Ультимативный гайд по электронным подписям от УЦ ITCOM

Дата: 01.12.2020. Автор: ITCOM. Категории: Главное по информационной безопасности, Статьи по информационной безопасности

Электронная подпись (ЭП) — удобный и функциональный инструмент, который в нашем онлайн-мире должен быть у каждого. Уникальный зашифрованный набор букв и цифр с успехом заменяет собственноручно поставленную подпись, позволяет осуществлять документооборот, взаимодействовать с государством, заключать сделки с недвижимостью и поступать в ВУЗы из любой точки мира, где есть доступ в интернет.

НЭП или КЭП?

Неквалифицированная электронная подпись (НЭП) подтверждает личность подписавшего документ и то, что файл не изменялся после отправки. Она менее защищена и ограничена по сферам применения, в отличие от квалифицированной подписи.

НЭП можно использовать во внутреннем документообороте, работать с ней на некоторых государственных площадках, даже участвовать в торгах (если использование подобной подписи позволяет конкретная электронная торговая площадка).

Но если владелец подписи хочет использовать НЭП во внешнем документообороте, ему придется согласовать это с контрагентом и специально прописать использование неквалифицированной подписи в договоре. И если контрагентов много — это не слишком удобно.

Чтобы получить полный функционал подписи, лучше заказать квалифицированную электронную подпись (КЭП) в аккредитованном Минцифры РФ удостоверяющем центре, таком как УЦ ITCOM. Документы, подписанные именно КЭП, без всяких оговорок законодательно приравниваются к оригиналам. 

Электронными подписями можно подписывать бухгалтерскую отчетность, договоры с подрядчиками, документы на куплю-продажу квартиры, официальные запросы в регулирующие органы, документы для торгов и многое другое.

Электронная подпись для бизнеса

Юридическим лицам электронная подпись пригодится для решения следующих задач: 

  1. Внутренний и внешний документооборот.
    Начиная с 2021 года, все предприниматели должны перейти на электронный документооборот, так что электронная подпись вскоре понадобится каждому владельцу ООО или индивидуальному предпринимателю. 
  2. Отправка отчетности в гос.органы. 
  3. Работа на различных государственных площадках и сервисах. 
  4. Участие в торгах по 44-ФЗ, 223-ФЗ, а также в торгах по банкротству. 

Электронная подпись для граждан

Даже если человек далек от бизнеса, электронная подпись способна значительно облегчить его жизнь. К тому же, использовать ЭП становится все проще и удобнее. Особенно теперь, когда подпись можно загрузить в «облако» и подписывать документы с помощью смартфона.

Например, любой гражданин может самостоятельно заказать неквалифицированную электронную подпись в личном кабинете налогоплательщика на сайте ФНС. Такая ЭП предоставляется бесплатно. Правда, действует она только в рамках ЛК. С помощью такой подписи можно удаленно сдать отчетность в налоговые органы, а также запросить необходимую официальную информацию. 

Квалифицированная электронная подпись может решить для физического лица следующие задачи: 

  1. Полный функционал Единого портала государственных услуг. С помощью подписи здесь можно встать на регистрацию, подать документы для получения паспорта или водительского удостоверения, отправить заявление на оформление материнского капитала и решить другие бытовые задачи с экономией времени, а иногда и денег. 
  2. Подача документов в ВУЗ. Крупные ВУЗы по всей стране предоставляют абитуриентам возможность подать документы на поступление дистанционно – для этого нужно отправить пакет документов, подписанных электронной подписью, через информационную систему университета или через специализированный портал. 
  3. Работа на удаленке. С помощью ЭП гораздо проще удаленно подписать рабочий договор, а значит список потенциальных работодателей значительно расширяется, ведь месторасположение работника и работодателя больше не проблема. 
  4. Купля-продажа недвижимости. Для того, чтобы использовать КЭП для сделок с недвижимостью, необходимо написать специальное заявление в Росреестр о своем согласии на сделки с недвижимостью с применением электронной подписи. Это условие введено для безопасности сделок и пресечения мошеннических схем с подделкой ЭП. 
  5. Участие в торгах по банкротству и по 223-ФЗ. В торгах по банкротству физлицо может приобрести недвижимость или авто по выгодной цене, а в коммерческих торгах физические лица допускаются к «простым» закупкам – это могут быть заявки на услуги переводчиков, корректоров или частных преподавателей. 
  6. Регистрация ИП и ООО.
  7. Регистрация патента. 

Дополнительные условия функционирования ЭП

Для комфортной и корректной работы электронной подписи необходимо приобрести два дополнительных компонента:

1. Криптопровайдер.

Криптопровайдеры – это специализированное ПО, которое позволяет осуществлять криптографические операции прямо в системе компьютера. Когда пользователь подписывает документ электронной подписью, программа помогает зашифровать информацию, для сохранения ее конфиденциальности. Иными словами, такое ПО обеспечивает безопасность передачи данных через интернет.

На рынке существует несколько ведущих производителей криптопровайдеров. Все их продукты соответствуют нормам ГОСТ и выполняют одинаковые функции. Так что каждый пользователь может сам определить, криптопровайдером какого производителя ему пользоваться. 

Чаще всего, криптопровайдер устанавливают на компьютер, с которого будет использоваться электронная подпись. Но существуют решения, когда ПО сразу встраивается в ЭП. Так заказчик получает полностью готовый комплект и может работать без привязки к конкретному компьютеру. Но в этом случае существует ограничение. Срок действия встроенной лицензии криптопровайдера обычно равен сроку действия электронной подписи, чаще всего этот срок равен 12 месяцам.

2. Носитель сертификата ЭП.

В первую очередь, здесь речь идет о безопасном хранении электронной подписи, исключении вариантов для ее компрометации и удобстве использования.
Некоторые клиенты устанавливают сертификат ЭП прямо в систему компьютера и пользуются браузерным расширением для подписи документов. Но такой вариант небезопасен и не слишком удобен. Во-первых, плохо защищенный компьютер можно взломать и воспользоваться подписью без ведома владельца. А во-вторых, такое решение ограничивает действие ЭП только одним устройством. Поэтому лучше записать сертификат на защищенный носитель. Самым распространенным из них на данный момент является обычный токен. Но есть и другие виды носителей, и каждый пользователь может выбрать наиболее удобный для себя вариант:

  • Токены самый распространенный вариант носителя. Внешне выглядит как обычная флешка с USB-разъёмом. За счет своей компактности и универсальности, подобную электронную подпись удобно брать с собой в офис или домой.
  • Смарт-карты это довольно специфический вид носителя. Выглядят они как плоская пластиковая карта. В отличие от токена, некоторые смарт-карты, с RFID-составляющей, требуют для подключения к компьютеру специального считывателя. Но, несмотря на подобную сложность, их используют крупные компании для выдачи сотрудникам. Смарт-карты изготавливаются под заказ, и могут совмещать в себе несколько технологий. Например, использоваться в качестве электронной подписи и пропуска в помещения, находящиеся под контролем СКУД, или допуска к компьютеру, вместо стандартной идентификации по логину и паролю. А смарт-карты с NFC технологиями предусматривают и возможность бесконтактного взаимодействия.
  • Облачная подпись в данном случае, по факту, у Вас на руках не будет никакого носителя. Сертификат загружается в “облако”, с которого пользователь “подтягивает” его в случае необходимости.

    В УЦ ITCOM данная технология реализуется следующим образом: сертификат ЭП загружается на удаленный сервер Удостоверяющего центра. И когда пользователю необходимо подписать документ, он обращается к “облаку” на защищенном сервере УЦ, подтверждает свою личность через мобильное приложение и подписывает необходимый документ. Подобная подпись обладает полной юридической силой, а сервер, на котором она хранится, хорошо защищен от атак. Данная технология основана на двух элементах: КриптоПро DSS 2.0 и КриптоПро HSM 2.0, которые поддерживают ГОСТ Р 34.10-2012.

Это современная и удобная технология, с которой пользователю не нужно волноваться о том, что носитель можно забыть, сломать или потерять. Электронная подпись в любой момент будет у него под рукой. Единственным минусом облачной подписи можно назвать то, что без доступа к интернету она не работает. 

Решения для корпоративных клиентов

Помимо индивидуальных выпусков электронных подписей, существуют ситуации, когда крупным организациям требуется массовый выпуск сертификатов ЭП для своих сотрудников и возможность контроля данных сертификатов. Для таких случаев существует 2 решения: выпуск ЭП с хранением в облаке или корпоративный УЦ.

Облачные подписи для организации

В том варианте решения, выпускается квалифицированная электронная подпись для руководителей организации и неквалифицированные подписи для сотрудников организации. Закрытая часть ключа хранится на сервере УЦ ITCOM, открытая устанавливается у владельца подписи.

Далее, облачное хранилище подключается к внутренней системе компании. Таким образом, сотрудники могут подписывать и отправлять документы внутри системы быстро, удобно и безопасно.

Подключая систему облачного хранилища корпоративным клиентам, УЦ ITCOM гарантирует конфиденциальность и безопасность данных — хранилище данных защищено с помощью криптографического модуля КриптоПро HSM. Он обеспечивает защиту класса КВ2, а это значит, что ключи защищены даже от администратора хранилища (в данном примере – УЦ ITCOM).

В то же время, пользователям доступен “Журнал применения”, в котором хранятся данные о подписании документов, а в случае ухода сотрудника из компании, сертификат ЭП можно легко отозвать. 

Корпоративный УЦ

Также существует вариант организации корпоративного УЦ. Для наглядности, рассмотрим схемы взаимодействия на примере работы УЦ ITCOM:

Первый, классический, вариант — это корпоративное обслуживание в доверенном УЦ. Компания понимает сколько ЭП им может потребоваться и обращается в Удостоверяющий центр. После подписания договора, Удостоверяющий центр будет выпускать сертификаты для компании по мере необходимости. Это хороший вариант, так как предполагает финансовую выгоду за массовый выпуск ЭП. К тому же, сертификаты, выпускаемые аккредитованным УЦ — квалифицированные (если заказчик, конечно, намеренно не запросил выпуск НЭП). А значит обладают полным функционалом для работы с внутренним и внешним документооборотом.

Вторая схема дороже и сложнее, но некоторые компании находят её оптимальной для себя. Специалисты компании рекомендуют оборудование и ПО, которое необходимо закупить заказчику, а также обучают ответственного сотрудника со стороны клиента. После обучения, сотрудники получают возможность подавать заявки на сертификаты ключей проверки ЭП через Сервис электронных подписей (СЭП), проходить проверку данных владельцев сертификатов в СМЭВ, управлять жизненным циклом сертификата или генерировать неквалифицированные сертификаты электронных подписей с ограниченным функционалом.

Если же заказчику необходим самостоятельный выпуск квалифицированных электронных подписей, ему придется потратить гораздо больше времени и денег на закупку оборудования и полноценную аккредитацию, которая позволит ему выпускать КЭП. А в свете грядущих изменений в законодательстве в сфере ЭП, подобные траты ресурсов могут оказаться бессмысленными.

Подытожим: если у вас крупная компания с большим количеством внутреннего документооборота, Вы можете выбрать вариант самостоятельной генерации неквалифицированных сертификатов ЭП. Нужно будет вложить деньги в обучение сотрудника и соответствующее ПО, но в итоге вы получите маленький неаккредитованный УЦ на базе вашей компании.

Если же нужен массовый выпуск квалифицированных подписей – такие случаи не редки, например, для поликлиник и медицинских центров, где врачи подписывают рецепты своими ЭП, лучшим вариантом станет заключение договора с аккредитованным УЦ на массовый выпуск КЭП.

Для самостоятельного выпуска квалифицированных электронных подписей на базе компании, необходимы вложения больших ресурсов, так как в этом случае необходимо пройти весь процесс аккредитации, закупить профессиональное оборудование и ПО.

Последние изменения в законодательстве

Основным регулирующим нормативно-правовым актом в области электронных подписей является Федеральный закон “Об электронной подписи” от 06.04.2011 N 63-ФЗ.

С 2020 года правила выдачи и использования ЭП претерпят ряд изменений.
Например, начиная с 1 июля 2020 года получить готовый сертификат электронной подписи может только владелец ЭП. Больше нельзя оформить доверенность на родственника или сотрудника (часть 1 статьи 18 Федерального закона № 63-ФЗ от 06.04.2011 г.).

Новые поправки к ФЗ-63 вводят новые требования к Удостоверяющим центрам (статья 16 Закона № 63-ФЗ). Поэтому в 2021 году их количество может значительно сократиться. Но время подготовиться к усложненным правилам ещё есть: получившие аккредитацию до вступления в силу закона № 476-ФЗ (он внес соответствующие поправки в ФЗ «Об электронной подписи»), могут продолжать выпуск квалифицированных электронных подписей до окончания срока действия текущей аккредитации, но не позднее чем до 1 июля 2021 года.

Также, начиная с 2021 года, УЦ смогут хранить и использовать ключ электронной подписи по поручению его владельца. Это возвращает нас к теме “облачной” электронной подписи, которая в следующем году может получить большое распространение.

Самые крупные изменения в работе УЦ ожидаются с 2022 года. Например, от организации получить подпись сможет только ее руководитель. Если сотруднику будет нужна электронная подпись, ему придется обратиться в УЦ как физическому лицу, и при работе подтверждать свои действия дополнительно, с помощью электронной доверенности. Как точно будет работать данная механика, на сегодняшний день не совсем понятно. 

И самое крупное изменение — роль удостоверяющих центров для руководителей организаций и ИП с 1 января 2022 года возьмут на себя Казначейство, ФНС и ЦБ РФ.

Руководители кредитных организаций должны будут получать ЭП только в Центральном банке Российской Федерации, руководители органов государственной власти – в Федеральном Казначействе, руководители коммерческих предприятий и индивидуальные предприниматели — в Федеральной налоговой службе.

Сотрудники организаций и физические лица как и раньше, могут пользоваться услугами аккредитованного Удостоверяющего центра.

Пока что Удостоверяющие центры ждут итоговых законопроектов и их толкований от юристов. Ситуация на рынке электронных подписей в ближайшее время может сильно поменяться, а новый “порог допуска” возможно преодолеют не все организации.

Нововведения в законодательстве сильно изменят рынок УЦ. Перестроится под ужесточенные требования к капиталу УЦ и аккредитации смогут только самые сильные и надежные компании. Поэтому количество удостоверяющих центров уменьшится на порядок.

Ужесточение требований направлено на прекращение работы недобросовестных компаний и создания максимально защищенной и надежной схемы электронного заверения документов.

Если данная инициатива сработает, как и было задумано, электронные подписи станут ещё более востребованы, усилится распространение электронного документооборота и у граждан увеличится кредит доверия к электронным версиям привычных в бумажном виде документов.

Мы, в Удостоверяющем центре ITCOM готовы к изменениям и продолжению работы. Деятельность компании аккредитована Минцифры и лицензирована ФСТЭК и ФСБ. И даже с учетом ужесточения требований уверенно строим планы развития на ближайшие годы.

Если у вас после прочтения статьи остались вопросы по сфере ЭП, функционированию корпоративных и облачных решений — вы всегда можете позвонить в наш Удостоверяющий центр. Будем рады ответить на все вопросы.

Автор статьи:
Денис Кунинг,
технический директор Удостоверяющего центра ITCOM

Если вы нашли ошибку, пожалуйста, выделите фрагмент текста и нажмите Ctrl+Enter.

Поделиться ссылкой

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *