Brza informatizacija različitih sfera života moderne osobe određuje poboljšanje pravnog sustava država. Dakle, pojam elektronskog potpisa bio je sadržan u ruskom zakonu. U mnogim slučajevima to može biti potpuni analogan uobičajenom, "papiru". Kako stvoriti elektronički potpis koji udovoljava svim zakonskim zahtjevima?
Sadržaj članka
- Bit elektronskog potpisa
- Zakonski zahtjevi za elektronički potpis
- Kako doći do elektroničkog potpisa?
Ovo je pitanje zanimljivo u sljedećim aspektima:
- proučavanje suštine elektroničkog potpisa, njegove tehnološke strukture;
- razmatranje zahtjeva za relevantne pojedinosti sadržane u zakonodavstvu Ruske Federacije;
- dobivanje elektroničkog potpisa u praksi.
Okrenimo se svakoj označenoj stavci.
Bit elektronskog potpisa
Pojam elektroničkog potpisa može se protumačiti na različite načine. Razmotrite opciju sadržanu u glavnom ruskom pravnom aktu koji regulira uporabu odgovarajućeg potrebnog zahtjeva - Savezni zakon br. 63 „O elektroničkom potpisu“. Zakon kaže da taj pojam treba shvatiti kao informaciju u digitalnom obliku, koja je priložena drugom (potpisanom) ili na jedan ili drugi način povezana s njim i koja se koristi za identifikaciju osobe koja na dokumentu postavi relevantne detalje.
Ova je definicija Europskog parlamenta u zakonodavstvu prilično nejasna. No, odvjetnicima su omogućene neke dodatne odredbe saveznog zakona br. 63 sadržane u odjeljku 5. Zakona. Na njihovoj je osnovi u ruskom pravnom okruženju razvijeno nekoliko pristupa tumačenju koncepta elektroničkog potpisa. Pod takvim rekvizitima, vjeruju stručnjaci, možemo razumjeti:
oglas- jedinstveni digitalni kod smješten u dokumentu ili s njim izravno povezan, a koji ga može postaviti samo vlasnik elektroničkog potpisa;
- kanal (mehanizam) za prijenos datoteke koji samo određena osoba može koristiti zbog prisutnosti elektroničkog potpisa (u pravilu je to e-pošta, a lozinka zapravo djeluje kao elektronički potpis);
- digitalnu kopiju uobičajenog potpisa hemijskom olovkom (drugim riječima, "skeniranje"), stavljenu unutar dokumenta ili priloženu uz nju - na primjer, pisanjem datoteka u jednu arhivu.
O kojim konkretnim odredbama članka 5 saveznog zakona br. 63 govorimo? Dakle, u razmatranom dijelu zakona elektronički se potpisi klasificiraju u dvije vrste: jednostavne i poboljšane (u vezi s drugim zakonom definirane su i dvije podvrste elektroničkog potpisa - kvalificirani i nekvalificirani).
Kao jednostavan ES, može se koristiti, kako je navedeno u saveznom zakonu koji se pregledava, „kod, lozinku ili druga sredstva”. Što to znači? Pravnici tumače riječi "kod, lozinka" kao odgovarajući identifikator prilikom slanja e-mail poruka (ponekad kao lozinka za arhivu), "druga sredstva" kao "skeniranje" uobičajenog potpisa.
Zauzvrat, poboljšani elektronički potpis treba shvatiti kao vrlo jedinstveni digitalni kod smješten u dokumentu ili priložen uz njega. Zapravo, ova je interpretacija koncepta koji se razmatra vjerojatno najčešća u IT zajednici, kao iu civilnom okruženju u cjelini. E-pošta, arhive i "skeniranja" (koja su svima poznata i koriste se dugi niz godina) nekako nisu baš povezana s ljudima s tako visokotehnološkim, nekad nedostupnim običnim osobama kao rekvizitima elektronskim potpisom. Iako po zakonu mogu biti sorte EP-a.
Ali ovdje primjećujemo da zakonodavac zauzima prilično čvrst stav, odgovarajuće vrste šifriranja rangirajući kao "jednostavan elektronički potpis". To jest, programerima saveznog zakona br. 63 bilo je očito da građanin koji „potpisuje“ dokumente i koristi slične vrste elektroničkog potpisa ne može uvijek biti jednoznačno identificiran. E-mail u načelu može poslati svima koji znaju lozinku iz elektroničkog poštanskog sandučića. Isto je i s arhivom. "Skeniranje" uobičajenog potpisa može se lako lažirati u Photoshopu.
Druga je stvar ako se koristi pojačani EP. Koje su njegove karakteristike??
Ključni je element "pojačanja" odgovarajuće vrste elektroničkog potpisa. Doslovno, ovo je vrlo jedinstveni digitalni kod. Ako njegovu suštinu tumačimo malo šire - ovo je kombinacija softvera i hardvera za stavljanje ovog koda u dokument (ili u datoteku koja je uz njega priložena).
Jasno je da bi ključ (u značenju "koda") trebao svaki put biti drugačiji, inače će primatelj dokumenta nakon što ga vidi i kopirati moći kasnije "potpisati" za drugu osobu. Stoga ključ (u značenju "softver i hardver") svaki put generira novi slijed brojeva. Postavlja se pitanje - kako osigurati da ga poseban pošiljalac doda dokumentu?
Vrlo je jednostavno - također koristeći ključ (ovaj put u nedvosmislenoj interpretaciji - kao "softver i hardver"), ali samo još jedan - dizajniran za provjeru elektroničkog potpisa. Algoritmi za provjeru ključeva (u značenju "kod") zapisani na dokumentima s bazom podataka vlasnika ES-a propisani su u njemu. Ako je odgovarajući niz znamenki prepoznat kao ispravan, a ključ (u značenju "softver i hardver") koji ga je stvorio ima službenog vlasnika, tada će potpis biti definiran kao tačan i stavljen na određenog građanina.
Ključ namijenjen za postavljanje „koda“ na dokument (ponekad se naziva privatnim) uvijek bi trebao čuvati vlasnik elektroničkog potpisa. On je njegovo "nalivpero". Ključ za provjeru elektroničkog potpisa (koji se također naziva otvorenim) šalje se unaprijed primatelju kako bi na primljenim dokumentima mogao provjeriti autentičnost elektroničkog potpisa..
Ova je shema mnogo pouzdanija od slanja datoteka e-poštom, u arhivima sa lozinkama ili s "skeniranjem" redovitog potpisa. Samo osoba u čije će ruke privatni ključ moći postaviti odgovarajuće rekvizite. U pravilu se radi o mehanizmu za šifriranje hardvera koji se implementira u obliku elektroničke ključeve tipa eToken. Šifre koje generira gotovo je nemoguće krivotvoriti, a sam eToken je vrlo teško kopirati - i pomoću daljinskog presretanja šifri, i ako haker ima original u rukama.
Vlasnik elektronskog potpisa i vlasnik javnog ključa uvijek je ista osoba ili organizacija. Ali ta činjenica - pravni odnos subjekta pravnih odnosa s ključem za ovjeru istovremeno i elektroničkim potpisom - u nekim slučajevima zahtijeva dokumentarni dokaz pomoću posebne potvrde. Ovo može biti izvor papira, koji pokazuje detalje osobe ili organizacije koja je izdala elektronički potpis. Ali najčešće je to elektronički dokument, podaci iz kojih se program, koji je uključen u strukturu ključa za provjeru, automatski čita..
Potvrda mora biti valjana - u smislu i statusu. Taj se dokument izdaje vlasniku elektroničkog potpisa, obično na godinu dana. Ako se ne obnovi, steći će status otkazanog, zbog čega će se izgubiti pravna veza između osobe koja potpisuje elektroničke dokumente i ključa za provjeru. ES postaje nevažeći. Status otkazane potvrde može se dobiti i na zahtjev svog vlasnika. Na primjer, ako građanin izgubi eToken.
Ako primatelj elektroničkog dokumenta - čak i ako je primatelj upoznat s njim i više puta je od njega primio datoteke - vidi da je certifikat opozvan (program uključen u strukturu ključa za provjeru obično prikazuje obavijesti o tome), u nekim slučajevima nema pravo priznati Elektronički potpis pričvršćen na dokument je originalan (pravno ekvivalentan odgovarajućem rekordnom papiru).
Zakonodavac omogućuje građanima i organizacijama da koriste jednostavan elektronički potpis po vlastitom nahođenju, pretpostavljajući svoju spremnost da preuzmu odgovornost za moguće incidente. Međutim, u radu s "ozbiljnim" strukturama - posebno državnim tijelima - potreban je poboljšani elektronički potpis. Vrlo je poželjno da ona bude "kvalificirana". Zašto i što je ovaj atribut?
do sadržaja ↑Zakonski zahtjevi za elektronički potpis
Glavni kriterij za poboljšani elektronički potpis je da on nedvosmisleno omogućava utvrđivanje identiteta osobe koja je potpisala ovaj ili onaj dokument. Mehanizmi pomoću kojih se provodi ovaj postupak smo razmotrili gore. Zakonodavstvo određuje da u njihovoj strukturi trebaju biti sljedeće komponente:
- korištenje šifriranja ("konverzija kriptografskih informacija" - podstavak 1. stavka 3. člana 5. Federalnog zakona br. 63);
- obrada dokumenta posebnim programom ("korištenjem sredstava za elektronički potpis" - podstavak 4. stavka 3. člana 5. Federalnog zakona br. 63);
- korištenje mehanizama za provjeru dokumenta za promjene na putu do primatelja (podstavak 3. stavak 3. člana 5. Federalnog zakona br. 63).
Kada koristite ključeve - privatne i javne - svi su ti kriteriji ispunjeni.
Ako EP ispunjava navedene zahtjeve, tada će biti priznat kao pojačani nekvalificirani. Ovaj status elektroničkog potpisa sugerira da se u dokumentima u nekim slučajevima zakonski može izjednačiti s odgovarajućim atributom „papir“. Međutim, ako elektronički potpis primi znak "kvalifikacije", onda je njegovo stavljanje u svim slučajevima pravno ekvivalentno običnom autografu i pečatu organizacije.
Dakle, odgovarajuću vrstu ES-a zakonodavac smatra najzaštićenijom. Pored specificiranih kriterija za nekvalificirani potpis, mora biti u skladu s takvim znakovima kao što su:
- naznaka ključa za potvrdu ES-a u certifikatu;
- koristiti kao program za obradu dokumenata samo ona sredstva koja ispunjavaju zahtjeve saveznog zakona br. 63.
Dakle, potvrda koju smo gore spomenuli jedan je od glavnih kriterija za "kvalifikaciju" elektroničkog potpisa. Ako je valjan, elektronički će potpis biti u potpunosti prepoznat kao pravno identičan odgovarajućim papirnatim rekvizitima..
Ali važno je da je ispunjen jedan uvjet. Potrebnu potvrdu (zajedno s ostalim komponentama elektroničkog potpisa) izdaju samo specijalizirane organizacije - certifikacijska tijela koja su akreditirana od strane države. Mnoge tvrtke teže dobiti upravo najkvalificiraniji ES - kao najsigurniji, i okreću se uglavnom samo tim strukturama. Razmotrimo detaljnije specifičnosti interakcije građana i organizacija s certifikacijskim centrima koji izdaju elektronički potpis.
do sadržaja ↑Kako doći do elektroničkog potpisa?
Kada govorimo o mehanizmima za dobivanje elektroničkog potpisa, treba imati na umu jednu važnu nijansu, ili bolje rečeno, karakterističnu značajku elektroničkog potpisa, zbog čega je nešto drugačija od tradicionalnih papirnatih rekvizita ili čak ispisa.
U pravilu, autogram osobe u većini slučajeva je isti za sve dokumente. Isto je i s pečatom: u pravilu se svugdje isti stavlja - na papire za porezni ured, na primarnu dokumentaciju, na ugovore s partnerima, u radne knjižice radnika itd..
Jednako univerzalni elektronički potpisi u Rusiji još nisu razvijeni. Teoretski se to može, naravno, činiti, ali za to vlasti i IT strukture koje o njima izvještavaju moraju stvoriti određeno softversko okruženje i posebne hardverske komponente, uz pomoć kojih će svaki građanin ili organizacija moći jamčiti provjeru autentičnosti nečijeg potpisa. Vjerojatno će zahtijevati i neka zakonodavna prilagođavanja. No, dok se ova shema ne provodi.
Postoje neki mehanizmi u blizini, kao što je, na primjer, izdavanje univerzalne elektroničke kartice od strane građana. Ovaj alat kombinira način plaćanja, kao i identifikator pojedinca - uključujući i elektronički potpis, koji se može koristiti u interakciji s vlastima.
Prijenos privatnih ključeva elektroničkog potpisa od strane vlasnika UEC-a vrši se pomoću čitača kartica, kao i CryptoARM UEC programa. Formalno nema ograničenja za vrste dokumenata koje potpisuje građanin - ako ih, pak, primatelj može provjeriti pomoću određenog softvera (na taj način mu mora biti dostupan javni ključ). Ali dok relativno malo organizacija radi s ovim programom.
Stoga bi za svako područje elektroničkog upravljanja dokumentima - interakcija građana i organizacija sa strankama, bankama, vladinim agencijama i drugim subjektima pravnih odnosa - trebao postojati poseban elektronički potpis.
Gore smo napomenuli da se kao klasični elektronički potpis u Ruskoj Federaciji smatra onaj koji pruža kriptografsko šifriranje. Također smo utvrdili da poduzeća žele vidjeti ovo svojstvo ES-a dopunjeno kvalifikacijama i specijalizirani certifikacijski centri spremni su ispuniti slične zahtjeve tržišta. Tamo je ES.
Treba naglasiti da zakonodavstvo još ne dopušta stvaranje elektroničkog potpisa na mreži (ako govorimo o njegovoj poboljšanoj kvalificiranoj raznolikosti). U svakom slučaju, morate otići u jedan od CA i istovremeno imati potrebne dokumente sa sobom.
Tijelo za ovjeravanje obično je privatno poduzeće koje ima tehničke mogućnosti za izdavanje elektroničkog potpisa građanima ili organizacijama koje ispunjavaju zakonske zahtjeve. To su oni EP-ovi koji:
- omogućuju vam da točno identificirate pošiljatelja;
- postaviti kad koristite posebne programe;
- sigurno šifrirano;
- lako se provjerava o promjenama u načinu dokumenta prema primatelju;
- imati ključeve koji odgovaraju potvrdi o kvalifikaciji.
Jedna ili druga vrsta elektroničkog potpisa prilagodit će se određenom području tijeka rada.
Koji je certifikacijski centar potreban da bih mogao dobiti kvalificirani elektronički potpis? Prije svega, CA bi trebao biti na popisu organizacija koje su dobile akreditaciju od Ministarstva komunikacija. Koordinate takvih certifikacijskih centara nalaze se ovdje - http://minsvyaz.ru/uploaded/files/perechenauz-new.xls. Može se primijetiti da funkciju nadležnog tijela u procesu izdavanja građana UEC-a najčešće obavljaju višenamjenski centri za pružanje javnih usluga.
Nakon pronalaska najbližeg akreditiranog službenika službe, trebate nazvati tamo i pitati da li proizvodi elektronički potpis za ona područja djelovanja u kojima tvrtka obavlja upravljanje dokumentima. To može biti, na primjer, slanje poreznih izvještaja, licitiranje ili interakcija s drugim stranama.
Koje dokumente je potrebno dostaviti certifikacijskom centru za dobivanje elektroničkog potpisa? To ovisi o pravnom statusu podnositelja zahtjeva. Ako je ovo organizacija, tada će stručnjaci CA zatražiti:
- svježi izvadak iz registra;
- potvrda o državnoj registraciji pravnih osoba, registracija kod Federalne porezne službe.
Ako je EP sastavljen za voditelja, tada će vam trebati i kopija naloga o njegovom imenovanju na radno mjesto, ako je za zaposlenika - kopija odgovarajućeg dokumenta o zaposlenju, ako je potrebno - punomoć poslodavca. U oba slučaja bit će potrebne putovnice i SNILS službenika.
Ako pojedinačni poduzetnik sastavi elektronički potpis, morat će mu dostaviti CA:
- svježi ekstrakt iz USRIP-a;
- potvrde o državnoj registraciji kao IP-a, o registraciji kod Savezne porezne službe;
- putovnica;
- snils.
Ako je podnositelj zahtjeva pojedinac, tada mu treba dostaviti putovnicu, SNILS, kao i potvrdu s TIN-om certifikacijskom centru.
Rad OO obično ne podrazumijeva posebne formalnosti, a ti dokumenti su u većini slučajeva dovoljni. No, neka tijela za ovjeravanje ponekad traže dodatne dokumente, pa biste trebali unaprijed odrediti što točno pripremiti za izdavanje elektroničkog potpisa.
