"Бухгалтерский учет", N 20, 2002

ЧТО НУЖНО ЗНАТЬ БУХГАЛТЕРУ О ЗАКОНЕ

"ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ"

В соответствии с Федеральным законом от 28.03.2002 N 32-ФЗ "О внесении изменения и дополнения в Федеральный закон "О бухгалтерском учете" при наличии технических возможностей и с согласия пользователей бухгалтерской отчетности организации могут представлять бухгалтерскую отчетность в электронном виде, допускающем компьютерную обработку. При получении бухгалтерской отчетности по телекоммуникационным каналам связи пользователь бухгалтерской отчетности обязан передать организации в электронном виде квитанцию о приеме.

Федеральный закон от 10.01.2002 N 1-ФЗ "Об электронной цифровой подписи" разрешает организациям не только не представлять бухгалтерскую отчетность на бумажных носителях, но и пересылать эту информацию по линиям связи, в частности посредством электронной почты.

Согласно п.2 ст.19 данного Закона электронная цифровая подпись в электронном документе признается равнозначной собственноручной подписи лица в документе на бумажном носителе, заверенном печатью, т.е. электронная подпись имеет такую же юридическую силу, как и подпись на бумажном документе, заверенная печатью.

Если не принять специальных мер, то все сообщения по электронной почте, переданные в виде простого текста, можно легко перехватить и даже внести в них любые изменения, т.е. подделать. Согласно Письму МНС России от 05.03.2002 N ШС-6-14/252 налоговую тайну составляют любые полученные налоговым органом сведения о налогоплательщике. Для того чтобы была сохранена тайна переписки, посылаемые сообщения должны быть зашифрованы. Закон "Об электронной цифровой подписи" предусматривает особый способ шифрования - шифрование с двумя ключами. Послание, зашифрованное с использованием одного из ключей, может быть расшифровано только с использованием второго ключа. Один из ключей объявляется открытым (его значение сообщается всем желающим), а второй - закрытым (его значение известно только владельцу).

Обмен сообщениями происходит по следующей схеме. Каждая инспекция Министерства Российской Федерации по налогам и сборам на своем сайте в Интернете (на доске объявлений в своем офисе, а также на официальном бланке, где приводятся номера телефонов и прочие реквизиты организации) помещает для всеобщего сведения значения своих открытых ключей и просит всех налогоплательщиков посылать отчетные формы и прочую корреспонденцию в электронном виде, предварительно зашифровав ее при помощи открытого ключа этого учреждения. Получив сообщение, ответственный работник учреждения расшифровывает сообщение при помощи хранящегося у него закрытого ключа. Так сохраняется тайна переписки, никто не может расшифровать сообщение, кроме владельца закрытого ключа.

Налогоплательщик, регулярно посылая в свою налоговую инспекцию электронные документы, зашифрованные при помощи открытого ключа, принадлежащего этой налоговой инспекции, может получить по электронной почте документ, например квитанцию о приеме, зашифрованный закрытым ключом своей налоговой инспекции. Разумеется, он сможет расшифровать это сообщение при помощи имеющегося у него открытого ключа, потому что любое сообщение, зашифрованное одним из ключей, расшифровывается другим ключом.

У налогоплательщика нет причин сомневаться в том, что сообщение послано именно его налоговой инспекцией, так как он смог расшифровать сообщение открытым ключом этой налоговой инспекции. Значит, это сообщение зашифровано закрытым ключом данной налоговой инспекции. А закрытый ключ известен только ответственному лицу этой налоговой инспекции, т.е. сам факт, что сообщение зашифровано закрытым ключом налоговой инспекции, равносилен тому, что на соответствующем бумажном документе стояла бы подпись ответственного лица этой налоговой инспекции, скрепленная соответствующей печатью.

Но это сообщение может прочитать не только данный, но и любой налогоплательщик, потому что открытый ключ известен всем. Для того чтобы сообщение, посылаемое данному адресату, никто не мог прочитать, оно должно быть зашифровано открытым ключом, принадлежащим данному адресату. Сообщение, которое посылает отправитель данному адресату, должно состоять из двух частей: одна часть - сообщение, зашифрованное открытым ключом адресата, а другая - текст, зашифрованный закрытым ключом отправителя. Получатель расшифровывает первую часть сообщения своим закрытым ключом и знакомится с содержательной частью сообщения. Вторую часть он расшифровывает известным ему открытым ключом отправителя и убеждается, что сообщение послано именно этим отправителем, владельцем закрытого электронного ключа.

Таким образом, для сохранения тайны переписки и подтверждения авторства сообщений, передаваемых посредством информационной системы общего пользования, т.е. посредством электронной почты, каждый из участников электронной переписки должен быть обладателем уникальной пары ключей - открытого и закрытого. Отправитель, посылая сообщение адресату, шифрует одну часть своего сообщения открытым ключом адресата, а вторую, представляющую сведения об авторе послания, - своим закрытым ключом. Вторая часть и представляет собой электронную подпись. Адресат, получив сообщение, первую часть расшифровывает своим закрытым ключом и знакомится с содержанием послания, а вторую - известным ему открытым ключом отправителя и убеждается, что сообщение послано именно этим отправителем. Такова теория, таков принцип электронной цифровой подписи.

Но на практике все обстоит не совсем так. Если текст делить на две части и каждую часть зашифровывать так, как это описано выше, то перехвативший сообщение может расшифровать вторую часть, потому что она расшифровывается открытым ключом отправителя, который может быть известен не только адресату, но и неопределенному кругу лиц.

Чтобы исключить возможность расшифровки даже части сообщения, отправитель шифрует первую содержательную часть текста своим закрытым ключом. Затем весь текст, т.е. уже зашифрованную первую часть и еще незашифрованную вторую часть, где содержатся сведения об авторе послания, отправитель шифрует открытым ключом адресата. Таким образом, первая часть текста шифруется два раза. Адресат расшифровывает полученное сообщение своим закрытым ключом и обнаруживает, что сообщение состоит из двух частей. Одна часть (в нашем случае вторая) уже расшифрована и содержит сведения об отправителе, авторе послания. А другая часть представляет собой шифрограмму, которую адресат расшифровывает открытым ключом отправителя, поскольку он уже знает, кто является отправителем. Открытый ключ отправителя может быть передан в этом же сообщении, в той его части, где указываются фамилия, имя и другие данные об авторе.

Законом "Об электронной цифровой подписи" предусматривается создание удостоверяющих центров, т.е. учреждений, имеющих государственную лицензию на занятие этим видом деятельности.

Удостоверяющий центр на основании письменного заявления "изготовит" открытый и закрытый ключи шифрования, которые в Законе называются ключами электронных цифровых подписей, и выдаст сертификат, являющийся "электронным паспортом", или "электронным удостоверением личности". Кроме того, удостоверяющий центр может предоставить в распоряжение пользователя программу, осуществляющую шифровку и дешифровку сообщений с использованием открытых и закрытых ключей, или "сертифицировать" (т.е. подтвердить работоспособность и пригодность для использования) программу, уже имеющуюся у пользователя.

Сертификат ключа содержит следующие сведения: уникальный регистрационный номер сертификата ключа электронной цифровой подписи, даты начала и окончания срока действия ключа, фамилию, имя и отчество владельца сертификата ключа (или псевдоним, в этом случае удостоверяющий центр вносит запись в сертификат ключа подписи); значение открытого ключа, наименование средств электронной цифровой подписи, в которых используется данный ключ электронной цифровой подписи; наименование и место нахождения удостоверяющего центра, выдавшего сертификат ключа подписи; сведения об отношениях, при осуществлении которых электронный документ с электронной цифровой подписью будет иметь юридическое значение. В случае необходимости в сертификате ключа на основании подтверждающих документов указываются должность (наименование и место нахождения организации, в которой установлена эта должность) и квалификация владельца сертификата ключа подписи, а по его заявлению в письменной форме - иные сведения, подтверждаемые соответствующими документами.

Электронный документ, который по электронным каналам связи передается в какое-либо официальное учреждение, теперь будет состоять из трех частей.

Первая часть - составленный пользователем документ, содержащий ту информацию, из-за передачи которой и посылается сообщение. Эту часть пользователь зашифровывает своим закрытым ключом.

Вторая часть представляет собой текст, содержащий сведения о пользователе. Эту часть пользователь пока не шифрует, по ней адресат определяет, кто является автором сообщения и, следовательно, чьим открытым ключом нужно расшифровывать первую часть сообщения.

Третья часть - это сертификат, выданный удостоверяющим центром и содержащий фамилию, имя, отчество, другие реквизиты пользователя, в том числе значение открытого электронного ключа и даты, с которой и по которую открытый электронный ключ является действительным. Эта часть зашифрована закрытым ключом удостоверяющего центра. Адресат расшифровывает третью часть известным ему открытым ключом удостоверяющего центра и убеждается, что пользователь именно тот, за кого себя выдает, и что его электронная подпись действительна.

Третья часть присоединяется к первым двум частям, а затем все послание шифруется открытым ключом адресата.

Адресат, получив послание, расшифровывает его своим закрытым ключом. Узнав из второй части, кто является автором послания, адресат расшифровывает первую часть послания открытым ключом пользователя и знакомится с содержанием документа.

Из уже расшифрованной второй части адресат узнает, каким удостоверяющим центром пользователю выданы ключи. Расшифровав третью часть сообщения открытым ключом удостоверяющего центра, адресат убеждается, что пользователь является именно тем, за кого себя выдает.

Закон разрешает любому лицу иметь несколько пар ключей. В сертификате, выданном удостоверяющим центром, указано, для какого рода правоотношений данная электронная подпись (данная пара ключей) является действительной.

Использование электронных цифровых документов с электронной подписью подразумевает непрерывное шифрование и дешифровку документов и их частей различными ключами. Все это можно делать при помощи компьютера, на котором установлена соответствующая программа. Компьютер (аппаратное средство) и программа шифрования - дешифровки (программное средство) в Законе "Об электронной цифровой подписи" представляют средства электронной цифровой подписи. Этим Законом устанавливается, что использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается. В соответствии с Законом возмещение убытков, причиненных в связи с использованием несертифицированных средств электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств.

Для того чтобы убедиться, что установленная на компьютере программа не обладает "побочным" действием, производится сертификация, т.е. проверка средств электронной цифровой подписи наделенным соответствующими полномочиями государственным органом. В случае успешной проверки выдается сертификат средств электронной цифровой подписи - документ на бумажном носителе, полученный согласно правилам системы сертификации, для подтверждения соответствия средств электронной цифровой подписи установленным требованиям.

Даже при использовании сертифицированных средств следует соблюдать меры предосторожности, которые заключаются, в частности, в следующем. Все документы необходимо хранить в компьютере только в зашифрованном открытым ключом пользователя виде. При работе с документами надо убедиться, что компьютер не соединен с Интернетом, расшифровать те документы, с которыми собираются работать, закрытым ключом пользователя. По окончании работы с документами и перед тем, как отправить по электронной почте послание, нужно зашифровать одну его копию открытым ключом адресата, а другую и все остальные документы снова зашифровать открытым ключом и стереть (уничтожить, удалить) из запоминающих устройств компьютера незашифрованные копии всех документов, с которыми работал пользователь.

Федеральным законом "Об электронной цифровой подписи" предусмотрено, что все услуги по выдаче сертификатов ключей подписей, зарегистрированных удостоверяющим центром, оказываются безвозмездно.

Подписано в печать С.А.Машков

27.09.2002 Аудиторско - консалтинговая группа

"Что делать Консалт"

     
   ——————————————————————————————————————————————————————————————————
————————————————————
——