Электронно-цифровая подпись

Электронный документ в соответствии с Законом - это электронный документ, реквизиты которого позволяют установить его целостность и подлинность.

Целостность электронного документа - свойство электронного документа, определяющее, что в него не вносились изменения и (или) дополнения.

Подлинность электронного документа - это свойство электронного документа, которое определяет, что он подписан действующей ЭЦП.

В данном случае, похоже, действующий Закон допускает узкое понимание электронного документа, придавая ему юридическую силу только при наличии ЭЦП.

Безусловно, это обстоятельство существенно усложняет использование электронного документооборота, где наряду с обычным бумажным ведением необходимой документации появляются дополнительные расходы, связанные с обеспечением будущих участников трудовых отношений ЭЦП.

Помимо материальной составляющей, для использования ЭЦП также необходима инфраструктура открытых ключей, позволяющая проверять ЭЦП разных сертификационных центров, не подчиненных друг другу.

Несмотря на кажущуюся надежность, уровень надежности, достигаемый с помощью цифровой подписи, не так высок. Он определяется тем, насколько надежно был обеспечен секрет секретного ключа подписи, который, в отличие от собственноручной подписи, отделим от владельца. При неправильном хранении ключей дискредитируется вся система.

Результаты опроса организаций системы Министерства юстиции Республики Беларусь, проведенного Белорусским исследовательским центром электронной документации, показали следующее. Хранение носителя с секретным ключом в сейфе, общем для нескольких сотрудников, признали 6% опрошенных организаций. Столько же людей хранят ключи не на съемных защищенных носителях, а непосредственно в информационной системе. В 66% организаций вопросы хранения ключей вообще не регулируются [6, с. 40].

Даже правильное хранение электронного ключа не всегда спасает от противоправных действий других лиц, направленных на использование ключей, которые им не принадлежат. Таким образом, срок действия сертификата для открытого к нему парного ключа всегда ограничен. Если срок его действия истек, то вероятность угадать закрытый ключ значительно возрастает.

На сегодняшний день в мировой практике исторически сложились основные модели правового регулирования в сфере электронного документооборота и электронных подписей.

Первая модель была принята на вооружение в США. Правительство США предоставляет право гражданам и юридическим лицам самостоятельно регулировать внутренние процессы в сфере электронной коммерции. Эта модель основана на принципах «делового выбора», концепции свободы заключения договора и использования какой-либо конкретной информации и компьютерных технологий. Выбор любой технологии подписания электронных документов сторонами сделки признан законным. Стороны сами могут решить, использовать или не использовать электронные подписи, и они не обязаны связываться с третьей, независимой стороной, удостоверяющей соответствующие сертификаты ключей подписи [8, с.224].

Вторая модель принята в Евросоюзе. Европейский Союз, как и некоторые из наиболее развитых стран мира, осознавая важность проблемы законодательного регулирования электронной цифровой подписи, рассматривал вопрос регулирования отношений, возникающих при заключении различных сделок в электронной форме. В декабре 1999 г. Европейский парламент совместно с Советом принял Директиву о порядке использования электронных подписей в Европейском сообществе, нормы которой подлежали имплементации в национальное законодательство до июля 2001 г. [8, с. 224-225].

Европейское законодательство более жестко подходит к вопросу о том, какой должна быть электронная подпись. Соответствующая Директива Европейского Союза об электронной подписи как основной европейский закон предписывает использование второго подхода, который применялся, в частности, при принятии национальных законов в Австрии, Великобритании, Германии и др. [8, с. 225-226].

В Законе Республики Молдова «Об информатике» упоминается термин «электронный документ», который определяется как «... любое воспроизведение с помощью автоматизированных средств цифровых данных, текстов, графики, изображений, звукозаписей и голосов, если их воспроизведение производится с использованием технических средств, исключающих несанкционированный доступ и позволяющих хранить документы в определенных условиях »[8, с.227].

Следует отметить, что одним из требований к аккредитации удостоверяющего центра является наличие в его штате не менее двух сотрудников, которые принимают непосредственное участие в создании и выдаче сертификатов ключей для проверки электронной подписи с высшим образованием в сфере область информационных технологий или информационной безопасности. либо высшее, либо среднее профессиональное образование с последующим получением дополнительного профессионального образования по вопросам использования электронной подписи. Таким образом, даже на уровне требований к квалифицированному персоналу сертификационного центра мы сталкиваемся с правовым конфликтом.

Исходя из этого, мы считаем, что администратор информационной безопасности является одним из субъектов электронного документооборота. В своей специализированной деятельности администратор информационной безопасности, как лицо, отвечающее за управление ключевой инфраструктурой, должен постоянно учитывать, что несанкционированное использование ключей электронной подписи неуполномоченными лицами приводит к утечке конфиденциальной информации, подделке или искажению юридически значимых электронных документов. от имени лица, владеющего персональным ключом электронной подписи.

Кроме того, при оказании услуг сертификационного центра необходимо обеспечить безопасность персональных данных, т.е. принять необходимые правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, уничтожения, изменения, блокировки, копирование, предоставление, распространение персональных данных, а также от иных неправомерных действий в отношении персональных данных.

Обобщая изложенную выше информацию, считаем целесообразным выделить следующие субъекты электронного документооборота:

1) прямые участники (включая владельца, пользователя и потребителя информации, а также отправителя и получателя сообщения);

2) пользователи [12];

3) администратор информационной безопасности (с выполнением функции по организации обработки персональных данных);

4) оператор информационной системы (в том числе оператор информационной системы персональных данных).