ГРИЦИЕНКО А.А.,
специалист отдела безопасности НДЦ,
к.т.н.
Бурное развитие информационных и телекоммуникационных технологий, их широкое использование во всех сферах экономики и управления позволило многократно ускорить бизнес-процессы. Появилась и стала широко использоваться новая форма документа - электронный документ.
К сожалению, сегодня нет единого устоявшегося определения термина электронный документ. В литературе можно найти множество толкований этого понятия. Наиболее удачным, на наш взгляд, является следующее.
Электронный документ - последовательность электрических (электромагнитных) сигналов, описывающая совокупность элементарных данных, объединенных смысловым содержанием, содержащая в качестве обязательных реквизитов необходимую идентификационную информацию и аналог собственноручной подписи, созданной с соблюдением процедур, удовлетворяющих требованиям действующих нормативных актов.
С определением электронного документа тесно связаны понятия аналога собственноручной подписи (АСП) и электронной цифровой подписи (ЭЦП).
Аналог собственноручной подписи (АСП) - персональный идентификатор лица, подписывающего электронный документ, являющийся контрольным параметром правильности составления всех обязательных реквизитов электронного документа и неизменности их содержания.
Электронная цифровая подпись (ЭЦП) - вид аналога собственноручной подписи физического лица (уполномоченного представителя юридического лица).
Использование электронных документов имеет значительные преимущества по сравнению с традиционным бумажным документооборотом:
* повышение оперативности подготовки документа;
* ускорение обработки и передачи;
* совершенствование процедур учета и хранения.
Несмотря на несомненные преимущества, широкое внедрение систем электронного документооборота на первом этапе тормозилось отсутствием эффективных средств подтверждения их подлинности. Для решения этой проблемы на основе результатов, полученных классической и современной алгеброй, были предложены криптосистемы с открытым ключом.
Для реализации криптосистемы с открытым ключом каждым адресатом информационной системы генерируются два ключа, связанные между собой по определенному правилу. Один ключ объявляется открытым, а другой закрытым. Открытый ключ публикуется и доступен любому, кто желает послать сообщение корреспонденту. Секретный ключ сохраняется в тайне.
Исходный текст шифруется, подписывается открытым ключом корреспондента и передается ему. Зашифрованный текст, в принципе, не может быть расшифрован тем же открытым ключом. Дешифрация сообщения возможна только с использованием закрытого ключа, который известен только самому корреспонденту.
Надежность технологии с открытым ключом основана на математически доказанном факте практической невозможности вычисления секретного ключа с использованием современных вычислительных средств за обозримый интервал времени.
Например, для популярного алгоритма RSA Б. Шроппелем были сделаны оценки трудоемкости вскрытия ключа в зависимости от его длины. Результаты этих оценок приведены в табл. 1.
| Длина ключа (бит) | Число операций, необходимое для вскрытия ключа | Примечание |
| 1.4*1010 | Раскрываем на суперкомпьютерах | |
| 2.3*1015 | На пределе современных технологий | |
| 1.2*1023 | За пределами современных технологий | |
| 2.7*1038 | Не раскрываем | |
| 1.3*1051 | Не раскрываем |
Предлагаемые сегодня криптосистемы с открытым ключом опираются на один из следующих типов необратимых преобразований:
* Разложение больших чисел на простые множители.
* Вычисление логарифма в конечном поле.
* Вычисление корней алгебраических уравнений.
Алгоритмы криптосистемы с открытым ключом (СОК) можно использовать как:
* самостоятельные средства защиты передаваемых и хранимых данных;
* средства для распределения ключей. Алгоритмы СОК более трудоемки, чем традиционные криптосистемы. Поэтому часто на практике рационально с помощью СОК распределять ключи, объем которых как информации незначителен;
* средства аутентификации пользователей в системах "электронная подпись".
В последнее время ЭЦП все активнее используется для замены рукописной подписи, подтверждающей подлинность того или иного документа. Ею могут скрепляться всевозможные электронные документы, начиная с различных сообщений и кончая контрактами. ЭЦП может применяться также для контроля доступа к особо важной информации.
К ЭЦП предъявляются два основных требования:
* высокая сложность фальсификации;
* простота проверки.
Для реализации ЭЦП можно использовать как классические криптографические алгоритмы, так и асимметричные, причем именно последние обладают всеми свойствами, необходимыми для ЭЦП.
В настоящее время в России действуют два стандарта, относящихся к ЭЦП: ГОСТ Р 34.10-94 и ГОСТ Р 34.11-94.
Использование средств шифрования и ЭЦП сделали возможным уравнять в правах бумажный и электронный документы в законодательном порядке.
Российское законодательство (включая Гражданский кодекс) является очень гибким в отношении использования электронных средств заключения контрактов. Вполне возможно, что именно в России был создан правовой прецедент признания цифровой подписи в суде. В соответствии с ч. 2 ст. 160 Гражданского кодекса Российской Федерации при совершении сделок в письменной форме допускается использование аналогов собственноручной подписи.
В то же время, как и в других государствах, использование цифровой подписи становится возможным лишь при заключении договоров, в которых предварительно оговариваются процедуры ее применения, проверки, и способы разрешения конфликтов.
В ст. 5 Закона Российской Федерации "ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ", принятого Государственной Думой 25 января 1995 года, законодатель подробно раскрывает правовые аспекты использования электронных документов и использования ЭЦП.
Статья 5. Документирование информации
1. Документирование информации является обязательным условием включения информации в информационные ресурсы. Документирование информации осуществляется в порядке, устанавливаемом органами государственной власти, ответственными за организацию делопроизводства, стандартизацию документов и их массивов, безопасность Российской Федерации.
2. Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации.
3. Юридическая сила документа, хранимого, обрабатываемого и передаваемого с помощью автоматизированных информационных и телекоммуникационных систем, может подтверждаться электронной цифровой подписью.
Юридическая сила электронной цифровой подписи признается при наличии в автоматизированной информационной системе программно-технических средств, обеспечивающих идентификацию подписи, и соблюдении установленного режима их использования.
4. Право удостоверять идентичность электронной цифровой подписи осуществляется на основании лицензии. Порядок выдачи лицензий определяется законодательством Российской Федерации.
Таким образом, ГК РФ и Закон Российской Федерации "ОБ ИНФОРМАЦИИ, ИНФОРМАТИЗАЦИИ И ЗАЩИТЕ ИНФОРМАЦИИ" создают необходимую правовую базу электронного документооборота и использования АСП. Более подробно, с учетом имеющейся специфики, вопросы организации электронного документооборота и использования документов, подписанных АСП, раскрываются в подзаконных актах, таких как:
* Временное Положение ЦБР от 10 февраля 1998 г. № 17-П "О порядке приема к исполнению поручений владельцев счетов, подписанных аналогами собственноручной подписи, при проведении безналичных расчетов кредитными организациями".
* Временное положение ЦБР от 12 марта 1998 г. № 20-П "О правилах обмена электронными документами между Банком России, кредитными организациями (филиалами) и другими клиентами Банка России при осуществлении расчетов через расчетную сеть Банка России".
* Письмо ЦБР от 2 июня 1998 г. № 122-Т "О перечне договорных условий об обмене электронными документами".
* Положение ЦБР от 23 июня 1998 г. № 36-П "О межрегиональных электронных расчетах, осуществляемых через расчетную сеть Банка России".
Клиенты, подключающиеся к различным системам электронного документооборота (СЭД), должны помнить, что распределение рисков, ответственности и доверия в них, в том числе и работающих через Internet, может быть очень гибким. Оно фиксируется только договором между организатором СЭД и клиентом. Клиенту стоит обратить внимание:
* на четкость и однозначность устанавливаемой договором процедуры разрешения конфликтов, которые могут возникнуть в связи с удаленным инициированием операций со счетом;
* на документированность использованных в программном обеспечении криптографических алгоритмов и соответствие их реализации заявленному описанию;
* наличие средств криптографической защиты информации, сертифицированных ФАПСИ;
* наличие лицензии на эксплуатацию и установку сертифицированных ФАПСИ средств криптографической защиты информации;
* на стойкость самих алгоритмов и достаточную длину ключей;
* на правильную организацию схемы управления ключами (действия по компрометации, плановой замене).
Система Головного Депозитария (СГД) НДЦ является автоматизированной системой, предназначенной для оперативной обработки поручений депонентов и выдачи отчетов и различной справочной информации. Идентификация поручений депонентов, вводимых в СГД, обеспечивается применением ЭЦП (данные, формируемые в результате криптографического преобразования электронного документа, позволяющие установить его подлинность).
В соответствии с законодательством Российской Федерации производство и использование криптографических средств регулируется ФАПСИ. Для формирования ЭЦП поручений, направляемых в СГД НДЦ, используется программное обеспечение криптографической защиты информации "Верба-О" для операционной системы Windows-95, имеющее сертификат соответствия ФАПСИ № СФ/114-0174 от 10 апреля1997 года (действителен до 9 апреля 2000 года). НДЦ имеет лицензию ФАПСИ № ЛФ/17-381 от 29 сентября 1998 года на эксплуатацию сертифицированных ФАПСИ шифровальных средств, предназначенных для криптографической защиты информации при ее обработке, хранении и передаче по каналам связи в Системе Головного Депозитария НДЦ. Действие данной лицензии распространяется на всех пользователей СГД НДЦ и дает им право осуществлять эксплуатацию сертифицированных ФАПСИ шифровальных средств, на основании заключенных ими с НДЦ соглашений, без получения отдельных лицензий. Текст "Соглашения об организации использования средств обеспечения авторства и подлинности электронных документов при информационном обмене в Системе Головного Депозитария" с соответствующими приложениями доступен по адресу: https://www.ndc.ru/uslugi/3422.doc.