Электронная подпись – от теории до практики безопасного применения

В этом посте мы досконально разберемся с тем, что такое ЭЦП и какие вопросы и проблемы окружают это понятие. Какие типы электронных подписей бывают, почему ЭЦП - это наиболее безопасный инструмент, что такое сертификат и токен, как получить ключ электронной подписи и какие преимущества есть у ее обладателя - обо всем мы рассказали вам в материале ниже.

В комментариях к моему прошлому посту многие писали о том, что электронная подпись (далее-ЭЦП) – это сложно, непонятно и, что самое главное, – дорого. Поэтому мы с командой маркетинга Удостоверяющего Центра КОРУС Консалтинг СНГ решили разобрать типовые вопросы которые возникают у клиентов при выпуске электронной подписи

Итак, какие типы электронных подписей существуют?

Электронные подписи бывают трех типов:

· простая электронная подпись (ПЭП)

· неквалифицированная электронная подпись (НЭП)

· квалифицированная электронная подпись (КЭП)

Простая электронная подпись (ПЭП)

Начнем с наиболее простой и часто используемой подписи. Вы ставите ее ежедневно по нескольку раз, но не знаете об этом. Я говорю сейчас о кодах доступа из смс и простой паре «логин-пароль», которую мы вводим при входе в различные личные онлайн-сервисы (электронная почта, онлайн-банк и т.д.). Это и есть простая электронная подпись, сокращенно ПЭП. Чаще всего ПЭП применяется при совершении банковских операций и для авторизации в информационных системах - для получения госуслуг, например. Такая подпись не используется при подписании электронных документов и не является юридически значимой. Правда, контрагенты могут подписать соглашение о признании такого вида подписи юридически значимой на бумаге.

Неквалифицированная электронная подпись (НЭП)

Усиленная неквалифицированная электронная подпись (НЭП) считается более надежной, чем ПЭП. Подпись НЭП создается с помощью специального программного обеспечения (средств криптографической защиты) и закрытого ключа электронной подписи. Неквалифицированная электронная подпись позволяет определить личность ее владельца, а также проверить, были ли внесены изменения в документ после его отправки. Использование неквалифицированной электронной подписи оправдано для внутреннего документооборота компании. Если же стороны предварительно договорились о признании юридической значимости, то она подойдет и для и внешнего ЭДО

Усиленная квалифицированная электронная подпись (КЭП)

В чем отличие квалифицированной подписи от неквалифицированной?

КЭП так же, как и НЭП, создается при помощи средств криптографической защиты и позволяет идентифицировать своего владельца. Однако, в отличие от неквалифицированной электронной подписи, квалифицированная электронная подпись является аналогом собственноручной подписи, поставленной на бумаге. Подписанные ею документы юридически имеют такую же силу, как подписанные на бумаге. Равнозначность документов, подписанных собственноручно на бумаге, и электронных документов, подписанных квалифицированной электронной подписью, установлена статьей 6 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи».

Где получить квалифицированную электронную подпись?

Издавать квалифицированные ключи электронной подписи имеют право только специальные организации - аккредитованные удостоверяющие центры, деятельность которых регулируется Минкомсвязи и ФСБ России. Выбирая удостоверяющий центр, прежде всего убедитесь, что он имеет аккредитацию Минкомсвязи, лицензии ФСБ и желательно ФСТЭК.

Для того, что бы Удостоверяющий Центр начал функционировать, ему необходимо приобрести специализированное дорогостоящее оборудование и иметь в штате высококвалифицированных сотрудников с образованием в области информационной безопасности и опытом работы в данной сфере.

Беря в расчет что в условиях самоизоляции каждый выход на улицу может обернуться штрафами, то лучше заказать доставку ЭП себе домой или в офис, часть Удостоверяющих Центров оказывают данную услугу. Лично у нас, в КОРУС Консалтинг СНГ, доставка реализована через курьеров Спецсвязи, так как они уполномочены работать с секретными документами.

Для чего необходима электронная подпись?

Наличие электронной подписи позволяет решить многие задачи бизнеса.

С помощью КЭП можно сдавать обязательную отчетность в ФНС, ПФР, ФСС, РОССТАТ и другие государственные организации. Можно также вести переписку с контролирующими органами, обмениваться с ними документами, например, получать требования из налоговой и отвечать на них. Только представьте, какое количество времени вы сэкономите, отправляя отчетность через интернет, а не ожидая в очередях.

А в связи с условием особого режима который был введен правительством Москвы, электронная подпись вам так же понадобиться, для того что бы получить электронные пропуска на сайте mos.ru, для себя и своих сотрудников

Квалифицированная ЭП позволяет компаниям обмениваться электронными договорами и УПД, не дублируя их на бумаге, то есть осуществлять юридически-значимый электронный документооборот между организациями.

Кроме того, с помощью КЭП можно существенно расширить рынок сбыта собственной продукции за счет участия в торгах на электронных торговых площадках.

В соответствии с законодательной базой, участники торгов на ЭТП обязаны использовать квалифицированный сертификат электронной подписи. С его помощью можно:

  • получить доступ к информации о закупках на ЭТП в режиме реального времени;
  • получить право на участие в торговых операциях ЭТП;

Использовать электронную подпись в повседневных целях могут не только организации, но и физлица (то есть мы с вами) для решения повседневных задач. Квалифицированная электронная подпись физического лица поможет зарегистрировать собственный бизнес, подать заявление в суд, оформить ребенка в школу, получить налоговый вычет или подписать договор с работодателем, если вы самозанятый. Кстати, весьма актуальна в последнее время электронная подпись для регистрации недвижимости на портале Росреестр.

Если мы заговорили о государственных порталах, то стоит упомянуть, что передача туда данных осуществляется при помощи электронной подписи. Все операции с алкоголем, например, передаются в ЕГАИС ФСРАР. Буквально недавно стартовал проект “маркировка”, который предполагает отправку данных от производителей, поставщиков и продавцов многих наименований товаров в государственную систему “Честный знак”. Как вы уже догадались, данные в “Честный знак” попадают при помощи электронной подписи.

Из чего складывается стоимость квалифицированной электронной подписи?

Поскольку КЭП - это ключ, сформированный с помощью криптографических средств и записанный на специальный носитель – токен, который внешне похож на обычную флешку, но в отличии от последней имеет сложную систему защиты и должен быть сертифицирован ФСБ.

Надо понимать, что под покупкой КЭП понимается приобретение:

  • сертификата электронной подписи
  • средства криптографической защиты информации (например, СКЗИ КриптоПро)
  • токена

Также, стоимость усиленной квалифицированной подписи напрямую зависит от ее возможностей. Например, УКЭП для юридических лиц, который позволяет зарегистрировать кассу, отправить отчетность, вести ЭДО будет стоить дешевле квалифицированной подписи юридического лица, которая принять участие в торгах на электронных торговых площадках. Более того для некоторых типов электронных торговых площадок потребуется запись отдельных OID для работы на них.

Нужна ли мне лицензия СКЗИ КриптоПро CSP?

КриптоПро является наиболее распространенным в нашей стране средством криптозащиты, из тех, которые предлагают удостоверяющие центры покупателям электронных подписей.

Чаще всего при покупке электронной подписи пользователю предлагается лицензия СКЗИ КриптоПро на 1 год. Этот вариант является наиболее подходящим для тех, кто собирается использовать электронную подпись на одном компьютере в течение этого года.

Минусами такого приобретения можно считать 2 фактора:

  • лицензия СКЗИ привязана к компьютеру, следовательно, вы сможете работать с УКЭП только на одном рабочем месте
  • при использование КЭП на разных компьютерах, вам придется купить дополнительно к ним и лицензии КриптоПро CSP.

Если же вы постоянно используете в своей работе электронные подписи для разных целей (например, имеете квалифицированную подпись ИП, квалифицированную подпись физического лица и УКЭП для юридического лица), имеет смысл приобрести бессрочную лицензию СКЗИ КриптоПро.

Как начать работать с КЭП?

Для того, чтобы начать пользоваться электронной подписью, вам необходимо настроить ваш компьютер, установив:

  • драйверы токена,
  • ПО в виде дистрибутива СКЗИ (например КриптоПро CSP),
  • браузер-плагин для работы с сертификатом электронной подписи на конкретном портале/сервисе.

Обычно Удостоверяющие Центры предоставляют бесплатно специальный единый установщик, который поможет установить все необходимые компоненты на ваше рабочее место. Ну и если вы не хотите разбираться с настройкой, то можете попросить это сделать за вас специалистов Удостоверяющего Центра, часто эту услугу предоставляют бесплатно

Что делать, если компании необходимо множество электронных подписей?

Все больше компаний понимают, что использование электронной подписи позволяет сэкономить время и деньги, а потому покупают сотрудникам электронные подписи для различных целей – бухгалтеру для сдачи отчетности, закупщику – для работы на электронных торговых площадках. В данном случае возникает сразу несколько сложностей:

1. Трудно контролировать все электронные подписи – люди уходят из компании и уносят с собой токены с подписями.

2. Сроки действия электронных подписей заканчиваются неожиданно в самый неподходящий момент, их необходимо перевыпускать в срочном порядке.

3. Покупка электронной подписи может затянуться: закупщик запросил счет в Удостоверяющем центре, отдал его бухгалтеру. Бухгалтер считала зарплату и счет оплатила только через неделю. За это время интересная закупка уже закончилась – компания потеряла возможность подписать выгодный контракт с крупным заказчиком.

Удостоверяющие Центры предлагают крупным компаниям и организациям с разветвленной филиальной структурой решения, которые позволяют подавать заявления на выпуск сертификатов электронной подписи, не покидая собственного рабочего места. Данные сервисы позволяют сотрудникам организации оперативно получать КЭПы и управлять жизненным циклом каждого конкретного сертификата. Один сотрудник в вашей компании берет на себя функции администратора такой системы и осуществляет:

· регистрацию пользователей для получения сертификата;

· отправку заявки на проверку в УЦ;

· создает запросы на выпуск электронных подписей и их аннулирование.

Подробнее о решении для работы с множеством электронных подписей в компании можно почитать по ссылке

Безопасность при использовании КЭП

Безопасность КЭП Анна Алелекова

Статьей 10 Федерального закона от 06.04.2011 №63-ФЗ «Об электронной подписи (далее - Федеральный закон №63-ФЗ) установлена обязанность участников электронного взаимодействия обеспечивать конфиденциальность ключей электронных подписей.

При использовании электронной подписи стоит помнить, что токен в ваших руках - не просто флешка, а важный инструмент с помощью которого недоброжелатели могут вывести деньги со счета организации или даже переоформить ее на себя.

Чтобы не стать участником аферы, не передавайте свой ключ электронной подписи третьим лицам. Примером такой ситуации является случай, когда генеральный директор приобретает УКЭП и передает его бухгалтеру для сдачи отчетности, а бухгалтер выводит средства с расчетного счета компании.

В любом случае, чтобы обезопасить себя и свой бизнес, вам необходимо придерживаться трех простых правил:

  • Максимально бережно относиться к токену, который вы получили в УЦ, не передавать его третьим лицам. Если вашим сотрудникам для работы требуется сертификат ЭП - оформите им собственные КЭП.
  • В случае утери токена с действующим сертификатом ЭП или подозрений на незаконное использование - сразу обращайтесь в в УЦ для прекращения действия сертификата.
  • Если вам необходимо получить квалифицированную подпись – обращайтесь за ней только в проверенный Удостоверяющий Центр.

Спасибо, за внимание! Если у вас остались вопросы, от отвечу в комментариях.

0
14 комментариев
Написать комментарий...
Кирилл Шмаков

Очень неквалифицированное изложение. Хотя бы формулировок 63-ФЗ придерживайтесь. ЭЦП...

Ответить
Развернуть ветку
Alexander Saveliev

Кирилл, поверьте мне на слово наш Удостоверяющий Центр формулировка ЭЦП крайне раздражает, так как она устарела еще как 2 года назад. Но пользователи привыкли именно к ней. Если посмотреть статистику запросов в яндексе ЭЦП - 418 тыс. запросов, ЭП 121 тыс. - запросов. 
А если делать текст согласно букве 63-ФЗ, то его будет крайне сложно читать. 

Ответить
Развернуть ветку
Евгений Симутин

токен, который внешне похож на обычную флешку, но в отличии от последней имеет сложную систему защиты

Сложная система защиты эти видимо пароль от 1 до 8 в 99.9% случаев

Ответить
Развернуть ветку
Alexander Saveliev

В глазах клиента это только пароль. А на софверном уроне токен достаточно сложная схема защиты. 

Ответить
Развернуть ветку
Евгений Симутин

Да, но эта система рушится, если пасс от сертификата пользовательский и админский остаются по умолчанию.

Ответить
Развернуть ветку
Alexander Saveliev

Такая проблема есть, но смена пароля остается на стороне пользователя. Ну, а вообще токен вообще лучше никому не давать. Все таки это аналог подписи и печати компании. 

Ответить
Развернуть ветку
Dmitry Zhalnov

Еще вирусы. Обычная флешка постоянно под ударом. 
Вот буквально за прошлую неделю обращались люди. У двоих был простенький вирус который делает папки невидимыми и создаёт ярлыки. Решается просто.
А вот у одного вирус зашифровали или исказил как названия всех файлов на флешке так и содержание самих файлов,  что привело к неработоспособности ключа ЭП. 
Потому токен даже с паролем по умолчанию надежнее.

Ответить
Развернуть ветку
Kahaber Mchedlidze

Насколько эти подписи применимы и признаются в на медицинских документах?
Скажем, если медицинскую карту заполнил и подписал врач с помощью КЭП.
Признается ли такая подпись легитимной ?

Ответить
Развернуть ветку
Alexander Saveliev

Как написано выше в статье, документ, подписанный КЭП по 63-ФЗ «Об электронной подписи» приравнивается по юридической значимости документам на бумаге, если нет требований к оформлению данного документа только в бумажном виде. Соответственно, любой медицинский документ, включая медицинскую карту можно подписать КЭП и документ будет легитимный по отношению к участникам электронного взаимодействия и регулирующих органов.
Также могут быть требования по подписанию определенных медицинских документов с помощью КЭП, как например лист нетрудоспособности больного, который согласно Федеральному закону от 01.05.2017 № 86-ФЗ можно подписывать КЭП.

Ответить
Развернуть ветку
Igor Bogdanov

Как простой юзверь в аспекте КЭП рекомендую посмотреть опыт использования электронной подписи в Эстонии. Более 10 лет она работает как полный аналог обычной подписи как для частных, так и для юридических лиц. Очень удобно и исключило огромное количество бумажной возни.

Ответить
Развернуть ветку
Alexander Saveliev

У нас с стране подобные разработки велись, собирались привязывать ЭП к сим карте, но дальше идеи это пока никуда не двинулось. А вообще недавно были изменения в закон который регламентирует выпуск подписей и с 2022 года скорее всего издавать электронные подписи будет ФНС. 

Ответить
Развернуть ветку
Dmitry Zhalnov

ДА, если снова не сольётся и не доверит выпуск избранным УЦ)

Ответить
Развернуть ветку
Alexander Saveliev

Это да, еще в прошлом месяце мы жили в парадигме что с этого года подписи будет выпускать ФНС, но за месяц все кардинально поменялось. 

Ответить
Развернуть ветку
Maxim M

Добрый день. А разве не запрещена работа с ЭП и СКЗИ вне пределов контролируемой зоны? Кроме того, в Правилах пользования КРИПТО ПРО, есть требование по размещению технических средств с установленными на них СКЗИ (тот самый ноут на удаленке) в местах, исключающих НСД в эти помещения и к техническим средствам с СКЗИ.

Ответить
Развернуть ветку

Комментарий удален модератором

Развернуть ветку
11 комментариев
Раскрывать всегда