного копирования упоминается в Гражданском кодексе. Но, как сказано в письме МНС РФ от 01.04.2004 г. «Об использовании факсимиле подписи», поскольку в действующем законодательстве отсутствует регламентация данного вопроса, то применение факсимиле допускается только при взаимном соглашении сторон, которое может быть выражено либо непосредственно в договоре (оговоркой, что документы, заверенные подобным образом, имеют юридическую силу), либо путем направления соответствующих писем. Но даже тогда применение факсимиле весьма ограничено: согласно тому же письму МНС оно не допускается на доверенностях, платежных и других документах, имеющих финансовые последствия.
Судебно-арбитражная практика
В своих исковых требованиях ГУП ссылается на договор и акт сдачи-приемки проектной документации. В результате анализа представленных документов суд установил, что договор, приложения к договору (календарный план работ, сводная смета, сметы № 1–3) и акт сдачи-приемки проектной документации со стороны ответчика ЗАО «Сетьстрой» непосредственно генеральным директором С. не подписаны. Указанные документы оформлены с использованием факсимиле генерального директора.
В соответствии с пунктами 1 и 2 статьи 160 Гражданского кодекса сделка в письменной форме должна быть подписана лицом или лицами, совершающими сделку, или должным образом уполномоченными ими лицами; использование при совершении сделок факсимильного воспроизведения подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными актами или соглашением сторон.
Истцом не представлено каких-либо доказательств, свидетельствующих о том, что использование факсимильной подписи на договорной документации в данном случае предусмотрено соглашением сторон. Порядок использования факсимиле подписи при оформлении сделок законом или иными правовыми актами не определен. Следовательно, при оформлении договора волеизъявление ЗАО «Сетьстрой» в установленном порядке не выражено, в связи с чем суд сделал обоснованный вывод о том, что указанный договор не считается заключенным.
Ссылка истца на акт сдачи-приемки проектной документации является несостоятельной, поскольку указанный акт оформлен таким же образом, то есть при помощи факсимильного изображения подписи генерального директора ответчика (постановление Девятого арбитражного апелляционного суда от 04.11.2004 г. № 09АП-3722/04ГК).
В ходе проверок деятельности организаций налоговыми органами чаще всего встает вопрос о правомерности использования факсимиле на счете-фактуре.
ФНС в письме от 17.05.2005 г. № ММ-6-03/404@ признает недействительными счета-фактуры, оформленные таким образом, и отказывает налогоплательщику в праве предъявлять их в целях вычета или возмещения суммы НДС, ссылаясь на то, что в соответствии с Налоговым кодексом счет-фактура подписывается руководителем и главным бухгалтером организации либо иными лицами, уполномоченными на то приказом (иным распорядительным документом) по организации или доверенностью от имени организации. Указание на возможность факсимильного подписания счета-фактуры в Налоговом кодексе отсутствует.
Однако арбитражные суды еще не выработали единой позиции по данному вопросу. В практике судов встречаются как решения в пользу налоговых органов в этом вопросе, так и против.
Судебно-арбитражная практика
Действующим налоговым законодательством и законодательством о бухгалтерском учете не конкретизировано, каким способом должны подписываться счета-фактуры. Факсимильное воспроизведение подписи является аналогом собственноручной подписи. Так как законом не предусмотрены негативные последствия принятия к вычету НДС на основании счетов-фактур, подписанных факсимиле, суд пришел к выводу о том, что Общество имеет право на вычет на основании статей 171 и 172 Налогового кодекса (постановление ФАС Московского округа от 26.04.2005 г. № КА-А40/2975-05).
Судебно-арбитражная практика
Довод налогового органа о том, что представленные заявителем счета-фактуры оформлены с использованием факсимильного воспроизведения подписи Н. в качестве руководителя организации и лица, разрешившего отпуск товара со склада ООО ПТК «Машпрофиль», что ставит под сомнение объективность существования данных документов, не принимается во внимание, поскольку закон не содержит ограничений в части способа выполнения подписи руководителя на счете-фактуре. Факсимильная подпись, то есть оттиск подписи с помощью клише (печати), представляет собой способ выполнения собственноручной подписи. Проставление факсимиле не свидетельствует о несоблюдении требований статьи 169 Налогового кодекса о подписании счета-фактуры руководителем поставщика (постановление Девятого арбитражного апелляционного суда от 23.08.2006 г. № 09АП-10337/2006-АК).
Судебно-арбитражная практика
Законодательство о бухгалтерском учете, а также о налогах и сборах не предусматривает использование факсимильного воспроизведения подписи руководителя при оформлении первичных документов и счетов-фактур. Поскольку материалами дела подтверждается наличие в действиях заявителя и его поставщиков признаков недобросовестности, отказ в возмещении НДС является обоснованным (постановление ФАС Поволжского округа от 03.05.2007 г. № А57-4249/06).
Электронная цифровая подпись (ЭЦП)
В отношении подписания счетов-фактур электронной цифровой подписи (ЭЦП) налоговые органы придерживаются аналогичной позиции (признают недействительными). И опять инспекторы ссылаются на то, что такой вид подписи не предусмотрен в статье 169 Налогового кодекса.
Но, в отличие от факсимиле, в отношении ЭЦП есть возможность оспорить позицию ИФНС, основываясь на законе от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи». В соответствии с ним действие закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством РФ случаях. Исходя из данного положения, можно сделать вывод о том, что действие закона распространяется не только на гражданские правоотношения. Однако для использования ЭЦП в других отраслях права необходимо прямое указание на это соответствующего законодательного акта.
Указание на возможность использования ЭЦП при подписании счета-фактуры в Налоговом кодексе отсутствует. На основании этого Министерство по налогам и сборам в письме от 21.04.2004 г. № 03-1-08/1039/17 заметило, что счета-фактуры, оформленные таким образом, признаются недействительными. На этом основании налогоплательщику будет отказано в праве предъявлять такие счета-фактуры к вычету или возмещению суммы НДС.
Кроме того, налоговики, обосновывая свою позицию, ссылаются на то, что налоговые правоотношения, к сфере ведения которых и относятся, собственно говоря, счета-фактуры, регулируются законодательством Российской Федерации о налогах и сборах, а не гражданским законодательством.
На сегодняшний момент Налоговый кодекс содержит лишь одно упоминание о правомерном использовании информации в электронном виде – пунктом 2 статьи 80 предоставлено право представления в электронном виде налоговой декларации по установленной форме в налоговый орган по месту своего учета.
Свою позицию налоговые органы подтвердили еще раз в письме ФНС России от 14.02.2005 г. № 03-1-03/210/11.
С другой стороны, пункт 6 статьи 169 Налогового кодекса, на который ссылаются налоговые органы, не конкретизирует, что в данном случае речь идет именно о личной подписи. Прямого запрета на использование аналогов собственноручной подписи нет. Как, впрочем, и прямого разрешения.
И поэтому позиция налоговых органов выглядит более убедительной – ведь в Налоговом кодексе не предусмотрена возможность использования ЭЦП на счетах-фактурах.
Надо заметить, что и суды придерживаются той же позиции. Некоторые юристы в обоснование противоположной позиции приводят в качестве примера следующее постановление.
Судебно-арбитражная практика
Суд признал довод налоговой инспекции о нарушении порядка подписания счетов-фактур незаконным, так как право на налоговые вычеты по ряду сделок купли-продажи имущества подтверждалось обществом представлением счетов-фактур с наличием электронной цифровой подписи (постановление ФАС Уральского округа от 11.05.2006 г. № Ф09-3600/06-С2 № А47-8175/05).
Но они забывают о главном – при рассмотрении дела в суде налогоплательщик представил счета-фактуры с собственноручной подписью руководителя и главного бухгалтера. Возможно, это и сыграло решающую роль при вынесении судом своего решения.
Что такое электронная цифровая подпись?
Согласно закону электронной цифровой подписью признается реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.
Суть ЭЦП можно выразить в нескольких словах: если пересылаемый документ будет каким-либо образом изменен, то проверка подписи будет неудачной и, следовательно, будет неудачной и попытка открыть сам документ.
С понятием ЭЦП тесно связано понятие сертификата ключа подписи, действием которого определяется равнозначность ЭЦП собственноручной подписи. Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.
Сертификат выдается удостоверяющим центром и содержит следующие сведения:
- уникальный регистрационный номер ключа подписи;
- даты начала и окончания срока действия сертификата ключа подписи;
- фамилию, имя и отчество владельца сертификата ключа подписи;
- открытый ключ электронной цифровой подписи;
- наименование удостоверяющего центра, выдавшего сертификат ключа подписи;
- значение ЭЦП под открытым ключом подписи владельца, сгенерированное с использованием закрытого ключа ЭЦП удостоверяющего центра.
Немаловажное значение для лиц, планирующих в будущем использование ЭЦП, имеет уже упомянутый выше удостоверяющий центр. В законе нет указания на то, что удостоверяющим центром может быть только государственный орган. Единственное требование – это должно быть юридическое лицо, выполняющее функции, предусмотренные законом.
Удостоверяющий центр осуществляет весь комплекс мероприятий, направленных на упорядочение отношений в сфере использования ЭЦП.
Удостоверяющий центр может быть как сторонней организацией по отношению к владельцу сертификата ключа подписи, так и быть созданным внутри организации – владельца сертификата. Все зависит от целей использования ЭЦП. Если речь идет об использовании ЭЦП в документах, передаваемых контрагентам, то здесь необходимо участие стороннего удостоверяющего центра. Только в этом случае у сторон не возникнут в дальнейшем обвинения в предвзятости внутреннего удостоверяющего центра контрагента. При этом решение сторон о выборе того или иного удостоверяющего центра должно быть зафиксировано документально, например, в договоре.
Если ЭЦП необходима прежде всего для организации внутреннего документооборота, то для компании имеет смысл создание внутреннего удостоверяющего центра. Особенно если речь идет о крупных компаниях с широкой филиальной сетью.
Регламент использования ЭЦП
В любом случае, пожалуй, основным документом, который позволит упорядочить отношения, связанные с использованием ЭЦП, и, как следствие, в дальнейшем позволит использовать документы, подписанные ЭЦП для решения спорных ситуаций, в том числе и в суде, является своеобразный регламент использования ЭЦП. Причем в разработке указанного документа должны принимать участие не только разработчики программных средств, необходимых для реализации ЭЦП, но и юристы, поскольку имеется целый ряд вопросов, решение которых невозможно без согласования с действующим законодательством.
На что же следует обратить внимание в первую очередь при подготовке подобного регламента?
1. Регламент должен четко определять сферы применения ЭЦП и ее место в документообороте компании. Необходимо четко определить, при подписании каких именно документов будет использоваться ЭЦП. Несомненно, наибольший эффект от использования ЭЦП возможен при ее максимальном применении в компании. Однако тут стоит исходить из требований законодательства – определенные документы признаются юридически значимыми только в бумажном виде (например, счет-фактура, о чем уже говорилось).
2. Как и в случае с документами, необходимо определить круг лиц, полномочных использовать ЭЦП. Лицам, наделенным правом использования ЭЦП, следует помнить о том, что нельзя просто взять и передать свой сертификат ключа другому лицу в случае, например, своей болезни или отпуска. Во-первых, сертификат ключа содержит данные о фамилии, имени и отчестве своего владельца и при его использовании кем-либо другим документ все равно окажется подписанным владельцем сертификата. А, во-вторых, сертификат содержит информацию о ключах ЭЦП, что является конфиденциальной информацией. Поэтому передача полномочий по использованию ЭЦП должна быть четко прописана в регламенте. Например, необходимо предусмотреть, что сертификат ключа может быть передан определенному лицу, а сама передача должна оформляться соответствующим распорядительным актом.
В этой связи примечателен судебный процесс, который является лишь одним из примеров в целой череде подобных разбирательств.
Судебно-арбитражная практика
ОАО «Ростелеком» обратилось в суд с иском к ОАО «Сберегательный банк России» о взыскании убытков в сумме 29 580 850 руб. По словам истца, между сторонами заключен договор банковского счета с дополнениями к нему, а также приложение к этому договору о предоставлении услуг с использованием системы «Клиент-Сбербанк» на осуществление операций по счету в виде электронных документов и передаче выписок в виде электронных документов. 02.08.1999 г. со счета истца по электронному платежному поручению было списано 29 580 850 рублей. Однако указанное платежное поручение в виде электронного документа истец ответчику не передавал, по факту необоснованного списания денежных средств возбуждено уголовное дело.
При рассмотрении иска было доказано, что платеж был произведен с терминала компании, подключенного к системе «Клиент-банк», и при этом был использован подлинный электронный ключ заместителя генерального директора ОАО «Ростелеком». Истец не представил доказательств несанкционированного вмешательства, а также доказательств утраты или иного выбытия дискеты, содержащей ЭЦП, лицом, имеющим право на ее применение. Результаты проведенной экспертизы показали, что информационная система банка работала нормально и несанкционированного доступа к ней не было.
В итоге арбитражный суд иск компании отклонил, и попытка компенсировать ущерб за счет обслуживающего банка не удалась (постановление ФАС Московского округа от 05.11.2003 г. № КГ-А40/8531-03-П).
Что произошло на самом деле, в решении арбитражного суда не говорится, но можно лишь догадываться. Скорее всего, загруженный работой руководитель компании не успевал подписывать финансовые документы для отправки в банк и передал эту обязанность вместе со своей электронно-цифровой подписью кому-то из сотрудников. Сотрудник же в какой-то момент воспользовался ЭЦП руководителя для кражи денег компании.
3. Оба вышеперечисленных условия (определение сферы применения и круга лиц) должны быть взаимосвязаны – необходимо определить, кто и на какие документы вправе ставить свою ЭЦП. Это также поможет избежать ситуаций с одновременным подписанием одного и того же документа с использованием ЭЦП различными лицами.
Итак, использование факсимиле и электронной цифровой подписи требует соблюдения ряда правил, игнорирование которых может повлечь недействительность документов с подобными реквизитами.
Правомерность использования ЭЦП на тех или иных документах на сегодняшний день остается достаточно спорным вопросом. Можно сказать, что законодатель без должного внимания отнесся к решению этого вопроса. Он ограничился лишь принятием закона, содержащего общие положения. В этой ситуации каждый орган вправе самостоятельно решать, разрешать ли использование ЭЦП в документах, касающихся его сферы деятельности, или нет. Отсутствие единой правовой позиции делает использование ЭЦП крайне проблематичным. А это не в последней степени влияет на вхождение российских компаний в мировую экономику в качестве полноправных участников.
Не секрет, что в российском, как, впрочем, и в любом другом законодательстве, доказательством проведения той или иной операции признается наличие соответствующих документов.
И если раньше речь шла исключительно о документах в бумажном виде, то в настоящее время развитие информационных технологий привело к тому, что электронные документы в своих правах уравнялись с бумажными собратьями.
В мае 2007 года Россия подписала Конвенцию ООН об использовании электронных сообщений в международных договорах, став тем самым десятой страной, признающей документы в электронной форме наравне с традиционной бумажной формой.
Электронные сообщения в международных договорах
Конвенция ООН об использовании электронных сообщений в международных договорах вступила в силу для нашей страны в декабре 2007 года (подписана в Нью-Йорке 23 ноября 2005 года). С этого момента российские компании получили право использовать электронные сообщения при работе с международными договорами.
На что стоит обратить внимание при принятии решения об использовании электронных сообщений в договорных правоотношениях?
Прежде всего стоит отметить, что Конвенция имеет ограниченную сферу применения. Она применяется лишь к международным договорам, то есть к договорам, стороны (коммерческие предприятия) которых находятся в разных государствах. Причем последнее должно быть подтверждено соответствующей оговоркой в самом договоре.
Только указание в самом договоре на местонахождение сторон может служить свидетельством такого местонахождения. В случае возникновения спора обязанность доказывания обратного лежит на другой стороне. Таким образом, коммерческим предприятием стороны считается место, указанное этой стороной, если только другая сторона не докажет, что сторона, сделавшая такое указание, не имеет коммерческого предприятия в этом месте.
Немаловажным обстоятельством, на которое следует обратить внимание сторонам электронного договора, является то, что простое использование какой-либо из сторон доменного имени или адреса электронной почты, связанных с конкретной страной, не свидетельствует о том, что коммерческое предприятие находится именно в этой стране. Это положение практически ставит под сомнение необходимость регистрации доменного имени за пределами страны, в которой зарегистрировано предприятие.
Также не является доказательством местонахождения коммерческого предприятия и тот факт, что в этом месте находятся оборудование и технические средства, поддерживающие информационную систему, используемую стороной в связи с заключением договора.
Единственным свидетельством местонахождения сторон является прямое указание об этом в договоре. Думается, что таким образом разработчики Конвенции попытались избежать обязательного применения Конвенции ко всем международным договорам. Стороны сами вправе решать, будут ли они в процессе заключения и исполнения договора руководствоваться положениями данной Конвенции. Принятие Конвенции не означает обязательное ее использование. Конвенция не требует от какой-либо стороны использовать или принимать электронные сообщения. Однако согласие стороны на это может быть выведено не только из условий договора, но и из поведения этой стороны.
Другими словами, фактическое принятие стороной электронных сообщений и ответ на них уже может свидетельствовать о ее согласии на применение Конвенции к договору, в рамках которого и осуществлялась эта электронная переписка. Поэтому, дабы избежать применения Конвенции в отношении своего договора, сторонам следует либо включить соответствующий пункт в договор, либо избегать обмена существенной информацией по электронной почте.
Кроме этого, в Конвенции предусмотрены случаи, когда она не применяется независимо от воли сторон. Это относится к следующим документам и действиям:
- договоры, заключенные в личных, семейных или домашних целях;
- сделка на фондовом рынке;
- сделки с иностранной валютой;
- межбанковские платежные системы и соглашения, расчетно-клиринговые системы для ценных бумаг или других финансовых инструментов;
- передача, продажа, ссуда, владение обеспечительными правами в ценных бумагах или других финансовых инструментах, хранящихся у посредника, а также соглашение об их обратной покупке;
- переводные и простые векселя;
- транспортные накладные, коносаменты, складские расписки и любые другие оборотные документы, которые дают предъявителю или бенефициару право требовать поставки товаров или платежа денежной суммы.
Конвенция фактически признает юридическую силу электронных сообщений, указав на возможность их использования в суде, поскольку сообщение или договор не могут быть лишены действительности или исковой силы лишь на том основании, что они составлены в форме электронного сообщения.
Но как быть с документами, в отношении которых, например, российским законодательством предусмотрена обязательная письменная форма либо в отношении которых установлены сроки хранения подлинников до 30 лет?
Согласно Конституции РФ нормы международного права имеют превалирующее значение в отношении норм внутреннего российского законодательства. Поэтому, думается, что суды при рассмотрении спорных ситуаций будут руководствоваться все-таки положениями Конвенции, в которой, кстати говоря, предусмотрены способы решения данных вопросов.
Так, в случаях, когда в соответствии с законодательством документ должен быть составлен в письменной форме, при несоблюдении которой документ признается недействительным, считается, что требование законодательства выполнено путем представления электронного сообщения, если содержащаяся в нем информация является доступной для ее последующего использования.
В случаях же, когда договор должен быть подписан стороной и только в этом случае согласно законодательству приобретает юридическую силу, требование законодательства считается выполненным в отношении электронного сообщения, если для идентификации стороны и указания намерения этой стороны в отношении информации использован способ, который является надежным. Критерий надежности в данном случае определяется целью подготовки и передачи электронного сообщения. Иными словами, чем выше значение пересылаемой информации, тем выше должен быть и уровень надежности способа идентификации пересылающей стороны.
О каких способах идет речь? К сожалению, в самой Конвенции не содержится хотя бы примерного перечня. Однако, исходя из практики, можно предположить, что речь, скорее всего, идет об электронной цифровой подписи (ЭЦП). Именно этот способ идентификации не только гарантирует неизменность передаваемого документа, но и позволяет с точностью определить лицо, подписавшее пересылаемый документ.
Простое сканирование документа не может дать стопроцентную гарантию сохранности содержания документа при его хранении, а уж тем более – при его пересылке. Поэтому применение этого способа идентификации оправдано лишь в отношении малозначительных документов. С другой стороны, могут ли быть документы, относящиеся к договору, малозначительными? Полагаем, что нет. Ведь все, что содержится в этих документах, так или иначе связано с исполнением договорных условий.
Поэтому приходится признать, что на настоящий момент единственным способом идентификации подписавшего документ человека является использование ЭЦП.
Не исключена и ситуация, когда в соответствии с законодательством документ подлежит хранению определенный период времени, причем в подлинной форме. В таком случае требование законодательства считается выполненным в отношении электронного сообщения, если оно отвечает одновременно двум условиям:
- имеются надежные доказательства целостности информации с момента создания электронного сообщения в окончательной редакции и
- существует возможность предоставления информации в случае соответствующего запроса от уполномоченного на то лица.
При этом степень надежности также определяется целью, для которой информация была подготовлена, а критерием оценки целостности является сохранение информации в полном и неизменном виде, без учета любых изменений, которые обычно вносятся в документ в процессе его передачи, хранения и демонстрации.
Таковы лишь основные положения Конвенции ООН об использовании электронных сообщений в международных договорах. Ее актуальность на практике будет подтверждена или опровергнута в дальнейшем.
Само собой разумеется, что Конвенции ООН носят, как правило, рекомендательный характер и редко используются на практике. Однако именно они и закрепленные в них положения являются стимулом для внесения соответствующих поправок в национальное законодательство и в международное право в целом.
Пока сложно говорить о значимости Конвенции для российских компаний, поскольку отсутствуют прецеденты. В любом случае российским компаниям следует быть готовыми к тому, что те или иные иностранные партнеры выступят с предложением об использовании электронных сообщений в договорных отношениях. И поэтому уже сейчас необходимо подготовиться к такому использованию, в том числе и путем решения вопроса о применении в своей деятельности электронной цифровой подписи.
Автор — ведущий юрист ОАО «Оптима иКСчейндж Сервисез» (OXS).