Федеральным законом РФ «О таможенном регулировании в Российской Федерации» № 311-ФЗ от 27.11.2010 г. установлено, что декларация на товары подаётся в электронной форме (ст. 204). Исключение из этого правила сделано только для определённого перечня товаров, таможенных процедур, а также некоторых случаев, которые устанавливаются Постановлением Правительства РФ № 1154 от 13.12.2013 г.

Декларация на товары, а также все сопутствующие документы, представляемые в электронной форме, подписываются (удостоверяются) электронной подписью (ЭП), вид которой определяется федеральным органом исполнительной власти, уполномоченным в области таможенного дела, в соответствии с законодательством РФ. Порядок проверки ЭП устанавливается федеральным органом исполнительной власти, уполномоченным в области таможенного дела (ст.204 ФЗ № 311-ФЗ от 27.11.2010).

Вид электронной подписи, которая должна использоваться при электронном таможенном декларировании установлен п.5 Приказа ФТС Росcии № 2187 от 25.10.2011 г., в котором, в частности, сказано:

«Для подтверждения принадлежности и неизменности электронных документов в информационной системе таможенных органов применяется квалифицированная электронная подпись. Информация в электронной форме, передаваемая в процессе осуществления информационного обмена и подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью».

Таким образом, все документы, передаваемые в электронных сообщениях, должны быть заверены электронной подписью. Сообщения, которые содержат документ, не заверенный ЭП, системой электронного декларирования приняты быть не могут.

Приказом ФТС России № 1761 от 17 сентября 2013 года, который регламентирует Порядок использования системы ЭД, установлено, что взаимодействие декларантов с таможенными органами при таможенном декларировании и выпуске товаров осуществляется посредством электронного способа обмена информацией с использованием усиленных квалифицированных электронных подписей в порядке, определённом Федеральным законом № 63-ФЗ от 06.04.2011 «Об электронной подписи».

В соответствии с Федеральным законом № 63-ФЗ от 06.04.2011 (ст.5, п.4) усиленной квалифицированной электронной подписью является электронная подпись, которая соответствует следующим требованиям:

• получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
• позволяет однозначно определить лицо, подписавшее электронный документ;
• позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
• создаётся с использованием средств электронной подписи.
• ключ проверки электронной подписи указан в квалифицированном сертификате (КСКП ЭП);
• для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с Федеральным законом №63-ФЗ.

Пунктом 6 Приказа ФТС России № 1761 от 17.09.2013 г. также устанавливается, что:

«Сведения, отражённые в электронных документах, указанных в пункте 3 Порядка, заявляемые декларантом таможенному органу декларирования, являются сведениями, необходимыми для таможенных целей, и удостоверяются ЭП лица, составившего ЭДТ.»

Лицо, которое составляет и подписывает декларацию на товары (реквизиты которого указываются в графе 54) и является владельцем ключа ЭП. Об этом прямо сказано в п.6 Приказа ФТС России № 2187 от 25.10.2011:

«Владельцем квалифицированного сертификата ключа проверки электронной подписи и соответствующего ему ключевого носителя является уполномоченный представитель Заинтересованного лица.»

Необходимо отметить, что собственно усиленная квалифицированная электронная подпись не хранится на ключевых носителях, она появляется в момент подписания документа в результате использования средств ЭП, является его неотъемлемой частью и служит трём основным целям:

1. Обеспечивает однозначность определения лица поставившего ЭП на электронный документ;
2. Обеспечивает невозможность внесения каких либо изменений в электронный документ после его подписания;
3. Обеспечивает неотрекаемость лица поставившего свою подпись от авторства электронного документа.

Федеральный закон № 63-ФЗ даёт следующее определение ЭП:

«Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию».

2. Средства электронной подписи

Для создания и проверки ЭП, создания ключа ЭП и ключа проверки ЭП должны использоваться средства электронной подписи, которые позволяют установить факт изменения подписанного электронного документа после момента его подписания, а также обеспечивают практическую невозможность вычисления ключа ЭП из самой ЭП или из ключа её проверки.

К средствам ЭП относят:

1. Ключ электронной подписи - это уникальная последовательность символов, предназначенная для создания ЭП. Ключ электронной подписи (называемый также закрытый ключ) должен хранится владельцем в тайне и использоваться им исключительно для формирования ЭП в процессе создания электронного документа. Ключ ЭП также используется для формирования ключа проверки ЭП на этапе его генерации.
2. Ключ проверки электронной подписи - это уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП (называемый также открытый ключ) не является секретным и предназначен для проверки ЭЦП получателем подписанного электронного документа.
3. Система криптографической защиты информации (СКЗИ) - это специальный программный комплекс, предназначенный для шифрования данных. В системе электронного декларирования для целей таможенного оформления используется СКЗИ «КриптоПро CSP» разработки компании «Крипто-Про». Программный продукт СКЗИ «КриптоПро CSP» должен быть установлен на всех рабочих компьютерах и транспортных серверах, на которых формируется или проверяется ЭП.

В процессе создания ЭП средства электронной подписи должны показывать подписывающему электронный документ лицу содержание информации, которую он подписывает, создавать ЭП только после подтверждения лицом, подписывающим электронный документ, а также однозначно показывать, что электронная подпись создана.

При проверке ЭП средства электронной подписи должны показывать содержание электронного документа, подписанного ЭП, показывать информацию о внесении изменений в документ подписанный ЭП, а также однозначно определять лицо, с использованием ключа ЭП которого подписаны электронные документы.

3. Удостоверяющий центр

Получить средства ЭП для работы с системой электронного декларирования для целей таможенного оформления можно обратившись в один из Удостоверяющий центров (УЦ), аккредитованных федеральным органом на предмет соответствия требованиям Федерального закона № 63-ФЗ, а также входящий в систему доверенных удостоверяющих центров ФТС в соответствии с Приказом ФТС № 2187 от 25.10.2011.

Удостоверяющий центр является органом, который подтверждает легитимность использования электронной подписи.

Для этого в соответствии со ст.15 Федерального закона № 63-ФЗ:

«1. Аккредитованный УЦ обязан хранить следующую информацию:
1) реквизиты основного документа, удостоверяющего личность владельца квалифицированного сертификата — физического лица;
2) сведения о наименовании, номере и дате выдачи документа, подтверждающего право лица, выступающего от имени заявителя — юридического лица, обращаться за получением квалифицированного сертификата;
3) сведения о наименованиях, номерах и датах выдачи документов, подтверждающих полномочия владельца квалифицированного сертификата действовать по поручению третьих лиц, если информация о таких полномочиях владельца квалифицированного сертификата включена в квалифицированный сертификат.
2. Аккредитованный УЦ должен хранить информацию, указанную в части 1 настоящей статьи, в течение срока его деятельности, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации. Хранение информации должно осуществляться в форме, позволяющей проверить ее целостность и достоверность.
3. Аккредитованный удостоверяющий центр обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей к выданным этим удостоверяющим центром квалифицированным сертификатам и к актуальному списку аннулированных квалифицированных сертификатов в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
4. В случае принятия решения о прекращении своей деятельности аккредитованный удостоверяющий центр обязан:
1) сообщить об этом в уполномоченный федеральный орган не позднее чем за один месяц до даты прекращения своей деятельности;
2) передать в уполномоченный федеральный орган в установленном порядке реестр квалифицированных сертификатов;
3) передать на хранение в уполномоченный федеральный орган в установленном порядке информацию, подлежащую хранению в аккредитованном удостоверяющем центре.»

4. Квалифицированный сертификат ключа проверки электронной подписи

Квалифицированный сертификат ключа проверки ЭП (КСКП ЭП) - электронный документ или документ на бумажном носителе, выданный аккредитованным УЦ или доверенным лицом аккредитованного УЦ, либо федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП и подтверждающий принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр, входящий в систему доверенных УЦ таможенных органов, создаёт КСКП ЭП в соответствии с Заявками на получение КСКП ЭП Заинтересованных лиц в соответствии с Регламентом УЦ и выдаёт их владельцам в форме электронного документа. Владелец КСКП ЭП, выданного в форме электронного документа, вправе получить также копию КСКП ЭП на бумажном носителе, заверенную удостоверяющим центром.

КСКП ЭП в обязательном порядке должен содержать следующую информацию (ст.17 ФЗ № 63-ФЗ) :

• уникальный номер квалифицированного сертификата, даты начала и окончания его действия;
• фамилия, имя и отчество (если имеется) владельца квалифицированного сертификата - для физического лица, либо наименование, место нахождения и основной государственный регистрационный номер владельца квалифицированного сертификата - для юридического лица;
• страховой номер индивидуального лицевого счета (СНИЛС) владельца квалифицированного сертификата - для физического лица либо идентификационный номер налогоплательщика владельца квалифицированного сертификата - для юридического лица;
• ключ проверки электронной подписи;
• наименования средств электронной подписи и средств аккредитованного удостоверяющего центра, которые использованы для создания ключа электронной подписи, ключа проверки электронной подписи, квалифицированного сертификата, а также реквизиты документа, подтверждающего соответствие указанных средств требованиям, установленным в соответствии с настоящим Федеральным законом;
• наименование и место нахождения аккредитованного удостоверяющего центра, который выдал квалифицированный сертификат, номер квалифицированного сертификата удостоверяющего центра;
• ограничения использования квалифицированного сертификата (если такие ограничения устанавливаются);
• иная информация о владельце квалифицированного сертификата (по требованию заявителя).

Прекращение действия и отзыв КСКП ЭП

В соответствии с Приказом ФТС № 2187 от 25.11.2011 г.:

«КСКП ЭП прекращает своё действие в связи:
1) с истечением установленного срока его действия;
2) на основании заявления владельца сертификата ключа проверки электронной подписи;
3) на основании заявки на отзыв квалифицированного сертификата ключа проверки электронной подписи;
4) в случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам;
5) при получении в соответствии с законодательством Российской Федерации информации об обстоятельствах, которые могут привести к негативным последствиям для таможенных органов Российской Федерации или Заинтересованного лица либо повлиять на достоверность информации, направляемой в таможенные органы;
6) в иных случаях, установленных соглашением между удостоверяющим центром и владельцем сертификата ключа проверки электронной подписи.»

В случае возникновения необходимости отзыва КСКП ЭП Заявка на отзыв сертификата должна быть направлена в УЦ не позднее чем на следующий день после возникновения такой необходимости.

Необходимость отзыва СКП ЭП может быть обусловлена следующими причинами:

1. Изменение информации, содержащейся в КСКП ЭП, то есть несоответствие фактическим данным (например, смена фамилии владельца КСКП ЭП, увольнение владельца КСКП ЭП из организации и т.п.);
2. Компрометация ключа ЭП.

В связи с распространенностью применения информационных технологий во всех сферах жизнедеятельности современного общества управление процессами в организациях не является исключением. Особое значение в данной сфере приобретают системы электронного документооборота, предназначенные для организации и автоматизации процессов взаимодействия между сотрудниками. Применение данных систем обеспечивает эффективное управление документами организации и продуктивную работу сотрудников. Для организации полноценного электронного документооборота необходимо применение электронной подписи, которая также понадобится для проведения торговых операций онлайн и сдачи отчетности в некоторые государственные структуры.

Правовые основы

Первоначально электронная подпись применялась в банках отдельных европейских стран, позднее вопросом ее правовой регламентации занимались Организация Объединенных Наций и Европейский союз. В Российской Федерации вопрос правовой регламентации электронной подписи возник во второй половине 90-х в рамках обсуждения в Государственной Думе проблем безопасности безналичных платежей и электронной торговли и отсутствия должных механизмов правового контроля. Впервые понятие электронной подписи было сформулировано в Федеральном законе от 10 января 2002 г. "Об электронной цифровой подписи" (далее - Федеральный закон 2002 г.), который утратил силу с июля 2013 г. В соответствии с данным законом электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа-подписи, а также установить отсутствие искажения информации в электронном документе.

В настоящее время правовую основу применения электронной подписи в Российской Федерации составляет Федеральный закон от 6 апреля 2011 г. "Об электронной подписи" (далее - Федеральный закон 2011 г.). В соответствии с ним под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Действующим Федеральным законом определены основные понятия и принципы использования электронной подписи, закреплены виды электронных подписей и условия их признания, а также регламентированы полномочия органов государственной власти, права и обязанности участников электронного взаимодействия с использованием электронной подписи.

Таким образом, действующее сейчас определение электронной подписи более широкое, нежели прежнее, и сейчас понятие электронной цифровой подписи, данное в прежнем законе, близко, но не идентично понятию усиленной электронной подписи, признаками которой являются следующие:

Получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

Позволяет определить лицо, подписавшее электронный документ;

Позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

Создается с использованием средств электронной подписи;

Ключ проверки электронной подписи указан в квалифицированном сертификате;

Для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии Федеральным законом "Об электронной подписи" 2011 г.

Следует также отметить, что в период с апреля 2011 г. по июнь 2013 г. параллельно действовали оба вышеуказанных закона, что было связано с необходимостью времени для перехода участников рынка и госорганов на новые сертификаты и правила работы с электронной подписью.

Суть электронной подписи

Электронная подпись в Российской Федерации используется физическими и юридическими лицами и является аналогом собственноручной подписи правомочного на то лица на бумажном носителе и скрепления печатью, только в отношении придания юридической силы электронному документу. Основными целями использования электронной подписи являются:

Электронный документооборот компании;

Участие в электронных торгах на электронных торговых площадках;

Сдача отчетности в государственные органы.

Преимуществами применения электронной подписи для организации являются следующие моменты:

Сокращение времени обмена документами и совершения сделок;

Сокращение затрат на создание, доставку, хранение документов;

Гарантии достоверности и конфиденциальности передаваемой информации;

Эффективная система обмена документами для сотрудников компании;

Ликвидация проблемы наличия/отсутствия полномочий на подписание тех или иных документов.

Таким образом, при электронном документообороте с использованием электронной подписи возможно избежать массы проблем бумажного документооборота, существенно сократить сроки обмена информацией и повысить эффективность функционирования организации в целом.

Помимо преимуществ применения электронной подписи, можно выделить и недостатки:

Использование недобросовестными пользователями;

Недоступность/утрата электронных архивов всех документов организаций из-за проблем с техникой;

Затраты на оборудование и программные средства.

Однако данные недостатки скорее выступают опасениями, которые абсолютно беспочвенны в случае правильного использования системы электронного документооборота с электронной подписью на предприятии: применение индивидуализированного программного обеспечения, создание резервных копий информации, своевременный ремонт и замена оборудования и т.д.

Использование электронной подписи в Российской Федерации осуществляется на основании нескольких принципов, которые являются основополагающими основами в данной сфере:

Свобода выбора вида электронной подписи - участник имеет право самостоятельно определять вид электронной подписи, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;

Свобода использования информационных технологий и технических средств - участник имеет возможность использования по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования Федерального закона 2011 г. применительно к использованию конкретных видов электронных подписей;

Недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.

Анализ принципов использования электронной подписи позволяет сделать вывод о свободе выбора вида электронной подписи и необходимых технических средств для участника электронного взаимодействия в зависимости от целей его деятельности и правовой регламентации данной деятельности в части наличия/отсутствия обязательных требований к электронной подписи.

Основные понятия

Для полноценного понимания механизма функционирования электронной подписи необходимо не просто поверхностно понять его суть, но и изучить основные понятия, фигурирующие в данной сфере.

Участники электронного взаимодействия - это лица и (или) организации, осуществляющие обмен информацией в электронной форме, в том числе и государственные органы, органы местного самоуправления и т.д.

Корпоративная информационная система - это информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.

Информационная система общего пользования - это информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.

Ключ электронной подписи - это уникальная последовательность символов, предназначенная для создания электронной подписи.

Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.

Сертификат ключа проверки электронной подписи - это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Квалифицированный сертификат ключа проверки электронной подписи - это сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (Министерством связи и массовых коммуникаций Российской Федерации).

Средства электронной подписи - это шифровальные (криптографические) средства, которые используются для создания или проверки электронной подписи, создания или проверки ключа электронной подписи.

Удостоверяющий центр - это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей и т.д. В настоящее время функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляет Министерство связи и массовых коммуникаций Российской Федерации, которое и проводит аккредитацию удостоверяющих центров.

Средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.

Виды электронной подписи

Российским законодательством предусмотрено 3 основных вида электронной подписи:

1) простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;

2) усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, и позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи;

3) усиленная квалифицированная электронная подпись (квалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи. При этом ключ проверки электронной подписи указан в квалифицированном сертификате, и для создания/проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законодательством Российской Федерации в данной сфере.

В связи с изменениями в законодательстве и положениями Федерального закона "Об электронной подписи" 2011 г., где нет прошлого понятия "электронная цифровая подпись", необходимо рассмотреть вопрос соотношения действующих на данный момент подписей и новых. Так, сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами. При этом, электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи, выданном в соответствии с порядком, ранее установленным законом, в течение срока действия указанного сертификата, но не позднее 31 декабря 2013 г. признается электронным документом, подписанным квалифицированной электронной подписью. Также в тех случаях, где федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 г., предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись.

Однако для полноценного применения электронной подписи в связи с вышеуказанными изменениями организациям необходимо учесть не только юридические аспекты равенства тех или иных видов подписи, но и исследовать технический аспект. При сравнении сертификата квалифицированной подписи и сертификата электронной цифровой подписи, закрепленной в Федеральном законе 2002 г., возникнет их различие в наличии/отсутствии поля СНИЛС (страховой номер индивидуального лицевого счета в Пенсионном Фонде Российской Федерации), что может привести к невозможности использования в конкретных системах в зависимости от их требований. В таком случае необходимо заранее узнавать о требованиях к виду электронной подписи для конкретных целей организации, или иметь оба сертификата.

При этом важно знать, что квалифицированная электронная подпись не является универсальной и ее обязательное использование предусмотрено только для ряда информационных систем государственных органов, например, таких как портал gosuslugi.ru или системы отчетности Федеральной налоговой службы Российской Федерации. Что касается торговых площадок, то они сами определяют требования к электронным подписям и вправе использовать как квалифицированную подпись, так и электронную цифровую подпись, предусмотренную Федеральным законом 2002 г. Подобная ситуация с самостоятельностью определения различными системами создает проблему в виде невозможности некоторых из них к работе с квалифицированными электронными подписями даже к окончанию срока действия закона 2002 г.

При таком раскладе наиболее логичным для организации является определение целей использования электронной подписи. В случае если это отчетность в государственные органы, то необходимо срочно получать квалифицированную подпись. Однако если речь идет о других торговых сделках - лучше обратиться в удостоверяющий центр для получения квалифицированной подписи, чтобы избежать неловкой ситуации в случае перехода какой-либо площадки на ее обязательное требование.

Стоит также отметить, что несколько электронных документов, связанных между собой (пакет), могут быть подписаны одной электронной подписью и каждый такой документ в отдельности признается подписанным. При этом по-прежнему не стоит забывать о требованиях к конкретным видам электронных подписей в некоторых случаях.

Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, признаются в РФ в зависимости от соответствия признакам того или иного вида. Выдача сертификата ключа проверки электронной подписи в соответствии с нормами иностранного права не является причиной признания документа недействительным.

Порядок получения электронной подписи

Получение электронной подписи проходит в несколько этапов:

1. Поиск подходящего удостоверяющего центра

Для получения электронной подписи необходимо в первую очередь определиться с целями применения электронной подписи вашей организацией и в зависимости от них выбрать удостоверяющий центр, который уполномочен изготавливать сертификаты ключей проверки электронных подписей.

К компетенции удостоверяющего центра относится:

Создание и выдача сертификатов ключей проверки электронных подписей лицам, обратившимся за их получением (заявителям);

Утверждение сроков действия сертификатов ключей проверки электронных подписей;

Аннулирование выданных им сертификатов ключей проверки электронных подписей;

Выдача по обращению заявителя средств электронной подписи, содержащих ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающих возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;

Ведение реестра выданных и аннулированных им сертификатов ключей проверки электронных подписей, в том числе включающих в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращений или аннулирований;

Утверждение порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечение доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием сети "Интернет";

Создание по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;

Проверка уникальности ключей проверки электронных подписей в реестре сертификатов;

Осуществление по обращениям участников электронного взаимодействия проверки электронных подписей;

Осуществление иной связанной с использованием электронной подписи деятельности.

Помимо этого для удостоверяющего центра закреплены следующие обязанности:

Информирование в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;

Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защита от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;

Предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата ключа проверки электронной подписи;

Обеспечение конфиденциальности созданных удостоверяющим центром ключей электронных подписей.

Таким образом, основными функциями удостоверяющего центра являются осуществление проверки электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей, и обеспечение электронного взаимодействия доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром. Информация, внесенная в реестр сертификатов, подлежит хранению в течение всего срока деятельности удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами. В случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности этого удостоверяющего центра. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть уничтожена. В случае прекращения деятельности удостоверяющего центра с переходом его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты передачи своих функций. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть передана лицу, к которому перешли функции удостоверяющего центра, прекратившего свою деятельность.

При этом важно также оценивать стабильность и качества поставщика услуг, которые, как правило, определяются широтой сфер использования их сертификатов. И, конечно же, не стоит принимать свое решение в зависимости от цены, так как для полноценного функционирования необходимо приобрести полный комплект в виде ключевого носителя, лицензии на право использования средства электронной подписи и сертификата ключа проверки электронной подписи. Цены варьируются. В сети "Интернет" можно найти сайты удостоверяющих центров в подходящем регионе и подробно узнать всю информацию.

2. Подача заявки и документов для получения электронной подписи

Определившись с удостоверяющим центром, необходимо отправить заявку на выпуск сертификата электронной подписи. Такую заявку можно подать на сайте, заполнив краткую форму, после обработки которой для выяснения деталей оформления перезвонит менеджер, а позднее необходимо будет предоставить перечень документов в Регистрационный центр удостоверяющего центра. Также возможно заполнить полную регистрационную карту на сайте и явиться в место выдачи сертификатов к моменту его готовности. На данном этапе форма заявки зависит от выбора конкретного удостоверяющего центра.

После мониторинга сайтов удостоверяющих центров список документов, необходимых для изготовления квалифицированного сертификата ключа подписи, как правило, выглядит следующим образом:

Для юридических лиц

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРЮЛ

Нотариально заверенная копия, либо оригинал с простой копией свидетельства о постановке на учет в налоговом органе

Для индивидуальных предпринимателей

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРИП

Нотариально заверенная копия либо оригинал с простой копией свидетельства постановке на учет в налоговом органе

Копия СНИЛС владельца сертификата

Копия паспорта будущего владельца сертификата

Копия паспорта получателя сертификата

Доверенность на получение сертификата ключа подписи (если это не владелец сертификата)

Доверенность, подтверждающая полномочия владельца сертификата ключа подписи (если владелец не имеет права действовать от имени юридического лица без доверенности)

Для физических лиц

Заявление на изготовление сертификата ключа подписи

Нотариально заверенная копия, либо оригинал с простой копией свидетельства постановки на учет в налоговом органе

Копия паспорта

Копия СНИЛС владельца сертификата.

3. Получение сертификата и комплекта

Личное присутствие владельца сертификата или его доверенного представителя для получения сертификата ключа проверки электронной подписи является обязательным условием большинства удостоверяющих центров. Несмотря на то что на практике существуют случаи оказания услуг и дистанционно с использованием пересылок сканированных заявительных документов по электронной почте и получение сертификата электронной подписи также почтой, чаще всего таким образом действуют мошенники. Оформление сертификата и выдача комплекта в удостоверяющем центре не займет много времени. В этот комплект, как правило, входят:

Ключевой носитель (дискета, флешка, токен), содержащий файлы с ключом электронной подписи;

Сертификат ключа проверки электронной подписи, который также в виде файла записан на этот же ключевой носитель;

Копия сертификата ключа проверки электронной подписи на бумажном носителе с подписью и печатью удостоверяющего центра;

Лицензия на право использования программы для ЭВМ, которая в терминах закона называется средством электронной подписи;

Сама программа средства электронной подписи (установочные файлы) и документация к ней на CD-диске.

В случае кражи или утери ключа электронной подписи необходимо обратиться в удостоверяющий центр, сообщить об этом факте и получить новый ключ и новый сертификат ключа проверки электронной подписи, при этом все этапы его получения придется пройти заново и сертификат будет совершенно другим.

Также важно отметить, что электронная подпись обладает сроком действия, при этом выделяют срок действия ключа подписи - это период времени, в течение которого можно использовать ключ для создания подписи, и срок действия ключа проверки подписи - период времени, в течение которого можно использовать ключ для проверки действительности электронной подписи. Как правило, первый срок устанавливается равным 1 году, а второй срок устанавливается от 1 года до 15 лет. Но даже после получения нового ключа подписи и нового сертификата по истечении срока старого, пока не закончится срок действия "старого" сертификата, все "старые" подписи будут считаться действительными.

Требования к сотрудникам организации при работе с электронной подписью

Несмотря на простую процедуру получения электронной подписи, для эффективного ее использования необходимо уделять внимание обеспечению информационной безопасности на рабочем месте сотрудников. Порядок обеспечения информационной безопасности при работе с электронной подписью, как правило, определяется руководителем организации на основе рекомендаций по организационно-техническим мерам защиты, а также действующего российского законодательства в области защиты информации.

Сотрудники, имеющие доступ к ключевой информации и работе с использованием электронной подписи, должны быть определены и утверждены в определенный список. Они должны пройти соответствующую подготовку и ознакомиться с документацией по конкретной информационной системе, а также с нормативными документами по использованию электронной подписи. Чаще всего в организациях существует сотрудник, отвечающий за безопасность эксплуатации средств криптографической защиты информации, который занимается полным процессом сопровождения данных процессов, в том числе и созданием специализированных должностных инструкций. В случае увольнения или перевода в другое подразделение с изменением трудовых обязанностей сотрудника, рекомендуется проводить смену ключей, к которым тот сотрудник имел доступ.

Стоит отметить, что выше указаны наиболее общие требования, что в очередной раз подчеркивают серьезность применения электронной подписи в организации. Однако на практике каждая организация индивидуальна в регулировании данного вопроса.

Оформление трудовых отношений

Особую актуальность в последнее время приобретает использование электронной подписи для оформления трудовых отношений с работниками, которые находятся в удаленном доступе. Так, в апреле 2013 г. вступили в силу изменения в Трудовом кодексе РФ, которые регламентируют регулирование труда дистанционных работников и предусматривают заключение трудового договора о дистанционной работе путем обмена электронными документами. Однако в рамках данных трудовых отношений применятся исключительно квалифицированную электронную подпись для обеих сторон: работодателя и работника. Для подтверждения ознакомления с приказом о приеме на работу, правилами внутреннего трудового распорядка, иными документами в электронном виде сотрудник также должен использовать только усиленную квалифицированную электронную подпись.

При этом документы, касающиеся трудовой деятельности дистанционного работника, также оформляются в бумажном виде путем копий документов в электронной форме, которые заверяются квалифицированной электронной подписью работодателя и направляются дистанционному работнику на ознакомление. Именно эту копию работник и подписывает своей электронной подписью.

Ответственность за нарушение законодательства об электронной подписи

Ответственность за нарушение положений законодательства об использовании электронной подписи предусмотрена для разных участников электронного взаимодействия. Важно отметить, что Федеральный закон "Об электронной цифровой подписи" от 2002 г. предусматривает уголовную, гражданско-правовую и административную ответственность в соответствии с нормативными правовыми актами Российской Федерации за неправомерное использование электронно-цифровой подписи другого лица, включая неправомерное получение закрытого ключа и (или) без должных полномочий, за неправомерное создание и использование закрытых ключей, а также в случае причинения убытков пользователю открытого ключа вследствие несанкционированного доступа к закрытому ключу по вине владельца сертификата ключа подписи.

Однако в действующем законе от 2011 г. подобных упоминаний об ответственности участников электронного взаимодействия нет. При этом законодатель уделил внимание регламентации ответственности удостоверяющего центра за вред, причиненный третьим лицам в результате неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром, а также неисполнения или ненадлежащего исполнения обязанностей, предусмотренных данным законом.

Таким образом, после исследования правовой регламентации и организационных моментов использования электронной подписи можно сделать вывод об актуальности данной технологии в настоящее время. Повсеместное использование информационных технологий и переход на электронный документооборот в ближайшем будущем будут приносить плоды своего положительного влияния, однако для этого необходимо некоторое время. Правовая регламентация механизмов функционирования электронных подписей, включая переходный период от положений закона, утратившего силу, к новому правопорядку, нуждается в дополнительной проработке. Особенно стоит отметить сложность и запутанность применения различных видов электронных подписей, что негативно влияет на восприятие организациями процесса внедрения новых технологий. Помимо этого, проблемным моментом является отсутствие достаточной правовой регламентации ответственности всех участников электронного взаимодействия. Предполагается логичным установление дополнительной ответственности работников локальными актами конкретной организации. Однако в настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты.

средства, обеспечивающие на основе криптографических преобразований реализацию хотя бы одной из функций:

создание ЭП с использованием закрытого ключа ЭИ

подтверждение с использованием открытого ключа ЭП

создание закрытого и открытого ключей ЭП.

4. Средства кодирования (ручные шифры)

Средства, реализующие алгоритмы криптографического преобразования информации с выполнением части преобразования путем ручных операций или с использованием автоматизированных средств на основе таких операций.

5. Средства изготовления ключевых документов.

Независимо от вида носителя ключевой информации

6.Ключевые документы (независимо от вида носителя)

Компрометация криптографических ключей – хищение, утрата, разглашение, несанкционированное копирование и другие происшествия, в результате которых криптографические ключи могут стать доступными несанкционированным лицам и/или процессам.

Персональные данные (ПД) – любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту ПД), в том числе его фамилия, имя, отчество, дата рождения, адрес, семейное, социальное, имущественное положение, образование, профессия и другая информация.

Оператор ПД – государственный орган или муниципальный орган, юридическое или физическое лицо, организующее и/или осуществляющее обработку ПД, а также определяющие цели и содержание обработки ПД.

ЭП – информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связанной с такой информацией и которая используется для определения лица, подписавшего информацию.

Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром или доверенным лицом УЦ, и подтверждающий принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП.

УЦ – юридическое лицо или индивидуальный предприниматель, осуществляющий функционирование по созданию и выдаче открытых ключей проверки ЭП, а также иные функции, связанные с ЭП и предусмотренные законодательством.

Аккредитация УЦ – признание федеральным органом исполнительной власти, уполномоченным в сфере использования ЭП, соответствия УЦ требованиям законодательства.

Средства УЦ – программные и/или аппаратные средства, используемые для реализации функций УЦ.

Средства ЭП – шифровальные или криптографические средства, используемые для реализации хотя бы 1 из функций:

создание ЭП

проверка ЭП

создание ключа ЭП

создание ключа проверки ЭП

Ключ ЭП – уникальная последоватедьность символов, предназначенная для создания ЭП. Ключ проверки ЭП - … однозначно связанная с ключом ЭП и предназначенная для проверки подлинности ЭП.

Квалифицированные сертификаты ключей проверки ЭП – сертификат ключа проверки ЭП, выдан аккредитованным УЦ или доверенным лицом аккредитованного УЦ или федеральным органом исполнительной власти, умолномоченным в сфере использования ЭП (уполномоченным федеральным органом)

ГОСТ Р 51275

ЗИ. Объекты информатизации. Факторы, воздействующие на информацию. Основные положения.

Область применения – Стандарт устанавливает классификацию и перечень факторов, воздействующих на результативность защиты информации в интересах обоснованных угроз безопасности информации к требованиям по ЗИ на объекте информатизации. Стандарт распространяется на объекты информатизации, создание и эксплуатирование в различных областях деятельности (оборона, экономика, наука и другие)

Выявление и учет факторов, воздействующих или тех, которые могут воздействовать на защищаемую информацию в конкретных условиях, составляют основу для планирования и осуществления эффективных мероприятий, направленных на ЗИ на объекте информатизации.

Полнота и достоверность выявляемых факторов достигается путем рассмотрения полного множества факторов, воздействующих на все элементы ОИ (технические и программные средства обработки информации, средства обеспечения ОИ и так далее) и на всех этапах обработки информации.

Выявление факторов, воздействующих на защищаемую информацию, должно осуществляться с учетом требований:

достаточность уровней классификации факторов, позволяющая формировать их полное множество;

гибкость классификации. Позволяющая рассматривать множество классифицируемых факторов, а также вносить изменения без нарушения структуры классификаций.

Факторы, воздействующие на информацию:

(ЭЦП) – это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа ЭЦП, а также установить отсутствие искажения информации в электронном документе.

Нормативно-правовые документы касающиеся ЭЦП

Использование ЭЦП при заключении сделок регламентируется Федеральным законом от 10.01.2002 N1-ФЗ «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ» . Законом провозглашаются общие положения «правил » на электронных рынках в части вопросов признания ЭЦП в электронном документе равнозначной собственноручной подписи в документе на бумажном носителе.

• Присоединенная электронная цифровая подпись

• Служба штампов времени

  Срок действия любого сертификата ЭЦП ограничен определённым промежутком времени. После истечения его срока действия все документы созданные при помощи данной ЭЦП теряют свою юридическую силу, т.к. невозможно определить был ли сертификат актуален на момент подписания данного документа или нет? Это автоматически означает недействительность документа согласно с ФЗ «Об электронной цифровой подписи».

  Служба штампов времени позволяет доказать факт существования документа на определённый момент времени.

  Службой штампов времени может выступать Удостоверяющий центр, имеющий точный и надёжный источник времени и предоставляющий услуги по созданию штампов времени.

  Штамп времени является аналогом даты на подписываемом документе. Также он подтверждает, что сертификат был действителен на момент подписи документа. Это значит, что сохраняется возможность использования отозванного сертификата для проверки ЭЦП, созданных до момента отзыва. Эта проблема актуальна для всех систем электронного документооборота. Штамп времени также может использоваться для подтверждения получения или отправления документа, когда это необходимо.

  Что еще позволяет осуществить использование цифровой подписи?

  Электронная цифровая подпись является одним из важнейших элементов для организации полноценного электронного документооборота, т.к. служит аналогом собственноручной подписи человека. Кроме этого, использование цифровой подписи позволяет осуществить:

  * Контроль целостности передаваемого документа: при любом случайном или преднамеренном изменении документа подпись станет недействительной, потому что вычислена она на основании исходного состояния документа и соответствует лишь ему.
  * Защиту от изменений (подделки) документа: гарантия выявления подделки при контроле целостности делает подделывание нецелесообразным в большинстве случаев.
  * Невозможность отказа от авторства. Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец не может отказаться от своей подписи под документом.
  * Доказательное подтверждение авторства документа: Так как создать корректную подпись можно, лишь зная закрытый ключ, а он должен быть известен только владельцу, то владелец пары ключей может доказать своё авторство подписи под документом. В зависимости от деталей определения документа могут быть подписаны такие поля, как «автор», «внесённые изменения», «метка времени» и т. д.

  Что необходимо сделать для работы с ЭЦП?

  Для работы с ЭЦП необходимо:

  • обеспечить наличие ПЭВМ в соответствии с требованиями;
  • обеспечить наличие специализированного ПО для работы с ЭЦП;
  • определить лицо, на которое выписывается сертификат ЭЦП;
  • выбрать способ получения ЭЦП;
  • заключить договор УЦ и оплатить услуги по выдаче сертификата ключа подписи.

  Оставьте свой комментарий!