КАКОЙ КЛЮЧ ДЛЯ ПРОВЕРКИ ЭЛЕКТРОННОЙ ПОДПИСИ ЯВЛЯЕТСЯ КЛЮЧЕВЫМ

Что такое электронная подпись

Из нашей статьи вы узнаете:

Отвечаем на самые распространëнные вопросы об электронной подписи.

Какие основные параметры защиты документа обеспечивает электронная подпись?

При создании электронной подписи используют криптографические алгоритмы и протоколы, а также специальное программное обеспечение. Закрытый ключ электронной подписи и сертификат проверки хранятся на специальном токене. Благодаря этому обеспечиваются требуемые свойства подписываемых документов:  целостность, достоверность, подлинность.

Что такое электронная подпись?

Электронная подпись — это цифровые данные, которые позволяют идентифицировать лицо, подписавшее электронный документ.

Электронная подпись может быть простой или усиленной. В свою очередь, усиленная бывает неквалифицированной и квалифицированной (создаётся с использованием криптографических средств электронной подписи и ключа электронной подписи).

Что такое откреплённая электронная подпись?

Откреплённая электронная подпись — это электронная подпись, которая представляет собой отдельный файл, полученный по итогу криптографических операций (создание подписи) непосредственно при подписании документа. При этом файл с подписью представлен в особом формате (sig/sgn/sign), а файл подписываемого документа является неотъемлемой частью такой электронной подписи. Передавать такой документ необходимо с файлом электронной подписи для её проверки.

Время на прочтение

В части 1, части 2, части 3 были рассмотрены основные системы инфраструктуры ПЭП. В этой части будет рассмотрен порядок проектирования для практической реализации инфраструктуры. Сразу отмечу, что описание носит обобщенный характер, и не является ни туториалом, ни инструкцией, ни руководством. Как было отмечено в первой части, вся статья представляет собой только личное видение, основанное на практике внедрения ПЭП в информационные системы агентов, оказывающих сложные, многоэтапные технологические услуги. Цель внедрения ПЭП — расширить географию обслуживания за счет переноса в сеть Интернет документооборота при оказании услуги физическим лицам и минимизации необходимости личных визитов клиентов в офис компании. Для упрощения примера, не будем рассматривать большие компании со сложным документооборотом, а возьмем абстрактную компанию, оказывающей услуги домашней автоматизации. Документооборот услуги такой компании в минимальном варианте состоит из заявки на проектирование, договор с техническим заданием и акта выполненных работ.

Требования и описание архитектуры

Перед началом проектирования необходимо систематизировать имеющиеся описания архитектуры и собрать требования заинтересованных сторон. В первую очередь отметим, что в системной инженерии, требования федерального законодательства, регионального законодательства, различных ведомственных и корпоративных нормативных актов не являются требованиями заинтересованных сторон. Государство не является заинтересованной стороной проекта, государство выступает в роли аналитика и проектировщика и закон предоставляет высокоуровневое описание архитектуры, концепцию, а не требования. Эта концепция должна быть обязательно воплощена в готовом продукте, чтобы считать проект успешным с точки зрения государства в лице исполнительных и контролирующих органов.

Концепция, которая описана в нормативных актах, практически всегда бывает разбросана по различным документам. Единую концепцию из всех этих разрозненных описаний формируют с помощью выписок и разъяснений. Выписка – это часть документа, которая трассируется на исходный документ с помощью реквизитов выписки – номер, дата и заголовок исходного документа и положение в исходном документе (номер раздела, пункта, абзаца). Иногда на практике случается, что выписка имеет неопределенность, в таком случае используется дополнительный документ – разъяснение, обычно оформленное в виде письма государственного органа.

Реальными требованиями, придающими любому проекту уникальность, являются только ожидания и потребности конкретных физических лиц, чью жизнь может изменить или на чью жизнь может повлиять жизненный цикл результата проекта — проектирование, планирование, воплощение и эксплуатация результата проекта. В данной статье такие требования рассматриваться не будут, так как являются специфичными и уникальными для каждого проекта.

Часто к нам обращаются с вопросом, как установить сертификат через КриптоПpo CSP. Ситуации бывают разные: сменился директор или главбух, получили новый сертификат в удостоверяющем центре и т.п. Раньше все работало, а теперь нет. Рассказываем, что нужно делать, чтобы установить личный цифровой сертификат на компьютер.

Вы можете установить личный сертификат двумя способами:

1. Через меню КриптоПро CSP «Просмотреть сертификаты в контейнере»

2. Через меню КриптоПро CSP «Установить личный сертификат»

Если на рабочем месте используется операционная система Windows 7 без SP1, то устанавливать сертификат следует по рекомендациям варианта № 2.

Вариант № 1. Устанавливаем через меню «Просмотреть сертификаты в контейнере»

Чтобы установить сертификат:

2. В открывшемся окне нажмите на кнопку “Обзор”. Выберите контейнер и подтвердите свой выбор кнопкой ОК.

3. В следующем окне нажмите “Далее”.

Если появится сообщение “В контейнере закрытого ключа отсутствует открытый ключ шифрования”, перейдите к установке цифрового сертификата по варианту № 2.

4. Если на вашем компьютере установлена версия “КриптоПро CSP” 3.6 R2 (версия продукта 3.6.6497) или выше, то в открывшемся окне нажмите на кнопку “Установить”. После этого согласитесь с предложением заменить сертификат.

Если кнопка “Установить” отсутствует, в окне “Сертификат для просмотра” нажмите кнопку “Свойства”.

6. В окне “Мастер импорта сертификатов” выберите “Далее”.

7. Если у вас уставлена версия “КриптоПро CSP” 3.6, то в следующем окне достаточно оставить переключатель на пункте “Автоматически выбрать хранилище на основе типа сертификата” и нажать “Далее”. Сертификат будет автоматически установлен в хранилище “Личные”.

8. В следующем окне нажмите “Далее”, затем “Готово” и дождитесь сообщения об успешной установке сертификата: “Импорт успешно выполнен”.

Вариант 2. Устанавливаем через меню «Установить личный сертификат»

Для установки вам понадобится, собственно, сам файл сертификата (с расширением .cer). Он может находиться, например, на дискете, на токене или на жестком диске компьютера.

2. В окне “Мастер установки личного сертификата” нажмите на кнопку “Далее”. В следующем окне, чтобы выбрать файл сертификата, нажмите “Обзор”.

3. Укажите путь к сертификату и нажмите на кнопку “Открыть”, затем “Далее”.

4. В следующем окне вы можете просмотреть информацию о сертификате. Нажмите “Далее”.

5. На следующем шаге введите или укажите контейнер закрытого ключа, который соответствует выбранному сертификату. Для этого воспользуйтесь кнопкой “Обзор”.

6.  Выбрав контейнер, нажмите “Далее”.

7. Дальше вам необходимо выбрать хранилище, куда будет установлен сертификат. Для этого в окне “Выбор хранилища сертификатов” нажмите на кнопку “Обзор”.

Если у вас установлена версия КриптоПро CSP 3.6 R2 (версия продукта 3.6.6497) или выше, поставьте флаг “Установить сертификат в контейнер”.

8. Выберите хранилище “Личные” и нажмите ОК.

9. Хранилище вы выбрали. Теперь нажмите “Далее”, затем — “Готово”. После этого может появиться сообщение:

В этом случае нажмите “Да”.

10.  Дождитесь сообщения об успешной установке личного сертификата на компьютер.

Все, можно подписывать документы, используя новый сертификат.

Виды электронной подписи

Электронная подпись бывает трех видов.

Простая электронная подпись

Неквалифицированная электронная подпись

Обладает более высоким уровнем защиты, у нее есть сертификат и ключевая пара. Но к криптографическим средствам нет строгих требований. Поэтому для признания юридической значимости документа с НЭП требуется дополнительное соглашение
между партнерами. Электронный документ с НЭП не примут в госорганах, потому что защита данных недостаточно надежная. А в случае судебных разбирательств, авторство и признание НЭП сторонами соглашения придется доказывать.

Соответствует требованиям 63-ФЗ «Об электронной подписи» и обеспечивает нужный уровень защиты информации. Документы с КЭП имеют полную юридическую силу и равны бумажному аналогу с подписью от руки. Такие документы принимают
все участники электронного документооборота, в том числе госорганы, без дополнительных соглашений.

С ней юридическое лицо и предприниматель могут обмениваться электронными документами с партнерами и госслужбами, участвовать в торгах, регистрировать кассу и работать с системами контроля (ЕГАИС и Честный ЗНАК).
Это позволяет ускорить бизнес-процессы и существенно сократить затраты ресурсов.

Подпись позволяет оформить налоговый вычет, открыть бизнес, зарегистрировать недвижимость, подписать электронные документы и участвовать в электронных торгах.

Безопасность квалифицированной электронной подписи

Электронная подпись наделяет владельца широкими возможностями, поэтому к ее защите нужно подходить ответственно.

Аккредитация Минцифры РФ

Чтобы сертификат подписи и ключи были выпущены по всем требованиям законодательства, выбирайте только аккредитованный Минцифры РФ удостоверяющий центр.

Соблюдайте конфиденциальность ключа подписи

При использовании КЭП всегда помните, что у вас в руках не просто флешка, а важный инструмент. С его помощью злоумышленники могут вывести деньги со счета организации или даже переоформить ее на себя. Поэтому не передавайте
токен третьим лицам, храните его в надежном месте и поменяйте заводской пароль.

Если токен потерялся, незамедлительно сообщите об этом в выпустивший подпись удостоверяющий центр, чтобы отозвать сертификат.

Обеспечьте безопасность рабочего места

Не подключайте токен к небезопасному компьютеру и не оставляйте его постоянно подключенным к рабочему месту. Используйте только лицензированное ПО и вовремя обновляйте программы безопасности. Установите лицензионный антивирус.
Будьте бдительны в работе с электронной подписью.

Нужна электронная подпись?

Какой носитель нужен для электронной подписи?

Ключ простой электронной подписи не требует записи на внешний носитель. Ключ электронной подписи для создания неквалифицированной электронной подписи чаще всего хранится в централизованном защищённом носителе (облачная подпись), но может быть записан на любой носитель, в том числе и на специальный — токен.

Для хранения ключа электронной подписи, с помощью которого создаётся квалифицированная электронная подпись, которую выдают Удостоверяющие центры ФНС России, Казначейства, Банка России, а также коммерческие аккредитованные удостоверяющие центры, используют специальные сертифицированные ФСБ России или ФСТЭК носители — токены формата USB-А: Рутокен ЭЦП 2.0, Рутокен ЭЦП 3.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT и другие. Купить их можно в коммерческих удостоверяющих центрах, в том числе в УЦ СберКорус.

Для каких видов ЭДО используется электронная подпись?

Электронная подпись используется во всех видах ЭДО при взаимодействии:

Вид используемой электронной подписи определяется в зависимости от вида ЭДО и типа документов. Например, формализованные документы, такие как счета-фактуры, УПД, УКД, электронная транспортная накладная можно подписывать только УКЭП в силу требований регулятора к виду электронной подписи. Некоторые кадровые документы подписывают только УКЭП или УНЭП, например, договоры (трудовой, о материальной ответственности, ученический). Сервисы по сдаче отчётности в госорганы предполагают использование только УКЭП. В электронном документообороте между организациями также подписывают юридические документы усиленной квалифицированной подписью.

Сервисы электронного документооборота помогают выбрать необходимый вид ЭП для подписания документа. Функционал некоторых сервисов предполагает выпуск электронной подписи пользователям. Кадровый ЭДО от СберКорус предоставляет возможность бесплатно выпустить УНЭП сотрудникам для подписания любых кадровых документов. На это требуется меньше минуты: электронная подпись генерируется непосредственно в личном кабинете сотрудника.

Как получить электронную подпись

Квалифицированную электронную подпись индивидуальные предприниматели и руководители юридических лиц получают в УЦ ФНС. Физические лица и сотрудники организации — в аккредитованных удостоверяющих центрах.

В УЦ «Калуга Астрал» можно оформить «Астрал-ЭТ»: электронная подпись даёт возможность участия в торгах, работы на государственных порталах и ведения электронного документооборота. В УЦ «Калуга Астрал» можно оформить «Астрал-ЭТ»: электронная подпись даёт возможность участия в торгах, работы на государственных порталах и ведения электронного документооборота.

Как подписывают документ электронной подписью?

Прежде всего, для получения возможности подписания документа квалифицированной электронной подписью необходимо на рабочее место (компьютер) установить и настроить лицензионное программное обеспечение — сертифицированное средство криптографической защиты информации (СКЗИ), например, КриптоПРО CSP. Далее процесс подписания зависит от того, какой документ нужно подписать. Это может быть простой (в любом формате) или формализованный документ в системе электронного документооборота (ЭДО), на сайтах и порталах госорганов.

Для подписания документа электронной подписью используют:

Для подписания в системе ЭДО файл, который необходимо подписать и отправить, загружают в систему, создают документ на основе загруженного файла, переходят в раздел «Подписание» или аналогичный, выбирают сертификат электронной подписи и подтверждают подписание.

Возможности электронной подписи

Чтобы понять, из чего состоит электронная подпись, разберёмся в её разновидностях.

Существуют разные электронные подписи: простая, усиленная неквалифицированная и усиленная квалифицированная. Возможности у них разные.

Усиленные неквалифицированная и квалифицированная подписи имеют больший уровень безопасности, потому что создаются с применением криптографии. Это позволяет использовать их в электронном документообороте, они приравниваются к рукописной подписи и печати организации.

Различие между квалифицированной и неквалифицированной подписями в том, что вторая требует предварительного заключения соглашения между участниками ЭДО. Также с помощью квалифицированной подписи можно отправлять электронную отчётность и участвовать в госзакупках.

Сокращённо электронную подпись называют ЭП или ЭЦП.

На какой срок выдаётся электронная подпись?

Квалифицированная электронная подпись выдаётся на 3, 12, 15 месяцев. В СберКорус физические лица могут оформить электронную подпись на выбранный срок и в качестве дополнительной услуги оформить продление срока действия сертификата на 3 месяца.

Из чего состоит электронная подпись

В составе ЭП есть сертификат и пара ключей: закрытый используется для создания подписи, открытый — для её проверки. Это относится к квалифицированной электронной подписи.

Сертификат можно сравнить с цифровым паспортом организации или физического лица. Он содержит следующую информацию:

Для работы с электронной подписью нужен криптопровайдер — программа, с помощью которой осуществляют криптографические операции. Одним из самых популярных криптопровайдеров является «КриптоПро CSP» .

Электронную подпись хранят на токене — это физический носитель, напоминающий флеш-карту с USB-разъемом. Но в отличие от неё, токен имеет криптографическую защиту. Некоторые носители оборудованы встроенным криптопровайдером.

Можно ли записать ключи электронной подписи на обычную флешку?

Нельзя записать ключи квалифицированной электронной подписи на обычную флэшку. Обеспечить конфиденциальность хранения ключа электронной подписи может сертифицированный ФСТЭК или ФСБ токен.

Где используется электронная подпись?

Простая электронная подпись формируется с использование кодов, паролей. Чаще всего используется для авторизации на интернет-сайтах и порталах, в мобильных приложениях. Она также подтверждает, что документ или сообщение отправлено конкретным пользователем.

Усиленная неквалифицированная электронная подпись (УНЭП) — это аналог собственноручной подписи на бумажном документе. У НЭП можно применять для любых типов документов, за исключением тех, которые оформляются только на бумажном носителе или с использованием УКЭП.

Усиленная квалифицированная электронная подпись (УКЭП) — это аналог собственноручной подписи на бумажном носителе. В силу Федерального закона № 63-ФЗ «Об электронной подписи» используется в любых юридически значимых электронных действиях и сделках, за исключением случаев, когда документы должны быть подписаны только на бумаге. Для создания УКЭП требуется ключ электронной подписи (закрытый ключ, как называют его пользователи), а для проверки УКЭП требуется квалифицированный сертификат ключа проверки электронной подписи (открытый ключ), который создаётся аккредитованными удостоверяющими центрами после идентификации его владельца и применяется для обмена юридически значимыми документами с контрагентами и госорганами, в том числе для сдачи обязательной отчётности, тендерной документации и участия в торгах, регистрации электронных сделок с недвижимостью.

Электронная подпись (ЭП)

Это электронная информация, которую присоединяют к другой электронной информации для установления личности подписанта. Формируется в момент подписания документа в электронном виде.

В зависимости от вида и степени защиты
подпись используют также, чтобы защитить документ от изменений и наделить его юридической силой.

Имеет ли юридическую значимость документ, подписанный электронной подписью?

Юридическую значимость имеет электронный документ, подписанный усиленной электронной подписью. Такие документы, согласно Федеральному закону № 63-ФЗ «Об электронной подписи», признаются равнозначными бумажным с подписью от руки и могут быть использованы в любых правоотношениях, за исключением случаев, когда бумажный документ заменить электронным нельзя.

Юридическую значимость может иметь и документ, подписанный простой или неквалифицированной электронной подписью, но только в случаях, предусмотренных законодательством в соответствии с нормативными правовыми актами или при наличии соглашения между участниками электронного взаимодействия о признании таких ЭП юридически значимыми.

Из чего состоит квалифицированная электронная подпись?

Безопасность зашифрованных данных обеспечивает ключевая пара, которая состоит из открытого и закрытого ключей. Ключи неразрывно связаны между собой ассиметричным математическим соотношением. Алгоритмы связи почти невозможно восстановить
даже с помощью ключа шифрования, который использовали для защиты данных. Поэтому срок действия КЭП не бывает дольше 12-15 месяцев.

Цифровой код подписи, который содержит уникальный регистрационный номер, личные данные владельца и срок действия сертификата. Он фиксирует состояние документа и подтверждает личность владельца, поэтому его видят все пользователи
информационный системы. Открытый ключ формирует удостоверяющий центр. Для учета и проверки подлинности подписей каждый центр ведет свой реестр сертификатов.

Уникальный код, который заверяет документ, дешифрует информацию и используется для создания подписи. Это конфиденциальный ключ, поэтому доступ к нему есть только у владельца. Ответственность за хранение закрытого ключа и подписанные
документы полностью лежит на владельце КЭП.

Как это работает

Пользователь подписывает документ с помощью закрытого ключа. Для безопасности данных средства криптографической защиты информации формируют уникальную электронную подпись для документа по требованиям алгоритмов и стандартов
создания подписи.

Передача конфиденциальных сведений через интернет

Электронная подпись удостоверяет документ, а сертификат удостоверяет саму электронную подпись. Сертификат — это электронный паспорт участника системы документооборота. Он содержит данные об издателе и владельце сертификата, срок
действия, серийный номер и уникальный код сертификата (открытый ключ).

Сертификат необходим для операций с юридически значимыми документами: сдачи отчетности в государственные органы, передачи первичных бухгалтерских
документов, участия в электронных торгах. Он подтверждает факт принадлежности ЭП ее владельцу и наличие у него соответствующих полномочий.

Сертификат выдает удостоверяющий центр. Для выдачи сертификатов усиленной
квалифицированной электронной подписи у удостоверяющего центра должен быть статус аккредитованного УЦ или свидетельство Минцифры о прохождении аккредитации.

Записать ключевую пару и сертификат необходимо на надежный носитель. Высоким уровнем безопасности и сертификацией уполномоченных органов обладает USB-устройство ESMART Token/Rutoken. Оно обеспечивает защищенное хранение с возможностью
задать секретный пин-код.

Важно понимать, что обеспечение безопасности электронной подписи лежит на владельце подписи.  Любое нарушение влечет потерю информации и юридической значимости документа. Если
данные попадут к злоумышленникам, это обязательно приведет к финансовым или даже правовым рискам. Поэтому используйте только надежное устройство для хранения подписи и следите за тем, чтобы токен не попадал
к посторонним лицам.

Лицензия КриптоПро

Для работы, шифрования и создания подписи на компьютер необходимо установить средства криптографической информации (СКЗИ). Он соответствует требованиям ГОСТ и позволяет осуществлять все необходимые действия с ЭП. Для использования
модуля нужна лицензия КриптоПро.

Удостоверяющий центр СберКорус выпускает электронную подпись, в стоимость которой уже входит лицензия. Если у вас есть бессрочная лицензия, ЭП можно приобрести без нее по сниженной
цене.

Что нужно для получения квалифицированного сертификата ключа проверки электронной подписи?

Усиленная квалифицированная электронная подпись выдаётся только её будущему владельцу после установления его личности. Для получения необходимо предоставить документ, удостоверяющий личность, СНИЛС, ИНН физического лица или ИНН юридического лица в случае получения сертификата электронной подписи на юридическое лицо. Также для записи сертификата электронной подписи потребуется сертифицированный ФСТЭК или ФСБ России носитель (токен).

Как хранить ключ электронной подписи?

Токен с записанным на него ключом электронной подписи рекомендуется хранить в защищённом месте без доступа к нему посторонних лиц, ни в коем случае не передавать третьим лицам и не оставлять подключённым к компьютеру без присмотра. Оставление токена без присмотра повышает риск совершения мошеннических действий путём подписания каких-либо документов от имени владельца. В суде практически невозможно доказать, что владелец ключа электронной подписи не подписывал документы в таком случае. Закон № 63-ФЗ «Об электронной подписи» обязывает владельца ключа электронной подписи хранить его в конфиденциальности.

Законодательная концепция архитектуры ПЭП

Основой подписи является информация, которую она передает. Как было показано при анализе целевой системы, подпись передает информацию о ПД, и необходимо решить, какие ПД контрагента будут локально зарегистрированы в системе делопроизводства агента. Ответ на этот вопрос дает выписка статей 20 и 21 ГК РФ – ФИО и место жительства. Для локального пространства доверия этих ПД достаточно, но если есть цель юридической значимости ПЭП, то необходимы идентификационные коды, присвоенные этим ПД в уполномоченной системе регистрации. Уполномоченная система в РФ – это МВД. М ВД для ФИО и места жительства присваивает идентификационный код – серия и номер паспорта. Таким образом, чтобы локальная регистрация потенциально стала уполномочено-локальной, необходимо регистрировать ФИО, место жительства, серию и номер паспорта.

Следующим этапом является определение ключей ПЭП – открытого и закрытого ключа. Теоретически, в качестве ключей ПЭП можно использовать любые уникальные наборы кодов, паролей и иных средств, сопоставленные с ПД. Выписка из ФЗ-63, а именно статья 4, не конкретизирует, что это за ключи. Но так как нужно добиться значимости подписи, здесь мы можем опереться на документы иного рода – судебную практику. Как показывает судебная практика, основной момент, который оспаривается в судах – это то, что выбранный метод подписи не имеет признаков аналога собственноручной подписи (АЛП). Разные заинтересованные стороны по разному решают этот вопрос. Самый главный признак АЛП — неотчуждаемость от персональных данных В качестве открытого ключа нельзя выдумывать код, этот код должен однозначно указывать на ПД, аналогично монограмме личной подписи и должен быть зарегистрирован в уполномоченном органе, аналогично, как в паспорте зарегистрирована монограмма. На текущий момент таким кодом является только СНИЛС. Он и используется в качестве открытого ключа ПЭП при предоставлении государственных услуг, более того, он используется в качестве открытого ключа ПЭП в информации электронных сертификатов ЭЦП. Дискуссионным является вопрос, насколько СНИЛС уполномочен выполнять это роль, так как законодательно он предназначен совсем для другого использования. На законодательном уровне есть предложения ввести новый код, именно для этих целей, но пока де-факто практика сложилась так, что используется СНИЛС, который является неизменным и уникальным, а также зарегистрирован в уполномоченном органе.

В качестве закрытого ключа можно использовать любой пароль. Но очень желательно, чтобы данный пароль использовался только в целях подписи и не совмещал в себе другие роли, такие как вход на сайт. Тем самым решаются две технические задачи: есть закрытый ключ, известный только владельцу ПД (аналог двигательного навыка собственноручной подписи, проанализированный в части 2) и есть событие электронной подписи – ввод закрытого ключа ПЭП аналогичен движению руки при визуализации монограммы.

Дополнительно можно проверить, что «рукой движет» именно владелец. Для этого используется вторичный открытый ключ – номер телефона. На номер телефона отправляется SMS c кодом, который, в данном случае, играет роль одноразового закрытого ключа. Ввод кода при подписи аналогичен применению закрытого ключа. При таком применении номера телефона желательно обеспечить неугадываемость кодов, что гарантирует, что закрытый ключ в момент подписи известен только владельцу ПД. Допустимо использование номера телефона просто в качестве дополнительного открытого ключа, применение которого подтверждает факт подписи. В этом случае высылаемый код не является закрытым ключом и закрытый ключ должен быть отдельный.

Суммируя все вышесказанное, в системе обработки ПД, должны храниться:

В сумме это образует некий слепок электронного паспорта – локально-уполномоченного аналога обычного паспорта, где СНИЛС – аналог монограммы собственноручной подписи.

Система формирования сообщения о персональных данных контрагента

Следующим этапом является решение вопроса о том, как ПД регистрируются в системе агента. Здесь мы упираемся в большое противоречие, заложенное в описании архитектуры работы с ПД в ФЗ-152 и ФЗ-63. Выписка статьи 9 из ФЗ-152 гласит:

В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных. Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.

Проблема в том, что, в случае с ПЭП, необходимо получить ПД, чтобы сформировать электронную подпись, а для того чтобы собрать ПД, необходимо получить согласие, уже подписанное электронной подписью. Плюс к этому, согласно выписке статьи 9 из ФЗ-63, необходимо соглашение о использовании простой электронной подписи. Получается замкнутый круг, который, с первого взгляда, можно разорвать лишь собственноручной подписью соглашения и согласия с личным визитом. Но, если использовать определенную форму соглашения об использовании ПЭП, а именно договор присоединения(публичную оферту), и совместить получение ПД с подписанием согласия, возможно сделать все удаленно. Таким образом, практически без вариантов, закон диктует следующий алгоритм регистрации ПД контрагента для использования в системах ПЭП, если ставится задача обойтись без личных визитов:

Определившись с перечнем сохраняемых ПД, необходимо запроектировать архитектуру, заложенную в описании ФЗ-152. Реализация этой архитектуры состоит из технических и организационных мер, защищающих ПД от несанкционированного доступа. Основные шаги, которые необходимо сделать:

В самом простом случае, если ПД невозможно использовать ни для каких других целей, кроме как идентификации субъекта ПД в целях оказания услуги и ПД ни при каких условиях не могут быть переданы третьим лицам, шаг 3 допустимо пропустить, с обоснованного разрешения квалифицированного специалиста по информационной безопасности.

Следующим этапом является решение вопроса о пространстве доверия ПЭП. Если источником ПД для хранения в системе обработки ПД является сайт агента, то это локальное пространство доверия и доверять может только агент. Для повышения статуса доверия необходимо сверить эти данные с оригиналом документа, выдаваемого при уполномоченной регистрации ПД – с оригиналом паспорта. Именно оригиналом, так как получение скан-копий паспортов через сайт – это просто усложненный ввод ПД, и он мало чем отличается от просто ввода ПД. Удаленно запрашивать скан-копии паспортов особого смысла не имеет и статуса доверия к данным не повышает, но при этом повышает уровень требований к защите ПД. И со стороны контрагентов запрос скан-копий паспортов часто провоцирует негативную реакцию, и от такого варианта стоит отказаться. Для сверки может применяться как отдельный личный визит контрагента, также это может быть совмещено с каким-либо этапом оказания услуги, при котором возникает личное взаимодействие с контрагентом. Государственные электронные услуги используют сверку с ЕСИА. Планируется также создание отдельного механизма для электронной сверки персональных данных. Таким образом, запись ПД в системе обработки персональных данных может иметь два статуса – подтверждена/не подтверждена. Аналогичные статусы используются и на порталах государственных услуг.

Система оформления подписи

Цель системы оформления подписи – обеспечить ее непереносимость на другие документы. И агент, и контрагент должны быть уверены, что ПЭП, которой контрагент подписал некоторый документ, нельзя будет впоследствии отнести к другому документу, о котором он и понятия не имеет. В целом, законодательные акты не предусматривают для ПЭП такой функции, как непереносимость, но для юридической значимости подписи это важно. Для того, чтобы связать ПЭП с конкретным документом, в системе агента необходимо иметь электронный реестр ПЭП, где каждая ПЭП получит уникальный инкрементный идентификационный номер. Инкремент позволяет привязать подпись к времени ее постановки, меньший номер говорит о том, что подпись получена раньше. Фактически, такой номер ПЭП – это вторичный открытый ключ ПЭП. Реестр, кроме собственно материализации ПЭП, должен связывать связью «один-к-одному» ПД контрагента, идентификационный номер и дату документа, время подписания и ПЭП.

Реестр обеспечивает и другую важную возможность системы оформления подписи – конвертацию документа с подписью из электронного вида в бумажный. Во многих организациях, например в судах, принят бумажный документооборот. Для того, чтобы, при необходимости, можно было представить в такую организацию документ с подписью, в системе должен быть сервис конвертации документов из электронного вида в бумажный. Конвертируют подписанные документы в формат PDF. При визуализации простой электронной подписи в бумажной форме, должны быть визуализированы открытые ключи ПЭП (первичные и вторичные), т.е., исходя из нашего проектирования, должны быть визуализированы ФИО, СНИЛС, номер телефона (если используется), уникальный идентификационный номер ПЭП. Визуализируются они согласно принятым правилам делопроизводства, обычно под содержимым документа, например так:

Подписано простой электронной подписью:
Иванов Иван Иванович, СНИЛС 000-000-000 00, Телефон (000) 000-00-00.
Регистрационный номер подписи: 0000000 от 31.01.2017 10:05:47

Можно также опереться на методические рекомендации межведомственного электронного документооборота (МЭДО) и визуализировать в стандарте PDF/А.

Система использования закрытого ключа для передачи открытого ключа

Система достаточно подробно разобрана в части 2. Архитектура строится на основе статьи 12 ФЗ-63, т.е система обязательно должна обеспечивать:

Адаптация системы делопроизводства

Адаптация системы делопроизводства должна обеспечить неизменяемость документа после подписания. П ЭП, по своей структуре, никак не может выполнять эту роль. Все документы, поступающие в систему делопроизводства, можно разделить на два типа: односторонние и многосторонние. Односторонние документы, подписанные только контрагентом, такие, как заявления и обращения, обычно не требуют обеспечения неизменяемости, так как, по своей природе являются инициирующими, стартовыми. Они могут меняться, редактироваться, отклоняться. Для таких документов достаточно только ПЭП контрагента, которая, в некоторых случаях, может быть заверена усиленной подписью агента при поступлении в систему делопроизводства. В противоположность односторонним документам, многосторонние документы должны быть неизменяемы, поэтому на таких документах первую подпись ставит агент, и эта подпись должна быть усиленной, с использованием криптографии, для обеспечения неизменяемости документа. Для того, чтобы предоставить контрагенту гарантии того, что документ не изменится после того, как на него будет поставлена ПЭП, важную роль играет время постановки подписи. Усиленная подпись агента должна быть по времени раньше, чем ПЭП контрагента, и этот факт должен быть зафиксирован независимыми источниками. Соответственно, усиленная подпись должна быть с возможностью постановки штампов времени (OID 1.2.643.2.2.34.25). Выполнение этих условий призвано обеспечить как доверие между контрагентом и агентом, так и доверие третьих сторон.

В последнее время наметился ощутимый тренд к переходу к простой электронной подписи в документообороте с физическими лицами ввиду сложности и затратности инфраструктуры открытых ключей. Портал государственных услуг переводит на ПЭП большинство государственных услуг для физических лиц. Надеюсь, эта статья будет полезной для заинтересованных лиц в разработке и применении инфраструктуры ПЭП при оказании услуг физическим лицам через сеть Интернет.

Срок действия электронной подписи

Чаще всего срок действия электронной подписи — 12 месяцев. Ближе к окончанию срока подпись можно перевыпустить и продлить ее действие еще на год, если это не ограничивает законодательство. С 2021 года КЭП юрлица невозможно продлить
на прежний срок действия.

Электронную подпись физического лица можно выпустить на 3 месяца. Ее также можно продлевать онлайн на нужный срок.

Продлить электронную подпись можно в удостоверяющем центре или через личный кабинет на сайте. Сделать это нужно обязательно до окончания
действия текущего сертификата. Если срок уже закончился, необходимо выпустить новую подпись.

Продлить КЭП юрлица может только руководитель, КЭП предпринимателя — только сам предприниматель лично. С 1 июля 2021 года
подписи ЮЛ и ИП будут выдавать удостоверяющие центры ФНС.

Копирование контейнера с сертификатом на другой носитель

Копирование сертификата, выданного УЦ ФНС, невозможно.

Ниже описаны варианты копирования для сертификатов, выданных УЦ Контура для сотрудников организации и физических лиц.

Копирование средствами Windows

Если для работы используется дискета, flash-накопитель или не системный диск, скопировать контейнер с сертификатом можно средствами Windows — этот способ подходит для версий КриптоПро CSP не ниже 3.0. Папку с закрытым ключом (и, если есть, файл сертификата — открытый ключ) поместите в корень дискеты, корень flash-накопителя или в корень не системного диска. Если поместить не в корень, то работа с сертификатом будет невозможна. Название папки при копировании рекомендуется не изменять.

В папке с закрытым ключом должно быть 6 файлов с расширением *.key. Как правило, в закрытом ключе присутствует открытый ключ (файл header.key в этом случае будет весить больше 1 Кб). В этом случае копировать открытый ключ необязательно. Пример закрытого ключа — папки с шестью файлами и открытого ключа — файла с расширением *.cer.

Копирование с помощью КриптоПро CSP

После копирования система вернется на вкладку «Сервис» КриптоПро CSP. Копирование завершено. Если вы планируете использовать для работы в сервисе новый ключевой контейнер,  установите его через КриптоПро.

Экспорт PFX-файла и его установка

Экспорт сертификата с закрытым ключом

Установка сертификата с закрытым ключом

Массовое копирование

Если хотите работать со скопированными контейнерами — необходимо установить сертификаты.

Копирование из реестра другого пользователя

В состав электронной подписи обязательно входят два ключа: открытый и закрытый.

Открытый ключ представляет собой набор данных, который указывает на принадлежность определённому закрытому ключу и подтверждает его владельца, поэтому используется для проверки. Открытый ключ содержится также в сертификате.

Закрытый ключ доступен только его владельцу и используется для создания самой электронной подписи. Этот ключ неэкспортируем — он должен быть защищён от копирования.