Правила использования эцп

Положение об учете, хранении и использовании носителей ключевой информации

1. Нормативные документы

Положение разрабатывалось с учетом:

2. Общие положения

2.1. Настоящее Положение разработано для операторов, абонентов и уполномоченных абонентов Систем криптозащиты информации (СКЗИ), осуществляющих электронные взаимодействия со сторонними организациями с использованием носителей ключевой информации (НКИ).

2.2. Данное Положение включает:

2.3. Основные термины:

3. Организация работы с носителями ключевой информации

Лица, имеющие доступ к носителям ключевой информации, несут за нее персональную ответственность. Список лиц, имеющих доступ к дискетам с ключевой информацией, составляется Начальником Отдела информационной безопасности и фиксируется в приказе по Банку.

В целях обеспечения идентификации отправителей и получателей информации, защиты ее от несанкционированного доступа:

3.1. Председатель Правления Банка назначает ответственных за осуществление электронных взаимодействий со сторонними организациями из руководителей подразделений и наделяет ответственных сотрудников правом установки электронной подписи отправляемых документов приказом по Банку.

3.2. Начальник Отдела информационной безопасности, по согласованию с Начальником Управления информационных технологий назначает сотрудников УИТ ответственных за установку на рабочих станциях ответственных сотрудников, назначенных в п.2.1., соответствующих средств для обеспечения электронных взаимодействий и СКЗИ.

3.3. Сотрудники ОИБ, совместно с сотрудниками УИТ, назначенные в п.2.2. должны провести обучение ответственных сотрудников подразделений, участвующих в электронных взаимодействиях со сторонними организациями, работе со средствами обеспечения электронного документооборота и СКЗИ.

3.4. Контроль за электронными взаимодействиями и использованием носителей ключевой информации осуществляют сотрудники Отдела информационной безопасности, Службы внутреннего контроля и Управления экономической защиты.

4. Порядок ввода в эксплуатацию, хранения и использования носителей ключевой информации

4.1. Порядок изготовления, учета и использования носителей ключевой информации

4.2.1. Порядок изготовления и учета носителей ключевой информации

Персональный ключевой носитель (чаще всего – дискета) обычно изготавливается в центре управления ключевыми системами (ЦУКС). Если ЦУКС обслуживается сторонней организацией, то ключевые дискеты получаются сотрудником Отдела информационной безопасности или назначенным приказом по банку Уполномоченным абонентом СКЗИ. В случае, когда ключевые дискеты изготавливаются в Банке, то это осуществляется на основании заявки, подписанной руководителем подразделения пользователя НКИ.

Генерация уникальной ключевой информации и ее запись на дискету осуществляется на специально оборудованном автономном «АРМ генерации ключей», программное обеспечение которого выполняет функции, регламентированные технологическим процессом формирования ключей электронной цифровой подписи, уполномоченными сотрудниками управления информационных технологий в присутствии самого пользователя НКИ, маркируется, учитывается в «Журнале учета НКИ» и выдается ему под роспись. Оснащение «АРМ генерации ключей» должно гарантировать, что уникальная секретная ключевая информация исполнителя записывается только на его персональный носитель.

Для обеспечения возможности восстановления ключевой информации пользователя НКИ в случае выхода ключевой дискеты из строя, обычно создается ее рабочая копия. Для того чтобы при копировании с оригинала на рабочую копию ключевой дискеты ее содержимое не попадало на какой-либо промежуточный носитель, копирование должно осуществляться только на «АРМ генерации ключей».

Ключевые дискеты должны иметь соответствующие этикетки, на которых отражается: регистрационный номер дискеты (по «Журналу учета НКИ»), дата изготовления и подпись уполномоченного сотрудника подразделения обеспечения информационной безопасности, изготовившего дискету, вид ключевой информации – ключевая дискета (оригинал) или ключевая дискета (копия), фамилия, имя, отчество и подпись владельца-исполнителя.

4.2.2. Порядок использования носителей ключевой информации

Каждому сотруднику (исполнителю), которому в соответствии с его функциональными обязанностями предоставлено право постановки на ЭД цифровой подписи, согласно п.2.1., выдается персональный носитель ключевой информации (например, дискета), на который записана уникальная ключевая информация («секретный ключ ЭЦП»), относящаяся к категории сведений ограниченного распространения.

Персональные ключевые дискеты (рабочие копии) пользователь должен хранить в специальном пенале, опечатанном личной печатью.

В подразделении учет и хранение персональных ключевых дискет исполнителей должен осуществляться ответственным за информационную безопасность (при его отсутствии – руководителем подразделения) или самим исполнителем (при наличии у него сейфа или металлического шкафа). Ключевые дискеты должны храниться в сейфе ответственного за информационную безопасность подразделения или исполнителя в индивидуальных пеналах, опечатанных личными печатями исполнителей. Пеналы извлекаются из сейфа только на время приема (выдачи) рабочих копий ключевых дискет исполнителям. Оригиналы ключевых дискет исполнителей хранятся в Отделе информационной безопасности в опечатанном пенале и могут быть использованы только для восстановления установленным порядком рабочей копии ключевой дискеты при выходе последней из строя. Наличие оригиналов ключевых дискет в пеналах проверяется сотрудниками ОИБ при каждом вскрытии и опечатывании пенала.

Контроль за обеспечением безопасности технологии обработки электронных документов, в том числе за действиями пользователей НКИ, выполняющих свою работу с применением персональных ключевых дискет, осуществляется ответственными за информационную безопасность подразделений в пределах своей компетенции и сотрудниками Отдела информационной безопасности.

«Открытые» ключи ЭЦП исполнителей установленным порядком регистрируются специалистами ЦУКС или УИТ в справочнике «открытых» ключей, используемом при проверке подлинности документов по установленным на них ЭЦП.

5. Права и обязанности пользователя носителей ключевой информации

5.1. Права пользователя носителей ключевой информации

Пользователь НКИ должен иметь право обращаться к ответственному за информационную безопасность своего подразделения за консультациями по вопросам использования ключевой дискеты и по вопросам обеспечения информационной безопасности технологического процесса.

Пользователь НКИ имеет право требовать от ответственного за информационную безопасность своего подразделения и от своего непосредственного руководителя создания необходимых условий для выполнения перечисленных выше требований.

Пользователь НКИ имеет право представлять свои предложения по совершенствованию мер защиты на своем участке работы.

5.2. Обязанности пользователя носителей ключевой информации

Пользователь НКИ, которому в соответствии с его должностными функциями предоставлено право постановки на ЭД цифровой подписи, несет персональную ответственность за сохранность и правильное использование вверенной ему ключевой информации и содержание документов, на которых стоит его ЭЦП.

Пользователь носителей ключевой информации обязан:

5.3. Пользователю носителей ключевой информации запрещается

6. Порядок действий при компрометации носителей ключевой информации

К событиям, связанным с компрометацией ключевой информации должны быть отнесены следующие события:

Первые три события должны трактоваться как безусловная компрометация действующих ключей ЭЦП. Три следующих события требуют специального рассмотрения в каждом конкретном случае. При компрометации ключей ЭЦП и шифрования Участника обмена электронными документами предусмотрены следующие мероприятия:

7. Обеспечение информационной безопасности при работе с носителями ключевой информации

Порядок размещения, специального оборудования, охраны и режима в помещениях, в которых находятся средства криптографической защиты и носители ключевой информации:

Порядок обеспечения безопасности хранения ключевых дискет:

Требования к сотрудникам, осуществляющим эксплуатацию и установку (инсталляцию) средств криптографической защиты и носителей ключевой информации:

Хранение ЭЦП в организации

Законом РФ «Об электронной цифровой подписи» предусматривается, что владелец обязан хранить в тайне информацию об электронном ключе. Существует ряд предписаний, как нужно хранить электронную цифровую подпись. Она не должна попасть в чужое распоряжение, содержаться на цифровом носителе. Владелец ключа ЭЦП не имеет права отказаться от наложенной на документ подписи. В организациях предусмотрена процедура передачи ЭЦП руководящим должностям. Для привлечения третьих лиц составляется приказ о назначении ответственного за ЭЦП.

Где хранится ЭЦП

Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.

Рекомендуемая форма сбережения данных — на жестком диске ПК. К серверу с подобной информацией должен быть ограничен доступ. Установлены внешние и внутренние системы защиты.

Недостатки хранения на ПК:

ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.

Рекомендованное хранение ключей ЭЦП — специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

Достоинствами этого метода хранения являются:

защита от чужого
проникновения

доступ к любому устройству
для работы без сертификата

автоматизация процесса входа
по СЭД и системе компьютера

Единственным неудобством можно считать дополнительные расходы на содержание хранилищ. Но при значительном увеличении безопасности это малая доля дискомфорта.

Требования к ответственности со стороны пользователя

Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

Требования законодательной базы предписывают:

  1. Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
  2. Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
  3. Запрещается использовать скомпрометированный ключ.
  4. Применять методы проверки и соответствия электронного ключа.

Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.

Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.

Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.

Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

Ответственность и передача прав пользования

Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.

Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.

Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.

От пользователя требуется:

сохранение тайны информации
и конфиденциальность
процесса обмена информацией

хранение закрытых ключей от
чужих лиц

соблюдение пунктов правил
эксплуатации АРМ системы
документооборота

В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.

За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.

Чужая ЭЦП: законодательная ответственность

В законодательстве РФ определена статья 22, в которой описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.

Читайте также:  С 2021 года изменятся налоги для разработчиков и предпринимателей

В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.

Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!

Электронно-цифровая подпись (ЭЦП)

Электронно-цифровая подпись (ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Электронно-цифровая подпись – это программно-криптографическое средство, которое обеспечивает:

проверку целостности документов;

установление лица, отправившего документ.

Преимущества использования электронно-цифровой подписи

Использование электронно-цифровой подписи позволяет:

значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;

усовершенствовать и удешевить процедуру подготовки, доставки, учета и хранения документов;

гарантировать достоверность документации;

минимизировать риск финансовых потерь за счет повышения конфиденциальности информационного обмена;

построить корпоративную систему обмена документами.

Виды электронно-цифровой подписи

Существует три вида электронной цифровой подписи:

простая электронно-цифровая подпись;

усиленная неквалифицированная электронно-цифровая подпись;

усиленная квалифицированная электронно-цифровая подпись.

Простая электронно-цифровая подпись

Посредством использования кодов, паролей или иных средств, простая электронно-цифровая подпись подтверждает факт формирования электронной подписи определенным лицом.

Простая электронно-цифровая подпись имеет низкую степень защиты. Она позволяет лишь определить автора документа.

Простая электронно-цифровая подпись не защищает документ от подделки.

Усиленная неквалифицированная электронно-цифровая подпись

1) получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

2) позволяет определить лицо, подписавшее электронный документ;

3) позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

4) создается с использованием средств электронной подписи.

Усиленная неквалифицированная электронно-цифровая подпись имеет среднюю степень защиты.

Чтобы использовать неквалифицированную электронную подпись, необходим сертификат ключа ее проверки.

Усиленная квалифицированная электронно-цифровая подпись

Для квалифицированной электронной подписи характерны признаки неквалифицированной электронной подписи.

Усиленная квалифицированная электронно-цифровая подпись соответствует следующим дополнительным признакам подписи:

1) ключ проверки электронной подписи указан в квалифицированном сертификате;

2) для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям законодательства.

Усиленная квалифицированная электронно-цифровая подпись является наиболее универсальной и стандартизованной подписью с высокой степенью защиты.

Документ, визированный такой подписью, аналогичен бумажному варианту с собственноручной подписью.

Использовать такую подпись можно и без каких-либо дополнительных соглашений и регламентов между участниками электронного документооборота.

Если под документом стоит квалифицированная подпись, можно точно определить, какой именно сотрудник организации ее поставил.

А также установить, изменялся ли документ уже после того, как был подписан.

Где купить ЭЦП

Сегодня сделать покупку ЭЦП можно быстро и легко. Для этого нужно отправить онлайн заявку в один из аккредитованных удостоверяющих центров и предоставить необходимые документы. В России действует более трех сотен таких организаций, полный список представлен на сайте Министерства цифрового развития, связи и массовых коммуникаций РФ. Среди них есть ряд наиболее крупных и известных провайдеров, такие как Тензор, СКБ Контур, Такском, Такснет, Астрал и другие.

Когда применяются разные виды подписи

Простая электронно-цифровая подпись

Обращение заявителей – юридических лиц за получением государственных и муниципальных услуг осуществляется путем подписания обращения уполномоченным лицом с использованием простой электронной подписи.

Использование простой электронной подписи для получения государственной или муниципальной услуги допускается, если федеральными законами или иными нормативными актами не установлен запрет на обращение за получением государственной или муниципальной услуги в электронной форме, а также не установлено использование в этих целях иного вида электронной подписи

Усиленная неквалифицированная электронно-цифровая подпись

Случаи, в которых информация в электронной форме, подписанная неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в Налоговом кодексе не определены.

По мнению Минфина, для целей налогового учета документ, оформленный в электронном виде и подписанный неквалифицированной электронной подписью, не может являться документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

Поэтому, хотя хозяйствующие стороны при наличии юридически действительного соглашения могут организовать электронный документооборот, применяя усиленную неквалифицированную электронную подпись, если есть вероятность возникновения споров с контролирующим органом, смысл в таких документах утрачивается.

Усиленная квалифицированная электронно-цифровая подпись

Для некоторых видов отчетности использование квалифицированной подписи прямо определено нормативными документами.

Например, такой порядок установлен для:

годовой бухгалтерской отчетности, которую необходимо сдать в Росстат;

отчетности в налоговую инспекцию – декларации.

Электронный счет-фактуру следует подписывать только усиленной квалифицированной электронной подписью руководителя либо иных лиц, уполномоченных на это приказом (иным распорядительным документом) или доверенностью от имени организации, индивидуального предпринимателя.

Заявление о постановке на учет (снятии с учета) в налоговом органе заверяется только усиленной квалифицированной подписью.

Заявления о возврате или зачете суммы налога также принимаются только в случае, если они визированы усиленной квалифицированной электронной подписью.

Использование ЭЦП для «чайников»: от осознания необходимости к загрузке на специализированный сайт

Электронно-цифровая подпись проста как в работе, так и в ее первоначальном создании и получении. Особых правил использования не существует, но рекомендованная последовательность действий позволит получить на выходе качественный электронный продукт, который не создаст хлопот его владельцу.

Порядок заказа и установки ЭЦП

Теоретически сотрудник компании может воспользоваться бесплатными криптографическими программами для создания сертификата и закрытого ключа. Однако при этом доверия к полученной подписи коллеги и партнеры испытывать не будут. Оптимальным видится осуществление работы через Удостоверяющий центр. Приведем пример, наиболее наглядно показывающий различия между собственноручно созданной подписью и подписью, полученной через специализированную фирму: в случае, если вы просто подписываете документ, то человек, заинтересованный в его подлинности принимает вашу подпись за подлинную на веру; заверив же свою подпись у нотариуса, вы существенно повысите степень ее надежности для всех заинтересованных лиц. В роли электронного нотариуса выступает Удостоверяющий центр.

Использование ЭЦП для подписи документов существенно ускорит процесс их реализации. Источник: docsvision.com

При вышеуказанной схеме работы использование ЭЦП для подписи документов станет более эффективным с той точки зрения, что доверять ей смогут абсолютно все контрагенты. Порядок действий для создания и получения подобного «гаранта подлинности» выглядит следующим образом:

  • заключение договора с удостоверяющим центром;
  • обращение в сервисный центр и заказ подписи;
  • загрузка и получение ЭЦП;
  • использование электронной подписи на нужных площадках (на электронных торгах, при сдаче отчетности, при подписи документов и т.д.).

Останавливаясь более подробно на каждом шаге, следует отметить, что заказ подписи – это крайне ответственная процедура. Наличие договора позволит в случае необходимости подтвердить качество полученной ЭЦП и обращаться за подписями не только для себя, но и для собственных сотрудников.

Правила использования ЭЦП

Следует со всей тщательностью подойти к сбору документов, которые необходимо предоставить в удостоверяющий центр. Со списком необходимой документации можно ознакомиться на нашем сайте. После предоставления сканированных копий, необходимо дождаться смс-уведомления, установить подпись и начать процесс использования ЭЦП.

Как правило, специализированные площадки, где требуется «заверенная» ЭЦП при работе автоматически запрашивают загрузку файла с подписью, что облегчит работу даже самому неподготовленному пользователю. Так же, как и в реальной жизни, в электронной сфере обращаться с подписью следует крайне осторожно:

  • не хранить файл с подписью на компьютере с доступом в сеть интернет и без надлежащей защиты;
  • не передавать файл с подписью сторонним лицам;
  • использовать подпись только на проверенных площадках.

Выполнение этих простых правил гарантирует, что ваша подпись прослужит вам долго и должным образом. А представленные на нашем сайте инструкции позволят удостовериться, что получить ЭЦП легко!

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

ЭДО ДЛЯ ОБСЛУЖИВАЮЩИХ БУХГАЛТЕРИЙ

Ведение бухгалтерского и налогового учета одновременно для нескольких организациях, как правило, осуществляется удалённо бухгалтерской службой. Электронный документооборот дает возможность бухгалтерским службам оперативно собрать первичный пакет документации для своевременной сдачи своим клиентам в кратчайшие сроки.

ПРИ ОПЛАТЕ СЧЕТОВ ВАЖНА СКОРОСТЬ

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

ПРИ ОПЛАТЕ СЧЕТОВ ВАЖНА СКОРОСТЬ

Электронный документооборот напрямую связан с получением счетов. Пользователи Диадок могут оплачивать счета прямо из списка входящих документов. Платежное поручение создается автоматически: назначение платежа, сумма и реквизиты счета получателя подставляются из документа, отправленного в формате XML.

Использование и подписание ЭЦП

Электронная цифровая подпись (ЭЦП) – это программный аналог личной подписи с высоким уровнем защиты. Для её использования необходимо пройти один или несколько уровней идентификации – вот почему такое средство заверения электронных документов невозможно подделать или скопировать. Подробнее об использовании и подписании ЭЦП – в материале ниже.

Кто может использовать ЭЦП?

Еще пару лет назад цифровая подпись была необычным инструментом для ограниченного круга лиц, сейчас же её используют:

  • физические лица, работающие с электронным документооборотом;
  • материально-ответственные лица, подтверждающие факт приема материальных ценностей, товаров, денежных средств;
  • участники электронных аукционов и государственных торгов;
  • бухгалтеры компаний – при отправке отчетности в контролирующие органы в электронном виде;
  • руководители компаний – при визировании внутренних и исходящих электронных документов.

Кроме общих случаев, когда электронная подпись является формальным требованием, подтверждающим подлинность и актуальность данных документа, законодательно определен ряд тех, кто обязан её использовать:

  • юридические лица и индивидуальные предприниматели, являющиеся плательщиками НДС, – при подаче отчетов в налоговую;
  • учреждения со штатом более 100 человек – также при подаче отчетов в налоговую;
  • ответственные лица предприятий со штатом более 25 сотрудников – при подаче отчетов в Пенсионный Фонд и Федеральную службу статистики.

Где можно использовать ЭЦП?

Заверить с помощью ЭЦП можно любой электронный документ, имеющий юридическую силу. Кроме факта действительности такой документ также имеет и дополнительную защиту от изменений – при его открытии конечный пользователь сразу получит уведомление о нарушенной ЭЦП и будет знать о недействительности информации и потере ее юридической значимости.

Использование простой электронной подписи актуально при внутреннем документообороте, а также переписке с иными подразделениями, контрагентами, партнерами.

Организовать юридически значимый электронный документооборот возможно как при использовании простой электронной подписи, так и усиленной. Однако в этом случае на предприятии должен существовать алгоритм проверки подписи. Между контрагентами устанавливается соглашение, определяющее силу простой электронной подписи, а также порядок сохранения конфиденциальности ключа.

Во всех остальных случаях – при заключении договора удаленных трудовых отношений, организации торгов на электронных площадках, сдаче отчетности в контролирующие органы (для предприятий) – действует требование об использовании усиленной квалифицированной электронной подписи как меры надежной защиты конфиденциальной информации.

Читайте также:  Алтайского края

О разнице между простой и усиленной, квалифицированной и неквалифицированной ЭЦП можно узнать из нашего материала по ссылке https://hamiltonapps.ru/usilennaja-jelektronnaja-podpis/.

С 2017 года ЭЦП стала доступной и на авансовых отчётах в приложении Hamilton Авансовый отчет. Это значит, что подписывать документы можно онлайн с любого мобильного устройства, что существенно упрощает и в разы ускоряет процесс как для рядовых сотрудников, так и для руководителей и бухгалтеров компании.

Правила применения ЭЦП

С точки зрения законодательства цифровая подпись будет являться полным аналогом собственноручной, если соблюден ряд условий:

  1. Документы, которые визируются таким средством идентификации, не составлены в обход действующего законодательства. Например, нельзя использовать ЭЦП для некорректных или поддельных счетов, накладных, договоров.
  2. Подписать PDF-документ при помощи ЭЦП может только владелец средства идентификации. Например, в отсутствие директора или главного бухгалтера никто не может воспользоваться их цифровой подписью, даже если у лица есть право визировать предоставленные документы.
  3. Сертификат подписи действителен на момент использования. Стандартный срок действия сертификата – один год, после чего его нужно перевыпускать в удостоверяющем центре.

Кто выдает ЭЦП?

Получить право на использование цифрового средства идентификации можно после прохождения специальной процедуры в аттестационных или удостоверяющих центрах (УЦ). Эти учреждения прошли аккредитацию контролирующих органов и имеют право выдавать средства идентификации только после того, как проведут проверку заявителя.

Заявителю нужно лично явиться в такое учреждение, предоставить весь пакет необходимых документов, оплатить услуги регистратора и ознакомиться с правилами использования средства – и только после этого получить ЭЦП на специальном носителе.

При оформлении электронной подписи важно правильно выбрать удостоверяющий центр. Если говорить об уровне защищенности, ЭЦП от разных центров принципиально ничем не отличаются, главное в этом вопросе – возможность быстрого восстановления средства идентификации. Предпочтение стоит отдавать тем центрам, которые обязуются бесплатно и в максимально короткие сроки предоставить новый токен и ЭЦП без повторного сбора всех документов.

Подробнее о том, как получить ЭЦП, можно узнать в материале Оформление ЭЦП.

Где хранится ЭЦП?

Для возможности использования цифровой подписи на любом компьютере ее записывают на отдельный носитель, в качестве которого могут выступать флеш-накопитель или специальный USB-токен.

Если подпись нужна должностному или ответственному лицу предприятия, в качестве носителя предпочтительнее выбирать USB-токен. Во-первых, он имеет собственный криптографический процессор, гарантирующий защиту данных – считать их можно только после введения кода. Во-вторых, даже при потере токена другое лицо не сможет воспользоваться подписью.

При сравнении токена с флешкой у последней есть только два преимущества: возможность записи на носитель других данных (многие современные e-token имеют встроенный накопитель объемом до 32 Гб, которых достаточно для хранения и перемещения больших массивов данных) и меньшая стоимость. Но всё это не может компенсировать слабую защиту данных. Плюс с обычного флеш-накопителя можно случайно удалить ключи к подписи и сертификаты без возможности их восстановления, что влечет за собой потерю права подписания документов.

ЭЦП также может храниться на защищенном сервере – в облаке. Главное преимущество такого вида подписи – отсутствие привязанности к цифровому носителю: её можно использовать в любое время с любого устройства, имеющего подключение к интернету. Облачную ЭЦП невозможно случайно удалить, а одноразовые пароли обеспечивают надежную защиту данных. Для подтверждения личности проводится авторизация через одноразовый пароль, отправленный сообщением на подтвержденный номер телефона.

В ряде случаев электронная цифровая подпись может быть выдана владельцу только на защищенном носителе. Это продиктовано соображениями безопасности – незаметно взломать или подделать ЭЦП на токене невозможно. Ввиду этого его часто применяют для визирования документов особой важности, доступа к корпоративной базе данных от лица руководителя, а также защиты доступа к компьютеру ответственного лица.

Правила использования СКЗИ и ЭЦП

1. Общие положения

Средства криптографической защиты информации (СКЗИ) и электронной цифровой подписи (ЭЦП) предназначены для подписывания файлов ЭЦП с целью подтверждения подлинности информации и ее авторства и шифрования этих файлов при передаче по открытым каналам связи для обеспечения конфиденциальности.

СКЗИ и средства ЭЦП могут использоваться только для защиты информации в системе представления данных по телекоммуникационным каналам связи.

Указанные СКЗИ и средства ЭЦП могут использоваться для защиты конфиденциальной информации, не содержащей сведений, составляющих государственную тайну.

Электронная цифровая подпись (ЭЦП) выдается сроком на один год с момента изготовления. По истечении этого срока налогоплательщик обязан заменить ЭЦП у Специализированного Оператора Связи.

2. Работа с СКЗИ и средствами ЭЦП в организациях, сдающих налоговые декларации в электронном виде по каналам связи

Для работы с СКЗИ и средствами ЭЦП привлекаются уполномоченные лица, назначенные соответствующим приказом руководителя организации. Должностные лица, уполномоченные соответствующим приказом руководителя организации, эксплуатировать СКЗИ, получать и использовать ключи шифрования и ЭЦП, несут персональную ответственность за:

  • сохранение в тайне конфиденциальной информации, ставшей им известной в процессе работы с СКЗИ;
  • сохранение в тайне содержания закрытых ключей СКЗИ и средств ЭЦП;
  • сохранность носителей ключевой информации и других документов о ключах, выдаваемых с ключевыми носителями.

В организации должны быть обеспечены условия хранения ключевых носителей и карточки отзыва ключей, исключающие возможность доступа к ним посторонних лиц, несанкционированного использования или копирования ключевой информации и паролей отзыва ключей.

Для исключения утраты ключевой информации вследствие дефектов носителей рекомендуется, после получения ключевых дискет, создать рабочие копии. Копии должны быть соответствующим образом маркированы и должны использоваться и храниться так же, как оригиналы.

Пользователь несет ответственность за то, чтобы на компьютере, на котором установлены СКЗИ и средства ЭЦП, не были установлены и не эксплуатировались программы (в том числе, – вирусы), которые могут нарушить функционирование программных СКЗИ и средств ЭЦП.

При обнаружении на рабочем месте, оборудованном СКЗИ и средствами ЭЦП, посторонних программ или вирусов, нарушающих работу указанных средств, работа со средствами защиты информации на данном рабочем месте должна быть прекращена и должны быть организованы мероприятия по анализу и ликвидации негативных последствий данного нарушения. Также оператор не несет ответственности за получение абонентом писем с вирусами.

  • разглашать содержимое носителей ключевой информации или передавать сами носители лицам, к ним не допущенным, выводить ключевую информацию на дисплей и принтер;
  • вставлять ключевой носитель в дисковод ПЭВМ при проведении работ, не являющихся штатными процедурами использования ключей (шифрование/расшифровывание информации, проверка электронной цифровой подписи и т.д.), а также в дисководы других ПЭВМ;
  • записывать на ключевом носителе постороннюю информацию;
  • вносить какие-либо изменения в программное обеспечение СКЗИ и средств ЭЦП;
  • использовать бывшие в работе ключевые носители для записи новой информации без предварительного уничтожения на них ключевой информации путем переформатирования (рекомендуется физическое уничтожение носителей).

3. Действия в случае компрометации ключей

Под компрометацией закрытых ключей понимается их утрата (в том числе с их последующим обнаружением), хищение, разглашение, несанкционированное копирование, передача их по линии связи в открытом виде, увольнение по любой причине сотрудника, имеющего доступ к ключевым носителям или к ключевой информации на данных носителях, любые другие виды разглашения ключевой информации, в результате которых закрытые ключи могут стать доступными несанкционированным лицам и (или) процессам.

Пользователь самостоятельно должен определить факт компрометации закрытого ключа и оценить значение этого события для Пользователя. Мероприятия по розыску и локализации последствий компрометации конфиденциальной информации, переданной с использованием СКЗИ, организует и осуществляет сам Пользователь.

При компрометации ключа у Пользователя, он должен немедленно прекратить связь по сети с другими абонентами и поставить в известность своего оператора системы сдачи бухгалтерской и налоговой отчетности в электронном виде по каналам связи – ООО “Компьютерный сервис” (далее – Оператор системы) о факте компрометации. Информация о компрометации может передаваться по телефону или непосредственно представителю Оператора в его офисе. Не позднее 1 часа после поступления сообщения о компрометации ключа, будет заблокирован ключ Пользователя в Системе. Разблокировка будет произведена только после замены скомпрометированных ключей.

Для получения новых ключей уполномоченный представитель организации – пользователя, у которой были скомпрометированы ключи, должен обратиться к Оператору системы. За выдачу новых ключей взимается оплата в соответствии с действующими тарифами на день оплаты.

Использование электронного документооборота

Чтобы начать применять простую электронную подпись (ПЭП) при использовании электронного документооборота с контрагентами, необходимо оформить специальное соглашение. В нем стоит прописать список правил: по идентификации лица, подписывающего электронный документ, а также по обязанностям лица, создающего и (или) применяющего ключ простой ЭП, соблюдать его конфиденциальность.

О чем важно помнить:

  1. Обмениваясь документами, в теле которых содержится секретная госинформация, применять простую электронную подпись неприемлемо. Здесь потребуется усиленная ЭП.
  2. Если вы сдаете электронные документы в Федеральную налоговую инспекцию по требованию, проверьте, не подписаны ли они простой подписью. В противном случае налоговая не сочтет их юридически значимыми. Рекомендуем использовать квалифицированную ЭП.
  3. Также не забывайте, что есть ряд документов, в отношении которых существуют жесткие требования законодательства по применению определенным видом ЭП.

Хотите быстро готовить документы для контролирующих органов?

Грамотное использование электронного документооборота: ЭП или ЭЦП?

В законодательстве разграничиваются определения «Электронная цифровая подпись» и «Электронная подпись».

Федеральный закон от 13.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» (Закон об ЭЦП) говорит, что электронная цифровая подпись — это реквизит электронного документа, предназначенный для его защиты от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Срок действия закона истек 1 июля 2013 года.

Согласно Федеральному закону от 06.04.2011 г. № 63-ФЗ «Об электронной подписи» (Закон об ЭП) под ЭП понимается информация в электронной форме, присоединенная к другой информации в электронной форме (подписываемой информации) или иным образом связанная с такой информацией, и которая используется для определения лица, подписывающего информацию.

В последнем законе также приводятся виды электронной подписи: простая, усиленная неквалифицированная, усиленная квалифицированная.

Важно! В ст. 19 Закона об ЭП говорится, что любой сертификат ключа подписи, выданный в соответствии с Федеральным законом № 1-ФЗ «Об электронной цифровой подписи» даже после утраты им силы признается квалифицированным.

Простая ЭП и ее значимость в подписании

Как вы уже поняли, использование электронного документооборота требует от компании знания соответствующих законов. Так, ст. 6 Закона об ЭП дает любопытное разъяснение по поводу электронного документа, подписанного ПЭП — он признается равнозначным бумажному документу с собственноручной подписью. А это, как вы понимаете, условие юридически значимого электронного документооборота:

«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия».

Читайте также:  Пособия соцстрахования: как изменится порядок выплат с 1 января 2021 года

Ряд нормативно-правовых актов вкупе с соглашениями об использовании электронного документооборота, заключенные между организацией и ее контрагентами, признают, что электронные документы, подписанные ПЭП, равнозначны бумажным документам, подписанным собственноручной подписью. При этом должны соблюдаться требования закона. В ст. 9 Федерального закона № 63-ФЗ говорится:

  1. Электронный документ считается подписанным простой электронной подписью при выполнении, в том числе, одного из следующих условий:
    • простая электронная подпись содержится в самом электронном документе;
    • ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.
  2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:
    • правила определения лица, подписывающего электронный документ, по его простой электронной подписи;
    • обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.
  3. Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.

В соответствии с федеральными законами и НПА либо в соответствии с правилами делового взаимодействия документ бывает необходимо заверить официальной печатью организации. В случае с электронным аналогом иначе. Подписанный усиленной электронной подписью и признанный равнозначным документу на бумажном носителе, подписанному собственноручной подписью, он признается равнозначным бумажному документу, подписанному собственноручной подписью и заверенному печатью.

Согласно положениям Федеральных законов и принимаемым в соответствии с ними НПА либо в соответствии с соглашением, заключенным между участниками электронного обмена, к электронному документу могут предъявляться дополнительные требования. Делается это с целью, чтобы признать его равнозначным бумажному документу с печатью.

Отмечу также, что если вы используете электронный документооборот, юридически значимыми налоговая служба признает только те документы, которые подписаны квалифицированной ЭП (ЭЦП).

Автор статьи: Анастасия Щепина, аналитик Synerdocs

Образец журнала учета и регламента использования в организации ЭЦП

Организации обязаны выполнять требования по обеспечению безопасности хранения, обработки и передачи средств криптографической защиты информации. Требования к хранению и учету электронной подписи и ее средств прописаны в отдельном приказе, а за его невыполнение юридическое лицо может понести наказание вплоть до уголовной ответственности.

Требования по обеспечению безопасности хранения ЭЦП

Требования к журналу учета ЭЦП, а также к документам по информационной безопасности указаны в Приказе от 13.06.2001 г. под номером 152, опубликованном Федеральным агентством правительственной связи и информации (ФАПСИ). Приказ прописывает определения средств криптографической защиты информации, ключевой информации, а также правила по хранению, обработке, передаче данных.

Согласно приказу, электронная подпись в организации должна ставиться на учет, и ее движение (выдача, формирование, передача, установка или уничтожение) также должны быть отслежены документально. Для этой цели и создан журнал учета средств электронной подписи.

Нормативные документы

Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:

Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.

Общие положения регламента использования ЭЦП в организации

Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:

  • термины и определения;
  • нормативные ссылки;
  • основные положения;
  • требования к использованию ЭЦП;
  • организация работы с носителями ключевой информации;
  • правила получения сертификата ключа ЭЦП;
  • правила предоставления данных о статусе сертификата ЭЦП;
  • порядок использования ЭЦП;
  • условия признания юридической силы ЭЦП;
  • порядок отзыва сертификата ключа ЭЦП;
  • процедура восстановления работы ранее приостановленного сертификата ЭЦП.

Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.

Организация работы с носителями ключевой информации

Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.

Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.

Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.

Правила хранения и использования ЭЦП

Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией. Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов. Формирование ключей ЭЦП, а также их маркировка учитывается в обязательном порядке в журнале учета ЭЦП организации. ЭЦП выдается сотруднику под роспись.

Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере. Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «‎АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.

Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.

Рекомендации по обеспечению безопасности при работе с ЭЦП

На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП. Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием. Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.

Работа с электронной подписью должна проводиться с отдельной учетной записи. Аутентификация и идентификация пользователя происходит при помощи логина-пароля. Все пароли должны быть уникальными и не совпадать с паролями от входа в систему. Плановая смена паролей происходит раз в 60-70 дней, а внеплановая — при выявлении нарушения в использовании носителей ключевой информации.

Для обеспечения информационной безопасности своего рабочего места пользователю запрещается:

  • сообщать пароль третьим лицам от своей учетной записи;
  • оставлять пароль, записанный на бумажном носителе, в общественном месте;
  • выводить пароль на внешние устройства (дисплей, телефон);
  • использовать пароль от учетной записи в интернет-кафе;
  • использовать опцию сохранения пароля от учетной записи в памяти системы ПК.

Ключи шифрования ЭЦП должны храниться только на флэш-носителе. Для работы с ЭЦП флэш-носитель подключают к ПК, а после использования — закрывают программу, вынимают носитель и убирают его в шкаф или сейф. Оставлять носитель ЭЦП на столе во время отсутствия на рабочем месте запрещено.

Если есть подозрение на компрометацию ключа ЭЦП, необходимо срочно обратиться в удостоверяющий центр для приостановки действия сертификата или его отзыва.

Образцы документов

Регламент, а также положение по использованию и хранению электронной цифровой подписи составляются юридическим и IT-отделом исходя из требований приказа ФАПСИ № 152.

Для всех юридических лиц являются обязательными к выполнению требования Приказа ФАПСИ № 152 по обеспечению безопасности использования электронной цифровой подписи. Каждая организация должна вести журнал учета ЭЦП в организации по образцу, а также иметь регламент и положение по использованию, обеспечению сохранности и уничтожению ЭЦП. Документы должны содержать такие разделы, как требования к ЭЦП, организация хранения подписи и правила использования подписи, порядок отзыва сертификата и процедура восстановления ранее приостановленного. Составляются документы юридическим отделом и отделом информационной безопасности исходя из рекомендаций и требования ФАПСИ.

Федеральный закон “Об электронной подписи”

Скачать текст нового закона об ЭЦП.

Президент России Дмитрий Медведев подписал федеральный закон “Об электронной подписи”, принятый Госдумой 25 марта 2011 г. и одобренный Советом Федерации 30 марта 2011 г. Об этом сообщает пресс-служба главы Российского государства.

Необходимость нового документа обусловлена тем, что положения действующего закона об электронной подписи не соответствуют современным принципам регулирования электронных подписей, которые действуют в европейских государствах.

Так, на сегодняшний день законодательство РФ допускает использование только одной технологии электронной подписи (основанной на технологии асимметричных ключей подписи) и делает необходимой иерархическую систему удостоверяющих центров. В сферу регулирования закона об электронной подписи не включены отношения, которые не являются гражданско-правовыми сделками, также законом не допускается электронная подпись юридических лиц. Действующий закон не согласован с иными законодательными актами РФ, в том числе – о лицензировании отдельных видов деятельности и о техническом регулировании. Закон устраняет эти недостатки действующего закона. Кроме того, в документе изменено определение электронной подписи, в котором закреплен основной признак, присущий всем видам таких подписей – возможность ее использования для идентификации подписавшего информацию в электронно-цифровой форме физлица или юрлица. Предусмотрены механизмы признания иностранных электронных подписей.

Выделяются три вида электронной подписи:

  • простая электронная подпись,
  • усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись),
  • усиленная квалифицированная электронная подпись (квалифицированная электронная подпись).

Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированной электронной подписью является электронная подпись, которая: получена в результате криптографического преобразования информации с использованием ключа подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после его подписания; создается с использованием средств электронной подписи.

Квалифицированная электронная подпись соответствует всем признакам неквалифицированной электронной подписи. Кроме того, ключ проверки такой подписи указан в квалифицированном сертификате, а для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим федеральным законом.

При использовании неквалифицированной электронной подписи сертификат ключа проверки электронной подписи может не создаваться, если соответствие электронной подписи признакам неквалифицированной электронной подписи, установленным настоящим федеральным законом, может быть обеспечено без использования сертификата ключа проверки электронной подписи.

В новом документе предусмотрена ответственность удостоверяющих центров, а также тех, кто использует усиленную или квалифицированную электронную подпись, за причиненный вред в результате нарушения правил их использования. Определены обязанности участников электронного взаимодействия при использовании усиленной электронной подписи, условия признания электронных документов, подписанных электронной подписью, признания иностранных электронных подписей.

Закон сохраняет наиболее активно используемое положение о том, что правила использования электронной подписи в корпоративной информационной системе устанавливаются решением владельца такой системы или соглашением участников отношений.

Закон вступает в силу со дня его официального опубликования. При этом федеральный закон от 10 января 2002 г. “Об электронной цифровой подписи” признается утратившим силу с 1 июля 2012 г. Сертификаты ключей подписи, выданные в соответствии с действующим законом, будут действовать до истечения установленного в них срока.