Проблемы использования электронной цифровой подписи
(Филенко Е. Н.) («Трудовое право», 2007, N 11)
ПРОБЛЕМЫ ИСПОЛЬЗОВАНИЯ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ
Е. Н. ФИЛЕНКО
Филенко Е. Н., РГГУ.
В современном, оснащенном компьютерами предприятии документы создаются и перемещаются в электронном виде, при этом необходимость подписания документов остается. Ведь сам по себе перевод документов в другую форму не изменяет сложившихся методов управления организацией. Федеральный закон «Об информации, информационных технологиях и о защите информации» дает определение, какой документ признается электронным: «Электронное сообщение, подписанное электронно-цифровой подписью или аналогом собственноручной подписи, признается электронным документом, равнозначным документу, подписанному собственноручной подписью, в случаях если федеральными законами или иными нормативно-правовыми актами не устанавливается или не подразумевается требование о составлении такого документа на бумажном носителе» <1>. Главным атрибутом электронного документа, подтверждающим его подлинность, является электронная цифровая подпись. ——————————— <1> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 31.07.2006. N 31 (ч. 1). Ст. 3448.
В принятом в 2002 г. Законе «Об электронной цифровой подписи» <2> под электронной цифровой подписью понимается «реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе». В этом Законе впервые в российском законодательстве предпринята попытка отказаться от реквизита «печать», заменив его определенным видом подписи, приемлемой для данного носителя, в частности электронной цифровой подписью. Такая подпись в соответствии с Законом обладает уже свойствами двух реквизитов: «подпись» и «печать» <3>. Это соответствует отмеченной специалистами тенденции к слиянию в будущем реквизитов «подпись» и «печать» в один, который станет универсальным средством идентификации как документа, так и личности. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий: ——————————— <2> Федеральный закон «Об электронной цифровой подписи» // Собрание законодательства Российской Федерации. 2002. N 2. Ст. 127. <3> Кукарина Ю. М. Формирование понятий «электронный документ» и «электронная цифровая подпись» в законодательных и нормативно-методических актах Российской Федерации // Делопроизводство. 2003. N 1. С. 50.
— сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силы (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания; — подтверждена подлинность электронной цифровой подписи в электронном документе; — электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. Поскольку ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, она жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь имеет возможность изготовить пару индивидуальных ключей: секретного — для формирования цифрового аналога подписи под документом и парного с ним, открытого — для проверки достоверности цифровых подписей, вычисленных с помощью данного конкретного ключа. Принадлежность секретного ключа ЭЦП определенному лицу удостоверяется сертификатом, выдаваемым удостоверяющим центром. Каждый участник информационной системы может владеть любым количеством сертификатов. Однако электронный документ с ЭЦП имеет юридическую силу лишь в рамках отношений, указанных в сертификате ключа подписи. Ключи электронных цифровых подписей создаются для использования: — в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром; — в корпоративной информационной системе в порядке, установленном в этой системе. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи. В настоящее время вопросами удостоверяющих центров занимается Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи. Как сказано в Законе «Об ЭЦП», «требования, предъявляемые к материальным и финансовым возможностям удостоверяющих центров, определяются Правительством РФ по представлению уполномоченного федерального органа исполнительной власти». Уполномоченный федеральный орган исполнительной власти ведет Единый государственный реестр сертификатов ключей подписи самих удостоверяющих центров, обеспечивает свободный доступ к этому Реестру и выдает сертификаты ключей подписей уполномоченным лицам удостоверяющих центров. Этими подписями заверяются сертификаты, выдаваемые участникам информационных систем общего пользования. ЭЦП может применяться для подписания государственных документов, принимаемых федеральными органами. При наличии необходимых сертификатов она может заменять подпись или печать должностного лица, представляющего госорган. Применима она и для документов корпоративных информационных систем, которые в вопросе использования ЭЦП достаточно независимы от внешних организаций: порядок использования ЭЦП в такой системе устанавливается решением ее владельца или соглашением ее участников. Ими же определяются содержание информации в сертификатах, порядок ведения их реестра и хранения аннулированных сертификатов, случаи утраты сертификатами юридической силы. Таким образом, в отличие от использования ЭЦП в сфере государственного и муниципального управления, где Закон жестко определяет схему использования ЭЦП, лишая возможности федеральные органы исполнительной власти самим образовывать удостоверяющие центры в ведомственных интересах или использовать иные схемы организации электронного документооборота, в отношении корпоративных информационных систем проявляется либеральность Закона. Это вполне обоснованно для сферы бизнеса, но в случае необходимости судебной защиты возникающих отношений проблемой становится отсутствие в Законе правовых норм, касающихся судебной защиты прав участников корпоративной системы в случае нарушения их субъективных прав в рамках данного договора. Для реализации этой задачи необходимо было бы предусмотреть в тексте Закона некоторый комплекс существенных условий такого договора, как это установлено в ГК РФ <4>. Так, статья 160 Гражданского кодекса РФ допускает возможность использования ЭЦП и других аналогов собственноручной подписи при заключении и совершении гражданско-правовых письменных сделок «в случаях и в порядке, которое предусмотрены законом, иными правовыми актами или соглашением сторон». ——————————— <4> Гражданский кодекс РФ (части I, II, III). М.: Проспект, 2002. Статья 160.
В настоящее время в ряде субъектов России созданы и функционируют удостоверяющие центры. В основном их деятельность направлена на обеспечение работы системы обмена электронными версиями налоговой и финансовой отчетности по открытым каналам связи между территориальными инспекциями по налогам и сборам и налогоплательщиками. В оперативной деятельности организации, использующие ЭЦП, получают ряд преимуществ, связанных с представлением финансовой отчетности в налоговые органы. Среди них следующие: — экономия времени (в связи с отсутствием необходимости поездок в налоговую инспекцию); — правильность заполнения бланков отчетности; — возможность оперативного изменения форм отчетности в АРМ налогоплательщика в связи с изменением законодательства; — возможность отсылать неформализованные документы (справки и т. д.). Этими преимуществами применения ЭЦП для передачи финансовой отчетности банковская сфера пользуется уже более 10 лет. Еще до принятия Закона об ЭЦП Центральный банк начал использовать ЭЦП в банковской системе на основании своих внутренних нормативных документов. В июне 2000 г. указанием N 812-У «О порядке представления кредитными организациями в Банк России в электронном виде отчетности» был определен порядок использования ЭЦП для передачи отчетности кредитных организаций, вплоть до годовой, в Банк России. Этим же указанием определялся порядок хранения и уничтожения отчетности, переданной в электронном виде. Например, по состоянию на 29 декабря 2004 г. Московское ГТУ Банка России в соответствии с требованиями указания Банка России N 812-У <5> разрешало представлять в электронном виде 43 формы отчетности, подписывая их электронно-цифровой подписью <6>. ——————————— <5> О порядке представления кредитными организациями в Банк России в электронном виде отчетности, предусмотренной указанием Банка России от 24 октября 1997 г. N 7-У «О порядке составления и представления отчетности кредитными организациями в Центральный банк Российской Федерации», заверенной электронной цифровой подписью: указание ЦБ РФ от 30 июня 2000 г. N 812-У // Бизнес и банки. 2000. N 30. С. 5 — 8. <6> Храмцовская Н. А. Проблемы использования ЭЦП в оперативной работе организации // Делопроизводство и документооборот на предприятии. 2005. N 6 // http://eos. ru/.
В Приказе Министерства по налогам и сборам от 2 апреля 2002 г. N БГ-3-32/169 «Об утверждении Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи» <7> регламентируются условия передачи налоговых документов с ЭЦП. При представлении налоговой декларации в электронном виде налогоплательщик не обязан представлять ее в налоговый орган на бумажном носителе. С 2002 г. постепенно во всех регионах страны все больше и больше организаций переходит на эту форму сдачи отчетности. ——————————— <7> Приказ Министерства по налогам и сборам от 2 апреля 2002 г. N БГ-3-32/169 «Об утверждении Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи», зарегистрирован Минюстом России 16 мая 2002 г. N 3437 // Российская газета. N 89. 2002. 22 мая.
Для обеспечения работы системы приема, хранения и первичной обработки документов, налоговых деклараций и бухгалтерской отчетности, поступающих от налогоплательщиков в налоговые органы в электронном виде с использованием ЭЦП, Федеральная налоговая служба РФ утвердила Приказ «Об организации сети доверенных удостоверяющих центров» <8>. В нем определены основные принципы и процедуры организации и развития сети доверенных удостоверяющих центров Федеральной налоговой службы в целях расширения функциональности и сервисов, предоставляемых налогоплательщику в системе юридически значимого электронного документооборота (обмена информацией) между налоговыми органами и хозяйствующими субъектами с обеспечением требуемого уровня качества и надежности. Часть 4 статьи 11 ФЗ «Об информации, информационных технологиях и о защите информации» <9> определяет, что считается обменом документов при заключении гражданско-правовых договоров или оформлении иных правоотношений, если лица используют для этого электронные сообщения, подписанные ЭЦП или иным аналогом собственноручной подписи отправителя такого сообщения. ——————————— <8> Приказ Министерства по налогам и сборам РФ от 13 июня 2006 г. N САЭ-3-27/346@ «Об организации сети доверенных удостоверяющих центров». <9> Федеральный закон от 27 июля 2006 г. N 149-ФЗ «Об информации, информационных технологиях и о защите информации» // Собрание законодательства РФ. 31.07.2006. N 31 (ч. 1). Ст. 3448.
Также в отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз <10>. ——————————— <10> Истомина Е. С. Жизнь с ЭЦП // Directum. 05.2004. www. directum. ru.
Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны и аутентичность документа придется доказывать иначе, например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность <11>. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании, поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф <12>. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте. ——————————— <11> Храмцовская Н. А. Использование ЭЦП: проблемы и пути их решения // Финансовая газета. 2005. 11 марта. <12> Новиков В. Ключ без права передачи // Имеешь право. N 22(75). 2006. 18 июня. С. 13.
Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований. Например, в Методических рекомендациях об организации и функционировании системы представления налоговых деклараций и бухгалтерской отчетности в электронном виде по телекоммуникационным каналам связи (утвержденных Приказом МНС России от 10 декабря 2002 г. N БГ-3-32/705) содержатся пункты, обязывающие владельцев ЭЦП организовать надежное хранение сертификатов подписи и ключей. В договорах, которые организации заключают с государственными органами на предмет представления отчетности и других документов по электронным каналам связи, появляются пункты, устанавливающие правила хранения электронных документов и ответственность сторон за их сохранность. В случае несоблюдения этих правил при возникновении спорной ситуации организации будет сложно отстаивать свои интересы. В Соглашении об обмене электронными документами в системе электронного документооборота Пенсионного фонда указывается, что абонент системы принимает на себя следующие права и обязанности: не уничтожать и не модифицировать архивы открытых ключей электронной цифровой подписи, электронных документов (в том числе электронные квитанции и журналы). Стороны несут ответственность за целостность и достоверность своих электронных архивов. Таким образом, при сдаче отчетности в электронном виде с применением ЭЦП и в организации, и в Пенсионном фонде необходимо создавать электронный архив, который будет обеспечивать выполнение данных условий. Кроме этого, те организации, которые разработали внутренние правила работы и хранения электронных документов, имеют значительно больше шансов отстоять свои интересы в случае различного рода споров и разбирательств <13>. ——————————— <13> Храмцовская Н. А. Использование ЭЦП: проблемы и пути их решения // Финансовая газета. 2005. 11 марта.
Необходимо отметить, что создание документов, поддерживающих ЭЦП, — задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации <14>: ——————————— <14> Доллар Ч. Влияние информационных технологий на теорию и практику архивного дела // Машиночитаемые документы (прием на государственное хранение, создание специализированных архивов). Информационная записка. М., 1994. С. 10, 25 — 26.
— обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения; — сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов; — предотвращать неавторизованный физический доступ к помещению, где хранятся документы; — использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями; — мигрировать документы со старых носителей на новые каждые 10 лет; — контролировать отсутствие изменений в документах; — осуществлять перевод документов на технологически нейтральные форматы, такие, как XML и RTF; — ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов; — протоколировать все действия с документами. Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения. Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа. Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные. Уверенность в аутентичности документа может основываться на уверенности в качестве системы делопроизводства в организации — точно так же, как в случае традиционных бумажных архивов <15>. ——————————— <15> Храмцовская Н. А. Проблемы долговременного хранения документов, подписанных электронно-цифровой подписью или ее аналогами // Делопроизводство и документооборот на предприятии. 2005. N 7.
Несмотря на достаточно широкое применение ЭЦП в различных сферах деятельности, специалисты по информационным технологиям отмечают, что внедрение ЭЦП идет медленнее, чем ожидалось. И причиной этому служат не недостатки Закона «Об ЭЦП» (который не ограничивает использование данной технологии на основе двусторонних и многосторонних договоренностей), а ряд сдерживающих факторов. К ним относятся следующие: — сферу использования ЭЦП ограничивает то обстоятельство, что, несмотря на широкое внедрение информационных технологий, не предполагается переводить в электронный вид наиболее важные документы — документы на недвижимость, свидетельства о рождении и т. п.; — невостребованность технологии ЭЦП для документов электронной почты, так как применение этой технологии может привлечь нежелательное внимание со стороны хакеров, госслужб, борющихся с терроризмом, и т. п. <16>; ——————————— <16> Храмцовская Н. А. Проблемы использования ЭЦП в оперативной работе организации // Делопроизводство и документооборот на предприятии. 2005. N 6 // http://eos. ru/.
— проблемы, связанные с использованием ЭЦП, такие, как подделка ЭЦП, незаконное получение и использование сертификатов ЭЦП, передача ЭЦП другому лицу в нарушение установленных правил; — отсутствие необходимости применения ЭЦП в закрытых информационных системах, в которых высокий уровень защиты и контроля и так обеспечивается; — отсутствие необходимой инфраструктуры в виде удостоверяющих центров и центров сертификации <17>. ——————————— <17> Загнетко А. Несколько соображений о судьбе ЭЦП в России // Connect. 2005. N 5. С. 156.
Необходимо отметить, что ограничения в использовании ЭЦП в большей степени связаны с тем фактом, что юридически значимая документация организации оформляется в основном на бумажных носителях, и приходится сочетать электронный документооборот на стадии подготовки и согласования и бумажный на завершающем этапе оформления. Создание электронных документов, подлежащих длительному хранению, и проставление на них ЭЦП без одновременного создания их дубликата на бумаге неизбежно приводит к возникновению конфликтных ситуаций. Это обстоятельство, а также нормативно-методологическая нерешенность проблемы долговременного хранения электронных документов с ЭЦП заставляют руководителей организаций тщательно взвешивать все «за» и «против», перед тем как дать распоряжение хранить важные документы только в электронной форме. Таким образом, ЭЦП, как и любое другое средство автоматизации делопроизводственных процессов, способно принести немалую пользу при правильном использовании. Но в каждом конкретном случае необходимо анализировать выгоды от использования ЭЦП и риски, связанные с ее применением. Для успешной и эффективной работы в электронной среде организациям необходимо использовать весь имеющийся арсенал информационных технологий, в том числе и электронно-цифровую подпись.
——————————————————————