Создание ЭЦП под документом
Это действие должно выполняться пользователем
осознанно. Не допускается подписывать документ в автоматическом режиме
Система
обязательно должна задать вопрос, будет ли пользователь подписывать документ.
Во многих существующих СЭД этому не уделяется должное внимание. Более того,
некоторые разработчики, увлекаясь автоматизацией, специально реализуют
автоматическую простановку ЭЦП под документом, что является абсолютно неверным
подходом
Делегирование полномочий
Отдельный вопрос — делегирование должностных
полномочий одного пользователя системы другому. Очень часто руководители
передают свое право подписания электронного документа доверенному лицу, при
этом параллельно подписывают бумажный экземпляр документа, который в данном
случае и является оригиналом. Вопрос не простой. Следует получить
квалифицированную консультацию у юриста, в каких случаях делегирование
допустимо и не противоречит действующему законодательству и каким образом этот
факт должен быть оформлен документально. Просто передавать другому сотруднику
свой закрытый ключ для создания ЭЦП недопустимо, поскольку такая ситуация
трактуется как компрометация ключа, а следовательно, полученная под документом
ЭЦП не является легитимной.
Если говорить о реализации СЭД, то технически
делегирование реализуется как выпуск удостоверяющим центром специальных
сертификатов, имеющих ограниченное применение (указывается в сведениях об
отношениях) и срок действия; при этом в реквизитах ЭЦП указывается, от кого
делегированы данные полномочия. Для многих читателей термин “сведения об
отношениях” почти наверняка покажется странным. Этим термином обозначается
свойство сертификата, позволяющее ограничить область его применения. Например,
сотрудник имеет право поставить подпись под служебной запиской, но не имеет
права подписать финансовый документ.
Бизнес-логика СЭД должна различать
сертификаты, выпущенные для делегирования полномочий. Проверьте, чтобы эти
возможности поддерживала СЭД и обеспечивающая ее инфраструктура.
Выбор СЭД
Определившись с инфраструктурой, нужно
потратить значительные усилия на выбор СЭД, поскольку предложений очень много.
Принципиальные требования к СЭД уже обсуждались выше. Здесь отметим следующее.
Разработчики подавляющего большинства СЭД,
представленных на рынке, заявляют, что поддерживают юридически значимый
электронный документооборот, однако термин этот у каждого трактуется по-своему.
Например, ЭЦП проставляется без использования штампов времени, но документ
объявляется юридически значимым. Как правило, заявление о поддержке юридически
значимого документооборота является преувеличением, поскольку многие важные
вопросы использования ЭЦП остаются неразрешенными. В этой связи следует
критически относиться к подобным заявлениям и уточнять: что же понимает под
юридически значимым документооборотом конкретный производитель СЭД.
Желательно выбрать поставщика СЭД, имеющего
опыт разработки регламента применения ЭЦП.
Во многих случаях в СЭД отсутствуют средства
для разбора конфликтных ситуаций, связанных с действительностью ЭЦП или
отрицанием авторства, что технически не позволяет представить доказательства в
суде. В СЭД должна существовать четкая процедура разбора конфликтных ситуаций и
представления доказательств третьей стороне.
Не исключено, что будет принято решение
заказать разработку системы или существенно доработать существующую в
организации СЭД. Последний подход не многим отличается по трудоемкости от
заказной разработки, но значительно уступает в эффективности решения.
Управление внедрением
Внедрению должна предшествовать разработка
стратегии автоматизации делопроизводства организации. В этом документе следует
четко сформулировать цели внедрения СЭД, определить принципы построения и этапы
внедрения СЭД в организации. Развертывание ЭЦП является составной частью
процесса внедрения СЭД, и рассматривать этот процесс как независимый не
рекомендуется. Внедрение же СЭД является ответственным делом, и подходить к
нему следует с особой тщательностью.
При внедрении СЭД очень важна разработка
нормативно-правовой базы. Этот процесс выполняется поэтапно (параллельно с
внедрением самой системы) с учетом особенностей делопроизводства в организации
и выбранной СЭД.
Как показывает практика, СЭД с ЭЦП можно
внедрить безболезненно, если ЭЦП является составной частью архитектуры системы.
Компания получит безусловную выгоду, если ЭЦП частично внедрена в СЭД,
например, в таких подсистемах, как “ведение договоров”, “заявки на денежные средства”
и т. п., но максимальную выгоду от применения СЭД можно извлечь только при
полномасштабном развертывании ЭЦП.
Доверие к инфраструктуре
Обеспечение доверия к внешнему окружению СЭД
является ключевым моментом развертывания ЭЦП в организации
Особое внимание
следует обратить на доверенную (т. е
исключающую подмену) установку на рабочем
месте пользователя самоподписанного сертификата корневого центра регистрации.
Желательно также обеспечить доверенную среду,
в которой будет работать СЭД. Для получения полностью доверенной среды
необходимо использовать ряд аппаратно-программных компонентов, обеспечивающих
(возможно их поэтапное подключение):
- доверенную загрузку операционной
системы, например, с использованием “электронного замка”; - регулярное обновление
антивирусного ПО (как на серверах организации, так и на рабочих станциях); - централизованную установку ПО на
рабочих местах пользователя.
Необходимо также получить гарантии от
разработчиков СЭД на отсутствие недокументированных функций в системе.
Если все эти вопросы тщательно проработаны,
то организационные и технические сложности процесса внедрения ЭЦП будут
минимальными.
Последствия использования электронной подписи, полученной без ведома заявителя
Электронная подпись является аналогом собственноручной подписи. Ответственность за ее применение лежит на том лице, на которое она была оформлена. Закон № 63-ФЗ не предполагает передачу права использования электронной подписи от ее владельца иному лицу.
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны обеспечивать конфиденциальность ключей электронных подписей и в частности не допускать использование принадлежащих им ключей без их согласия. В случае нарушения конфиденциальности ключа владелец обязан уведомить УЦ, выдавший сертификат ключа проверки электронной подписи, и иных участников электронного взаимодействия в течение не более чем одного рабочего дня со дня получения информации о таком нарушении ().
Использование электронной подписи другими лицами без ведома номинального владельца не освобождает его от ответственности за неблагоприятные последствия, наступившие в результате такого использования (пост. Пятого арбитражного апелляционного суда от 14 марта 2016 г. № 05АП-1119/16; пост. Пятнадцатого арбитражного апелляционного суда от 1 марта 2016 г. № 15АП-1132/16; пост. Ленинского районного суда г. Владивостока Приморского края от 8 декабря 2014 г. по делу № 5-1087/2014).
Что касается последствий для УЦ, то в случае получения информации о нарушениях им Закона № 63-ФЗ Минкомсвязь России может провести его внеплановую проверку () и выдать предписания об устранении нарушений в установленный срок и приостановить действие его аккредитации ().
Рекомендуем вам внимательно подходить к выбору УЦ, в котором вы будете получать электронную подпись. Прежде чем направить туда сканы запрашиваемых документов убедитесь, что такому УЦ можно доверять. Лучшим признаком добросовестности УЦ будет приглашение от него лично прийти и собственноручно подписать заявление на выпуск квалифицированного сертификата. Это может показаться менее удобным, чем сделать все дистанционно, но такое разовое дополнительное действие обеспечит вам спокойствие в будущем. УЦ, надежно работающий с документами, предъявляет указанные выше требования ко всем получателям электронной подписи, бережно хранит ваши данные. А значит, можно рассчитывать на то, что он не позволит повторно выпустить сертификат на ваше имя без вашего ведома.
Заключение
Изначально СЭД проектировались без учета
применения ЭЦП, они моделировали работу с бумажными документами, от которых организации
не собирались отказываться. По мере осознания того, что ЭЦП использовать нужно,
разработчики стали встраивать в существующие СЭД функции ЭЦП, рассматривая их
как дополнительные. Однако в результате получались решения с ограниченными
возможностями, поскольку полноценное встраивание ЭЦП требовало слишком больших
переделок в существующих системах.
Сегодня, на очередном витке развития
информационных технологий, разработчики вновь создаваемых СЭД уже не
рассматривают ЭЦП как некое дополнение и учитывают необходимость ее применения
уже на этапе разработки архитектуры системы.
Мировой опыт развития СЭД показывает, что
перспективы применения ЭЦП в электронном документообороте и смежных областях
весьма впечатляющи. Наблюдается бурное развитие технологий потокового
сканирования и распознавания графических образов, что позволяет перевести
практически любые бумажные документы в электронный вид и обеспечить эффективный
полнотекстовый поиск по ним. Развивается ИОК. В сочетании с общей тенденцией к
ускорению принятия решений по документам и потребностью именно в юридически
значимых электронных документах это приводит к тому, что электронная цифровая
подпись становится востребованной как никогда ранее.
