Замена бумажного документооборота на электронный во многих процессах — дело времени. А значит, все больше людей и компаний столкнутся с необходимостью использовать электронные подписи (ЭП). В статье ниже показано как их безопасно применять
Объем электронного документооборота в России в прошлом году на 22%, а рынок систем ЭДО увеличился на 10%. Сотрудники компаний используют больше 17 млн квалифицированных сертификатов электронных подписей. Однако, как показывает опрос предпринимателей, до сих пор 26,8% компаний исключительно с бумажными документами и только 3,8% ведут делопроизводство полностью в электронном формате.
Тем не менее количество пользователей ЭДО растет, юрлица и ИП стали активнее подключаться к цифровым сервисам документооборота. Использование электронной подписи — это определенная деловая культура, к которой нужно прийти. Поэтому компаниям важно обучать сотрудников работе с электронной подписью, а сотрудникам — осознавать все возможности и риски.
Разберем технологические аспекты, правовой статус и меры безопасности, обязательные для ее владельцев.
Существует три вида электронной подписи:
В простой подписи часто используется связка «логин — пароль» и push-уведомление на телефон или СМС с подтверждением кода для авторизации в личном кабинете на сайтах. Это наименее стандартизированный и защищенный вид подписи.
Усиленная неквалифицированная электронная подпись (УНЭП) предназначена для взаимодействия между участниками электронного документооборота. Например, в отношениях между сотрудником и работодателем или в специализированных сервисах, таких как личный кабинет налогоплательщика.
Этим видом подписи можно визировать юридически значимые документы в том случае, если участники электронного взаимодействия предварительно заключили соглашение о ее признании и использовании. УНЭП позволяет подтвердить личность подписанта и проверить неизменность содержания документа после заверения.
УНЭП считается достаточно защищенной, формируется с помощью криптографических преобразований. Сегодня ее можно сгенерировать самостоятельно, например в мобильном приложении «Госключ» от Минцифры, или получить в удостоверяющем центре, в том числе неаккредитованном в Минцифры.
Усиленная квалифицированная электронная подпись (УКЭП) нужна, чтобы вести юридически значимый электронный документооборот с внешними контрагентами, предоставлять отчетность в контролирующие органы, участвовать в электронных торгах, обмениваться формализованными документами с ФНС. Создается она с помощью специальных средств криптографической защиты, которые сертифицированы ФСБ России. Хранится на персональном защищенном носителе (токен — устройство, визуально напоминающее флешку). Для использования такого токена на компьютере должно быть установлено дополнительное ПО (программный криптопровайдер), иначе ничего подписать не получится.
УКЭП должна иметь квалифицированный сертификат в бумажном или электронном виде, его структура определена приказом ФСБ. Квалифицированную подпись выдают удостоверяющие центры, аккредитованные Минкомсвязи России.
Для создания квалифицированной электронной подписи используется закрытый ключ ЭП, а для ее проверки — открытый ключ и сертификат ЭП. Они генерируются одновременно, когда происходит выпуск подписи в удостоверяющем центре. После того как УЦ идентифицировал личность владельца ЭП и то, что именно этот человек — обладатель закрытого ключа, он включает в сертификат открытый ключ.
Закрытый ключ известен только владельцу ЭП. Он хранится на том самом токене, который похож на USB-флешку и защищен ПИН-кодом, или в компьютере. С помощью закрытого ключа подписываются, или шифруются, электронные документы.
Открытый ключ и сертификат доступны всем, кому отправляются подписанные электронные документы. С их помощью расшифровывают ЭП, чтобы понимать, кто именно подписал документ и что его никто не изменял после подписания.
Благодаря асимметричному шифрованию (с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, — дешифруется) нельзя подобрать закрытый ключ, зная открытый. Поэтому подписанный документ никто не сможет изменить или подделать.
Контролирующие органы следят за тем, чтобы УКЭП было невозможно подделать с помощью существующих технологий, а также обновляют алгоритмы, которые сохраняют эту задачу на высоком уровне сложности.
Стандартный срок действия УКЭП и сертификата — один год. Но после принятия поправки к федеральному закону ФЗ-63 летом 2023 года аккредитованные удостоверяющие центры обязаны их выдавать на срок не менее 12 лет, если заявитель обращается за этим и есть техническая возможность.
Вероятность неполадок в работе сервиса криптографической защиты чрезвычайно мала. Но возможны проблемы при взаимодействии с системами электронного документооборота (СЭД). Например, могут возникнуть задержки при отправке файлов по вине провайдеров — при высокой нагрузке на сервер оператора ЭДО перестает работать функционал обмена документами. В итоге документ с электронной подписью доставляется не вовремя.
И здесь важно отдельно обговорить обмен электронными документами с ФНС. Если происходит задержка или сбои во время передачи данных в это ведомство, то дата предоставления документов может быть просрочена, а это грозит определенными санкциями. Но, как правило, когда случаются проблемы такого рода на стороне государственных органов, то они идут навстречу и с пониманием относятся к техническим неполадкам.
У некоторых людей есть предубеждения против электронной подписи. Другие относятся к ней несерьезно. Важно понимать: электронная подпись — это полноценное подтверждение, равное подписи на бумажном документе. Она влечет за собой те же обязательства и ответственность, поэтому файлы, которые подписываются таким способом, всегда нужно читать, перед тем как подтвердить какое-либо действие.
Еще одно опасение пользователей — возможная кража персональных данных и их последующая компрометация.
Чтобы этого не произошло, важно помнить: нельзя никому передавать свой токен и ПИН-код от него. Также нужно понимать нюансы работы с ЭП. Свою подпись на документе можно отозвать только в том случае, если документ еще не был отправлен внешнему контрагенту. Если это уже сделано, то нужно аннулировать документ, и для этого снова потребуется воспользоваться ЭП.
Также от подписи нельзя отказаться. Но ею можно перестать пользоваться. Для этого не нужно идти в удостоверяющий центр и подавать какие-то документы. Достаточно отсоединить носитель с токеном и больше никогда не подключать его к компьютеру. Например, генеральный директор может по доверенности передать полномочия на подписание документов своим сотрудникам и далее не подписывать электронные документы лично (и просто хранить токен со своей УКЭП в каком-либо надежном месте, где носитель не затеряется).
Если понимать все нюансы электронного документооборота и роли электронных подписей в нем, то это позволит преодолеть предубеждения и безболезненно внедрить ЭДО в любом бизнес-процессе.
Но важна даже не утеря токена с электронной подписью, а ПИН-код от него.
Чтобы предотвратить проблемы, необходимо:
Сертификаты для физических лиц проще и безопаснее, так как не привязаны к компании юридически и уволенный сотрудник не сможет ничего подписать от имени организации, если доверенность была отозвана.
В случае кражи или компрометации электронной подписи ее необходимо срочно отозвать. Сейчас для этого нужно писать заявление, причем именно в том удостоверяющем центре, где ЭП была выпущена. Но через год появится возможность делать это удаленно: в июле 2023-го Минцифры России опубликовало приказ № 634, по которому владелец квалифицированного сертификата может подать заявление о прекращении его действия через Единый портал государственных услуг. Заявление должно быть подписано квалифицированной ЭП, поэтому придется создать новую (по сути, перевыпустить ЭП). Приказ вступит в силу с 1 сентября 2024 года и будет действовать до 1 января 2027 года.
Список документов, которые нужны для выпуска электронной подписи для сотрудников российских компаний:
Объем электронного документооборота в России в прошлом году на 22%, а рынок систем ЭДО увеличился на 10%. Сотрудники компаний используют больше 17 млн квалифицированных сертификатов электронных подписей. Однако, как показывает опрос предпринимателей, до сих пор 26,8% компаний исключительно с бумажными документами и только 3,8% ведут делопроизводство полностью в электронном формате.
Тем не менее количество пользователей ЭДО растет, юрлица и ИП стали активнее подключаться к цифровым сервисам документооборота. Использование электронной подписи — это определенная деловая культура, к которой нужно прийти. Поэтому компаниям важно обучать сотрудников работе с электронной подписью, а сотрудникам — осознавать все возможности и риски.
Разберем технологические аспекты, правовой статус и меры безопасности, обязательные для ее владельцев.
Виды электронной подписи
Электронная подпись — это аналог собственноручной подписи, который используют для заверения электронных документов.Существует три вида электронной подписи:
- простая электронная подпись (ПЭП);
- усиленная неквалифицированная электронная подпись (УНЭП);
- усиленная квалифицированная электронная подпись (УКЭП).
В простой подписи часто используется связка «логин — пароль» и push-уведомление на телефон или СМС с подтверждением кода для авторизации в личном кабинете на сайтах. Это наименее стандартизированный и защищенный вид подписи.
Усиленная неквалифицированная электронная подпись (УНЭП) предназначена для взаимодействия между участниками электронного документооборота. Например, в отношениях между сотрудником и работодателем или в специализированных сервисах, таких как личный кабинет налогоплательщика.
Этим видом подписи можно визировать юридически значимые документы в том случае, если участники электронного взаимодействия предварительно заключили соглашение о ее признании и использовании. УНЭП позволяет подтвердить личность подписанта и проверить неизменность содержания документа после заверения.
УНЭП считается достаточно защищенной, формируется с помощью криптографических преобразований. Сегодня ее можно сгенерировать самостоятельно, например в мобильном приложении «Госключ» от Минцифры, или получить в удостоверяющем центре, в том числе неаккредитованном в Минцифры.
Усиленная квалифицированная электронная подпись (УКЭП) нужна, чтобы вести юридически значимый электронный документооборот с внешними контрагентами, предоставлять отчетность в контролирующие органы, участвовать в электронных торгах, обмениваться формализованными документами с ФНС. Создается она с помощью специальных средств криптографической защиты, которые сертифицированы ФСБ России. Хранится на персональном защищенном носителе (токен — устройство, визуально напоминающее флешку). Для использования такого токена на компьютере должно быть установлено дополнительное ПО (программный криптопровайдер), иначе ничего подписать не получится.
УКЭП должна иметь квалифицированный сертификат в бумажном или электронном виде, его структура определена приказом ФСБ. Квалифицированную подпись выдают удостоверяющие центры, аккредитованные Минкомсвязи России.
Для создания квалифицированной электронной подписи используется закрытый ключ ЭП, а для ее проверки — открытый ключ и сертификат ЭП. Они генерируются одновременно, когда происходит выпуск подписи в удостоверяющем центре. После того как УЦ идентифицировал личность владельца ЭП и то, что именно этот человек — обладатель закрытого ключа, он включает в сертификат открытый ключ.
Закрытый ключ известен только владельцу ЭП. Он хранится на том самом токене, который похож на USB-флешку и защищен ПИН-кодом, или в компьютере. С помощью закрытого ключа подписываются, или шифруются, электронные документы.
Открытый ключ и сертификат доступны всем, кому отправляются подписанные электронные документы. С их помощью расшифровывают ЭП, чтобы понимать, кто именно подписал документ и что его никто не изменял после подписания.
Благодаря асимметричному шифрованию (с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, — дешифруется) нельзя подобрать закрытый ключ, зная открытый. Поэтому подписанный документ никто не сможет изменить или подделать.
Контролирующие органы следят за тем, чтобы УКЭП было невозможно подделать с помощью существующих технологий, а также обновляют алгоритмы, которые сохраняют эту задачу на высоком уровне сложности.
Стандартный срок действия УКЭП и сертификата — один год. Но после принятия поправки к федеральному закону ФЗ-63 летом 2023 года аккредитованные удостоверяющие центры обязаны их выдавать на срок не менее 12 лет, если заявитель обращается за этим и есть техническая возможность.
Технические риски: реальные и мнимые
В работе любых информационных систем случаются технические сбои.Вероятность неполадок в работе сервиса криптографической защиты чрезвычайно мала. Но возможны проблемы при взаимодействии с системами электронного документооборота (СЭД). Например, могут возникнуть задержки при отправке файлов по вине провайдеров — при высокой нагрузке на сервер оператора ЭДО перестает работать функционал обмена документами. В итоге документ с электронной подписью доставляется не вовремя.
И здесь важно отдельно обговорить обмен электронными документами с ФНС. Если происходит задержка или сбои во время передачи данных в это ведомство, то дата предоставления документов может быть просрочена, а это грозит определенными санкциями. Но, как правило, когда случаются проблемы такого рода на стороне государственных органов, то они идут навстречу и с пониманием относятся к техническим неполадкам.
У некоторых людей есть предубеждения против электронной подписи. Другие относятся к ней несерьезно. Важно понимать: электронная подпись — это полноценное подтверждение, равное подписи на бумажном документе. Она влечет за собой те же обязательства и ответственность, поэтому файлы, которые подписываются таким способом, всегда нужно читать, перед тем как подтвердить какое-либо действие.
Еще одно опасение пользователей — возможная кража персональных данных и их последующая компрометация.
Чтобы этого не произошло, важно помнить: нельзя никому передавать свой токен и ПИН-код от него. Также нужно понимать нюансы работы с ЭП. Свою подпись на документе можно отозвать только в том случае, если документ еще не был отправлен внешнему контрагенту. Если это уже сделано, то нужно аннулировать документ, и для этого снова потребуется воспользоваться ЭП.
Также от подписи нельзя отказаться. Но ею можно перестать пользоваться. Для этого не нужно идти в удостоверяющий центр и подавать какие-то документы. Достаточно отсоединить носитель с токеном и больше никогда не подключать его к компьютеру. Например, генеральный директор может по доверенности передать полномочия на подписание документов своим сотрудникам и далее не подписывать электронные документы лично (и просто хранить токен со своей УКЭП в каком-либо надежном месте, где носитель не затеряется).
Если понимать все нюансы электронного документооборота и роли электронных подписей в нем, то это позволит преодолеть предубеждения и безболезненно внедрить ЭДО в любом бизнес-процессе.
Цифровая безопасность при работе с электронной подписью
Обладателям электронной подписи необходимо соблюдать меры информационной безопасности. Если злоумышленники получат к ней доступ, последствия могут быть неприятными, а в случае с УКЭП — болезненными для бизнеса. Например, мошенники могут взять кредит на компанию или вывести деньги со счетов. Ведь имея квалифицированный сертификат физического лица, можно совершать любые сделки.Но важна даже не утеря токена с электронной подписью, а ПИН-код от него.
Чтобы предотвратить проблемы, необходимо:
- хранить УКЭП только на токене с хорошей криптографической защитой, а не на любой флешке;
- обязательно блокировать компьютер, на котором ведется работа с ЭП, чтобы никто посторонний не имел к нему доступа;
- не передавать никому свой ключ и не раскрывать пароль (ПИН-код) от ЭП коллегам или друзьям (как мы уже говорили выше, кроме владельца, его никто не должен знать).
Сертификаты для физических лиц проще и безопаснее, так как не привязаны к компании юридически и уволенный сотрудник не сможет ничего подписать от имени организации, если доверенность была отозвана.
В случае кражи или компрометации электронной подписи ее необходимо срочно отозвать. Сейчас для этого нужно писать заявление, причем именно в том удостоверяющем центре, где ЭП была выпущена. Но через год появится возможность делать это удаленно: в июле 2023-го Минцифры России опубликовало приказ № 634, по которому владелец квалифицированного сертификата может подать заявление о прекращении его действия через Единый портал государственных услуг. Заявление должно быть подписано квалифицированной ЭП, поэтому придется создать новую (по сути, перевыпустить ЭП). Приказ вступит в силу с 1 сентября 2024 года и будет действовать до 1 января 2027 года.
Что нужно, чтобы выпустить УКЭП
Для разных категорий получателей существует свой порядок выпуска электронной подписи.- Руководители юридических лиц, предприниматели и нотариусы могут получить электронную подпись только в Удостоверяющем центре ФНС России.
- Должностные лица государственных органов из бюджетных организаций должны обращаться в Удостоверяющий центр Федерального казначейства.
- Кредитные организации, операторы платежных систем, некредитные финансовые организации и индивидуальные предприниматели, осуществляющие виды деятельности, перечисленные в ч. 1 ст. 76.1 федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации», получают ЭП в Удостоверяющем центре Центрального банка РФ.
- ЭП для физического лица выдается в любом аккредитованном удостоверяющем центре.
Список документов, которые нужны для выпуска электронной подписи для сотрудников российских компаний:
- паспорт;
- страховой номер индивидуального лицевого счета (СНИЛС);
- идентификационный номер налогоплательщика (ИНН).
- идентификационный номер налогоплательщика (ИНН) юридического лица иностранной организации;
- код причины постановки на учет (КПП);
- номер записи об аккредитации филиала или представительства иностранной организации (НЗА);
- нотариально удостоверенную доверенность о наделении на территории РФ руководителя филиала или представительства иностранного юридического лица необходимыми полномочиями.
