В наиболее распространенном случае простая электронная подпись состоит из идентификатора (в том числе логина в качестве его важнейшей составной части), содержащего сведения о лице, осуществляющем отправку документа, и получающем ответ, и ключа (пароля, кода), с помощью которого адресат (получатель документа) проводит процедуру аутентификации, то есть убеждается, что документ действительно принадлежит лицу, которое этот документ отправило. Значение ключа носит конфиденциальный характер и не подлежит разглашению. Оно известно отправителю документов и хранится в ИС, к которой подключен получатель документов.
В подписываемый электронный документ включается обе части простой электронной подписи. При этом идентификатор может содержать ФИО отправителя, его домашний адрес или название предприятия, на котором он работает, должность и/или название подразделения предприятия в котором он работает, контактный телефон или e-mail и другие данные, которые зависят от требований ИС, к которой подключен получатель информации, или непосредственно получателя информации. Идентификатор становится доступным получателю информации, когда он получает документ. С помощью идентификатора или даже логина адресат обращается к размещенному в ИС, к которой подключен получатель документа, реестру простой электронной подписи лиц, зарегистрированных в этой ИС, выбирает оттуда необходимый пароль и инициирует сравнение пароля из реестра с паролем из документа. При положительном результате сравнения документ считается принятым адресатом, о чем он информирует отправителя. При отрицательном результате сравнения адресат направляет отправителю документа уведомление о том, что он не может принять электронный документ к исполнению и указывает причину.
|
|
В целях повышения уровня информационной безопасности ее получатель может инициировать формирование в своей ИС дополнительного пароля и направить его отправителю по электронной почте или мобильному телефону. Подтверждение отправителем получения дополнительного пароля является начальным моментом работы над документом получателя.
Формирование и занесение простой электронной подписи в реестр простых электронных подписей ИС, а также предоставление ключа (пароля) отправителю электронных документов осуществляются при регистрации отправителя документов в ИС, к которой подключен получатель документов, в качестве нового пользователя этой системы. При этом он получает также доступ к сервису реестра простых электронных подписей для проверки электронной подписи, которой подписан ответ на его электронный запрос.
|
|
Существенное значение для обеспечения защиты информационной системы от несанкционированного доступа является выбор алгоритма процедуры для регистрации нового пользователя ИС (в данном случае – отправителя электронного документа), в которую встроены формирование значений идентификатора и пароля (ключа) и предоставление ключа обеим сторонам (отправителю электронных документов и системе, к которой подключен получатель документов). Здесь принимается во внимание характер системы (корпоративная информационная система – информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц, или информационная система общего пользования – информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано), степень необходимой защищенности информации, содержащейся в передаваемом электронном документе (информация, составляющая коммерческую, служебную, профессиональную тайну, содержащая персональные данные и т.п.) и некоторые другие факторы. В частности, в соответствии с Федеральным законом от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации», Правительство Российской Федерации определяет случаи, при которых доступ с использованием сети "Интернет" к информации, содержащейся в государственных информационных системах, осуществляемый на основе запроса отправителя документа, предоставляется исключительно пользователям информации, прошедшим авторизацию (а, следовательно, и регистрацию) в единой системе идентификации и аутентификации РФ. В эту систему (а также в другие системы, обеспечивающие доступ граждан и организаций к государственным информационным ресурсам, к расчетным системам, к информационно-телекоммуникационным системам и т.п.) необходимо представлять подлинник удостоверения личности гражданина или документа о регистрации организации. Вместе с тем в других случаях достаточно дистанционно предоставить информацию, интересующую оператора системы. Диалог оператор-пользователь при этом максимально автоматизирован и может осуществляться через соответствующий сервис.
Важно еще раз подчеркнуть, что простая электронная подпись формируется без использования средств и методов криптографии. Для этого, например, может быть применен датчик псевдослучайных чисел. В ряде случаев оператор системы (или его уполномоченное лицо) сам поручает пользователю придумать себе пароль и сообщить ему. Оператор ИС может пойти на риск дистанционного сообщения пользователю пароля, применяя телекоммуникации общего пользования (телефонная связь, электронная почта и т.д.). Во многих случаях, однако, пароль передается пользователю при его встрече с уполномоченным лицом оператора или по защищенным каналам связи.