Проблемы обеспечения подлинности электронной цифровой подписи. Реферат Проблемы обеспечения подлинности электронной цифровой ин. Реферат по дисциплине Электронный документооборот
Скачать 34.95 Kb.
|
Министерство образования и науки Российской Федерации Стерлитамакский филиал федерального государственного бюджетного образовательного учреждения высшего образования «Башкирский государственный университет» Экономический факультет Кафедра бухгалтерского учета и аудита Реферат по дисциплине «Электронный документооборот» СИСТЕМЫ ЭЛЕКТРОННОГО ДОКУМЕНТООБОРОТА
СТЕРЛИТАМАК – 2020 Содержание Введение 3 1. Проблемы аутентичности электронных документов 4 2. Назначение и применение электронно-цифровой подписи 6 3. Правовые проблемы обеспечения подлинности электронной цифровой подписи 9 Заключение 16 Список источников и литературы 17 Введение В 2002 г. Постановлением Правительства РФ от 28 января 2002 г. № 65 была утверждена Федеральная целевая программа «Электронная Россия (2002 - 2010 годы)». Данная Программа стала важным шагом на пути развития электронного документооборота и электронной торговли в России. Принятие названной Программы стало возможным благодаря формированию законодательной базы в сфере электронного документооборота. И прежде всего следует отметить принятие Федерального закона от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее - Федеральный закон). Этот Федеральный закон, по оценкам специалистов, дает значительный стимул развитию всего высокотехнологического бизнеса в России. Информационные технологии, бурное развитие которых началось в 90-е годы, коренным образом изменили нашу жизнь. Темпы информатизации российского общества одни из самых высоких в мире. Уже сегодня большая часть оборота информации и документов осуществляется в электронном виде. Технология же электронной подписи способна еще более расширить возможности электронного документооборота, распространить его на все сферы общественной жизни. Технологии электронной цифровой подписи постепенно завоевывают признание во всем мире. Вместе с тем развитие возможностей электронной коммерции благоприятным образом скажется в целом на рынке российских информационных технологий, т.к. все проекты электронной коммерции, такие как Интернет-торговля, Интернет-банкинг, Интернет-провайдинг, являются крупными потребителями прикладного программного обеспечения, а его разработка создаст целую отрасль специализированных программно-технологических предприятий в России. Проблемы аутентичности электронных документов Со способами обмена электронными документами и методами обеспечения их долговременного хранения тесно связаны проблемы обеспечения их аутентичности. При обмене электронными документами по сетям надежным средством является применение электронной цифровой подписи (ЭЦП). Однако задачи обеспечения сохранности электронных документов в долговременной перспективе значительно модифицируют эту практику. ЭЦП реквизит электронного документа хотя и надежный, но крайне недолговечный: он рассчитан на пять, максимум, десять лет. Смена программной среды, устаревание со временем алгоритмов криптозащиты делают процедуру верификации ЭЦП невозможной или бесполезной. Наиболее приемлемым методом обеспечения аутентичности электронных документов при долговременном хранения (особенно заверенных ЭЦП) можно было бы считать применение эмуляторов или конверторов при их воспроизведении. Но подобная практика пока мало изучена. Проблемы здесь видятся как в ограниченном наборе этих программных средств, так и в возможных ошибках воспроизведения документов, которые могут возникать при эмуляции или конвертировании, что опять-таки негативно сказывается на доказательной силе электронных документов при долговременном хранении. Инкапсуляция вероятно самый перспективный способ. Именно способ решения проблемы аутентичности электронных документов видят в нем американские архивисты. Но он требует долговременной апробации и дальнейшего развития. Необходимость переформатирования электронных документов при долговременном хранении приводит к тому, что, по существу, появляется другой документ с измененными реквизитами и контрольными характеристиками: датой последнего сохранения, объемом, контрольной суммой, хэш-кодом, ЭЦП и т.п. Получается, что подлинник электронного документа будет не возможно прочитать и использовать, а его аутентичная копия не будет иметь юридической силы. Отмеченная проблема - обеспечение аутентичности электронных документов в долговременной перспективе - на сегодняшний день, пожалуй, самая острая и сложная. Четких рекомендаций как ее решить нет пока ни в нашей стране, ни за рубежом. Можно порекомендовать лишь одно: не стоит на этапе делопроизводства создавать, а затем хранить исключительно в электронном виде документы, предполагающие длительный срок хранения и серьезную ответственность сторон. Желательно одновременно создавать и хранить этот официальный документ также на бумажном носителе. В условиях нерешенности технологических проблем аутентификации электронной информации, на первое место выходит «старый дедовский метод»: удостоверение подлинности электронных документов при передаче их на внешних носителях в архив с помощью документа на бумаге Назначение и применение электронно-цифровой подписи По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП. Электронная подпись предназначена для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом. Использование электронной подписи позволяет осуществить: 1. Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему. 2. Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев. 3. Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом. 4. Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д. Согласно статье 5 Федерального закона № 63-ФЗ существуют следующие виды ЭП: Простая электронная подпись (ПЭП); Усиленная неквалифицированная электронная подпись (НЭП); Усиленная квалифицированная электронная подпись (КЭП). В соответствии с пунктом 1 статьи 6 №63-ФЗ информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Одной из проблем при использовании электронной подписи является возможность ее подделки. Задача защиты ключей от подмены решается с помощью сертификатов. В соответствии со статьей 14 №63-ФЗ сертификат позволяет удостоверить заключённые в нём данные о владельце и его открытый ключ подписью какого-либо доверенного лица. Существуют системы сертификатов двух типов: централизованные и децентрализованные. В децентрализованных системах путём перекрёстного подписывания сертификатов знакомых и доверенных людей каждым пользователем строится сеть доверия. В централизованных системах сертификатов используются центры сертификации, поддерживаемые доверенными организациями. Согласно статье 13 № 63-ФЗ Удостоверяющий центр формирует закрытый ключ и собственный сертификат, формирует сертификаты конечных пользователей и удостоверяет их аутентичность своей цифровой подписью. Также центр проводит отзыв истекших и компрометированных сертификатов и ведет базы выданных и отозванных сертификатов. Обратившись в сертификационный центр, можно получить собственный сертификат открытого ключа, сертификат другого пользователя и узнать, какие ключи отозваны. Закрытый ключ является наиболее уязвимым компонентом всей криптосистемы цифровой подписи. Злоумышленник, укравший закрытый ключ пользователя, может создать действительную цифровую подпись любого электронного документа от лица этого пользователя. Поэтому особое внимание нужно уделять способу хранения закрытого ключа. В настоящее время существуют следующие устройства хранения закрытого ключа: дискеты, смарт-карты, usb-брелоки, таблетки Touch-Memory. Кража или потеря одного из таких устройств хранения может быть легко замечена пользователем, после чего соответствующий сертификат может быть немедленно отозван. Наиболее защищенный способ хранения закрытого ключа - хранение на смарт-карте. Для того, чтобы использовать смарт-карту, пользователю необходимо не только её иметь, но и ввести PIN-код, то есть, получается двухфакторная аутентификация. В соответствии с законом «Об электронной подписи», ответственность за хранение закрытого ключа владелец несет сам. Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур. Правовые проблемы обеспечения подлинности электронной цифровой подписи Электронный документ имеет и свои специфические особенности, обусловленные технологией его изготовления. Основное отличие электронного документа заключается в том, что в нем или на нем невозможно собственноручно письменно расписаться. Процесс подтверждения электронного документа электронно-цифровой подписью предполагает использование так называемых секретных (закрытых), хранящихся только у отправителя (владельца сертификата ключей подписи) и открытых ключей, которыми может владеть любой пользователь информационной системы. Открытый и закрытый ключи находятся в математической зависимости друг от друга, и с помощью открытого ключа можно проверить, тем ли закрытым секретным ключом зашифровано сообщение, но при этом математический анализ открытого ключа не позволяет вычислить закрытый ключ. Таким образом, закрытый ключ есть самый важный элемент электронной цифровой подписи. Поскольку с помощью закрытого ключа и средств электронной цифровой подписи можно создавать электронную цифровую подпись и, соответственно, подписывать электронные документы, то знание такого ключа дает возможность подделать электронную цифровую подпись его владельца. От сохранности «секретного ключа» напрямую зависит степень надежности любой системы, использующей электронно-цифровую подпись. Поэтому актуальной является проблема обеспечения защиты от несанкционированного доступа третьих лиц к закрытому ключу. Решение проблемы подтверждения подлинности электронных сообщений позволит ввести в оборот на законных основаниях понятие электронного юридически значимого документа. ЭЦП позволяет сделать лишь косвенный вывод об авторстве документа, так как сама подпись не содержит в себе информации об авторе. Возникновение, существование и прекращение связи между автором и относящейся к нему подписью обусловлено наличием различных правовых, организационных и технических, а не биологических факторов. Отсутствие норм, регламентирующих порядок связывания электронной цифровой подписи с физическим лицом, породило множество проблем правоприменительной практики. Так, если третьему лицу по каким-либо причинам станет известен закрытый ключ, то отличить подлог подписи до аннулирования ключей будет невозможно. Кроме того, возможны случаи, когда применение аналога собственноручной подписи позволит заинтересованным и недобропорядочным лицам с легкостью отказываться от своей подписи на электронном документе. Закрытый ключ электронной цифровой подписи рекомендуется хранить на специальном персональном ключевом носителе, то есть такой ключ должен изготавливаться в единственном экземпляре в форме материального документа с защитными элементами, предохраняющими его от копирования. Он должен всегда содержаться в тайне и быть доступным только владельцу. И только в этом случае никто кроме владельца не сможет поставить электронную цифровую подпись под электронным документом. С одной стороны, во многих существующих разработках защиту секретных ключей оставляют на совести пользователя системы ЭЦП. С другой стороны рекомендации по хранению ключей ЭЦП дают сами удостоверяющие центры. Такие рекомендации излагаются, как правило, в документации к абонентскому комплекту и гласят следующее: «храните их таким образом, чтобы быть уверенным, что ваш закрытый ключ ни при каких обстоятельствах не может оказаться в руках человека, которому вы не доверяете. Лучше всего, если ваш закрытый ключ будет доступен только вам лично, либо только одному особо доверенному лицу». В некоторых случаях разработчики системы использования электронной цифровой подписи предлагают варианты хранения на носителях, которые, по их словам, трудно копируются, например, смарт-карты или бесконтактные карты Proximity. Кроме того, предлагается хранение на специальных чип-картах, доступ к которым имеет лишь владелец ключа, знающий PIN-код. Такая технология создает двойную систему безопасности и гарантирует, что секретный код останется в тайне. К тому же при похищении чип-карты об этом сразу становится известно владельцу ключа. Для повышения надежности таких схем так же предлагается хранение шифрования секретных ключей на других ключах, которые могут быть тоже зашифрованы. Какой бы путь решения данной проблемы не был выбран, необходимо учитывать стоимостные факторы, предпочтения пользователей и удобства в использовании, а также то, как выбранное решение вписывается в общую систему информационной безопасности системы электронного документооборота. Поскольку в настоящее время существует целый ряд методов, позволяющих с очень высокой степенью достоверности обеспечить привязку электронно-цифровой подписи к подписанту, наиболее оптимальным и целесообразным способом решения данной проблемы представляется использование технологии цифровой обработки папиллярного узора отпечатка пальца рук, радужной оболочки глаза, автографа и других биометрических параметров. То есть необходимо создание такой системы, которая обеспечила бы жесткую привязку процесса формирования и использования секретного закрытого ключа к какому-либо биометрическому параметру человека. В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз. Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте. Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований. Необходимо отметить, что создание документов, поддерживающих ЭЦП, – задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации: · обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения; · сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов; · предотвращать неавторизованный физический доступ к помещению, где хранятся документы; · использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями; · мигрировать документы со старых носителей на новые каждые 10 лет; · контролировать отсутствие изменений в документах; · осуществлять перевод документов на технологически нейтральные форматы, такие как XML и RTP, · ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов; · протоколировать все действия с документами. Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения. Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа. Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные. Уверенность в аутентичности документа может основываться на уверенности в качестве системы делопроизводства в организации – точно так же, как в случае традиционных бумажных архивов. Заключение Несмотря на минусы возникающие при введение электронного документооборота, есть масса плюсов: простота внесения изменений в документ, возможность помещать в документе не только текст, но и мультимедийные данные, возможность использовать заранее заготовленные формы, более высокая скорость передачи информации по большому количеству адресов, экономия бумаги, более высокая компактность архивов, более простой контроль информационных потоков; большая скорость поиска и извлечения информации, возможность защиты документов от несанкционированного доступа и разграничение прав доступа сотрудников к информации. Также автоматизация документооборота организации позволяет снизить количество служб, занятых работой с документами (курьеров, канцелярских работников и т.п.). В случае использования электронного документооборота требуется гораздо меньше затрат на перестройку документооборота при изменении внешних условий, например требований со стороны фискальных органов по изменению формы отчетности. Литература Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и защите информации» (ред. от 19.12.2016) Федеральный закон от 06.04.2011 № 63-ФЗ (ред. от 23.06.2016) «Об электронной подписи» Бачило И.Л., Лопатин В.Н., Федотов М.А. Информационное право: Учебник. - СПб., 2015. Гарибян А. Электронная цифровая подпись: правовые аспекты / Российская юстиция. - 2016. № 11. Интеллектуальная собственность / Под ред. Н.М. Коршунова - М.: Юр.Норма, НИЦ ИНФРА-М, 2015. Комментарий к Федеральному закону «Об электронной цифровой подписи» (постатейный) / Под ред. Е.В. Ильиных, М.Н. Козловой. М., 2016. Танимов О.В. Электронный документ и электронная цифровая подпись как юридические фикции / Информационное право. 2015. - №. 3. Халиков Р. Субъекты электронного документа в банковской сфере // Информационное право. 2016. - № 7. Халиков Р. Электронная подпись в банковских документах / ЭЖ-Юрист. 2015. - № 39. |