Руководитель практики внедрения CSP, ELMA Раис Ахкямов рассказал, какие технологии позволят обеспечить юридическую значимость документов в случае судебных разбирательств.
Электронный документ: что с ним не так
Электронный документооборот прочно вошел в нашу жизнь. Для бизнеса привычно пользоваться счетами-фактурами, актами и прочими документами. Несмотря на это, периодически встает вопрос доверия к электронной подписи, которая значится на документах. Ее проверка нормально функционирует в момент подписания, поскольку технология электронной подписи на данный момент хорошо отработана и сомнений в подтверждении значимости документа нет.
Проблема заключается в том, что со временем у сертификатов электронной подписи заканчивается срок действия. Для сертификатов юридических лиц он истекает спустя 15 месяцев, а у физических — через 12 месяцев.
Получается, что при длительном хранении документов срок действия сертификата электронной подписи может уже истечь.
Еще один вопрос связан с тем, что сертификат может быть отозван, но при этом физически он по-прежнему остается на руках у пользователя, который может продолжать подписывать документы, хотя в этот момент его подпись уже не имеет юридической значимости.
Проверка юридической значимости сертификата электронной подписи
Избежать подписания документов отозванной подписью позволят разные форматы контейнеров электронной подписи и требования к самому процессу подписания. Существуют инструменты, позволяющие выполнять подписание без фактической проверки сертификата. Для этого достаточно перенести данные, обозначив владельца сертификата и срок действия.
Но в этом случае не формируются доказательства для проверки сертификата в будущем, проверка действительности сертификата и электронной подписи в этом случае делегируется принимающей стороне, и у принимающей стороны появляются основания для отказа в признании подписи.
Для того, чтобы обеспечить проверку документа в будущем (после отзыва или истечения срока действия сертификата), применяются определенные форматы контейнеров, в которых помимо основной информации ставится так называемая метка времени. В таком случае можно увидеть, в какой момент подписан документ.
Например, сертификат электронной подписи был отозван сегодня, а документ подписан вчера, соответственно, он признается юридически значимым с точки зрения законодательства и проходит технологические проверки. После этого внутри системы формируется информация о результатах проверки с фиксацией ее в протоколе.
Кажется, что все хорошо и эту подпись можно больше не проверять, но на самом деле есть несколько нюансов:
документ часто передается между информационными системами внутри организации длительное время, в том числе и в архив, который тоже должен «проверить», все ли в порядке;
информационные системы внутри компании меняются со временем по ряду причин: устаревают, требуют импортозамещения и другое.
В таких случаях возникает вопрос, как обеспечить проверку электронной подписи. Задача решается с помощью формирования более полного контейнера электронной подписи.
В нем помимо метки времени помещается полный список отзывов сертификатов и значения сертификатов из цепочки проверки сертификата непосредственно в момент проверки.
Это позволяет определить, не отозван ли проверяемый сертификат. Для доказательства времени проверки добавляется архивная метка времени.
Технологии обеспечения безопасности электронной подписи при длительном хранении документов
Сформировать контейнер со всеми необходимыми для проверки электронной подписи атрибутами самостоятельно не получится. Для этого нужны специальные инструменты и библиотеки. Многие системы электронного документооборота (СЭД) умеют работать с электронными подписями, и в них встречаются модули обеспечения юридической значимости, но архив, который можно хранить на длинной дистанции, никем не формируется.
Еще одним решением может стать хранение документов вместе с сертификатами электронной подписи. Однако на практике это большой объем данных, поскольку один документ зачастую становится лишь частью большой цепочки разных документов.
С точки зрения законодательства у компаний нет четких регламентов, как обеспечить безопасность СЭД и юридическую значимость документов. На самом деле, вполне достаточно протокола проверки электронной подписи в рамках информационной системы и внутри организации. Но стоит уточнить, что с технической точки зрения такая мера безопасности, как криптография, устаревает. Этот фактор стал одной из причин, по которой сертификаты электронной подписи действуют ограниченное время, чтобы ее было сложнее подделать.
Документы, подписанные электронной подписью, существуют с 2001 года, когда появился соответствующий закон, и часть из них все еще нужно хранить, подтверждать юридическую значимость и передавать из системы в систему. 15–20 лет назад вендоры не могли предложить бизнесу создание контейнеров, алгоритмов или технологических возможностей, которые есть сейчас. По этой причине в случае возникновения судебных разбирательств документ признается действующим при условии, что его все это время никто не изменял.
Еще один вариант обеспечения юридической значимости — переподписание (перештамповка) документов. Этот способ решения проблемы встречается довольно часто, хотя фактически ответственность переносится с того, кто первично подписал документ, на того, кто его переподписывает.
В качестве второй стороны может выступать и информационная система с обезличенным сертификатом. Это может привести к неприятностям и судебным разбирательствам.
Например, в информационной системе обезличенной электронной подписью подписали документ, в котором была допущена ошибка. При этом он прошел все инстанции без каких-либо сложностей. В итоге владелец информационной системы через суд пытался доказать, что документ не действителен, так как информационная система пропустила его ошибочно. В таком случае суд все равно признает правомочность документа, поскольку в регламенте прописано, что если в системе подписывается документ, то ответственность и обязательства по нему должны быть выполнены.
Несмотря на риски, эта технология востребована рынком, потому что она понятная и доступная. По факту происходит то же подписание, которое производится каждый день, но для переподписания документов, которые хранятся в системе.
Технология обеспечения юридической значимости: краткий вывод
На сегодняшний день четких рекомендаций по обеспечению долговременного хранения электронных документов, чтобы их юридическая сила была подтверждена, нет. Способ, рекомендуемый государством, можно считать самым выгодным, но оставляет пространство для оспаривания юридической значимости. Для его реализации требуется минимум действий: убедиться, что ваша СЭД проверяет входящие документы и действительность электронной подписи в них, а после — формирует протокол проверки электронной подписи с последующей передачей их в архив.
Самым безопасным способом обеспечения юридической значимости является не только проверка подписи, но и ее улучшение с включением полных значений сертификатов, списков отзывов и меток времени.
В таком случае видно не только, кто подписал документ, но и кто сертификат выдал. Затем в контейнере электронной подписи обновляется архивный штамп времени, подтверждая время проверки и целостность пакета документов. Этот вариант не только самый безопасный, но и самый дорогой, поскольку дополнительные криптографические операции могут сильно нагрузить процессоры, а хранение расширенной информации требует выделения дополнительного места для ее хранения.
Начать дискуссию