Какие проблемы могут возникнуть при использовании электронной цифровой подписи

Обновлено: 06.07.2024

В современном, оснащенном компьютерами предприятии документы создаются и перемещаются в электронном виде, при этом необходимость подписания документов остается. Ведь сам по себе перевод документов в другую форму не изменяет сложившихся методов управления организацией.

В принятом в 2002 г. Законе "Об электронной цифровой подписи" под электронной цифровой подписью понимается "реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа ЭЦП и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе". В этом законе впервые в российском законодательстве предпринята попытка отказаться от реквизита "печать", заменив его определенным видом подписи, приемлемой для данного носителя, в частности электронной цифровой подписью. Такая подпись в соответствии с законом обладает уже свойствами двух реквизитов: "подпись" и "печать". Это соответствует отмеченной специалистами тенденции к слиянию в будущем реквизитов "подпись" и "печать" в один, который станет универсальным средством идентификации, как документа, так и личности. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:

· сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силы (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;

· подтверждена подлинность электронной цифровой подписи в электронном документе;

· электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.

Поскольку ЭЦП предназначена для обеспечения подлинности, целостности и авторства документов, обрабатываемых с помощью вычислительной техники, она жестко увязывает в одно целое содержание документа и секретный ключ подписывающего и делает невозможным изменение документа без нарушения подлинности этой подписи. Суть процедуры использования ЭЦП состоит в том, что каждый пользователь имеет возможность изготовить пару индивидуальных ключей: секретного - для формирования цифрового аналога подписи под документом и парного с ним, открытого - для проверки достоверности цифровых подписей, вычисленных с помощью данного конкретного ключа. Принадлежность секретного ключа ЭЦП определенному лицу удостоверяется сертификатом, выдаваемым удостоверяющим центром. Каждый участник информационной системы может владеть любым количеством сертификатов. Однако электронный документ с ЭЦП имеет юридическую силу лишь в рамках отношений, указанных в сертификате ключа подписи. Ключи электронных цифровых подписей создаются для использования:

· в информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;

· в корпоративной информационной системе в порядке, установленном в этой системе.

При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей не сертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством РФ.

Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи.

В отсутствие законодательства, признающего в полной мере юридическую силу электронных документов, ряд организаций (особенно с большой сетью филиалов) успешно используют ЭЦП для оперативного согласования документов. Согласование проектов организационно-распорядительных документов и последующее ознакомление с утвержденными документами всегда представляло собой достаточно трудоемкую задачу. Традиционная процедура согласования бумажных документов не позволяла оперативно принимать необходимые деловые решения. При переходе на электронное согласование процедуры согласования и ознакомления ускоряются в десятки раз.

Как показывает практика, ЭЦП получает все большее распространение в организациях, ее в основном используют для сдачи различного рода отчетности. Тем не менее в процессе применения ЭЦП в деятельности организаций возникает ряд проблем. Во-первых, несмотря на то, что ЭЦП является одним из надежных способов защиты целостности и аутентичности электронного документа, специалисты-криптографы считают, что вероятность взлома или компрометации современных ЭЦП спустя 10 лет высокая. И этот факт необходимо учитывать как в законодательстве, так и в правилах хранения документов с ЭЦП. Если ЭЦП скомпрометирована, то сами по себе положительные результаты проверки подписи недостаточны, и аутентичность документа придется доказывать иначе. Например, документируя факт успешной проверки подписи в период, когда она заведомо не была взломана или скомпрометирована, или постоянного хранения документа в защищенной системе, гарантирующей его целостность и аутентичность. Кроме того, небрежное обращение с ключом электронной цифровой подписи может обернуться значительными убытками для компании. Поскольку единственный недостаток электронной подписи по сравнению с обычной подписью в том, что нельзя с такой же степенью уверенности определить, кто именно подписал документ. Ключ ЭЦП могут украсть, к тому же нечистые на руку сотрудники могут использовать ЭЦП своего начальства в корыстных целях. Поэтому стопроцентной гарантии, что чьей-то сгенерированной ЭЦП не подпишется посторонний человек, не даст ни один специалист-криптограф. Но данное свойство цифровой подписи не является непреодолимым препятствием для ее широкого использования в гражданском обороте.

Рассматривая ЭЦП применительно к вопросам организации делопроизводства и архивного дела, необходимо отметить нерешенность проблемы долговременного хранения документов, подписанных ЭЦП. По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и наличия ЭЦП. Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен обеспечить такой срок хранения своих документов, оборудования и программного обеспечения в рабочем состоянии. Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем чтобы обеспечить целостность, подлинность и аутентичность электронных документов. Только в некоторых документах министерств и ведомств содержатся требования к обеспечению сохранности электронных документов и определяются последствия неисполнения этих требований.

Необходимо отметить, что создание документов, поддерживающих ЭЦП, - задача дорогостоящая и сложная. Если обратиться к зарубежному опыту, то американские архивисты рекомендуют для обеспечения сохранности такой документации:

· обеспечивать миграцию документов на новые приложения и носители на протяжении срока хранения;

· сохранять, где возможно, программное обеспечение и оборудование для поиска и извлечения документов;

· предотвращать неавторизованный физический доступ к помещению, где хранятся документы;

· использовать носители, ожидаемый срок жизни которых составляет как минимум 20 лет и которые выпускаются и поддерживаются несколькими производителями;

· мигрировать документы со старых носителей на новые каждые 10 лет;

· контролировать отсутствие изменений в документах;

· осуществлять перевод документов на технологически нейтральные форматы, такие как XML и RTP,

· ежегодно проводить статистические выборки и тестирование носителей, чтобы убедиться в сохранности документов;

· протоколировать все действия с документами.

Самой большой проблемой при организации долговременного хранения электронных документов с ЭЦП является необходимость обеспечения проверки подлинности ЭЦП. Это требование автоматически превращает любой электронный архив в музей компьютерного оборудования и программного обеспечения.

Поскольку в отечественном законодательстве вопросы обеспечения сохранности отведены на второй план, к тому же отсутствуют соответствующие нормативные и методические материалы, то возникает необходимость обратиться к зарубежному опыту и методикам работы. Так, голландские специалисты во избежание проблем, связанных с устареванием оборудования, предлагают отказаться от требования сохранения в нетронутом виде оригинальной структуры и содержания документов при их постоянном хранении. Они делают упор на требовании о том, чтобы при постоянном хранении электронных подписей можно было бы удостоверить роль, которую подпись выполнила в прошлом, в отношении интересов создавшей документы организации, интересов третьих сторон, культурных и исторических интересов общества. Вместо оригинальной ЭЦП предлагается хранить некоторые сведения об ЭЦП и занести их в метаданные (данные о программных средах и форматах) документа.

Если постоянное архивное хранение документов с ЭЦП осуществляется в системах электронного документооборота, которые по своим изначальным характеристикам обязаны обеспечить надежное хранение, то достаточным свидетельством целостности и аутентичности может служить как сам документ, так и его метаданные.

Уверенность в аутентичности документа может основываться на уверенности в качестве системы делопроизводства в организации - точно так же, как в случае традиционных бумажных архивов.

Несмотря на достаточно широкое применение ЭЦП в различных сферах деятельности, специалисты по информационным технологиям отмечают, что внедрение ЭЦП идет медленнее, чем ожидалось. И причиной этому служат не недостатки Закона "Об ЭЦП" (который не ограничивает использование данной технологии на основе двусторонних и многосторонних договоренностей), а ряд сдерживающих факторов. К ним относятся следующие:

· сферу использования ЭЦП ограничивает то обстоятельство, что, несмотря на широкое внедрение информационных технологий, не предполагается переводить в электронный вид наиболее важные документы - документы на недвижимость, свидетельства о рождении и т. п.;

· невостребованность технологии ЭЦП для документов электронной почты, так как применение этой технологии может привлечь нежелательное внимание со стороны хакеров, госслужб, борющихся с терроризмом и т. п.;

· проблемы, связанные с использованием ЭЦП, такие как подделка ЭЦП, незаконное получение и использование сертификатов ЭЦП, передача ЭЦП другому лицу в нарушение установленных правил;

· отсутствие необходимости применения ЭЦП в закрытых информационных системах, в которых высокий уровень защиты и контроля и так обеспечивается;

· отсутствие необходимой инфраструктуры в виде удостоверяющих центров и центров сертификации;

Необходимо отметить, что ограничения в использовании ЭЦП в большей степени связаны с тем фактом, что юридически значимая документация организации оформляется в основном на бумажных носителях, и приходится сочетать электронный документооборот на стадии подготовки и согласования, и бумажный на завершающем этапе оформления. Создание электронных документов, подлежащих длительному хранению, и проставление на них ЭЦП без одновременного создания их дубликата на бумаге неизбежно приводит к возникновению конфликтных ситуаций. Это обстоятельство, а также нормативно-методологическая нерешенность проблемы долговременного хранения электронных документов с ЭЦП заставляют руководителей организаций тщательно взвешивать все "за" и "против", перед тем как дать распоряжение хранить важные документы только в электронной форме.

Таким образом, ЭЦП, как и любое другое средство автоматизации делопроизводственных процессов, способно принести немалую пользу при правильном использовании. Но в каждом конкретном случае необходимо анализировать выгоды от использования ЭЦП и риски, связанные с ее применением. Для успешной и эффективной работы в электронной среде организациям необходимо использовать весь имеющийся арсенал информационных технологий, в том числе и электронно-цифровую подпись.

Сама технология электронной подписи осуществляется с помощью идентификации пользователя путем сличения реальной подписи с подписью в компьютерной системе, где создается ее электронный шаблон. Ввод подписей производится при помощи сканера или электронного пера. Электронная подпись, как и отпечатки пальцев, квалифицируются как уникальный показатель личности.

Экспресс-анализ подписи имеет большое значение во множестве задач банковского дела, управления финансами, предприятиями.

Область применения ЭП довольно широка. Например, многие специальные сервисы требуют верификации пользователя с её помощью: Госуслуги, онлайн-сервисы для управления средствами в банке и электронные площадки и другие. Поэтому любые технические неполадки, возникающие при использовании ЭП, могут вызвать различные серьёзные: от упущенной выгоды до материальных убытков.

Какие бывают ошибки

Проблемы при использовании ЭП, с которыми пользователи встречаются чаще всего, можно условно разделить на три группы:

Проблемы с сертификатом Они появляются, когда сертификат не выбран, не найден или не верен.

Проблемы с подписанием документа. Ошибки возникают при попытке подписать документ.

Проблема при авторизации на торговых площадках.

Рассмотрим неполадки подробнее и разберёмся, как их решать.

Сертификат не найден

Иногда при попытке подписать электронный документ с помощью ЭП пользователь может столкнуться с ошибкой «Не удалось найти ни одного сертификата, пригодного для создания подписи»

У подобных ошибок могут быть следующие причины:

1. На компьютере не установлены корневые сертификаты Удостоверяющего Центра (УЦ), в котором была получена ЭП. Необходимо установить либо обновить корневой сертификат. Установка корневых сертификатов удостоверяющего центра подробно описана в нашей инструкции.

2. На ПК не установлено ни одного личного сертификата ЭП. Для применения ЭП необходимы и личные сертификаты. Об их установке мы писали в другой статье.

3. Установленные на компьютере необходимые сертификаты не валидны. Сертификаты отозваны или просрочены. Уточните статус сертификата в УЦ. Ошибка с текстом «Ваш сертификат ключа подписи включён в список отозванных» возникает, если у сертификата закончился срок действия или на ПК нужно обновить список сертификатов. В последней ситуации следует вручную загрузить перечень отозванных сертификатов.

Для установки списка отозванных сертификатов:

Откройте личный сертификат пользователя в окне Свойства браузера. Чтобы открыть его, наберите «Свойства браузера» в поисковой строке меню Пуск. Перейдите во вкладку Содержание и нажмите кнопку «Сертификаты».

Во вкладке Состав выберите из списка пункт «Точки распространения списков отзыва».

В блоке Имя точки распространения скопируйте ссылку на загрузку файла со списком отзыва.

Скачайте по указанной ссылке файл. Нажмите по нему правой кнопкой мыши и выберите в контекстном меню «Установить список отзыва (CRL)».

Следуйте указаниям «Мастера импорта сертификатов».

Не виден сертификат на носителе

Как правило, причина такой проблемы — сбой в работе программных компонентов. Для её решения достаточно перезагрузить компьютер. Однако иногда этого бывает недостаточно, поэтому требуется переустановка драйверов или обращение в службу техподдержки.

К наиболее распространённым причинам такой проблемы относятся следующие случаи:

Драйвер носителя не установлен или установлен некорректно. Для решения проблемы необходимо извлечь носитель электронной подписи из ПК и скачать последнюю версию драйвера носителя с официальных ресурсов. Если переустановка драйвера не помогла, подключите носитель к другому ПК, чтобы убедиться в исправности токена. Если токен определится другой системой, попробуйте удалить на неисправном компьютере драйвер носителя и установить его заново.

Долгое опознание носителя. Для решения проблемы необходимо дождаться завершения процесса или обновить версию операционной системы.

Некорректная работа USB-порта. Подключите токен к другому USB-порту, чтобы убедиться, что проблема не в носителе ЭП. Если система определила токен, перезагрузите компьютер. Если это не поможет, следует обратиться службу технической поддержки.

Неисправность носителя. Если при подключении токена к другому компьютеру или USB-порту система не определяет его, значит, проблема в самом носителе. Устранение неисправности возможно в данном случае лишь одним путём — нужно обратиться в сервисный центр для выпуска нового носителя.

ЭП не подписывает документ

Причин у подобной проблемы множество. Среди самых распространённых можно выделить следующие неполадки:

Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.

Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.

Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.

Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.

Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.

В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».

В этой ситуации помогает установка и регистрация библиотеки Capicom:

Распакуйте и переместите файлы capicom.dll и capicom.inf в каталог syswow64, находящийся в корневой папке ОС.

Откройте командную строку от имени администратора — для этого в меню Пуск наберите «Командная строка», нажмите по найденному приложению правой кнопкой мыши и выберите Запуск от имени администратора.

Введите «c:\windows\syswow64\regsvr32.exe capicom.dll» (без кавычек) и нажмите ENTER. Должно появиться уведомление о том, что команда выполнена успешно.

Выбранная подпись не авторизована

Процесс запроса на авторизацию ЭП на разных торговых площадках может отличаться: часто нужно отправлять запрос оператору системы на авторизацию, иногда рабочее место настраивается автоматически.

Если ошибка сохраняется, возможно, следует отключить защитное ПО или добавить сайт электронной площадки в исключения.

Если ваша проблема с электронной подписью не решена, но обратитесь к нашим специалистам техподдержки.

Ситуация для бизнеса в России и до карантина не была идеальной. Но весной 2020 года внешние обстоятельства перечеркнули заранее составленные планы и заставили компании резко адаптироваться к новым реалиям. Переход сотрудников на удалённый режим работы поставил вопросы, которые раньше не нужно было решать. Например, как организовать печать и передачу документов?

Многие задумались о переходе на электронный документооборот (далее ЭДО) и использовании электронной цифровой подписи (далее ЭЦП). Компании, которые предоставляют данные услуги, оперативно подготовили акции и внедрили позиционирование ЭДО и ЭЦП как выгодной альтернативы удалённой печати и сканирования документов. Но так ли это на практике?

Рассмотрим отдельно две составляющие, – объём печати и расходы на печать, – на реальных примерах компаний, которые попробовали ЭДО и ЭЦП до 2020 года. Добавим юридическую справку и разберём техническую сторону вопроса.

Снижение объёма печати: неоднозначные результаты

Компании, которые внедрили ЭДО и ЭЦП несколько лет назад, уже успели собрать статистику по влиянию новых технологий на объёмы печати. Результаты оказались смешанными.

У кого-то общий объём печати снизился, но недостаточно для окупаемости внедрения, у кого-то – упал в одном отделе, но вырос в другом. Давайте разберёмся, почему так произошло.

Недостаточное снижение объёма печати

ЭДО покрывает лишь малую долю печати, которая производится в офисе. Результаты исследований показывают, что среднестатистический офисный документ «живёт» от нескольких часов до 1 рабочего дня. При внедрении ЭДО и ЭЦП кто-то из сотрудников получает право подписать документ в электронном виде и загрузить его в онлайн архив. Но откуда берутся данные для составления этого документа?

Например, руководитель подписывает договор при помощи ЭЦП и загружает в ЭДО. Но данные для составления договора он получил в бумажном виде: от контрагентов или от сотрудников, у которых нет ЭЦП. Та же история с отчётами в бухгалтерии. Даже если финальный документ загружается в ЭДО и подписывается ЭЦП, бухгалтер составляет его на основании распечатанных и подписанных документов от сотрудников, у которых нет электронной подписи. Если же всех сотрудников обяжут отправлять тому, кто составляет договор или отчёт, документы в электронном виде, они точно также распечатают и подпишут от руки документ, а потом отсканируют. Таким образом, внедрение ЭЦП и ЭДО никак не повлияет на большую часть объёма печати в компании.

Объём печати упал в одном отделе, но вырос в другом

Компания внедрила ЭЦП и ЭДО, чтобы не печатать документы о сделках с контрагентами. Объём печати в отделе продаж или закупок снизился. Но вырос в бухгалтерии. Почему?
Во-первых, потому что бухгалтерия (справедливо) не доверяет сохранности документов в ЭДО. Пока нельзя исключить сбой системы, потерю или искажение данных, у каждого электронного документа обязательно есть hard copy.

Во-вторых, потому что бухгалтерия знает, что при налоговой проверке для подтверждения транзакций ФНС запрашивает документы в бумажном виде: оригиналы, первичную документацию. Поэтому бухгалтеры распечатают и подошьют в соответствующую папку закрывающие документы о каждой транзакции. Объём печати одного отдела просто переходит другому отделу.

И даже экономия на экземплярах для контрагента не всегда однозначна. Потому что каждый контрагент с ЭЦП и ЭДО точно также перекладывает обязательства печати на тех, с кем взаимодействует.

Бывает, что внедрение ЭДО увеличивает (!) объём печати. В одной компании внедрили электронную передачу промежуточных версий документов при подготовке финальной. Ранее 6 сотрудников читали и подписывали распечатанный лист согласования: каждый вносил правки, а затем передавал другому. Финальную версию документа сканировали. Теперь подписанты получали электронную версию документа. Однако привычка работать с бумагой осталась: каждый из 6 сотрудников печатал документ, вносил правки ручкой, переписывал их в электронном виде и отправлял следующему в цепочке. Вывод: вместо 1 документа стали печатать 6. Объём печати вырос в 6 раз!

Снижение объёма печати: выводы

Прежде, чем внедрять ЭДО и ЭЦП, внимательно изучите бизнес-процессы внутри компании. Эти технологии эффективны только тогда, когда их внедрение позволит существенно сократить объёмы печати и расходы на неё. И помните, что от печати отчётности для контрольно-надзорных органов и в качестве страховки при сбое архива и потере или искажении данных Вы всё равно никуда не уйдёте.

Сокращение расходов: противоположные результаты

Внедрение ЭДО и ЭЦП может дать какую-то экономию в печатных листах. Но как насчёт денег?

Предположим, что компания много печатает и хочет избавиться от расходов на принтеры, расходные материалы и сервис. Одна ЭЦП стоит от 1000 до 6000 рублей в год, в зависимости от сферы деятельности компании. Внедрение ЭДО стоит около 3000 рублей в месяц (система 1С, отправка 100 комплектов включена в стоимость, каждый дополнительный – 10 рублей).

Если оформить ЭЦП на 1 сотрудника, то при должном объеме документов никакие другие задачи он решать не сможет. Только проверять и подписывать счета, договоры, накладные, акты и так далее. Поэтому к стоимости ЭЦП и ЭДО прибавится годовая зарплата подписанта. И вряд ли подписание любых документов, включая финансовые отчётности, доверят человеку на невысокой должности с маленькой зарплатой. Это просто небезопасно. Есть и другая проблема: что будет, если единственный сотрудник с ЭЦП заболеет, уедет в отпуск или уволится?

Можно оформить ЭЦП на 10 сотрудников, но это стоит от 10 до 60 тысяч рублей в год. И ещё, как минимум, 36 тысяч рублей оператору ЭДО.

Если же внедрять ПО, годовая API- лицензия на использование ЭДО (ЭВМ «Диадок») обойдётся в 18 тысяч рублей. Та же компания предлагает услуги посредника: от 4200 рублей в месяц за передачу 600 документов до 68.4 тысяч рублей в месяц за передачу 12 тысяч документов.

И к любым расходам на ЭЦП и ЭДО необходимо прибавить стоимость печати документов, потому что полностью исключить её компания не сможет.

Сокращение расходов: временный переход на ЭЦП и ЭДО

Некоторые фирмы знают о вышеперечисленных подводных камнях, поэтому не рассматривают постоянный переход на ЭДО и ЭЦП. Но в условиях карантина спешат временно внедрить эти технологии, чтобы сэкономить на удалённой организации печати.

Минимальный пакет на 1 сотрудника стоит от 3 тысяч до 5 тысяч рублей в месяц. При этом, тот же сотрудник ежемесячно печатает примерно 300-500 листов. Стоимость печати 300-500 листов, включая оборудование, сервис и расходные материалы, обходится компании от 500 до 2 тысяч рублей (конечная цифра зависит от формата и параметров печати, а также от оборудования). Поэтому прежде, чем временно внедрить ЭДО и ЭЦП, сравните расходы на поддержание офисной инфраструктуры на удалёнке со стоимостью перехода на другие технологии. И помните о скрытых расходах.

Сокращение расходов: выводы

Временное или постоянное внедрение ЭЦП и ЭДО оптимально только в том случае, когда стоимость самого перехода и остаточные расходы на печать не превышают текущие расходы на печать. Поэтому на начальном этапе чётко определите тот объём печати, от которого Вы отказаться не сможете.

Опыт компаний, которые попробовали ЭЦП и ЭДО показывает, что в большинстве случаев результаты не совпадают с ожиданиями. Например, процесс подписания, передачи и приёма документов в бухгалтерии значительно ускорился, но суммарные расходы выросли.

Чтобы сократить траты во время карантина, изучите все доступные способы оптимизации расходов на печать. Возможно, Вы сэкономите на удалённой диагностике оборудования или найдёте расходные материалы по старому курсу. А если твёрдо уверены, что необходимо переходить на ЭЦП и ЭДО, то составьте план внедрения и чёткие критерии выбора провайдера. И заранее посчитайте объём печати, от которого нельзя отказаться.

Юридическая справка

Есть несколько юридических аспектов использования ЭДО и ЭЦП. По словам экспертов в области права, суды скептически относятся к электронным документам и неохотно принимают данные в таком виде.

Второй вопрос: срок хранения документов. В отличие от бумажных носителей, в ЭДО данные не подлежат утилизации через 3-5 лет. И в некоторых ситуациях это полезно. Однако в прошлом году Верховный суд чуть не отменил срок давности по нарушениям налогового законодательства. В жизни компании случаются разные ситуации, поэтому стоит проконсультироваться с юристами на предмет влияния ЭДО и ЭЦП на характер запросов контролирующих органов.

Техническая сторона вопроса

Начнём с безопасности. Если поставщиком ЭДО является сторонняя компания, то сохранность документов зависит от их системы безопасности. Что произойдёт с архивами, если заказчик перестанет использовать ЭДО или решит сменить оператора?

Есть и вопрос зависимости от аутсорсера. Одна компания не успела вовремя подать в Сбербанк документы о продлении ЭЦП и две недели не могла пользоваться Сбербанком онлайн. Потому что подключением услуг занимался чужой IT-специалист, и невозможно повлиять на скорость его работы.

Если же компания внедряет ЭДО и ЭЦП комплексно у себя, то кто отвечает за сохранность архива внутри? Либо у IT-службы появятся дополнительные обязательства, либо наймут специального сотрудника. Возможно, переквалифицируют кого-то из штата. Это дополнительные траты, но главные вопросы: кто из компании получит доступ к архивам, и какой должна быть структура протоколов безопасности, чтобы предотвратить утечку информации или целенаправленное искажение данных?

Дополнительная проблема: что, если никто из организаций, с которыми взаимодействует фирма, не пользуется ЭДО? Бухгалтеры одной компании рассказали, что вынуждены вести два документооборота: бумажный для партнёров и электронный для внутреннего пользования. По их словам, в зонах максимальной ответственности, они печатают и внутреннюю документацию. Потому что не все сотрудники одинаково подкованы в обращении с ЭДО. И если экспертов по той или иной причине не окажется в офисе, им проще попросить коллег поднять бумажный архив, чем по телефону объяснять, как работает система. Слишком высоки риски потери данных.

Несмотря на то что электронная подпись не имеет альтернатив в плане безопасности, периодически становится известно о случаях мошенничества с её применением. Чаще они связаны с тем, что владелец недооценивает опасность компрометации ключа и не соблюдает необходимые меры безопасности. Но также мошенники могут создать ситуации, при которых пострадавшим становится человек, никогда не оформлявший электронную подпись. Рассказываем о том, как сделать использование ЭП максимально безопасным.

Квалифицированная электронная подпись не только полноценно заменяет подпись от руки и обладает такой же юридической силой, но имеет преимущества перед обычной подписью, главные из которых:

1. Надёжность. Электронный документ, подписанный ЭП, можно передавать по защищённым каналам связи. Для установки подлинности документа, подписанного ЭП, не нужен физический носитель — подпись присоединена к электронному документу, её всегда можно проверить, независимо от того, каким образом и сколько раз передавался документ. В то время как для проверки подписи на бумаге необходим оригинал документа.
2. Невозможность подделки. Усиленная электронная подпись создаётся с применением криптографических методов защиты информации, поэтому подделать её невозможно. Подпись от руки нередко подделывают, установить факт подделки в ходе экспертизы удаётся не всегда.
3. Гарантия неизменности документа после подписания. Любые изменения, внесённые в документ после его подписания электронной подписью, сделают подпись недействительной. Документ, подписанный от руки, никак не защищён от дальнейших изменений.
4. Более широкая сфера применения. В некоторых ситуациях подписание от руки попросту невозможно, что делает использование ЭП обязательным. Участие в электронных торгах, сдача определенных видов отчётности в госорганы, работа в государственных информационных системах — для этого понадобится именно электронная подпись.

Более широкий спектр возможностей ЭП по сравнению с обычной подписью и её преимущества в плане безопасности очевидны, осталось разобраться, как оградить себя от существующих рисков при использовании электронной подписи.

Правила безопасности для владельцев электронной подписи

Несмотря на весомые преимущества в плане безопасности, применение технологии электронной подписи по-прежнему сопряжено с опасениями и заблуждениями. Часть из них — не более чем мифы, некоторые риски реальны, но их можно избежать или минимизировать.

Основная доля рисков для владельца ЭП связана с недостаточно ответственным отношением к обращению с носителем закрытого ключа. Большая часть преступлений с использованием электронной подписи связана с компрометацией её закрытого ключа, хранить который в тайне —обязанность владельца ЭП. В Федеральном законе от 06.04.2011 №63-ФЗ «Об электронной подписи» говорится о том, что участники взаимодействия с применением ЭП не должны допускать использования своей электронной подписи другими лицами. Главное правило владельца — никогда и ни при каких условиях не передавать другим людям свой носитель электронной подписи, не терять его и не оставлять в доступности посторонних лиц.

Еще один риск связан с хакерскими атаками — получением доступа к компьютеру или ноутбуку владельца подписи для похищения ключа. Предотвратить внедрение злоумышленника в компьютер и компрометацию данных в этом случае можно, соблюдая всем известные правила безопасного поведения в интернете — не переходить по подозрительным ссылкам, не загружать файлы из неизвестных источников, не использовать потенциально зараженные USB-носители и установить на рабочий компьютер надёжную программу-антивирус.

Безопасность использования электронной подписи во многом зависит и от организации, которая её выпустила. Выбор удостоверяющего центра — очень ответственная задача. Фактически удостоверяющий центр подтверждает личность обратившегося и выдаёт ему средство для электронного подписания документов, с юридической точки зрения абсолютно равнозначное его подписи от руки.

Для выдачи сертификатов усиленной квалифицированной электронной подписи удостоверяющий центр должен быть аккредитован Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации. Наличие аккредитации означает, что организация достаточно надёжна для выдачи сертификатов ЭП и соответствует всем государственным требованиям. Список аккредитованных удостоверяющих центров есть на официальном сайте Минкомсвязи.

Незаконное оформление электронной подписи: в чём корень проблемы

К сожалению, мошенники идут в ногу со временем и находят возможности использовать продукты развития цифровой экономики в своих преступных целях. В некоторых случаях пострадать могут не клиенты удостоверяющих центров, а граждане, никогда не получавшие электронную подпись.

Весной 2019 года в российской прессе широко освещался случай отъёма квартиры мошенническим путём с использованием электронной подписи. Преступники переоформили квартиру на третье лицо без ведома собственника. О том, что жильё больше ему не принадлежит, хозяин московской квартиры узнал случайно, когда обнаружил имя нового владельца в квитанции на оплату коммунальных услуг.

В Росреестре пострадавшему сообщили, что электронная сделка по передаче имущества была проведена без нарушения законодательства. Оказалось, что он «подарил» свою квартиру жителю Уфы еще в октябре 2018 года. В итоге выяснилось, что преступление крылось в незаконном оформлении электронной подписи, которой заверялся договор дарения: хозяин квартиры не оформлял ЭП и не получал носитель с ключами электронной подписи и сертификат, за него это сделал другой человек по поддельной доверенности. Где злоумышленники получили паспортные данные владельца для фальсификации доверенности — неизвестно.

Выпустившая электронную подпись организация, так же, как и владелец квартиры, стала жертвой мошенников, получив от них поддельную доверенность. Законодательство позволяет удостоверяющим центрам выдавать ЭП по доверенности: согласно Федеральному закону от 06.04.2011 №63-ФЗ «Об электронной подписи», заявитель представляет доверенность или иной документ, подтверждающий право заявителя действовать от имени других лиц, в оригинале или его надлежащим образом заверенной копии. Иных требований закон не содержит. Фактически удостоверяющие центры имеют право выпускать электронную подпись по доверенности, не удостоверенной нотариально.

Что было бы, если бы закон запрещал выпуск сертификатов ЭП без нотариального заверения доверенности? Нотариальную доверенность подделать сложнее, но тоже возможно. К тому же запрет на выпуск сертификатов и ключей ЭП для юридических лиц без нотариально заверенной доверенности существенно осложнил бы документооборот и скорость работы организаций.

Тем не менее попытки ввести обязательное нотариальное удостоверение доверенностей на выпуск сертификатов электронной подписи уже предпринимаются на законодательном уровне.

В феврале 2018 года в Госдуму был внесён проект Федерального закона № 387130-7, который предусматривал, что при обращении в аккредитованный удостоверяющий центр потребуется представить не обычную доверенность, как сейчас, а нотариально удостоверенную. Однако после принятия в первом чтении законопроект находится без движения с июля 2018 года.

Защитить своё имущество от мошенничества с электронной сделкой с использованием ЭП, полученной по поддельной доверенности, всё же возможно. Для этого был принят Федеральный закон от 02.08.2019 № 286-ФЗ «О внесении изменений в Федеральный закон „О государственной регистрации недвижимости“». Закон создан для того, чтобы защитить граждан от мошенничества в сфере недвижимости. Теперь не получится подать в Росреестр электронное заявление о продаже недвижимости без специальной отметки в ЕГРН о возможности подачи документов в электронной форме.

Отметку проставят на основании заявления, поданного лично или отправленного по почте. При отсутствии такой отметки в регистрации сделки по передаче недвижимости будет отказано. Исключение сделано для нотариальных сделок, для документов, подписанных электронной подписью, сертификат которой выдан Федеральной кадастровой палатой Росреестра, а также для сделок, которые поданы на регистрацию через банки, — их зарегистрируют без отметки. Кроме того, законом предусмотрена обязанность Росреестра уведомлять владельца недвижимости о поступлении от его имени каких-либо электронных документов для продажи или ином отчуждении недвижимости.

Законодательные меры для защищённого использования ЭП

В настоящее время проходят подготовку ко второму чтению в Госдуме принятые в первом чтении поправки в Федеральный закон от 06.04.2011 №63-ФЗ «Об электронной подписи». Историю подготовки законопроекта с поправками и основные этапы его изменений вы найдете в статье Елены Никоновой .

Как оценить надёжность удостоверяющего центра

Несмотря на то, что мошеннические схемы нацелены на все возможные уязвимые места в законодательстве, которые не ограничиваются сферой электронной подписи, выбор удостоверяющего центра остается одним из важнейших слагаемых безопасного использования ЭП. Поэтому вернёмся к удостоверяющим центрам и рассмотрим подробнее критерии их надёжности.

Законодательство, в рамках которого работают аккредитованные удостоверяющие центры, применяет к ним жёсткие требования, соответствие которым необходимо подтверждать раз в пять лет. Правила аккредитации удостоверяющего центра определяются статьей 16 Федерального закона №63 «Об электронной подписи». Среди главных условий для получения удостоверяющим центром аккредитации Минкомсвязи:

• организация должна обладать чистыми активами стоимостью не менее 7 млн рублей;
• у организации должно быть финансовое обеспечение ответственности за убытки, причинённые третьим лицам вследствие их доверия к информации, указанной в сертификате ключа проверки электронной подписи, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет этот УЦ. Сумма — не менее 30 млн рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности;
• средства электронной подписи удостоверяющего центра должны быть сертифицированы ФСБ Российской Федерации;
• удостоверяющий центр должен иметь порядок реализаций функций и исполнения обязанностей в виде регламента, правил и прочих нормативных документов, установленный в соответствии с требованиями, утверждёнными федеральным органом исполнительной власти.

Кроме этого, есть не прописанные в законодательстве критерии, по которым можно определить надёжность удостоверяющего центра:

1. Срок работы организации, количество её региональных представительств . Если компания крупная, давно на рынке и имеет множество клиентов, включая крупные организации, вероятность непредвиденных ситуаций снижается.
2. Наличие лицензии ФСТЭК. Сертификат доказывает соответствие законодательству в плане технической защиты конфиденциальных данных.
3. Статус доверенного центра ФНС, ПФР и Росстата. Если организация, помимо выдачи электронной подписи, предоставляет услуги электронной отчётности в контролирующие органы, это свидетельствует о высоком уровне доверия государства к этому удостоверяющему центру.

Фактором, снижающим доверие к удостоверяющему центру, является возможность проведения удалённого установления личности клиентов. Удалённое установление личности может подразумевать передачу отсканированных документов, необходимых для удостоверения личности клиента, через интернет и выпуск сертификата только на основании переданных документов. В таком случае вероятность предъявления поддельных документов значительно возрастает, потому что подделать фотографию или скан документа значительно проще, чем бумажный экземпляр. Кроме того, в такой ситуации невозможна непосредственная проверка соответствия личности заявителя личности владельца предъявляемых документов.

Удостоверяющий центр, проводящий удалённое установление личности, серьёзно нарушает закон, такая процедура не предусмотрена действующим законодательством.

В настоящий момент (до принятия поправок к 63-ФЗ) единственным легальным механизмом удалённой верификации личности при выдаче квалифицированного сертификата ЭП является механизм, связанный с использованием биометрического загранпаспорта. Этот вид дистанционного установления личности используется в рамках эксперимента, проводимого в соответствии с постановлением Правительства РФ от 29.10.2016 №1104.

Облачная и дистанционная электронная подпись

Технологии дистанционной и облачной электронной подписи существуют наряду с «классическими» технологиями электронной подписи, при которых для формирования ЭП используются ключи, хранящиеся на USB-токене или жёстком диске владельца сертификата, а также локальные средства электронной подписи, работающие на его компьютере.

Обе технологии предполагают в процессе формирования электронной подписи взаимодействие пользователя со специальной информационной системой. Разница между этими двумя технологиями в том, что в случае дистанционной подписи система контролирует действия пользователя и защищает его ключи ЭП, хранящиеся в мобильном устройстве. В варианте облачной подписи ключи ЭП пользователя хранятся в специальной информационной системе, а на мобильном устройстве пользователя хранятся специальные ключи для управления.

Действующая редакция Федерального закона «Об электронной подписи» не содержит прямого запрета на использование участниками электронного взаимодействия квалифицированных электронных подписей, созданных с использованием ключей электронных подписей, хранящихся в централизованном хранилище, и облачных средств электронной подписи. Однако все сертифицированные средства криптографической защиты информации, включая средства электронной подписи, должны применяться в строгом соответствии с требованиями эксплуатационной документации и в соответствии с правилами их использования, которые в обязательном порядке учитывают нормативные требования, в частности:

1. При создании электронной подписи средства электронной подписи должны (п. 8 Требований):

• показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
• создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП;
• однозначно показывать, что ЭП создана.

Читайте также:

  
• Напишите следующие высказывания в виде логических выражений если компьютер включен
  
• Вывести текст из файла в listbox
  
• Какая версия format factory лучшая
  
• Usb plus пришла смс что это
  
• Как сделать apk файл expo