внутреннего и внешнего документооборота при одновременном существовании в
ее делопроизводстве значительной массы документов на бумажных носителях. Но
практика обмена финансовыми и управленческими электронными документами
окажется более сложной по сравнению с обменом банковскими платежами. Это
связано, в первую очередь, со сроками хранения указанных видов документов и
процедурой доказательства подлинности ЭЦП.
Существующая (и весьма обоснованная) практика использования
инфраструктуры открытых ключей в корпоративных системах показывает, что
пользователи не стремятся слишком удлинять срок действия сертификата ключа
ЭЦП: максимум год—полтора. В то время как срок хранения многих видов
финансовой и управленческой документации значительно превышает этот период.
Следует также отметить, что подтверждение подлинности ЭЦП — процесс
технологически кратковременный. Он зависит от жизненного цикла средства ЭЦП
— конкретной системы криптографической защиты данных. В частности,
аутентификация электронного документа становится невозможной после смены
технологической платформы. Это значит, что под вопросом оказывается
подлинность документов, подписанных ранее. Вряд ли в таких условиях уместно
обмениваться документами, предполагающими сроки хранения более 5 —7 лет.
Отдельный круг проблем возникает при создании и использовании закрытых
ключей ЭЦП. Пользователь должен отчетливо представлять, что с
технологической точки зрения ЭЦП не является аналогом собственноручной
подписи, которая имманентно присуща человеку. ЭЦП лучше сравнивать с
факсимиле подписи, которое может создаваться и храниться где-то на стороне,
причем в нескольких экземплярах. Закон предполагает, что ключи ЭЦП могут
создаваться удостоверяющим центром (УЦ), но ни порядок создания, хранения и
доступа к закрытым ключам ЭЦП в УЦ, ни ответственность центра за утечку
данной информации не определены. В принципе, эти проблемы можно решить
договором с УЦ, однако типовую форму такого договора еще только предстоит
разработать.
Порядок использования и хранения закрытого ключа ЭЦП самими
пользователями также вызывает массу вопросов: каким образом обеспечить
защиту ключа от несанкционированного доступа или перехвата; какие процедуры
необходимо выполнить при введении закрытого ключа в средство ЭЦП; где
следует хранить ключи (на отдельном устройстве, дискете, смарт-карте, USB-
ключе или специальном чипе); нужно ли иметь страховые копии закрытых ключей
и т. п. Единого решения для всех этих проблем не существует. Всякий раз
придется учитывать стоимостные факторы, предпочтения пользователей и
удобства в использовании, но главное — как данное решение вписывается в общую
систему информационной безопасности организации.
Следующий ряд проблем связан с тем, каким образом субъект, получивший
электронный документ, узнает открытый ключ для проверки ЭЦП. Закон
предполагает, что это можно сделать в удостоверяющем центре, выдавшем
сертификат ключа подписи. Однако даже в корпоративных системах, где адрес УЦ
выяснить несложно, для получения открытого ключа из реестра подписей
необходимо будет указать уникальный номер его сертификата. А этот номер в