Правила использования эцп

Действующее законодательство предоставляет возможность физическим и юридическим лицам обмениваться электронными документами.

Электронный документ — это документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (п. 11.1 ст. 2 закона «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ). Для придания юридической силы электронный документ должен быть заверен электронно-цифровой подписью (ЭЦП) уполномоченного лица.

Федеральный закон об ЭЦП дает следующее определение электронной подписи: электронная форма информации, присоединенная к другой информации (подписываемому документу) или связанная с ней иным образом, которая используется для определения уполномоченного лица, подписавшего документ.

Обмен документами в электронной форме позволяет одновременно решить проблемы:

• замедленного процесса документообмена в бумажном формате;
• необходимости затрат на перемещение бумаг;
• приобретения канцтоваров и хранения объемных бумажных архивов;
• утраты бумажного документа, потери его физических и информационных свойств с течением времени и т. д.

Возможность электронного документообмена у участников появилась в 2002 году с принятием закона об электронной цифровой подписи № 1-ФЗ от 10.01.2002. С тех пор электронный документ, заверенный ЭЦП, равнозначен бумажному варианту, подписанному уполномоченным сотрудником собственноручно.

ВАЖНО! С 08.04.2011 действует закон об ЭЦП № 63-ФЗ от 06.04.2011, который регламентирует алгоритм получения и использования ЭЦП участниками электронного документооборота (ЭДО). Пунктом 2 ст. 20 закона № 63-ФЗ признается утратившим силу закон об ЭЦП № 1-ФЗ.

Закон об электронной цифровой подписи №63-ФЗ описывает алгоритм работы удостоверяющих центров, у которых участники ЭДО должны получать ключи электронной подписи.

ЭДО может быть организован:

• внутри фирмы между сотрудниками;
• между сторонами договора (как юридическими, так и физлицами) при обмене договорами (ст. 434 ГК РФ) и любыми корректно оформленными первичными документами, подписанными ЭЦП (п. 5 ст. 9 закона «О бухучете» от 06.12.2011 № 402-ФЗ);

• между налогоплательщиком и фискальными органами для отправки деклараций и необходимых документов в органы ФНС (п.2 ст. 93 НК РФ), ПФР и ФСС.

Цифровой подписью также подписываются заявки о закупках товаров или услуг и проведении торгов бюджетными организациями, государственными корпорациями, некоторыми коммунальными предприятиями и иными юрлицами, поименованными в законе «О закупках товаров, услуг отдельными видами юрлиц» от 18.07.2011 № 223-ФЗ.

Где хранится ЭЦП

Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.

Рекомендуемая форма сбережения данных — на жестком диске ПК. К серверу с подобной информацией должен быть ограничен доступ. Установлены внешние и внутренние системы защиты.

Недостатки хранения на ПК:

ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.

Рекомендованное хранение ключей ЭЦП — специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

Достоинствами этого метода хранения являются:

защита от чужого
проникновения

доступ к любому устройству
для работы без сертификата

автоматизация процесса входа
по СЭД и системе компьютера

Единственным неудобством можно считать дополнительные расходы на содержание хранилищ. Но при значительном увеличении безопасности это малая доля дискомфорта.

Принцип работы ЭЦП

Выдачей ЭЦП занимаются удостоверяющие центры. Они решают важнейшую задачу, а именно: подтверждают подлинность информации о владельце ключа и его полномочиях. Центр выдает сертификат открытого ключа подписи. Электронный сертификат — это файл, который представляет из себя открытый ключ клиента, подписанный ЭЦП удостоверяющего центра. После оформления документов в удостоверяющем центре у клиента на руках оказывается носитель, на котором записаны следующие файлы: открытый ключ, закрытый ключ, сертификат открытого ключа.

Допустим, бухгалтер хочет отправить в инспекцию декларацию. Он формирует файл с отчетностью. Затем подписывает файл с декларацией своим закрытым ключом. В результате образуется новый, оригинальный файл. В подписанном ЭЦП документе ни получатель, ни отправитель уже не могут изменить ни одного символа — подобное нарушение целостности документа легко выявляется при проверке с помощью сертификата открытого ключа.

Далее программа, с помощью которой бухгалтер отправляет отчетность, шифрует декларацию открытым ключом инспекции. Зашифрованный файл отправляется в инспекцию. Налоговики получают файл и расшифровывают его своим закрытым ключом. Затем проверяют электронную подпись плательщика с помощью реестра сертификатов открытых ключей. Проверка отвечает на два вопроса: была ли после подписания ЭЦП плательщика нарушена целостность документа, и действительно ли данная ЭЦП принадлежит плательщику, сдавшему отчетность.

После проверки инспекция отправляет организации протокол входного контроля. Инспектор подписывает протокол своим закрытым ключом. Затем шифрует протокол открытым ключом организации и направляет файл с зашифрованной информацией в адрес компании. Бухгалтер открывает зашифрованную в файле информацию своим закрытым ключом.

Теоретически можно перехватить зашифрованный файл. Однако расшифровать файл, направленный в адрес инспекции, получится только при наличии закрытого ключа инспекции. Соответственно, зашифрованный файл, который инспекция направила налогоплательщику, может открыть только тот, у кого есть закрытый ключ этого налогоплательщика.

Внимание

Подписывать документы можно только личным ключом подписанта. Передавать его третьим лицам нельзя, иначе произойдет компрометация (т. е. фактически подделка) подписи. Это, среди прочего, означает, что директор не может отдать носитель с ключом своей подписи бухгалтеру для подписания отчетности перед отправкой. Проведем аналогию с традиционной подписью. Передача токена с подписью директора в руки третьих лиц равнозначно ситуации, когда секретарь подделывает на документе подпись руководителя. Даже если подпись будет похожа на оригинал, собственноручной подписью руководителя она не является. И если этот факт будет установлен, документ признают фальсифицированным.

Процедура получения включает несколько этапов:

Выбор типа подписи.

1.1. Простой вариант отличается самой низкой степенью защиты подходит предпринимателям и физическим лицам, которые хотят лишь подтвердить личность, например, при идентификации на сайтах государственных услуг. Такую подпись легко оформить самостоятельно с помощью специальных программных продуктов, например, «КриптоПро CSP» или «USB-токен». Она представляет собой одноразовый пароль для подтверждения операции.

1.2. Усиленный неквалифицированный вариант (УНЭП) — это своеобразный идентификатор контроля документооборота компании, позволяющий вносить какие-либо изменения. Такая подпись применяется при подаче отчётной документации в государственные учреждения. УНЭП выдаётся в удостоверяющими центрами (УЦ) без аттестации.

1.3. Усиленная квалифицированная подпись (УКЭП) — вариант с наибольшей степенью защиты. Одновременно с УКЭП выпускается крипто-ключ, а также оформляется сертификат. Всё это подтверждает подлинность подписи конкретного человека. Подпись имеет юридическую силу только при наличии двух этих элементов. Усиленная ЭЦП признаётся во всех государственных инстанциях: подходит для участия в торгах, тендерах по госзакупкам, аукционах и др.

2. Подбор удостоверяющего центра. Получить подробные сведения об УЦ можно на сайте Министерства связи.

3. Посещение выбранного удостоверяющего центра. Также можно позвонить по телефону, чтобы узнать, как действовать дальше. Специалисты центра расскажут о необходимых документах.

4. Оплата счёта любым удобным способом: по квитанции в отделении банка, банковской картой или с помощью платёжных онлайн-сервисов. Стоимость услуги зависит от условий работы аккредитованного центра, типа и области применения электронной подписи.

5. В назначенный день принести пакет документов в УЦ. Перечень нужной документации зависит от того, какой тип сертификата электронной подписи вам требуется.

Важно! Юридическим лицам требуется расширенный пакет документов. Полный список необходимых бумаг представлен на сайте Минсвязи.

Стандартный алгоритм получения предусматривает выдачу подписи, крипто-ключа, сертификата подлинности ЭЦП. Ключ чаще всего записывается на съёмный носитель (flash-карту). На нём также сохраняется утилита «КриптоПро CSP» с ключами: открытым или закрытыми ruToken, eToken.

А они еще и разные

По российскому законодательству, их есть три разновидности.

1. Простая электронная подпись.

Скорее всего, вы такими подписями пользуетесь вовсю, только об этом не подозреваете. Когда вы заходите в свой личный кабинет на сайте банка и сначала вводите логин-пароль, а потом получаете на мобильник СМС с кодом для подтверждения входа — эта комбинация и есть простейший вариант электронной подписи. Один раз придя в банк с паспортом и заключив договор на онлайн-обслуживание, вы таким образом в любой момент можете получить доступ к своим счетам откуда угодно.

Если вы когда-то уже куда-то ходили с паспортом и СНИЛСом получать код доступа к порталу госуслуг и пользуетесь всеми государственными услугами, которые доступны в электронном виде через этот портал, — значит, у вас уже есть простая электронная подпись, которая дает доступ к этому порталу. Вы ее получили, когда вам выдали этот самый код.

Или, например, сейчас Почта России предлагает получить у нее простую электронную подпись, чтобы получать посылки и прочее в ускоренном порядке — без извещения и паспорта, только по СМС-коду. Система та же: вы один раз приходите в почтовое отделение с паспортом и подключаете услугу. А дальше вас будут идентифицировать электронно — по комбинации номера телефона и кода из СМС.

Универсальной простой электронной подписи нет. У каждой конторы, с которой вы будете общаться электронно, своя схема удаленной идентификации. Но обычно все необходимые логины и коды получаются быстро и без особых проблем.

2. Усиленная неквалифицированная

Здесь уже используются средства шифрования. А получить такую подпись можно только в специальном удостоверяющем центре. Правда, не обязательно имеющем государственную аккредитацию.

— Усиленная неквалифицированная электронная подпись позволяет определить автора документа и обнаружить факт взлома — внесения изменений в электронный документ после его подписания. Такой вид подписи чаще используется в электронном документообороте, но для этого между участниками должно быть заключено соответствующее соглашение, — объясняет директор удостоверяющего центра «Такснет» Ринат Ахметов.

Такая подпись пригодится фрилансерам или самозанятым — ею могут подписываться договоры, агентские соглашения, которые заключаются удаленно. Или организация может снабдить ею своих удаленных работников — для внутренних документов.

Еще вариант использования такой подписи — если вы подаете документы в налоговую через личный кабинет налогоплательщика на сайте ФНС (простой электронной подписи в этом случае недостаточно).

3. Усиленная квалифицированная

Это самый серьезный и защищенный вид электронной подписи. Юридически это полный аналог обычной собственноручной подписи, никаких дополнительных соглашений с кем-то о том, чтоб ее признавали (как в случае с усиленной неквалифицированной подписью), не надо.

— Выдать такую подпись может только удостоверяющий центр, у которого имеется аккредитация Минкомсвязи РФ и лицензия ФСБ, — поясняет Ринат Ахметов.

Обычному гражданину, который не занимается бизнесом, именно такой вид подписи нужен, если он, скажем, хочет дистанционно оформить сделку с жильем. Также появляется возможность в электронном виде подать иск и вести переписку с судом, отправлять откуда угодно документы в налоговую и т.п.

Зачем нужна электронная подпись

Электронная подпись понадобится тем, кто собирается использовать в работе электронные документы, сдавать отчетность и получать услуги в интернете.

Вот как используют электронную подпись юридические лица:

1. Работают с электронными документами, которые не надо печатать на бумаге. Государство признает такие документы имеющими юридическую силу.
2. Передают электронные налоговые декларации в ИФНС.
3. Оформляют электронные заявки на патенты, сделки с собственностью и др.
4. Участвуют в электронных торгах, где подписывают заявки на тендеры и тендерную документацию в электронном виде.
5. Подписывают документы в системе дистанционного банковского обслуживания, где можно удаленно оформить платеж и получить другие банковские услуги.
6. Подписывают служебные электронные документы внутри организации.
7. Регистрируют электронные сделки с недвижимостью.
8. Оформляют трудовые отношения с удаленным сотрудником.

Все эти операции призваны облегчить жизнь представителям бизнеса — экономить на документообороте, меньше бегать по инстанциям, получать государственные услуги удаленно и т. п .

А вот что могут сделать с электронной подписью обычные граждане:

1. Получить государственные услуги через интернет — например, оформить регистрацию или обращение к муниципальным властям с помощью портала госуслуг.
2. Подать электронное заявление на поступление в вуз, записать ребенка в садик или школу.
3. Обмениваться документами с удаленным работодателем.
4. Зарегистрировать или получить патент или разрешение — например, на строительные работы.
5. Подать судебный иск или жалобу в электронном виде. Сделать это можно через систему ГАС «Правосудие».

Обычно физлица делают электронную подпись, чтобы передавать документы госслужбам — например, удаленно подают заявление на регистрацию по месту жительства или отправляют иск или доверенность в суд. Но на самом деле электронная подпись может заменить рукописную в любых случаях. Вот как, к примеру, ее можно использовать:

1. Подписать долговую расписку, если хотите занять денег у человека из другого города.
2. Подать иск, ходатайство или жалобу.
3. Заверить доверенность, в том числе ту, для которой нужен нотариус.
4. Заключить договор: купли-продажи, на оказание услуг или любой другой.
5. Подписать любые документы. Многие из нас сталкивались, например, с удаленным банковским обслуживанием. Оно все построено на принципах электронной подписи. Ввод кода, полученного по смс, равнозначен подписанию документа.
6. Решить любой вопрос с налоговой службой. ФНС сама оформляет электронную подпись для решения таких вопросов, ей можно подписывать любой документ для налоговой и не ходить в ФНС. Это может быть, например, заявление на налоговый вычет, заявка о предоставлении льгот или жалоба на действия сотрудников ФНС.
7. Обезопасить деловую переписку. Взломать почтовый ящик проще, чем подделать ЭП. Если два человека договорились между собой о том, что будут считать достоверными письма, подписанные электронными подписями, им никто не мешает это делать.

О том, как еще обычный человек может использовать электронную подпись на практике, мы рассказывали в другой статье.

Правила безопасности для владельцев электронной подписи

Несмотря на весомые преимущества в плане безопасности, применение технологии электронной подписи по-прежнему сопряжено с опасениями и заблуждениями. Часть из них — не более чем мифы, некоторые риски реальны, но их можно избежать или минимизировать.

Еще один риск связан с хакерскими атаками — получением доступа к компьютеру или ноутбуку владельца подписи для похищения ключа. Предотвратить внедрение злоумышленника в компьютер и компрометацию данных в этом случае можно, соблюдая всем известные правила безопасного поведения в интернете — не переходить по подозрительным ссылкам, не загружать файлы из неизвестных источников, не использовать потенциально зараженные USB-носители и установить на рабочий компьютер надёжную программу-антивирус.

Безопасность использования электронной подписи во многом зависит и от организации, которая её выпустила. Выбор удостоверяющего центра — очень ответственная задача. Фактически удостоверяющий центр подтверждает личность обратившегося и выдаёт ему средство для электронного подписания документов, с юридической точки зрения абсолютно равнозначное его подписи от руки.

Что такое ЕСИА и зачем она нужна

В 2010 г. в России была создана Единая система идентификации и авторизации (ЕСИА) – регистрация в ней открывает для пользователей Интернета доступ ко всем государственным сервисам.

Идентификацию в ЕСИА признают:

• портал Госуслуг;
• сайты Федеральной налоговой службы, Росреестра, Пенсионного фонда, Федеральной миграционной службы;
• медицинские учреждения;
• страховые организации;
• банки, организации по выдаче мелких кредитов;
• негосударственные пенсионные фонды;
• операторы мобильной связи;
• сайты органов местного самоуправления.

Получить водительское удостоверение или загранпаспорт, записаться на прием к врачу, оформить ребенка в школу, оплатить счета, получить кредит в банке – все это в режиме онлайн доступно пользователям системы ЕСИА. Электронные услуги позволяют решать проблемы, не теряя времени в очередях к заветному окошку, не вступая в личный контакт с сотрудниками госучреждений.

К регистрации в ЕСИА на портале gosuslugi.ru допускаются все дееспособные граждане РФ, имеющие паспорт, ИНН, СНИЛС, мобильный телефон и адрес электронной почты. Согласно отчетам Ростелеком, в настоящее время (2020 год) учетную запись в ЕСИА имеет каждый второй житель России.

При оформлении документации через интернет граждане используют электронную подпись, которая позволяет идентифицировать их личность.

Как подписать файлы электронной подписью?

В ряде случаев, например при направлении документов в государственные органы, требуется подписать файл (doc или pdf) электронной подписью. Причём подпись должна быть выполнена в формате .sig. Для этого мы пробовали использовать 2 программы: КриптоАРМ и Контур.Крипто.

Скриншоты взяты из настроек сертификата в Windows, которые использует КриптоАРМ в своей работе.

КриптоАРМ бесплатная с ограничениями. Но связываться с ней не рекомендуем, так как программа достаточно требовательная в плане настроек и установок. Ей постоянно что-то не нравится, то ошибка в сертификате, то она не может подтвердить, что сертификат является квалифицированным и т.д. Проблема, на наш взгляд, в том, что она вынуждена использовать настройки Windows для своей работы, а они, по всей видимости, не всегда правильно устанавливаются.

Естественно, с такими настройками в системе, ничего нельзя подписать с помощью КриптоАРМ. При этом якобы “неквалифицированная” подпись успешно используется на веб-сайтах государственных органов, налоговой службе и т.д.

Контур.Крипто мы нашли после неуспешных попыток подписать файл с помощью КриптоАРМ. Эта программа работает в браузере и содержит очень простой интерфейс. Достаточно выбрать файл и выбрать подпись. Если браузер вашу подпись видит, то вы легко подпишите любой файл. После нажатия на кнопку “Подписать” в папке с файлом появляется файл с подписью в формате sig. Программа полностью бесплатная и стабильно работает. Рекомендуем к использованию.