Электронная цифровая подпись содержит конфиденциальную информацию, и позволяет заверить документ, подтверждает авторство и неизменность содержания. Сегодня ЭЦП используются в электронном документообороте, на торговых площадках, в работе с государственными структурами и органами и т.д. Деятельность и силу цифровой подписи регулирует федеральный законопроект, в отдельной статье которого прописана и ответственность за использование чужой ЭЦП или компрометацию сертификата.
Содержание
Условия исполнения закона о ЭЦП
Необходимость принятия федерального закона была обусловлена тем, что ЭЦП предоставляет новые права и обязанности субъектам правоотношений, а для удостоверения подлинности подписи сформирована целая система специализированных организаций. Все подзаконные акты, принятые вслед за ФЗ, лишь конкретизируют правовые механизмы и дополняют законодательную базу об ЭЦП.
ФЗ определяет условия использования ЭЦП, соблюдение которых не только признает средства ЭЦП надежными, но и позволяет обеспечить сохранность персональной информации и безопасную передачу данных даже по открытым каналам связи.
Закон прописывает также и ответственность владельца сертификата ключа. По ФЗ владелец ЭП обязан:
- хранить закрытый ключ ЭЦП втайне;
- не использовать ключи ЭЦП, если известно, что их конфиденциальность нарушена;
- требовать приостановления действия сертификата ЭЦП при подозрении на нарушение тайны закрытого ключа.
Если требования соблюдены не были, то вся ответственность и возмещение возможных убытков ложится на владельца сертификата ЭЦП.
Ответственность за нарушение законодательства
Федеральный закон о ЭЦП был принят 10.01.2002 г., а вступил в силу на территории РФ 22.01.2009 г. Законопроект не только охватывает все сферы действия ЭЦП, но и содержит основные наказуемые случаи за нарушение правил использования цифровой подписи.
По ФЗ несут уголовную ответственность лица:
- неправомерно использующие ЭЦП другого лица, в т.ч. неправомерно получившие доступ к закрытому ключу сертификата;
- получившие неправомерный доступ к средствам ЭЦП;
- незаконно создающие и/или использующие средства ЭЦП.
Гражданско-правовая ответственность налагается:
- если были причинены убытки по причине несоответствия средств ЭЦП, заявленных компанией-производителем;
- при нарушении процесса проверки средств цифровой подписи.
Возмещение убытков возможно, если:
- убытки были причинены пользователю открытого ключа цифровой подписи из-за несанкционированного доступа третьих лиц к закрытому ключу;
- доказана вина владельца открытого ключа, получившего доступ от владельца закрытого ключа по договору использования ЭЦП.
Если было доказано неправомерное использование электронной подписи или получение доступа к закрытому ключу, то наравне с уголовной ответственностью может налагаться гражданско-правовая или административная ответственность. Объясняется это тем, что наказуем не факт использования ключа ЭЦП, а его последствия (хищение денег, информации, интеллектуальной собственности и т.д.).
Процесс передачи ЭЦП
Цифровая подпись тождественна собственноручной оригинальной подписи, используемый в пространстве электронного документооборота. Передачи ЭЦП третьим лицам запрещена, и противоречит основному ФЗ-63. Основное положение этого законопроекта — электронная цифровая подпись идентифицирует своего владельца.
Однако при необходимости можно составить акт передачи электронной подписи, который должен соответствовать положениям федерального закона. По ФЗ-63 все участники ЭДО имеют право использовать электронную подпись любого типа, но обязаны обеспечить конфиденциальность. За сохранность подписи и область применения реквизита отвечает ее владелец. В случае возникновения спорных ситуаций такой документ будет иметь юридическую силу. Доверенность, составленная в устной форме между сотрудниками компании, при решении вопросов в судебном порядке иметь юридическую силу не будет.
Акт приема-передачи подписи
Пример акта приема-передачи ЭЦП:
Документ может быть составлен в произвольной форме, поскольку прямых требований законодательства к этому документу нет. Обязательно в нем указывают такие сведения, как:
- дату составления;
- ФИО владельца ЭЦП и лица, принимающего подпись на хранение;
- наименование реквизитов, переданных на хранение и использование;
- количество экземпляров;
- подписи сторон.
Дополнительно можно включить цели передачи подписи и сроки действия договоренности, ответственность за использование цифровой подписи, условия ее хранения и возмещение ущерба при утере или компрометация ключа. Иногда дополнительно указывают стоимость сертификата. Если ЭП передается более, чем одному лицу, то в акте передачи указывается сразу несколько человек.
Компрометация ключа ЭП
В действующем ФЗ об электронной подписи определение компрометации отсутствует, но под ним обычно понимают потерю доверия к закрытому ключу. Однако по ФЗ ответственность за компрометация ключа несет не только владелец, но и УЦ, выдавший ЭЦП (п.4 ч.2 ст. 13).
В практике выделено несколько ситуаций, когда в сохранности и действительности ключа можно усомниться. К ним относят:
- потерю ключа с его последующим нахождением. Есть шанс, что в этот период ключом могли воспользоваться третьи лица;
- увольнение сотрудника, получившего ранее на хранение ЭЦП;
- хранение ключа в общедоступных местах или в сейфе, на котором были обнаружены следы взлома;
- нарушение целостности ключа.
Если была обнаружена компрометация или есть подозрения, что к средствам ЭЦП получили доступ третьи лица, то необходимо:
- прекратить работу, требующую использования электронной подписи;
- обратиться в УЦ, оформивший ЭП, с заявлением о факте компрометации;
- отозвать потерявший доверия ключ ЭЦП. Сделать это может только владелец ЭП лично в офисе УЦ.
Скомпрометированную ЭП обычно отзывают в течение 30-40 минут после обращения, однако, в системе она хранится в течение нескольких месяцев. Далее, пользователю необходимо оформить новую электронную подпись, предоставив полный пакет документов и оплатив реквизит согласно выбранному тарифу.
Соблюдение основных положений по безопасности в работе с ЭЦП позволит избежать многих неприятных ситуаций, в т.ч. компрометирующих деятельность фирмы или юридического лица. Передача прав пользования ЭЦП законом не запрещена, но нежелательна: нарушение конфиденциальности закрытого ключа может привести к финансовым или иным потерям, а доказать в судебном порядке факт нарушения или хищения не всегда возможно.