Электронная подпись: безопасное использование и предотвращение рисков

Здравствуйте, в этой статье мы постараемся ответить на вопрос: «Электронная подпись: безопасное использование и предотвращение рисков». Если у Вас нет времени на чтение или статья не полностью решает Вашу проблему, можете получить онлайн консультацию квалифицированного юриста в форме ниже.

Электронный документ — это цифровой вариант документа на бумаге, представляющий собой именуемую область данных (файл), которая отображается на ПК, передаётся по телекоммуникационным каналам связи и обрабатывается в информационных системах. В электронном документе содержатся реквизиты, которые позволяют установить его подлинность. Определение термина «электронный документ» закреплено в Федеральном законе от 27 июля 2006 года № 149-ФЗ.

Как организовать работу с ЭДО: пошаговая инструкция

Работа с электронными документами осуществляется по тем же принципам, что с документами на бумаге. Затруднения может вызвать только сам процесс перехода на работу с ЭДО. Чтобы переход прошёл гладко, следуйте нашей инструкции:

Шаг 1. Получите сертификат квалифицированной электронной подписи.

Чтобы оформить УКЭП для ИП и юрлиц, необходимо обратиться либо в удостоверяющий центр ФНС, либо в УЦ доверенного лица налоговой службы.

Шаг 2. Выберите оператора ЭДО и заключите с ним договор.

На этом этапе также необходимо проанализировать делопроизводство компании, продумать возможные варианты оптимизации бизнес-процессов.

Шаг 3. Проведите обучение персонала.

Поскольку даже для оформления бумажных документов приходится использовать различное ПО, потребуется подготовить инструкции для работы с системой ЭДО. От подготовленности сотрудников к работе с электронными документами зависит то, насколько оперативно пройдёт процесс адаптации к цифровому делопроизводству.

Шаг 4. Договоритесь с контрагентами о переходе на ЭДО.

Электронный документооборот лучше вести через оператора, поскольку система ЭДО обладают всеми необходимыми механизмами для обмена документами. Кроме того, вся ответственность за передачу документов будет лежать на операторе. Необязательно подключаться к одному оператору — системы большинства крупнейших игроков на рынке услуг ЭДО поддерживают технологию роуминга, поэтому вы и ваши контрагенты можете пользоваться услугами разных операторов.

Как оценить надёжность удостоверяющего центра

Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.

Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:

• организация должна обладать чистыми активами стоимостью не менее 7 млн рублей;
• у организации должно быть финансовое обеспечение ответственности за убытки, причинённые третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет этот УЦ. Сумма — не менее 30 млн рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности;
• средства электронной подписи удостоверяющего центра должны быть сертифицированы ФСБ Российской Федерации;
• удостоверяющий центр должен иметь порядок реализаций функций и исполнения обязанностей в виде регламента, правил и прочих нормативных документов, установленный в соответствии с требованиями, утверждёнными федеральным органом исполнительной власти.

Что потребуется, чтобы подписать документ ЭЦП (эл подписью)

В первую очередь требуется оформить соответствующий сертификат. Он выдается быстро и не требует длительного сбора справок. Оформить его можно в личном кабинете налогоплательщика, в удостоверяющем центре или МФЦ.

Дальше потребуется компьютер, с операционными системами Windows или МАС. Можно попробовать настроить Линукс, однако в зависимости от версии, это получается далеко не всегда.

Следующий этап — установка ПО. Это так называемые приложения СКЗИ для криптозащиты информации. В России используются в основном несколько:

• «Криптопро CSP»;
• Signal-com CSP;
• «Лисси CSP»;
• Vipnet CSP.

Конкретно, какое ПО потребуется, можно уточнить в МФЦ или при получении сертификата подписи. Там же должны выдать памятку о настройках, которые будут нужны для генерации электронной росписи. Выбранная программа, установленная на компьютер, создает специальный быстрый значок в контекстном меню, что позволяет впоследствии подписывать быстро, одним нажатием.

Для работы с модулем будет нужен Acrobat Reader или Adobe Acrobat и, собственно, сам ПДФ-док.

Термины и определения

Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное в машинном коде на магнитном носителе (дискета, флешка, токен и т.д.), с помощью которого создается ЭЦП.

Сертификат ключа подписи (СКП) (эквивалентный термин: сертификат открытого ключа) – это своего рода электронное удостоверение, изготавливаемое и выдаваемое удостоверяющим центром, которое закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи. С помощью СКП проверяется созданная в документе ЭЦП.

Удостоверяющий центр – это организация, которая изготавливает, выдает и управляет сертификатами ключей подписи пользователей. Например, ООО «ИТК»

Средство электронной цифровой подписи (СКЗИ) (эквивалентные термины: средство криптографической защиты информации, шифровальное (криптографическое) средство) – это средство криптографической защиты информации (чаще всего выполнено в виде программы для ЭЦМ), с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России. Например, КриптоПро CSP v. 3.6

Удостоверяющие центры

Удостоверяющие центры являются еще одним обязательным компонентом в применении ЭЦП.

Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица. Различают удостоверяющие центры, которые:

• оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);

• обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).

Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.

Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги. Например, с нами — ООО «ИТК».

Как придать юридическую значимость применению ПЭП в компании?

Обязательное условие для внедрения ПЭП – подготовка регламентных документов. Это самый важный и сложный этап, который требует серьезного рассмотрения.

Для наилучшей проработки вопроса в группу по разработке нормативного документа, определяющего применение ПЭП в компании, стоит включить:

• работников, отвечающих за информационную безопасность,
• делопроизводителей,
• юристов,
• кадровых работников.

Основные этапы:

1. Необходимо провести анализ и определить информационные системы (ИС), в которых пользователи могут применять ПЭП для электронных документов.
2. Можно проанализировать документы, которые образуются в результате деятельности компании и прописать доступные действия с ними: какие документы и на каких этапах их жизненного цикла в соответствии с локальными нормативными актами можно «подписывать», «согласовывать», с какими можно «ознакомиться» с помощью ПЭП.
3. Возможность использования ПЭП в качестве замены собственноручной подписи на электронных документах должна быть…

Виды электронной цифровой подписи

Существует три вида ЭЦП:

1. Простая. Используется физическими лицами для подтверждения личных данных. Например, при входе на сайт Госуслуг или бесконтактной оплате покупок в торговых центрах.
2. Усиленная неквалифицированная. Применяется юридическими лицами для определения автора документа, отслеживания вносимых в него изменений после заверения. Более надежна по сравнению с простой ЭЦП. Требуется в редких случаях.
3. Усиленная квалифицированная. Самый надежный и используемый из всех видов ЭЦП. Является аналогом личной рукописной подписи и имеет полную юридическую силу. Применяется во всех сферах деятельности юридических лиц и ИП — от подписания договоров с контрагентами до взаимодействия с контролирующими и надзорными органами.

Как проверить подлинность электронной цифровой подписи?

Как мы уже выяснили ранее, документ поступает к получателю в зашифрованном виде. И чтобы его посмотреть, необходим сертификат. Эта составляющая очень важна и является индивидуальной. Поэтому при получении подписанного вами документа адресат может удостовериться, что это именно вы заверили его, проверив сертификат. Сделать это очень просто:

1. Получатель хеширует файл, как это сделал ранее отправитель.
2. Расшифровывает ЭЦП с помощью открытого ключа, который есть в сертификате.
3. Видит хеш, который вы отправили вместе с документом.
4. Сравнивает с тем, который получился у него. Если хеши одинаковые, то документ не был изменен после заверения и имеет юридическую силу.

Какие изменения ждут в 2019 году?

Есть ещё один момент, на который организации обязательно нужно обратить внимание, если она затеяла внедрение квалифицированной ЭП, — до 31 декабря 2019 года необходимо перейти на использование схемы создания электронной подписи по стандарту «ГОСТ Р 34.10-2012. Информационная технология (ИТ). Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Раньше использовался стандарт ГОСТ 34.10-2001.

Из этого следует, что при внедрении ЭП по новому ГОСТу важно учесть возможности инфраструктуры — есть большая вероятность, что понадобится обновление ОС или СЭД, например, — и выбрать надежного криптопровайдера. Тем, кто уже использует ЭП, возможно предстоит замена криптопровайдера и обновление инфраструктуры.

Какие трудовые документы обязательно дублируются на бумаге?

• Трудовая книжка – ведется на бумаге до тех пор, пока работник не решит перейти только на электронную (об этом нужно написать заявление).
• Приказ на увольнение: в форме электронного документа подписывается усиленной квалифицированной подписью и дублируется в бумажной форме, которая выдается в день увольнения работнику лично или направляется по почте заказным письмом с уведомлением. Судебные инстанции, государственная инспекция охраны труда, Роструд на данный момент не признают электронный формат данного документа.
• Журнал регистрации несчастных случаев на производстве. Может существовать только на бумаге.

Какая подпись нужна бюджетникам

Электронная подпись подтверждает каждое действие владельца и придает документу юридическую значимость. Деятельность бюджетного учреждения невозможна без электронной цифровой подписи. Ее используют и руководители, и главные бухгалтера, и администраторы определенной области функционирования организации. Всеи им приходится разбираться, как подписать документ электронной подписью.

Выдачу и использование ЭЦП регулирует ФЗ № 63 от 06.04.2011 «Об электронной подписи». В нем сказано, что существуют:

1. Простая ЭП. Необходима для визирования регистров внутреннего и внешнего электронного документооборота. Простой подписью заверяют письма, бланки, спецификации, счета. Основа ее защиты — пароли и кодировка.
2. Усиленная неквалифицированная. Она обладает более серьезными механизмами защиты. В основе такой подписи заложена криптографическая обработка данных, она фиксирует пользователей и все вносимые изменения.
3. Усиленная квалифицированная.Она наиболее совершенна в плане информационной защиты. Методологию шифрования сертифицирует ФСБ. Все данные, передаваемые по каналами связи и подписанные УК ЭЦП, зашифрованы на высшем уровне. Выдать усиленную ЭЦП могут только те удостоверяющие центры, которые получили специальную аккредитацию.

Таблица. Признание электронных документов равнозначными документам на бумаге

Документ подписан
 ЭП 

 Документ на бумажном носителе 

 Подписан собственноручно 

Подписан собственноручно
 и заверен печатью 

Простой ЭП 

Признается равнозначным, 
только если это установлено 
федеральными законами 
и принятыми на их основании 
нормативными правовыми актами 
либо соглашением между 
участниками электронного 
документооборота 

Документ, подписанный 
простой ЭП, 
не признается 
равнозначным документу 
на бумажном носителе, 
который заверен печатью 

Усиленной 
квалифицированной
ЭП 

Признается равнозначным, если 
только это указано 
в федеральном законе или 
принимаемом в соответствии 
с ним нормативном акте либо 
установлено соглашением 
сторон. Нормативные акты 
и соглашения должны 
предусматривать порядок 
проверки неквалифицированной 
ЭП 

Признается равнозначным,
если он подписан любым 
видом усиленной ЭП 
и согласно федеральным 
законам, соответствующим
нормативным правовым 
актам или соглашениям 
между участниками 
приравнен к документу 
на бумажном носителе 
с собственноручной 
подписью. Причем 
федеральные законы, иные
нормативные акты, 
соглашения между 
участниками электронного
взаимодействия могут 
предусматривать 
дополнительные 
требования 
к электронному документу

Усиленной 
квалифицированной
ЭП 

Признается равнозначным. 
Исключение составляют 
федеральные законы и иные 
нормативные акты, 
устанавливающие требование 
о необходимости составления 
документа исключительно 
на бумаге 

Первичные документы с ЭП признаются в налоговом учете. В Письме от 05.10.2011 N ЕД-4-3/16368@ ФНС России пояснила следующее. В целях применения п. 1 ст. 252 Налогового кодекса составленные согласно требованиям законодательства первичные учетные документы на бумажном носителе и в электронном виде с использованием электронной цифровой подписи являются равнозначными (имеют одинаковую юридическую силу) и возлагают идентичные права и обязанности на субъекты хозяйственной деятельности.

Аналогичной позиции придерживается и Минфин России. Ведомство отметило, что документ, оформленный в электронном виде по установленным форматам и подписанный ЭЦП или квалифицированной электронной подписью, может подтверждать расходы в случаях, если федеральными законами, принятыми согласно им нормативными правовыми актами не устанавливается требование о составлении такого документа исключительно на бумажном носителе (Письма Минфина России от 10.10.2011 N 03-03-06/1/645, от 26.08.2011 N 03-03-06/1/521 и от 07.07.2011 N 03-03-06/1/409).

Похожие записи:

• Как считать налог УСН, если отработали в убыток?
• Правила оформления и критерии получения льгот женам военнослужащих
• Последние новости о повышении зарплаты ФСБ в 2022 году в России