Средство квалифицированной электронной подписи что. Электронная цифровая подпись (ЭЦП) - понятия и определения

  • Требования к средствам электронной подписи
  • Требования к средствам удостоверяющего центра
Разработка данных документов была предусмотрена частью 5 статьи 8 федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.

Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».

При создании электронной подписи (ЭП) средства ЭП должны (п.8):

  • показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает,
  • создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП,
  • однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны (п.9):
  • показывать содержание электронного документа, подписанного ЭП,
  • показывать информацию о внесении изменений в подписанный ЭП электронный документ,
  • указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
Эти требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе (п.10).

В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:

33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

Установлены и требования к обеспечению сохранности журнала регистрации событий:
35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.
Крайне спорным в документе мне показался п.36, ограничивающий срок действия открытого ключа ЭП. Сразу возникает вопрос, а что же делать тем организациям, которые будут подписывать электронной подписью документы постоянного или длительного срока хранения? Что им делать с этими документами через 15 лет - выбрасывать на электронную помойку (заодно забыв о связанных с ними правах и обязанностях)?

С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством , которое не предусматривает такой глупости, как потеря подписью своей юридической силы.

36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет .

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.

Встает вопрос и о квалификации специалистов Минюста, который благополучно зарегистрировал данный документ.

Виды электронных подписей в России и требования к Средствам ЭП

Принятый ещё в апреле 2011 года Федеральный закон N 63-ФЗ « Об электронной подписи » определил следующие два вида электронной подписи (ЭП): простая ЭП и усиленная ЭП, из которых вторая в свою очередь бывает неквалифицированной и квалифицированной.

Простая ЭП, по большому счёту, даже и не совсем электронная подпись в классическом математическом понимании — в качестве простой ЭП можно использовать хоть одноразовые коды, хоть и вовсе пароли:

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Усиленная же электронная подпись обязательно использует криптографические преобразования. Вот требования для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП):

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
2) позволяет определить лицо, подписавшее электронный документ;
3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
4) создается с использованием средств электронной подписи.

Как видно, усиленная ЭП в отличие от простой ЭП должна позволять обнаруживать изменения в электронном документе (понятно, что с помощью пароля такое не реализовать), а формировать её нужно с использованием Средств ЭП:

средства электронной подписи — шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи;

Понятие Средство электронной подписи — очень важное и к нему мы ниже ещё вернёмся. Пока же продолжим разбираться с видами электронных подписей. Осталось рассмотреть квалифицированную усиленную подпись — от неквалифицированной усиленной она отличается двумя принципиальными дополнительными требованиями:

1) ключ проверки электронной подписи указан в квалифицированном сертификате ;

2) для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом .

Другими словами для квалифицированной ЭП, абы какой сертификат не годится — нужен именно квалифицированный:

квалифицированный сертификат — сертификат ключа проверки электронной подписи, соответствующий требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, и созданный аккредитованным удостоверяющим центром либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи ;

Далее по тексту закона приведён исчерпывающий перечень сведений, которые должен содержать квалифицированный сертификат и указано, что создаётся он только с использованием средств аккредитованного удостоверяющего центра.

Используемое для создания и проверки квалифицированной электронной подписи Средство ЭП подписи тоже подойдёт не любое, а только то, которое имеет подтверждение соответствия установленным.

Понятия «ключ проверки электронной подписи «, «сертификат «, «удостоверяющий центр » и т.п. в этом посте отдельно рассматривать не буду (можно посмотреть начало вот этого поста, например: http://zlonov.ru/2013/12/private-keys-keepers-evolution/), если это необходимо — напишите в комментариях, раскрою всю терминологию отдельно.

Вот такая получается таблица, кратко поясняющая основные различия между видами электронных подписей в соответствии с 63-ФЗ:

Виды электронных подписей (ЭП) и их особенности в соответствии с 63-ФЗ

Теперь вернёмся к понятию Средство ЭП. Из приведённого выше определения следует, что средства ЭП — это определённый вид шифровальных (криптографических) средств, которые используются для какой-либо одной или любой комбинации из функций:

  • создание электронной подписи,
  • проверка электронной подписи,
  • создание ключа электронной подписи и ключа проверки электронной подписи.

Замечу на полях, что создание ключа ЭП и ключа проверки ЭП возможно лишь в паре (те самые открытый и закрытый ключи в асимметричной криптографии).

Сами же шифровальные средства определены в Постановлении Правительства РФ от 16 апреля 2012 г. N 313 « Об утверждении Положения о лицензировании деятельности… «, вот выдержка из определения:

К шифровальным (криптографическим) средствам (средствам криптографической защиты информации), включая документацию на эти средства, относятся:

в) средства электронной подписи;

По мне, так имеем рекурсивное зацикленное определение понятия через само себя =) Ну, да не будем казуистам. По сути, под понятие средство ЭП попадают в том числе чисто программные, программно-технические средства и даже целые комплексы и системы.

Вернёмся к 63-ФЗ и посмотрим, какие требования есть для Средств ЭП. Вот что они должны делать:

1) позволяют установить факт изменения подписанного электронного документа после момента его подписания;

2) обеспечивают практическую невозможность вычисления ключа электронной подписи из электронной подписи или из ключа ее проверки.

Про факт отслеживания изменений уже было выше в требованиях к усиленной ЭП, ну, а практическая невозможность вычисления ключа ЭП из ЭП или из ключа проверки ЭП — это понятное и разумное требование (закрытый ключ не должен вычисляться из открытого или из самой электронной подписи).

Продолжим.

Для случаев подписи документов, содержащих гостайну, или при работе Средства ЭП в системах, содержащих гостайну, требуется подтверждение соответствия обязательным требованиям по защите сведений соответствующей степени секретности. Вполне логично, так как Гостайна у нас регулируется отдельно и требования там тоже свои отдельные.

Есть ещё важная оговорка про подпись документов, содержащих информацию ограниченного доступа (в том числе персональные данные): Средства ЭП не должны нарушать конфиденциальность такой информации. Насколько я понимаю, тут идёт речь про то, что для такой информации нельзя, например, использовать облачные незащищённые в соответствии с требованиями законодательства сервисы электронной подписи.

Если средство электронной подписи используется для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе, то на этом требования к нему заканчиваются. Автоматическое создание, например, может применяться при оказании государственных услуг. Тогда в сертификате вовсе может быть не указано конкретное физическое лицо, а создание ЭП осуществляется, скажем, системой принятия отчётности (для подтверждения того факта, что отчётность была получена в срок, например).

В случаях же неавтоматического создания и проверки электронной подписи к Средствами ЭП предъявляются дополнительные требования.

При создании электронной подписи Средства ЭП должны:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;

2) создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

3) однозначно показывать, что электронная подпись создана.

Первое требование означает, что сам по себе, например, токен не может быть Средством ЭП — требуется некая обвязка вокруг него, которая будет показывать подписываемый документ. Второе требование запрещает создание подписи без подтверждения человеком. Наконец, третье требование указывает, что нужно недвусмысленно дать понять, что подпись была создана.

При проверке электронной подписи Средство ЭП должно:

1) показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;

2) показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;

3) указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Должно быть чётко видно и понятно — что подписано, были ли внесены изменения и кто подписывал.

Таковы, в вкратце, основные требования к Средствам ЭП в 63-ФЗ. Однако, в нём также содержится статья про полномочия федеральных органов исполнительной власти в сфере использования электронной подписи, где указано:

Федеральный орган исполнительной власти в области обеспечения безопасности:

1) устанавливает требования к форме квалифицированного сертификата;
2) устанавливает требования к средствам электронной подпис и и средствам удостоверяющего центра;
3) осуществляет подтверждение соответствия средств электронной подписи и средств удостоверяющего центра требованиям, установленным в соответствии с настоящим Федеральным законом , и публикует перечень таких средств;
4) по согласованию с уполномоченным федеральным органом устанавливает дополнительные требования к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей, а также к обеспечению информационной безопасности аккредитованного удостоверяющего центра.

Таким органом является ФСБ РФ, которая 27 декабря 2011 г. издала приказ № 796 « Об утверждении Требований к средствам электронной подписи и Требований к средствам удостоверяющего центра «.

Прежде всего данный приказ ФСБ устанавливает требования в части разработки, производства, реализации и эксплуатации Средств ЭП:

предъявляются требования, закрепленные Положением о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005), утвержденным приказом ФСБ России от 9 февраля 2005 г. N 66 (с изменениями, внесенными приказом ФСБ России от 12 апреля 2010 г. N 173 для шифровальных (криптографических) средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну.

ПКЗ-2005 — основополагающий регламент для всех разработчиков криптографических средств, что и не удивительно, раз Средства ЭП — это, в первую очередь, средство шифрования. К слову, в ПКЗ-2005 есть вот такое определение для средств электронной цифровой подписи:

средства электронной цифровой подписи — аппаратные, программные и аппаратно-программные средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из следующих функций:
 — создание электронной цифровой подписи с использованием закрытого ключа электронной цифровой подписи,
— подтверждение с использованием открытого ключа электронной цифровой подписи подлинности электронной цифровой подписи,
— создание закрытых и открытых ключей электронной цифровой подписи.

Да, речь здесь про Средства ЭЦП, а не ЭП, но мы же уже решили не быть казуистами =)

Вернёмся к требованиям к Средствам ЭП, которым в приказе ФСБ посвящен весь раздел II (статьи с 8 по 39). Статьи 8-10 дублирую то, что есть в 63-ФЗ в части требований при создании и проверке ЭП при неавтоматической работе.

Статья 11 определяет, что:

Статья 11. Средства ЭП должны противостоять угрозам, представляющим собой целенаправленные действия с использованием аппаратных и (или) программных средств с целью нарушения безопасности защищаемой средством ЭП информации или с целью создания условий для этого (далее — атака).

В последующих статьях 12-18 определяются классы Средств ЭП КС1, КС2, КС3, КВ2, КА1 в зависимости от их способности противостоять таким атакам.

В дальнейших статьях 19-39 сформулированы ещё более детальные требования к составу Средств ЭП для разных классов и к особенностям их работы, из которых особо выделю статьи 20, 22 и 38:

Статья 20. При разработке средств ЭП должны использоваться криптографические алгоритмы, утвержденные в качестве государственных стандартов или имеющие положительное заключение ФСБ России по результатам их экспертных криптографических исследований

Статья 22. В средстве ЭП должны быть реализованы только заданные в ТЗ на разработку (модернизацию) средства ЭП алгоритмы функционирования средства ЭП.

Статья 38. Криптографические протоколы, обеспечивающие операции с ключевой информацией средства ЭП, должны быть реализованы непосредственно в средстве ЭП.

Смысл тут, упрощённо, в том, что в Средстве ЭП можно использовать только криптографические ГОСТ алгоритмы, при этом они должны быть реализованы в нём самом (нельзя использовать, например, какие-то внешние средства) и никакие другие криптографические алгоритмы и протоколы в Средстве ЭП не должны быть реализованы.

Итоговая таблица с основными требованиями к Средствам ЭП в 63-ФЗ и приказе ФСБ №796 выглядит так:

Таким образом, для использования простой ЭП можно использовать любые средства, для усиленной неквалифицированной ЭП (или просто неквалифицированной ЭП) — только Средства ЭП, базовые требования к которым определены в 63-ФЗ, и, наконец для усиленной квалифицированной ЭП (или просто квалифицированной ЭП) — только Средства ЭП, имеющие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом 63-ФЗ и Приказом ФСБ №796. Подтверждением такого соответствия является сертификат соответствия, выданный ФСБ России, в котором такое соответствие упоминается в явном виде.


В связи с распространенностью применения информационных технологий во всех сферах жизнедеятельности современного общества управление процессами в организациях не является исключением. Особое значение в данной сфере приобретают системы электронного документооборота, предназначенные для организации и автоматизации процессов взаимодействия между сотрудниками. Применение данных систем обеспечивает эффективное управление документами организации и продуктивную работу сотрудников. Для организации полноценного электронного документооборота необходимо применение электронной подписи, которая также понадобится для проведения торговых операций онлайн и сдачи отчетности в некоторые государственные структуры.

Правовые основы

Первоначально электронная подпись применялась в банках отдельных европейских стран, позднее вопросом ее правовой регламентации занимались Организация Объединенных Наций и Европейский союз. В Российской Федерации вопрос правовой регламентации электронной подписи возник во второй половине 90-х в рамках обсуждения в Государственной Думе проблем безопасности безналичных платежей и электронной торговли и отсутствия должных механизмов правового контроля. Впервые понятие электронной подписи было сформулировано в Федеральном законе от 10 января 2002 г. "Об электронной цифровой подписи" (далее - Федеральный закон 2002 г.), который утратил силу с июля 2013 г. В соответствии с данным законом электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа-подписи, а также установить отсутствие искажения информации в электронном документе.

В настоящее время правовую основу применения электронной подписи в Российской Федерации составляет Федеральный закон от 6 апреля 2011 г. "Об электронной подписи" (далее - Федеральный закон 2011 г.). В соответствии с ним под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Действующим Федеральным законом определены основные понятия и принципы использования электронной подписи, закреплены виды электронных подписей и условия их признания, а также регламентированы полномочия органов государственной власти, права и обязанности участников электронного взаимодействия с использованием электронной подписи.

Таким образом, действующее сейчас определение электронной подписи более широкое, нежели прежнее, и сейчас понятие электронной цифровой подписи, данное в прежнем законе, близко, но не идентично понятию усиленной электронной подписи, признаками которой являются следующие:

Получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

Позволяет определить лицо, подписавшее электронный документ;

Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

Создается с использованием средств электронной подписи;

Ключ проверки электронной подписи указан в квалифицированном сертификате;

Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии Федеральным законом "Об электронной подписи" 2011 г.

Следует также отметить, что в период с апреля 2011 г. по июнь 2013 г. параллельно действовали оба вышеуказанных закона, что было связано с необходимостью времени для перехода участников рынка и госорганов на новые сертификаты и правила работы с электронной подписью.

Суть электронной подписи

Электронная подпись в Российской Федерации используется физическими и юридическими лицами и является аналогом собственноручной подписи правомочного на то лица на бумажном носителе и скрепления печатью, только в отношении придания юридической силы электронному документу. Основными целями использования электронной подписи являются:

Электронный документооборот компании;

Участие в электронных торгах на электронных торговых площадках;

Сдача отчетности в государственные органы.

Преимуществами применения электронной подписи для организации являются следующие моменты:

Сокращение времени обмена документами и совершения сделок;

Сокращение затрат на создание, доставку, хранение документов;

Гарантии достоверности и конфиденциальности передаваемой информации;

Эффективная система обмена документами для сотрудников компании;

Ликвидация проблемы наличия/отсутствия полномочий на подписание тех или иных документов.

Таким образом, при электронном документообороте с использованием электронной подписи возможно избежать массы проблем бумажного документооборота, существенно сократить сроки обмена информацией и повысить эффективность функционирования организации в целом.

Помимо преимуществ применения электронной подписи, можно выделить и недостатки:

Использование недобросовестными пользователями;

Недоступность/утрата электронных архивов всех документов организаций из-за проблем с техникой;

Затраты на оборудование и программные средства.

Однако данные недостатки скорее выступают опасениями, которые абсолютно беспочвенны в случае правильного использования системы электронного документооборота с электронной подписью на предприятии: применение индивидуализированного программного обеспечения, создание резервных копий информации, своевременный ремонт и замена оборудования и т.д.

Использование электронной подписи в Российской Федерации осуществляется на основании нескольких принципов, которые являются основополагающими основами в данной сфере:

Свобода выбора вида электронной подписи - участник имеет право самостоятельно определять вид электронной подписи, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

Свобода использования информационных технологий и технических средств - участник имеет возможность использования по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования Федерального закона 2011 г. применительно к использованию конкретных видов электронных подписей;

Недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Анализ принципов использования электронной подписи позволяет сделать вывод о свободе выбора вида электронной подписи и необходимых технических средств для участника электронного взаимодействия в зависимости от целей его деятельности и правовой регламентации данной деятельности в части наличия/отсутствия обязательных требований к электронной подписи.

Основные понятия

Для полноценного понимания механизма функционирования электронной подписи необходимо не просто поверхностно понять его суть, но и изучить основные понятия, фигурирующие в данной сфере.

Участники электронного взаимодействия - это лица и (или) организации, осуществляющие обмен информацией в электронной форме, в том числе и государственные органы, органы местного самоуправления и т.д.

Корпоративная информационная система - это информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.

Информационная система общего пользования - это информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.

Ключ электронной подписи - это уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Сертификат ключа проверки электронной подписи - это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Квалифицированный сертификат ключа проверки электронной подписи - это сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (Министерством связи и массовых коммуникаций Российской Федерации).

Средства электронной подписи - это шифровальные (криптографические) средства, которые используются для создания или проверки электронной подписи, создания или проверки ключа электронной подписи.

Удостоверяющий центр - это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей и т.д. В настоящее время функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляет Министерство связи и массовых коммуникаций Российской Федерации, которое и проводит аккредитацию удостоверяющих центров.

Средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.

Виды электронной подписи

Российским законодательством предусмотрено 3 основных вида электронной подписи:

1) простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;

2) усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, и позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи;

3) усиленная квалифицированная электронная подпись (квалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи. При этом ключ проверки электронной подписи указан в квалифицированном сертификате, и для создания/проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законодательством Российской Федерации в данной сфере.

В связи с изменениями в законодательстве и положениями Федерального закона "Об электронной подписи" 2011 г., где нет прошлого понятия "электронная цифровая подпись", необходимо рассмотреть вопрос соотношения действующих на данный момент подписей и новых. Так, сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами. При этом, электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи, выданном в соответствии с порядком, ранее установленным законом, в течение срока действия указанного сертификата, но не позднее 31 декабря 2013 г. признается электронным документом, подписанным квалифицированной электронной подписью. Также в тех случаях, где федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 г., предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись.

Однако для полноценного применения электронной подписи в связи с вышеуказанными изменениями организациям необходимо учесть не только юридические аспекты равенства тех или иных видов подписи, но и исследовать технический аспект. При сравнении сертификата квалифицированной подписи и сертификата электронной цифровой подписи, закрепленной в Федеральном законе 2002 г., возникнет их различие в наличии/отсутствии поля СНИЛС (страховой номер индивидуального лицевого счета в Пенсионном Фонде Российской Федерации), что может привести к невозможности использования в конкретных системах в зависимости от их требований. В таком случае необходимо заранее узнавать о требованиях к виду электронной подписи для конкретных целей организации, или иметь оба сертификата.

При этом важно знать, что квалифицированная электронная подпись не является универсальной и ее обязательное использование предусмотрено только для ряда информационных систем государственных органов, например, таких как портал gosuslugi.ru или системы отчетности Федеральной налоговой службы Российской Федерации. Что касается торговых площадок, то они сами определяют требования к электронным подписям и вправе использовать как квалифицированную подпись, так и электронную цифровую подпись, предусмотренную Федеральным законом 2002 г. Подобная ситуация с самостоятельностью определения различными системами создает проблему в виде невозможности некоторых из них к работе с квалифицированными электронными подписями даже к окончанию срока действия закона 2002 г.

При таком раскладе наиболее логичным для организации является определение целей использования электронной подписи. В случае если это отчетность в государственные органы, то необходимо срочно получать квалифицированную подпись. Однако если речь идет о других торговых сделках - лучше обратиться в удостоверяющий центр для получения квалифицированной подписи, чтобы избежать неловкой ситуации в случае перехода какой-либо площадки на ее обязательное требование.

Стоит также отметить, что несколько электронных документов, связанных между собой (пакет), могут быть подписаны одной электронной подписью и каждый такой документ в отдельности признается подписанным. При этом по-прежнему не стоит забывать о требованиях к конкретным видам электронных подписей в некоторых случаях.

Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, признаются в РФ в зависимости от соответствия признакам того или иного вида. Выдача сертификата ключа проверки электронной подписи в соответствии с нормами иностранного права не является причиной признания документа недействительным.

Порядок получения электронной подписи

Получение электронной подписи проходит в несколько этапов:

1. Поиск подходящего удостоверяющего центра

Для получения электронной подписи необходимо в первую очередь определиться с целями применения электронной подписи вашей организацией и в зависимости от них выбрать удостоверяющий центр, который уполномочен изготавливать сертификаты ключей проверки электронных подписей.

К компетенции удостоверяющего центра относится:

Создание и выдача сертификатов ключей проверки электронных подписей лицам, обратившимся за их получением (заявителям);

Утверждение сроков действия сертификатов ключей проверки электронных подписей;

Аннулирование выданных им сертификатов ключей проверки электронных подписей;

Выдача по обращению заявителя средств электронной подписи, содержащих ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающих возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

Ведение реестра выданных и аннулированных им сертификатов ключей проверки электронных подписей, в том числе включающих в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращений или аннулирований;

Утверждение порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечение доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием сети "Интернет";

Создание по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

Проверка уникальности ключей проверки электронных подписей в реестре сертификатов;

Осуществление по обращениям участников электронного взаимодействия проверки электронных подписей;

Осуществление иной связанной с использованием электронной подписи деятельности.

Помимо этого для удостоверяющего центра закреплены следующие обязанности:

Информирование в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;

Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защита от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;

Предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата ключа проверки электронной подписи;

Обеспечение конфиденциальности созданных удостоверяющим центром ключей электронных подписей.

Таким образом, основными функциями удостоверяющего центра являются осуществление проверки электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей, и обеспечение электронного взаимодействия доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром. Информация, внесенная в реестр сертификатов, подлежит хранению в течение всего срока деятельности удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами. В случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности этого удостоверяющего центра. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть уничтожена. В случае прекращения деятельности удостоверяющего центра с переходом его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты передачи своих функций. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть передана лицу, к которому перешли функции удостоверяющего центра, прекратившего свою деятельность.

При этом важно также оценивать стабильность и качества поставщика услуг, которые, как правило, определяются широтой сфер использования их сертификатов. И, конечно же, не стоит принимать свое решение в зависимости от цены, так как для полноценного функционирования необходимо приобрести полный комплект в виде ключевого носителя, лицензии на право использования средства электронной подписи и сертификата ключа проверки электронной подписи. Цены варьируются. В сети "Интернет" можно найти сайты удостоверяющих центров в подходящем регионе и подробно узнать всю информацию.

2. Подача заявки и документов для получения электронной подписи

Определившись с удостоверяющим центром, необходимо отправить заявку на выпуск сертификата электронной подписи. Такую заявку можно подать на сайте, заполнив краткую форму, после обработки которой для выяснения деталей оформления перезвонит менеджер, а позднее необходимо будет предоставить перечень документов в Регистрационный центр удостоверяющего центра. Также возможно заполнить полную регистрационную карту на сайте и явиться в место выдачи сертификатов к моменту его готовности. На данном этапе форма заявки зависит от выбора конкретного удостоверяющего центра.

После мониторинга сайтов удостоверяющих центров список документов, необходимых для изготовления квалифицированного сертификата ключа подписи, как правило, выглядит следующим образом:

Для юридических лиц

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРЮЛ

Нотариально заверенная копия, либо оригинал с простой копией свидетельства о постановке на учет в налоговом органе

Для индивидуальных предпринимателей

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРИП

Нотариально заверенная копия либо оригинал с простой копией свидетельства постановке на учет в налоговом органе

Копия СНИЛС владельца сертификата

Копия паспорта будущего владельца сертификата

Копия паспорта получателя сертификата

Доверенность на получение сертификата ключа подписи (если это не владелец сертификата)

Доверенность, подтверждающая полномочия владельца сертификата ключа подписи (если владелец не имеет права действовать от имени юридического лица без доверенности)

Для физических лиц

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия, либо оригинал с простой копией свидетельства постановки на учет в налоговом органе

Копия паспорта

Копия СНИЛС владельца сертификата.

3. Получение сертификата и комплекта

Личное присутствие владельца сертификата или его доверенного представителя для получения сертификата ключа проверки электронной подписи является обязательным условием большинства удостоверяющих центров. Несмотря на то что на практике существуют случаи оказания услуг и дистанционно с использованием пересылок сканированных заявительных документов по электронной почте и получение сертификата электронной подписи также почтой, чаще всего таким образом действуют мошенники. Оформление сертификата и выдача комплекта в удостоверяющем центре не займет много времени. В этот комплект, как правило, входят:

Ключевой носитель (дискета, флешка, токен), содержащий файлы с ключом электронной подписи;

Сертификат ключа проверки электронной подписи, который также в виде файла записан на этот же ключевой носитель;

Копия сертификата ключа проверки электронной подписи на бумажном носителе с подписью и печатью удостоверяющего центра;

Лицензия на право использования программы для ЭВМ, которая в терминах закона называется средством электронной подписи;

Сама программа средства электронной подписи (установочные файлы) и документация к ней на CD-диске.

В случае кражи или утери ключа электронной подписи необходимо обратиться в удостоверяющий центр, сообщить об этом факте и получить новый ключ и новый сертификат ключа проверки электронной подписи, при этом все этапы его получения придется пройти заново и сертификат будет совершенно другим.

Также важно отметить, что электронная подпись обладает сроком действия, при этом выделяют срок действия ключа подписи - это период времени, в течение которого можно использовать ключ для создания подписи, и срок действия ключа проверки подписи - период времени, в течение которого можно использовать ключ для проверки действительности электронной подписи. Как правило, первый срок устанавливается равным 1 году, а второй срок устанавливается от 1 года до 15 лет. Но даже после получения нового ключа подписи и нового сертификата по истечении срока старого, пока не закончится срок действия "старого" сертификата, все "старые" подписи будут считаться действительными.

Требования к сотрудникам организации при работе с электронной подписью

Несмотря на простую процедуру получения электронной подписи, для эффективного ее использования необходимо уделять внимание обеспечению информационной безопасности на рабочем месте сотрудников. Порядок обеспечения информационной безопасности при работе с электронной подписью, как правило, определяется руководителем организации на основе рекомендаций по организационно-техническим мерам защиты, а также действующего российского законодательства в области защиты информации.

Сотрудники, имеющие доступ к ключевой информации и работе с использованием электронной подписи, должны быть определены и утверждены в определенный список. Они должны пройти соответствующую подготовку и ознакомиться с документацией по конкретной информационной системе, а также с нормативными документами по использованию электронной подписи. Чаще всего в организациях существует сотрудник, отвечающий за безопасность эксплуатации средств криптографической защиты информации, который занимается полным процессом сопровождения данных процессов, в том числе и созданием специализированных должностных инструкций. В случае увольнения или перевода в другое подразделение с изменением трудовых обязанностей сотрудника, рекомендуется проводить смену ключей, к которым тот сотрудник имел доступ.

Стоит отметить, что выше указаны наиболее общие требования, что в очередной раз подчеркивают серьезность применения электронной подписи в организации. Однако на практике каждая организация индивидуальна в регулировании данного вопроса.

Оформление трудовых отношений

Особую актуальность в последнее время приобретает использование электронной подписи для оформления трудовых отношений с работниками, которые находятся в удаленном доступе. Так, в апреле 2013 г. вступили в силу изменения в Трудовом кодексе РФ, которые регламентируют регулирование труда дистанционных работников и предусматривают заключение трудового договора о дистанционной работе путем обмена электронными документами. Однако в рамках данных трудовых отношений применятся исключительно квалифицированную электронную подпись для обеих сторон: работодателя и работника. Для подтверждения ознакомления с приказом о приеме на работу, правилами внутреннего трудового распорядка, иными документами в электронном виде сотрудник также должен использовать только усиленную квалифицированную электронную подпись.

При этом документы, касающиеся трудовой деятельности дистанционного работника, также оформляются в бумажном виде путем копий документов в электронной форме, которые заверяются квалифицированной электронной подписью работодателя и направляются дистанционному работнику на ознакомление. Именно эту копию работник и подписывает своей электронной подписью.

Ответственность за нарушение законодательства об электронной подписи

Ответственность за нарушение положений законодательства об использовании электронной подписи предусмотрена для разных участников электронного взаимодействия. Важно отметить, что Федеральный закон "Об электронной цифровой подписи" от 2002 г. предусматривает уголовную, гражданско-правовую и административную ответственность в соответствии с нормативными правовыми актами Российской Федерации за неправомерное использование электронно-цифровой подписи другого лица, включая неправомерное получение закрытого ключа и (или) без должных полномочий, за неправомерное создание и использование закрытых ключей, а также в случае причинения убытков пользователю открытого ключа вследствие несанкционированного доступа к закрытому ключу по вине владельца сертификата ключа подписи.

Однако в действующем законе от 2011 г. подобных упоминаний об ответственности участников электронного взаимодействия нет. При этом законодатель уделил внимание регламентации ответственности удостоверяющего центра за вред, причиненный третьим лицам в результате неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром, а также неисполнения или ненадлежащего исполнения обязанностей, предусмотренных данным законом.

Таким образом, после исследования правовой регламентации и организационных моментов использования электронной подписи можно сделать вывод об актуальности данной технологии в настоящее время. Повсеместное использование информационных технологий и переход на электронный документооборот в ближайшем будущем будут приносить плоды своего положительного влияния, однако для этого необходимо некоторое время. Правовая регламентация механизмов функционирования электронных подписей, включая переходный период от положений закона, утратившего силу, к новому правопорядку, нуждается в дополнительной проработке. Особенно стоит отметить сложность и запутанность применения различных видов электронных подписей, что негативно влияет на восприятие организациями процесса внедрения новых технологий. Помимо этого, проблемным моментом является отсутствие достаточной правовой регламентации ответственности всех участников электронного взаимодействия. Предполагается логичным установление дополнительной ответственности работников локальными актами конкретной организации. Однако в настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты.

В России в электронном документообороте можно использовать три вида подписи: простую, усиленную неквалифицированную и усиленную квалифицированную. Посмотрим, чем они отличаются друг от друга, при каких условиях равнозначны собственноручной и придают подписанным файлам юридическую силу.

Простая электронная подпись, или ПЭП

Простая подпись — это знакомые всем коды доступа из СМС, коды на скретч-картах, пары “логин-пароль” в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что электронную подпись создал конкретный человек.

Где используется?

Простая электронная подпись чаще всего применяется при банковских операциях, а также для аутентификации в информационных системах, для получения госуслуг , для заверения документов внутри корпоративного электронного документооборота (далее — ЭДО).

Простую электронную подпись нельзя использовать при подписании электронных документов или в информационной системе, которые содержат гостайну.

Юридическая сила

Простая подпись приравнивается к собственноручной, если это регламентирует отдельный нормативно-правовой акт или между участниками ЭДО заключено соглашение, где прописаны:

  • правила, по которым подписанта определяют по его простой электронной подписи.
  • обязанность пользователя соблюдать конфиденциальность закрытой части ключа ПЭП (например, пароля в паре “логин-пароль” или СМС-кода, присланного на телефон).

Во многих информационных системах пользователь должен сначала подтвердить свою личность во время визита к оператору систему, чтобы его ПЭП в будущем имела юридическую силу. Например, для получения подтвержденной учетной записи на портале Госуслуг, нужно лично прийти в один из центров регистрации с документом, удостоверяющим личность.

Неквалифицированная электронная подпись, или НЭП

Усиленная неквалифицированная электронная подпись (далее — НЭП) создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносили ли в файл изменения после его отправки.

Человек получает в удостоверяющем центре два ключа электронной подписи: закрытый и открытый. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя — он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата не установлены в федеральном законе № 63-ФЗ “Об электронной подписи”.

Где используется?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом.

Юридическая сила

Участникам ЭДО нужно соблюдать дополнительные условия, чтобы электронные документы, заверенные НЭП, считались равнозначными бумажным с собственноручной подписью. Сторонам нужно обязательно заключить между собой соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

В се больше российских предприятий внедряют у себя системы электронного документооборота, уже на собственном опыте оценивая преимущества данной технологии работы с документами. Электронный обмен данными осуществляется посредством информационных систем, компьютерных сетей, Интернета, электронной почты и множества других средств.

А электронная подпись - это реквизит электронного документа, предназначенный для защиты информации от подделки.

Использование электронной подписи позволяет:

  • принимать участие в электронных торгах, аукционах и тендерах;
  • выстраивать взаимоотношения с населением, организациями и властными структурами на современной основе, более эффективно, с наименьшими издержками;
  • расширить географию своего бизнеса, совершая в удаленном режиме различные, в том числе экономические, операции с партнерами из любых регионов России;
  • значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
  • построить корпоративную систему обмена электронными документами (являясь одним из ее элементов).

С использованием электронной подписи работа по схеме «разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии» уходит в прошлое. Теперь все можно делать в электронном виде!

Разновидности электронной подписи

Установлены следующие виды , которые регулируются : простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной.

Таблица

Чем различаются между собой 3 вида электронной подписи

Свернуть Показать

Любую электронную подпись подделать очень сложно. А с усиленной квалифицированной подписью (самой защищенной из трех) при современном уровне вычислительных мощностей и требуемых временных ресурсов это сделать просто невозможно.

Простые и неквалифицированные подписи на электронном документе заменяют бумажный документ, подписанный собственноручной подписью, в случаях, оговоренных законом или по согласию сторон . Усиленная квалифицированная подпись может рассматриваться как аналог документа с печатью (т.е. «сгодится» для любых случаев ).

Электронный документ с квалифицированной подписью заменяет бумажный документ во всех случаях, за исключением тех, когда закон требует наличия документа исключительно на бумаге. Например, с помощью таких подписей граждане могут обращаться в государственные органы для получения государственных и муниципальных услуг, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы.

Закрытым ключом подписываем, открытым - проверяем электронную подпись

Чтобы иметь возможность подписывать документы электронной подписью, необходимо иметь:

  • ключ ЭП (так называемый закрытый ключ) - с его помощью создается электронная подпись для документа;
  • сертификат ключа проверки ЭП (открытый ключ ЭП) - с его помощью проверяется подлинность электронной подписи, т.е. подтверждается принадлежность ЭП определенному лицу.

Организации, которые осуществляют функции по созданию и выдаче сертификатов ключей проверки ЭП, а также ряд иных функций, называются удостоверяющими центрами .

В процессе создания сертификата ключа проверки ЭП каждому пользователю генерируются ключ ЭП и ключ проверки ЭП. Оба этих ключа хранятся в файлах. Для того чтобы никто, кроме владельца подписи, не мог воспользоваться ключом ЭП, его обычно записывают на защищенный ключевой носитель (как правило, совместно с ключом проверки электронной подписи). Его так же, как банковскую карточку, для дополнительной защиты снабжают PIN-кодом . И точно так же, как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи, необходимо ввести правильное значение PIN-кода (см. Рисунок).

Защищенные ключевые носители изготавливаются различными производителями и обычно внешне напоминают флэш-карту. Именно обеспечение пользователем конфиденциальности своего ключа ЭП гарантирует отсутствие возможности у злоумышленников подписать документ от имени владельца сертификата.

Для обеспечения конфиденциальности ключа ЭП необходимо выполнять рекомендации по хранению и использованию ключа ЭП, содержащиеся в документации, как правило, выдаваемой пользователям в удостоверяющем центре, - и вы будете защищены от неправомерных действий, совершаемых с ключом электронной подписи от вашего имени. Лучше всего, если ваш закрытый ключ будет доступен исключительно вам. Эту идею очень важно донести до каждого владельца ключа. Лучше всего этого добиться путем издания инструктивных материалов на данный счет и ознакомления с ними сотрудников под подпись.

Рисунок

Программа запрашивает пароль (PIN-код) для того, чтобы подписать документ электронной подписью при помощи ключа ЭП, содержащегося на подключенной к компьютеру «флэшке»

Свернуть Показать

Пример 1

Фрагмент Руководства по обеспечению безопасности использования квалифицированной электронной подписи ОАО «Электронная Москва»

Свернуть Показать

При создании электронной подписи средства электронной подписи должны:

  1. показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
  2. создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
  3. однозначно показывать, что электронная подпись создана.

При проверке электронной подписи средства электронной подписи должны:

  1. показывать содержание электронного документа, подписанного электронной подписью;
  2. показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
  3. указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Сертификат ключа проверки ЭП содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Обычно сертификаты хранятся в хранилище операционной системы в изготовившем его удостоверяющем центре бессрочно (точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие). В соответствии с положениями Закона № 63-ФЗ удостоверяющий центр , изготовивший сертификат ключа проверки электронной подписи, обязан предоставлять безвозмездно любому лицу по его обращению информацию , содержащуюся в реестре сертификатов, в т.ч. информацию об аннулировании сертификата ключа проверки электронной подписи.

Свернуть Показать

Олег Комарский , IT-специалист

Удостоверяющий центр, выдавший электронную подпись, хранит сертификат ключа проверки этой ЭП бессрочно, точнее, в течение всего времени своего существования. Пока удостоверяющий центр работает, проблем нет, но т.к. центр является коммерческой организацией, он может прекратить свое существование. Таким образом, в случае прекращения деятельности УЦ возникает возможность потери информации о сертификатах, тогда электронные документы, подписанные электронными подписями, выданными закрывшимся УЦ, могут потерять свою юридическую значимость.

В связи с этим планируется создание своего рода государственного хранилища сертификатов (как действующих, так и отозванных). Это будет что-то вроде государственного нотариального центра, где будут храниться данные о всех сертификатах. Но пока такая информация хранится в УЦ бессрочно.

Что нужно учесть работодателю при оснащении своих сотрудников электронными подписями?

В сертификате ключа ЭП обязательно есть информация о Ф.И.О. его владельца , также есть возможность включения дополнительной информации, такой, как название компании и должность . Кроме того, в сертификате могут быть прописаны объектные идентификаторы (OID) , определяющие отношения, при осуществлении которых электронный документ, подписанный ЭП, будет иметь юридическое значение. Например, в OID может быть прописано, что работник имеет право размещать информацию на торговой площадке, но не может подписывать договоры. Т.е. с помощью OID можно разграничивать уровень ответственности и полномочий.

Существуют свои тонкости передачи полномочий при увольнении или переходе работников на другую должность. Их следует учитывать.

Пример 2

Свернуть Показать

При увольнении коммерческого директора Иванова, подписывавшего документы электронной подписью, для нового человека, сменившего Иванова в этом кресле, нужно заказывать новый ключевой носитель для работы с ЭП. Ведь не может Петров подписывать документы подписью Иванова (хоть и электронной).

Обычно при увольнении организуется перевыпуск ключей ЭП; как правило, для этого работники сами посещают удостоверяющий центр. Организация, оплачивающая выпуск ключей, тоже является владельцем ключа, поэтому она имеет право приостанавливать действие сертификата. Таким образом минимизируются риски: исключается ситуация, когда уволенный работник мог бы подписывать документы от имени прежнего работодателя.

Свернуть Показать

Наталья Храмцовская , к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО, член ГУД и ARMA International

Эффективная деловая деятельность организации зависит от многих факторов. Одним из ключевых элементов всей системы управления является принцип взаимозаменяемости сотрудников. Следует заранее подумать о том, кто подменит сотрудников, временно не исполняющих свои должностные обязанности из-за болезни, командировки, отпуска и т.д. Если ваша организация имеет дело с подписанием документов электронными подписями, этот аспект нужно учитывать отдельно. Тот, кто пренебрежительно относится к данному организационному вопросу, рискует нарваться на серьезные неприятности.

Показательным в данном смысле является дело № А56-51106/2011, которое рассматривал Арбитражный суд города Санкт-Петербурга и Ленинградской области в январе 2012 года.

Как возникла проблема:

  • ООО «Сбытовое Объединение «Тверьнефтепродукт» в июле 2011 года подало единственную заявку на участие в открытом аукционе в электронной форме на поставку бензина по топливным картам для Верхне-Волжского отделения Федерального государственного бюджетного научного учреждения «Государственный научно-исследовательский институт озерного и речного рыбного хозяйства» (ФГНУ «ГосНИОРХ»). Аукционная комиссия заказчика приняла решение о заключении государственного контракта с единственным участником аукциона.
  • Проект государственного контракта был направлен заказчиком оператору электронной площадки 12 июля 2011 года, а тот передал его в ООО. В установленный законодательством срок ООО не направило оператору электронной площадки проект контракта, подписанный электронной подписью лица, имеющего право действовать от имени участника размещения заказа, т.к. это должностное лицо было на больничном.
  • В июле 2011 года Санкт-Петербургским Управлением Федеральной антимонопольной службы (УФАС) были рассмотрены представленные заказчиком сведения об уклонении ООО от заключения контракта и было принято решение о включении того в реестр недобросовестных поставщиков.

Не согласившись с решением УФАС, ООО обратилось в суд. Все три судебные инстанции сочли ООО виновным в уклонении от заключения контракта. А в последней инстанции в октябре 2012 года выплыло, что ООО обращалось к заказчику 10 августа 2011 года и в качестве причины неподписания контракта называло не болезнь своего сотрудника, а его халатность.

Другой интересный случай произошел при подписании государственного контракта электронной подписью неуполномоченного лица. Это дело Арбитражный суд Калужской области рассматривал в сентябре 2011 года (дело №А23-2637/2011).

Обстоятельства были таковы:

  • В марте 2011 года ООО «СЭЛ ТЕХСТРОЙ» было признано победителем открытого аукциона. К этому моменту в ООО произошла смена генерального директора: прежний гендир В. стал заместителем нового гендиректора П. Но новому генеральному директору еще не успели оформить ЭЦП. Поэтому 14.03.2011 решили «упростить себе жизнь» и подписать госконтракт при помощи ЭЦП ушедшего со своего поста В. Однако главная ошибка была в том, что В. подписал документ как генеральный директор ООО «СЭЛ ТЕХСТРОЙ».
  • Сведения об освобождении от должности генерального директора В. и назначении генеральным директором П., а также доверенность на осуществление действий от имени участника размещения заказа, выданная В. уже как заместителю генерального директора, были размещены на сайте электронной торговой площадки только 24.03.2011, т.е. после подписания и направления контракта заказчику.
  • Эту оплошность заметил заказчик, посчитав, что контракт подписан неуполномоченным лицом, и в апреле 2011 года обратился в УФАС. В результате УФАС включило ООО в реестр недобросовестных поставщиков сроком на 2 года из-за уклонения от заключения госконтракта.

При рассмотрении данного дела в первой судебной инстанции суд отметил, что новый генеральный директор общества П. в своих объяснениях УФАС, во-первых, подтвердил готовность к подписанию госконтракта, во-вторых, признал допущенную ошибку, не оспаривая при этом полномочий В., указанных в доверенности. Кроме того, факт размещения доверенности на официальном сайте электронной площадки, пусть и с опозданием, был расценен судом как активные действия общества по устранению допущенной ошибки. В результате Арбитражный суд обязал УФАС исключить ООО из реестра недобросовестных поставщиков. В декабре 2011 года Двадцатый арбитражный апелляционный суд поддержал позицию суда первой инстанции.

Но Федеральный арбитражный суд Центрального округа в марте 2012 года рассудил иначе. По его мнению, 14.03.2011 В. использовал ЭЦП с нарушением положений ст. 4 Федерального закона «Об электронной цифровой подписи» и условий, указанных в сертификате ключа подписи (ведь электронный документ с ЭЦП, не соответствующей условиям, внесенным в сертификат, не имеет юридического значения). В итоге суд сделал вывод о том, что государственный контракт был подписан неуполномоченным лицом, и признал правомерным решение УФАС о признании ООО недобросовестным поставщиком.

Аналогичные дела часто рассматриваются судами. То директор, обладающий сертификатом ключа ЭП и имеющий право подписывать документы от имени общества, увольняется, а новый директор не успевает изготовить себе ЭП и вовремя подписать контракт. То пытаются подписать документы подписью уже уволившегося сотрудника (или переведенного на иную должность в той же организации). То возникают проблемы с халатностью сотрудников или их болезнью (как в первом из описанных случаев), и опять вовремя не успевают делегировать полномочия другому лицу и оформить ему ЭП. А результат один - организация попадает в список недобросовестных поставщиков и лишается права заключения контрактов, финансируемых из бюджета.

Получение работником организации ключа ЭП, обеспечение его сохранности и действия с ним обычно регламентируются приказом по организации с утверждением инструктивных материалов. В них определяется порядок применения ключей ЭП для подписания документов, получения, замены, аннулирования сертификата ключа проверки ЭП, а также действия, выполняемые при компрометации ключа ЭП. Последние аналогичны действиям, выполняемым при потере банковской карты.

Как выбрать удостоверяющий центр?

Законом № 63-ФЗ предусмотрено разделение удостоверяющих центров на прошедших и не прошедших процедуру аккредитации (сейчас ее осуществляет Министерство связи и массовых коммуникаций РФ). Аккредитованному удостоверяющему центру выдается соответствующее свидетельство, и для получения квалифицированного сертификата ключа проверки ЭП необходимо обращаться именно в такой УЦ. Неаккредитованные УЦ могут выдавать только другие виды подписей.

При выборе УЦ следует учитывать, что не каждый из них использует все возможные криптопровайдеры. То есть, если партнерам, организующим электронный документооборот, нужны электронные подписи, сгенерированные с использованием конкретного криптопровайдера, то следует выбирать удостоверяющий центр, работающий именно с данным средством криптографической защиты информации (СКЗИ).

Процедура получения ЭП и необходимые документы

Чтобы организовать обмен электронными документами между организациями, необходимо выполнить следующие действия:

  • определить цели и специфику документооборота между вашей и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемых в электронном виде (такие типовые договоры подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк);
  • совершить обмен сертификатами ключей проверки ЭП лиц, документы за подписью которых будут передаваться между организациями. Понятно, что получить такие сертификаты партнеры могут не только друг от друга, но и от удостоверяющего центра, осуществившего выпуск данных сертификатов;
  • выпустить внутренние инструкции, регламентирующие порядок передачи и приема электронных документов другой организации, включая порядок проверки электронной подписи полученных документов и действия в случае выявления факта внесения изменений в документ после подписания его электронной подписью.

Для изготовления ключей электронной подписи и сертификатов ключей проверки ЭП пользователи должны предоставить в удостоверяющий центр заявительные документы, документацию, подтверждающую достоверность информации, подлежащую включению в сертификат ключа проверки ЭП, а также соответствующие доверенности.

Для обеспечения должного уровня идентификации пользователя процедура получения сертификатов ключей проверки ЭП требует личного присутствия его владельца.

Правда, есть и исключения. Например, сегодня для сотрудников государственных и бюджетных организаций, а также работников органов исполнительной власти города Москвы удостоверяющим центром ОАО «Электронная Москва» разработана система массовой выдачи сертификатов ключей проверки электронной подписи (СКПЭП), которая при сохранении высокого уровня достоверности идентификации пользователя позволяет сделать необязательным посещение удостоверяющего центра каждым сотрудником лично, что существенно сокращает денежные и временные затраты организации по сравнению с выдачей СКПЭП, организованной по традиционной схеме.

Сколько стоит электронная подпись?

Ошибочно считать, что удостоверяющий центр просто продает носители для хранения ключей и сертификатов, услуга является комплексной, и носитель с ключевой информацией является одной из составляющих. Стоимость полного пакета электронной подписи зависит от:

  • региона;
  • ценовой политики удостоверяющего центра;
  • разновидности подписи и области ее применения.

Как правило, в этот пакет входят:

  • услуги удостоверяющего центра по изготовлению сертификата ключа проверки ЭП;
  • передача прав использования соответствующего программного обеспечения (СКЗИ);
  • обеспечение получателя необходимым программным средством для работы;
  • поставка защищенного ключевого носителя;
  • техническая поддержка пользователей.

В среднем стоимость варьируется от 3 000 до 20 000 рублей на полный пакет с одним носителем ключевой информации. Понятно, что при заказе организацией десятка или сотни сертификатов ключей для своих сотрудников цена на одного «подписанта» будет существенно ниже. Перевыпуск ключей осуществляется через год.

В настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты. Электронную подпись широко внедряют как в государственных организациях, так и на предприятиях частного бизнеса. При этом необходимо учитывать, что разные виды ЭП имеют разную стоимость, что документ, заверенный ЭП, является юридически значимым, поэтому передача ключевых носителей вместе с PIN-кодом другим лицам недопустима.

Самое важное: электронная подпись существенно экономит время, избавляя от бумажной волокиты, что крайне актуально в условиях жесткой конкуренции и при удаленном расположении партнеров.

Проблема пока остается только в плоскости подтверждения подлинности такой подписи и документа с ней на протяжении его длительного срока хранения.

Сноски

Свернуть Показать


Что еще почитать

Бесплатная библиотека электронных книг онлайн На конец 2016г. значительно ограничен доступ к бесплатной художественной и специализированной литературе. Сайты либо...
Выписка из реестра белоруссии В Республике Беларусь существует возможность получать сведения о действующих и потенциальных контрагентах. Платные...
Какие есть социальные гарантии у работников? Девятов И.Н. Редакция продолжает знакомить руководителей, бухгалтеров, юристов и кадровиков с основными положениями...