Основой документооборота предприятия должна служить надежная система защиты информации. Замена бумажных носителей электронными файлами поднимает вопрос о проверке их на подлинность. Наиболее эффективное средство аутентификации «виртуальных» документов — электронно-цифровая подпись.
Президент России Владимир Путин подписал обновленный Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации», вносящий значительные изменения в соответствующую систему нормативно-правового регулирования. В частности, законом устанавливается, что электронно-цифровая подпись, удостоверяющая авторство и подтверждающая подлинность электронных сообщений и документов, приравнивается к собственноручной.
Кроме того, согласно Федеральному закону от 10.01.2002 № 1-ФЗ «Об электронно-цифровой подписи», по соглашению участников документооборота цифровая подпись признается равнозначной собственноручной в документе на бумажном носителе, заверенном печатью.
Казалось бы, полная свобода действий. Электронный документооборот без бумажных границ, никаких росчерков пера, пара кликов мышью – и документы оформлены в строгом соответствии с требованиями закона. Но, хоть это и похоже на каламбур, так просто все лишь на бумаге.
Штирлицу такое и не снилось
Согласно российскому законодательству электронно-цифровая подпись (ЭЦП) представляет собой данные, полученные в результате криптографического преобразования текста электронного документа. Оно осуществляется с помощью закрытого ключа — уникальной последовательности символов, известной только отправителю.
Эти данные передаются вместе с текстом электронного документа его получателю, который производит дешифровку сообщения и проверяет подлинность ЭЦП, используя открытый ключ — общедоступный код, соответствующий закрытому ключу. Если дешифрация документа прошла безошибочно, это подтверждает авторство отправителя и подлинность подписи.
Законом особо оговаривается, что ЭЦП может создаваться только с помощью криптографических технологий, сертифицированных на соответствие государственному стандарту. Иные аналоги собственноручной подписи (сканирование, использование компьютерных графических планшетов) или идентификаторы (штрих-коды, инициалы, изображения, визы) не признаются в качестве ЭЦП. Хотя это не означает, что их нельзя применять на основании взаимной договоренности.
Воспользоваться ЭЦП может любое физическое или юридическое лицо, участвующее в электронном документообороте. Если стороны информационного обмена нуждаются в дополнительных гарантиях безопасности, они могут обратиться в один из удостоверяющих центров, оказывающих услуги по продаже и обслуживанию сертификатов ключей ЭЦП. Это особенно актуально для открытых информационных систем, например, государственных учреждений и ведомств, а также электронных платежей и торгов.
Однако многие компании просто приобретают или разрабатывают собственное криптографическое программное обеспечение и используют ЭЦП для внутреннего или межкорпоративного обмена сообщениями на основании соответствующих приказов и соглашений. Электронно-цифровая подпись служит для них важным механизмом защиты прав и законных интересов в процессе экономической деятельности, поскольку процедуры создания и проверки ЭЦП юридически подтверждают действительность правоотношений, оформленных в сети.
Тем не менее существующее законодательство играет роль сдерживающего фактора в развитии электронного документооборота.
Подводные камни
Несмотря на то что сегодня безопасный обмен электронными документами становится немыслимым без цифровой подписи, ее применение ограничено сферой гражданско-правовых сделок, а также рядом предусмотренных законом случаев, например представление налоговой отчетности по телекоммуникационным каналам связи. ЭЦП не признается аналогом собственноручной подписи в уставах, доверенностях, бюллетенях для голосования на собраниях акционеров, трудовых договорах, завещаниях и т. д.
Кроме того, по мнению специалистов, Закон об ЭЦП закрепляет сертификат ключа подписи за владельцем в качестве его собственности. Таким образом, ничто не может помешать должностному лицу продолжать пользоваться им даже после утраты соответствующих полномочий. Тем более что одному физическому лицу может принадлежать сколь угодно много электронных подписей. В свою очередь, организация, от имени которой это лицо ставило свою ЭЦП, не имеет права требовать отзыва сертификата ключа подписи.
При заключении «виртуального» контракта следует также обратить внимание на вид правоотношений, при осуществлении которых он имеет юридическое значение. Эти сведения должны быть включены в сертификат ключа электронной подписи, которая впредь может использоваться только для оформления указанных правоотношений. Неправильное применение ЭЦП лишает подписанный документ юридической силы.
Поэтому при использовании ЭЦП в корпоративном информационном обмене целесообразно принимать дополнительные соглашения между его участниками, четко регламентирующие все аспекты электронного документооборота в соответствии с действующим законодательством.