ЕЦП

Останнім часом електронно-цифровий підпис (ЕЦП) набуває все більшого поширення в вітчизняних корпоративних інформаційних системах. Однак однобоке, як правило, технічне висвітлення питань застосування ЕЦП не дозволяє побачити картину в цілому, в силу чого виникла необхідність розглянути цю область "з висоти пташиного польоту". Не вдаючись в деталі, цікаві тільки фахівцям, ми постараємося розповісти про те, що дозволяє і чого не дозволяє реалізувати електронно-цифровий підпис, а також дати практичні рекомендації щодо застосування ЕЦП в системах електронного документообіг а, потреба в яких сьогодні відчувається все сильніше.

Функціонування СЕД з ЕЦП забезпечують чотири

компонента: програмно-апаратний комплекс СЕД,

має в складі модуль "ЕЦП і шифрування",

програмно-апаратні комплекси служби

штампів часу і засвідчує центру,

а також кілька криптопровайдерів

На загальну думку, власноручний підпис на паперовому документі вирішує наступні завдання:

- переконати читача в тому, що людина, яка підписала документ, зробив це свідомо (підпис достовірна);

- довести, що саме ця людина, а не хтось інший, свідомо підписав документ (підпис непідробна);

- будучи частиною документа, захистити її від шахрайського перенесення в інший документ (підпис неможливо використовувати повторно);

- захистити і сам документ (підписаний документ неможливо змінити);

- забезпечити матеріальність підписи і документа, що гарантує, що людина, яка підписала документ, не зможе стверджувати згодом, що документ підписаний не їм (від підпису не можна відмовитися).

Однак, як показує практика, власноручний підпис на паперовому документі за самою своєю природою залишає лазівки для шахраїв. Недарма для утруднення їх дій на бланки документів наносять спеціальні захисні знаки, застосовують нумерацію і скріплення аркушів, а крім того, поряд із самою підписом використовують власноручне написання прізвища, імені, по батькові на документі і т. П. Одним словом, при всіх її достоїнствах власноручний підпис має і цілу низку недоліків.

Як результат проникнення комп'ютерних технологій в усі сфери людської діяльності виникла потреба реалізувати аналог власноручного підпису людини в електронному вигляді. Це завдання було успішно вирішена. В основі рішення лежать розроблені в середині 1970-х рр. криптографічні алгоритми з відкритим ключем, які базуються на складному математичному апараті.

При цьому ЕЦП усунула більшість проблем, властивих підпису на паперовому документі, і забезпечила електронному документу такі найважливіші характеристики:

- справжність - підтвердження авторства документа;

- цілісність - документ не може бути змінений після підписання;

- неотріцаніе авторства (неотрекаемость) - автор згодом не зможе відмовитися від свого підпису.

Найбільш широке застосування сьогодні ЕЦП знаходить в документаційне забезпечення управління (ДОУ), в платіжних системах, електронної торгівлі та бухгалтерії. З перерахованих напрямків найбільш затребуваною і складною є задача автоматизації ДОУ організацій - головна мета створення систем електронного документообіг а (СЕД). Саме на ньому ми і зосередимо свою увагу в статті. Однак перш необхідно уточнити, що розуміється під використанням ЕЦП, маючи на увазі дві основні його схеми:

- підписання електронного повідомлення при його передачі та перевірка підпису відправника після отримання, тобто захищена передача документа. Часто подібну схему сприймають як юридично значущий документообіг, що є глибокою помилкою. Захист електронного повідомлення за допомогою ЕЦП - річ, безумовно, корисна і потрібна, але для забезпечення повноцінного документообігу абсолютно недостатня;

- використання ЕЦП у всьому життєвому циклі електронного документа - при його створенні, узгодженні, затвердження, ознайомленні з ним і т. Д. Тільки в тому випадку, коли автоматизується повний життєвий цикл документа і ЕЦП є його невід'ємною частиною, можна говорити про використання повноцінної, т. е. юридично значимої системи електронного документообігу.

Починаючи працювати з ЕЦП, користувач робить запит засобами СЕД на отримання ключової пари (а);

потім запитує сертифікат для щойно згенерованого відкритого ключа (б);

при необхідності підписати документ (тільки що створений або отриманий з СЕД) його дані передаються

в криптопровайдер для генерації ЕЦП, після чого на ЕЦП ставиться штамп часу (в);

після отримання документа з СЕД одержувач передає його для перевірки в криптопровайдер,

де перевіряється не тільки сама ЕЦП, але також сертифікат і штамп часу (г)

Далі будемо розглядати юридично значимі СЕД. Такі системи найбільш затребувані у великих холдингах, державних структурах управління, кредитних установах, біржах, страхових компаніях - там, де необхідно в електронному вигляді документувати прийняті рішення і нести матеріальну відповідальність у зв'язку з ними.

Електронний документ -

це документ, підготовлений з використанням системи електронного документообігу, зафіксований на матеріальному носії у вигляді об'єкта СЕД і забезпечений реквізитами, за допомогою яких можна ідентифікувати місце, час створення і автора документа.

СЕД з підтримкою ЕЦП: у чому вигоди

Основна відмінна риса СЕД з підтримкою ЕЦП від СЕД без такої підтримки полягає в тому, що електронні документи, забезпечені ЕЦП, є доказами: вони документують рішення або будь-якої факт. Якщо при виникненні конфліктної ситуації існує електронний документ, підписаний ЕЦП, то на його основі можна провести розслідування всередині організації, а при необхідності - і з залученням третьої сторони (наприклад, в арбітражному суді). СЕД, які не передбачають ЕЦП, такої можливості не надають.

Користувачі СЕД без ЕЦП змушені довіряти системі, системним адміністраторам, іншим учасникам роботи з документами, причому без будь-яких вагомих на те підстав. При наявності ж ЕЦП підстави для довіри є - це криптографічні алгоритми та протоколи.

Доказовість електронних документів має два важливих наслідки:

- виникає можливість повністю відмовитися від паперових документів за умови, що це не суперечить чинному законодавству (деякі типи документів потрібно мати в паперовому вигляді). Це дозволяє уникнути дублювання інформації на різних носіях, забезпечує надійне зберігання даних і запобігає витоку конфіденційної інформації;

- відпадає потреба у фізичній передачі співробітникам паперових документів, що багаторазово прискорює процеси прийняття рішень по документам і доведення рішень керівництва до співробітників.

Прийняття Федерального закону "Про електронно-цифровий підпис" стало токой відліку для введення в обіг терміна "юридично значимий електронний документообіг". Зараз цей термін трактується дуже широко, що часто викликає непорозуміння у взаєминах замовників і розробників СЕД. Щоб краще зрозуміти цей термін, необхідно розвіяти деякі помилки, що стосуються застосування ЕЦП в СЕД і забезпечення юридичної значимості документа:

по суті електронний документ без ЕЦП існувати не може. Якщо ЕЦП не застосовується, то можна говорити лише про електронний образі документа і не більше того. Ніякі графічні образи підписи на документі (наприклад, відсканований паперовий оригінал) не можуть розглядатися як аналог власноручного підпису. Більш того, подібна практика шкідлива, оскільки створює ілюзію захищеності системи і її учасників;

важливо розуміти, що ЕЦП не забезпечує конфіденційність електронного документа. Це завдання вирішує шифрування, яке, в свою чергу, ніякого відношення до забезпечення юридичної значимості документа не має. У разі спільного використання ЕЦП і шифрування потрібно враховувати, що для того, щоб ЕЦП була юридично значимої, користувач повинен бачити і розуміти, щo | він підписує. Тому необхідно спочатку створити ЕЦП, а вже потім зашифрувати документ, який перед перевіркою підпису повинен бути розшифрований;

з певністю можна констатувати, що на сьогоднішній день нормативно-правова і технічна база для реалізації юридично значущого електронного документообіг а в масштабах держави в нашій країні ще не створено. Проте навіть в рамках наявного законодавства і технічної бази можна реалізувати внутрішній юридично значимий електронний документообіг в роботі окремо взятої організації або декількох компаній, що входять в одну структуру, - корпоративний електронний документообіг.

Вже сьогодні багато внутрішні документи організації можна перевести в електронний вигляд (наприклад, службові записки, заявки на виділення коштів, різні внутрішні звіти, доручення і т. П.). Необхідно розробити нормативно-правову базу організації, що регламентує застосування ЕЦП. Такий регламент забезпечить електронним документам юридичну силу - можливість представляти їх в суді як доказ. Безумовно, невелика правозастосовна практика вносить деякі обмеження в застосування ЕЦП, але не є принциповим бар'єром для побудови в окремій компанії внутрішнього юридично значущого електронного документообігу.

Дійові особи та виконавці

Як випливає з вищевикладеного, ЕЦП - це аналог власноручного підпису людини, застосовуваний в електронних документах. Електронно-цифровий підпис створюється за допомогою закритого ключа - унікальної послідовності символів, яка відома його власнику і призначена для створення ЕЦП в електронних документах з використанням відповідних засобів.

Одержувачі електронного документа, підписаного ЕЦП, мають можливість перевірити дійсність підпису за допомогою відкритого ключа та переконатися в тому, що документ справжній, а ЕЦП належить саме тій особі, яка в ньому вказано. Відкритий ключ - це унікальна послідовність символів, яка математично пов'язана з закритим ключем ЕЦП. Відкритий і закритий ключі утворюють так звану ключову пару.

Відкритий ключ доступний будь-якому користувачеві інформаційної системи в складі сертифіката ключа. Сертифікат ключа є аналогом документа, що посвідчує особу (наприклад, паспорта). Це документ на паперовому носії або електронний документ з ЕЦП уповноваженої особи (співробітника) засвідчує центру. Сертифікат ключа крім відкритого ключа ЕЦП містить ідентифікаційні дані власника. Сертифікат передається користувачеві СЕД і виконує два завдання: підтверджує справжність ЕЦП і ідентифікує власника сертифіката ключа підпису.

І в тому і в іншому випадку використовуються засоби електронно-цифрового підпису - програмно-апаратний комплекс, що забезпечує реалізацію хоча б однієї з наступних функцій: створення ЕЦП в електронному документі з використанням закритого ключа ЕЦП; підтвердження з використанням відкритого ключа ЕЦП достовірності ЕЦП в електронному документі; створення закритих і відкритих ключів ЕЦП.

Аналогом третейського судді, якому довіряють всі учасники документообіг а, є засвідчує центр - організаційна структура, що здійснює діяльність з управління сертифікатами ключів і підтримки їх використання в різних підсистемах корпоративної інформаційної системи. Засвідчує центр може бути зовнішньої організацією або підрозділом тієї чи іншої компанії.

Ще один учасник процесу - криптопровайдер. Це програмний або апаратно-програмний модуль, який реалізує один або кілька криптографічних алгоритмів і надає свої функції зовнішніх систем.

Аналогом дати на паперовому документі, яку власноруч проставляє особа, яка підписує документ, є штамп часу. Йдеться про свідчення третьої довіреної сторони - організаційної одиниці, що носить назву служби штампів часу. СЕД передає туди так зване хеш-повідомлення, яке виходить за результатом криптографічного перетворення документа. На це повідомлення служба ставить штамп (засобами свого програмно-апаратного забезпечення), який засвідчує, що електронний документ існував на даний момент часу. В результаті до хеш-повідомлення додається значення, яке вказує, коли службою штампів часу був отриманий запит на проставлення штампа часу. Проставляється значення служба штампів часу підписує власним ЕЦП та повертає документ назад в СЕД.

Сукупність апаратно-програмного забезпечення, а також персоналу, політик і процедур, необхідних для створення, зберігання, розподілу, управління життєвим циклом і використання сертифікатів відкритих і пов'язаних закритих ключів, називається інфраструктурою відкритих ключів (ІВК).

Як завжди, вся справа в деталях реалізації!

Вибираючи СЕД з підтримкою ЕЦП, слід звернути увагу на особливості реалізації обраної системи. Розглянемо ключові аспекти, які необхідно враховувати.

Не тільки зміст, а й форма. У багатьох СЕД в якості електронного документа розглядається файл будь-якого типу (наприклад, Microsoft Word або Adobe Acrobat), що додається до реєстраційної картки. Хотілося б звернути увагу на одну обставину: підписання просто файлів (змістовної частини документів) не представляє великого інтересу для організації. Строго кажучи, не вся інформація в документі є "неструктурованою", документ крім змістовної частини містить реквізити, які можна і потрібно виділяти в окрему структуру, щоб в подальшому здійснювати по ним пошук і класифікацію документів. У багатьох ситуаціях корисно підписувати не тільки зміст, а й форму. В цьому випадку можна відображати на екрані комп'ютера і роздруковувати електронний документ в тому вигляді, в якому він був підписаний, що дозволить уникнути усіляких конфліктних ситуацій.

Всі нюанси паперового документообіг а. ЕЦП повинна бути рівнозначна власноручного підпису і враховувати всі нюанси паперового діловодства. А саме - необхідно, щоб СЕД дозволяла підписати частину документа, поставити підпис в електронному документі послідовно (підписується документ і всі наявні ЕЦП), паралельно (підписується документ і все ЕЦП нижчих рівнів).

На малюнку 3 наведені приклади використання ЕЦП в документі. Підпис "запевняю" - послідовна підпис першого рівня - охоплює тільки змістовну частину документа (це підпис автора документа). Підписи "погоджено 1" і "погоджено 2" (візи узгоджувальних) - це паралельні підпису другого рівня. Вони охоплюють змістовну частину документа і підпис першого рівня і при цьому не залежать один від одного. Підпис "стверджую" (віза керівника) - послідовна підпис третього рівня - охоплює змістовну частину документа і всі попередні підписи.

Формат електронного документа. Для повноцінної реалізації ЕЦП система електронного документообігу повинна підтримувати формат документа, який є канонічною формою, до якої буде приводитися будь-який "електронний документ" в СЕД. З точки зору зручності роботи і перспективи розвитку та інтеграції кращі СЕД, які для опису формату документа використовують мову XML. На даний момент міжнародними організаціями ведеться робота зі створення стандарту формату електронного документа.

Штамп часу. Важливо відзначити, що при роботі з ЕЦП неминуче виникає проблема, обумовлена ​​тим, що термін дії будь-якого сертифіката обмежений певним проміжком часу. Після закінчення терміну дії сертифіката все створені при його допомоги ЕЦП втрачають своє значення, оскільки неможливо визначити, чи була ЕЦП створена, коли сертифікат ще діяв, або коли термін його дії вже закінчився. А це, відповідно до Федерального закону "Про електронно-цифровий підпис", автоматично означає недійсність ЕЦП.

Тому уваги заслуговують лише СЕД, інтегровані зі службою штампів часу, яка дозволяє в один з атрибутів системи поміщати штамп, що фіксує момент створення ЕЦП. При такому рішенні є можливість перевіряти ЕЦП з урахуванням того, чи діяв сертифікат в момент створення цієї ЕЦП, а не в момент перевірки.

Однак і цей штамп завіряється ЕЦП служби штампів часу, сертифікат якої також має обмежений термін дії. Для нівелювання даної проблеми існує стандартизована методика, яка повинна бути реалізована в СЕД . Її суть полягає в тому, що, коли термін дії сертифіката служби штампів часу добігає кінця, СЕД запитує для старого сертифіката і набору службової інформації штамп часу з ЕЦП на новому сертифікаті, термін дії якого тільки починається. Таким чином, завдяки дійсності нового сертифікату можна довести, що до моменту запевнення діяв і старий сертифікат.

Архівна копія електронного документа. СЕД повинна дозволяти учаснику системи отримати архівну копію підписаного електронного документа, яка може бути представлена ​​як доказ у разі виникнення конфліктної ситуації. Зрозуміло, необхідно враховувати обмеження політики безпеки, що стосуються конфіденційних документів.

Створення ЕЦП під документом. Ця дія має виконуватися користувачем усвідомлено. Не допускається підписувати документ в автоматичному режимі. Система обов'язково повинна задати питання, чи буде користувач підписувати документ. У багатьох існуючих СЕД цьому не приділяється належна увага. Більш того, деякі розробники, захоплюючись автоматизацією, спеціально реалізують автоматичну простановку ЕЦП під документом, що є абсолютно невірним підходом.

Фактори, що впливають на успіх впровадження СЕД з ЕЦП

організаційні

- Розуміння того, для чого необхідна ЕЦП і які вигоди можна отримати від її застосування.

- Політика інформаційної безпеки.

- Регламент паперового діловодства.

- Нормативно-правова база застосування ЕЦП в СЕД.

- Кваліфіковані фахівці в області інформаційної безпеки.

Технічні

- В організації розгорнута інфраструктура відкритих ключів або є договір про надання послуг, що засвідчує, сторонньою організацією.

- Розгорнуто служба штампів часу.

- Забезпечується довірена Виконавча програмного забезпечення СЕД на робочих місцях користувачів і серверах.

- На робочих місцях розгорнуто необхідні засоби криптографічного захисту.

Делегування повноважень. Окреме питання - делегування посадових повноважень одного користувача системи іншому. Дуже часто керівники передають своє право підписання електронного документа довіреній особі, при цьому паралельно підписують паперовий примірник документа, який в даному випадку і є оригіналом. Питання не просте. Слід отримати кваліфіковану консультацію у юриста, в яких випадках делегування допустимо і не суперечить чинному законодавству і яким чином цей факт повинен бути оформлений документально. Просто передавати іншому працівникові свій закритий ключ для створення ЕЦП неприпустимо, оскільки така ситуація трактується як компрометація ключа, а отже, отримана під документом ЕЦП не є легітимною.

Якщо говорити про реалізацію СЕД , То технічно делегування реалізується як випуск підтверджуючий центр спеціальних сертифікатів, що мають обмежене застосування (вказується в відомостях про відносини) і термін дії; при цьому в реквізитах ЕЦП вказується, від кого делеговані ці повноваження. Для багатьох читачів термін "відомості про відносини" майже напевно здасться дивним. Цим терміном позначається властивість сертифіката, що дозволяє обмежити область його застосування. Наприклад, співробітник має право поставити підпис під службовою запискою, але не має права підписати фінансовий документ.

Бізнес-логіка СЕД повинна розрізняти сертифікати, випущені для делегування повноважень. Перевірте, щоб ці можливості підтримувала СЕД і забезпечує її інфраструктура.

Впровадження СЕД з ЕЦП в організації: фактори успіху

При впровадженні СЕД рекомендується заздалегідь опрацювати всі питання, так чи інакше зачіпають створення в організації системи захищеного юридично значущого електронного документообігу.

Регламент. Для забезпечення юридичної значимості електронних документів в організації повинен бути розроблений і затверджений регламент застосування ЕЦП. Розробку регламенту слід доручити кваліфікованим фахівцям і залучити (в якості консультантів) юристів. При цьому необхідно доопрацювати внутрішню нормативно-правову базу компанії, з тим щоб регламент не суперечив іншим нормативним актам. Для органів державної влади крім перерахованого потрібно, щоб засоби ЕЦП і засвідчує центр були сертифіковані в установленому законом порядку.

Поінформованість. Учасники системи електронного документообігу повинні добре розуміти, що таке ЕЦП, як її використовувати і що вона їм дає. Це може бути забезпечено проведенням семінарів по застосуванню ЕЦП для керівників підрозділів. А вже потім керівники повинні довести до своїх підлеглих, які вигоди отримує компанія і кожен співробітник від впровадження ЕЦП.

"Свої" або "чужі"? При розгортанні в організації СЕД з ЕЦП необхідно вирішити, яку інфраструктуру відкритого ключа використовувати: розгортати чи власну (внутрішня) або вдатися до послуг сторонньої компанії (зовнішня).

Як правило, великі компанії і холдинги реалізують ІВК власними силами, т. Е. Служби є внутрішніми. Це рішення має ряд переваг, оскільки дозволяє повністю контролювати процес функціонування ІВК. Для середніх організацій економічно доцільним може виявитися використання послуг інших компаній. При цьому між організацією і компанією-постачальником укладається договір на надання послуг засвідчує центру і служби штампів часу.

Для територіально розподілених організацій може бути доцільним використання власної ієрархічної структури засвідчувальних центрів. В цьому випадку засвідчує центр матиме кореневої і підлеглі центри реєстрації. Технічно центри реєстрації оснащені апаратно-програмними комплексами, що реалізують функції роботи з сертифікатами ключів. В ієрархічній структурі, що засвідчує, кожен центр реєстрації (вузол, до якого підключаються кінцеві користувачі) має власний сертифікат ключа, випущений і підписаний вищим центром реєстрації. При цьому кореневої центр реєстрації використовує сертифікат ключа, підписаний власним закритим ключем (так званий самоподпісанний сертифікат), так як у нього немає вищого центру реєстрації. Установка самоподпісанного сертифіката кореневого центру реєстрації повинна здійснюватися за процедурою, яка виключає підміну цього сертифіката.

Крім того, необхідно враховувати кількість запитів, що надходять в засвідчує центр в одиницю часу, і розраховувати продуктивність мережевого обладнання, з тим щоб забезпечити прийнятний час обробки запиту.

Вибір компонентів ІВК. Важливим етапом є визначення критеріїв, за якими слід вибирати компоненти ІВК. Необхідно вивчити пропоновані інфраструктури відкритих ключів: програмне забезпечення посвідчує центру, апаратно-програмні або програмні реалізації систем для служб штампів часу, апаратно-програмні або програмні криптопровайдери. Вибір компонентів не дуже широкий, і отримати професійну консультацію цілком можливо. При цьому необхідно мати на увазі, що наявні апаратно-програмні комплекси імпортного виробництва не забезпечують роботу з російськими криптографічними алгоритмами. Підтримка цих алгоритмів буде потрібна, якщо виникне потреба в сертифікації СЕД .

З практики впровадження СЕД слід зазначити, що найбільш гостро постає питання організації розгортання служби штампів часу, що складається з двох частин: сервера штампів часу і довіреного джерела часу. Конкретна реалізація служби залежить від потреби організації в тривалому зберіганні електронних документів, підписаних ЕЦП. Як правило, сервер штампів часу, з яким необхідна періодична синхронізація, є зовнішнім по відношенню до організації і, таким чином, стає "точкою відмови". Необхідно опрацювати питання забезпечення доступу до резервного сервера довіреної часу. На даний момент питання з довіреною джерелом часу на рівні держави ніяк не вирішене.

Вибір СЕД. Визначившись з інфраструктурою, потрібно витратити значні зусилля на вибір СЕД, оскільки пропозицій дуже багато. Принципові вимоги до СЕД вже обговорювалися вище. Тут зазначимо таке.

Розробники переважної більшості СЕД, представлених на ринку, заявляють, що підтримують юридично значимий електронний документообіг, проте термін цей у кожного трактується по-своєму. Наприклад, ЕЦП проставляється без використання штампів часу, але документ оголошується юридично значущим. Як правило, заява про підтримку юридично значущого документообігу є перебільшенням, оскільки багато важливих питань використання ЕЦП залишаються невирішеними. У зв'язку з цим слід критично ставитися до подібних заяв і уточнювати: що ж розуміє під юридично значущим документообігом конкретний виробник СЕД.

Бажано вибрати постачальника СЕД, що має досвід розробки регламенту застосування ЕЦП.

У багатьох випадках в СЕД відсутні кошти для розбору конфліктних ситуацій, пов'язаних з дійсністю ЕЦП або запереченням авторства, що технічно не дозволяє представити докази в суді. У СЕД повинна існувати чітка процедура розбору конфліктних ситуацій та подання доказів третій стороні.

Не виключено, що буде прийнято рішення замовити розробку системи або істотно доопрацювати існуючу в організації СЕД. Останній підхід мало чим відрізняється по трудомісткості від розробки на замовлення, але значно поступається в ефективності рішення.

Управління впровадженням. Впровадженню повинна передувати розробка стратегії автоматизації діловодства організації. У цьому документі слід чітко сформулювати цілі впровадження СЕД, визначити принципи побудови та етапи впровадження СЕД в организации. Розгортання ЕЦП є складовою частиною процесу впровадження СЕД, і розглядати цей процес як незалежний не рекомендується. Впровадження ж СЕД є відповідальною справою, і підходити до нього слід з особливою ретельністю.

При впровадженні СЕД дуже важливою є розробка нормативно-правової бази. Цей процес виконується поетапно (паралельно з впровадженням самої системи) з урахуванням особливостей діловодства в організації та обраної СЕД.

Як показує практика, СЕД з ЕЦП можна впровадити безболісно, ​​якщо ЕЦП є складовою частиною архітектури системи. Компанія отримає безумовну вигоду, якщо ЕЦП частково впроваджена в СЕД, наприклад в таких підсистемах, як "ведення договорів", "заявки на грошові кошти" та т. П., Але максимальну вигоду від застосування СЕД можна витягти тільки при повномасштабному розгортанні ЕЦП.

Довіра до інфраструктури. Забезпечення довіри до зовнішнього оточення СЕД є ключовим моментом розгортання ЕЦП в організації. Особливу увагу слід звернути на довірену (т. Е. Що виключає підміну) установку на робочому місці користувача самоподпісанного сертифіката кореневого центру реєстрації.

Бажано також забезпечити довірену середу, в якій буде працювати СЕД. Для отримання повністю довіреної середовища необхідно використовувати ряд апаратно-програмних компонентів, що забезпечують (можливо їх поетапне підключення):

- довірену завантаження операційної системи, наприклад з використанням "електронного замка";

- регулярне оновлення антивірусного ПЗ (як на серверах організації, так і на робочих станціях);

- централізовану установку ПО на робочих місцях користувача.

Необхідно також отримати гарантії від розробників СЕД на відсутність недокументованих функцій в системі.

Якщо всі ці питання ретельно опрацьовані, то організаційні і технічні складності процесу впровадження ЕЦП будуть мінімальними.

Висновок

Спочатку СЕД проектувалися без урахування застосування ЕЦП, вони моделювали роботу з паперовими документами, від яких організації не збиралися відмовлятися. У міру усвідомлення того, що ЕЦП використовувати потрібно, розробники стали вбудовувати в існуючі СЕД функції ЕЦП, розглядаючи їх як додаткові. Однак в результаті виходили рішення з обмеженими можливостями, оскільки повноцінне вбудовування ЕЦП вимагало занадто великих переробок в існуючих системах.

Сьогодні, на черговому витку розвитку інформаційних технологій, розробники новостворюваних СЕД вже не розглядають ЕЦП як якесь доповнення і враховують необхідність її застосування вже на етапі розробки архітектури системи.

Світовий досвід розвитку СЕД показує, що перспективи застосування ЕЦП в електронному документообігу і суміжних областях дуже вражаючі. Спостерігається бурхливий розвиток технологій потокового сканування і розпізнавання графічних образів, що дозволяє перевести практично будь-які паперові документи в електронний вигляд і забезпечити ефективний повнотекстовий пошук по ним. Розвивається ІВК. У поєднанні із загальною тенденцією до прискорення прийняття рішень по документам і потребою саме в юридично значимих електронних документах це призводить до того, що електронний цифровий підпис стає затребуваною, як ніколи раніше.

З автором, керівником напряму компанії "Аплана", можна зв'язатися за адресою: [email protected]

Версія для друку

Посилання на цю статтю: [URL = http: //www.pcweek.ru/idea/article/detail.php? ID = 73193] Електронно-цифровий підпис в СЕД: що потрібно знати? [/ URL]
приклади конкретних системи були б бажаними

Тільки зареєстровані Користувачі могут залішаті Коментарі.