Электронная подпись, кажется, органично вписывается в эту практику,[spoiler] если не брать в расчет, что закрытый ключ никому нельзя передавать, он всегда находится только у владельца сертификата ЭП и идентифицирует только его. Иначе как приравнять электронную подпись к собственноручной? Если проводить параллель с обычным автографом, то, получается, его владелец передает другому человеку собственную руку. Именно «собственноручность» является определяющим фактором доверия к ЭП!
Другой вопрос – безопасность. Формально, при передаче другому лицу тайна ключа нарушается, и невозможность подделки электронного документа и электронной подписи автоматически ставится под сомнение. Получается, что передавая свой токен другому человеку, владелец сертификата добровольно допускает компрометацию своего ключа ЭП. А это уже основание для отзыва сертификата.
Проблема ли это для тех организаций, в которых часто приходится визировать документы без участия директора? В том-то и дело, что… нет!
Во-первых, в законодательстве совершенно не регламентирован порядок передачи ЭП для использования третьими лицами. Для России это означает примерно следующее: «делай, что хочешь». Забавный факт: в некоторых компаниях даже выпускают внутренний приказ, передающий право подписи ЭП за директора третьему лицу. Это даже придает определенной уверенности.
Во-вторых, сама по себе сохранность закрытого ключа – тема очень скользкая, которая в итоге ставит вопросы больше к обеспечению безопасности на всем предприятии в целом, а не к конкретной технологии. Человеческий фактор, к сожалению, никак не исключить.
В-третьих, обращаемся к самому ФЗ 63 «Об электронной подписи», статья 10:
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;
<…>
3) не использовать ключ электронной подписи при наличии оснований полагать, что конфиденциальность данного ключа нарушена;
Это практически дословно дублируются в регламентах Удостоверяющих центров. То есть, тут нет фактического запрета на передачу закрытого ключа кому-то другому. Вот эти самые «без согласия» и «основания полагать» и дают формальную возможность передавать право на подписание документов за руководителя. Правда и совершенно не понятно, что делать, если подпись будет обнаружена не там – как доказать в суде, что это не директор подписал? Фактически определить, кто воспользовался подписью в этом случае нельзя - и прицнип неотказуемости сработает на полную катушку.
Что тут можно посоветовать? Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда.
Ну и, конечно, ждем распространения решений КриптоПро на мобильных платформах, когда начнут появляться iOS- и Android-клиенты сервисов ЭДО. Есть чувство, что ждать осталось не долго. Тогда окончательно пропадет вопрос с удаленным подписанием электронных документов.
Расстрою Андрея и Михаила - я НЕ призываю нарушать закон и тем более автоматизировать данные нарушения! Я всегда и везде пишу, что законодательство надо соблюдать!
Господа, читайте внимательнее - "Если руководитель не опасается никого и ничего, то можно оставить все, как есть. Если же проявлять хоть какую-то осторожность, то логичнее всего приобрести отдельный сертификат ЭП для заместителя или исполняющего обязанности руководителя. Если же хочется визировать документы исключительно самостоятельно, то токен с сертификатом можно всегда использовать для подписи через веб-клиент сервиса электронного документооборота. Уж ноутбук-то можно взять с собой хоть куда." - вариант "оставить всё как есть" явно обозначен как плохой! Да, я про него пишу, НО не потому, что я его рекомендую, а потому, что он к сожалению был, есть и будет, вне зависимости от нашего с вами желания!
я рекомендую два основных варианта:
1. Дополнительно уполномочить для подписания определённых документов сотрудников компании (например, замов) и приобрести им сертификаты ЭП.
2. Решить задачу мобильности уполномоченных для подписания документов лиц, тогда они смогут подписывать документы из любой точки.
Про вариант "оставить как есть..." я пишу, НО его НЕ рекомендую! Пишу, т.к. он в российских компаниях был, есть и ещё будет, отчасти это связано с отсутствием прямых санкций (в зак-ве об ЭП) за нарушения и с малым количеством негативных примеров такого "поведения".
Один из применяемых способов это авторизация по сертификату ЭП и если директор сам добровольно передал другому лицу свой сертификат ЭП вместе с пин-кодом, то определить это для системы становится очень сложно/не возможно.
Можно ввести дополнительно авторизацию по отпечаткам пальцев и сетчатке глаза, но на это пока не пойдут ни вендоры, ни пользователи.