Внедрение электронной подписи в организации

Содержание

приложение n 3. приказ о назначении лиц, ответственных за осуществление обмена электронными документами | гарант
Какие изменения ждут в 2022 году?
Квалифицированная электронная подпись
Неквалифицированная электронная подпись
Постановка целей

приложение n 3. приказ о назначении лиц, ответственных за осуществление обмена электронными документами | гарант

Приложение N 3
к положению о порядке организации
выдачи и отзыва ключей электронных подписей
пользователей удостоверяющего центра
органов исполнительной власти
Оренбургской области

__________________________________________________________________

(наименование организации)

Приказ

О назначении лиц, ответственных за осуществление обмена электронными документами

Для организации электронного документооборота с использованием электронной подписи приказываю:

4. Администратору обмена ЭД провести инструктаж и ознакомить указанных в пунктах 1 – 3 настоящего приказа работников (должностных лиц) под роспись с утвержденными постановлением Правительства Оренбургской области от______2022 года N______ положением о порядке организации выдачи и отзыва сертификатов ключей электронных подписей пользователей удостоверяющего центра органов исполнительной власти Оренбургской области, правилами организации электронного документооборота органов исполнительной власти Оренбургской области с использованием электронной подписи, инструкцией по защите информации при электронном документообороте органов исполнительной власти Оренбургской области и порядком разрешения конфликтных ситуаций, возникающих при электронном документообороте органов исполнительной власти Оренбургской области.

7. Контроль за исполнением настоящего приказа оставляю за собой.

Какие изменения ждут в 2022 году?

Есть ещё один момент, на который организации обязательно нужно обратить внимание, если она затеяла внедрение квалифицированной ЭП, — до 31 декабря 2022 года необходимо перейти на использование схемы создания электронной подписи по стандарту «ГОСТ Р 34.10-2022.

Из этого следует, что при внедрении ЭП по новому ГОСТу важно учесть возможности инфраструктуры — есть большая вероятность, что понадобится обновление ОС или СЭД, например, — и выбрать надежного криптопровайдера. Тем, кто уже использует ЭП, возможно предстоит замена криптопровайдера и обновление инфраструктуры.

Квалифицированная электронная подпись

Квалифицированная электронная подпись (КЭП) может использоваться во всех перечисленных выше случаях с учетом ограничений, номенклатуры документа, который подписывается данным сертификатом.

В этом случае обмен документами происходит на площадке оператора электронного документооборота (ЭДО), и все действия по использованию КЭП регламентируются оператором. Плохая новость — за каждый пересылаемый через оператора документ придется платить (как правило, применяется оплата за объем).

Целесообразно заранее проанализировать, с кем организация будет обмениваться документами, и каким оператором ЭДО пользуется большинство партнеров, чтобы максимизировать эффект от перехода на электронный документооборот.

Бюджет на проект по внедрению УКЭП увеличивается ещё и за счет количества сотрудников, которым необходим сертификат. Средняя стоимость сертификата может варьироваться от 3 до 5 тысяч рублей в год. И скорее всего, всем сотрудникам организации такая подпись не требуется.

Для ознакомления с документом или подтверждения факта согласования достаточно простой электронной подписи или усиленной неквалифицированной. Квалифицированный сертификат, как правило, нужен только тем сотрудникам, которые уполномочены подписывать документы, отправляемые за пределы организации: первое лицо организации, главный бухгалтер, директора департаментов и т.п.

Для более надеждой защиты в подпись можно встроить информацию о том, когда документ был подписан (так называемый штамп времени). Время подписи получается от специальных центров штампов времени, которые считаются точными и надёжными источниками времени.

Такая электронная подпись называется улучшенной. Большинство современных СКЗИ поддерживают работу с улучшенными квалифицированной и неквалифицированной подписью, а аккредитованные удостоверяющие центры, выпускающие сертификаты, зачастую предоставляют услуги по предоставлению штампов времени своим клиентам.

Главным образом, такая подпись необходима для:

Генерального директора
Главного юриста
Главного бухгалтера
Других сотрудников, уполномоченных подписывать документы от имени компании

Необходимая инфраструктура:

СЭД с поддержкой интеграции с СКЗИ
СКЗИ

Бюджет:

От 1000 рублей ежегодно на получение квалифицированных сертификатов * количество сотрудников.
От 2700 рублей на для клиентских компонент СКЗИ * количество сотрудников.
От 5 рублей * количество документов, передаваемых через оператора ЭДО внешним контрагентам.

Неквалифицированная электронная подпись

Безопасность (а это одно из главных призваний электронных подписей в целом) в случае с простой ЭП обеспечивается средствами аутентификации СЭД. Администратор имеет доступ к журналам событий системы и может скорректировать информацию о действиях пользователей.

Для более мощной защиты можно использовать усиленную квалифицированную или неквалифицированную подпись. Такие подписи являются результатом криптографического преобразования информации и реализуются с помощью средств криптографической защиты информации (СКЗИ).

Подделать такие подписи можно, только получив доступ к секретным ключам, выдаваемым каждому пользователю лично. Также усиленные подписи позволяют определить, вносились ли изменения в документ после его подписания. Таким образом, усиленные ЭП решают сразу две задачи: идентификация сотрудника, подписавшего документ, и обеспечение целостности подписанного документа.

Отличаются они тем, что неквалифицированная подпись не требует закупки сертификатов у аккредитованного Минкомсвязью РФ удостоверяющего центра (УЦ). Такую подпись можно изготовить внутри компании, развернув в своей ИТ-инфраструктуре удостоверяющий центр, который можно не аккредитовывать.

В качестве средств УЦ для создания неквалифицированной электронной подписи может использоваться инфраструктура Microsoft. Выданные таким способом сертификаты будут действительны не только внутри организации, они могут использоваться и для внешнего документооборота при условии заключения соглашения с контрагентом, партнером об использовании ЭП.

Закон устанавливает, что «информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия».

Неквалифицированная электронная подпись подойдет для:

внутреннего документооборота при условии принятия соответствующих регламентов, НПА
внешнего документооборота при подписании соглашения об использовании ЭП

Кому из сотрудников будет полезна:

руководителям среднего и высшего звена
специалистам, участвующим в процессах согласования документов (юристы, финансисты, бухгалтеры и т.п.)

Необходимая инфраструктура:

СЭД с поддержкой интеграции с СКЗИ
Удостоверяющий центр
СКЗИ

Бюджет:

Внедрение СЭД (если в организации СЭД не внедрена)
Доработка СЭД (если в организации СЭД внедрена)
Поддержка и администрирование СЭД
Разработка нормативных документов по использованию ЭП
Разворачивание внутреннего УЦ
От 1 000 рублей Х количество сотрудников для клиентских компонент СКЗИ.
Внедрение СКЗИ от 2 700 рублей (зависит от количества сертификатов). Если используются средства, встроенные в Windows, то СКЗИ необязательны.

Постановка целей

Зачастую внутри организации отсутствует четкая формулировка цели внедрения ЭП, поэтому на первом этапе важно правильно определить, для чего и для кого она нужна, и заранее проанализировать затраты на реализацию проекта. Существует несколько типов ЭП – простая, усиленная квалифицированная и неквалифицированная.

Чаще всего под ЭП понимается именно усиленная квалифицированная ЭП (УКЭП), которая включает в себя полный «боекомплект» – она требует приобретения сертификата у аккредитованного Минкомсвязью России удостоверяющего центра, установки средств криптографической защиты информации (СКЗИ) и ежегодную плату за перевыпуск сертификатов.

В законе прописано, что участники имеют право «использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия».

Чтобы понять, какая ЭП нужна компании, необходимо сперва проанализировать объем внутреннего и внешнего электронного документооборота компании (как существующего на данный момент, так и планируемого после завершения проекта по внедрению ЭП).