Электронная подпись – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию
Федеральный закон от 06.04.2011 N 63-ФЗ “Об электронной подписи”
1 Документы бумажные и электронные
До появления (и широкого распространения) электронных вычислительных машин (компьютеры, мобильные телефоны и т.д.) и электронных документов, в недалёком прошлом, альтернатив бумажному документообороту было не так много – обычно (что распространено и до сих пор) информация фиксировалась на бумажном носителе, а её авторство и целостность (неизменность после создания) подтверждались физической меткой (метками) на этом же носителе – личной подписью, печатью, водяными знаками и т.д., а также отсутствием на физическом документе следов подделки (изменений информации и метки). Дата составления документа обычно фигурировала в подписываемой информации, она же и считалась датой подписания. Как всё было (и местами есть до сих пор) просто и легко, до эпохи электронных документов, можно посмотреть на схеме:
Электронные документы имеют одно свойство, которого не имеют документы на бумажном носителе – они не всегда привязаны к конкретному физическому носителю (и привычному участникам бумажного документооборота физическому миру в целом), легко могут тиражироваться, изменяться и создаваться кем угодно. Электронному документу практически невозможно присоединить метку в привычном виде (подпись, печать, которые обычно наносятся на бумажные документы). Электронный документ, чаще всего, человек не может воспринимать напрямую, так как документ определяется (записывается, хранится) состояниями (0 или 1) микроскопических элементов в памяти вычислительной машины (компьютера, мобильного телефона и т.д.). Различные формы представления электронных документов представлены ниже.
1 – так документ нам может показывать операционная система компьютера; 2 – так документ нам представляет прикладная программа для работы с электронными документами; 3 – так документ записан в памяти компьютера
2. Электронная подпись как способ обеспечения подлинности (целостности, авторства) электронного документа
Определение электронной подписи вынесено в эпиграф настоящей статьи и является отдельной объемной темой для обсуждения, мы лишь коснемся принципа реализации этой технологии для формирования необходимого уровня представления о контексте электронного документооборота.
Электронная подпись в контексте Федерального закона от 06.04.2011 N 63-ФЗ “Об электронной подписи” может быть трёх видов:
– простая;
– усиленная (неквалифицированная);
– усиленная квалифицированная.
Подписи различных видов отличаются форматами ключей электронной подписи и (или) способом подтверждения их подлинности. Независимо от вида электронной подписи, результат электронной подписи документа может иметь юридическое значение – электронный документ (файл) и электронная подпись в виде отдельного файла или дополнительной информации внутри подписанного электронного документа (файла) могут быть проверены на подлинность при определенных условиях, могут использоваться как юридически значимый документ равносильный обычному бумажному документу с «живой» подписью.
На схеме ниже приведена схема формирования электронной подписи документа на устройстве пользователя без использования сторонних серверов, в том числе серверов доверенного времени.
Как мы видим из схемы, изменив дату (время) в тексте электронного документа и дату (время) на своем устройстве, пользователь может создать электронную подпись документа с датой, отличной от фактической (на сколько это позволят свойства используемых ключей и настройки программы для создания электронной подписи). Невозможность определения точной даты подписания документа в большинстве случаев лишает документ смысла и силы. Решить проблему возможно, используя специальное программное обеспечение и специальные доверенные сервисы штампов времени и онлайн проверки сертификатов, но в настоящее время использование этих технологий для создания электронной подписи на устройстве пользователя не имеют широкого распространения.
3. Использование электронной подписи в системах электронного документооборота
Для того, чтобы предоставить участникам правоотношений возможность электронного документооборота (в том числе без использования дублирующих материальных (бумажных) документов) на основе электронных документов, подписанных электронной подписью (в том числе имеющих юридическую значимость), используются системы электронного документооборота – сетевое программное обеспечение, позволяющее участникам создавать, подписывать, проверять действительность электронной подписи документов внутри системы электронного документооборота. Пример схемы реализации электронного документооборота представлен на схеме ниже.
Процесс создания электронной подписи документа в этом случае не зависит от настроек времени на устройствах пользователей, а значит участники электронного документооборота защищены от манипуляций со значением даты (времени) на устройствах пользователей. Остаётся риск манипуляции датой (временем) создания электронной подписи со стороны сервера электронного документооборота – данный риск митигируется использованием доверенных сервисов штампов времени и онлайн проверки сертификатов.
4. Проблемы использования сторонних сервисов электронного документооборота
Использование сервисов электронного документооборота сторонних юридических лиц создает для пользователя такой системы следующие проблемы, которые обычно не печатают в рекламных буклетах систем электронного документооборота:
– проблемы технического и организационного обеспечения обработки охраняемой законом информации, содержащейся в подписываемых электронных документах (например, персональных данных) – канал связи должен быть защищён отечественными шифровальными средствами, а принимающая сторона (оператор системы электронного документооборота) становится оператором соответствующей охраняемой законом информации со всеми вытекающими организационными и техническими последствиями (для персональных данных, например, понадобятся дополнительные согласия или уведомления субъектов персональных данных, понадобится достаточно сложное регулирование отношений участников (пользователя и оператора системы электронного документооборота) как лиц, совместно обрабатывающих персональные данные и т.д.);
– распределение ответственности и управление рисками утечки персональных данных (с учетом недавно значительно выросших штрафов за нарушения в данной сфере) – если подписываемые документы персональные данные содержат (хотя, если ознакомиться с определением персональных данных в соответствующем федеральном законе, то, с высокой долей вероятности, персональные данные можно найти практически в любой системе электронного документооборота).
Для решения этой проблемы операторы систем электронного документооборота могут предлагать пользователям использование схемы, исключающей передачу конфиденциальной информации заказчика и (или) информации, охраняемой законом, во внешнюю систему электронного документооборота. Соответствующая схема представлена ниже.
В данной схеме, действительно, не осуществляется передача конфиденциальной информации, содержащейся в подписываемых документах, между пользователем системы электронного документооборота и её оператором. Т.к. хэш какой-либо последовательности (в том числе электронного документа) является результатом необратимого преобразования с потерей части исходной информации и, в случае корректной реализации процедуры хэширования, не может быть использован для восстановления исходной (защищаемой) информации.
На первый взгляд, такое решение кажется простым и эффективным. Но если присмотреться к результату (электронной подписи) в такой схеме, то мы можем увидеть, что электронной подписью у нас подписан не сам документ, а некоторая последовательность символов, полученная из исходного документа – юридическая значимость такого результата электронной подписи может быть подвергнута сомнению в самый неудобный для пользователя системы электронного документооборота момент
5. Вывод
Потенциальным пользователям систем электронного документооборота при выборе поставщика соответствующих услуг (чаще всего используется модель SaaS – система как сервис), необходимо понимать, какая информация будет содержаться в подписываемых документах (чаще всего будут так или иначе присутствовать персональные данные) и как будут оформлены отношения пользователя и поставщика услуг системы электронного документооборота в этом случае (заранее необходимо ознакомиться с федеральным законом, регулирующим обработку персональных данных, в части передачи персональных данных, поручения обработки персональных данных), к удивлению многих, поставщиками услуг систем электронного документооборота предлагается использовать их системы на основании одной лишь лицензии на использование соответствующего программного обеспечения.. без лишних обязательств со стороны поставщика, а ответственность за передачу персональных данных в стороннюю систему с нарушением требований законодательства РФ остается на стороне не всегда понимающего это пользователя системы электронного документооборота.
А участникам правоотношений, формирующих и проверяющих электронные подписи документов самостоятельно, необходимо либо использовать штампы времени и (или) сервисы онлайн проверки сертификатов, либо иметь иные доказательства (достоверную информацию) о моменте подписания электронного документа для того, чтобы можно было обеспечить юридическую значимость созданных электронных документов и не забывать, что обеспечение хранения электронных документов (и поддержания их действительности, юридической значимости) на протяжении длительных сроков (например, кадровые документы, подлежащие хранению на протяжении десятилетий) является нетривиальной задачей и темой отдельных изысканий.
Автор: Савенко Андрей Александрович, эксперт по информационной безопасности, директор компании Системы информационной безопасности «АЛЬПИКС»