Atom Лента - Форум КриптоПро - Тема:Как обеспечить юридическую силу ЭЦП в электронном документе? - 10Форум КриптоПро - Atom Лентаurn:https:--www-cryptopro-ru:AtomLenta:ForumKriptoPro:Tema:Kakobespechit'juridicheskujusiluEhCPvehlektronnomdokumente?-10:1Copyright 2024 Форум КриптоПро2024-03-29T15:55:16Zhttps://www.cryptopro.ru/forum2/Images/YAFLogo.pngForum Adminhttps://www.cryptopro.ruforum@cryptopro.ruЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловЮрий Масловhttps://www.cryptopro.ru/forum2/default.aspx?g=profile&u=57&name=Юрий МасловYetAnotherForum.NETurn:https:--www-cryptopro-ru:ftPosts:st1:meid6716:1Как обеспечить юридическую силу ЭЦП в электронном документе?<table class="content postContainer_Alt" width="100%"><tr><td>Это для общего понимания технологии обеспечения юридической силы электронных документов, удостоверенных ЭЦП.<br /><br />Термины и определения<br />Для понимания технологии ЭЦП необходимо привести ряд основных терминов и их определений.<br />Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное в машинном коде на магнитном носителе (дискета, флешка, токен и т.д.), с помощью которого создается ЭЦП.<br />Сертификат ключа подписи (эквивалентный термин: сертификат открытого ключа) – это своего рода электронное удостоверение, изготавливаемое и выдаваемое удостоверяющим центром, которое закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи. С помощью сертификата ключа подписи проверяется созданная в документе ЭЦП.<br />Удостоверяющий центр – это организация, которая изготавливает, выдает и управляет сертификатами ключей подписи пользователей.<br />Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации, шифровальное (криптографическое) средство) – это средство криптографической защиты информации (чаще всего выполнено в виде программы для ЭЦМ), с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.<br /><br />Цели применения ЭЦП<br />Основной целью применения ЭЦП является переход с бумажной на безбумажную технологию. Т.е. подлинники (оригиналы) документов оформляются не в традиционной форме на бумажных носителях, а в виде электронных документов. <br />Такой переход приводит к тому, что:<br />• значительно сокращаются сроки передачи документов между сотрудниками или организациями. А это, например, исключит ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период надо закрывать, а оригиналы подтверждающих документов по хозяйственной операции ещё не поступили по почте. Почта у нас в стране приходит очень не быстро.<br />• сокращаются накладные расходы на документирование: бумага, почтовые расходы и т.д.<br /><br /><br />Типы систем документооборота<br />Прежде всего, нужно определиться, для чего вы хотите использовать возможности системы документооборота, в которой применяется ЭЦП. От выбранной цели будет зависеть как техническая, так и организационная сторона реализации проекта.<br />Следует различать две цели использования ЭЦП:<br />– для обеспечения корпоративной неотрекаемости;<br />– для применения ЭЦП в условиях равнозначности собственноручной подписи.<br /><br />Система с корпоративной неотрекаемостью – это система обмена электронными сообщениями (документами), в которой конфликтные ситуации, связанные с использованием цифровой подписи, разрешаются на уровне администрации предприятия/организации, без рассмотрения в судебном порядке. Как правило, такие системы используются для построения внутрикорпоративной системы делопроизводства и документооборота.<br />В этой ситуации владелец системы (т.е. предприятие) сам определяет правила использования цифровой подписи, ему не требуется соблюдать нормы Федерального закона «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ). Получается, что он не ставит перед собой задачу построения юридически значимой системы электронного документооборота.<br /><br />Система с применением ЭЦП в условиях равнозначности собственноручной подписи гарантирует, что ее электронные документы, подписанные ЭЦП, можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. Они будут признаны судом как полноценные документы, имеющие юридическую силу. Поэтому про такие системы говорят, что в них реализован юридически значимый документооборот.<br />При построении подобной системы, ее организатор должен привести свои правила использования ЭЦП в соответствие с нормами действующего законодательства РФ, включая нормы закона «Об электронной цифровой подписи».<br /><br />Система документооборота с применением ЭЦП основывается на следующих основных элементах:<br />• сертифицированное средство ЭЦП – используется участниками системы для создания и проверки ЭЦП электронных документов;<br />• ключ подписи и сертификат ключа подписи – изготавливается и выдается удостоверяющим центром;<br />• удостоверяющий центр;<br />• соглашение о применении ЭЦП.<br />Эти элементы определены действующим законодательством и без них невозможно построение юридически значимого электронного документооборота в России.<br /><br />Далее в настоящей статья мы будем говорить именно о системах с применением ЭЦП в условиях равнозначности собственноручной подписи и называть их просто системами. <br /><br />Соглашение о применении ЭЦП<br />Участники системы документооборота должны договориться об условиях, при выполнении которых они будут принимать к исполнению документы, удостоверенные ЭЦП. Для этого они должны заключить между собой соглашение. Данный документ является основным организационным моментом в применении ЭЦП. Это определяется нормами действующего законодательства РФ (Гражданский кодекс, ФЗ «Об ЭЦП» и т.д.). Без такого соглашения ни один суд не примет электронный документ, удостоверенный ЭЦП, в качестве письменного доказательства.<br />Соглашение должно регламентировать все аспекты применения ЭЦП для удостоверения документов, в том числе технические. К основным аспектам, раскрываемым в соглашении, относятся:<br />• детализированные условия равнозначности ЭЦП собственноручной подписи;<br />• кто выступает в системе в качестве удостоверяющего центра;<br />• какие средства ЭЦП используются в системе;<br />• какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению;<br />• порядок разрешения конфликтов/споров, связанных с применением ЭЦП.<br />Примеры таких соглашений можно найти как в Интернете, так и получить, обратившись к профессиональным разработчикам средств ЭЦП, например, в ООО «КРИПТО-ПРО».<br /><br />Удостоверяющие центры<br />Удостоверяющие центры являются еще одним обязательным компонентом в применении ЭЦП.<br />Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица. Различают удостоверяющие центры, которые:<br />• оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);<br />• обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).<br />Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.<br />Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги. В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.<br /><br />Как применить ЭЦП во внутрикорпоративной системе делопроизводства и документооборота?<br /><br />Здесь мы предполагаем, что все участники системы являются сотрудниками одной организации. <br />В таких системах указанное выше соглашение оформляется в виде локального нормативного акта организации (например, положения или регламента о порядке применения ЭЦП). Он вводится в действие приказом руководителя организации.<br />Применение ЭЦП во внутрикорпоративной системе как правило осуществляется в специализированных программных системах, автоматизирующих электронное делопроизводство и документооборот. Поэтому и средства применения ЭЦП внедряются вместе с программной системой автоматизации делопроизводства и документооборота.<br /><br />Как применить ЭЦП в финансово-хозяйственной деятельности между предприятиями?<br /><br />Система, в которой участвуют различные организации (физические или юридические лица), должна опираться на соглашение о применении ЭЦП оформленное в форме договора между участниками системы. Естественно, что не должно оформляться в виде двухстороннего договора. При большом количестве участников системы очень трудно заключить такое количество договоров и сложно вносить в них изменения в случае необходимости. Наиболее удобной формой оформления и заключения такого рода соглашения является договор присоединения в соответствии со ст. 428 ГК РФ.<br />В такой системе настойчиво рекомендуется заключить договор со сторонней организацией, предоставляющей услуги удостоверяющего центра, и не являющейся участником системы. Это поможет использовать эту организацию и в качестве экспертной организации при разрешении спорных ситуаций, связанных с применением ЭЦП.<br />При обмене электронных документов между организациями, как правило, не используется специализированных программных систем. Документы готовятся в виде файлов с помощью офисных приложений (Word, Excel) или экспортируются из учетных систем (1С, Парус и т.д.). После этого подписываются как файлы и пересылаются с помощью средств электронной почты контрагенту.<br /><br /><br />Пример самой простой системы обмена электронными документами, удостоверенными ЭЦП:<br /><br />Каждое рабочее место участника обмена электронными документами с ЭЦП потребуется оснастить следующими средствами:<br />1. СКЗИ КриптоПро CSP (версия 3.0 или 3.6) (http://www.cryptopro.ru/CryptoPro/products/csp/default.htm) - стоимость лицензии на одно рабочее место - 1800 руб. Это то средство, которое реализует отечественные криптографические алгоритмы формирования/проверки ЭЦП, шифрования информации.<br />2. Приложение "КриптоАРМ СТАНДАРТ" версии 4 (http://www.cryptopro.ru/CryptoPro/products/crypto-arm/default.htm) - стоимость лицензии на одно рабочее место - 1200 руб. Это, то средство, которое предоставляет удобный пользовательский интерфейс выполнения криптографических операций конечным пользователем (по нажатии правой кнопки мыши на файле/группе файлов в контекстном меню появляются пункты - подписать/зашифровать; аналогично - проверить подпись/расшифровать)<br /><br />Для формирования ключей и изготовления сертификатов ключей подписей предлагаем Вам воспользоваться услугами нашего Удостоверяющего центра - <a rel="nofollow" href="http://www.cryptopro.ru/CryptoPro/services/ca-service.htm." title="http://www.cryptopro.ru/CryptoPro/services/ca-service.htm.">http://www.cryptopro.ru/...services/ca-service.htm.</a> Есть несколько форм предоставления услуг - на приведенной странице Вы можете с ними ознакомиться.<br /><br />Обмен подписанными файлами между участниками информационного обмена осуществляется с помощью почтовых сообщений, путем приаттачивания подписанных файлов. Все это в стандартных ЛЮБЫХ почтовых клиентах.<br /><br />Указанное программное обеспечение и документация к нему доступна для скачивания и в течение одного месяца предоставляется встроенная временная лицензия (без ограничения функциональности ПО). Сформировать ключи изготовить тестовый сертификат вы сможете в тестовом Центре сертификации - <a rel="nofollow" href="http://www.cryptopro.ru/certsrv/." title="http://www.cryptopro.ru/certsrv/.">http://www.cryptopro.ru/certsrv/.</a><br /></td></tr></table>2009-05-05T21:30:45+04:002009-05-05T21:30:45+04:00Юрий Маслов<table class="content postContainer_Alt" width="100%"><tr><td>Это для общего понимания технологии обеспечения юридической силы электронных документов, удостоверенных ЭЦП.<br /><br />Термины и определения<br />Для понимания технологии ЭЦП необходимо привести ряд основных терминов и их определений.<br />Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное в машинном коде на магнитном носителе (дискета, флешка, токен и т.д.), с помощью которого создается ЭЦП.<br />Сертификат ключа подписи (эквивалентный термин: сертификат открытого ключа) – это своего рода электронное удостоверение, изготавливаемое и выдаваемое удостоверяющим центром, которое закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи. С помощью сертификата ключа подписи проверяется созданная в документе ЭЦП.<br />Удостоверяющий центр – это организация, которая изготавливает, выдает и управляет сертификатами ключей подписи пользователей.<br />Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации, шифровальное (криптографическое) средство) – это средство криптографической защиты информации (чаще всего выполнено в виде программы для ЭЦМ), с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.<br /><br />Цели применения ЭЦП<br />Основной целью применения ЭЦП является переход с бумажной на безбумажную технологию. Т.е. подлинники (оригиналы) документов оформляются не в традиционной форме на бумажных носителях, а в виде электронных документов. <br />Такой переход приводит к тому, что:<br />• значительно сокращаются сроки передачи документов между сотрудниками или организациями. А это, например, исключит ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период надо закрывать, а оригиналы подтверждающих документов по хозяйственной операции ещё не поступили по почте. Почта у нас в стране приходит очень не быстро.<br />• сокращаются накладные расходы на документирование: бумага, почтовые расходы и т.д.<br /><br /><br />Типы систем документооборота<br />Прежде всего, нужно определиться, для чего вы хотите использовать возможности системы документооборота, в которой применяется ЭЦП. От выбранной цели будет зависеть как техническая, так и организационная сторона реализации проекта.<br />Следует различать две цели использования ЭЦП:<br />– для обеспечения корпоративной неотрекаемости;<br />– для применения ЭЦП в условиях равнозначности собственноручной подписи.<br /><br />Система с корпоративной неотрекаемостью – это система обмена электронными сообщениями (документами), в которой конфликтные ситуации, связанные с использованием цифровой подписи, разрешаются на уровне администрации предприятия/организации, без рассмотрения в судебном порядке. Как правило, такие системы используются для построения внутрикорпоративной системы делопроизводства и документооборота.<br />В этой ситуации владелец системы (т.е. предприятие) сам определяет правила использования цифровой подписи, ему не требуется соблюдать нормы Федерального закона «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ). Получается, что он не ставит перед собой задачу построения юридически значимой системы электронного документооборота.<br /><br />Система с применением ЭЦП в условиях равнозначности собственноручной подписи гарантирует, что ее электронные документы, подписанные ЭЦП, можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. Они будут признаны судом как полноценные документы, имеющие юридическую силу. Поэтому про такие системы говорят, что в них реализован юридически значимый документооборот.<br />При построении подобной системы, ее организатор должен привести свои правила использования ЭЦП в соответствие с нормами действующего законодательства РФ, включая нормы закона «Об электронной цифровой подписи».<br /><br />Система документооборота с применением ЭЦП основывается на следующих основных элементах:<br />• сертифицированное средство ЭЦП – используется участниками системы для создания и проверки ЭЦП электронных документов;<br />• ключ подписи и сертификат ключа подписи – изготавливается и выдается удостоверяющим центром;<br />• удостоверяющий центр;<br />• соглашение о применении ЭЦП.<br />Эти элементы определены действующим законодательством и без них невозможно построение юридически значимого электронного документооборота в России.<br /><br />Далее в настоящей статья мы будем говорить именно о системах с применением ЭЦП в условиях равнозначности собственноручной подписи и называть их просто системами. <br /><br />Соглашение о применении ЭЦП<br />Участники системы документооборота должны договориться об условиях, при выполнении которых они будут принимать к исполнению документы, удостоверенные ЭЦП. Для этого они должны заключить между собой соглашение. Данный документ является основным организационным моментом в применении ЭЦП. Это определяется нормами действующего законодательства РФ (Гражданский кодекс, ФЗ «Об ЭЦП» и т.д.). Без такого соглашения ни один суд не примет электронный документ, удостоверенный ЭЦП, в качестве письменного доказательства.<br />Соглашение должно регламентировать все аспекты применения ЭЦП для удостоверения документов, в том числе технические. К основным аспектам, раскрываемым в соглашении, относятся:<br />• детализированные условия равнозначности ЭЦП собственноручной подписи;<br />• кто выступает в системе в качестве удостоверяющего центра;<br />• какие средства ЭЦП используются в системе;<br />• какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению;<br />• порядок разрешения конфликтов/споров, связанных с применением ЭЦП.<br />Примеры таких соглашений можно найти как в Интернете, так и получить, обратившись к профессиональным разработчикам средств ЭЦП, например, в ООО «КРИПТО-ПРО».<br /><br />Удостоверяющие центры<br />Удостоверяющие центры являются еще одним обязательным компонентом в применении ЭЦП.<br />Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица. Различают удостоверяющие центры, которые:<br />• оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);<br />• обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).<br />Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.<br />Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги. В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.<br /><br />Как применить ЭЦП во внутрикорпоративной системе делопроизводства и документооборота?<br /><br />Здесь мы предполагаем, что все участники системы являются сотрудниками одной организации. <br />В таких системах указанное выше соглашение оформляется в виде локального нормативного акта организации (например, положения или регламента о порядке применения ЭЦП). Он вводится в действие приказом руководителя организации.<br />Применение ЭЦП во внутрикорпоративной системе как правило осуществляется в специализированных программных системах, автоматизирующих электронное делопроизводство и документооборот. Поэтому и средства применения ЭЦП внедряются вместе с программной системой автоматизации делопроизводства и документооборота.<br /><br />Как применить ЭЦП в финансово-хозяйственной деятельности между предприятиями?<br /><br />Система, в которой участвуют различные организации (физические или юридические лица), должна опираться на соглашение о применении ЭЦП оформленное в форме договора между участниками системы. Естественно, что не должно оформляться в виде двухстороннего договора. При большом количестве участников системы очень трудно заключить такое количество договоров и сложно вносить в них изменения в случае необходимости. Наиболее удобной формой оформления и заключения такого рода соглашения является договор присоединения в соответствии со ст. 428 ГК РФ.<br />В такой системе настойчиво рекомендуется заключить договор со сторонней организацией, предоставляющей услуги удостоверяющего центра, и не являющейся участником системы. Это поможет использовать эту организацию и в качестве экспертной организации при разрешении спорных ситуаций, связанных с применением ЭЦП.<br />При обмене электронных документов между организациями, как правило, не используется специализированных программных систем. Документы готовятся в виде файлов с помощью офисных приложений (Word, Excel) или экспортируются из учетных систем (1С, Парус и т.д.). После этого подписываются как файлы и пересылаются с помощью средств электронной почты контрагенту.<br /><br /><br />Пример самой простой системы обмена электронными документами, удостоверенными ЭЦП:<br /><br />Каждое рабочее место участника обмена электронными документами с ЭЦП потребуется оснастить следующими средствами:<br />1. СКЗИ КриптоПро CSP (версия 3.0 или 3.6) (http://www.cryptopro.ru/CryptoPro/products/csp/default.htm) - стоимость лицензии на одно рабочее место - 1800 руб. Это то средство, которое реализует отечественные криптографические алгоритмы формирования/проверки ЭЦП, шифрования информации.<br />2. Приложение "КриптоАРМ СТАНДАРТ" версии 4 (http://www.cryptopro.ru/CryptoPro/products/crypto-arm/default.htm) - стоимость лицензии на одно рабочее место - 1200 руб. Это, то средство, которое предоставляет удобный пользовательский интерфейс выполнения криптографических операций конечным пользователем (по нажатии правой кнопки мыши на файле/группе файлов в контекстном меню появляются пункты - подписать/зашифровать; аналогично - проверить подпись/расшифровать)<br /><br />Для формирования ключей и изготовления сертификатов ключей подписей предлагаем Вам воспользоваться услугами нашего Удостоверяющего центра - <a rel="nofollow" href="http://www.cryptopro.ru/CryptoPro/services/ca-service.htm." title="http://www.cryptopro.ru/CryptoPro/services/ca-service.htm.">http://www.cryptopro.ru/...services/ca-service.htm.</a> Есть несколько форм предоставления услуг - на приведенной странице Вы можете с ними ознакомиться.<br /><br />Обмен подписанными файлами между участниками информационного обмена осуществляется с помощью почтовых сообщений, путем приаттачивания подписанных файлов. Все это в стандартных ЛЮБЫХ почтовых клиентах.<br /><br />Указанное программное обеспечение и документация к нему доступна для скачивания и в течение одного месяца предоставляется встроенная временная лицензия (без ограничения функциональности ПО). Сформировать ключи изготовить тестовый сертификат вы сможете в тестовом Центре сертификации - <a rel="nofollow" href="http://www.cryptopro.ru/certsrv/." title="http://www.cryptopro.ru/certsrv/.">http://www.cryptopro.ru/certsrv/.</a><br /></td></tr></table>