Коллектив авторов - Электронная подпись. Просто о сложном

— название вида документа (за исключением писем);

— номер документа;

— название организации или имя автора документа;

— дата документа;

— место разработки, издания, принятия или подписания;

— подпись.

Конечно, когда говорим о подписи, имеем в виду электронную подпись. Именно она является гарантом целостности и подлинности документа. Кроме того, существуют нюансы обеспечения юридической силы формализованных и неформализованных документов. Так, неформализованные документы, подписанные квалифицированной ЭП, уже являются легитимными. Формализованные электронные документы приобретают легитимность в том случае, если они подписаны квалифицированной ЭП и вы, как налогоплательщик, присоединены к регламенту обмена.

Кроме того, другим важным фактором в обеспечении юридической силы документа является право автора создавать и подписывать документы.

Юридическая значимость документооборота

С точки зрения законодательства корректнее рассматривать не понятие «юридическая значимость документооборота», а понятие «документооборот юридически значимыми документами», т. к. юридическая значимость прежде всего важна для документа.

Юридическую значимость (силу) электронному документу (как и бумажному) придают следующие условия: во-первых, наличие в документе обязательных реквизитов и соблюдение правил отображения этих реквизитов, во-вторых, компетентность источника, то есть право автора создавать и подписывать документы такого рода, в-третьих, гарантия целостности и подлинности.

Электронная подпись может быть встроена в систему ЭДО или подписание документов может осуществляться в специальном программном приложении — на юридическую значимость документа это не влияет, т. е. если ЭП не встроена в систему ЭДО, то это не значит, что документ не будет юридически значимым. Встраивание электронной подписи в систему ЭДО — это всего лишь технология подписания электронного документа, которая не является определяющим фактором юридической значимости документа.

На заметку: Электронная подпись как реквизит электронного документа решает задачу гарантии целостности, подлинности документа и авторства подписи электронного документа.

Электронная подпись в облаке (облачная электронная подпись) — это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

«Облачная» электронная подпись: путь технологии

Непростой путь данной технологии начался еще в 2010 — 2011 годах, когда многие компании пытались реализовать решение, позволяющее работать с электронной подписью в «облаке». Данный период был ознаменован активным развитием проекта «электронного правительства». Специалисты и пользователи рассчитывали, что большинство сервисов в нем будет реализовано именно с помощью «облачных» технологий, что расширило бы возможности предоставления услуг. Тем не менее электронное правительство было запущено без электронной подписи в «облаке.

Со временем для большинства приверженцев «мобильности», необремененной дополнительными считывающими устройствами, переход на «облачное» хранение ключей подписи приобрел статус наиболее оптимального решения. Каким образом пользователи, обладающие ЭЦП, могли бы получать доступ к ключам, хранящимся в «облаке»? Изначально было предложено несколько вариантов:

1 — многоразовый пароль. В этом случае для подписания чего-либо в «облаке» пользователь каждый раз должен был аутентифицироваться в нем с помощью фиксированной комбинации символов. Множество инцидентов, связанных с хищением или непреднамеренной утерей многоразовых паролей, сигнализировало о недостаточном уровне безопасности данного варианта.

2 — одноразовый пароль. В целях аутентификации в «облаке» способ предусматривал передачу каждый раз уникальной последовательности символов через SMS или ее генерацию ОТР-токеном (One Time Password). Брешь в безопасности данного метода пробивала невозможность привязки одноразового пароля к конкретной операции. Мошенникам было доступно множество вариантов хищения, начиная с фишинга (создание поддельных сайтов и приложений, которым пользователь сообщает пароль) и заканчивая социальной инженерией (манипуляция поведением людей, позволяющая преступникам получить код при личном общении). В качестве дополнительной защиты можно было использовать привязку к реквизитам при отправке аутентифицирующего кода посредством SMS, но злоумышленники разработали ряд способов, позволяющих перехватить и подобные сообщения. При обращении к любым сервисам важно помнить, что защищенность системы определяется надежностью ее «самого слабого звена». Так, например, внедрив для доступа к ключу многоразовый или одноразовый пароль, свойства безопасности «облачной» подписи были бы подменены свойствами безопасности данных механизмов аутентификации. Специалисты не могли допустить подобного ввиду юридически-значимых последствий, к которым ведет участие ЭЦП в бизнес-процессах.

3 — электронный ключ. Этот способ предусматривал аутентификацию в «облаке» при помощи подключаемого к компьютеру токена или смарт-карты. Этот вариант обеспечивал должный уровень безопасности, но на корню «убивал» идею простоты и мобильности, которую пропагандировала «облачная» ЭЦП, снова привязывая электронную подпись к сертифицированным носителям.

Электронная подпись в облачных сервисах

За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений.

Именно проблема гарантированной аутентификации является пока наиболее существенной.

Неудобства использования традиционной ЭП:

· Во-первых, чтобы что-то подписать необходимо всегда иметь физический доступ к USB-брелку хранящему ЭП, т.е. иными словами постоянно носить его с собой. Это несет в себе определённые риски физической сохранности для тех, кто очень часто перемещается, находится в командировках иными словами не присутствует на одном месте долгое время.

· Во-вторых, существенным ограничением выступают требования к совместимости программного и аппаратного обеспечения устройства с которого производится подписание документа. К примеру, под различные версии операционной системы Windows нужно устанавливать соответствующие им версии драйверов и сопутствующего клиентского ПО. Соответственно, если разработчик продукта не поддерживает другие платформы или устаревшие, по его мнению, версии ОС то подписать документ в этой системе уже не получится.