Оперативные новости и аналитические материалы мира высоких технологий
Статья

Криптозащита и ЭЦП в СЭД: нужно учесть все нюансы

Документооборот
мобильная версия

С каждым днем все больше компаний из различных отраслей внедряют системы электронного документооборота. При этом огромное значение для любого бизнеса имеют гарантии достоверности данных, сохранение конфиденциальности информации и ее надежное хранение. Для обеспечения этого используются современные методы шифрования и ЭЦП. Каковы особенности применения данных технологий в современной СЭД?

Переход на безбумажный документооборот становится актуальным для большинства российских компаний, ведь внедрение СЭД позволяет не только увеличить скорость работы с документами, но и существенно повысить управляемость процессов, а также возможность получения информации для их оптимизации. Еще большего увеличения скорости реализации бизнес-процессов можно достичь при применении электронного варианта межорганизационного документооборота. При этом важнейшим фактором успешного внедрения СЭД является обеспечение доверия пользователей к достоверности данных, хранящихся в системе и передаваемых между отдельными организациями. Это касается как содержимого документов и гарантии их неизменности (как известно, электронные документы гораздо проще подделать), так и гарантии факта выполнения тех или иных действий с документами конкретными пользователями (заверяемыми в бумажном документообороте личной подписью ответственного лица и оттиском печати). Также важно гарантировать надежное хранение конфиденциальных документов и исключить копирование их содержимого кем бы то ни было, в частности администраторами системы.

Данные задачи успешно решаются с помощью шифрования и электронной цифровой подписи.

При разработке системы корпоративного документооборота DocsVision и, по мере получения опыта в ходе разнообразных внедрений системы, мы столкнулись с тем, что контексты применения шифрования и электронной цифровой подписи весьма разнообразны, при их использовании необходимо учитывать различные нюансы и специфические особенности их применения. В данной статье мы проведем краткий анализ этих нюансов и особенностей использования данных технологий в современной корпоративной СЭД.

При рассмотрении крипто-технологий в СЭД необходимо разделить юридический и технологический аспекты и говорить о них по отдельности.

Технологический аспект

Основы использования криптозащиты в достаточной степени изложены в открытых источниках, поэтому описание азов мы опустим и перейдем к специфике использования данных технологий в контексте СЭД.

Инфраструктура криптозащиты требуется для различных подсистем корпоративной ИС: электронной почты, корпоративного портала, Supply Chain Management системы и других. Поэтому логично использовать для этих подсистем единую инфраструктуру, которую принято называть PKI (Public Key Infrastructure). Она включает в себя несколько компонентов. В первую очередь, это наличие на рабочих местах пользователя программного обеспечения, обеспечивающего возможность выполнять базовые функции – шифрование и дешифрование данных, наложение ЭЦП и ее верификацию. Кроме того, это система генерации закрытых ключей для пользователей системы, а также система распространения открытых ключей пользователей, включенных в контур обмена для пользователей системы (это могут быть как внутрикорпоративные пользователи, так и внешние контрагенты, доверие к открытым ключам которых гарантировано тем или иным способом). Помимо всего прочего, туда входят средства проверки актуальности текущих открытых ключей контрагентов, такие как проверка на устаревание и наличие в списках отзыва.

Перечисленные требования для обеспечения инфраструктуры PKI являются минимальными. Так, они позволяют гарантировать решение вышеперечисленных задач, но уже не соответствуют современным условиям, включающим в себя сервисы распространения и заверения подлинности сертификатов открытых ключей (удостоверяющие центры), каталог для централизованного хранения сертификатов контрагентов и обеспечение онлайн-доступа к нему, поддержку онлайнового протокола проверки валидности сертификатов (OCSP), средства проверки гарантии времени наложения ЭЦП и пр.

В случае необходимости соответствия PKI инфраструктуры требованиям федерального закона об ЭЦП потребуется внедрение программного обеспечения, сертифицированного государственными органами. Сертифицирован должен быть и удостоверяющий центр, выдающий сертификат. Внедрение подобной инфраструктуры в полном объеме может потребовать существенных финансовых и организационных затрат, что доступно далеко не всем организациям. Поэтому необходимо четко соразмерить потребности вашей организации в степени использования средств криптографической защиты (см. следующий раздел, посвященный юридическим аспектам использования криптозащиты) и подобрать оптимальное технологическое обеспечение.

Юридическая сторона

Юридические аспекты использования ЭЦП зависят от потребностей организации в юридически значимых формах обмена электронными документами. Отечественное законодательство пока очень слабо регулирует правила обработки электронных документов, фактически все сводится к 2 ключевым законодательным актам. Первый из них - гражданский кодекс, в котором имеются две важные статьи – 434 о форме договора и 160 о письменной форме сделки.

Гражданский кодекс РФ. Выдержки

  • Статья 434. Форма договора. Договор может быть заключен в любой форме, предусмотренной для совершения сделок, если законом для договоров данного вида не установлена определенная форма. Если стороны договорились заключить договор в определенной форме, то он считается заключенным после придания ему условленной формы, хотя законом для договоров данного вида такая форма не требовалась;
  • Статья 160. Письменная форма сделки. Использование при совершении сделок факсимильного воспроизведения подписи с помощью средств механического или иного копирования, электронно-цифровой подписи, либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренном законом, иными правовыми актами или соглашением сторон.

Вторым документом, регулирующим обмен электронными документами, является федеральный закон "Об электронной цифровой подписи" от 10 января 2002 г. N1-ФЗ, в котором ЭЦП электронного документа приравнивается к обычной ручной подписи под документом и фактически устанавливает его юридический статус. При этом данный закон формулирует требования к средствам организации инфраструктуры ЭЦП, включая PKI.

Таким образом, полную юридическую значимость может иметь только цифровая подпись, полученная с помощью соответствующей требованиям ФЗ PKI-инфраструктуры, а также отвечающая требованиям ФЗ, предъявляемым к самой подписи. Любые другие способы применения криптографических технологий, в частности, электронной подписи, не соответствующие требованиям ФЗ, с точки зрения законодательства могут рассматриваться как один из видов Аналога Собственноручной Подписи (АСП), наряду с факсимиле. Поэтому ее применение зависит только от соглашения сторон относительно данного вида подтверждения юридической значимости документов.

Из этого следует вывод: ЭЦП с полной юридической значимостью, соответствующая требованиям федерального закона, необходима для подтверждения юридической значимости электронного документа в случае обмена с контрагентами, выдвигающими соответствующие требования. Например, при подаче налоговой отчетности в электронном виде, обмене электронными счетами фактурами (планируется в ближайшее время Минфином РФ) или информацией с произвольной организацией (назовем это контекстом открытого рынка).

Если с конкретным контрагентом установлены договорные отношения, включающие соответствующие договоренности, то вместо юридически значимой ЭЦП может быть использован тот или иной способ организации АСП, например, посредством технологии ЭЦП, не соответствующей требованиям федерального закона.

Таким образом реализуются обмен электронными документами в большинстве систем "клиент-банк" или взаимодействие между клиентами и платежными системами. Можно заключить подобные соглашения с ключевыми контрагентами, но при этом необходимо будет договориться о формате используемой ЭЦП (например, стандартных средств Crypto API, входящих в состав операционной системы Windows или системы PGP), наладить канал доверительного обмена открытыми ключами пользователей, например, с использованием публичного сервиса удостоверяющего центра, такого как Verysign (таким способом может быть и простая очная передача ключа вашему контрагенту), и вступить с ними в отношения электронного документооборота. Надо только не забыть грамотно оформить соответствующую договорную базу, чтобы при возникновении конфликтов электронные документы были приняты к рассмотрению в соответствующих инстанциях.

Обмен электронными документами не ограничивается наличием ЭЦП - необходимо также договориться о форматах электронных документов. Для большей эффективности интеграции электронных документов в ИС компании нужно "выровнять" справочное пространство с контрагентами, договориться о каналах гарантированной доставки, форматах электронных квитанций о доставке и регистрации документов и т.д.