Электронная подпись в системах ЭДО - мода или необходимость?

Максим Чирков
Руководитель направления
развития сервисов ЭП
компании "Аладдин Р.Д."

Для того чтобы электронные документы приобрели юридическую значимость, они должны быть заверены электронной подписью (ЭП) и обработаны в соответствии с принятыми регламентами. ЭП обеспечивает авторство и целостность подписываемых данных. Об особенностях использования ЭП в различных системах ЭДО мы и поговорим в данной статье.

Внешний и внутренний ЭДО

В первую очередь стоит разделить ЭДО на внешний и внутренний. Для внешнего удобнее всего пользоваться услугами систем межведомственного ЭДО. Данные системы обеспечивают обмен открытой и конфиденциальной информацией между компаниями по сети Интернет. К тому же, ряд систем принадлежат организациям - специальным операторам ЭДО, которые позволяют "законно" выставлять и получать счета-фактуры в электронном виде в рамках электронного документооборота счетов-фактур между продавцом и покупателем. В общем случае в Вашей компании оборудуются одно или несколько рабочих мест для взаимодействия с внешней системой ЭДО с установкой набора необходимых программных и криптографических средств, совместимых с системой оператора. Руководителю или уполномоченному лицу выдается ЭП аккредитованного Удостоверяющего центра (УЦ) на защищенном ключевом носителе, например, еТокеп. Все взаимодействие осуществляется в соответствии с регламентом оператора.

Для внутренних систем ЭДО все несколько сложнее. Здесь "правила игры" устанавливает организация самостоятельно. Большинство представленных на рынке систем ЭДО уже поддерживают работу с криптографией, причем не важно - западной или российской. Но одно лишь использование криптографических средств (даже сертифицированных ФСБ России) не позволяет утверждать о создании с их помощью системы юридически значимого электронного документооборота. Необходимо разработать внутренний регламент использования ЭП в конкретной системе ЭДО.

Применение криптографии с открытыми ключами требует наличия инфраструктуры открытых ключей (PKI), обеспечивающей управление закрытыми ключами пользователей (ключами ЭП) и их цифровыми сертификатами (сертификатами ключа проверки ЭП). Основным элементом PKI выступает УЦ, который является доверенной стороной, берущей на себя ответственность за подлинность данных в сертификате ключа ЭП. УЦ может быть как внутренним подразделением компании, так и внешней организацией.

Плюсы и минусы есть

Самый простой и незатратный - этоУЦ, организованный штатными средствами уже имеющегося в компании ПО, например Microsoft СА, входящего в состав всех современных серверных операционных систем Microsoft. Несомненными плюсами такого УЦ являются простота администрирования, низкая стоимость содержания, а также легкая интеграция в корпоративную инфраструктуру.

Из минусов стоит отметить, что ЭП, выданная данным УЦ, будет использовать западные криптографические алгоритмы (RSA), и в соответствии с действующей редакцией ФЗ № 63 "Об электронной подписи" ее можно определить как усиленную неквалифицированную ЭП. Применение этого вида подписи в ЭДО потребует особой проработки регламента использования ЭП в части признания данной ЭП равнозначной собственноручной подписи.

Чтобы снять все вопросы с соответствием ЭП равнозначной собственноручной подписи, необходимо использовать сертифицированные средства и квалифицированные сертификаты ключа проверки ЭП (квалифицированные сертификаты). Данные сертификаты могут выдать только аккредитованные УЦ. Если в системе ЭДО планируется использование квалифицированной ЭП, то сертификаты целесообразно приобретать у внешних аккредитованных УЦ, а не разворачивать свой внутренний УЦ, так как это влечет за собой существенные расходы на организацию, аккредитацию и сопровождение. К тому же, такая деятельность является лицензируемой.

Все системы ЭДО имеют внутреннее протоколирование действий с документами. Эти данные используются при расследовании конфликтных ситуаций. Для усиления контрольных функций целесообразно использование усовершенствованной подписи. Подписание с использованием служб штампов времени (TSP) и сервиса проверки статусов сертификатов в режиме реального времени (OCSP) позволит оперативно определить статус сертификата пользователя на момент подписания, а также установить момент подписания.

Использование систем ЭДО к настоящему времени уже стало стандартом де-факто для большинства крупных организаций. Динамика развития этого рынка позволяет прогнозировать возрастание интереса и со стороны малого и среднего бизнеса.