Автор: Семёнова Дарья, руководитель PR-службы, отдела IT и разработок
Агентства Финансовой и Правовой Безопасности

Электронная подпись как элемент информационной безопасности
Электронная подпись как элемент информационной безопасности

Бурное развитие интернета и информационных технологий, наблюдающееся в течение последних лет, способствовало появлению электронной цифровой подписи (сокращённо – ЭЦП) – информации в цифровом виде, связанной с электронным документом. Эта информация может идентифицировать подписавшее его лицо – полноправного участника документооборота – и защитить этот документ от подделки. ЭЦП создается благодаря криптографическому преобразованию данных с использованием специального ключа, который является определенной последовательностью символов. Этот ключ – аналог собственноручной подписи на обычном бумажном носителе, имеющий такую же юридическую силу.

ЭЦП позволяет установить отсутствие каких-либо изменений информации в документе и трудно поддается подделке: чтобы подобрать искомую комбинацию символов криптографического ключа, злоумышленникам необходимо произвести большое количество сложных математических вычислений, что, без сомнения, потребует многих недель или даже месяцев кропотливой работы.

Какими бывают электронные подписи?

Согласно закону №63-ФЗ «Об электронной подписи» ЭЦП бывает трех видов:

  • Простая электронная подпись – последовательность символов, зашифрованная с помощью разных алгоритмов и защищенная паролем. Простая ЭЦП указывает на лицо, подписавшее документ, но не дает возможности определить неизменность подписи и подписанных данных. Она не предполагает использование сертификата ключа электронной подписи, что повышает вероятность её подделки. Этот вид подписи прекрасно подойдет для подписания электронных сообщений, которые направляются должностным лицам, а также в органы федеральной, региональной или местной власти.
  • Неквалифицированная ЭЦП – электронная подпись, ассоциируемая с владельцем и имеющая юридическую силу равную традиционной подписи. Она защищается специальным ключом и позволяет сохранить неизменность подписанной информации или обнаружить факт ее изменения. Данная подпись создаётся как при помощи сертификата неаккредитованного удостоверяющего центра, так и без него.
  • Квалифицированная ЭЦП соответствует признакам неквалифицированной ЭЦП и при этом имеет специальный сертификат, выданный аккредитованным удостоверяющим центром – организацией, занимающейся выпуском сертификатов ключей идентификации электронных подписей. Квалифицированная ЭЦП создается при помощи программных средств, которые одобрила ФСБ. Это гарантирует ей высокую степень безопасности.

Важно: квалифицированные и неквалифицированные электронные подписи заменяют собой подписанные и заверенные печатью бумажные документы во всех случаях (кроме тех, когда федеральный закон требует наличия бумажных документов).

Преимущества ЭЦЦ

В ближайшем будущем эра бумажных документов завершится, не сумев устоять под всесильным натиском передовых информационных технологий 21-го века. На смену ей придет совершенно иная эпоха – царство электронного документооборота в государственных и коммерческих структурах. Это изменит организацию рабочего процесса и наложит свой отпечаток на коммуникационное взаимодействие между сотрудниками, служащими государственных учреждений и обычными гражданами. Система электронного документооборота (или СЭД) на предприятии может предполагать использование ЭЦП.

Целесообразно выделить ряд преимуществ электронной цифровой подписи:

  • ЭЦП дает возможность сократить издержки фирмы благодаря удешевлению процедуры учета, доставки и хранения документов. При полном отказе от бумажного документооборота экономия денежных средств будет весьма ощутимой.
  • Использование электронной подписи сокращает время оформления сделок и значительно увеличивает скорость обмена документацией между сотрудниками, что приводит к повышению эффективности их работы.
  • ЭЦП минимизирует риск потери денежных средств, обусловленной кражей конфиденциальных данных.
  • Электронная цифровая подпись гарантирует достоверность корпоративной документации.
  • Все документы, имеющие ЭЦП, – это доказательства определенного соглашения, решения или факта. В случае возникновения спорной или конфликтной ситуации на основе документа, подписанного ЭЦП, можно провести объективное внутрикорпоративное расследование.

Система электронного документооборота в компании, использующая электронные подписи, является полноценной заменой кипам бумажных документов – заявлениям, служебным запискам, распоряжениям, счетам-фактурам, налоговым декларациям и т.д. Она удобна, надежна и экономически выгодна, поэтому будущее корпоративного документооборота, бесспорно, принадлежит ей.

Как внедрить ЭЦП?

В последние годы компании чаще стали использовать системы электронного документооборота, поддерживающие ЭЦП. Это позволило им снизить операционные расходы, повысить информационную безопасность и увеличить скорость обмена данными между подразделениями.

Чтобы внедрить ЭЦП в систему корпоративного электронного документооборота, им пришлось обзавестись программным обеспечением удостоверяющего центра и службы штампов времени, программно-аппаратным комплексом СЭД с интегрированной опцией «ЭЦП и шифрование», несколькими криптопровайдерами – независимыми модулями (программы или аппаратные комплексы), которые осуществляют криптографические операции в операционных системах Microsoft.

Службы штампов времени удостоверяют точное время создания документов в цифровом виде, подписанных ЭЦП. Штампы времени – документы, имеющие ЭЦП, – выполняют весьма важную функцию: они доказывают факт существования документа в определенный момент времени.

Службу штампов времени следует интегрировать в систему электронного документооборота, поскольку срок действия сертификата электронной подписи ограничен. Когда он заканчивается, ранее созданные документы теряют юридическую силу согласно закону №63-ФЗ «Об электронной подписи». Кроме того, становится невозможным определить, была ли ЭЦП создана, когда сертификат был еще действительным, или когда его срок действия закончился. Однако в случае интеграции СЭД со службой штампов времени можно легко проверить действительность сертификата на момент создания ЭЦП.

Чтобы внедрить ЭЦП, необходимо:

  • Получить сертификат и создать закрытый ключ.
  • Заключить договорное соглашение с удостоверяющим центром или разработать собственное программное обеспечение, позволяющее создавать сертификаты ключей подписей, осуществлять их аннулирование, приостановление действия, возобновление, а также вести реестр.
  • Разработать корпоративную нормативно-правовую базу, которая должна учитывать выбранную систему электронного документооборота и особенности делопроизводства в компании.

Для эффективного внедрения ЭЦП следует создать доверенную информационную среду в компании с помощью различных программных средств: необходимо использовать надежные антивирусные программы и регулярно их обновлять, загружать ОС с помощью «электронного замка».

Обеспечение информационной безопасности – это важнейшая задача для любой компании, которая желает минимизировать риски утечки конфиденциальных данных и возможных убытков, вызванных этой утечкой.

Можно сделать вывод: выгоды от использования электронной подписи стоят того, чтобы потратиться на ее внедрение.