Как создать электронную подпись для сайта школы
Обновлено: 06.07.2024
Оговорюсь сразу — я почти дилетант в вопросах, связанных с электронной цифровой подписью (ЭЦП). Недавно, движимый естественным любопытством, я решил немного разобраться в этом и нашел в Интернете 100500 статей на тему получения сертификатов ЭЦП в различных удостоверяющих центрах, а также многочисленные инструкции по использованию различных готовых приложений для подписания документов. Кое-где при этом вскользь упоминалось, что неквалифицированную подпись можно изготовить самостоятельно, если воспользоваться услугами «опытного программиста».
Мне тоже захотелось стать хоть немного «опытным» и разобраться в этой кухне изнутри. Для интереса я научился генерировать PGP-ключи, подписывать документы неквалифицированной подписью и проверять ее достоверность. Понимая, что никакой Америки не открыто, я, тем не менее, предлагаю этот краткий туториал для таких же, как и я, дилетантов в вопросах работы с ЭЦП. Я постарался особо не углубляться в теорию и в детали, а написать именно небольшое и краткое введение в вопрос. Тем, кто уже работает с ЭЦП, это вряд ли будет интересно, а вот новичкам, для первого знакомства — в самый раз.
Что такое электронная подпись
Все термины и определения приведены в законе, поэтому изложим всё, как говорится, своими словами, не претендуя при этом на абсолютную юридическую точность формулировок.
Электронная цифровая подпись (ЭЦП) — это совокупность средств, позволяющих однозначно удостовериться в том, что автором документа (или исполнителем какого-то действия) является именно то лицо, которое называет себя автором. В этом смысле ЭЦП полностью аналогична традиционной подписи: если в обычном «бумажном» документе указано, что его автор Иванов, а внизу стоит подпись Петрова, вы справедливо можете усомниться в авторстве Иванова.
Электронная подпись бывает простая и усиленная. Простая подпись не предполагает использование стандартных криптографических алгоритмов; все способы аутентификации (установления авторства), которые были придуманы до эпохи ЭЦП — это по сути и есть простая электронная подпись. Если вы, например, зарегистрировались на сайте госуслуг, удостоверили свою личность путем явки в многофункциональный центр, а затем направляете через этот сайт обращения в различные государственные органы, то ваши логин и пароль от сайта госуслуг и будут в данном случае вашей простой электронной подписью.
Мне однажды встречался такой способ удостоверения подлинности электронных документов в одной организации: перед рассылкой документа изготавливался его хэш и подписывался в базу хэшей (обычный текстовый файл, лежащий на сервере). Далее любой желающий удостовериться в подлинности электронного документа заходил на официальный сайт этой организации (в официальности которого ни у кого сомнений не возникало) и с помощью специального сервиса проверял, содержится ли хэш проверяемого документа в базе. Замечательно при этом, что сам документ даже не нужно было загружать на сервер: хэш можно вычислить на клиентской стороне в браузере, а на сервер послать только маленький fetch- или ajax-запрос с этим хэшем. Безусловно, этот немудрёный способ можно с полным основанием назвать простой ЭЦП: подписью в данном случае является именно хэш документа, размещенный в базе организации.
Поговорим теперь об усиленной электронной подписи. Она предполагает использование стандартных криптографических алгоритмов; впрочем, таких алгоритмов существует достаточно много, так что и здесь единого стандарта нет. Тем не менее де-факто усиленная ЭЦП обычно основана на асимметричном шифровании (абсолютно гениальном, на мой взгляд, изобретении Ральфа Меркла), идея которого чрезвычайно проста: для шифрования и расшифровывания используются два разных ключа. Эти два ключа всегда генерируются парой; один называется открытым ключом (public key), а второй — секретным ключом (private key). При этом, имея один из двух ключей, второй ключ воспроизвести за разумное время невозможно.
Представим себе, что Аня хочет послать Боре (почему в литературе по криптографии обычно фигурируют Алиса и Боб? пусть будут Аня и Боря) секретную посылочку, закрытую на висячий замочек, и при этом на почте работают злые люди, которые хотят эту посылочку вскрыть. Других каналов связи, кроме почты, у Ани и Бори нет, так что ключ от замочка Аня передать Боре никак не может. Если она пошлет ключ по почте, то злые люди его, конечно, перехватят и вскроют посылочку.
Ситуация кардинально меняется, если изобретен замок с двумя ключами: один только для закрывания, а второй — только для открывания. Боря генерирует себе пару таких ключей (открытый и секретный) и открытый ключ шлет по почте Ане. Работники почты, конечно, потирая руки, делают себе копию этого ключа, но не тут-то было! Аня закрывает замок на посылке открытым ключом Бори и смело идет на почту. Работники почты вскрыть посылку открытым ключом не могут (он использовался для закрывания), а Боря спокойно открывает ее своим секретным ключом, который он бережно хранил у себя и никуда не пересылал.
Вернемся к усиленной электронной подписи. Предположим, некий Иван Иванович Иванов захотел подписать документ с помощью ЭЦП. Он генерирует себе два ключа: открытый и секретный. После этого изготавливает (стандартным способом) хэш документа и шифрует его с использованием своего секретного ключа. Можно, конечно, было зашифровать и весь документ, но полученный в результате такого шифрования файл может оказаться очень большим, поэтому шифруется именно небольшой по размеру хэш.
Полученный в результате такого шифрования файл и будет являться усиленной электронной подписью. Её еще называют отсоединенной (detach), так как она хранится в отдельном от документа файле. Такой вариант удобен тем, что подписанный отсоединенной ЭЦП файл можно спокойно прочитать без какой-либо расшифровки.
Что же теперь отправляет Иван Иванович получателям? А отправляет он три файла: сам документ, его электронную подпись и открытый ключ. Получатель документа:
- изготавливает его хэш с помощью стандартного алгоритма;
- расшифровывает электронную подпись, используя имеющийся у него открытый ключ Ивана Ивановича;
- убеждается, что хэш совпадает с тем, что указан в расшифрованной электронной подписи (то есть документ не был подменен или отредактирован). Вуаля!
Всё, казалось бы, хорошо, но есть одно большое «но». Предположим, что некий злодей по фамилии Плохиш решил прикинуться Ивановым и рассылать документы от его имени. Ничто не мешает Плохишу сгенерировать два ключа, изготовить с помощью секретного ключа электронную подпись документа и послать это всё получателю, назвавшись Ивановым. Именно поэтому описанная выше ЭЦП называется усиленной неквалифицированной: невозможно достоверно установить, кому принадлежит открытый ключ. Его с одинаковым успехом мог сгенерировать как Иванов, так и Плохиш.
Из этой коллизии существует два выхода. Первый, самый простой, заключается в том, что Иванов может разместить свой открытый ключ на своем персональном сайте (или на официальном сайте организации, где он работает). Если подлинность сайта не вызывает сомнений (а это отдельная проблема), то и принадлежность открытого ключа Иванову сомнений не вызовет. Более того, на сайте можно даже разметить не сам ключ, а его отпечаток (fingerprint), то есть, попросту говоря, хэш открытого ключа. Любой, кто сомневается в авторстве Иванова, может сверить отпечаток ключа, полученного от Иванова, с тем отпечатком, что опубликован на его персональном сайте. В конце концов, отпечаток можно просто продиктовать по телефону (обычно это 40 шестнадцатеричных цифр).
Второй выход, стандартный, состоит в том, что открытый ключ Иванова тоже должен быть подписан электронной подписью — того, кому все доверяют. И здесь мы приходим к понятию усиленной квалифицированной электронной подписи. Смысл ее очень прост: Иванов идет в специальный аккредитованный удостоверяющий центр, который подписывает открытый ключ Иванова своей электронной подписью (присоединив предварительно к ключу Иванова его персональные данные). То, что получилось, называется сертификатом открытого ключа Иванова.
Теперь любой сомневающийся может проверить подлинность открытого ключа Иванова с помощью любого из многочисленных сервисов Интернета, то есть расшифровать его сертификат (онлайн, с помощью открытого ключа удостоверяющего центра) и убедиться, что ключ принадлежит именно Иванову. Более того, Иванову теперь достаточно послать своим корреспондентам только сам документ и его отсоединенную подпись (содержащую и сведения о сертификате): все необходимые проверки будут сделаны желающими онлайн.
Справедливости ради необходимо отметить, что и неквалифицированная ЭЦП может быть сертифицирована: никто не мешает какому-то третьему лицу (например, неаккредитованному удостоверяющему центру) подписать открытый ключ Иванова своей ЭЦП и получить таким образом сертификат открытого ключа. Правда, если удостоверяющий центр не аккредитован, степень доверия к подписи Иванова будет полностью зависеть от степени доверия к этому центру.
Всё замечательно, да вот только услуги удостоверяющих центров по изготовлению для вас подписанных (снабженных сертификатом центра) ключей стоят денег (обычно несколько тысяч рублей в год). Поэтому ниже мы рассмотрим, как можно самостоятельно изготовить усиленную ЭЦП (неквалифицированную, не снабженную сертификатом открытого ключа от аккредитованного удостоверяющего центра). Юридической силы (например, в суде) такая подпись иметь не будет, так как принадлежность открытого ключа именно вам никем не подтверждена, но для повседневной переписки деловых партнеров или для документооборота внутри организации эту подпись вполне можно использовать.
Генерирование открытого и секретного ключей
Итак, вы решили самостоятельно изготовить усиленную неквалифицированную электронную подпись и научиться подписывать ею свои документы. Начать необходимо, конечно, с генерирования пары ключей, открытого (public key) и секретного (private key).
Существует множество стандартов и алгоритмов асимметричного шифрования. Одной из библиотек, реализующих эти алгоритмы, является PGP (Pretty Good Privacy). Она была выпущена в 1991 году под проприетарной лицензией, поэтому имеются полностью совместимые с ней свободные библиотеки (например, OpenPGP). Одной из таких свободных библиотек является выпущенная в 1999 году GNU Privacy Guard (GnuPG, или GPG). Утилита GPG традиционно входит в состав почти всех дистрибутивов Линукса; для работы из-под Windows необходимо установить, например, gpg4win. Ниже будет описана работа из-под Линукса.
Сначала сгенерируем собственно ключи, подав (из-под обычного юзера, не из-под root'а) команду
В процессе генерирования вам будет предложено ответить на ряд вопросов:
- тип ключей можно оставить «RSA и RSA (по умолчанию)»;
- длину ключа можно оставить по умолчанию, но вполне достаточно и 2048 бит;
- в качестве срока действия ключа для личного использования можно выбрать «не ограничен»;
- в качестве идентификатора пользователя можно указать свои фамилию, имя и отчество, например, Иван Иванович Иванов ; адрес электронной почты можно не указывать;
- в качестве примечания можно указать город, либо иную дополнительную информацию.
После ввода вами всех запрошенных данных утилита GPG попросит вас указать пароль, необходимый для доступа к секретному ключу. Дело в том, что сгененрированный секретный ключ будет храниться на вашем компьютере, что небезопасно, поэтому GPG дополнительно защищает его паролем. Таким образом, не знающий пароля злоумышленник, даже если и получит доступ к вашему компьютеру, подписать документы от вашего имени не сможет.
Сгенерированные ключи (во всяком случае, открытый, но можно также и секретный, на тот случай, если ваш компьютер внезапно сломается) необходимо экспортировать в текстовый формат:
Понятно, что private.key вы должны хранить в секрете, а вот public.key вы можете открыто публиковать и рассылать всем желающим.
Подписание документа
Нет ничего проще, чем создать отсоединенную ЭЦП в текстовом (ASCII) формате:
Файл с подписью будет создан в той же папке, где находится подписываемый файл и будет иметь расширение asc . Если, например, вы подписали файл privet.doc , то файл подписи будет иметь имя privet.doc.asc . Можно, следуя традиции, переименовать его в privet.sig , хотя это непринципиально.
Если вам не хочется каждый раз заходить в терминал и вводить руками имя подписываемого файла с полным путем, можно написать простейшую графическую утилиту для подписания документов, например, такую:
Проверка подписи
Вряд ли, конечно, вам самому придется проверять достоверность собственной электронной подписи, но если вдруг (на всякий случай) вам захочется это сделать, то нет ничего проще:
В реальности гораздо полезнее опубликовать где-нибудь в открытом доступе (например, на вашем персональном сайте или на сайте вашей организации):
- открытый ключ public.key для того, чтобы все желающие могли проверить (верифицировать) вашу подпись с использованием, например, той же GPG;
- веб-интерфейс для проверки вашей подписи всеми желающими, не являющимися специалистами.
Описанию такого веб-интерфейса (причем без использования серверных технологий, с проверкой подписи исключительно на клиентской стороне) и будет посвящена последняя часть моего краткого туториала.
К счастью для нас, имеется свободная библиотека OpenPGP.js; скачиваем самый маленький по размеру (на момент написания данного туториала — 506 КБ) файл dist/lightweight/openpgp.min.js и пишем несложную html-страничку (для упрощения восприятия я удалил все описания стилей и очевидные meta-тэги):
Понятно, что файл с открытым ключом public.key и файл библиотеки openpgp.min.js должны лежать в той же папке, что и эта страничка.
Вся работа по верификации подписей будет производиться подключенным скриптом validate.js :
Вот, собственно, и всё. Теперь вы можете в соответствии с пунктом 5.23 ГОСТ 7.0.97–2016 разместить на документе (в том месте, где должна стоять собственноручная подпись) вот такую красивую картинку:
Главная > Консультации > Правовое обеспечение > Как выполнить новые требования к сайту и не сойти с ума? О простой электронной цифровой подписи и электронном документе на официальном сайте образовательной организации
Как выполнить новые требования к сайту и не сойти с ума? О простой электронной цифровой подписи и электронном документе на официальном сайте образовательной организацииИзвестно, что с 1 января 2021 года в рамках «регуляторной гильотины» вступили в силу «новые-старые» (обновлённые) нормативно-правовые акты РФ, которые регулируют, устанавливают какие-либо требования, нормативы.
«Регуляторная гильотина» — это инструмент масштабного пересмотра и отмены нормативных правовых актов, негативно влияющих на общий бизнес-климат и регуляторную среду.
Целью реализации «регуляторной гильотины» является тотальный пересмотр обязательных требований, в соответствии с которым нормативные акты и содержащиеся в них обязательные требования должны быть пересмотрены с широким участием предпринимательского и экспертного сообществ.
Задача этого «страшного» инструмента — создание в сферах регулирования новой системы понятных и чётких требований к хозяйствующим субъектам, снятие избыточной административной нагрузки на субъекты предпринимательской деятельности, снижение рисков причинения вреда (ущерба) охраняемым ценностям.
Какие же изменения в этой связи коснулись официальных сайтов образовательных организаций?
Для начала надо сказать, что ранее применяемый приказ Рособрнадзора от 29.05.2014 № 785 «Об утверждении требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети „Интернет“ и формату представления на нем информации» утратил свою силу 1 января 2021 года.
На смену пришёл документ — приказ Рособрнадзора от 14.08.2020 № 831 «Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети „Интернет“ и формату представления информации» (далее — 831 Приказ) (срок действия документа ограничен 31 декабря 2026 года).
Хотелось бы здесь высказать пожелание руководителям образовательных организаций и специалистам, отвечающим за ведение официального сайта: «Не поленитесь, прочитайте приказ! В нём достаточно много новшеств, а именно: иначе запрашивается информация, которая была в ранее действовавшем приказе Рособрнадзора, особенно это касается реализуемых образовательных программ».
В данной публикации остановимся только на одном, абсолютно новом требовании — размещении документов и информации в виде электронного документа.
В таком случае разберёмся с определением «электронный документ», которое используется в понимании 831 Приказа.
В пункте 3.2. Требований 831 Приказа указано, что главная страница подраздела «Структура и органы управления образовательной организацией» должна содержать следующую информацию: положения о структурных подразделениях (об органах управления) образовательной организации с приложением указанных положений в виде электронных документов, подписанных простой электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее — электронный документ) (при наличии структурных подразделений (органов управления).
Требованиями установлено, что документы, самостоятельно разрабатываемые и утверждаемые образовательной организацией, размещаются на Сайте в форме электронных документов, подписанных простой электронной подписью в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее — Федеральный закон № 63-ФЗ).
Электронный документ — документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах (пункт 11.1 статьи 2 Федерального закона от 27 июля 2006 г. № 149-ФЗ «Об информации, информационных технологиях и о защите информации»).
Электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию (пункт 1 статьи 2 Федерального закона № 63-ФЗ).
Ключ электронной подписи — уникальная последовательность символов, предназначенная для создания электронной подписи (пункт 5 статьи 2 Федерального закона № 63-ФЗ).
Видами электронных подписей, отношения в области использования которых регулируются Федеральным законом № 63-ФЗ, являются простая электронная подпись и усиленная электронная подпись.
Различаются следующие виды подписей: усиленная неквалифицированная электронная подпись (далее — неквалифицированная электронная подпись) и усиленная квалифицированная электронная подпись (далее — квалифицированная электронная подпись).
Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом (часть 2 статьи 5 Федерального закона № 63-ФЗ).
Требованиями определена достаточность использования простой электронной подписи для подписания информации в электронной форме.
Визуально на Сайте простая электронная подпись будет выглядеть как пиктограмма, указывающая на то, что документ подписан простой электронной подписью.
При установке курсора на эту пиктограмму, на экран должны выводиться сведения «дата и время подписания; фамилия, имя, отчество и должность лица, подписавшего документ; сформированный уникальный программный ключ».
При этом использование неквалифицированной электронной подписи и квалифицированной электронной подписи не будет являться нарушением Требований.
Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручно, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации, кроме случая, когда федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе (Часть 1 статьи 6 Федерального закона № 63-ФЗ).
Таким образом, «электронный документ — это документ, созданный в электронной форме без предварительного документирования на бумажном носителе, подписанный электронной подписью в порядке, установленном законодательством РФ».
Из этого следует, что размещение документа и/или информации в форме электронного документа подразумевает размещение электронного файла документа и/или информации в том виде, в котором он был создан с помощью технических средств: на компьютере, ноутбуке, планшете и пр., то есть без печатей, подписей и других служебных пометок.
На официальный сайт образовательной организации загружается документ и/или информация в виде файла, который подписывается простой ЭЦП. Повторим, что это не исключает возможности размещения электронных документов, подписанных усиленной квалифицированной подписью.
Что же происходит на практике, что мы видим на сайтах образовательных организаций, что рекомендуют некоторые «очень умные» компании, которые занимаются сопровождением официальных сайтов образовательных организаций?
Первое и очевидное — происходит путаница понятий «электронный документ» и «электронный образ документа».
Необходимо разобраться, чем же отличается электронный документ от электронного образа документа?
Электронный документ изначально создается в электронной форме без предварительного документирования на бумажном носителе и подписывается электронной подписью (квалифицированной, простой или неквалифицированной электронной подписью) (ст. 6 Федерального закона № 63-ФЗ, п. п. 2.3.1, 2.3.5 Порядка подачи мировым судьям документов в электронном виде, в том числе в форме электронного документа, утв. Приказом Судебного департамента при Верховном Суде РФ от 11.09.2017 № 168 (далее — Порядок № 168).
Электронный образ документа (электронная копия документа, изготовленного на бумажном носителе) переводится в электронную форму с помощью средств сканирования документа, изготовленного на бумажном носителе. При этом могут предъявляться требования по заверению электронных образов документов электронной подписью (п. 2.2.5 Порядка № 252, п. 2.2.5 Порядка № 168).
Следовательно, на официальном сайте в виде электронного образа документа мы должны увидеть только те документы, которые самостоятельно не разрабатываются и не утверждаются образовательной организацией (например, Устав, лицензия на право ведение образовательной деятельности, свидетельство о государственной аккредитации).
Никаких ЭЦП на документах подобного рода быть не должно!
Документы и информация, которые требуются к обязательному размещению по 831 Приказу в виде электронного документа, не должны размещаться на официальном сайте в виде электронных образов, то есть, это сканированные документы (ниже приведён пример электронного образа документа, который размещён на сайте, но это не электронный документ).
А как должно быть согласно новым требованиям 831 Приказа?
Не будем придираться к названию документа, так как в соответствии с действующим законодательством в сфере образования на официальном сайте в виде электронного документа размещается «календарный учебный график» (нет понятия «годовой календарный график»).
Данный документ необходимо разместить именно в том виде, в каком он изначально набран на персональном компьютере, загрузить на официальный сайт и подписать простой ЭЦП посредством используемой платформы официального сайта, если это предусмотрено поставщиками используемого вашей организации программного обеспечения в качестве официального сайта.
Если такой возможности платформа не представляет, то придётся использовать иные методы (подписать документы через иные системы, не исключая возможности размещения электронных документов, подписанных усиленной ЭЦП).
Как выглядит простая ЭЦП на официальном сайте образовательной организации?
В качестве примера проанализируем в интересующей нас плоскости содержание сайта, который функционирует на программном обеспечении компании «Синергия-Инфо».
Позволим себе немного рекламы. Автор публикации является работником вышеупомянутой IT-компании, которая разработала для образовательных организаций программное обеспечение ПО «Программа для создания (управления) официальным сайтом образовательной организации». Предлагаемое ПО соответствует всем требованиям законодательства РФ и может быть приобретено за бюджетные средства, так как включено в единый реестр российских программ для вычислительных машин и баз данных.
Подробно о предлагаемой нами платформе для официальных сайтов, разработанных решениях, бонусах и сопровождении можно прочитать на центральном портале нашего проекта.
Безусловно, это коммерческий проект, который не имеет возможности функционировать на безвозмездной основе. Проект успешный, о чём свидетельствует и количество наших пользователей, и количество победителей Общероссийского рейтинга школьных сайтов, работающих на нашей платформе, и, конечно, количество конкурентов на рынке услуг, копирующих элементы нашего решения ПО «Программа для создания (управления) официальным сайтом образовательной организации».
Есть и «очень умные» конкуренты, которые «криво» копируют наше решение, включая копирование текстов новостной рассылки для наших пользователей, откровенно присваивают подборку нормативно-правовых актов, тематически подобранных нами для подразделов официального сайта, беззастенчивым образом «проникают» в закупки наших потенциальных клиентов и клиентов, с которыми мы работаем на протяжении нескольких лет.
При этом такие «умельцы» понимают, что выполнить условия технического задания заказчика (клиента) они не в состоянии, так как не имеют законных прав на реализацию нашего ПО «Программа для создания (управления) официальным сайтом образовательной организации».
Вышесказанное лишь подтверждает тот факт, что компания «Синергия-Инфо» предлагает актуальный и законодательно выверенный программный продукт, отвечающий всем современным требованиям, предъявляемым к официальным сайтам образовательных организаций.
Однако вернёмся от «лирического» отступления к разговору о простой ЭЦП на официальном сайте образовательной организации.
Во-первых, в нашем решении есть чётко обозначенный перечень документов, которые должны быть размещены в виде электронного документа и подписаны простой ЭЦП.
Важно принять к сведению следующее: подписать простой ЭЦП документы, которые разрабатываются не образовательной организаций, в нашем решении не получится (предусмотрено всё).
Ниже на рисунке представлена пиктограмма простой ЭЦП, нажав на которую любой посетитель сайта увидит дату и время подписания; фамилию, имя, отчество и должность лица, подписавшего документ; сформированный уникальный программный ключ. Эту информацию можно получить на любом действующем официальном сайте, работающим на ПО компании «Синергия-Инфо».
Во-вторых, юридически между компанией и нашими клиентами подписывается Соглашение «Об использовании простой электронной подписи при работе с официальным сайтом образовательной организации» (предоставление данной услуги не требует дополнительных финансовых затрат со стороны образовательной организации). Образовательная организация самостоятельно решает вопрос о предоставлении права подписи электронных документов простой ЭЦП на официальном сайте.
В-третьих, необходимо ещё раз сказать, что не исключается возможность размещения электронных документов, подписанных усиленной квалифицированной подписью.
И в заключении хотелось бы напомнить о требовании Постановления Правительства РФ от 10.07.2013 № 582 «Об утверждении Правил размещения на официальном сайте образовательной организации в информационно-телекоммуникационной сети „Интернет“ и обновления информации об образовательной организации», а именно п. 10. «Технологические и программные средства, которые используются для функционирования официального сайта, должны обеспечивать следующее:
а) доступ к размещенной на официальном сайте информации без использования программного обеспечения, установка которого на технические средства пользователя информации требует заключения лицензионного или иного соглашения с правообладателем программного обеспечения, предусматривающего взимание с пользователя информации платы».
Важно! Все подписанные с помощью ЭЦП электронные документы должны открываться на официальном сайте с учётом данного требования.
Если на сегодняшний день официальный сайт вашей образовательной организации не отвечает требованиям 831 Приказа, вы не знаете, как реализовать данные требования или вас заинтересовала наша платформа сайтов, то приглашаем вас присоединиться к нашему проекту.
Согласно Приказу Федеральной службы по надзору в сфере образования и науки РФ от 14 августа 2020 г. № 831 “Об утверждении Требований к структуре официального сайта образовательной организации в информационно-телекоммуникационной сети «Интернет» и формату представления информации”, документы, размещенные на сайте образовательной организации должны быть подписаны простой электронной подписью, в соответствии с Федеральным законом от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».
Мы подразумеваем, что у вас имеется полученный в любом аккредитованном удостоверяющем центре сертификат электронной подписи. Процесс получения токена с электронной цифровой подписью мы не описываем.
Рассмотрим подробно, как подписать документ и загрузить документ и подпись на сайт, созданный на конструкторе сайтов Нубекс:
1. Установка КриптоЭкспресс
1. Необходимо перейти по ссылке: КриптоЭкспресс и скачать бесплатную программу КриптоЭкспресс:
2. Запускаем скачанный установочный файл и нажимаем кнопку «Далее»:
3. Нажимаем кнопку «Принимаю»:
4. Дожидаемся, пока программа установится на ваше рабочее место и после оповещения «Установка завершена», нажимаем кнопку «Закрыть»:
5. Программа КриптоЭкспресс запущена, она находится в трее (рядом с часами и датой):
Переходим к следующему этапу - подписываем документ при помощи программы КриптоЭкспресс
2. Подписываем документ электронной цифровой подписью
1. Нажимаем на иконку КриптоЭкспресс в трее, а затем кнопку «Подписать файл»:
2. Нажимаем на кнопку «Выберите файл»:
3. Следующим шагом:
1)Выбираем файл для подписи (файл может быть формата .pdf, .docx, .odt, .xls), название файла после выбора будет отображаться в окне «Файл»;
2) в поле «Назначение подписи» из выпадающего списка необходимо выбрать «Отсоединенная подпись в формате DER»
3) в поле «Сертификат» из выпадающего списка необходимо выбрать нужный сертификат. Если на вашем устройстве один сертификат, то по умолчанию будет отображаться один
4) нажимаем кнопку «Подписать»:
4. После нажатия кнопки «Подписать», открывается папка, куда будет сохранена подпись, её можно выбрать. Тип файла поставить SIG и нажать кнопку «Сохранить» (токен с ключом электронной подписи должен быть вставлен в компьютер):
На этом все, мы подписали документ и сохранили подпись на компьютер в нужную папку. Далее рассмотрим, как занести подписанный документ на сайт.
3. Публикуем документ, подписанный электронной цифровой подписью, на сайте образовательной организации
1. Переходим систему администрирования вашего сайта на конструкторе сайтов «Нубекс», заходим в раздел «Образовательная организация» => «Документы»:
2. Загрузим, например, Устав образовательной организации:
3. Нажимаем кнопку «Загрузить файлы»:
4. После загрузки файла:
1) видим в системе загруженный файл;
2) видим уведомление об отсутствии подписи;
3) нажимаем кнопку «Загрузить подпись»:
5. Выбираем файл подписи с расширением .sig именно того документа, который мы подписывали ранее и загружаем на сайт. Система уведомляет о том, что подпись корректна:
Внимание. Система осуществляет проверку подлинности подписи. Если файл, который вы подписывали, был изменен вами или кем то еще, то система не примет подпись и выдаст ошибку. На скриншоте ниже видно, что система сигнализирует о том, что подпись не верна, хотя в исходный документ был добавлен только пробел:
4. Отображение документа, подписанного электронной цифровой подписью, на сайте образовательной организации
Как это отображается документ, подписанный электронной цифровой подписью, на сайте. Открываем сайт, заходим в раздел «Сведения об образовательной организации», далее «Документы» и видим загруженный файл, а рядом отображается значок электронной цифровой подписи. При наведении на значок, появляется следующая информация: дата и время подписания, ФИО подписавшего, должность подписавшего, номер сертификата:
Установка расширения производится стандартно: "Раcширения" -> "Менеджер расширений" -> "Установка" , где производим загрузку скаченного zip-архива плагина. После чего плагин появится в списке "Раcширения" -> "Плагины", по умолчанию плагин сразу активируется автоматически, но если этого не произошло, то активируйте его вручную.
Перейдя в сам плагин можно увидеть какой синтаксис тега нужно использовать для создания "подсказки", а так же произвести настройки оформления "всплывающих подсказок" и включения кнопки в редакторе.
Если функция подсказки на сайте будет использоваться только при установке ПЭП для документа, то в настройках плагина можно сразу прописать шаблон подписи. Так на вкладке "Настроки кнопки редактора" в поле "Собственный код" прописываем нужный текст и при необходимости подключаем изображения (изображения должны быть заранее подготовлены и загружены на сайт):
Так как данное поле не имеет встроенного редактора, то приходится текст вписывать в виде html-кода.
Здесь, в параметр title="" вписывается заголовок всплывающей подсказки (можно оставить пустым, если вывод заголовка не требуется), в content="" вписывается само содержимое подсказки (img - тег картинки с параметром src="" - путь до изображения из корневой папки медиаменеджера, например изображение podpis.jpg здесь загружено в корень).
Далее, в редакторе материалов сайта достаточно поставить курсор возле ссылки на документ, которому нужно поставить подпись, и, нажав на кнопку "Всплывающие подсказки", вставить данный код. Осталось внести данные вместо всех "*". В редакторе текст при этом может выглядеть не совсем корректно, а элементы разбросаны по странице. Однако, после публикации материала, на сайте всё будет отображаться как мы задумывали.
Настройка плагина Regular Labs Tooltips Free
Вставка кода всплывающей подсказки Regular Labs Tooltips Free в редакторе материалов CMS Joomla
Отображение ПЭП документа на сайте с помощью всплывающей подсказки плагина Regular Labs Tooltips Free
ПЭП на CMS WordPress
Мы же рассмотрим плагин, который имеет множество удобных возможностей в том числе и функцию вспливающей подсказки. Это плагин Shortcodes Ultimate от автора Vladimirа Anokhinа, плагин полностью бесплатен. Если Вы использовали для разработки сайта наш стартовый пакет, то этот плагин у Вас уже установлен, если нет, то его установка доступна через консоль администратора WordPress.
После установки и активации плагина на панели управления консоли WP появляется раздел "Шорткоды", в котором можно ознакомится со всеми возможностями плагина, а так же правилами написания шорткодов и их параметров для каждой функции.
Приказ внес изменения в конструкцию сайта образовательной организации и параметры размещения материалов, которые раньше определялись Приказом № 785, утратившим свою силу. Кроме того, разъяснен порядок размещения электронных документов на сайте ОО, а также требования к визуализации ЭЦП на сайте школы, детского сада, колледжа или другой образовательной организации.
Любое образовательное учреждение может проверить свой сайт на соответствие актуальным правилам на сайте Рособрнадзора. Ниже в статье мы даем ответы на основные вопросы по главным изменениям, введенным приказом Рособрнадзора от 14 августа 2020 года № 831, а также подскажем, как визуализировать электронную подпись на сайте образовательной организации (создать пиктограмму ЭП (иконку ЭП)) с помощью сервиса PicToDoc.
Какие новые требования к структуре официального сайта образовательной организации устанавливаются?
Все обязательные сведения, которые школа должна опубликовать согласно Федеральному закону № 273-ФЗ «Об образовании в Российской Федерации» должны быть помещены в особый раздел сайта «Сведения об образовательной организации».
Структура раздела должна отвечать определенным требованиям. В частности установлен перечень подразделов, который необходимо разместить на сайте и заполнить. Некоторые рубрики в прежних требованиях отсутствовали:
- «Доступная среда»
- «Международное сотрудничество».
Другие перестали быть обязательными:
- «Образовательные стандарты»
- «Стипендии и меры поддержки».
Доступ к этой части сайта должен быть предусмотрен как со стартовой страницы, так и из основного меню.
Какие подразделы должен содержать специальный раздел «Сведения об образовательной организации»?
Специальный раздел включает в себя следующие подразделы:
Наименование
Изменение статуса
«Структура и органы управления образовательной организацией»
«Руководство. Педагогический (научно-педагогический) состав»
«Материально-техническое обеспечение и оснащенность образовательного процесса»
«Платные образовательные услуги»
«Вакантные места для приема (перевода) обучающихся»
«Стипендии и меры поддержки обучающихся»
Какие требования установлены ко всем обязательным страницам сайта образовательной организации?
Рособрнадзор периодически выпускает рекомендации для наглядной
демонстрации того, как нужно размещать сведения на сайте образовательной организации, с учетом html разметки, а также приводит шаблоны для внесения сведений. По сути достаточно скопировать предлагаемый шаблон кода и внести туда свои данные.
Стоит отметить, что действующие рекомендации предназначены для ВУЗов, но применимы для любых других типов образовательных учреждений.
Пример html разметки для раздела сайта «Основные сведения»:
Данные образовательной организации
Атрибуты
Пример заполненного шаблона
Какие новые подразделы были введены?
Приказом № 831 были введены следующие подразделы: «Международное сотрудничество» и «Доступная среда».
Информация, публикуемая в новых разделах, ранее уже присутствовала в структуре сайта, однако размещалась в рубриках о материально-техническом обеспечении и видах материальной поддержки.
Какую информацию содержит подраздел «Международное сотрудничество» на официальном сайте школы в соответствии с приказом № 831?
Подраздел «Международное сотрудничество» призван информировать посетителя сайта о сотрудничестве школы с международными и зарубежными организациями на тему науки и образования. На сайте размещаются сведения о заключенных договорах или о тех, которые только планируются к заключению.
Кроме того, в данном разделе публикуются сведения о международной аккредитации образовательных программ. И те, и другие сведения размещаются при наличии.
Подраздел «Доступная среда» сформирован для информирования о специальных условиях для обучения лиц с ограниченными возможностями и инвалидов. Публикуются сведения как о беспрепятственном доступе на территорию школы и в учебные классы, так и о наличии специальных технических средств обучения, позволяющих лицам с особым статусом освоить образовательную программу, а также об особенных условиях охраны труда и питания.
Что такое ЭЦП (ЭП)? Какие бывают ЭЦП, виды ЭП?
Электронные документы, размещаемые на сайте, должны быть подписаны электронной подписью. Электронная подпись (ЭП) – атрибут документа, который фиксирует два ключевых момента: информацию, изложенную в документе на момент подписи и принадлежность подписи определенному лицу.
В настоящее время широко применяется термин «электронно-цифровая подпись» или сокращенно ЭЦП. Это понятие из предыдущего закона об электронной подписи, который уже утратил силу. Однако, термин сохранился и используется до сих пор. Можно сказать, что понятия ЭП и ЭЦП равнозначны.
Какие бывают виды электронной подписи и в чем разница между ними?
Простая электронная подпись
Усиленная электронная подпись
Неквалифицированная
Квалифицированная
Что из себя представляет
Логин и пароль или код доступа
Уникальная последовательность символов, записанная на USB-носителе
Как выглядит
Визуально не отображается, увидеть можно в свойствах документа
Может быть графическая картинка (напоминает штамп) или отдельный файл с расширением sig (в этом случае на документе подпись визуально не отображается)
Кто создает
Система, где она будет использоваться
Удостоверяющий центр, имеющий аккредитацию Минкомсвязи России, который применяет программное обеспечение, одобренное ФСБ России
Что подтверждает
Подписание документа определенным лицом
Подписание документа определенным лицом и наличие изменений в документе
Степень защиты информации
Электронно-цифровая подпись может быть выдана как физическому, так и юридическому лицу. Количество электронных подписей, выданное одному лицу – не ограничено.
Полноценным аналогом собственноручной подписи по умолчанию является только квалифицированная электронная подпись. Электронные документы, подписанные простой электронной подписью или неквалифицированной электронной подписью, признаются равнозначными документам, подписанным собственноручно, только если это установлено законодательством или соглашением сторон.
Какие виды ЭП могут быть использованы на сайте образовательной организации?
Для публикации сведений на сайте образовательного учреждения применяется простая электронная подпись. Однако, согласно официальной позиции Рособрнадзора, изложенной в комментариях к новому приказу, использование квалифицированной/неквалифицированной электронной подписи допустимо и не является нарушением.
В случае, если у школы есть квалифицированная подпись, нет необходимости создавать отдельно еще одну для размещения документов на сайте, можно воспользоваться имеющейся.
Как создать ЭЦП (электронную подпись) для официального сайта школы или другой образовательной организации?
Простая электронная подпись создается на любой операционной системе с помощью специальной программы. То есть по большому счету она бесплатна, но для того, чтобы ее создать, необходимо приобрести программу, например КриптоПро CSP. Простую подпись также можно сгенерировать с помощью Microsoft Office.
Другие виды ЭП можно приобрести только в удостоверяющем центре. Вместе с необходимой программой, которую нужно будет установить на компьютер, удостоверяющий центр выдает саму электронную подпись на USB-носителе.
Примеры удостоверяющих центров, в которые можно обратиться для получения подписи: СКБ Контур, ЦентрИнформ и другие.
Правила публикации электронных документов на сайте образовательной организации
Согласно Приказу № 831 информация на школьном сайте должна размещаться в виде копии и электронного документа. Электронный документ – это не что иное, как информация в электронном формате.
Электронные документы должны быть опубликованы так, чтобы пользователю было удобно в них ориентироваться. Должна быть предусмотрена возможность копирования и сохранения текста. Размер файла – не более 15 мегабайт. Также нужно обращать внимание на разрешение, чтобы файл визуально был читаемым. Как и раньше необходимо загрузить файл. Разница в том, что теперь вместо отсканированного документа с подписью и печатью, на сайт загружается файл, подписанный электронной подписью.
Очень важно, что визуально ЭЦП на сайте образовательной организации, должна выглядеть как пиктограмма, установленного формата, содержащая данные о подписавшем лице. Как показывает практика, именно с корректной визуализацией ЭЦП на сайте школы возникает наибольшее количество трудностей. Очень удобно использовать для правильной визуализации электронной подписи сервис PicToDoc, он позволяет мгновенно создавать и размещать на своем сайте пиктограмму электронной подписи ИМЕННО в том виде, в котором это предусмотрено требованиями Рособрнадзора.
В каком виде должна отображаться ЭП на сайте образовательной организации? Какая пиктограмма используется для отображения ЭП?
Когда электронный документ опубликован на сайте, возле его названия можно увидеть пиктограмму. Через пиктограмму пользователь может ознакомиться со всеми основными данными о подписи. Если речь идет о простой электронной подписи, отображается Ф.И.О. должностного лица, дата и время подписания и специальный программный ключ в виде набора символов. Если используется квалифицированная электронная подпись, к указанным данным добавляются сведения о сертификате (кем и когда выпущен и до какого срока действует). Реализовать это позволяет онлайн-сервис PicToDoc.
Читайте также: