Существует два вида электронной подписи (ЭП) — простая и усиленная. Последний вид делится на две подкатегории — неквалифицированную и квалифицированную ЭП. Для понимания, где и какую подпись применять, необходимо знать их различия и принципы действия.
Случается, что пользователь в течение дня несколько раз использует простую ЭП, не осознавая этого. Под простой подписью понимают комбинацию логина и пароля, которая применяется для входа на сайт, получения доступа к электронной почте, оплаты товаров или услуг в режиме онлайн. Она необходима для идентификации пользователя, совершившего те или иные действия. В зависимости от серьезности операции выдвигаются требования к вводимому коду. Нередко при регистрации всплывает окно «Данный логин уже используется». Это говорит о том, что каждая простая электронная подпись на данном ресурсе уникальна и закреплена за определенным человеком. При совершении финансовых операций приходит уведомление, что логин и пароль пользователя являются секретной информацией, которую не рекомендуется хранить в свободном доступе и передавать третьим лицам.
Федеральный Закон № 63-ФЗ признает право подписывать электронный документ простой ЭП в том случае, когда стороны договорились о возможности признать данную подпись аналогично собственноручной. Ограничения распространяются на документы, содержащие государственную тайну, а также в тех случаях, когда это противоречит действующему законодательству.
Усиленная неквалифицированная и квалифицированная ЭП создаются путем криптографического преобразования электронного документа. Усиленная неквалифицированная подпись позволяет аутентифицировать пользователя, подписавшего электронный документ. Также она подтверждает отсутствие изменений после подписания документа. Для ее применения нет необходимости приобретать сертифицированный ключ проверки ЭП. Основная сфера действия — это документооборот между контрагентами и участие в электронных торгах, если это предусмотрено правилами самой площадки.
Усиленная квалифицированная электронная подпись обладает теми же возможностями, что и неквалифицированная ЭП. Для ее приобретения необходимо обратиться в аккредитованный удостоверяющий центр. Владелец подписи получает на руки открытый и закрытый ключи и квалифицированный сертификат проверки ЭП, сведения о котором заносятся в соответствующий госреестр. Усиленная квалифицированная электронная подпись имеет юридическую значимость наравне с бумажным собственноручно подписанным документом.
uc.iitrust.ru
Давайте разбёрмся, что же такое ЭЦП и как она работает. Для работы с ЭЦП нам, прежде всего, необходим цифровой сертификат и закрытый ключ.
Сначала, нам необходимо установить ЭЦП под документом. Установка ЭЦП происходит в два шага: 1. Берём документ, который мы хотим подписать и вычисляем хэш от этого документа. (Упрощённо, хэш — это односторонняя математическая функция преобразования документа произвольной длинны, в документ фиксированной длинны). 2. Затем, этот полученный хэш шифруем нашим закрытым ключом.
Теперь документ, с прикреплённой к нему ЭЦП и нашим сертификатом, отправляем получателям.
Получив подписанный документ, нам необходимо проверить подпись — действительна она или нет. Проверка ЭЦП происходит несколько сложнее: 1. Берём документ, подпись под которым необходимо проверить, вычисляем хэш от этого документа. 2. Берём цифровой сертификат пользователя, который подписал документ и прикреплённую к документу ЭЦП (которая является зашифрованым на закрытом ключе подписсанда хэшом оригинального документа) и расшифровываем с помощью открытого ключа. Таким образом, у нас есть два хэша — тот, который мы вычислили сами и тот, который мы получили вместе с документом и расшифровали открытым ключом подписанта. 3. Теперь сравниываем эти хэши. Если хэши совпадают, значит подпись действительна, если хэши различаются, значит подпись неделйствительна.
В заключении определим, что нам даёт использование цифровой подписи: 1. Неизменяемость в процессе передачи или хранения — если документ был изменён, то хэш, который мы вычислим, и который был прикрёплён к документу, буду разные, следовательно, подпись будет неделйстительная, из чего можно сделать вывод, что документ был изменён; 2. Неотказуемость от авторства — если подпись верна, значит подписант, сертификат (точнее открытый ключ из сертификата) которого используется для расшифрования хэша и является автором документа;
Для того, чтобы было невозможно подделать ЭЦП, закрытый ключ должен быть в единственном экземпляре и доступ к нему должен быть только у владельца. Это можно реализовать используя смарт-карты, но это уже совсем другая история.
Электронная цифровая подпись представляет собой альтернативу рукописной подписи с полной юридической силой. По сути, это определенная последовательность символов, которая генерируется в результате криптографического преобразования.
Основное предназначение ЭЦП – подтверждение авторства определенного документа и гарантия того, что этот документ не изменяли после того, как он был подписан.
Идея электронной подписи зародилась еще в 1976 году в США. Но лишь спустя некоторое время, в 2000-м, подпись на бумаге и ее цифровой вариант признали равнозначными. В Россию закон об использовании ЭЦП пришел в 2011 году.
Владелец ЭЦП имеет при себе два ключа: закрытый и открытый.
Закрытый ключ «создает» электронную подпись и, непосредственно, подписывает ею документ. Такой ключ должен храниться в тайне.
Открытый ключ тесно связан с закрытым. Нужен для подтверждения подлинности данной электронной подписи. Его также называют ключом проверки. Принадлежность ключа проверки его владельцу подтверждает специальный сертификат.
Классификацию ЭЦП определяет Федеральный закон 63-ФЗ «Об электронной подписи». Согласно ему, электронная подпись разделяется на простую и усиленную. Усиленная в свою очередь может быть квалифицированной и неквалифицированной.
Простую электронную подпись получают с помощью специальных инструментов типа кодов, паролей и т. д. Позволяет подтвердить авторство, но не гарантирует неизменность информации после подписания документа. Если документ требует печати, то простой ЭП не достаточно.
Неквалифицированная ЭП выполняет обе функции: подтверждает авторство и гарантирует неизменность документа. Для создания такой подписи используют специальные инструменты криптозащиты.
Квалифицированная электронная подпись аналогична предыдущему виду ЭЦП с единственной оговоркой: выдаются такие подписи только в удостоверяющих центрах. Средства криптозащиты в случае с квалифицированной подписью обязательно должны быть подтверждены Федеральной Службой Безопасности.
Часто обмен сообщениями заключается не только в отправке информационных писем, но и документов, которые необходимо заверять. В таких сферах ЭЦП просто незаменим.
Самые распространенные области применения: электронная подпись для участия в торгах, документооборот и отчетность. Кроме того, ЭЦП используется в государственных структурах, арбитражных судах, банковских платежных системах и т. д.
Популярность электронной подписи растет в геометрической прогрессии. К примеру, за год в системе госзакупок выдается более 1 млн. подписей. Все большее число компаний используют ЭЦП для различных потребностей. Это подтверждает многочисленные преимущества данного вида идентификации.
Вот некоторые из преимуществ:
Порядок получения ЭЦП для юридических и физических лиц немного различается. Но в общем алгоритм получения ЭЦП можно описать так:
Напоминаем, что компания PARU GROUP в короткие сроки изготовит ЭЦП для участия в электронных торгах. Звоните по бесплатному номеру 8 800 700-72-83 или оставьте заявку.
parugroup.ru
Электронная цифровая подпись (ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа ЭЦП, а также установить отсутствие искажения информации в электронном документе.
Нормативно-правовые документы касающиеся ЭЦП
Использование ЭЦП при заключении сделок регламентируется Федеральным законом от 10.01.2002 N1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ». Законом провозглашаются общие положения «правил игры» на электронных рынках в части вопросов признания ЭЦП в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе.
Основные цели применения ЭЦП
Основной целью применения электронной цифровой подписи (ЭЦП) является переход от бумажных документов к электронным. Это означает, что документы изначально оформляются в электронном виде и не переводятся на бумажные носители (не распечатываются).
Переход к электронному документообороту позволяет:
* существенно сократить сроки передачи документов между сотрудниками или организациями посредством передачи электронных документов по каналам электросвязи. Что позволит, например, исключить ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период необходимо закрывать, а оригиналы документов подтверждающих факт хозяйственной операции должны поступить по почте. Даже если почта не потерялась в процессе пересылки и приходит в срок, время на ее доставку требуется очень существенное; * сократить размер накладных расходов: бумага, курьерская доставка, почтовые расходы и т.д.
Функции ЭЦП
ЭЦП обеспечивает следующие функции:
* Подтверждает, что подписывающий не случайно подписал электронный документ; * Подтверждает, что только подписывающий и только он подписал электронный документ; * ЭЦП должна зависеть от содержания подписанного документа и времени его подписания; * Подписывающий не должен иметь возможности в дальнейшем отказаться от своей подписи.
Виды ЭЦП
ЭЦП могут быть присоединены к подписываемым данным, отсоединены от них или находиться внутри данных. Наиболее часто применяют ЭЦП к данным, хранящимся в файлах, а сама подпись относится ко всему содержимому файла.
В случае создания присоединенной подписи создается новый файл ЭЦП, в который помещаются данные подписываемого файла. Этот процесс аналогичен помещению документа в конверт и его опечатыванию. Перед извлечением документа следует убедиться в сохранности печати (для ЭЦП в ее правильности). К достоинствам присоединенной подписи следует отнести простоту дальнейшего манипулирования с подписанными данными, т.к. все они вместе с подписями содержатся в одном файле. Этот файл можно копировать, пересылать и т.п. К недостаткам следует отнести то, что без использования средств СКЗИ уже нельзя прочесть и использовать содержимое файла, точно так же, как нельзя извлечь содержимое конверта, не расклеив его.
При создании отсоединенной подписи файл подписи создается отдельно от подписываемого файла, а сам подписываемый файл никак не изменяется. Достоинством отсоединенной подписи является то, что подписанный файл можно читать, не прибегая к СКЗИ. Только для проверки подписи нужно будет использовать и файл с ЭЦП, и подписанный ей файл. Недостаток отсоединенной подписи - необходимость хранения подписанной информации в виде нескольких файлов (подписанного файла и одного или нескольких файлов с подписями). Последнее обстоятельство существенно осложняет применение подписи, так как при любых манипуляциях с подписанными данными требуется копировать и передавать несколько независимых файлов.
Применение ЭЦП этого вида существенно зависит от приложения, которое их использует, например электнонная цифровая подпись внутри документа Microsoft Word или Acrobat Reader. Вне приложения, создавшего ЭЦП, без знания структуры его данных проверить подлинность частей данных, подписанных ЭЦП затруднительно.
Удостоверяющие центры (УЦ)
Удостоверяющий центр – организация или подразделение, обеспечивающее взаимное доверие между участниками обмена электронными сообщениями, подписанными электронной цифровой подписью. Именно обеспечение доверия между сторонами является основной задачей удостоверяющего центра, в этом его задача близка к задаче службы нотариата. Только на основании доверия всех участников обмена к удостоверяющему центру строится механизм доверия сторон к электронным цифровым подписям и сведениям, указанным в сертификатах участников обмена.
Для реализации механизма взаимного доверия участников обмена удостоверяющий центр имеет центр сертификации, который:
* изготавливает сертификаты открытых ключей; * создает ключи по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа; * приостанавливает и возобновляет действие сертификатов открытых ключей, а также аннулирует их; * ведет реестр сертификатов открытых ключей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем; * проверяет уникальность открытых ключей в реестре сертификатов ключей подписей и архиве удостоверяющего центра; * выдает сертификаты открытых ключей в форме документов на бумажных носителях и (или) в форме электронных документов с информацией об их действии; * осуществляет по обращениям пользователей сертификатов открытых ключей подтверждение подлинности электронной цифровой подписи в электронном документе в отношении выданных им сертификатов открытых ключей; * может предоставлять участникам информационных систем иные связанные с использованием электронных цифровых подписей услуги.
Российские удостоверяющие центры
Служба штампов времени
Срок действия любого сертификата ЭЦП ограничен определённым промежутком времени. После истечения его срока действия все документы созданные при помощи данной ЭЦП теряют свою юридическую силу, т.к. невозможно определить был ли сертификат актуален на момент подписания данного документа или нет? Это автоматически означает недействительность документа согласно с ФЗ «Об электронной цифровой подписи».
Служба штампов времени позволяет доказать факт существования документа на определённый момент времени.
Службой штампов времени может выступать Удостоверяющий центр, имеющий точный и надёжный источник времени и предоставляющий услуги по созданию штампов времени.
Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Это значит, что сохраняется возможность использования отозванного сертификата для проверки ЭЦП, созданных до момента отзыва. Эта проблема актуальна для всех систем электронного документооборота. Штамп времени также может использоваться для подтверждения получения или отправления документа, когда это необходимо.
Что еще позволяет осуществить использование цифровой подписи?
Электронная цифровая подпись является одним из важнейших элементов для организации полноценного электронного документооборота, т.к. служит аналогом собственноручной подписи человека. Кроме этого, использование цифровой подписи позволяет осуществить:
* Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему. * Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев. * Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом. * Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
Что необходимо сделать для работы с ЭЦП?
Для работы с ЭЦП необходимо:
Оставьте свой комментарий
pro-spo.ru
Законом N 63-ФЗ “Об электронных подписях” предусмотрены следующие виды электронных подписей: простые и усиленные. Второй вид ЭП разделяется на квалифицированные и неквалифицированные.
Простая ЭЦП
Создается с помощью паролей, кодов или других средств, и используется для заверки информации определенными лицами. Для того чтобы простая ЭЦП была признана действительной должны соблюдаться два условия:
В нормативных документах и договорах между участниками обязательно следует определить следующие моменты касательно пользования простой электронной подписью:
Усиленная неквалифицированная ЭП
Создается при помощи криптографической программы с применением ключа ЭЦП. С помощью нее можно установить лицо, которое заверило документ, и выявить факт изменения информации после ее подписания. Заверяя данные неквалифицированной электронной подписью, можно избежать необходимость использования сертификата ключа проверки ЭП, если без него обеспечено соответствие подписи всем признакам установленным законодательством. Как в случае с простой электронной подписью необходимо удовлетворить требования, предусмотренные в нормативной документации и договорах между участниками, обменивающимися документами.
Усиленная квалифицированная ЭЦП
Данный вид электронных подписей уникален тем, что имеет ключ проверки, который содержится в квалифицированном сертификате. Также их формирование и проверка осуществляется посредство специальных средств ЭП, к которым в соответствии с законом N 63-ФЗ предъявляются дополнительные требования.
Документы, заверенные усиленной квалифицированной подписью, наделяются такой же юридической силой как аналоги с собственноручной подписью во всех случаях, кроме тех, когда на основании закона требуется оформление исключительно бумажных документов. При этом в нормативной документации и договорах между участниками законом предусмотрена возможность добавления дополнительных требований к электронным документам, заверенным усиленной квалифицированной ЭЦП.
Виды электронных подписей, созданные в других странах
На основании 7 статьи N 63-ФЗ ЭЦП, созданные в соответствии со стандартами других стран, относятся к тому виду электронных подписей, чьим признакам они подходят. Создание ключа ЭП в другой стране не может служить основанием для не наделения юридической силой заверенной им документа.epinfo.ru
Использование электронной подписи с развитием интернет-услуг становится обычным делом, как для физлиц, так и для компаний. Сама электронная подпись — некий аналог обычного утверждения документа, но выполненный в цифровом виде. Сущность заключается в привязке определенных данных к передаваемому файлу для проверки последнего. Если еще больше упростить пояснение, в случае с классической подписью на документе сверяется схожесть текста, а в электронной цифровой подписи (ЭЦП) — соответствие прикрепленной информации.
Благодаря использованию электронной подписи, удалось «легализировать» документооборот в глобальной сети. При этом многие сделки оформляются без личной встречи сторон, что открывает новые пути для бизнеса. Одновременно с этим нужно учитывать существующие виды электронной подписи:
Читайте также — Интернет-управление счетом
Требования к квалифицированному сертификату:
Квалифицированный сертификат — некий аналог цифрового паспорта, обеспечивающий широкий спектр применения.
Простая и (или) усиленная электронная подпись может применяться:
Кроме уже упомянутых выше секторов, ЭЦП может применяться:
Последние годы спектр использования электронной подписи значительно увеличился, и сегодня ЭЦП актуальна для шести-семи десятка отраслей. С каждым годом это число только растет. При этом популярны и другие направления — облачные ЭЦП или подписи на Сим-картах. Рост популярности обуславливает создание отдельной законодательной базы и развитие дополнительных секторов защиты. Кроме того, снижается число специальных центров по выдаче сертификатов, что также способствует повышению уровня безопасности.
raschetniy-schet.ru
Электро́нная по́дпись (ЭП) — информация в электронной форме, присоединенная к другой информации в электронной форме (электронный документ) или иным образом связанная с такой информацией. Используется для определения лица, подписавшего информацию (электронный документ)[1].
По своему существу электронная подпись представляет собой реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.
Назначение и применение ЭП
Электронная подпись предназначена для идентификации лица, подписавшего электронный документ и является полноценной заменой (аналогом) собственноручной подписи в случаях, предусмотренных законом[2].
Использование электронной подписи позволяет осуществить:
Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.
В России юридически значимый сертификат электронной подписи выдаёт удостоверяющий центр. Правовые условия использования электронной цифровой подписи в электронных документах регламентирует Федеральный закон Российской Федерации от 6 апреля 2011 г. N 63-ФЗ «Об электронной подписи».
После становления ЭП при использовании в электронном документообороте между кредитными организациями и кредитными бюро в 2005 году активно стала развиваться инфраструктура электронного документооборота между налоговыми органами и налогоплательщиками. Начал работать приказ Министерства по налогам и сборам РФ от 2 апреля 2002 г. № БГ-3-32/169 «Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи». Он определяет общие принципы информационного обмена при представлении налоговой декларации в электронном виде по телекоммуникационным каналам связи.
В законе РФ от 10 января 2002 г. № 1-ФЗ «Об электронной цифровой подписи» описаны условия использования ЭП, особенности её использования в сферах государственного управления и в корпоративной информационной системе.
Благодаря ЭП теперь, в частности, многие российские компании осуществляют свою торгово-закупочную деятельность в Интернете, через системы электронной торговли, обмениваясь с контрагентами необходимыми документами в электронном виде, подписанными ЭП. Это значительно упрощает и ускоряет проведение конкурсных торговых процедур[15].
С 1 июля 2012 года Федеральный закон от 10 января 2002 г. № 1-ФЗ утратит силу, на смену ему придет Федеральный закон от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи»[16].
Понятие и цели защиты информации.
Под защитой информации в узком смысле будем понимать совокупность мероприятий и действий, направленных на обеспечение ее (информации) безопасности – конфиденциальности и целостности - в процессе сбора, передачи, обработки и хранения. Это определение подразумевает тождественность понятий защита информации и обеспечение безопасности информации.
Основными целями защиты информации являются [15]:
• предотвращение утечки, хищения, утраты, искажения, подделки информации;
• предотвращение угроз безопасности личности, общества, государства;
• предотвращение несанкционированных действий по уничтожению, модификации, искажению, копированию, блокированию информации;
• предотвращение других форм незаконного вмешательства в
информационные ресурсы и информационные системы;
• обеспечение правового режима документированной информации как объекта собственности;
• защита конституционных прав граждан на сохранение личной тайны и конфиденциальности персональных данных, имеющихся в информационных системах;
• сохранение государственной тайны документированной информации в соответствии с законодательством;
• обеспечение прав субъектов в информационных процессах и при разработке, производстве и применении информационных систем, технологий и средств их обеспечения.
Правовая защита информации.
Как известно, право — это совокупность общеобязательных правил и норм поведения, установленных государством в отношении определенных сфер жизни и деятельности.
На государственном уровне правовая защита регулируется государственными и ведомственными актами. В нашей стране такими нормами являются Конституция, законы Российской Федерации, гражданское, административное, уголовное право, изложенные в соответствующих кодексах.Наиболее полный перечень законов и кодексов представлен в разделе«Законы».
Правовой элемент системы организации защиты информации на предприятии основывается на нормах информационного права и предполагает юридическое закрепление взаимоотношений фирмы и государства по поводу правомерности использования системы защиты информации, фирмы и персонала по поводу обязанности персонала соблюдать установленные меры защитного характера, ответственности персонала за нарушение порядка защиты информации. Этот элемент включает:
— наличие в организационных документах фирмы, правилах внутреннего трудового распорядка, трудовых договорах, в должностных инструкциях положений и обязательств по защите конфиденциальной информации;
— формулирование и доведение до сведения всех сотрудников положения о правовой ответственности за разглашение конфиденциальной информации, несанкционированное уничтожение или фальсификацию документов;
— разъяснение лицам, принимаемым на работу, положения о добровольности принимаемых ими на себя ограничений, связанных с выполнением обязанностей по защите информации.
В числе основных подсистем защиты информации в правовом плане можно считать:
— установление на объекте режима конфиденциальности;
— разграничение доступа к информации;
— правовое обеспечение процесса защиты информации;
— четкое выделение конфиденциальной информации как основного объекта защиты.
Опираясь на государственные правовые акты на уровне конкретного предприятия (фирмы, организации), разрабатываются собственные нормативно- правовые документы, ориентированные на обеспечение информационной безопасности.
К таким документам относятся:
Политика Информационной безопасности;
Положение о коммерческой тайне;
Положение о защите персональных данных;
Перечень сведений, составляющих конфиденциальную информацию;
Инструкция о порядке допуска сотрудников к сведениям, составляющим конфиденциальную информацию;
Положение о специальном делопроизводстве и документообороте;
Обязательство сотрудника о сохранении конфиденциальной информации;
megalektsii.ru