Преимущества использования ЭЦП очевидны: документы, подписанные электронной цифровой подписью, могут быть переданы к месту назначения в течение нескольких секунд. Все участники электронного обмена документами (Электронного документооборота, ЭДО) получают равные возможности независимо от их удаленности друг от друга.

Подделать ЭЦП практически невозможно — для этого требуется огромное количество вычислений, которые в данный момент не могут быть осуществлены за приемлемое время, пока информация, содержащаяся в подписанном документе, сохраняет актуальность. С использованием ЭЦП меняется схема работы и цепочка «разработка проекта в электронном виде — создание бумажной копии для подписи — пересылка бумажной копии с подписью — рассмотрение бумажной копии — перенос ее в электронном виде на компьютер» уходит в прошлое, резко сокращая временные издержки на пересылку документов.

Использование ЭЦП позволяет:

• заменить при безбумажном документообороте традиционные печать и подпись. При построении цифровой подписи вместо обычной связи между печатью или рукописной подписью и листом бумаги выступает сложная математическая зависимость между электронным документом, секретным и открытым ключами.
• минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена документами, придание документам юридической значимости;
• возможность использовать одной ЭЦП в электронных торгах, сдачи отчетности в государственные органы, визирование и работа с финансовыми документами;
• значительно сократить время движения документов в процессе оформления отчетов и обмена документацией;
• усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов; гарантировать достоверность документации;
• построить корпоративную систему обмена документами.

Назначение удостоверяющего центра

В то же время, увеличиваются риски, связанные с мошенничеством с документами в электронном виде: как пример для Банков в данном случае – мошеннические электронные платежи, для других компаний – разглашение конфиденциальных документов, подделка авторства или, наоборот, отказ от него.

В настоящий момент существует множество вирусов, специализирующихся на краже ЭЦП как для последующей перепродажи, так и напрямую для совершения мошеннических действий авторами. Естественно, предпринимаются контрмеры, позволяющие предотвратить утрату: межсетевые экраны, антивирусы и токены, осуществляющие операцию по подписанию документа в себе, исключающие утрату ЭЦП, на стороне осуществляющей подпись документа, так и определенные средства и методы проверки подлинности ЭЦП.

Для обеспечения безопасности и исключения подмены открытых ключей в соответствии с Федеральным законом "Об электронной цифровой подписи" создается доверительная организация - Удостоверяющий центр (УЦ), куда направляются открытые ключи всех пользователей. УЦ — основной компонент автоматизированных информационных систем с применением электронных цифровых подписей. Главная цель создания Удостоверяющего центра состоит в организации и поддержке безопасности защищенного, юридически значимого электронного обмена документами как внутри предприятий и организаций, так и между ними.

Правовой базой для применения ЭЦП является Федеральный закон от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи».

В соответствии с 1-ФЗ под удостоверяющим центром понимается субъект права, являющегося носителем субъективных прав и юридических обязанностей в части:

• Изготовления и выдачи ключей электронной цифровой подписи;
• Изготовления и выдачи сертификатов ключей электронной цифровой подписи;
• Регистрации владельцев сертификатов ключей электронной цифровой подписи;
• Аннулирования, приостановления и возобновления действия сертификатов ключей электронной цифровой подписи;
• Предоставления информации о действии сертификатов ключей электронной цифровой подписи;
• Подтверждения подлинности электронных цифровых подписей.

Удостоверяющий центр гарантирует:

• конфиденциальность хранимой, обрабатываемой и передаваемой по открытым каналам связи информации при условии использования сертификатов для шифрования;
• уникальность и защиту создаваемых электронных цифровых подписей пользователей;
• персонификацию и достоверность данных участников электронного документооборота;
• подлинность и целостность электронных документов при условии использования сертификатов для подписи;
• доказательную базу для разрешения конфликтов и споров в судах РФ, связанных с совершением гражданско-правовых сделок в электронном виде, при условии сохранения клиентом соответствующих документов и ЭЦП.

Для подтверждения соответствия средства ЭЦП установленным требованиям владельцу ключа подписи выдается сертификат ключа подписи, который содержит следующие сведения:

• имя владельца, другие идентифицирующие данные;
• сроки действия ключа;
• уникальный номер сертификата ключа подписи;
• наименование и местонахождение Центра, выдавшего сертификат ключа подписи;
• правоотношения, в которых ЭЦП имеет юридическое значение;
• дата выдачи сертификата;
• сведения о действии сертификата.

Изготовление сертификатов ключей подписей осуществляется на основании заявления участника информационной системы. Заявление подписывается собственноручно владельцем сертификата подписи. Содержащиеся в заявлении сведения подтверждаются предъявлением соответствующих документов.

Сертификат ключа подписи в электронном виде, подписанный секретным ключом Удостоверяющего центра, направляется пользователю ключа подписи и вносится в реестр сертификатов ключей подписей Удостоверяющего центра.

• Сертификаты на бумажных носителях оформляются в двух экземплярах, которые заверяются собственноручными подписями обладателя ЭЦП и уполномоченного лица Центра и печатью Центра. Один экземпляр выдается обладателю электронно-цифровой подписи, второй остается в Удостоверяющем центре. Данные сертификаты будут служить доказательством при разборе конфликтных ситуаций и подтверждения ЭЦП.
•  
• Фактически Удостоверяющий Центр выступает в роли «Электронного Нотариуса», заверяющего и подтверждающего «электронные» подписи на «электронных» документах.

Порядок создания УЦ

Этап первый: Подготовка к внедрению УЦ

Как и каждый проект по созданию чего-либо, данный проект начинается с  проведения предпроектного обследования, в ходе которого будет формализован документооборот, юридическую значимость которого необходимо будет подтвердить. Очень часто бывает, что ни схемы бизнес-процесса, ни формализованных ролей участников нет и в помине – это необходимо будет составить по результатам обследования.  Так же, необходимо установить необходимость доработки используемого программного обеспечения ЭДО для интеграции с внедряемыми СКЗИ и, если это необходимо, провести соответствующие  доработки.

На основании результатов обследования определяются требования к аппаратной части удостоверяющего центра и типовых требования к АРМ ЭДО. Можно начинать организовывать закупку технических средств и общесистемного программного обеспечения для УЦ. Так же необходимо определиться с тем, какие именно СКЗИ мы будем использовать при построении УЦ, кто будет поставщиком специализированного ПО УЦ.

Для размещения УЦ и средств криптографии необходимо подготовить помещения УЦ согласно требованиям ФСБ к размещению СКЗИ, требований поставщика ПО УЦ и результатов обследования, разработать общие документы по обеспечению ИБ при использовании СКЗИ:

•  инструкция по работе с СКЗИ в организации;
•  инструкция пользователя по безопасности при использованию СКЗИ;
•  инструкция администратора безопасности информации;

а также издать ряд приказов организационного порядка (назначение администратора,определение круга лиц допущенных к работе с СКЗИ, назначение комиссии по категорированию и т.п.)

Данные документы определены требованиями  ФСБ и необходимы для прохождения процедуры аттестации АРМ генерации ключевой информации.

Пока осуществляются монтаж технических средств, установка и настройка общесистемного программного обеспечения, компания проводит закупку выбранных ранее СКЗИ и специализированного ПО УЦ.

Далее по мере готовности  необходимо провести аттестацию «объектов генерации ключевой информации» - АРМ генерации ключей с установленным СКЗИ. Данную процедуру проводит специализированная аттестационная лаборатория, имеющая соответствующую лицензию ФСТЭК. Результатом данных работ будет «Аттестат соответствия».

Обучение персонала УЦ работе со специализированным ПО необходимо проводить на специализированных курсах, программа которых согласована с ФСБ.

Поскольку при использовании ЭЦП используется криптография, то юридическому лицу, которое будет собственником УЦ, необходимо  получить лицензии на следующие виды деятельности в ФСБ России:

• на предоставление услуг в области шифрования;
• на распространение шифровальных (криптографических) средств, включая их продажу и передачу.
• на техническое обслуживание шифровальных (криптографических) средств

Для получения лицензий необходимо подготовить помимо общих документов об организации (копии уставных документов, выписка из ЕГРЮЛ и т.п.), документы свидетельствующие о готовности компании к осуществлению данных видов деятельности, список которых из 16ти пунктов приведен в «Перечень сведений, обосновывающих наличие в организации условий для осуществления заявленных видов деятельности в области защиты информации.». По получению вышеуказанных документов территориальный орган ФСБ  в течении 45 дней проводит проверку организации лицензируемых видов деятельности на месте (в организации)и  дает заключение по предоставлении или отказе в выдачи лицензий . При наличии положительного решения необходимо оплатить соответствующие пошлины,после чего лицензии выдаются соискателю.

Этап 2. Внедрение УЦ

Итак, первый шаг сделан: Мы имеем на руках разрешение в виде лицензий на использование СКЗИ, аппаратные средства и ПО закуплены, помещение подготовлено. Чего де ждать?

Важным шагом данного этапа является разработка и утверждение правоустанавливающих документов и регламента предоставления услуг Удостоверяющего Центра.

Регламент Удостоверяющего центра - документ, который определяет механизмы и условия предоставления и пользования услугами Удостоверяющего Центра, включая обязанности и права Удостоверяющего центра и пользователей, принятые форматы данных, основные организационно технические мероприятия, необходимые для надежной и безопасной работы Удостоверяющего центра.

Основное назначение Регламента является обеспечение неотказуемости пользователей УЦ от факта обладания сертификатами ключей подписи и соответствующими ключами подписи.

Регламент Удостоверяющего центра может быть разработан как:

• Организационный документ, утверждаемый руководителем предприятия, выполнение положений которого вменяется сотрудникам предприятия и лицам, присоединившимся к настоящему Регламенту (на основании заключения Договора присоединения к Регламенту Удостоверяющего центра) - Вариант №1;
• Договор присоединения (в соответствии со статьей 428 Гражданского кодекса РФ) - Вариант №2.

Удостоверяющий центр может осуществлять свою деятельность в отношении нескольких информационных автоматизированных систем. В данном случае для каждой системы разрабатывается Порядок предоставления и пользованиями услугами Удостоверяющего центра, который оформляется в виде приложения к Регламенту Удостоверяющего центра. Также в виде приложений приводятся образцы и формы использующихся документов.

Регламент Удостоверяющего центра, разработанный по Варианту №1, целесообразно использовать для эксплуатации Удостоверяющего центра в рамках отдельного предприятия для нужд внутренних информационных автоматизированных систем. В тоже время, при выходе информационных систем за рамки отдельной организации или при возникновении необходимости интеграции с информационными автоматизированными системами иных компаний, действие Регламента на сторонние организации может распространяться посредством заключения Договора присоединения к Регламенту Удостоверяющего центра.

Регламент Удостоверяющего центра, выступающий в форме Договора присоединения, разрабатывается применительно к тем случаям, в которых деятельность Удостоверяющего центра изначально осуществляется для нужд стороннего пользователя - клиента.

Параллельно с написанием организационно-распорядительной документации, приказов, регулирующих деятельность УЦ и его пользователей в организации,  можно вести пуско-наладочные работы специализированного программного обеспечения удостоверяющего центра. По их окончанию проводим опытную эксплуатацию, устраняем выявленные недостатки и финальная стадия - оформление ввода в промышленную эксплуатацию.

Этап третий. Сопровождение.

В процессе «боевой» эксплуатации УЦ желательно заключить договора с поставщиками или какой-другой специализированной компанией договора на сопровождение ПАК  УЦ и используемых СКЗИ.,

Со своей стороны мы так же рекомендуем продолжить сотрудничество с компанией-интегратором, помогавшей Вам создавать УЦ, заключив договор на  сопровождение ОРД УЦ, который позволит Вам не отслеживать самостоятельно изменения в Законодательстве и нормативных актах регулирующих органов, получить поддержку в виде предпроверочного экспресс-аудита и помощи в устранении выявленных недостатков, консультационных услуг при прохождении проверки ФСБ (на основании приказа №152 и Постановления Правительства РФ от 23 сентября 2002 г. N 691, которым введены  положения по лицензированию), в ходе которой проверяются:

• готовность внутренней нормативной базы;
• помещение и АРМ генерации (регулирующие документы по охране и доступу и корректность их исполнения);
• порядок учета, хранения и обращения с  ключевыми документами;
• обучение персонала УЦ (сотрудников органа криптографической защиты);
• наличие документов на владение КЗ.