- •030900.62 – Юриспруденция
- •Методические рекомендации преподавателю для проведения семинарских занятий
- •Методические указания студентам для подготовки к лекционным занятиям по дисциплине «Электронное делопроизводство»
- •Методические указания студентам для подготовки к семинарским занятиям по дисциплине «Электронное делопроизводство»
- •Методические указания для самостоятельной работы студентов по дисциплине «Электронное делопроизводство»
- •1. Общекультурные (ок):
- •2. Профессиональные (пк):
- •Методические указания для самостоятельной работы студентов по изучению теоретического курса
- •030900.62 – Юриспруденция
- •Раздел 1.
- •Раздел 2.
- •Раздел 3.
- •Раздел 4.
- •Раздел 5.
- •Раздел 6.
- •Раздел 7.
- •Раздел 1. Основные понятия и определения по курсу «Электронное делопроизводство» Выбор одного из многих:
- •Раздел 2. Прикладные системы и технологии электронного делопроизводства. Офисные и профессиональные системы и технологии электронного делопроизводства
- •Раздел 3. Правовое регулирование использования электронных документов в договорных отношениях
- •Раздел 4. Правовой статус электронных документов
- •Раздел 5. Электронная подпись как основной реквизит электронных документов
- •Раздел 6. Особенности правового регулирования заключения и исполнения коммерческих сделок в электронной форме
- •Раздел 7. Виды ответственности лиц, нарушающих правовые нормы в области электронного делопроизводства и электронной торговли
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •030900.62 – Юриспруденция Профили подготовки государственно-правовой, гражданско-правовой, уголовно-правовой
- •Комплект лекционного материала по дисциплине «Электронное делопроизводство»
- •Законодательная база электронного документооборота в Российской Федерации
- •Правовые проблемы развития инфокоммуникаций в России и единого информационно-правового пространства
- •1.3 Документ и его функции
- •1.4. Юридическая значимость эд и проблемы применения электронных аналогов собственноручной подписи
- •1.Электронная цифровая подпись: понятие, составляющие, назначение
- •2.Правовые аспекты использования цифровых подписей в электронных документах
- •3.Правовое регулирование применения иных видов электронных подписей для удостоверения электронных документов
- •3.1. Понятие, признаки и структура информации с ограниченным доступом
- •3.2. Государственная тайна
- •3. Коммерческая тайна
- •4. Банковская тайна
- •5. Профессиональная тайна
- •6. Служебная тайна
- •Защита программных продуктов
- •2. Общие положения юридической ответственности
- •3. Виды юридической ответственности в сфере рынка программных продуктов.
- •Комплект заданий для выполнения контрольных работ по дисциплине «Электронное делопроизводство»
- •Задача 4.
- •Карта книгообеспеченности дисциплины «Электронное делопроизводство»
- •Программное обеспечение дисциплины «Электронное делопроизводство»
2.Правовые аспекты использования цифровых подписей в электронных документах
В основе процедуры создания цифровой подписи лежит криптография. Существующие в настоящее время системы криптографической защиты могут обеспечивать конфиденциальность информации, контроль доступа к ней, а также идентификацию источника информации и ее неизменность1.
Использование криптографии в области ЭЦП делится на два уровня: с симметричным ключом и с асимметричным ключом.
Среди основных недостатков данных систем отмечают следующие. Во-первых, как отправитель, так и получатель информации должны знать ключ, который они будут хранить в тайне от третьих лиц. В противном случае затруднительным станет определение лица, виновного в разглашении ключа. Во-вторых, существует проблема обмена ключами, так как для передачи ключа от одного лица другому требуется отдельный защищенный канал связи. Можно, конечно, воспользоваться традиционным вручением ключей, однако в таком случае коммерческие партнеры будут лишены ряда преимуществ электронной торговли - скорости и отсутствия значительных расходов на обеспечение физического обмена ключами при удаленном расположении контрагентов по отношению друг к другу. Таким образом, применение систем шифрования с симметричным ключом для обмена электронными документами посредством информационных систем общего пользования является малоэффективным.
Системы шифрования с асимметричным ключом основываются на использовании пары ключей - закрытого (для шифрования информации) и открытого (для дешифрования информации), применение которых позволяет избежать обозначенных затруднений. Создатель электронного документа обязан хранить свой закрытый ключ в тайне от других лиц, а также обеспечивать получателю информации доступ к открытому ключу. Данные системы шифрования могут использоваться как для шифрования передаваемых по общедоступным телекоммуникационным каналам данных, так и для проставления в электронных документах и сообщениях подписей. Программные и аппаратные средства, применяющие описываемую технологию, получили название средств цифровой подписи.
Как уже отмечалось, цифровая подпись является разновидностью электронных подписей. Равно как и другие электронные аналоги собственноручной подписи, она не имеет ничего общего с последовательностью символов, соответствующих печати или подписи на документе. При ее создании место традиционной связи между печатью, рукописной подписью и листом бумаги занимает сложная математическая зависимость между содержанием электронного документа, секретным (закрытым) ключом и общедоступным (открытым) ключом цифровой подписи.
Основное затруднение, возникающее у коммерческих партнеров при использовании цифровой подписи, заключается в обеспечении гарантии того, что открытые ключи действительно связаны с лицами, удостоверяющими документы своим закрытым ключом. Для устранения данной проблемы предприниматели могут воспользоваться услугами так называемых сертифицирующих органов (certification authority). В международном и национальном праве они получили различные названия: поставщики сертификационных услуг, удостоверяющие центры и т.д. В роли сертифицирующего органа выступает независимое лицо, ключевой задачей которого является подтверждение посредством выдачи сертификата того, что открытый ключ действительно связан с определенным лицом. Сертификат цифровой подписи, в свою очередь, удостоверяется цифровой подписью сертифицирующего органа.
В правовых актах в области цифровой подписи Российской Федерации и большинства государств - участников Евросоюза не предусматривается создание такой инфраструктуры 2. С нашей точки зрения, примененная в них система подтверждения подлинности цифровых подписей сертифицирующих органов является более прозрачной и эффективной.
В отечественной истории использования электронной цифровой подписи в коммерческом обороте можно выделить три этапа.
В начале 90-х годов прошлого века необходимость применения ЭЦП объективно существовала лишь в сфере электронных денежных переводов. Тогда одним из распространенных видов интеллектуальных преступлений в сфере информации было изготовление фальшивых авизо. Банки и их клиенты несли колоссальные потери. Другой проблемой того времени являлось многодневное прохождение платежей.
Внедрение технологии электронной цифровой подписи в банковской сфере позволило сократить время прохождения платежей до нескольких часов и предотвратить появление фальшивых авизо. Однако изначально факт денежного перевода удостоверялся распоряжением в электронном виде, а затем подтверждался платежным поручением на бумажном носителе. Такая ситуация устраивала отечественных предпринимателей до тех пор, пока объем электронных платежей был минимален.
С 1993 г. начался второй этап использования электронной цифровой подписи в Российской Федерации, когда многие предприниматели поняли преимущества этой технологии. Спрос на криптографические (шифровальные) средства, предназначенные для выработки открытых и закрытых ключей подписи, проставления ЭЦП, а также проверки ее подлинности, начал стремительно расти. Возникла необходимость правовой регламентации применения ЭЦП в коммерческом обороте.
21 октября 1994 г. Государственной Думой была принята первая часть ГК РФ, установившая возможность использования электронной цифровой подписи в качестве аналога собственноручной подписи в случаях и в порядке, предусмотренных правовыми актами или соглашением сторон (п. 2 ст. 160). После вступления в силу данной нормы (1 января 1995 г.) стали появляться постоянные третейские суды, признававшиеся договаривающимися сторонами в качестве арбитров по спорам, связанным с применением ЭЦП. Такие юридические лица регистрировались в качестве третейских судей при государственных арбитражных судах3 .
Третий этап знаменуется началом активной экспансии Федерального агентства правительственной связи и информации при Президенте Российской Федерации (ФАПСИ) в область разработки, производства и использования средств шифрования.
24 декабря 1994 г. было принято Постановление Правительства Российской Федерации "О лицензировании отдельных видов деятельности"4, закрепившее в качестве видов деятельности, на осуществление которых требуются лицензии ФАПСИ, деятельность, связанную с шифровальными средствами, и предоставление услуг по шифрованию информации5. Следует отметить, что понятие "деятельность, связанная с шифровальными средствами" являлось слишком общим.
В феврале 1995 г. отечественную нормативную правовую базу пополнил Закон об информации. В нем были даны легальные определения таким понятиям, как "информация", "документированная информация (документ)", "конфиденциальная информация" и "информационная система". Этот Закон был призван урегулировать отношения, в том числе в области защиты информации.
Вместе с тем в п. 2 ст. 5 Закона об информации закреплена следующая правовая норма: "Документ, полученный из автоматизированной информационной системы, приобретает юридическую силу после его подписания должностным лицом в порядке, установленном законодательством Российской Федерации". Как верно отмечено Н.И. Соловяненко, данный правовой акт, к сожалению, не содержит уточнений о том, как следует поступать в этой связи физическому лицу, не относящемуся к должностным лицам и использующему ЭЦП по собственному усмотрению при приобретении товаров и услуг через Интернет, а также не позволяет сделать вывод о том, являются ли недействительными подписанные таким образом документы6. 3 апреля 1995 г. Президент Российской Федерации издал Указ "О мерах по соблюдению законности в области разработки, производства, реализации и эксплуатации шифровальных средств, а также предоставления услуг в области шифрования информации" 7 (далее - Указ 1995 г.), согласно п. 4 которого всем юридическим и физическим лицам, осуществляющим деятельность в области криптографической защиты информации, было предписано пройти процедуру лицензирования разработки, производства, реализации и эксплуатации шифровальных средств, предоставления услуг в области шифрования информации, а произведенные ими криптографические средства сертифицировать. Пункт 7 Указа 1995 г. предоставил ФАПСИ право выдачи соответствующих лицензий.
С принятием Федерального закона от 25 сентября 1998 г. N 158-ФЗ "О лицензировании отдельных видов деятельности"8 ряд положений Указа 1995 г. стали ему противоречить. Так, в Законе указывалось, что в сфере криптографической защиты информации лицензированию подлежат три вида деятельности: услуги по шифрованию информации, услуги по распространению и услуги по обслуживанию криптографических средств.
Статьей 17 Закона о лицензировании 2001 г.9 к лицензируемым видам деятельности были отнесены: деятельность по распространению и техническому обслуживанию шифровальных (криптографических) средств; предоставление услуг в области шифрования информации; разработка и производство шифровальных (криптографических) средств, а также информационных и телекоммуникационных систем, защищенных с использованием таких средств; деятельность по выдаче сертификатов ключей ЭЦП, регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности ЭЦП.
Федеральный закон "Об электронной цифровой подписи" был принят 10 января 2002 г. Законопроект, который лег в его основу, разрабатывался по поручению Правительства Российской Федерации Минсвязи России совместно с ФАПСИ, Гостехкомиссией России, Минюстом России, ФКЦБ России и Госстандартом России с участием Банка России 10.
Данным Законом в российское законодательство вводится ряд понятий в области ЭЦП и их определения. При этом основополагающим является понятие "электронная цифровая подпись", легальное определение которого содержится в ст. 3 анализируемого правового акта: "реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе".
Владельцем сертификата ключа подписи является физическое лицо, на имя которого удостоверяющим центром выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать свою электронную цифровую подпись в электронных документах (подписывать электронные документы). С принятием Федерального закона "Об электронной цифровой подписи" физические лица утратили возможность самостоятельно устанавливать порядок применения ЭЦП. Для обладания правом подписания электронных документов ЭЦП теперь необходимо получить сертификат ключа подписи, выдаваемый удостоверяющим центром. По этой причине под лицами, удостоверяющими свои электронные документы ЭЦП, законодатель понимает владельцев сертификатов ключей подписей.
Из приведенного определения понятия "электронная цифровая подпись" следует, что для непосредственной выработки подписи используется закрытый ключ ЭЦП. Именно он должен гарантировать невозможность изменения злоумышленником содержания электронного документа. При этом для обеспечения полной секретности закрытого ключа ЭЦП необходимо, чтобы сам владелец сертификата ключа подписи сохранял его в тайне. Однако доказывание факта выполнения или невыполнения владельцем сертификата ключа подписи данной обязанности представляется весьма затруднительным.
Техническая процедура выработки и проверки подлинности электронной цифровой подписи установлена в ГОСТ Р 34.10-200111.
В соответствии с положениями ст. 3 Федерального закона "Об электронной цифровой подписи" пользователем сертификата ключа подписи является "физическое лицо, использующее полученные в удостоверяющем центре сведения о сертификате ключа подписи для проверки принадлежности электронной цифровой подписи владельцу сертификата ключа подписи". Вместе с тем лицом, полагающимся на электронный документ, который заверен ЭЦП, может быть и юридическое лицо. Таким образом, в настоящее время в российском законодательстве остается неурегулированным вопрос о возмещении вреда юридическим лицам, понесшим убытки в результате доверия к данным, содержащимся в сертификате ключа подписи, и результатам проверки подлинности ЭЦП, выполненной удостоверяющим центром12.
Следует также отметить, что в Федеральном законе "Об электронной цифровой подписи" используется термин "участник информационной системы", применяемый для обозначения как владельцев, так и пользователей сертификатов ключей подписей. При этом анализируемый правовой акт не содержит определения этого понятия.
Закрепленные в Федеральном законе "Об электронной цифровой подписи" условия, при которых ЭЦП является равнозначной собственноручной подписи, схожи с теми, что содержатся в Модельном законе "Об ЭЦП". Однако в российском Законе не указывается, что подписывающее лицо должно правомерно владеть закрытым ключом ЭЦП для признания ЭЦП равнозначной собственноручной подписи.
Вместе с тем в Федеральном законе "Об электронной цифровой подписи" предусмотрены дополнительные условия: электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи, и лишь при осуществлении отношений, указанных в сертификате ключа подписи (п. 2 ст. 4). Таким образом, при принятии электронного документа, заверенного ЭЦП, в качестве доказательства по делу от суда требуется предварительное исследование вопроса о том, насколько отношения, при которых использовался данный документ, соответствовали тем, что указаны в сертификате ключа подписи. Исходя из правовых норм российского законодательства, в настоящее время обязанность доказывать такое соответствие лежит на лице, представляющем электронный документ, подписанный ЭЦП.
В соответствии с п. 1 ст. 9 рассматриваемого правового акта удостоверяющий центр: изготавливает и выдает сертификаты ключей подписей; ведет реестр сертификатов ключей подписей, обеспечивает его актуальность и возможность свободного доступа к нему участников информационных систем; осуществляет по обращениям пользователей сертификатов ключей подписей подтверждение подлинности ЭЦП в электронных документах в отношении выданных им сертификатов; может предоставлять участникам информационных систем иные связанные с использованием ЭЦП услуги. При этом не указывается, каким образом удостоверяющий центр будет обеспечивать свободный доступ к реестру.
Анализ положений данного Закона также позволяет сделать вывод об отсутствии у пользователя сертификата ключа подписи возможности определить, в какой именно удостоверяющий центр ему следует обратиться для подтверждения подлинности ЭЦП.
Федеральный закон "Об электронной цифровой подписи" устанавливает, что при изготовлении сертификатов ключей подписей удостоверяющим центром должно быть оформлено два сертификата на бумажных носителях (один экземпляр выдается владельцу сертификата, а другой остается в удостоверяющем центре).
В п. 1 ст. 8 Федерального закона "Об электронной цифровой подписи" предусматривается, что удостоверяющим центром, выдающим сертификаты ключей подписей для использования в открытых информационных системах, должно быть юридическое лицо, обладающее необходимыми материальными и финансовыми средствами. Вместе с тем в анализируемом правовом акте не указывается, в какой организационно-правовой форме могут создаваться такие центры.
Согласно положениям п. 1 ст. 8 Федерального закона "Об электронной цифровой подписи" статус удостоверяющего центра, обеспечивающего функционирование корпоративной информационной системы, определяется ее владельцем или соглашением участников этой системы. Вместе с тем в п. 2 данной статьи не сделано уточнения о том, подлежит ли лицензированию деятельность удостоверяющих центров, функционирующих в рамках корпоративных информационных систем.
Обязательства удостоверяющего центра по отношению к владельцу сертификата ключа подписи сводятся к обязанности сохранять в тайне закрытый ключ ЭЦП и незамедлительно требовать от удостоверяющего центра приостановления действия сертификата ключа подписи при наличии у него оснований полагать, что эта тайна была нарушена.
До того как уполномоченное лицо удостоверяющего центра начнет использовать свою ЭЦП для заверения сертификатов ключей подписей, выдаваемых от имени этого центра, сертификат ключа подписи, применяемый для данных целей, должен быть представлен в уполномоченный в области ЭЦП федеральный орган исполнительной власти в виде электронного документа и документа на бумажном носителе. Сведения о таких сертификатах заносятся уполномоченным в области ЭЦП федеральным органом исполнительной власти в единый государственный реестр сертификатов ключей подписей, которыми удостоверяющие центры, работающие с участниками открытых информационных систем, заверяют выдаваемые ими сертификаты. Наряду с указанной деятельностью уполномоченный в области ЭЦП федеральный орган исполнительной власти на основании обращений заинтересованных лиц осуществляет подтверждение подлинности ЭЦП, которые применяются удостоверяющими центрами в выдаваемых ими сертификатах ключей подписей.
В настоящее время федеральным органом исполнительной власти в области использования электронной цифровой подписи является Федеральное агентство по информационным технологиям13.
В соответствии с п. 1 ст. 14 анализируемого правового акта удостоверяющий центр, выдавший сертификат ключа подписи, обязан аннулировать его: 1) по истечении срока действия сертификата; 2) при утрате юридической силы сертификата средств ЭЦП, предназначенных для использования в информационных системах общего пользования; 3) если ему стало достоверно известно о прекращении действия документа, на основании которого оформлен сертификат; 4) по заявлению в письменной форме владельца сертификата ключа подписи; 5) в иных установленных нормативными правовыми актами или соглашением сторон случаях.
Сразу после аннулирования сертификата ключа подписи удостоверяющий центр обязан оповестить об этом пользователей сертификатов ключей подписей путем внесения в надлежащий реестр соответствующей информации с указанием даты и времени аннулирования данного сертификата, а также известить об этом владельца сертификата и уполномоченное лицо (орган), от которого получено указание об аннулировании этого сертификата.