Виды электронной подписи (ЭЦП). Внедрение электронной подписи в организации Требования к электронной цифровой подписи

Электронно-цифровая подпись (ЭЦП) - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронно-цифровая подпись - это программно-криптографическое средство, которое обеспечивает:

проверку целостности документов;

конфиденциальность документов;

установление лица, отправившего документ.

Преимущества использования электронно-цифровой подписи

Использование электронно-цифровой подписи позволяет:

значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

гарантировать достоверность документации;

минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

построить корпоративную систему обмена документами.

Виды электронно-цифровой подписи

Существует три вида электронной цифровой подписи:

Простая электронно-цифровая подпись

Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом.

Простая электронно-цифровая подпись имеет низкую степень защиты. Она позволяет лишь определить автора документа.

Простая электронно-цифровая подпись не защищает документ от подделки.

Усиленная неквалифицированная электронно-цифровая подпись

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Усиленная неквалифицированная электронно-цифровая подпись имеет среднюю степень защиты.

Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.

Усиленная квалифицированная электронно-цифровая подпись

Для квалифицированной электронной подписи характерны признаки неквалифицированной электронной подписи.

Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства.

Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты.

Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью.

Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота.

Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил.

А также установить, изменялся ли документ уже после того, как был подписан.

Когда применяются разные виды подписи

Простая электронно-цифровая подпись

Обращение заявителей - юридических лиц за получением государственных и муниципальных услуг осуществляется путем подписания обращения уполномоченным лицом с использованием простой электронной подписи.

Использование простой электронной подписи для получения государственной или муниципальной услуги допускается, если федеральными законами или иными нормативными актами не установлен запрет на обращение за получением государственной или муниципальной услуги в электронной форме, а также не установлено использование в этих целях иного вида электронной подписи

Усиленная неквалифицированная электронно-цифровая подпись

Случаи, в которых информация в электронной форме, подписанная неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в Налоговом кодексе не определены.

По мнению Минфина, для целей налогового учета документ, оформленный в электронном виде и подписанный неквалифицированной электронной подписью, не может являться документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

Поэтому, хотя хозяйствующие стороны при наличии юридически действительного соглашения могут организовать электронный документооборот, применяя усиленную неквалифицированную электронную подпись, если есть вероятность возникновения споров с контролирующим органом, смысл в таких документах утрачивается.

Усиленная квалифицированная электронно-цифровая подпись

Для некоторых видов отчетности использование квалифицированной подписи прямо определено нормативными документами.

Например, такой порядок установлен для:

годовой бухгалтерской отчетности, которую необходимо сдать в Росстат;

формы РСВ-1 ПФР;

отчетности в налоговую инспекцию – декларации.

Электронный счет-фактуру следует подписывать только усиленной квалифицированной электронной подписью руководителя либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) или доверенностью от имени организации, индивидуального предпринимателя.

Заявление о постановке на учет (снятии с учета) в налоговом органе заверяется только усиленной квалифицированной подписью.

Заявления о возврате или зачете суммы налога также принимаются только в случае, если они визированы усиленной квалифицированной электронной подписью.

Электронно-цифровая подпись (ЭЦП): подробности для бухгалтера

• Можно ли применять электронную цифровую подпись и факсимильную подпись при оформлении бухгалтерских документов?

  Соглашением сторон. Электронная цифровая подпись (ЭЦП) В настоящее время отношения в... подробно о порядке применения видов ЭЦП при подписании документов бухгалтерского и...

• Электронное взаимодействие работника и работодателя при оформлении трудовых отношений

  Что электронную цифровую подпись (ЭЦП) на кадровых документах можно будет... ограничен перечень документов, подписываемых ЭЦП, с целью защиты прав... существенных инвестиций. Высокая стоимость выпуска ЭЦП (с учетом выпуска квалифицированной... Сложность "массового" получения ЭЦП Невозможность подписания документов задним числом... перехода к использованию новых стандартов ЭЦП и функции хэширования». Предполагалось, ... перехода к использованию новых стандартов ЭЦП и функции хэширования». Уведомление...

• Чем рискует главбух: сравниваем работу по ТК РФ и ГК РФ

  Помнит, на кого была оформлена электронная цифровая подпись. Главный бухгалтер пояснила, что ее...

• Формулы для определения нормативных значений ключевых показателей экономической ценности предприятий

  Вида: показатели годовой ЭЦП; показатели периодной ЭЦП; показатели общей ЭЦП. В свою... три подвида: показатели допрогнозной ЭЦП; ожидаемые показатели прогнозной ЭЦП; предполагаемые (возможные) ... подвидов) расчётных нормативных показателей ЭЦП. Принятые измерители ЭЦП – миллионы/тысячи денежных... экономической единицы, а фактические показатели ЭЦП – являются обязательными отчётными показателями... . Как отмечалось выше, показатели ЭЦП характеризуют товаропроизводительность и/или услугопроизводительность...

• Регистрация бизнеса

  Необходимо предварительно приобрести. Стоимость такой ЭЦП варьируется примерно в пределах от... учредителем выгода существенная. Если, например, ЭЦП будет приобретена за 1000 руб... направлены вам электронно, с усиленной ЭЦП налогового органа. Сайт госуслуг предоставляет...

• К вопросу об определениях понятий общей, периодной и годовой экономической ценности предприятия

  Представления об экономической ценности предприятия (ЭЦП), то определение этого понятия, исходя... стоимости товаров, выглядит следующим образом: ЭЦП – ЭТО РАСЧЁТНАЯ НОРМА ЧИСТОГО ДОХОДА...

• Пошаговая инструкция по получению имущественного вычета

  Порядке? Тогда вводим пароль от ЭЦП (электронной цифровой подписи). Если ранее... пароль от ЭЦП не был получен, то сохраняем... шестом шаге вводим пароль от ЭЦП, который придумали при ее создании...

• Электронный больничный – право, а не обязанность

  Ранее найденного больничного плагин КриптоПро ЭЦП browser plug-in не видит...

• Оформление счетов-фактур: первая половина 2017 года

  Этих целей используется усиленная квалифицированная ЭЦП (п. 6). В соответствии с... электронного образца, подписанного усиленной квалифицированной ЭЦП руководителя компании, неправомерно. В общем...

• Порядок уплаты НДС при импорте товаров из Беспублики Беларусь

  Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Каков порядок уплаты НДС при импорте товаров из Беспублики Беларусь (в том числе сроки)? Какую отчетность нужно сдать в налоговый орган и таможенный орган? Рассмотрев вопрос, мы пришли к следующему выводу: При импорте товаров из Республики Беларусь (далее - РБ) организация должна уплатить НДС не позднее 20-го числа месяца, следующего за...

• Регистры бухгалтерского учета в форме электронных документов

  Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Если регистры бухгалтерского учета (первичные учетные документы) формируются в электронном виде, какие требования к их заполнению предъявляются? Согласно п. 11 Инструкции № 157н регистры бухгалтерского учета составляются по унифицированным формам, установленным в рамках бюджетного законодательства. Напомним, что в настоящее время необходимые формы...

  Заполняется только заявление (которое заверяется ЭЦП кредитной организации), фотография не требуется...

• Изменения в Законе о контрактной системе: разъяснения Минфина в отношении переходного периода

  С 01.07.2018 вступают в силу отдельные положения федеральных законов от 31.12.2017 № 504-ФЗ «О внесении изменений в Федеральный закон «О контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд» и от 31.12.2017 № 505-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации». В Письме от 25.06.2018 № 24-06-08/43650 Минфином сообщается позиция в отношении переходного периода с 01.07.2018 до 01.01. ...

В связи с распространенностью применения информационных технологий во всех сферах жизнедеятельности современного общества управление процессами в организациях не является исключением. Особое значение в данной сфере приобретают системы электронного документооборота, предназначенные для организации и автоматизации процессов взаимодействия между сотрудниками. Применение данных систем обеспечивает эффективное управление документами организации и продуктивную работу сотрудников. Для организации полноценного электронного документооборота необходимо применение электронной подписи, которая также понадобится для проведения торговых операций онлайн и сдачи отчетности в некоторые государственные структуры.

Правовые основы

Первоначально электронная подпись применялась в банках отдельных европейских стран, позднее вопросом ее правовой регламентации занимались Организация Объединенных Наций и Европейский союз. В Российской Федерации вопрос правовой регламентации электронной подписи возник во второй половине 90-х в рамках обсуждения в Государственной Думе проблем безопасности безналичных платежей и электронной торговли и отсутствия должных механизмов правового контроля. Впервые понятие электронной подписи было сформулировано в Федеральном законе от 10 января 2002 г. "Об электронной цифровой подписи" (далее - Федеральный закон 2002 г.), который утратил силу с июля 2013 г. В соответствии с данным законом электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа-подписи, а также установить отсутствие искажения информации в электронном документе.

В настоящее время правовую основу применения электронной подписи в Российской Федерации составляет Федеральный закон от 6 апреля 2011 г. "Об электронной подписи" (далее - Федеральный закон 2011 г.). В соответствии с ним под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Действующим Федеральным законом определены основные понятия и принципы использования электронной подписи, закреплены виды электронных подписей и условия их признания, а также регламентированы полномочия органов государственной власти, права и обязанности участников электронного взаимодействия с использованием электронной подписи.

Таким образом, действующее сейчас определение электронной подписи более широкое, нежели прежнее, и сейчас понятие электронной цифровой подписи, данное в прежнем законе, близко, но не идентично понятию усиленной электронной подписи, признаками которой являются следующие:

Получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

Позволяет определить лицо, подписавшее электронный документ;

Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

Создается с использованием средств электронной подписи;

Ключ проверки электронной подписи указан в квалифицированном сертификате;

Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии Федеральным законом "Об электронной подписи" 2011 г.

Следует также отметить, что в период с апреля 2011 г. по июнь 2013 г. параллельно действовали оба вышеуказанных закона, что было связано с необходимостью времени для перехода участников рынка и госорганов на новые сертификаты и правила работы с электронной подписью.

Суть электронной подписи

Электронная подпись в Российской Федерации используется физическими и юридическими лицами и является аналогом собственноручной подписи правомочного на то лица на бумажном носителе и скрепления печатью, только в отношении придания юридической силы электронному документу. Основными целями использования электронной подписи являются:

Электронный документооборот компании;

Участие в электронных торгах на электронных торговых площадках;

Сдача отчетности в государственные органы.

Преимуществами применения электронной подписи для организации являются следующие моменты:

Сокращение времени обмена документами и совершения сделок;

Сокращение затрат на создание, доставку, хранение документов;

Гарантии достоверности и конфиденциальности передаваемой информации;

Эффективная система обмена документами для сотрудников компании;

Ликвидация проблемы наличия/отсутствия полномочий на подписание тех или иных документов.

Таким образом, при электронном документообороте с использованием электронной подписи возможно избежать массы проблем бумажного документооборота, существенно сократить сроки обмена информацией и повысить эффективность функционирования организации в целом.

Помимо преимуществ применения электронной подписи, можно выделить и недостатки:

Использование недобросовестными пользователями;

Недоступность/утрата электронных архивов всех документов организаций из-за проблем с техникой;

Затраты на оборудование и программные средства.

Однако данные недостатки скорее выступают опасениями, которые абсолютно беспочвенны в случае правильного использования системы электронного документооборота с электронной подписью на предприятии: применение индивидуализированного программного обеспечения, создание резервных копий информации, своевременный ремонт и замена оборудования и т.д.

Использование электронной подписи в Российской Федерации осуществляется на основании нескольких принципов, которые являются основополагающими основами в данной сфере:

Свобода выбора вида электронной подписи - участник имеет право самостоятельно определять вид электронной подписи, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

Свобода использования информационных технологий и технических средств - участник имеет возможность использования по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования Федерального закона 2011 г. применительно к использованию конкретных видов электронных подписей;

Недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Анализ принципов использования электронной подписи позволяет сделать вывод о свободе выбора вида электронной подписи и необходимых технических средств для участника электронного взаимодействия в зависимости от целей его деятельности и правовой регламентации данной деятельности в части наличия/отсутствия обязательных требований к электронной подписи.

Основные понятия

Для полноценного понимания механизма функционирования электронной подписи необходимо не просто поверхностно понять его суть, но и изучить основные понятия, фигурирующие в данной сфере.

Участники электронного взаимодействия - это лица и (или) организации, осуществляющие обмен информацией в электронной форме, в том числе и государственные органы, органы местного самоуправления и т.д.

Корпоративная информационная система - это информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.

Информационная система общего пользования - это информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.

Ключ электронной подписи - это уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Сертификат ключа проверки электронной подписи - это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Квалифицированный сертификат ключа проверки электронной подписи - это сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (Министерством связи и массовых коммуникаций Российской Федерации).

Средства электронной подписи - это шифровальные (криптографические) средства, которые используются для создания или проверки электронной подписи, создания или проверки ключа электронной подписи.

Удостоверяющий центр - это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей и т.д. В настоящее время функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляет Министерство связи и массовых коммуникаций Российской Федерации, которое и проводит аккредитацию удостоверяющих центров.

Средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.

Виды электронной подписи

Российским законодательством предусмотрено 3 основных вида электронной подписи:

1) простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;

2) усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, и позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи;

3) усиленная квалифицированная электронная подпись (квалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи. При этом ключ проверки электронной подписи указан в квалифицированном сертификате, и для создания/проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законодательством Российской Федерации в данной сфере.

В связи с изменениями в законодательстве и положениями Федерального закона "Об электронной подписи" 2011 г., где нет прошлого понятия "электронная цифровая подпись", необходимо рассмотреть вопрос соотношения действующих на данный момент подписей и новых. Так, сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами. При этом, электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи, выданном в соответствии с порядком, ранее установленным законом, в течение срока действия указанного сертификата, но не позднее 31 декабря 2013 г. признается электронным документом, подписанным квалифицированной электронной подписью. Также в тех случаях, где федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 г., предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись.

Однако для полноценного применения электронной подписи в связи с вышеуказанными изменениями организациям необходимо учесть не только юридические аспекты равенства тех или иных видов подписи, но и исследовать технический аспект. При сравнении сертификата квалифицированной подписи и сертификата электронной цифровой подписи, закрепленной в Федеральном законе 2002 г., возникнет их различие в наличии/отсутствии поля СНИЛС (страховой номер индивидуального лицевого счета в Пенсионном Фонде Российской Федерации), что может привести к невозможности использования в конкретных системах в зависимости от их требований. В таком случае необходимо заранее узнавать о требованиях к виду электронной подписи для конкретных целей организации, или иметь оба сертификата.

При этом важно знать, что квалифицированная электронная подпись не является универсальной и ее обязательное использование предусмотрено только для ряда информационных систем государственных органов, например, таких как портал gosuslugi.ru или системы отчетности Федеральной налоговой службы Российской Федерации. Что касается торговых площадок, то они сами определяют требования к электронным подписям и вправе использовать как квалифицированную подпись, так и электронную цифровую подпись, предусмотренную Федеральным законом 2002 г. Подобная ситуация с самостоятельностью определения различными системами создает проблему в виде невозможности некоторых из них к работе с квалифицированными электронными подписями даже к окончанию срока действия закона 2002 г.

При таком раскладе наиболее логичным для организации является определение целей использования электронной подписи. В случае если это отчетность в государственные органы, то необходимо срочно получать квалифицированную подпись. Однако если речь идет о других торговых сделках - лучше обратиться в удостоверяющий центр для получения квалифицированной подписи, чтобы избежать неловкой ситуации в случае перехода какой-либо площадки на ее обязательное требование.

Стоит также отметить, что несколько электронных документов, связанных между собой (пакет), могут быть подписаны одной электронной подписью и каждый такой документ в отдельности признается подписанным. При этом по-прежнему не стоит забывать о требованиях к конкретным видам электронных подписей в некоторых случаях.

Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, признаются в РФ в зависимости от соответствия признакам того или иного вида. Выдача сертификата ключа проверки электронной подписи в соответствии с нормами иностранного права не является причиной признания документа недействительным.

Порядок получения электронной подписи

Получение электронной подписи проходит в несколько этапов:

1. Поиск подходящего удостоверяющего центра

Для получения электронной подписи необходимо в первую очередь определиться с целями применения электронной подписи вашей организацией и в зависимости от них выбрать удостоверяющий центр, который уполномочен изготавливать сертификаты ключей проверки электронных подписей.

К компетенции удостоверяющего центра относится:

Создание и выдача сертификатов ключей проверки электронных подписей лицам, обратившимся за их получением (заявителям);

Утверждение сроков действия сертификатов ключей проверки электронных подписей;

Аннулирование выданных им сертификатов ключей проверки электронных подписей;

Выдача по обращению заявителя средств электронной подписи, содержащих ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающих возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

Ведение реестра выданных и аннулированных им сертификатов ключей проверки электронных подписей, в том числе включающих в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращений или аннулирований;

Утверждение порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечение доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием сети "Интернет";

Создание по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

Проверка уникальности ключей проверки электронных подписей в реестре сертификатов;

Осуществление по обращениям участников электронного взаимодействия проверки электронных подписей;

Осуществление иной связанной с использованием электронной подписи деятельности.

Помимо этого для удостоверяющего центра закреплены следующие обязанности:

Информирование в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;

Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защита от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;

Предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата ключа проверки электронной подписи;

Обеспечение конфиденциальности созданных удостоверяющим центром ключей электронных подписей.

Таким образом, основными функциями удостоверяющего центра являются осуществление проверки электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей, и обеспечение электронного взаимодействия доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром. Информация, внесенная в реестр сертификатов, подлежит хранению в течение всего срока деятельности удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами. В случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности этого удостоверяющего центра. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть уничтожена. В случае прекращения деятельности удостоверяющего центра с переходом его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты передачи своих функций. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть передана лицу, к которому перешли функции удостоверяющего центра, прекратившего свою деятельность.

При этом важно также оценивать стабильность и качества поставщика услуг, которые, как правило, определяются широтой сфер использования их сертификатов. И, конечно же, не стоит принимать свое решение в зависимости от цены, так как для полноценного функционирования необходимо приобрести полный комплект в виде ключевого носителя, лицензии на право использования средства электронной подписи и сертификата ключа проверки электронной подписи. Цены варьируются. В сети "Интернет" можно найти сайты удостоверяющих центров в подходящем регионе и подробно узнать всю информацию.

2. Подача заявки и документов для получения электронной подписи

Определившись с удостоверяющим центром, необходимо отправить заявку на выпуск сертификата электронной подписи. Такую заявку можно подать на сайте, заполнив краткую форму, после обработки которой для выяснения деталей оформления перезвонит менеджер, а позднее необходимо будет предоставить перечень документов в Регистрационный центр удостоверяющего центра. Также возможно заполнить полную регистрационную карту на сайте и явиться в место выдачи сертификатов к моменту его готовности. На данном этапе форма заявки зависит от выбора конкретного удостоверяющего центра.

После мониторинга сайтов удостоверяющих центров список документов, необходимых для изготовления квалифицированного сертификата ключа подписи, как правило, выглядит следующим образом:

Для юридических лиц

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРЮЛ

Нотариально заверенная копия, либо оригинал с простой копией свидетельства о постановке на учет в налоговом органе

Для индивидуальных предпринимателей

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРИП

Нотариально заверенная копия либо оригинал с простой копией свидетельства постановке на учет в налоговом органе

Копия СНИЛС владельца сертификата

Копия паспорта будущего владельца сертификата

Копия паспорта получателя сертификата

Доверенность на получение сертификата ключа подписи (если это не владелец сертификата)

Доверенность, подтверждающая полномочия владельца сертификата ключа подписи (если владелец не имеет права действовать от имени юридического лица без доверенности)

Для физических лиц

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия, либо оригинал с простой копией свидетельства постановки на учет в налоговом органе

Копия паспорта

Копия СНИЛС владельца сертификата.

3. Получение сертификата и комплекта

Личное присутствие владельца сертификата или его доверенного представителя для получения сертификата ключа проверки электронной подписи является обязательным условием большинства удостоверяющих центров. Несмотря на то что на практике существуют случаи оказания услуг и дистанционно с использованием пересылок сканированных заявительных документов по электронной почте и получение сертификата электронной подписи также почтой, чаще всего таким образом действуют мошенники. Оформление сертификата и выдача комплекта в удостоверяющем центре не займет много времени. В этот комплект, как правило, входят:

Ключевой носитель (дискета, флешка, токен), содержащий файлы с ключом электронной подписи;

Сертификат ключа проверки электронной подписи, который также в виде файла записан на этот же ключевой носитель;

Копия сертификата ключа проверки электронной подписи на бумажном носителе с подписью и печатью удостоверяющего центра;

Лицензия на право использования программы для ЭВМ, которая в терминах закона называется средством электронной подписи;

Сама программа средства электронной подписи (установочные файлы) и документация к ней на CD-диске.

В случае кражи или утери ключа электронной подписи необходимо обратиться в удостоверяющий центр, сообщить об этом факте и получить новый ключ и новый сертификат ключа проверки электронной подписи, при этом все этапы его получения придется пройти заново и сертификат будет совершенно другим.

Также важно отметить, что электронная подпись обладает сроком действия, при этом выделяют срок действия ключа подписи - это период времени, в течение которого можно использовать ключ для создания подписи, и срок действия ключа проверки подписи - период времени, в течение которого можно использовать ключ для проверки действительности электронной подписи. Как правило, первый срок устанавливается равным 1 году, а второй срок устанавливается от 1 года до 15 лет. Но даже после получения нового ключа подписи и нового сертификата по истечении срока старого, пока не закончится срок действия "старого" сертификата, все "старые" подписи будут считаться действительными.

Требования к сотрудникам организации при работе с электронной подписью

Несмотря на простую процедуру получения электронной подписи, для эффективного ее использования необходимо уделять внимание обеспечению информационной безопасности на рабочем месте сотрудников. Порядок обеспечения информационной безопасности при работе с электронной подписью, как правило, определяется руководителем организации на основе рекомендаций по организационно-техническим мерам защиты, а также действующего российского законодательства в области защиты информации.

Сотрудники, имеющие доступ к ключевой информации и работе с использованием электронной подписи, должны быть определены и утверждены в определенный список. Они должны пройти соответствующую подготовку и ознакомиться с документацией по конкретной информационной системе, а также с нормативными документами по использованию электронной подписи. Чаще всего в организациях существует сотрудник, отвечающий за безопасность эксплуатации средств криптографической защиты информации, который занимается полным процессом сопровождения данных процессов, в том числе и созданием специализированных должностных инструкций. В случае увольнения или перевода в другое подразделение с изменением трудовых обязанностей сотрудника, рекомендуется проводить смену ключей, к которым тот сотрудник имел доступ.

Стоит отметить, что выше указаны наиболее общие требования, что в очередной раз подчеркивают серьезность применения электронной подписи в организации. Однако на практике каждая организация индивидуальна в регулировании данного вопроса.

Оформление трудовых отношений

Особую актуальность в последнее время приобретает использование электронной подписи для оформления трудовых отношений с работниками, которые находятся в удаленном доступе. Так, в апреле 2013 г. вступили в силу изменения в Трудовом кодексе РФ, которые регламентируют регулирование труда дистанционных работников и предусматривают заключение трудового договора о дистанционной работе путем обмена электронными документами. Однако в рамках данных трудовых отношений применятся исключительно квалифицированную электронную подпись для обеих сторон: работодателя и работника. Для подтверждения ознакомления с приказом о приеме на работу, правилами внутреннего трудового распорядка, иными документами в электронном виде сотрудник также должен использовать только усиленную квалифицированную электронную подпись.

При этом документы, касающиеся трудовой деятельности дистанционного работника, также оформляются в бумажном виде путем копий документов в электронной форме, которые заверяются квалифицированной электронной подписью работодателя и направляются дистанционному работнику на ознакомление. Именно эту копию работник и подписывает своей электронной подписью.

Ответственность за нарушение законодательства об электронной подписи

Ответственность за нарушение положений законодательства об использовании электронной подписи предусмотрена для разных участников электронного взаимодействия. Важно отметить, что Федеральный закон "Об электронной цифровой подписи" от 2002 г. предусматривает уголовную, гражданско-правовую и административную ответственность в соответствии с нормативными правовыми актами Российской Федерации за неправомерное использование электронно-цифровой подписи другого лица, включая неправомерное получение закрытого ключа и (или) без должных полномочий, за неправомерное создание и использование закрытых ключей, а также в случае причинения убытков пользователю открытого ключа вследствие несанкционированного доступа к закрытому ключу по вине владельца сертификата ключа подписи.

Однако в действующем законе от 2011 г. подобных упоминаний об ответственности участников электронного взаимодействия нет. При этом законодатель уделил внимание регламентации ответственности удостоверяющего центра за вред, причиненный третьим лицам в результате неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром, а также неисполнения или ненадлежащего исполнения обязанностей, предусмотренных данным законом.

Таким образом, после исследования правовой регламентации и организационных моментов использования электронной подписи можно сделать вывод об актуальности данной технологии в настоящее время. Повсеместное использование информационных технологий и переход на электронный документооборот в ближайшем будущем будут приносить плоды своего положительного влияния, однако для этого необходимо некоторое время. Правовая регламентация механизмов функционирования электронных подписей, включая переходный период от положений закона, утратившего силу, к новому правопорядку, нуждается в дополнительной проработке. Особенно стоит отметить сложность и запутанность применения различных видов электронных подписей, что негативно влияет на восприятие организациями процесса внедрения новых технологий. Помимо этого, проблемным моментом является отсутствие достаточной правовой регламентации ответственности всех участников электронного взаимодействия. Предполагается логичным установление дополнительной ответственности работников локальными актами конкретной организации. Однако в настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты.

(ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа ЭЦП, а также установить отсутствие искажения информации в электронном документе.

Нормативно-правовые документы касающиеся ЭЦП

Использование ЭЦП при заключении сделок регламентируется Федеральным законом от 10.01.2002 N1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» . Законом провозглашаются общие положения «правил » на электронных рынках в части вопросов признания ЭЦП в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе.

• Присоединенная электронная цифровая подпись

• Служба штампов времени

  Срок действия любого сертификата ЭЦП ограничен определённым промежутком времени. После истечения его срока действия все документы созданные при помощи данной ЭЦП теряют свою юридическую силу, т.к. невозможно определить был ли сертификат актуален на момент подписания данного документа или нет? Это автоматически означает недействительность документа согласно с ФЗ «Об электронной цифровой подписи».

  Служба штампов времени позволяет доказать факт существования документа на определённый момент времени.

  Службой штампов времени может выступать Удостоверяющий центр, имеющий точный и надёжный источник времени и предоставляющий услуги по созданию штампов времени.

  Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Это значит, что сохраняется возможность использования отозванного сертификата для проверки ЭЦП, созданных до момента отзыва. Эта проблема актуальна для всех систем электронного документооборота. Штамп времени также может использоваться для подтверждения получения или отправления документа, когда это необходимо.

  Что еще позволяет осуществить использование цифровой подписи?

  Электронная цифровая подпись является одним из важнейших элементов для организации полноценного электронного документооборота, т.к. служит аналогом собственноручной подписи человека. Кроме этого, использование цифровой подписи позволяет осуществить:

  * Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
  * Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
  * Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
  * Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

  Что необходимо сделать для работы с ЭЦП?

  Для работы с ЭЦП необходимо:

  • обеспечить наличие ПЭВМ в соответствии с требованиями;
  • обеспечить наличие специализированного ПО для работы с ЭЦП;
  • определить лицо, на которое выписывается сертификат ЭЦП;
  • выбрать способ получения ЭЦП;
  • заключить договор УЦ и оплатить услуги по выдаче сертификата ключа подписи.

  Оставьте свой комментарий!

Виды электронных подписей в России и требования к Средствам ЭП

Принятый ещё в апреле 2011 года Федеральный закон N 63-ФЗ « Об электронной подписи » определил следующие два вида электронной подписи (ЭП): простая ЭП и усиленная ЭП, из которых вторая в свою очередь бывает неквалифицированной и квалифицированной.

Простая ЭП, по большому счёту, даже и не совсем электронная подпись в классическом математическом понимании — в качестве простой ЭП можно использовать хоть одноразовые коды, хоть и вовсе пароли:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Усиленная же электронная подпись обязательно использует криптографические преобразования. Вот требования для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП):

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.

Как видно, усиленная ЭП в отличие от простой ЭП должна позволять обнаруживать изменения в электронном документе (понятно, что с помощью пароля такое не реализовать), а формировать её нужно с использованием Средств ЭП:

средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

Понятие Средство электронной подписи — очень важное и к нему мы ниже ещё вернёмся. Пока же продолжим разбираться с видами электронных подписей. Осталось рассмотреть квалифицированную усиленную подпись — от неквалифицированной усиленной она отличается двумя принципиальными дополнительными требованиями:

1) ключ проверки электронной подписи указан в квалифицированном сертификате ;

2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом .

Другими словами для квалифицированной ЭП, абы какой сертификат не годится — нужен именно квалифицированный:

квалифицированный сертификат — сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи ;

Далее по тексту закона приведён исчерпывающий перечень сведений, которые должен содержать квалифицированный сертификат и указано, что создаётся он только с использованием средств аккредитованного удостоверяющего центра.

Используемое для создания и проверки квалифицированной электронной подписи Средство ЭП подписи тоже подойдёт не любое, а только то, которое имеет подтверждение соответствия установленным.

Понятия «ключ проверки электронной подписи «, «сертификат «, «удостоверяющий центр » и т.п. в этом посте отдельно рассматривать не буду (можно посмотреть начало вот этого поста, например: http://zlonov.ru/2013/12/private-keys-keepers-evolution/), если это необходимо — напишите в комментариях, раскрою всю терминологию отдельно.

Вот такая получается таблица, кратко поясняющая основные различия между видами электронных подписей в соответствии с 63-ФЗ:

Виды электронных подписей (ЭП) и их особенности в соответствии с 63-ФЗ

Теперь вернёмся к понятию Средство ЭП. Из приведённого выше определения следует, что средства ЭП — это определённый вид шифровальных (криптографических) средств, которые используются для какой-либо одной или любой комбинации из функций:

• создание электронной подписи,
• проверка электронной подписи,
• создание ключа электронной подписи и ключа проверки электронной подписи.

Замечу на полях, что создание ключа ЭП и ключа проверки ЭП возможно лишь в паре (те самые открытый и закрытый ключи в асимметричной криптографии).

Сами же шифровальные средства определены в Постановлении Правительства РФ от 16 апреля 2012 г. N 313 « Об утверждении Положения о лицензировании деятельности… «, вот выдержка из определения:

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:
…
в) средства электронной подписи;

По мне, так имеем рекурсивное зацикленное определение понятия через само себя =) Ну, да не будем казуистам. По сути, под понятие средство ЭП попадают в том числе чисто программные, программно-технические средства и даже целые комплексы и системы.

Вернёмся к 63-ФЗ и посмотрим, какие требования есть для Средств ЭП. Вот что они должны делать:

1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;

2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.

Про факт отслеживания изменений уже было выше в требованиях к усиленной ЭП, ну, а практическая невозможность вычисления ключа ЭП из ЭП или из ключа проверки ЭП — это понятное и разумное требование (закрытый ключ не должен вычисляться из открытого или из самой электронной подписи).

Продолжим.

Для случаев подписи документов, содержащих гостайну, или при работе Средства ЭП в системах, содержащих гостайну, требуется подтверждение соответствия обязательным требованиям по защите сведений соответствующей степени секретности. Вполне логично, так как Гостайна у нас регулируется отдельно и требования там тоже свои отдельные.

Есть ещё важная оговорка про подпись документов, содержащих информацию ограниченного доступа (в том числе персональные данные): Средства ЭП не должны нарушать конфиденциальность такой информации. Насколько я понимаю, тут идёт речь про то, что для такой информации нельзя, например, использовать облачные незащищённые в соответствии с требованиями законодательства сервисы электронной подписи.

Если средство электронной подписи используется для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе, то на этом требования к нему заканчиваются. Автоматическое создание, например, может применяться при оказании государственных услуг. Тогда в сертификате вовсе может быть не указано конкретное физическое лицо, а создание ЭП осуществляется, скажем, системой принятия отчётности (для подтверждения того факта, что отчётность была получена в срок, например).

В случаях же неавтоматического создания и проверки электронной подписи к Средствами ЭП предъявляются дополнительные требования.

При создании электронной подписи Средства ЭП должны:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;

2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

3) однозначно показывать, что электронная подпись создана.

Первое требование означает, что сам по себе, например, токен не может быть Средством ЭП — требуется некая обвязка вокруг него, которая будет показывать подписываемый документ. Второе требование запрещает создание подписи без подтверждения человеком. Наконец, третье требование указывает, что нужно недвусмысленно дать понять, что подпись была создана.

При проверке электронной подписи Средство ЭП должно:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;

2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;

3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Должно быть чётко видно и понятно — что подписано, были ли внесены изменения и кто подписывал.

Таковы, в вкратце, основные требования к Средствам ЭП в 63-ФЗ. Однако, в нём также содержится статья про полномочия федеральных органов исполнительной власти в сфере использования электронной подписи, где указано:

Федеральный орган исполнительной власти в области обеспечения безопасности:

1) устанавливает требования к форме квалифицированного сертификата;
2) устанавливает требования к средствам электронной подпис и и средствам удостоверяющего центра;
3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом , и публикует перечень таких средств;
4) по согласованию с уполномоченным федеральным органом устанавливает дополнительные требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра.

Таким органом является ФСБ РФ, которая 27 декабря 2011 г. издала приказ № 796 « Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра «.

Прежде всего данный приказ ФСБ устанавливает требования в части разработки, производства, реализации и эксплуатации Средств ЭП:

предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173 для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

ПКЗ-2005 — основополагающий регламент для всех разработчиков криптографических средств, что и не удивительно, раз Средства ЭП — это, в первую очередь, средство шифрования. К слову, в ПКЗ-2005 есть вот такое определение для средств электронной цифровой подписи:

средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций:
— создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи,
— подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи,
— создание закрытых и открытых ключей электронной цифровой подписи.

Да, речь здесь про Средства ЭЦП, а не ЭП, но мы же уже решили не быть казуистами =)

Вернёмся к требованиям к Средствам ЭП, которым в приказе ФСБ посвящен весь раздел II (статьи с 8 по 39). Статьи 8-10 дублирую то, что есть в 63-ФЗ в части требований при создании и проверке ЭП при неавтоматической работе.

Статья 11 определяет, что:

Статья 11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее — атака).

В последующих статьях 12-18 определяются классы Средств ЭП КС1, КС2, КС3, КВ2, КА1 в зависимости от их способности противостоять таким атакам.

В дальнейших статьях 19-39 сформулированы ещё более детальные требования к составу Средств ЭП для разных классов и к особенностям их работы, из которых особо выделю статьи 20, 22 и 38:

Статья 20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований

Статья 22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

Статья 38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

Смысл тут, упрощённо, в том, что в Средстве ЭП можно использовать только криптографические ГОСТ алгоритмы, при этом они должны быть реализованы в нём самом (нельзя использовать, например, какие-то внешние средства) и никакие другие криптографические алгоритмы и протоколы в Средстве ЭП не должны быть реализованы.

Итоговая таблица с основными требованиями к Средствам ЭП в 63-ФЗ и приказе ФСБ №796 выглядит так:

Таким образом, для использования простой ЭП можно использовать любые средства, для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП) — только Средства ЭП, базовые требования к которым определены в 63-ФЗ, и, наконец для усиленной квалифицированной ЭП (или просто квалифицированной ЭП) — только Средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ и Приказом ФСБ №796. Подтверждением такого соответствия является сертификат соответствия, выданный ФСБ России, в котором такое соответствие упоминается в явном виде.