• Журнал «Делопроизводство и документооборот на предприятии» июль 2019
  • Рубрика Информационные технологии

Как грамотно использовать электронную подпись

  • 0 комментариев
  • 644 просмотра
Полистать демо-версию печатного журнала
Вы поймете разницу между усиленной квалифицированной и неквалифицированной электронной подписью (ЭП), между ЭП юрлица (фактически должностного лица) и физлица, а также узнаете о планах появления нового вида ЭП. Как получателю электронного документа проверить его целостность и аутентичность, поняв, каким видом ЭП он подписан. Рассказано не только о том, как получается ЭП в удостоверяющем центре, но и как ее грамотно отозвать, чтобы после увольнения работника без его ведома организация не смогла далее подписывать документы его ЭП либо без ведома работодателя бывший работник этого не сделал. Для чего обычно мошенники используют ЭП организации. Что предпринять, чтобы это предотвратить.



Какие виды электронных подписей бывают? Ведь есть разница по возможностям использования и по обладателям.

— Законом предусмотрены 3 типа электронной подписи:

1) простая,

2) усиленная неквалифицированная и

3) усиленная квалифицированная.

Простая электронная подпись (ПЭП) создается без криптографии, только средствами той информационной системы, в которой ее используют. ПЭП чаще всего применяется при банковских операциях, для аутентификации в информационных системах, для получения госуслуг, для заверения документов внутри корпоративной системы электронного документооборота (ЭДО).

Например, онлайн-банк может установить, что простая электронная подпись клиента – это код, который банк присылает клиенту на СМС для подтверждения операции. Номер телефона, на который присылают код, принадлежит физлицу, то есть ПЭП подтверждает, что действие совершает конкретный человек.

Два остальных вида подписи – усиленные: неквалифицированная электронная подпись (НЭП) и квалифицированная электронная подпись (КЭП).

Чем они похожи:

1. Технология подписания основана на сложном криптографическом алгоритме с применением открытого и закрытого ключей электронной подписи:

  • закрытый ключ хранится на специальном ключевом носителе (токене) с пин-кодом или в компьютере пользователя. Он известен только владельцу подписи. С помощью закрытого ключа владелец генерирует электронную подпись, которой подписывает каждый отдельный документ;
  • открытый ключ доступен всем, с кем его обладатель ведет электронный документооборот (ЭДО), и предназначен для проверки подлинности ЭП;
  • эти ключи однозначно связаны друг с другом, но благодаря асимметричному шифрованию невозможно подобрать закрытый ключ, зная открытый.

2. Усиленная подпись (и КЭП, и НЭП) подтверждает, что документ подписал конкретный человек и после этого документ не меняли.

Но между КЭП и НЭП есть и отличия:

Таблица 1

Отличия квалифицированной и неквалифицированной усиленных электронных подписей

Свернуть Показать
Критерий Особенности
квалифицированной ЭП неквалифицированной НЭП
Где получить? Выдавать КЭП может только удостоверяющий центр (УЦ), который аккредитован Минкомсвязи России Любая организация может создать свой УЦ, если готова выполнить требования, которые устанавливает для УЦ государство, но иметь аккредитацию Минкомсвязи она не обязана
Структура сертификата (какая информация в нем должна быть отражена) Структура квалифицированного сертификата определена приказом ФСБ России от 27.12.2011 № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи».
Например, в КЭП физлиц указаны фамилия, имя и отчество его владельца, город проживания, а также ИНН и СНИЛС (эти сведения обязательны)
Требования к структуре неквалифицированного сертификата не установлены в Федеральном законе от 06.04.2011 № 63-ФЗ «Об электронной подписи»1. При использовании НЭП сертификат вообще можно не создавать.
Например, организация может установить, что в структуре неквалифицированного сертификата, который выдается сотрудникам, должно быть поле «Женат / замужем». Тогда чтобы получить неквалифицированную подпись, нужно принести свидетельство о заключении брака.
С КЭП такое невозможно. Состав полей регулирует государство
Где используется? КЭП нужна, чтобы сдавать отчетность в контролирующие органы, участвовать в качестве поставщика и заказчика в электронных госзакупках, работать с государственными информационными системами, обмениваться формализованными документами с ФНС, вести электронный документооборот внутри компании или с ее внешними контрагентами без заключения дополнительных соглашений.
КЭП – это подпись, которая придает документам юридическую силу без дополнительных условий. Если организации ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно ФЗ «Об электронной подписи»
Можно использовать на электронных торговых площадках, для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом и подписали соглашение, в котором признают, что НЭП придает подписанным документам юридическую силу.
Например, если у сторон возникнут какие-то разногласия, которые они захотят решать в суде, вместе с подписанными договорами между собой они должны принести это соглашение. Без него все договоры будут признаны недействительными.
Крупнейший оператор, который использует НЭП – ФНС России. Каждый пользователь сайта nalog.ru может получить НЭП, чтобы вести электронный документооборот с налоговой. Но такая подпись имеет юридическую силу только при взаимодействии с налоговой

По обладателю усиленная квалифицированная ЭП подразделяется на:

1. КЭП физлица. Если электронная подпись выдается на физлицо, в сертификате указаны фамилия, имя и отчество его владельца, город проживания, а также ИНН и СНИЛС. Чтобы увидеть эти данные, можно открыть сертификат через средство криптозащиты – программу КриптоПро CSP (она устанавливается на каждом компьютере или носителе сертификата, см. Рисунок 2) или панель управления Рутокен (если тип носителя Рутокен, см. Рисунок 1).

Рисунок 1

Открываем сертификат через КриптоПро CSP и через панель управления Рутокен

Свернуть Показать
Открываем сертификат через КриптоПро CSP и через панель управления Рутокен
Рисунок 2

КЭП физлица открыта в КриптоПро CSP

Свернуть Показать
КЭП физлица открыта в КриптоПро CSP

С сертификатом квалифицированной ЭП физлицо может работать с порталами ФНС и Госуслуги, регистрировать ИП или недвижимость, подавать заявление на загранпаспорт или документы для поступления в вуз и многое другое.

2. КЭП юрлица. Если сертификат КЭП выдается на юрлицо, то в нем должны быть указаны:

  • наименование, местонахождение, ИНН и ОГРН компании, а также
  • Ф.И.О. и СНИЛС физлица, которое владеет этой подписью (руководитель или лицо, действующее от имени компании по доверенности). Дополнительно может быть указана должность физлица.

Чтобы увидеть эти данные, нужно открыть сертификат подписи в КриптоПро CSP (Рисунок 3).

Рисунок 3

КЭП юрлица, оформленная на гендиректора, открыта в КриптоПро CSP

Свернуть Показать
КЭП юрлица, оформленная на гендиректора, открыта в КриптоПро CSP

С квалифицированной электронной подписью юрлица можно от имени организации участвовать в электронных торгах, сдавать отчетность в электронном виде, взаимодействовать с госорганами онлайн и подписывать документы.

Но тут нужно учесть один важный нюанс. Как видите, существующая ЭП юрлица фактически привязана к определенному физлицу – ее обладателю.

Сейчас прорабатывается возможность выдачи ЭП организации без ее привязки к физлицу. Такие планы активно обсуждались в марте 2019 года. Они были в одном из проектов изменений в ФЗ «Об электронной подписи». Представители Удостоверяющего центра СКБ Контур участвовали в работе экспертной группы, анализирующей законопроект.

Согласно проекту подписывать документы от имени организации можно было подписью:

  • юрлица (ей владеет руководитель организации, но его Ф.И.О. не указаны в сертификате подписи) или
  • подписью физлица с доверенностью в электронном виде.

В таком проекте было несколько проблем, в том числе:

  • полномочия выступать от имени юрлица невозможно извлечь из подписи физлица (в ней указаны только Ф.И.О.). Обязательно нужно открыть доверенность и проверить ее подлинность. А значит, нужно пересмотреть все существующие механизмы проверки ЭП во всех информационных системах страны – на это потребуются миллиарды рублей;
  • не проработан механизм отзыва полномочий владельца сертификата. Что делать, если полномочия руководителя организации прекратились? Отзывать сертификат всего юрлица нельзя – ведь оно действует, только с новым руководителем. Что делать, если полномочия человека, работавшего по доверенности, прекратились? Отозвать доверенность нельзя – это просто файл. Отозвать его сертификат физлица тоже нельзя – он ведь не перестал быть физлицом.

В итоге этот проект отправили на доработку из-за недовольства со стороны бизнес-сообщества.

— Как получателю электронного документа, подписанного ЭП, проверить целостность и аутентичность – что после подписания документ никто не редактировал, что на момент подписания подпись была действительна?

— С помощью специальных программ или веб-сервисов для шифрования электронных документов, например Контур.Крипто.

Также проверить подпись и подписанный электронный документ можно через Госуслуги.

Пример 4

Проверка подписи и электронного документа на портале госуслуг

Свернуть Показать
Проверка подписи и электронного документа на портале госуслуг

— Может ли аккредитованный удостоверяющий центр выдавать не только квалифицированные, но и неквалифицированные подписи? На каких условиях?

— Да, может. Ограничений по выдаче НЭП для аккредитованных удостоверяющих центров (УЦ) нет. Они могут выдавать и НЭП, и КЭП.

Ограничение есть для неаккредитованных УЦ. Они могут выдавать только НЭПы.

Однако аккредитованные УЦ сейчас нечасто выдают НЭП. Да и у большинства организаций и физлиц пропал к ним интерес, потому что почти все внешние площадки используют КЭП. Например, спрос на НЭП сильно упал в 2018 году, когда госзакупки, ранее проходившие только с использованием НЭП, полностью перешли на КЭП.

Есть 2 ситуации, когда УЦ выдают НЭП:

  • для использования во внутреннем документообороте компании (НЭП выдаются ее сотрудникам);
  • для международных компаний, которые ведут электронный документооборот с российскими организациями. НЭП нужны иностранным компаниям, т.к. они не зарегистрированы в РФ и не могут получить КЭП.

— Как простому обывателю потом отличить квалифицированную ЭП, выданную УЦ, от неквалифицированной?

— Для проверки КЭП можно использовать внешние ресурсы, например, сервис подтверждения подлинности сертификата ЭП на портале Госуслуг (https://www.gosuslugi.ru/pgu/eds).

Есть несколько признаков, которые отличают сертификат КЭП и НЭП. Чтобы их увидеть, нужно открыть сертификат в программе КриптоПро CSP или через панель управления Рутокен (если у вас носитель Рутокен).

Признаки КЭП:

  • выдан аккредитованным УЦ и
  • все поля в сертификате соответствуют требованиям ФСБ (приказ ФСБ РФ от 27.12.2011 № 795).

На практике вы поймете, что у вас КЭП, когда попробуете работать с порталами или системами, которые требуют именно квалифицированную подпись: площадки закупок, портал Госуслуг, Система межведомственного взаимодействия (СМЭВ) и другие. Если вы попробуете зайти на эти площадки через НЭП, вам откажут во входе.

— Какие документы надо подавать в УЦ для получения квалифицированной ЭП на должностное лицо организации? Кто это может делать?

— Уточню, что ЭП выдается на уполномоченное лицо, не обязательно это должен быть сотрудник организации.

Юрлицам для получения квалифицированного сертификата ЭП потребуются:

  • паспорт будущего владельца сертификата;
  • СНИЛС;
  • заявление на выдачу сертификата подписи, подписанное будущим владельцем;
  • доверенность, если сертификат получает не сам заявитель, а курьер;
  • доверенность от имени руководителя (если ЭП получает уполномоченное лицо);
  • доверенность на право подписи (если ЭП получает уполномоченное лицо и оно пишет заявление на выдачу от имени юрлица);

Это минимальный список документов, который может расшириться в зависимости от типа организации, достоверности ее данных в выписке ЕГРЮЛ и типа получаемой подписи. За полным списком лучше обратиться в УЦ. Предварительно узнать список необходимых вам документов можно на сайте удостоверяющего центра (например, мы на своем сайте его выводим после того, как пользователь выберет, какой сертификат ЭП он хочет получить).

— Кому и что выдает удостоверяющий центр, чтобы у должностного лица организации появилась своя квалифицированная подпись?

— На самом деле пользователь всегда получает не саму ЭП, а инструмент для ее создания. Этот инструмент отличается в зависимости от вида ЭП.

В случае с усиленной КЭП инструментом являются сертификат электронной подписи (закрытый и открытый ключ, сведения о владельце). Именно его можно получить в УЦ. Сертификат может быть записан на токен (устройство в виде USB-флешки) в офисе УЦ, либо человек самостоятельно может записать их через личный кабинет УЦ на токен или свой компьютер.

— Как грамотно отозвать ЭП при увольнении этого уполномоченного лица, чтобы без ведома человека его подписью потом документы не подписывали в организации, а также без ведома организации бывший работник этого не смог сделать? Кто должен отзывать? Как проверить, что это сделано?

— Мы рекомендуем действовать следующим образом. Кадровая служба или другое подразделение компании, которое участвует в увольнении сотрудников, отслеживает, получал ли сотрудник электронную подпись организации. Если получал, то отозвать сертификат можно двумя способами:

  • владелец сертификата – уволившийся сотрудник сам обращается в УЦ, чтобы отозвать сертификат. Работодатель сможет узнать, что сертификат отозван, на сайте УЦ в списке отозванных сертификатов. Информация о том, что подпись отозвана, появится в этом списке в течение суток;
  • если бывший сотрудник не хочет сам обращаться в УЦ и отзывать сертификат, сделать это может его руководитель или другое лицо, уполномоченное представлять интересы компании в УЦ.

— С какими проблемами в использовании ЭП сталкивался ваш удостоверяющий центр, разработчики системы электронного документооборота и служба ее поддержки? Как грамотно минимизировать эти проблемы или даже предотвратить полностью – дайте, пожалуйста, практические советы физлицам и организациям.

— Проблемы с использованием ЭП возникают в том случае, если она оказалась в руках не своего законного владельца. Если это подпись физлица, то злоумышленники могут подписать любые документы от его имени, оформить сделки по продаже недвижимости. С подписью юрлица злоумышленники могут возместить НДС организации, ликвидировать компанию или вывести из нее средства.

Чтобы предотвратить ситуации мошенничества с электронной подписью, придерживайтесь следующих правил:

1. Владелец сертификата ЭП не должен передавать закрытый ключ электронной подписи или его копию другим лицам. Это правило чаще всего нарушается в отношении подписи руководителей компаний. Но носитель, на который записан сертификат ЭП, нельзя передавать даже заместителю, бухгалтеру или самому добросовестному сотруднику. Возможно, вам удастся установить виновника произошедшего, но ответственность за его действия понесете вы.

2. Соблюдайте гигиену рабочего места – нужно обеспечить информационную безопасность компьютера, на котором будут использовать электронную подпись. Это необходимо, чтобы злоумышленники не могли получить закрытый ключ ЭП через компьютер. В частности, нужно установить надежный пин-код на носитель ЭП, антивирус, не запускать программы из непроверенных источников. Эти требования указаны в памятке, которую выдают УЦ.

3. Отслеживайте изменения полномочий сотрудников, владеющих подписями:

  • для уволенных работников – отзывать подписи;
  • для сотрудников, у которых изменились полномочия – отзывать сертификат или закрывать / открывать им доступ в системы, в которых они лишились / приобрели полномочия.

4. Снижайте возможность мошенничать с вашими бумажными документами. Например, скан копии паспорта руководителя не должен быть доступен третьим лицам. Если его получат мошенники, они смогут выпустить поддельную доверенность и получить ЭП на имя руководителя, сотрудника или юрлицо.

5. Кроме того, целесообразно регулярно сверяться с бюджетом в части уплаты налогов, чтобы неверные данные можно было быстро заметить.

Что делать, если документы вашей организации кто-то подписал без вашего ведома:

1. Выясните, каким сертификатом ЭП подписан документ и кто владелец сертификата. Если документ находится в госоргане или на площадке – обратитесь к ним. Если документ вам доступен – самостоятельно откройте сертификат ЭП.

2. Узнайте, по каким документам выдан сертификат ЭП. Для этого обратитесь в УЦ, который выдал подпись (данные УЦ будут указаны в сертификате). Мошенник мог подделать ваши документы, чтобы получить по ним сертификат. В таком случае УЦ сразу же заблокирует сертификат подписи.

3. Обратитесь в правоохранительные органы. Это можно сделать сразу после того, как вы поняли, что стали жертвой мошенников. Так появится шанс найти виновников, привлечь их к ответственности и взыскать ущерб. Помните, что при электронном документообороте поймать мошенника, который подделал электронную подпись, проще, чем при использовании бумажных документов и рукописной подписи.

Замечу, что мошенничество с электронной подписью существует не на электронном, а на бумажном уровне. Технология создания электронных документов надежна – Удостоверяющий центр СКБ Контур за 16 лет работы не зафиксировал ни одного случая их подделки. А вот бумажные документы легко подделать, постоянно изобретаются новые способы. Необходимо совершенствовать закон, чтобы у мошенников, подделывающих бумажные документы, не было возможности получить ЭП.

Поэтому СКБ Контур вместе с другими участниками процесса – Министерством цифрового развития, массовых коммуникаций и связи России и Советом Федерации РФ – последовательно выступает за ужесточение на законодательном уровне требований к проверке заявителей.

Сейчас Совфедом разработан законопроект, который, в частности, вводит усиленные требования по идентификации и проверке полномочий лиц, получающих электронную подпись, а также существенно увеличивает ответственность удостоверяющих центров. Также законопроект предусматривает, что любой человек сможет следить за выданными на его имя электронными подписями через единый реестр выданных сертификатов электронной подписи. Проверить, какие сертификаты выданы вам или по доверенности на ваше имя, можно будет в личном кабинете на портале Госуслуг. Если в реестре будут подписи, которые вы не получали, то вы сможете обратиться с жалобой в Минкомсвязи России или УЦ, который выдал эту подпись.

См. статью «Использование усиленной квалифицированной электронной подписи без ведома владельца: проблемы и их причины» журнала № 7’ 2019
См. статью «Особенности заключения договора по электронной почте» журнала № 7’ 2019
См. статью «Мифы о договорах, от которых надо избавиться» журнала № 7’ 2019

Беседовала Наталия Сараева


Сноски

Показать
Бесплатно 1 номер журнала
на
Электронная подписка за 8400 руб. Печатная версия за YYY руб.


Нет комментариев
Свернуть форму комментария Комментировать

  • Добавить
Закрыть
Закрыть

  • Отправить
Закрыть

Подписка


на журналы

Вниманию тех, кто оформил подписку через ООО «Межрегиональное агентство подписки» (ООО «МАП»): важная информация для вас размещена здесь.

Все поля обязательны.
Закрыть

Задать вопрос для интервью
  • Отправить
9 Мая – Всероссийский праздник День победы.