Основой доверия к электронной подписи является строгая процедура личной идентификации владельца сертификата. За нее отвечают удостоверяющие центры. Но с инженерной точки зрения, надёжность информационной системы не может быть выше надёжности ее самого слабого звена. Поэтому сегодня поговорим о той части технологии, в которой непосредственно участвует пользователь, а именно - о процедуре подписания электронного документа и проверки электронной подписи.
Почему это важно? Во - первых, потому что в СМИ с завидной регулярностью появляются истории об ущербе, нанесенном гражданам или организациям в результате махинаций с использованием электронной подписи. Во-вторых, изменения, закрепленные в поправках к федеральному закону об электронной подписи, коснулись и процессов подписания и проверки подписи.
Итак, насколько эти процедуры безопасны, если они выполняются пользователем самостоятельно в системе электронного документооборота? В данном случае основанием для доверия являются квалификация пользователя и степень доверия к его техническому обеспечению. Для простых и не очень значимых задач этого достаточно. Но там, где цена ошибки, и, как следствие, вероятность мошеннических действий велики, этих оснований мало. Для таких задач новая редакция закона предусмотрела ряд возможностей, например, технологии дистанционной электронной подписи и нового субъекта отношений - доверенную третью сторону.
Дистанционная (или облачная) электронная подпись - прогрессивная технология, позволяющая пользователю передать удостоверяющему центру право хранить и обеспечивать безопасный доступ к его ключам. Кроме более высокого доверия к процедуре подписания, эта технология дает возможность подписывать электронные документы на широком спектре мобильных устройств, которые несовместимы с отечественной криптографией и отчуждаемыми ключевыми носителями. Любой планшет или смартфон теперь может стать терминалом электронного юридически-значимого документооборота.
Доверенная третья сторона - новый субъект в этой области отечественного нормативного регулирования. По сути, это - оператор, за которым закреплена функция корректной проверки электронной подписи и на которого возложена ответственность за результат этой проверки. Кстати, к нему закон предъявляет строгие требования по финансовой ответственности, квалификации персонала, надежности и безопасности программно-аппаратного обеспечения.
И в заключении, совет руководителю: не важно, используете вы электронный документооборот или только задумываетесь об этом - рассмотренные новеллы могут облегчить вашу IT-инфраструктуру, ведь они позволяют перенести ответственность за безопасность на сторону специализированных операторов – удостоверяющего центра и доверенной третьей стороны. Пользуйтесь этой возможностью.
Выпуск подготовил советник генерального директора «Газинформсервис» Сергей Кирюшкин. Держитесь безопасного курса и берегите себя!