ПРИШЛО ЛИ ВРЕМЯ ДЛЯ ЭЛЕКТРОННЫХ ЦИФРОВЫХ ПОДПИСЕЙ

День рождения закона об ЭЦП

Прошло больше года с того дня, когда законопроект «Об электронной цифровой подписи (ЭЦП)», после положенного числа чтений в Государственной Думе, был подписан Президентом Российской Федерации и стал Федеральным законом № 1-ФЗ от 10 января 2002 г. Самое время подводить некоторые итоги и снова попытаться осмыслить вопросы, возникающие в связи с принятием этого закона.

Первый год шествия закона об ЭЦП по стране трудно назвать победоносным — ведь фактически закон еще не работает. Но в то же время его появление, само по себе сопровождавшееся большим количеством обсуждений, толков и спекуляций, всколыхнуло мир систем электронного документооборота.

Многие вопросы, которые ранее приходилось так или иначе решать или обходить, снова были подняты именно в свете этого закона. В связи с некоторыми вопросами было заметно оживление и ожидание: может быть, теперь они решаются легче, чем раньше? В отношении других проблем, напротив, наблюдалось некоторое беспокойство: может быть, использовавшиеся ранее решения с вступлением в силу закона об ЭЦП больше не могут применяться? Авторы ряда статей предлагали пока оставить все как есть, выждать, пока вся инфраструктура, определенная законом, не будет развернута. С другой стороны, модными стали отсылки типа «система построена в соответствии с Федеральным законом об ЭЦП», при ближайшем рассмотрении означавшие все что угодно — от простого использования сертифицированных средств криптографической защиты информации (СКЗИ) до попытки эксплуатации удостоверяющего центра.

Так или иначе, никто, конечно, не сомневается в том, что внедрение систем безбумажного документооборота нужно и полезно, дает прямой материальный результат и делает удобнее повседневную работу. Очевидно также, что по-настоящему эффективно внедрять системы безбумажного документооборота можно только тогда, когда они становятся подлинно безбумажными, т. е. когда для идентификации автора документа в системе используется ЭЦП. Но, как нам кажется, множество вопросов, которые остаются без ответов или, наоборот, находят диаметрально противоположные решения, отпугивает потенциальных потребителей таких систем от того, чтобы реально отказаться от бумаги и личных контактов в рутине трудовой деятельности.

Ниже мы попытаемся осветить некоторые аспекты применения ЭЦП в системе безбумажного документооборота, опираясь на свой опыт разработки и внедрения подобных систем.

Частые вопросы

В соответствии с п.2 статьи 18 Федерального закона № 63‑ФЗ
удостоверяющий центр для выпуска подписи потребует следующие документы:

Как заверить копии документов?

Физические лица должны заверять копии документов для получения подписи только нотариально.
Если вы находитесь на территории другой страны, заверить копии можно в консульстве РФ.

Юридические лица и ИП могут заверять копии самостоятельно. Если у организации или ИП есть печать,
заверить копии может любой сотрудник компании. Для этого на копии необходимо указать:

Если печати нет:

Копия многостраничного документа может быть заверена двумя способами:

Сменился руководитель — что делать?

В этом случае потребуется выпустить новый ключ электронной подписи, а старую — аннулировать, обратившись
к своему менеджеру в удостоверяющем центре.

Как отозвать подпись?

Обратитесь к менеджеру вашего удостоверяющего центра. Он оформит заявку на отзыв и отправит вам заявление
на подпись. Если вы работаете в СБИС, то заявку на отзыв вы можете
отправить самостоятельно.

Как продлить подпись?

Сертификат электронной подписи имеет ограниченный срок действия, в среднем — 12 месяцев.
Чтобы продлить подпись нужно заранее, лучше за 30 дней до окончания срока, обратиться в ваш
удостоверяющий центр для продления.

Если вы получали ЭП в удостоверяющем центре «Тензор», то получите автоматическое напоминание
со ссылкой на заявку для продления ЭП. Кликните по заявке и следуйте подсказкам системы.

Продлить можно только действующую ЭП. Если ее срок уже закончился, придется выпускать новую.

На каких носителях разрешено выпускать подпись?

Носителями могут быть: защищенный флеш‑накопитель (JaCarta‑2, Рутокен, Рутокен ЭЦП 2.0 и др.),
флеш‑накопитель и реестр.

В соответствии со ст. 27.3 Приложения 2 к Приказу ФСБ от 27.12.2011 № 796
компания «Тензор» выдает ключи ЭП на защищенных носителях. Они также соответствуют регламенту
Федеральной антимонопольной службы по ЭП для госзакупок.

Кроме этого такие устройства:

Как проверить сертификат ЭЦП?

Проверить подлинность сертификата электронной подписи можно на нашем сайте
по серийному номеру или по данным владельца.

Использовать ли сертифицированные СКЗИ

Выходит, что закон об ЭЦП пока никак не касается корпоративных систем электронного документооборота. Почему же тогда в последнее время очень сильно выражена тенденция к переводу систем «клиент-банк» и других систем электронного документооборота на сертифицированные СКЗИ и, более того, повсеместный отказ от схем с прямым распределением ключей в пользу инфраструктуры открытых ключей стандарта X.509, с удостоверяющим центром** в качестве арбитра и центра доверия?

** Организационная структура и схема работы удостоверяющих центров, система сертификатов
открытых ключей X.509 и их применение в рамках отечественного законодательства
в области защиты информации — очень интересная тема, которая заслуживает отдельного
развернутого обсуждения.

Разумно ли это? Стоит ли переходить на сертифицированные СКЗИ, на работу с
удостоверяющими центрами или повременить с этим? Ведь сертифицированные СКЗИ
дороже, а деятельность удостоверяющих центров общего пользования*** в отсутствие
положения о лицензировании несколько подвешена в воздухе.

*** Но не корпоративных удостоверяющих центров. Работа УЦ внутри корпоративной
системы документооборота никак не подпадает под действие закона. Значимость документов,
использование сертификатов открытых ключей, ответственность УЦ в такой системе
определяется исключительно внутренним положением о системе.

Но не будем заглядывать так далеко в будущее. Простой анализ информационных рисков, которые возникают при использовании несертифицированных СКЗИ без каких-либо оговорок, уже дает достаточно оснований, чтобы делать выбор в пользу применения сертифицированных ФАПСИ средств для осуществления ЭЦП.

Работа с КриптоПро

Работу с криптопровайдерами рассмотрим на примере КриптоПро CSP, так как это самый распространенный вариант программного СКЗИ.

Как получить лицензию

При покупке лицензии «Аккаунт СБИС» будет сформирована лицензия на КриптоПро CSP. Пользователь, оплачивая копию SBIS, получает в подарок возможность в течение года пользоваться СКЗИ.

Начиная с 12.06.2021 г. С БИС предлагает установить этот криптопровайдер при первом запуске программы. То есть получать отдельно серийный номер для активации установленной версии КриптоПро не потребуется – он будет внесен автоматически мастером установки.

Установить СКЗИ для СБИС можно бесплатно.

Лицензия на криптопровайдер может быть приобретена отдельно. Для этого нужно сформировать заказ на странице сайта разработчика ПО (cryptopro.ru/order/).

После оплаты счета на покупку лицензии серийный номер для активации СКЗИ придет на почтовый ящик заказчика.

Как определить, встроена ли

Чтобы узнать, встроена ли лицензия в приобретенную копию СБИС, какой период действия серийного номера и какое количество версий СКЗИ можно активировать лицензией, нужно выполнить такой порядок действий:

Разработчик КриптоПро предоставляет годовые и бессрочные лицензии на свой продукт. При покупке копии СБИС на криптопровайдер формируется серийный номер со сроком действия год.

Кроме того, лицензия СКЗИ СБИС может быть встроена в ключ ЭЦП. В этом случае пользователь может получать доступ к личному кабинету на любом ПК с установленной программой КриптоПро. Срок действия такой лицензии равен сроку службы цифрового сертификата ЭЦП.

Чтобы проверить, есть ли в КЭП встроенная лицензия, нужно:

Как ввести серийный номер и работать с ней

Далее рассмотрим, как ввести номер лицензии КриптоПро:

1. Проходим по пути: «Пуск»/ «Панель управления»/ «КриптоПро CSP». В открывшемся окне программы выбираем пункт «Свойства». В блоке «Лицензия» следующего окна нажимаем «Ввод лицензии» и в открывшемся окне, где нужно вводить данные, вписываем ФИО и название компании, которые были указаны при покупке копии программы. Подтверждаем действие кнопкой «ОК».

2. Если регистрационные данные вписаны верно, в строке «Срок действия» отобразится предельная дата действия либо будет установлен бессрочный режим, а тип лицензии изменится на «Клиентская».

Как настроить компьютер для работы с ЭП

Чтобы использовать файлы КЭП, нужно подготовить к работе компьютер оператора. Для этого можно воспользоваться встроенной функцией СБИС «Мастер настройки рабочего места».

Для запуска мастера и выполнения настроек нужно:

1. Подключить токен с ЭЦП к компьютеру.

2. В любом окне личного кабинета СБИС открыть меню помощи и выбрать «Диагностика места».

3. Установить расширения, обновить ПО на компьютере по запросу мастера. Рядом со всеми пунктами в списке «Диагностика рабочего места» должны появиться галочки.

4. Выбрать файл ЭЦП.

5. Когда настройки будут выполнены, на экране появится сообщение «Вы успешно вошли в СБИС!» и кнопка «Начать работу», после нажатия на которую будет выполнен переход в личный кабинет.

Установка сертификата в хранилище «Личные»

Одно из требований некоторых государственных порталов – установка сертификата ЭЦП в хранилище «Личные». Процедуру можно выполнить автоматически при помощи мастера настройки рабочего места либо вручную. Порядок действий зависит от версии операционной системы, установленной на ПК.

Windows Vista и выше

Для установки сертификатов в личное хранилище в ОС Windows версий Vista, 7, 8, 8.1, 10, 11 необходимо:

1. Подключить токен к компьютеру.

2. Открыть в панели инструментов «КриптоПро CSP».

3. В окне настроек программы перейти на вкладку «Сервис» и нажать кнопку «Просмотреть сертификаты в контейнере».

4. Нажать кнопку «Обзор» и выбрать нужный файл КЭП, подтвердить доступ к нему ПИН-кодом.

5. Нажать кнопку «Далее». В следующем окне нажать «Установить». Файл ЭЦП автоматически будет установлен в личное хранилище.

Windows XP/2000 или Windows Server 2003/2003 R2

Старые версии ОС все еще используются на ПК. Такие операционные системы требуют ручной установки в хранилище «Личные».

Для этого необходимо:

Как установить базу знаний

Базы знаний в СБИС нужны для того, чтобы делиться с группой сотрудников определенной информацией, касающейся выполнения рабочих задач.

Ниже приведена пошаговая инструкция, как установить или создать базу знаний:

1. В главном окне СБИС необходимо нажать на иконку «+» и в появившемся окне выбрать пункт «База знаний». Указать название статьи, добавить изображение для быстрой идентификации, внести нужные данные, требования и правила, которые должны быть переданы рабочей группе. При необходимости можно ограничить доступ к информации определенным сотрудникам, отделам или должностям.

2. Привязать базу знаний к определенной группе пользователей.

Созданную базу знаний можно редактировать, добавляя новые статьи, корректируя или удаляя старые. Для этого можно воспользоваться панелью инструментов в правой части окна программы.

Как подписывать документы

Чтобы подписывать электронные документы ЭЦП, на компьютере должен быть установлен криптопровайдер с активной лицензией и сертификатом для КЭП.

Порядок подписания разберем на примере СКЗИ КриптоПро 5.0:

1. В меню «Пуск» рабочего компьютера

необходимо вписать «КриптоПро»

в поисковой строке и в результатах поиска запустить программу «Инструменты КриптоПро»

.

2. В открывшейся программе на вкладке «Создание подписи»

выбрать нужный КЭП в списке

, нажать на кнопку «Выбрать файл для подписи»

.

3. В новом окне выбрать документ, который нужно подписать ключом электронной подписи.

4. После нажатия «Сохранить подпись как» ключ будет сохранен в той же папке, что и подписанный документ.

5. После нажатия «Подписать» документ будет подписан файлом ЭЦП, который размещен в папке.

Подписанный документ от обычного будет отличаться встроенным в него кодом. Этот код соответствует ключу, который использовался для подписания.

Обратите внимание! Встраивать вручную фрагменты защитного кода в документы невозможно.

Как перенести на другой компьютер

В некоторых случаях требуется перенос СБИС на другой рабочий ПК.

Это требуется, если:

Процедура переноса состоит из нескольких этапов:

Перед тем как перенести СБИС на новый терминал, следует сделать резервную копию баз данных и рабочей информации, которые хранятся в папке программы документооборота:

1. Необходимо определиться с локальным диском нового компьютера, на который будет перенесена программа. Убедиться в достаточном количестве свободного места.

2. Определить размер базы данных СБИС, чтобы понять, поместятся ли все данные на новый рабочий ПК. Для этого в проводнике компьютера следует пройти по пути: «Локальный диск С»/ «СБИС Документооборот» и найти папку «DB» (сокращение DataBase), кликнуть по ней правой кнопкой мыши. В новом окне в строке «Размер» отобразится объем данных. Если размер базы данных не превышает объема свободного пространства на целевом компьютере, копируем папку на внешний носитель.

3. Если ЭЦП находятся не в защищенном хранилище или в памяти токена, а просто занесены в реестр, как отдельные файлы на ПК, ключи также нужно будет скопировать на внешний носитель, чтобы перенести на новый компьютер.

Установка программы на новом рабочем месте

Для установки СБИС необходимо выполнить следующие действия:

2. В открывшемся окне нажать кнопку «Далее», принять условия лицензионного соглашения и снова нажать «Далее».

3. Папку установки поменять на ту, которая была подготовлена для переноса с другого ПК. Нажать «Далее», снова «Далее» и ждать завершения процесса установки СБИС.

5. Копируем в папку с установленной программой базу данных с внешнего носителя, согласившись на замену файлов в целевой папке.

6. Запускать программу можно только после завершения процесса копирования всех файлов. После первого запуска СБИС отобразит ошибку мониторинга файлов и проведет проверку импортированной базы данных.

Установка и настройка СКЗИ

Для установки КриптоПро необходимо:

Альтернативный вариант – запустить мастер установки СКЗИ из личного кабинета СБИС. В таком случае процесс пройдет автоматически, останется только внести нужные настройки криптопровайдера, добавить считыватели:

1. Запускаем окно настроек «КриптоПро CSP» в Панели управления ПК. Переходим на вкладку «Оборудование» и выбираем «Настроить считыватели».

2. В следующем окне нажимаем «Добавить».

3. Выбираем нужную модель считывателя в списке «Доступные считыватели».

4. Нажимаем кнопку «Далее» и закрываем окно настроек.

Осталось настроить СБИС и получить доступ к личному кабинету. Для этого необходимо:

1. Запустить программу документооборота и в левом верхнем углу нажать на название налогоплательщика.

2. Когда откроется окно «Выбор налогоплательщика», следует нажать кнопку «Изменить».

3. На вкладке «Ответственные лица» дважды кликнуть левой кнопкой мыши по сотруднику, имеющему статус «Руководитель».

4. В открывшемся окне удалить активный сертификат руководителя в разделе «Сертификаты ответственного лица».

5. Двойным щелчком по пустому полю, где ранее был сертификат, запустится «Мастер создания сертификатов». В окне мастера нажать кнопку «Установить с носителя».

6. В следующем окне подтвердить загрузку сертификата кнопкой «Да».

7. Закрыть окно настроек программы.

После завершения настроек сертификатов рекомендуется повторно запустить мастер диагностики рабочего пространства.

Проблемы при работе

Периодически в работе СБИС случаются программные сбои. Они могут быть связаны с целостностью программного обеспечения, сроками службы сертификатов, ключей, неисправностями носителей и еще множеством факторов.

Проблема будет устранена после связи с менеджером технической поддержки. Некоторые ошибки можно решить самостоятельно.

Появилось окно «Отсутствует СКЗИ»

Из всех возможных ошибок чаще всего в СБИС появляется уведомление «Отсутствует СКЗИ».

СБИС может терять связь с крипропровайдером, не видеть установленную программу в системе. В таком случае система документооборота отображает окна ошибок с требованиями устранить неисправности.

Ошибка, связанная с отсутствием СКЗИ, появляется в системе документооборота СБИС, если на ПК не установлен криптопровайдер либо в его работе обнаружен сбой. Кроме того, пользователь или сетевой администратор предприятия мог случайно установить на один ПК две разные версии СКЗИ, которые конфликтуют между собой при попытке автоматически получить доступ к токену с ЭЦП.

Есть два пути решения вопроса в зависимости от того, какая информация и варианты действий отображаются в окне уведомления программы СБИС.

Решение для сообщения с кнопкой «Установить»

Если уведомление «Отсутствует СКЗИ» отображается с кнопкой «Установить», значит, на компьютере уже есть файл цифровой подписи для работы с криптопровайдером либо приобретена версия СБИС со встроенной лицензией для СКЗИ, но сама программа не установлена. Поэтому нужно нажать на кнопку «Установить» и дождаться автоматической установки ПО.

По умолчанию на ПК будет установлена КриптоПро CSP 5.0.

Решение для сообщения со ссылками на сайты

Если в окне «Отсутствует СКЗИ» отображаются ссылки на сайты двух разных поставщиков криптопровайдеров, значит, система СБИС предлагает выбрать одного из поставщиков программного обеспечения, потому что на ПК установлены две версии СКЗИ. В зависимости от выбранного ПО запустится соответствующий мастер настройки, ненужное ПО будет удалено.

Прочие частые ошибки, которые проявляются в работе СБИС и КриптоПро:

Чтобы устранить перечисленные ошибки без обращения в службу поддержки, необходимо:

Проблема с отсутствием лицензии СКЗИ в СБИС может возникать по причинам программных или аппаратных сбоев на рабочем компьютере, невнимательности пользователя (срок действия серийного номера лицензии истек, а новый не оплачен) либо поломок токенов (если лицензия СКЗИ встроена в ЭЦП).

Некоторые неисправности можно устранить самостоятельно. Если же необходимо решить проблему с токенами либо защитным ПО, оптимальным вариантом будет не полагаться на собственные силы, а позвонить оператору по номеру техподдержки компании, указанному на официальном сайте, либо подать заявку онлайн с описанием своей проблемы.

Порядок проверки ФСБ

В соответствии с Федеральным законом № 152 деятельность операторов ПДн контролируется ФСБ, если обработка данных производится с использованием криптографических методов.  Операторы ПДн – это органы государственной и муниципальной власти, физические и юридические лица, имеющие дело с персональной информацией граждан.

Классы СКЗИ

Класс СКЗИ определяется с учетом «модели нарушителя» (степени уязвимости информационной системы).

Контроль и проверка использования

При проверке анализируется соблюдение требований, изложенных в Приказах № 66 и № 378 ФСБ, в Приказе ФАПСИ № 152, Методических рекомендациях № 149 и № 432 ФСБ.

Сотрудники ФСБ проверяют наличие сертификатов СКЗИ, выявляет угрозы БИ и модели нарушителей (способы возможного похищения или уничтожения данных). Контролируются условия обработки и защиты ПДн.

За нарушение требований безопасности ПДн (использование несертифицированных СКЗИ, отсутствие журналов учета, недооценку угроз) предусмотрена выплата штрафа (от 1 до 20 тыс. рублей).

Мероприятия для обеспечения безопасности ПДн

Согласно ФЗ № 152 (о безопасности ПДн) для защиты персональной информации требуется:

Использование СКЗИ позволяет избежать материальных потерь и морального ущерба, связанного с утечкой коммерческой и личной информации. Важную роль играет правильная эксплуатация СКЗИ, разумное распределение обязанностей между сотрудниками, управление доступом к криптографическим ключам. Чтобы действовать в рамках закона, необходимо выполнять требования, изложенные в приказах и рекомендациях надзорных органов,  а также в инструкциях по использованию СКЗИ.

Как узнать, какая у вас подпись?

Если у вас есть только физический носитель электронной подписи, то это означает, что перед вами неквалифицированная
или квалифицированная ЭП.

Чтобы узнать, какая именно, позвоните в техподдержку удостоверяющего центра. Если вы получали подпись
в УЦ «Тензор», сообщите специалисту техподдержки ваш ИНН и он подскажет тип ЭП.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе
никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому
мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит
доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое
рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста.
ЭП можно и вовсе потерять, если с компьютером что-то случится.

Электронная подпись — виды, способы применения и получения

Электронная подпись (ранее ЭЦП) — собственноручная подпись в электронном виде, которой можно подписывать документы.
Федеральный закон №63‑ФЗ от 06.04.2011 определил три вида электронных подписей: простую,
неквалифицированную и квалифицированную. У них разный уровень защиты и юридической значимости,
так что применяются они в разных ситуациях.

Простая электронная подпись

Неквалифицированная ЭП — это зашифрованная комбинация символов, которая подтверждает личность пользователя и
позволяет обнаружить внесение изменений в документ после его подписания. Подходит для внутреннего документооборота
и работы на портале nalog.ru. Оформляется самостоятельно или в удостоверяющем центре. Документ, подписанный
неквалифицированной ЭП, получает юридическую значимость, если имеется указание закона или достигнута
договоренность между сторонами.

Квалифицированная электронная подпись

Самая защищенная подпись, обладающая теми же возможностями, что и неквалифицированная. В отличие от нее,
квалифицированная подпись создается с использованием средств шифрования, сертифицированных ФСБ. Выдается
квалифицированная ЭП только в удостоверяющих центрах, аккредитованных Минкомсвязи России. Любой документ,
который законом не запрещено оформлять в электронном виде, можно подписывать квалифицированной
электронной подписью. Он будет иметь полную юридическую силу.
Подробнее

В чем заключаются самые важные отличия электронных подписей?

Свойства электронной подписи

Самостоятельно, при регистрации на сайте

В любом УЦ

В аккредитованном УЦ

Защита подписанного документа

Не защищает документ от подделки

Требует соглашения о признании

Равна собственноручной подписи

На любом носителе

Защищенный носитель (Рутокен, eToken)

Бесплатно или от 200 рублей

Обмен документами в машиночитаемом виде

На самом деле отказ от авторства при использовании несертифицированных СКЗИ — частный случай общего механизма компрометации систем, основанных на обмене документами в машиночитаемом виде. Проблема заключается в том, что никем и никак не специфицированы процессы преобразования информации из «человекочитаемого» вида в машиночитаемый. Поскольку содержание машиночитаемого документа может и не быть понятно (более того, и не обязано быть понятно!) человеку, ему нужны гарантии того, что содержимое машиночитаемого документа совпадает с содержимым человекочитаемого документа, который им представляется. Без такой гарантии автор документа всегда будет иметь возможность отказаться от его содержимого, утверждая, что искажение произошло на стадии перевода информации из одной формы представления в другую. Помимо этого, как мы увидим, обмен информацией в машиночитаемом виде таит в себе и другие опасности, связанные с неоднозначной трактовкой содержимого электронных документов.

В настоящий момент автору неизвестно удовлетворительное решение этой проблемы. Все, что можно сделать, — это обозначить проблему, привлечь к ней внимание. Видимо, какой-то путь к решению должен быть предложен Федеральным законом «Об электронном документе» — этот законопроект с лета 2002 года находится на рассмотрении в Государственной Думе. В нем, в частности, предпринимается попытка определить понятие электронного документа. Увы, та формулировка, которая присутствует в тексте сейчас, никоим образом не снимает поставленные выше вопросы. В законопроекте читаем:

«Формой внешнего представления электронного документа является воспроизведение
электронного документа на экране дисплея, на бумажном носителе либо отделимом
от машинного носителя объекте в понятной для визуального обозрения и пригодной
для восприятия человеком форме».

Все эти проблемы возникают из-за того, что законопроект ничего не говорит о программном обеспечении, которое неизбежно используется при преобразовании документов из машиночитаемой формы в человекочитаемую и обратно.

Как образец разумного подхода, который можно взять за основу более корректного определения понятия человекочитаемого представления электронного документа, следует рассмотреть методику, принятую в системе налоговых органов. Бухгалтеры всех предприятий регулярно представляют налоговую отчетность в электронном виде на магнитных носителях или по каналам связи; в том числе законодательно предусмотрена и возможность безбумажного документооборота с использованием ЭЦП в качестве единственного и достаточного средства заверения форм отчетности.

В любом случае, для того чтобы сформировать отчетность в электронном виде, бухгалтерия использует специализированные программы. В экранные формы этих программ вводятся различные показатели, входящие в состав отчетности. Некоторые показатели рассчитываются на основании введенных бухгалтером. Затем программа формирует файл установленного МНС формата, который может быть воспринят системой автоматизированной обработки информации налоговых органов. При полностью безбумажном документообороте бухгалтер подписывает файл ЭЦП и только потом передает его в налоговый орган. Файл налоговой отчетности — это типичный машиночитаемый электронный документ, поэтому бухгалтер может попытаться воспользоваться предложенными выше схемами отказа от содержимого, несмотря на то, что электронный документ был подписан ЭЦП.

В самом деле, бухгалтер может утверждать, например, что расчет вычисляемых показателей по тем, которые он вводил в формы, был произведен неверно, и эти показатели попали в файл (например, он ввел суммы дохода по месяцам в размере 1000 рублей за каждый месяц, а программа подготовки отчетности, в силу некоей ошибки, рассчитала сумму годового дохода, равную 10 000 рублей, и эта сумма также попала в файл отчетности; бухгалтер подписал этот файл ЭЦП, но не имел возможности его проверить — по сути дела, не знал, что подписывает! — поскольку этот файл не имеет понятного для человека визуального представления. Либо же бухгалтер может заявить, что программа произвела какое-то другое некорректное преобразование данных, введенных в экранные формы: что-то не вывела в технологический файл, или вывела слишком много, или исказила и т. д.

Чтобы сделать невозможными подобные схемы отказа, ГНИВЦ МНС России разработал систему сертификации программных продуктов, используемых для подготовки и сдачи отчетности в электронном виде. Сертификат соответствия, выдаваемый ГНИВЦ, подтверждает фактически именно то, что сертифицированная программа выполняет взаимно-однозначное преобразование данных из экранных форм (человекочитаемый вид информации на дисплее компьютера) в файлы установленного формата (машиночитаемый вид информации на электронном носителе). Использование сертифицированных программ рекомендуется МНС для подготовки и сдачи отчетности, сопровождаемой бумажными бланками и является, согласно нормативным актам МНС, необходимым при сдаче отчетности с ЭЦП без дублирования на бумажном носителе.

Идея сертификации программ, переводящих документы из машиночитаемого вида в человекочитаемый и обратно, выглядит достаточно перспективным решением проблемы, связанной с отказом от авторства электронных документов. Заметим, кстати, что те же налоговые органы не до конца осознали эту идею — нет системы сертификации программ, выполняющих преобразование технологических файлов в печатную форму. А ведь потребность в таких программах неизбежно возникнет, как только какое-нибудь разбирательство будет проводиться на уровне арбитражного суда. Налоговому органу придется доказывать, что представленные им в суд распечатки на бумаге имеют то же самое содержание, что и технологические файлы, сданные налогоплательщиком и заверенные его ЭЦП. Как мы уже говорили, показать тождество данных в электронном формате и на бумаге не представляется возможным без выбора некоей «канонической» процедуры перевода информации из одного формата в другой.

Дополнительная защита электронной подписи

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой
вы получаете доступ к подписи. Вводится пин-код каждый раз при подписании документа или любом другом обращении
к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой. Мы подготовили
инструкцию по смене для Рутокен,
eToken,
JaCarta.
Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить
защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ
электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке
экспорта файлов система будет выдавать ошибку.

Приобрести Рутокен можно несколькими способами:

Оптимальный вариант – заказать напрямую у производителя, который гарантирует качество продукции, наличие токенов в нужном количестве на складе, сертификацию продукции.

Необходимые документы

Для оформления заказа на носители со встроенным чипом СКЗИ для юридического лица понадобится:

Если токен заказывает физическое лицо, понадобится:

Инструкция

Чтобы заказать токены на официальном сайте, нужно выполнить несколько действий:

Справка. Доставка заказа выполняется в течение 5 рабочих дней с момента его оплаты.

Цены

Стоимость Рутокен 2.0 у официального поставщика и дилеров идентична. Это объясняется политикой регулирования цен на продукцию.

В таблице приведены примеры расценок на популярных интернет-площадках.

Хранение файлов ЭЦП в открытом доступе на ПК или внешнем носителе небезопасно. Для защиты пользовательских данных ФНС РФ рекомендует применять в работе защищенные носители, ключи на которых шифруются. Самым распространенным типом хранилища ключей являются USB-токены. При этом наиболее современным считается носитель в формате смарт-карты с NFC для беспроводного и удобного соединения со смартфонами и другими мобильными устройствами.

Для подписи документов с открытыми данными (документация для торгов) используются пассивные токены, ключи которых генерируются программными СКЗИ. Для передачи конфиденциальной информации применяются активные носители с собственными криптографическими чипами.

Особенности СБИС

СБИС – это программный комплекс, который объединяет в себе несколько сервисов, позволяющих подавать отчетную документацию в государственные органы, вести электронный документооборот на предприятии, управлять персоналом, генерировать счета-фактуры для оплаты контрагентами.

СБИС может работать, как система закрытого типа только в локальной сети компьютеров предприятия, либо в открытом режиме и использовать интернет-подключение для связи с удаленными терминалами.

СБИС является мультиплатформенным продуктом и может устанавливаться на компьютеры, ноутбуки, планшеты и смартфоны, а также на кассовые аппараты с любыми вариантами операционных систем.

Разработчиком ПО является компания Тензор.

Необходимость

Программный комплекс подходит физлицам, самозанятым индивидуальным предпринимателям, юридическим лицам и крупным компаниям. С БИС также может использоваться частными бухгалтерами для удаленного обслуживания одновременно нескольких компаний.

Полный список функций СБИС:

Что необходимо для использования

Для установки и настройки СБИС необходимо:

Когда и какую электронную подпись использовать

Простая электронная подпись подойдет любым физическим лицам, которые пользуются интернет‑сервисами
для покупок товаров и услуг, управления средствами в банке. Может использоваться для оплаты штрафов ГИБДД и
получения некоторых услуг на портале «Госуслуги».

Неквалифицированная электронная подпись нужна сотрудникам компаний для обмена документами с
партнерами и внутреннего документооборота (для подписания приказов, инструкций, заявлений, справок). Используется
для работы в личном кабинете налогоплательщика.

Квалифицированная электронная подпись требуется всем, кто сдает отчетность в ФСС, ФНС, ПФР и другие
государственные органы, подписывает договоры с контрагентами, участвует в госзакупках и других видах торгов.
С помощью квалифицированной ЭП можно зарегистрировать онлайн‑кассу в ФНС, подать в суд или заключить трудовой
договор с удаленным сотрудником без личной встречи.

Квалифицированная электронная подпись универсальна, она подходит для работы на большинстве площадок.
Однако некоторые торговые площадки предъявляют дополнительные требования к электронным подписям. Например, чтобы
в сертификате подписи был объектный идентификатор (OID), содержащий дополнительную информацию о владельце ЭП
и его полномочиях. В «Тензоре» выдадут ЭП для любой торговой площадки.

Каждый человек может пользоваться одной или несколькими электронными подписями. Каких‑либо ограничений по
количеству и разнообразию используемых ЭП нет.

Что нужно для получения электронной подписи

Если вы подавали заявку дистанционно, в назначенный день придите в УЦ и предоставьте оригиналы документов,
чтобы удостоверить личность. Менеджер сверит с приложенными сканами и, если все верно, выпустит
квалифицированный сертификат электронной подписи и выдаст вам полностью готовый к использованию носитель.

Значимость документов

Значимость бумажных документов обеспечивается наличием на них собственноручной подписи должностного лица и, возможно, печати организации (последнее не относится к внутрикорпоративному документообороту). Верно ли, что юридическая значимость электронных документов обеспечивается лишь наличием ЭЦП? Закон отвечает на этот вопрос положительно, но оговаривает, что открытый ключ ЭЦП должен быть надлежащим образом заверен в лицензированном центре сертификации, а средство ЭЦП, с помощью которого ставится подпись, должно быть сертифицировано ФАПСИ.

Напомним, что по положению, которое известно под названием ПКЗ-99 («Положение о криптографической защите», приказ ФАПСИ № 158 от 23.03.1999) в корпоративных системах документооборота могут применяться и несертифицированные СКЗИ, и лишь если один из участников системы документооборота — государственный орган*, применение сертифицированных СКЗИ становится строго обязательным. На ПКЗ-99 часто ссылаются именно в вопросе о том, нужно ли использовать сертифицированные СКЗИ, подчас забывая о том, что средства ЭЦП и средства КЗИ (шифровальные средства) — вообще говоря, совершенно разные вещи.

Конечно, подавляющая часть представленных на рынке СКЗИ имеет такую функциональную
возможность, как осуществление электронной подписи. Программы же, которые умеют
только ставить ЭЦП, но не умеют выполнять шифрование, автору неизвестны. Но
смешивать лишь на этом основании СКЗИ и средства ЭЦП ошибочно, поскольку их
предназначение различно. С КЗИ обеспечивают защиту информации от несанкционированного
доступа путем шифрования. Средства ЭЦП, напротив, этой задачи не решают, зато
обеспечивают идентификацию автора документа и дают возможность проверить целостность
документа (защищают его от позднейших вставок и искажений). Мы рассматриваем
здесь системы, в которых необходима ЭЦП, вне зависимости от того, подлежит ли
шифрованию обращающаяся в них информация. Тем не менее, поскольку в настоящее
время все известные автору средства ЭЦП — это одновременно и СКЗИ, мы будем
пользоваться популярной аббревиатурой СКЗИ для обозначения программного продукта,
способного осуществлять те или иные криптографические преобразования, в том
числе ставить ЭЦП.

Собственно говоря, с этой точки зрения с принятием закона об ЭЦП мало что изменилось. И сейчас можно договориться о применении любой технологии установления авторства и/или целостности документов, особенно в рамках закрытой корпоративной системы, и это не будет никак противоречить закону об ЭЦП. Дело в том, что закон принципиально относится к другому кругу вопросов.

Но в настоящий момент в России нет ни одного лицензированного удостоверяющего центра. Несколько УЦ работают в режиме опытной эксплуатации, на основании имеющихся лицензий на распространение, техобслуживание СКЗИ и предоставление услуг в области шифрования. Однако ни одной лицензии на право осуществлять деятельность в качестве УЦ пока не выдано, за отсутствием Положения о лицензировании. Ни один юридически значимый «сам по себе» — без дополнительных договоренностей — подписанный электронный документ не был создан. Следовательно, пока что закон об ЭЦП реально не работает. Имеющиеся системы электронного документооборота как жили, так и живут — не вне закона, но в стороне от области его действия, а любые фразы типа «полностью соответствует закону об ЭЦП» носят по большей части рекламный характер.