Как и где можно хранить электронную подпись. Проблемы долговременного хранения документов, подписанных электронно-цифровой подписью или ее аналогами Приказ хранение ключей электронной подписи

Электронно-цифровая подпись представляет собой новый шаг в идентификации и подтверждении документов. Чем же она является? По какому принципу работает? ЭЦП - это сложно или нет? Сможет её освоить только или же разобраться с нею по силам и пенсионерам?

Общая информация

Первоначально давайте разберёмся с терминологией. Что такое ЭЦП? Это специальный файл, что используется для подтверждения правомочности документов со стороны определённых лиц. Следует отметить, что электронно-цифровые подписи бывают двух типов - не/квалифицированные. В первом случае получить ЭЦП можно в домашних условиях. Для этого достаточно использовать специальные криптографические программы. Применять реквизит домашнего пошива можно для подтверждения подлинности документов и сообщений в кругу друзей или же в рамках небольшого предприятия.

Тогда как квалифицированные ЭЦП - это файлы, что создаются различными организациями, имеющими необходимую для этого лицензию. Их наиболее важной особенностью является наличие юридической силы. Так, для них есть законодательная база, позволяющая использовать эти электронно-цифровые подписи в государственных и коммерческих структурах. К тому же, благодаря ним можно удаленно использовать госуслуги. ЭЦП - это ключ к отсутствию очередей, быстрому и оперативному получению ответов и государству с человеческим лицом.

О сертификатах замолвим слово

Что они собой представляют? Сертификат ЭЦП - это документ, что выдаётся владельцу удостоверяющим центром, что подтверждает подлинность человека. Когда генерируется ключ подписи, то данные о человеке или юридическом лице сохраняются. В сущности своей сертификат ЭЦП представляет собой что-то вроде электронного паспорта.

Обмен электронными документами с их помощью может осуществляться только в случае действительности подписи. На какие сроки она выдаётся? Как правило, она создаётся на год или два. После окончания срока сертификат можно продлить. Следует отметить, что файл при любом изменении в реквизитах владельца ключа как то смена название, руководителя организации и прочем следует отзывать и оформлять новый.

Оформление и продление

Чтобы получить ЭЦП, необходимо заполнить специальную анкету, где указывается почтовый адрес и множество иной информации. Следует отметить, что в сертификате может быть практически любая информация. Но из-за ограничения действия в год или два приходится их постоянно обновлять. Почему?

Дело в том, что информация, содержащаяся в сертификате, обладает определённым полезным сроком актуальности. Так, чем больше данных внесено в файл, тем скорее он становится недействительным. Поэтому и было введено такое ограничение срока действительности.

При этом необходимо знать, что вся информация, что имеется в сертификате подписи, становится общедоступной. Поэтому рекомендуют включать в него как можно меньше данных. Получение ЭЦП также требует наличия носителя, где подпись будет храниться. Как правило, в такой роли используют флешки. Если необходимо продлить электронно-цифровую подпись, то следует обратиться в соответствующее учреждение.

Кто может выдать ЭЦП?

Электронные документы можно подписывать и своими самоделками. Но чтобы они имели юридическую силу, следует обратиться к учреждениям с соответствующей аккредитацией. Наиболее популярным является использование услуг налоговой службы. Так, в Российской Федерации чаще всего за оформлением ЭЦП обращаются к ФНС. Это связано как с общим признанием, широкими возможностями использования, так и с тем, что они предоставляют подписи бесплатно.

При обращении к другим структурам, даже государственным, придётся заплатить несколько сотен или даже тысяч рублей. А учитывая тот факт, что получение ЭЦП будет повторяться каждый год или два, то не удивительно, что многие делают свой выбор в пользу ФНС. Кстати, если есть желание отозвать свою электронно-цифровую подпись, то для этого необходимо обратиться в организацию, что её выдала, с соответствующим заявлением. Когда же это может понадобиться? Вот небольшой список самых популярных причин:

  1. Изменились реквизиты организации.
  2. Уполномоченное лицо (владелец подписи) изменил свой статус: уволился, пошел на повышение, был переведён на другую должность.
  3. Носитель, где хранился ключ, был сломан и больше не может быть эксплуатирован.
  4. Подпись была скомпрометирована.

Какие бывают ключи?

Итак, мы уже знаем, что ЭЦП - это хорошо. Но как проверяется подлинность файла? Для этой цели формируется два ключа (определённые последовательности символов). Итак, есть:

  1. Закрытый (личный, секретный) ключ. Это уникальная последовательность символом, что берёт участие в формировании подписи. Он имеется только у своего собственника и известен исключительно ему.
  2. Открытый ключ. Криптографический инструмент, что доступен любому желающему. Используется для проверки подлинности ЭЦП.

Как наложить электронно-цифровую подпись на документ?

А теперь к главному. Как подписать ЭЦП необходимый документ? Для этого необходима специальная программа, что будет прошивать требуемый файл, внедряя в него электронно-цифровую подпись. Если документ при этом будет хоть как-то изменён, то ЭЦП будет стёрт.

В качестве примера давайте рассмотрим линейку криптографических программ «КриптоПро». Она может быть использована как для создания, так и для подписания документа ЭЦП. Благодаря этому осуществляется разработка, производство, распространение и сопровождение защищенных криптографией файлов.

Где хранить ЭЦП?

Для этой цели может быть использован (по мере увеличения надежности) жесткий диск компьютера, ДВД, обычная флешка или же токен. Но в таких случаях может возникнуть ситуация, когда кто-то посторонний сможет получить доступ к электронно-цифровой подписи и использовать её во вред.

Наиболее распространённым является использование флешки. Благодаря небольшому размеру её спокойно можно носить при себе, а использование не занимает много времени. Более защищенный, но менее популярный способ хранения - это токен. Так называют миниатюрное устройство, обладающее комплексом аппаратных и программных средств, что обеспечивает не попадание информации в чужие руки.

Также токен может использоваться для получения безопасного дистанционного доступа к данным и защиты от посторонних глаз электронной переписки. Внешне он напоминает обычную флешку. Его особенностью является наличие защищенной памяти, благодаря чему стороннее лицо не сможет считать информацию с токена. Это устройство может решать целый спектр проблем безопасности в сферах аутентификации и криптографии.

В заключение

Сейчас люди при работе с документами часто используют бумажную форму, которая требует наличия нашей подписи, выполненной ручкой. Но по мере распространения использования электронных файлов потребность в ЭЦП будет возрастать. Со временем сложно будет представить себе деятельность и активность человека без этого инструмента.

Вполне вероятно, что ЭЦП со временем превратится в полноценный электронный паспорт, важность которого сложно будет переоценить. Но в таком случае будут остро вставать вопросы о безопасности данных. Не следует забывать, что самый уязвимый фактор сейчас в любой технической системе - это человек. Для того чтобы ЭЦП не попал в руки злоумышленников, что используют его во вред, необходимо постоянно повышать свою информированность и квалификацию в использовании технологических продуктов.

Защиту электронной документации, как, наверное, многим известно обеспечивает электронная цифровая подпись. Именно благодаря электронной подписи, документы хранящие в электронном виде обретают ту же самую юридическую силу, что и документы на бумажных носителях скрепленные печатью и собственноручной подписью. Именно поэтому хранение ЭЦП, от кражи или фальсификации, для владельца сертификата должно стать первостепенной задачей при организации всего электронного документооборота.

Как показывает практика, хранить ЭЦП на диске, флешке или реестре своего рабочего компьютера это не только далеко не безопасно, но и способно создать ряд лишних сложностей, так как шифрование ключа осуществляется непосредственно на пользовательском компьютере, а значит и информация практически никак не защищена, а доступ к ней может получить практически кто угодно. К тому же диски и флешки, как в принципе и любой другой носитель информации могут быть испорчены злоумышленниками, а вся информация, которая хранится на них, потеряна, в связи, с чем сегодня возникает острая необходимость в более безопасных и надежных носителях информации.

Специалисты советуют хранение ЭЦП осуществлять на специальных токенах, которые нужно сказать имеют большое количество неоспоримых достоинств. Внешне токиен похож на стандартную флешку, вот только объемом памяти он ее значительно превосходит. К тому же шифрование происходит непосредственно на токене, а доступ к информации, размещенной на нем возможен только после того как пользователь вводит PIN-код.

Взломать или подобрать Пин-код практически невозможно, к тому же все eToken имеют счетики неудачных попыток на ввод пароля, после того как заканчивается отведенный лимит, происходит блокировка PIN-кода. Пин ни когда не когда не передается вместе с данными по сети, а значит перехватить его невозможно. Такой токен может прослужить своему владельцу от пяти до двадцати лет. По внешнему виду он напоминает небольшой брелок, который подключаются к компьютерам через USB-порт и не требует проводов, блоков питания или специальных считывателей.

Помимо eToken хранение ЭЦП можно осуществлять на Rutoken, эти два носителя различаются между собой объемом защищенной памяти и производителем. Rutoken как понятно из названия производится в России и имеет в среднем около 32 гигабайт памяти, при желании на него можно сохранить до 7 ключей электронной подписи.

Любая утрата важной информации может обернуться самыми серьезными последствиями, именно поэтому хранить ключи ЭЦП необходимо долговечных, удобных и защищенных носителях, которые позволят избежать длительной процедуры создания нового сертификата и ключа электронной подписи.

Все тарифы на электронные подписи Вы можете посмотреть

в разделе .

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО. Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код - комбинация символов, после ввода которой вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили инструкцию по смене для Рутокен , eToken , JaCarta . Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука - популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной ЭП

Один носитель - для одного сотрудника
Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку
Электронная подпись - это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе
Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП
Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст. 2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП
Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье .

Защитите рабочее место
Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках
Это правило - основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Алена, я конечно понимаю, что статья носит несколько "общеознакомительный" характер, но все же стоит более широко осветить список "достоинств и недостатков" каждого решения. Я ничуть не опровергаю конечный вывод о большей надежности smartcards, но потенциально они создают куда больше сложностей чем банальное "предполагает дополнительные расходы".

По ключам на локальном компьютере

Это не так. Используемый по умолчанию в Windows RSA-криптопровайдер хранит использует для хранения закрытых ключей папку C:\Users\\AppData\Roaming\Microsoft\Crypto\RSA.

Т.е. располагает их в перемещаемой части профиля, а значит, если пользователь работает за разными машинами в пределах корпоративной сети, ему достаточно будет настроить перемещаемый профиль и устанавливать сертификаты на каждую машину нет нужды.

По использованию токенов

Тут нужно понимать, что у разных производителей данная функциональность реализуется по-разному. У одних клавиатура по вводу PIN-кода расположена прямо на самом устройстве, у дригих используется специализированное ПО на компьютере.

В первом случае устройство получается более громоздким, но более защищенным от перехвата PIN-кода, который может быть считан установкой программного или аппаратного кейлоггера на машине пользователя, в случае использования ПО ввода.

В частности Rutoken использует именно ПО для ввода PIN-кодов, а значит потенциально уязвим.

Верно, сертификаты устанавливать не надо, зато нужно устанавливать драйверы устройств, криптопровайдеры и другие модули.

А это дополнительное низкоуровневое ПО со своими специфическими особенностями и проблемами.

Да, это верно, но только при условии, что вы используете криптофункции самого устройства (т.е. все шифрование и подписание выполняет сам токен).

Это самый безопасный вариант, но у него есть ряд ограничений:

  • релизуемые алгоритмы. Например, тот же Rutoken (если судить по их документации) аппаратно поддерживает только ГОСТ 28147-89. Все остальные алгоритмы, по всей видимости реализуются уже программно, т.е. с извлечением закрытого ключа из хранилища.
  • скорость интерфейсов. Простые smartcards реализуют, как правило не самые быстрые аппаратные интерфейсы (скорее всего в целях упрощения и удешевления устройства), например USB 1.1. А так как для подписания/шифрования вам нужно передать на устройство весь файл, это может стать причиной неожиданных "тормозов".

Однако (опять-таки, судя по документации Rutoken) токены могут выступать и просто как шифрованные хранилища. Например, так они работают в связке с КриптоПро CSP. Ну а дальше вывод очевиден - раз одно ПО может получить доступ к ключам, значит это может сделать и другое.

Дополнительные вопросы

К списку выше нужно добавить еще некоторые вопросы, которые также следует учитывать при принятии решения о переходе на токены:

  • каким образом реализуется обновление сертификатов? Например, ни на сайте Rutoken (в общих разделах и форуме), ни в документации я не нашел упоминания о поддержке Rutoken-ом службы распространения ключей Active Directory. Если это так (и сам Rutoken не предоставляет других механизмов массового обновления ключей), то все ключи нужно обновлять через администраторов, что порождает свои проблемы (т.к. операция не тривиальная).
  • какое ПО, используемое на предприятии и требующее криптофункций:
    • может работать через криптопровайдер (некоторое ПО использует собственную реализацию криптоалгоритмов и требует только доступа к ключам)
    • может использовать криптопровайдеры, отличные от стандартных
  • какое дополнительное ПО (помимо драйверов токена) потребуется установить на рабочих станциях и серверах. Например, стандартный центр сертификатов Microsoft не поддерживает создание ключей для алгоритмов GOST, (а с другими токен может и не работать).

На сегодняшний момент ЭЦП и ее аналоги все активнее внедряются в жизнь и используются в деловых процессах, несмотря на несовершенство законодательства. В оперативной работе ЭЦП удобна и эффективна, но долговременное хранение документов, подписанных электронной подписью, представляет собой серьезную проблему, которая до конца нигде в мире не решена. Поскольку технология еще очень молода, то и исследований в области обеспечения сохранности электронных документов с ЭЦП немного.

Российские государственные органы, регламентируя оперативную работу с электронными документами, не задумываются, что с ними будет происходить в дальнейшем. При установлении сроков хранения не учитываются их особенности, а зачастую вообще игнорируется их существование. Распространение установленных Законом «Об архивном деле в Российской Федерации» сроков ведомственного хранения на электронные документы неминуемо приведет к потере значительной части информации, поскольку требуется иная организация хранения. Позаботиться о длительном хранении электронных документов нужно в момент их создания.

Есть несколько важных вопросов, которые организации придется решать при долговременном хранения документов с ЭЦП:

  • Как обеспечить проверку ЭЦП на протяжении длительного периода времени, и нужно ли это? Как доказывать аутентичность, целостность и т.д. соответствующих электронных документов?

На вопрос о необходимости хранения документов с ЭЦП ответ дает действующее законодательство и нормативные акты, которые предусматривают как минимум среднесрочное (5-10 лет) сохранение электронных документов с возможностью проверки ЭЦП. На большую часть остальных вопросов ответов пока нет, но уже есть требования, которые нужно исполнять.

  • Что делать с подписанными электронным образом документами постоянного срока хранения? В отличие от бумажных, которые могут веками лежать на архивных полках, электронные документы не могут храниться в неизменном виде более 7-10 лет. После этого срока или теряет надежность носитель информации, или устаревает оборудование, программное обеспечение или формат, в котором документ записан. Именно поэтому говорить о 75 годах хранения в организации электронных документов просто немыслимо — принимать на хранение будет уже нечего. Только немногие организации располагают кадрами, опытом и ресурсами, необходимыми для организации такой работы.
  • ЭЦП не неуязвима, и со временем может быть скомпрометирована и/или подделана. Подделка «старых» ЭЦП может иметь не менее катастрофические последствия, чем подделка действующих. Уже сейчас законодательство допускает подписание цифровой подписью документов, имеющих существенное финансовое и юридическое значение. Нужно подумать о том, как защититься от появления через 10-20 лет массы подложных электронных документов, якобы относящихся к началу 21 века и заверенных «правильными» ЭЦП. Если не позаботиться о соответствующих организационных и иных мерах защиты сегодня, то впоследствии возможны крупные неприятности.

Требования к организации
делопроизводства и документооборота

Для того, чтобы интересы организации были должным образом защищены, необходимо заранее продумать, в каком объеме и каким образом информация об ЭЦП должна быть отражена в самом документе и его метаданных.

Национальные Архивы США еще в 2000 году включили в «Руководство по управлению документами для агентств, использующих электронные подписи» требования о том, что все подписанные электронным образом документы при выводе в человеко-читаемом виде (на бумагу или на экран монитора) должны содержать:

  • имя отправителя или лица, который этот документ подписал,
  • дату и время подписания,
  • ясно сформулированные намерения подписавшего, т.е. текст типа:
    • «одобряю»,
    • «отправитель берет на себя ответственность за транзакцию»,
    • «отправитель уполномочен подписать за кого-то еще» и т.п.

Эти требования нацелены на то, чтобы обеспечить удобство работы с документами в течение длительного времени, в том числе и тогда, когда уже не будет возможности осуществить проверку ЭЦП.

Многие наши организации, расшифровывая ЭЦП, тоже включают в печатный вариант документа данные о лице, его подписавшем, и дату подписания. Третье требование у нас, как правило, не применяется, а жаль — «электронная резолюция», из которой ясны намерения подписавшего, делает документ более «неотказуемым».

Требования к документообороту и к деятельности службы ДОУ направлены на то, чтобы обеспечить сохранение всех необходимых документов. Для этого служба ДОУ организации должна:

  • включать в систему документооборота организации все документы, возникающие в процессе использования ЭЦП и инфраструктуры открытых ключей, а также сохранять метаданные, достаточные для поиска и работы с ними;
  • сохранять данный набор документов в течение того же периода времени, что и сам документ с ЭЦП.
  • не обеспечивается целостность документов, и они могут быть модифицированы пользователем;
  • документы доступны только отдельным пользователям, и в результате они не становятся корпоративным ресурсом;
  • возникают сложности с установлением для таких документов сроков хранения, проведением экспертизы ценности и выделением их на уничтожение.

Лучше всего организовать хранение всего комплекта документов, связанных с использованием ЭЦП, в системах электронного документооборота, поскольку такие системы позволяют:

  • обеспечить защищенное хранение, контроль и протоколирование доступа к ним;
  • назначить и отследить сроки хранения;
  • провести контролируемое конфиденциальное уничтожение по истечении сроков хранения.

Американские специалисты отмечают, что технологии, связанные с использованием ЭЦП, пока еще очень молоды и не прошли «огонь и воду» судебных разбирательств. Поэтому рекомендуется подумать о том, как «подстелить соломку» и запастись достаточным комплектом документов на тот случай, если придется идти в суд:

  • Для каждой информационной системы, в которой используется ЭЦП, необходимо разработать политику (регламент) и процедуры. Необходимо описать в деловых и юридических терминах процессы, методы и технологию работы таким образом, чтобы каждая операция была зафиксирована аккуратно, точно и надежно. Поскольку этот документ в случае необходимости придется представлять в суд, в нем не должно быть привилегированной юридической информации, результатов анализа рисков и других конфиденциальных материалов;
  • Для каждой операции рекомендуется создавать суммарный (итоговый) документ в виде, понятном любому обывателю. Цель создания такого документа — в случае спора или судебного разбирательства доказать суду и участникам судебного процесса, что проведение каждой операции соответствует правилам, регламентам и процедурам, принятым в организации. Он должен быть составлен на языке, «понятном простому человеку», без использования сложных технических терминов и формулировок и содержать следующую информацию:
    • сообщение о том, что ЭЦП успешно проверена,
    • дату и время проверки документа,
    • идентификатор операции,
    • ссылку на внутренние нормативные документы, регламентирующие работу (включая дату и версию документа),
    • другую информацию, которую организация сочтет необходимым зафиксировать.

    Документирование использования
    электронно-цифровых подписей
    в организации

    Любое изменение в системе документооборота организации, как правило, влечет за собой изменение состава документации. Внедрение новых технологий не является исключением: в организациях возникает целый комплект новых, ранее не существовавших документов, которые тоже необходимо брать на учет и сохранять в строгом соответствии с законодательством, с тем, чтобы в любых спорных ситуациях организация могла доказать свою правоту.

    В процессе передачи информации могут создаваться и сохраняться следующие документы:

    • В организациях-отправителях и получателях:
      • собственно передаваемый документ,
      • сертификат ключа отправителя,
      • запросы/ответы по проверке сертификатов,
      • внутренние нормативные документы, регламентирующие порядок использования сертификатов ключей,
      • соглашения или договора между участниками информационного обмена об использовании ЭЦП,
      • уведомления об отзыве или компрометации сертификатов открытых ключей,
      • квитанции о принятии документа либо об отказе в приеме документа,
      • документы, фиксирующие конфигурацию используемого программного обеспечения,
      • документы по тестированию и проверке программного обеспечения.
    • В удостоверяющих центрах:
      • внутренние нормативные документы удостоверяющего центра, определяющие правила работы с сертификатами ключей (в том числе порядок организации выдачи сертификатов и порядок хранения аннулированных сертификатов),
      • реестры сертификатов ключей,
      • списки отозванных и утративших силу сертификатов,
      • документация взаимного удостоверения удостоверяющих центров,
      • протоколы и журналы аудита информационной системы удостоверяющего центра.

    Если ЭЦП используется в корпоративной информационной системе и владельцем удостоверяющего центра является одна из организаций — участников информационного обмена, то эта организация должна документировать деятельность своего удостоверяющего центра.

    Перечисленные списки документов отражают наиболее простой вариант использования инфраструктуры открытых ключей. Если используются более сложные варианты, то, соответственно, количество документов возрастает.

    Правильно задокументировать работу с ЭЦП — задача важная, но еще важнее организовать надежное хранение всех документов, в строгом соответствии с требованиями законодательства. Проблем здесь еще больше, и решить их очень и очень непросто.

    Организация хранения документов с ЭЦП

    Говорить о применении ЭЦП в отрыве от вопросов организации документооборота и архивного хранения документов, мягко говоря, нелогично, — но почему-то именно так принято поступать. Ни государственные мужи, ни специалисты информационных технологий, как правило, не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления. Они, помимо прочего, фиксируют разнообразные права и обязательства государства, частных лиц и организаций, произошедшие события, принятые решения и последствия совершенных действий. Такие документы подлежат постоянному или длительному хранению, и вот именно здесь ЭЦП из полезного для оперативной работы инструмента превращается в занозу.

    Чем больше электронных документов использует в своей работе организация, тем раньше она сталкивается с проблемами в области документооборота и архивного хранения.

    Организации необходимо учитывать требования, которые имеются в законодательных и нормативных актах , регулирующих работу с ЭЦП, по организации хранения ряда документов.

    Фрагмент документа

    Федеральный закон «Об электронной цифровой подписи» от 10.01.2002 г. № 1-ФЗ

    Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре

      1. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.

      2. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре после аннулирования сертификата ключа подписи должен быть не менее установленного федеральным законом срока исковой давности для отношений, указанных в сертификате ключа подписи.

      По истечении указанного срока хранения сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Срок архивного хранения составляет не менее, чем пять лет. Порядок выдачи копий сертификатов ключей подписей в этот период устанавливается в соответствии с законодательством Российской Федерации.

      3. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

    По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и от наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен будет обеспечить такой же срок хранения своих документов, оборудования и программного обеспечения — и в рабочем состоянии!

    Если организация сдает какую-либо отчетность в электронном виде , то необходимо определить порядок ее сохранения в организации, с тем, чтобы обеспечить целостность, подлинность и аутентичность электронных документов.

    Фрагмент документа

    Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи
    (утвержден приказом МНС России от 02.04.2002 г. № БГ-3–32/169)

    2. 3. При представлении налоговой декларации в электронном виде налогоплательщик соблюдает следующий порядок электронного документооборота:

    • после подготовки информации, содержащей данные налоговой декларации, налогоплательщик подписывает ее ЭЦП уполномоченного лица налогоплательщика и отправляет в зашифрованном виде в адрес налогового органа по месту учета;
    • в течение суток в адрес налогоплательщика налоговый орган высылает квитанцию о приеме декларации в электронном виде. После проверки подлинности ЭЦП уполномоченного лица налогового органа налогоплательщик сохраняет документ в своем архиве.

    Пока еще не решен вопрос о том, как государство будет выполнять свои обязанности , вытекающие из ст.15 п.2 Закона об ЭЦП, в соответствии с которой при ликвидации негосударственных удостоверяющих центров их документация, а также обязанности по проверке «старых» подписей (см. ст.4 п.1) переходят к «уполномоченному федеральному органу исполнительной власти». Сейчас вопросами удостоверяющих центров занимается Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.

    В Положении «О Федеральном агентстве по информационным технологиям», утвержденном постановлением Правительства Российской Федерации от 30 июня 2004 г. № 319 в разделе о полномочиях этого органа исполнительной власти записано, что он должен организовывать:

    • подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
    • ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.

    Но вот кто будет отвечать за остальную документацию, кто будет ее хранить и, самое главное, подтверждать подлинность ЭЦП — неясно до сих пор!

    В интернете чаще всего можно встретить оптимистические рассказы о том, как хорошо и удобно хранить документы, подписанные ЭЦП. Никаких проблем, одни удобства и сплошное удовольствие: