|
Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью.
Понятие неотрекаемости.
В соответствии с пунктом 1 стати 6 Федерального закона РФ № 63-ФЗ «Об электронной подписи» (далее – 63-ФЗ) , квалифицированная электронная подпись полностью заменяет подпись физического лица или печать и подпись юридического лица со всеми соответствующими юридическими последствиями (ссылка на разъяснения)!
Федеральный закон РФ № 63-ФЗ «Об электронной подписи»
«Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе…»
Ключевой особенностью квалифицированной электронной подписи является неотрекаемость, т.е. то, что владелец сертификата электронной подписи не может впоследствии отказаться от совершенного действия с применением своей электронной подписи, проставленной под электронным документом. Если сравнивать с бумажной технологией, то это аналогично предъявлению отправителем паспорта перед выполнением действия. В системах криптографической защиты это обеспечивается электронной подписью и сертификатом электронной подписи.
Условия получения квалифицированного сертификата ключа проверки электронной подписи
Точка выдачи аккредитованного удостоверяющего центра ЗАО «Калуга Астрал» в г. Махачкала осуществляет выдачу электронных подписей строго в соответствии с требованиями статьи 18 63-ФЗ, а именно только после установления личности владельца сертификата (полномочного представителя) и его полномочий, с обязательным предъявлением документа удостоверяющего личность (паспорта) и, при необходимости, доверенности (для физических лиц и индивидуальных предпринимателей – нотариально заверенная доверенность; для юридических лиц – доверенность, заверенная юридическим лицом).
Федеральный закон РФ № 63-ФЗ «Об электронной подписи»
«Статья 18. Выдача квалифицированного сертификата
1. При выдаче квалифицированного сертификата аккредитованный удостоверяющий центр обязан:
1) установить личность заявителя - физического лица, обратившегося к нему за получением квалифицированного сертификата;
2) получить от лица, выступающего от имени заявителя - юридического лица, подтверждение правомочия обращаться за получением квалифицированного сертификата...
2.3. В случае, если полученные в соответствии с частью 2.2 настоящей статьи сведения подтверждают достоверность информации, представленной заявителем для включения в квалифицированный сертификат, и аккредитованным удостоверяющим центром установлена личность заявителя - физического лица или получено подтверждение правомочий лица, выступающего от имени заявителя - юридического лица, на обращение за получением квалифицированного сертификата, аккредитованный удостоверяющий центр осуществляет процедуру создания и выдачи заявителю квалифицированного сертификата. В противном случае аккредитованный удостоверяющий центр отказывает заявителю в выдаче квалифицированного сертификата....»
В целях повышения безопасности использования электронных подписей и предотвращения компрометации ключей электронных подписей в процессе использования, наш удостоверяющий центр осуществляет формирование ключевой информации непосредственно на защищенные сертифицированные ФСТЭК России ключевые USB-носители (токены), «JaCarta» и «Рутокен» без сохранения ключевой информации на каких-либо иных промежуточных носителях. После формирования ключей электронной подписи, изготовления сертификата и записи его в контейнер ключей, USB-токен передаётся лично в руки владельцу сертификата (полномочному представителю) под роспись в журнале поэкземплярного учета ключевых документов.
Особенность защищенных сертифицированных USB-носителей, в отличие от не защищенных (USB-flash-накопители, жесткие диски, дискеты, и т.п.), заключается в отсутствие возможности получить доступ к ключу электронной подписи, хранящемуся на USB-токене, с целью его несанкционированного использования или копирования без известного только владельцу персонального пароля (ПИН-кода). После получения в удостоверяющем центре электронной подписи на защищенном USB-токене, владелец сертификата обязан сменить ПИН-код доступа к устройству со стандартного, установленного по умолчанию, на свой собственный.
Стоит помнить, что выгруженный (скопированный) с защищенного USB-токена контейнер с ключевой информацией может попасть в руки злоумышленников, подвержен неконтролируемому тиражированию, передаче в руки третьих лиц и несанкционированному использованию, что является компрометацией ключа электронной подписи и может привести к крайне негативным последствиям для владельца сертификата.
В связи с вышеизложенным ключи электронной подписи рекомендуется, а в некоторых случаях является обязательным условием (например, при получении электронной подписи для электронных торговых площадок), хранить на защищенных сертифицированных USB-токенах. Пин-код от защищенного носителя владелец обязан хранить в тайне, а сам носитель в недоступном для посторонних лиц месте.
Особенность защищенных сертифицированных USB-носителей, в отличие от не защищенных (USB-flash-накопители, жесткие диски, дискеты, и т.п.), заключается в отсутствие возможности получить доступ к ключу электронной подписи, хранящемуся на USB-токене, с целью его несанкционированного использования или копирования без известного только владельцу персонального пароля (ПИН-кода). После получения в удостоверяющем центре электронной подписи на защищенном USB-токене, владелец сертификата обязан сменить ПИН-код доступа к устройству со стандартного, установленного по умолчанию, на свой собственный.
Стоит помнить, что выгруженный (скопированный) с защищенного USB-токена контейнер с ключевой информацией может попасть в руки злоумышленников, подвержен неконтролируемому тиражированию, передаче в руки третьих лиц и несанкционированному использованию, что является компрометацией ключа электронной подписи и может привести к крайне негативным последствиям для владельца сертификата.
В связи с вышеизложенным ключи электронной подписи рекомендуется, а в некоторых случаях является обязательным условием (например, при получении электронной подписи для электронных торговых площадок), хранить на защищенных сертифицированных USB-токенах. Пин-код от защищенного носителя владелец обязан хранить в тайне, а сам носитель в недоступном для посторонних лиц месте.
«10. Порядок оказания услуг Удостоверяющего центра…
10.2.8. Формирование Ключей ЭП осуществляется Средством электронной подписи непосредственно на носители, поддерживаемые используемым СКЗИ и указанные в формуляре на СКЗИ, без сохранения сформированной ключевой информации на каком-либо ином носителе. В случае, если формирование Ключей ЭП производится с целью их последующего использования участниками размещения заказа на федеральных и/или коммерческих электронных торговых площадках, то формирование ключевой информации должно осуществляться исключительно на сертифицированные ФСТЭК России ключевые носители, предназначенные для хранения ключевой информации (смарт-карты, usb-исполнение смарт-карты («токен») – eToken, Рутокен, JaCarta, т.п.).»
Следует обратить внимание, если Вы приобретаете сертификат квалифицированной электронной подписи в каком-либо удостоверяющем центре и у Вас не требуют ни личного присутствия, ни предъявления оригиналов необходимых документов (заявление, паспорт, СНИЛС, доверенность, и др.), а так же формирование ключей электронной подписи происходит не на сертифицированный ключевой носитель, то есть вероятность компрометации вашего ключа электронной подписи (передачи третьим лицам) со всеми вытекающими негативными последствиями.
Точка выдачи аккредитованного удостоверяющего центра ЗАО «Калуга Астрал» в г. Махачкала осуществляет выдачу электронных подписей по двум схемам:
1. По «прямой» схеме (в офисе Точки выдачи).
Формирование ключей электронной подписи производится в присутствии пользователя (при необходимости самим пользователем) на автоматизированном рабочем месте Оператора УЦ, аттестованном на соответствие требованиям по технической защите конфиденциальной информации и размещенном в аттестованном помещении Точки выдачи УЦ, имеющей лицензию ФСБ на осуществление соответствующих лицензируемых видов деятельности и в соответствии с Регламентом УЦ.
В данном случае ключи электронной подписи и сертификат электронной подписи записывается только на сертифицированный USB-токен, электронная подпись является уникальной и находится в единственном экземпляре у владельца, что исключает создание и хранение каких-либо копий ключа электронной подписи и его возможную компрометацию.
2. По «удаленной» схеме (через сервис «Астрал-ЭТ»).
Пользователь самостоятельно регистрируется в личном кабинете сервиса «Астрал-ЭТ», предварительно посетив офис Точки выдачи для подтверждения своей личности и предоставления необходимых документов. Установив криптопровайдер («КриптоПро CSP» или «ViPNet CSP») и заполнив форму заявки в сервисе «Астрал-ЭТ» пользователь самостоятельно формирует ключи электронной подписи и запрос на изготовление сертификата электронной подписи. Запрос поступает в Точку выдачи на проверку. После одобрения запроса уполномоченным сотрудником Точки выдачи, производится выпуск сертификата в Удостоверяющем центре и сертификат загружается в личный кабинет пользователя.
В данном случае пользователь, самостоятельно выполняющий криптографические операции по генерации ключевой информации, единолично несет ответственность за компрометацию сгенерированного ключа при использовании не сертифицированных и не защищенных носителей, а также ответственность за последствия компрометации.
1. По «прямой» схеме (в офисе Точки выдачи).
Формирование ключей электронной подписи производится в присутствии пользователя (при необходимости самим пользователем) на автоматизированном рабочем месте Оператора УЦ, аттестованном на соответствие требованиям по технической защите конфиденциальной информации и размещенном в аттестованном помещении Точки выдачи УЦ, имеющей лицензию ФСБ на осуществление соответствующих лицензируемых видов деятельности и в соответствии с Регламентом УЦ.
В данном случае ключи электронной подписи и сертификат электронной подписи записывается только на сертифицированный USB-токен, электронная подпись является уникальной и находится в единственном экземпляре у владельца, что исключает создание и хранение каких-либо копий ключа электронной подписи и его возможную компрометацию.
2. По «удаленной» схеме (через сервис «Астрал-ЭТ»).
Пользователь самостоятельно регистрируется в личном кабинете сервиса «Астрал-ЭТ», предварительно посетив офис Точки выдачи для подтверждения своей личности и предоставления необходимых документов. Установив криптопровайдер («КриптоПро CSP» или «ViPNet CSP») и заполнив форму заявки в сервисе «Астрал-ЭТ» пользователь самостоятельно формирует ключи электронной подписи и запрос на изготовление сертификата электронной подписи. Запрос поступает в Точку выдачи на проверку. После одобрения запроса уполномоченным сотрудником Точки выдачи, производится выпуск сертификата в Удостоверяющем центре и сертификат загружается в личный кабинет пользователя.
В данном случае пользователь, самостоятельно выполняющий криптографические операции по генерации ключевой информации, единолично несет ответственность за компрометацию сгенерированного ключа при использовании не сертифицированных и не защищенных носителей, а также ответственность за последствия компрометации.
Использование электронной подписи и носителя в государственных учреждения.
Государственные учреждения при создании, использовании и хранении сертификата и ключа электронной подписи, при эксплуатации средств электронной подписи руководятся, по мимо выше описанных требований, требованиями предъявляемыми к государственным информационным системам в области информационной безопасности. Контрольные функции за соблюдением данных требований возложены на ФСБ России, не соблюдение указанных норм влечет как административную, так и уголовную ответственность.
Касательно применению носителей ключевой информации можно также руководствоваться "Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии (версия 4.3)"
Касательно применению носителей ключевой информации можно также руководствоваться "Методические рекомендации по использованию электронной подписи при межведомственном электронном взаимодействии (версия 4.3)"
«Требования к программно-аппаратным средствам, используемым для хранения ключевой информации
12. При выборе программно-аппаратных средств для хранения ключевой информации следует учитывать, что данное средство должно иметь сертификат ФСТЭК России, подтверждающий, что:
- данное устройство является программно-аппаратным средством аутентификации и хранения ключевой информации пользователей в автоматизированных системах до класса защищенности 1Г включительно;
- может использоваться при создании информационных систем персональных данных до 1 класса включительно.
При выборе в качестве программно-аппаратных средств для хранения ключевой информации устройств, реализующих криптографические алгоритмы и протоколы, указанные средства должны соответствовать требованиям приказа ФСБ России № 796 «Об утверждении требований к средствам электронной подписи и требований к средствам удостоверяющего центра» в соответствии с утвержденной для информационной системы ОГВ моделью угроз.
Рекомендуется использование ключевых носителей, соответствующих следующим требованиям:
- форм-фактор (по требованию информационных систем) - USB-ключ (предпочтительно) или смарт-карта;
- объем защищенной памяти не менее 32 КБ;
- поддерживаемые интерфейсы и стандарты - PKCS#11 версии v2.01 и выше (для носителей, являющихся СКЗИ, – не ниже v2.3), ISO 7816, Microsoft CryptoAPI, PC/CS (команды APDU), хранение сертификатов X.509 v3;
- ресурс EEPROM-памяти - не менее 500 000 циклов чтения/записи;
- срок хранения данных в памяти - не менее 10 лет;
- среднее время наработки на отказ электронных компонентов - не менее 10 лет;
- поддерживаемые операционные системы - Microsoft Windows семейства NT (32 и 64-битные версии), Linux;»
Можно ли копировать ключи электронной подписи?
Техническая возможность есть, в целях резервирования.
1. Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (статьи 10, 17);
2. Указ Президента Российской Федерации "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации» N 334 от 3 апреля 1995 года ;
3. Приказ ФСБ России от 9 февраля 2005 года № 66 утвердивший Положение "О разработке, производстве, реализации и использовании шифровальных (криптографических) средств защиты информации " (Положение ПКЗ-2005)
4. Приказ ФСТЭК России от 13 июня 2001 г. N 152 утвердившего «Инструкцию об организации и обеспечении безопасности хранения, обработки и передачи по каналам связи с использованием средств криптографической защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну»