Застосування електронного підпису

 

Основною технологічною проблемою для службовців при переході до електронного документообігу є використання електронного аналога власноручного підпису на документах. Без розуміння і впровадження цієї технології перейти на цілком безпаперову обробку документів неможливо.

Сучасні інформаційні технології дають можливість установам, підприємствам та організаціям, фізичним особам, суб’єктам господарювання більш ефективно і творчо вирішувати економічні та соціальні проблеми.

Електронний документообіг є одним з тих інструментів, що в змозі забезпечити потреби сьогодення в швидкому інформаційному обміні. А використання електронного цифрового підпису, що підтверджує оригінальність документа і надійно захищає його від підробок, — ефективне рішення для всіх, кому необхідно оперативно перевірити дійсність отриманої інформації або підтвердити факт укладення договору.

Документи можуть бути засвідчені електронним цифровим підписом і передані до місця призначення протягом декількох секунд, адже електронний документ передається за допомогою швидкісних телекомунікаційних систем, однією з яких є, приміром, мережа Інтернет. За таких умов усі учасники обміну електронними документами незалежно від відстані мають однакові можливості в електронному інформаційному обміні.

Електронний документообіг з використанням електронного цифрового підпису невдовзі посяде домінуюче місце у системі опрацювання, підготовки, підписання та надсилання документа, оскільки традиційні схеми: розроблення проекту документа в електронному вигляді, створення паперової копії для підпису, пересилання паперової копії з підписом, розгляд паперової копії, перенесення її на комп’ютер — малоефективні, трудомісткі й такі, що потребують забагато часу.

Електронний цифровий підпис (ЕЦП) можна отримати за результатом криптографічного перетворення набору електронних даних, який логічно поєднується з документом і дає змогу підтвердити його цілісність та ідентифікувати підписувала.

ЕЦП додається до вхідного документа (або розміщується в окремому полі документу ) і така комбінація даних (документ + ЕЦП) утворює захищений електронний документ.

Накладається електронний цифровий підпис за допомогою особистого (таємного) ключа та перевіряється за допомогою відкритого ключа. Особистий ключ відомий лише його володільцеві й може зберігатись у нього на дискеті, пристрої Touch. Memory, Smart-карті і т.і.

Відкритий ключ доступний всім учасникам електронного документообігу. Такий ключ включається до сертифіката відкритого ключа та може розповсюджуватись в електронній формі або у формі документа на папері (публікується в загальнодоступному або спеціалізованому довіднику).

Алгоритм роботи системи мусить бути побудовано таким чином, що маючи доступ до відкритого ключа неможливо відтворити таємний ключ або поставити цифровий підпис — його можна тільки перевірити.

Для повноцінного функціонування систем ЕЦП необхідно забезпечити доступ отримувача до достовірної копії відкритого ключа відправника (підписувача) та можливість перевірити, що ця копія відкритого ключа належить саме цьому підписувану.

Для виконання цього створюються спеціальні захищені довідники ключів, які ведуться спеціальними установами — центрами сертифікації ключів.

Центри сертифікації ключів (ЦСК) — це установи, які перевіряють дані власника відкритого ключа та видають захищені електронні документи спеціального зразка — сертифікати відкритих ключів, в яких міститься відкритий ключ та перевірена центром сертифікації інформація про власника ключа.

Перелік акредитованих центрів сертифікації ключів, з якими ДПС України укладено договір для подання податкової звітності платниками податків із застосуванням електронного цифрового підпису наведено в додатку 5.17.

Сертифікат відкритого ключа - електронний документ, що підписується електронним цифровим підписом центру сертифікації ключів. Достатньо отримати достовірним каналом сертифікат самого центру сертифікації ключів, щоб мати можливість перевірити достовірність будь-якого сертифікату, що виданий цим центром.

Зазначена особливість дає можливість поряд із звичайним електронним цифровим підписом виділити цифровий ПІДПИС,підтверджений посиленим сертифікатом відкритого ключа.

Посилений сертифікат ключа - тобто сертифікат, виданий із додержанням певних стандартизованих та затверджених законом вимог та правил (в тому числі - правил щодо проведення процедури засвідчення особи — власника ключа). Для того щоб мати право видавати сертифікати такого зразка, центри сертифікації мають пройти процедуру акредитації (засвідчення відповідності вимогам законодавства).

Юридичні та фізичні особи можуть на договірних засадах засвідчувати чинність відкритого ключа сертифікатом відкритого ключа, а також використовувати електронний цифровий підпис без сертифіката відкритого ключа.

Щодо органів державної влади, органів місцевого самоврядування, підприємств, установ та організацій державної форми власності, то для них встановлено імперативну (обов’язкову) норму, згідно з якою зазначені організації можуть застосовувати електронний цифровий підпис лише за умови використання надійних засобів ЕЦП, що повинно бути підтверджено сертифікатом відповідності або позитивним висновком спеціально уповноваженого центрального органу виконавчої влади, та наявності посилених сертифікатів відкритих ключів у своїх працівників-підписувачів.

За правовим статусом електронний цифровий підпис прирівнюється до власноручного підпису (печатки) лише в тому разі, якщо:

— електронний цифровий підпис підтверджено з використанням посиленого сертифіката відкритого ключа за допомогою надійних засобів цифрового підпису;

— під час перевірки використовувався посилений сертифікат, відкритого ключа, чинний на момент накладення електронного цифрового підпису;

— особистий ключ підписувала відповідає відкритому ключу, зазначеному у сертифікаті.

Підробити електронний цифровий підпис, а разом з ним і засвідченний документ неможливо, адже це потребуватиме величезної кількості обчислень, які, як вважається, не можуть бути реалізовані за сучасного рівня математики й обчислювальної техніки за прийнятний час, тобто поки інформація, що міститься в підписаному документі, є актуальною.

Порядок застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми

власності встановлено Постановою Кабінету Міністрів України від 28 жовтня 2004 р. № 1452 [38].

Окрім підписувачів, користувачів, центру сертифікації ключів та акредитованого центру сертифікації ключів, до суб’єктів правових відносин у сфері послуг електронного цифрового підпису також належать центральний засвідчувальний орган, засвідчувальний центр органу виконавчої влади або іншого державного органу, контролюючий орган.

Процедура акредитації центру сертифікації ключів, умови надання центром послуг електронного цифрового підпису, вимоги до його персоналу та захисту інформації визначено у Порядку акредитації центру сертифікації ключів, затвердженому постановою Кабінету Міністрів України від 13 липня 2004 р. № 903 [36].

Функції центрального засвідчувального органу системи електронного цифрового підпису, відповідно до постанови Кабінету Міністрів України «Про затвердження Положення про центральний засвідчувальний орган» від 28 жовтня 2004 року № 1451 [34] зі змінами, внесеними постановою Кабінету Міністрів України від 05.10.2011 № 1022, виконує Міністерство юстиції України.

Одним з основних завдань центрального засвідчувального органу є забезпечення створення умов для функціонування засвідчувальних центрів органів виконавчої влади або інших державних органів та центрів сертифікації ключів.

Технічне та технологічне забезпечення виконання функцій центрального засвідчувального органу здійснюється державним підприємством «Інформаційний центр» Міністерства юстиції України, яке визначено адміністратором інформаційно-телекомунікаційної системи центрального засвідчувального органу (ІТС ЦЗО). Скорочена назва: Держінформ’юст. Місцезнаходження (поштова адреса): вул. Мельникова, 81, м. Київ, 04050.

Адміністратор ІТС ЦЗО здійснює обслуговування посилених сертифікатів відкритих ключів засвідчувальних центрів органів виконавчої влади або інших державних органів та центрів сертифікації ключів відповідно до Закону України «Про електронний цифровий підпис» та інших нормативно-правових актів, що регулюють відносини у сфері використання електронно-цифрового підпису, на підставі договорів з Центрами.

До послуг ІТС ЦЗО відносяться: формування, повторне формування, блокування, скасування та поновлення сертифікатів ключів, їх консультування щодо надання послуг.

Для одержання послуг Центри подають до Адміністратора ІТС ЦЗО заяву, запит на формування сертифіката ключа та інші документи у порядку та за формою, визначеними Регламентом роботи центрального засвідчувального органу та іншими нормативно-правовими актами, що регулюють відносини у сфері використання ЕЦП.

Функції контролюючого органу, який перевіряє дотримання вимог законодавчих актів центральним засвідчувальним органом, засвідчувальними цеп грами та центрами сертифікації ключів, здійснює спеціально уповноважений центральний орган виконавчої влади у сфері криптографічного захисту інформації, яким є Державна служба спеціального зв’язку та захисту інформації України.

Таким чином, система електронного цифрового підпису є повністю структурно укомплектованою для належного функціонування. Кожна фізична особа, підприємець, державний чиновник дістали можливість засвідчувати електронні документи своїм власним цифровим підписом, що має однакову юридичну чинність і власноручним підписом або печаткою.

Для масового використання електронного цифрового підпису в державі необхідно прийняти низку нормативно-правових актів зокрема:

• щодо архівного зберігання електронних документів;

• щодо національних стандартів;

• щодо вимог до засобів електронного цифрового підпису, форматів даних, які для цього використовуються.

Всебічне використання електронного цифрового підпису дасть можливість не тільки спростити та прискорити документообіг між суб’єктами господарювання та зміцнити конкуренти спроможність вітчизняних підприємств, а й створити умови для розвитку експортно-імпортних операцій, електронної торгівлі, електронних банківських послуг, повномасштабного дистанційного навчання та надання медичних послуг із застосуванням новітніх інформаційних технологій.