Стрімка комп'ютеризація різних сфер життя сучасної людини зумовлює вдосконалення правових систем держав. Так, в російському законодавстві було закріплено поняття електронного підпису. У багатьох випадках вона може виступати повним аналогом звичайної, "паперової". Як створити електронний підпис, що відповідає всім законодавчим вимогам?
Зміст статті
- Сутність електронного підпису
- Законодавчі вимоги до електронного підпису
- Як отримати електронний підпис?
Дане питання цікавий в таких аспектах:
- вивчення сутності електронного підпису, її технологічної структури;
- розгляд вимог до відповідного реквізиту, що містяться в законодавстві РФ;
- отримання електронного підпису на практиці.
Звернемося до кожного із зазначених пунктів.
Сутність електронного підпису
Поняття електронного підпису може трактуватися по-різному. Розглянемо варіант, що міститься в головному російському правовому акті, що регулює використання відповідного реквізиту, - ФЗ № 63 "Про електронний підпис". У законі сказано, що під зазначеним терміном слід розуміти інформацію в цифровій формі, яка приєднана до іншої (підписується) або тим чи іншим чином пов'язана з нею і яка застосовується для ідентифікації особи, що ставить відповідний реквізит на документі.
Дане визначення ЕП в законодавстві - досить розпливчасте. Але юристам полегшують роботу деякі додаткові положення ФЗ № 63, що містяться в 5 статті закону. На їх основі в російській юридичному середовищі було вироблено кілька підходів до трактування поняття електронного підпису. Під таким реквізитом, як вважають експерти, можна розуміти:
Реклама- унікальний цифровий код, наявний усередині документа або безпосереднім чином пов'язується з ним, який може проставити тільки власник електронного підпису;
- канал (механізм) передачі файлу, який може задіяти тільки конкретна людина завдяки наявності ЕП (як правило, це e-mail, а в якості електронного підпису фактично виступає пароль);
- цифрову копію звичайного підпису кульковою ручкою (простіше кажучи, "скан"), що розміщується всередині документа або приєднувану до нього - наприклад, за допомогою запису файлів в один архів.
Про які саме положеннях 5 статті ФЗ № 63 йдеться? Так, в даній частині закону електронні підписи класифікуються на два види: просту і посилену (щодо другої закон визначає також два підвиди ЕП - кваліфіковану та некваліфіковану).
Як простий ЕП може використовуватися, як то кажуть в розглянутому ФЗ, "код, пароль або інший засіб". Що це означає? Юристи інтерпретують слова "код, пароль" як відповідний ідентифікатор при відправці e-mail-повідомлень (іноді - як пароль на архів), "інший засіб" - як "скан" підписування свого імені.
У свою чергу, під посиленою ЕП слід розуміти той самий унікальний цифровий код, що розміщується всередині документа або приєднується до нього. Власне, таке трактування даного поняття, ймовірно, найбільше поширена в IT-співтоваристві, так само як і в цивільному середовищі в цілому. E-mail, архіви і "скани" (звичні всім і використовуються багато років) якось не дуже асоціюються у людей з настільки високотехнологічним, недоступним раніше звичайній людині реквізитом, яким виступає електронний підпис. Хоча за законом вони можуть бути різновидами ЕП.
Але тут же відзначимо, що законодавець займає досить здорову позицію, зараховуючи відповідні види шифрування до "простий електронного підпису". Тобто розробникам ФЗ № 63 було очевидно, що громадянина, "підписує" документи і використовує подібні типи ЕП, не завжди можна однозначно ідентифікувати. E-mail здатний відправити, в принципі, будь-яка людина, що знає пароль від електронної поштової скриньки. Те ж - і з архівом. "Скан" звичайного підпису можна легко підробити в Фотошопі.
Інша справа, якщо використовується посилена ЕП. Які її відмінні риси?
Основний елемент "посилення" відповідного типу електронного підпису - це ключ. Якщо розуміти буквально, це і є той самий унікальний цифровий код. Якщо трактувати його сутність трохи ширше - це сукупність програмних і апаратних засобів для проставлення на документі (або в файлі, прив'язують до нього) даного коду.
Зрозуміло, що ключ (в значенні "код") всякий раз повинен бути різним, - інакше одержувач документа, побачивши його і скопіювавши, зможе "підписуватися" згодом їм за іншу людину. Тому ключ (в значенні "програмні і апаратні засоби") кожен раз генерує нову послідовність цифр. Виникає питання - як переконатися, що вона проставлена на документі конкретним відправником?
Дуже просто - також за допомогою ключа (на цей раз в однозначній трактуванні - як "програмних і апаратних засобів"), але тільки іншого - призначеного для перевірки ЕП. У ньому прописані алгоритми звірки ключів (в значенні "код"), які проставляють на документах, з базою даних власників ЕП. Якщо відповідна послідовність цифр буде розпізнано як коректна, а також у ключа (в значенні "програмні і апаратні засоби"), її згенерувати, знайдеться офіційний господар - то підпис буде визначена як вірна і проставлена конкретним громадянином.
Ключ, призначений для проставлення "коду" на документі (іноді він називається закритим), повинен завжди перебувати у власника ЕП. Він - його "авторучка". Ключ для звірки електронного підпису (званий також відкритим) завчасно передається адресату, щоб він зміг перевіряти справжність ЕП на одержуваних документах.
Дана схема - набагато надійніше, ніж відправка файлів через e-mail, в архівах з паролями або зі "сканами" звичайного підпису. Проставити відповідний реквізит зможе тільки та людина, в чиїх руках закритий ключ. Як правило, він являє собою апаратний шифрувальний механізм, реалізований у вигляді електронного брелока типу eToken. Генеруються їм коди практично неможливо підробити, а сам eToken дуже важко скопіювати - як за допомогою віддаленого перехоплення шифрів, так і при наявності у хакера на руках оригіналу.
Володар ЕП і власник відкритого ключа - це завжди один і той же чоловік або організація. Але даний факт - юридична зв'язок суб'єкта правовідносин з ключем перевірки і ЕП одночасно - в ряді випадків вимагає документального підтвердження за допомогою спеціального сертифікату. Це може бути паперовий джерело, в якому вказані реквізити людини або організації, які оформили ЕП. Але найчастіше це електронний документ, дані з якого програма, яка входить в структуру ключа перевірки, автоматично зчитує.
Сертифікат повинен бути дійсним - за термінами і за статусом. Видається даний документ власнику ЕП, як правило, на рік. Якщо він не буде продовжений, то набуде статусу анульованого, в результаті чого втратиться юридичний зв'язок між людиною, яка підписує електронні документи, і ключем перевірки. ЕП стає недійсною. Статус анульованого сертифікат може отримати також на прохання його власника. Наприклад, якщо громадянин втратить eToken.
Якщо одержувач електронного документа - навіть якщо адресат йому знайомий і він не раз брав файли від нього - побачить, що сертифікат анульований (програма, що входить в структуру ключа перевірки, зазвичай виводить на екран повідомлення про це), то він в ряді випадків не має права визнавати ЕП, проставлену на документі, справжньої (юридично рівнозначною відповідному паперовому реквізиту).
Законодавець дозволяє громадянам і організаціям користуватися простою ЕП на свій розсуд, припускаючи їх готовність брати відповідальність за можливі казуси на себе. Однак при роботі з "серйозними" структурами - зокрема, державними органами влади - обов'язково потрібна посилена електронний підпис. Вкрай бажано, щоб вона була "кваліфікованої". Чому, і що це за атрибут?
до змісту ↑Законодавчі вимоги до електронного підпису
Головний критерій посиленою ЕП - вона однозначно дозволяє встановити особу людини, яка підписала той чи інший документ. Механізми, за допомогою яких дана процедура реалізується, ми розглянули вище. Законодавство визначає, що в їх структурі повинні бути присутніми наступні компоненти:
- застосування шифрування ( "криптографічного перетворення інформації" - підпункт 1 пункту 3 статті 5 ФЗ № 63);
- обробка документа спеціальною програмою ( "використання засобів електронного підпису" - підпункт 4 пункту 3 статті 5 ФЗ № 63);
- задіяння механізмів перевірки документа на предмет змін на шляху до одержувача (підпункт 3 пункту 3 статті 5 ФЗ № 63).
При використанні ключів - закритого і відкритого - всі ці критерії дотримуються.
Якщо ЕП відповідає зазначеним вимогам, то вона як мінімум буде визнана посиленою некваліфікованої. Даний статус електронного підпису припускає, що на документах вона може в ряді випадків юридично прирівнюватися до відповідного "паперовому" реквізиту. Однак якщо ЕП отримує ознака "кваліфікованості", то її проставлення в усіх випадках юридично рівнозначно звичайному автографу, а також печатки організації.
Отже, відповідний тип ЕП розглядається законодавцем як найзахищеніший. Він повинен, крім зазначених критеріїв для некваліфікованої підписи, відповідати таким ознаками, як:
- вказівка ключа перевірки ЕП в сертифікаті;
- використання в якості програми для обробки документів тільки тих коштів, які відповідають вимогам ФЗ № 63.
Таким чином, сертифікат, про який ми сказали вище, - це один з головних критеріїв "кваліфікованості" електронного підпису. Якщо він дійсний, то ЕП буде повністю визнана юридично ідентичною відповідному паперовому реквізиту.
Але важливо дотримання однієї умови. Необхідний сертифікат (разом з іншими компонентами ЕП) видають тільки спеціалізовані організації - акредитовані державою засвідчують центри. Багато компаній прагнуть отримати саме кваліфіковану ЕП - як саму захищену, і звертаються, головним чином, тільки в ці структури. Розглянемо докладніше специфіку взаємодії громадян і організацій з засвідчують центрами, що видають електронні підписи.
до змісту ↑Як отримати електронний підпис?
Говорячи про механізми отримання ЕП, слід мати на увазі один важливий нюанс, а точніше, відмінну рису електронного підпису, що робить її певною мірою несхожий з традиційним паперовим реквізитом або навіть з печаткою.
Як правило, автограф у людини в більшості випадків один для всіх документів. Те ж саме і з печаткою: вона, як правило, ставиться одна і та ж всюди - на паперах для податкової інспекції, на первинній документації, на контрактах з партнерами, в трудових книжках працівників і т. Д.
Настільки ж універсальної електронного підпису в Росії ще не розроблено. Теоретично вона, звичайно, може з'явитися, але для цього владою і підзвітні їм IT-структурами повинні бути створені якась програмне середовище і особливі апаратні компоненти, за допомогою яких будь-який громадянин або організація зуміють гарантовано перевірити справжність будь-чиєї підпису. Знадобляться, ймовірно, також деякі коригування в законодавстві. Але поки ця схема не реалізована.
Є в деякій мірі наближені до неї механізми - такі як, наприклад, оформлення громадянами Універсальної електронної карти. Даний інструмент об'єднує в собі платіжний засіб, а також ідентифікатор особистості - в тому числі і за допомогою ЕП, яку можна використовувати при взаємодії з органами влади.
Передача закритих ключів ЕП власником УЕК здійснюється за допомогою кардридера, а також програми "КріптоАРМ УЕК". Формально немає ніяких обмежень на типи підписуються громадянином документів - якщо, в свою чергу, одержувач зможе перевіряти їх за допомогою вказаного ПО (маючи, таким чином, в розпорядженні відкритий ключ). Але поки що відносно небагато організацій працюють з даною програмою.
Тому для кожної сфери електронного документообігу - взаємодії громадян і організацій з контрагентами, банками, держструктурами й іншими суб'єктами правовідносин - повинна бути окрема ЕП.
Вище ми відзначили, що в якості класичної електронного підпису в РФ розглядається та, що передбачає криптографічне шифрування. Ми також визначили, що підприємства бажають дане властивість ЕП бачити доповненим "квалифицированностью" і задовольнити подібні запити ринку готові спеціалізовані засвідчують центри. Саме там оформляються ЕП.
Слід підкреслити, що створити електронний підпис онлайн (якщо говорити про її посиленою кваліфікованої різновиди) законодавство поки що не дозволяє. У будь-якому випадку потрібно йти в один з УЦ і при цьому мати при собі необхідні документи.
Засвідчує центр - це зазвичай приватне підприємство, у якого є технічні можливості для видачі звертаються громадянам або організаціям електронних підписів, які відповідають вимогам закону. Тобто тих ЕП, які:
- дозволяють точно ідентифікувати відправника;
- ставляться при використанні спеціальних програм;
- надійно шифруються;
- легко перевіряються на предмет змін на шляху документа до одержувача;
- мають ключі, відповідні кваліфікаційним сертифікату.
Той чи інший вид ЕП буде адаптований до конкретної сфері документообігу.
В який засвідчує центр для отримання кваліфікованої електронного підпису потрібно йти? Перш за все, УЦ повинен бути в списку організацій, які отримали акредитацію від Мінзв'язку. Координати таких центрів, що засвідчують тут - http://minsvyaz.ru/uploaded/files/perechenauz-new.xls. Можна відзначити, що функцію УЦ в процесі видачі громадянам УЕК найчастіше виконують багатофункціональні центри з надання державних послуг.
Знайшовши найближчий акредитований УЦ, слід зателефонувати туди і запитати - виготовляє він електронні підписи для тих сфер активностей, в яких підприємство здійснює документообіг. Це може бути, наприклад, відправка звітності в податкову, участь в торгах або взаємодія з контрагентами.
Які документи потрібно надати в засвідчує центр для отримання ЕП? Це залежить від юридичного статусу звертається особи. Якщо це організація, то фахівці УЦ попросять:
- свіжу виписку з ЕГРЮЛ;
- свідоцтва про держреєстрацію юрособи, про постановку на облік в ФНС.
Якщо ЕП оформляється на керівника, то також знадобиться копія наказу про його призначення на посаду, якщо на співробітника - копія відповідного документа про прийом на роботу, при необхідності - довіреність від роботодавця. В обох випадках будуть потрібні паспорти і СНІЛС посадових осіб.
Якщо електронний підпис оформляє індивідуальний підприємець, то йому потрібно буде надати в УЦ:
- свіжу виписку з ЕГРІП;
- свідоцтва про держреєстрацію як ІП, про постановку на облік в ФНС;
- паспорт;
- СНІЛС.
Якщо заявник - фізособа, то йому необхідно надати в засвідчує центр паспорт, СНІЛС, а також свідоцтво з ІПН.
Зазвичай робота УЦ передбачає особливих формальностей, і зазначених документів в більшості випадків достатньо. Але окремі засвідчують центри іноді просять додаткові документи, тому слід заздалегідь уточнювати, що саме готувати для оформлення електронного підпису.