Электронная подпись: практическое использование на предприятии программного продукта CyberSafe Enterprise. Часть первая / Блог компании КиберСофт / Хабр

Что такое электронная подпись

Компаниям нужна электронная подпись, чтобы обмениваться документами с партнерами, сдавать отчетность через интернет, участвовать в электронных торгах, подать иск в суд.

Частные лица пользуются подписью, чтобы подать иск в суд или подписывать документы удаленно. Например, если продают квартиру и нужно подписать договор купли-продажи.

Почему вы считаете, что журналы инструктажей по охране труда можно вести электронно и подписывать электронными подписями работников?

Роструд разрешает подписывать журналы по охране труда квалифицированной электронной подписью. См. официальный портал Роструда Онлайнинспекция.РФ – ответы на вопросы №129703 от 20.05.20, №111189 от 24.06.19, №109000 от 16.04.19.

Законодательство требует подпись в журналах, но не указывает, что подписи должны быть на бумаге:

«Проведение всех видов инструктажей регистрируется в соответствующих журналах проведения инструктажей… с указанием подписи инструктируемого и подписи инструктирующего…» (п. 2.1.3. Постановление Минтруда, Минобразования 1/29 от 13.01.03 «Об утверждении Порядка обучения по охране труда…»).

«Все записи в журналах удостоверяются подписями инструктируемого и инструктирующего (инструктора по охране труда) с обязательным указанием даты и времени проведения инструктажа» (п. 8.3 ГОСТ 12.0.004-90).

В СБИС все виды ЭП визуализированы и позволяют определить дату, время и ФИО подписанта. Журналы требуются при проверках охраны труда, полагаем их нерискованными документами. Поэтому допускаем применение любого вида электронной подписи – КЭП, НЭП, ПЭП.

Что такое электронная подпись?

В этой части статьи речь пойдет об использовании электронной подписи на коммерческом предприятии. Сначала мы рассмотрим, в каких случаях электронная подпись станет полезной и пригодится на каждом предприятия, а затем рассмотрим ее практическое использование.

Прежде всего, нужно сказать, что такое электронная подпись. Это информация, которая присоединяется к другой информации (к подписываемой информации) с целью определения лица, подписавшего информацию, а также факта неизменности информации после ее подписания.

В самом же законе «Об электронной подписи» сказано следующее: «электронная подпись — информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию».

Таким образом, главная задача электронной подписи — установить авторство документа и гарантировать, что документ не был изменен после его подписания.

Если вникнуть в закон «Об электронной подписи», то электронная подпись бывает простой и усиленной. Простая электронная подпись подтверждает лишь факт электронного подписания документа определенным лицом.

Усиленная электронная подпись, в свою очередь, делится на усиленную неквалифицированную и усиленную квалифицированную. Усиленная неквалифицированная электронная подпись позволяет:

  • Определить лицо, которое подписало электронный документ;
  • Определить факт изменения документа после подписания (чего не позволяет простая электронная подпись).

Также усиленная неквалифицированная ЭП должна быть получена в результате криптографического преобразования информации с использованием ключа электронной подписи.

Усиленная квалифицированная ЭП — то же самое, что и усиленная неквалифицированная, но ключ проверки ЭП указан в квалифицированном сертификате, а для создания и проверки ЭП используются средства, получившие подтверждение соответствия требованиям, которые установлены законом «Об электронной подписи». Рассматриваемая далее программа CyberSafe предлагает как раз вариант усиленной квалифицированной ЭП.

Внутренний документооборот

Самый распространенный вариант внутреннего документооборота предприятия — это служебные записки. Больше нет смысла распечатывать документ и подписывать его собственноручно, если можно подписать его цифровой подписью и отправить дальше по цепочке.

Электронная подпись здесь экономит не только время, но и деньги — снижается расход бумаги и тонера принтера. Конечно, себестоимость одного распечатанного листа бумаги может и не сильно высока, но за год можно сэкономить вполне приличную сумму, и это уже не говоря о времени, которое сегодня стоит дорого.

Как правило, на предприятии используются сетевые принтеры. Сетевой принтер может быть расположен в другом кабинете или вообще на другом этаже. Сотруднику, распечатавшему служебную записку, нужно выйти из своего кабинета, добраться до принтера и найти среди остальных документов свою записку.

Второй пример — это процесс согласования договора. Представим, что сотрудник Иванов подготавливает договор и отправляет его на согласование руководителю. Принцип такой же, как и со служебной запиской — зачем тратить время на печать говора, если можно подписать его электронной подписью?

Читайте также:  Усиленная квалифицированная электронная подпись — что это такое?

В больших корпоративных сетях, где у руководителя и даже у рядового сотрудника Иванова могут быть недоброжелатели электронная подпись — это надежный способ убедиться в авторстве документа и его неизменности (что никто без ведома Иванова или его руководителя не внес в него какие-то изменения).

Вы можете возразить, мол есть права доступа и видно, кто последний раз редактировал документ. Зачем нужна электронная подпись? Все как бы правильно, если бы не одно но. В любой системе есть пользователь с максимальными правами — администратор, который может не только изменить сам документ, но и его атрибуты (в том числе время/дату изменения, автора последнего изменения и т.д.).

Доверенная третья сторона

К началу страницы

Доверенная третья сторона (ДТС) — юридическое лицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего электронный документ, для обеспечения доверия при обмене данными и электронными документами.

Функции и обязанности ДТС, а также требования к средствам ДТС, определены Федеральным законом от 27.12.2021 №476-ФЗ.

Юридические лица, претендующие на выполнение функций ДТС обязаны пройти процедуру аккредитации в соответствии с Федеральным законом от 27.12.2021 №476-ФЗ в порядке, установленном Минцифры России.

К основным функциям ДТС также относится деятельность по признанию электронных подписей, созданных в соответствии с нормами права иностранного государства и международными стандартами, которые соответствуют признакам усиленной электронной подписи.

Если потеряли подпись

Если вы потеряли ключ электронной подписи или его украли, как можно скорее обратитесь в удостоверяющий центр, который выдал подпись. УЦ отзовет сертификат, чтобы им никто не мог воспользоваться.

Восстановить сертификат нельзя, его придется выпускать заново.

Использование эп в частной жизни

С квалифицированной электронной подписью физические лица могут:

Как перевыпустить подпись

Сертификат электронной подписи выдают на год. Чтобы продлить сертификат, нужно заново подать заявление в удостоверяющий центр. Если какие-то данные вашей компании изменились, нужны будут оригиналы новых документов.

Если данные прежние, обычно подпись выпускают на основе сохранившихся документов, повторно их нести не нужно. На всякий случай уточните в УЦ: некоторые центры заново просят весь пакет документов.

Если у вас остался токен, новый сертификат и ключ электронной подписи можно перезаписать на него же.

Как получить электронную подпись ип или юридическому лицу

Чтобы получить КЭП, нужно собрать пакет документов и обратиться в удостоверяющий центр.

Выбрать удостоверяющий центр. Квалифицированную электронную подпись могут выдавать только аккредитованные государством УЦ. Удостоверяющим центром может быть не только специальная компания — право выдавать КЭП может получить, например, банк.

Проверить, аккредитован ли УЦ выдавать квалифицированные подписи, можно на сайте Минцифры РФ.

Собрать документы. В удостоверяющем центре придется заполнить заявление на выдачу электронной подписи. Юрлицу понадобятся такие документы:

Если подпись получает представитель, еще нужны:

Оплатить электронную подпись. Стоимость определяет удостоверяющий центр. В среднем — от 3000 ₽.

Получить подпись. После оплаты сертификат и ключ электронной подписи запишут на носитель. Лучше всего использовать токен. В среднем он стоит от 1000 ₽.

Как проверить подлинность подписи

Проверку подписи проводят, чтобы убедиться в юридической силе документа. Это нужно, если партнеры отправляют документы не через системы ЭДО. Например, заказчик принимает заявки от участников тендера не через торговую площадку, а обычной электронной почтой.

Проверить подлинность электронной подписи можно через специальные сервисы.

Сервис КриптоПро

Cервис для проверки подлинности электронной подписи
Можно проверить достоверность самого сертификата подписи или подписанного документа

Контур.Крипто

Cервис для проверки подлинности электронной подписи через сертификат и подписанный документ
В сервис нужно загрузить документ и сертификат, с помощью которого он был подписан

Сайт госуслуг

Cервис для проверки электронной подписи через загрузку сертификата
Для проверки подписи нужно загрузить файл сертификата и ввести код с картинки

Как работает квалифицированная электронная подпись

Технически КЭП — сгенерированный файл с уникальной последовательностью цифр, который прикрепляется к документу.

Электронная подпись состоит из трех компонентов:

Закрытый ключ — набор символов, с помощью которого создается уникальная электронная подпись для документа. Закрытый ключ можно хранить на компьютере, диске, флешке, в облаке, но лучше всего использовать токен.

Токен — специальный USB-носитель для электронной подписи. Внешне он похож на обычную флешку. В токен встроена защищенная карта памяти, поэтому использовать его безопаснее: никто не сможет взломать или перехватить вашу подпись в интернете.

Открытый ключ содержит публичную информацию. По нему получатель документа может проверить подлинность подписи и целостность документа.

Для работы с подписью нужна специальная программа — СКЗИ, средство криптографической защиты информации. Она шифрует и дешифрует электронные документы. Есть разные СКЗИ: КриптоПро CSP, Signal-COM CSP, ЛИССИ-CSP, VipNet CSP. Когда пойдете получать подпись, в удостоверяющем центре расскажут, какую программу нужно будет использовать.

Подписание документа, по сути, процесс взаимодействия открытого и закрытого ключей. К примеру, вы хотите отправить договор партнеру через систему электронного документооборота (ЭДО). Упрощенно, процесс такой:

  1. Вы подписываете документ в системе. С помощью СКЗИ для договора создается хэш-сумма — уникальная последовательность цифр, которая генерируется на основе содержания документа.
  2. Хэш-сумма шифруется с помощью закрытого ключа. Это и есть уникальная подпись договора.
  3. Вы отправляете зашифрованный документ партнеру через систему ЭДО. Этот документ передается вместе с подписью и данными сертификата, где указан открытый ключ.
  4. Партнер получает документ. С помощью открытого ключа он расшифровывает документ. СКЗИ на стороне получателя тоже вычисляет хэш-сумму и сравнивает ее с той, которую вы зашифровали при подписании документа.
Читайте также:  Электронная цифровая подпись - купить универсальный ключ (КЭП)

Если эти две последовательности чисел совпадают, подпись верна, договор подписан и имеет юридическую силу. Если не совпадают, значит, документ меняли после подписания: подпись признается недействительной, а договор не имеет юридической силы.

Какую подпись выбрать

Чаще всего компаниям и ИП нужна квалифицированная электронная подпись, чтобы обмениваться документами с госорганами и участвовать в торгах. Поэтому дальше будем говорить о КЭП.

Можно ли передать подпись другому лицу

По закону владелец подписи должен обеспечить ее конфиденциальность. Это значит, что передавая подпись кому-то другому, вы ее компрометируете. Если об этом узнает удостоверяющий центр, он должен отозвать сертификат, чтобы подпись перестала действовать.

Бывает, что руководитель поручает бухгалтеру подписывать отчетность и отдает ему свою подпись. Это рискованно: если кто-то отправляет договор или отчетность вместо руководителя, ответственность за подписанные документы будет нести владелец подписи. А для бухгалтера можно выпустить отдельную подпись.

Некоторые проблемы внедрения электронной подписи на предприятии

Пока еще человеку трудно привыкнуть к электронной подписи и к ней не относятся как к чему-то серьезному. Пока на документе не будет стоять «мокрая» подпись его, по-прежнему, не считают подписанным. Сотрудники все еще будут использовать копии бумажных документов, терять свои закрытые ключи, не считая их чем-то важным. Как преодолеть психологический барьер? Как преодолеть то самое «без бумажки — ты букашка, а с бумажкой — человек»?

Оказывается, выход есть и он заключается в еще одной бумажке. Нужно внутри предприятие принять «положение об электронном документообороте». Все сотрудники должны ознакомиться с ним и скрепить принятие этого положения своей подписью, пока что не электронной.

Помимо психологического барьера есть еще один — образовательный. Опытному сотруднику со стажем, которому до выхода на пенсию осталось несколько лет, довольно трудно будет объяснить, что такое электронная подпись и как ее правильно использовать. Он относительно недавно освоил работу с обычной электронной почтой, а тут асинхронная криптография, открытые и закрытые ключи и т.д.

Вот это и есть основная проблема, с которой я столкнулся относительно недавно на собственном опыте. Решение есть, но оно не такое простое, как в первом случае. На первых порах задачу обучения работе с электронной подписью можно возложить на плечи IT-отдела.

Как и со всеми нововведениями, нужно быть к готовым к волне неприятия. Но, когда сотрудники поймут, насколько хороша электронная подпись, они перестанут работать по старинке. Чтобы облегчить переход на электронную подпись, нужно в том самом положении, о котором только шла речь, предусмотреть некоторый переходной период, когда еще можно пользоваться обычными подписями.

Есть еще одна проблема, но она технического характера, следовательно, решается довольно просто. Для работы электронной подписи нужен удостоверяющий центр (УЦ) электронной подписи или центр сертификации. В законе «Об электронной подписи» четко сказано, что такое УЦ:

Удостоверяющий центр — юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные настоящим Федеральным законом

Следовательно, удостоверяющий центр придется или создать собственный, или же использовать внешние центры, например, центр сертификации CyberSafe.

Основная задача УЦ — выдача криптографических сертификатов и подтверждение их подлинности.

Отчетность в егаис фсрар

Особняком стоит взаимодействие с единой государственной автоматизированной информационной системой (ЕГАИС) ФСРАР. Система создана, чтобы контролировать алкогольный рынок: производство, оптовую и розничную продажу спиртосодержащих напитков.

Для подключения к системе и взаимодействия с ней организации или индивидуальному предпринимателю нужна специальная квалифицированная электронная подпись — КЭП для ЕГАИС ФСРАР. Это связано с требованиями безопасности и техническими особенностями ключевых носителей: криптографические операции происходят в самом носителе, а не на компьютере пользователя.

Получить электронную подпись для ФСРАР ЕГАИС

Отчетность через интернет

Основная сфера применения электронной подписи — это сдача электронной отчетности. Большинство категорий бизнеса обязаны через интернет представлять отчетность в ФНС, ПФР, ФСС и другие контролирующие органы. Для отправки отчетности через интернет потребуется квалифицированный сертификат электронной подписи (далее — КЭП), выпущенный на сотрудника, который обладает полномочиями подписывать электронную отчетность организации.

Читайте также:  Для чего нужна ЭЦП, что с ее помощью можно подписывать, как получить | СберИнфо

Получить электронную подпись для отчетности

Практическая часть


Прежде, чем перейти к практической части нашей статьи, нужно поговорить о выборе программного обеспечения. Почему стоит остановить свой выбор на продуктах CyberSoft?

Во-первых, компания-разработчик имеет все необходимые лицензии ФСБ и ФСТЭК, в чем вы можете убедиться по адресу:

Работа с государственными информационными системами

Многие ведомства и госорганы предоставляют услуги или принимают отчетность в электронном виде. Чтобы работать на этих порталах, также понадобится электронная подпись.

Большинство площадок принимают базовые квалифицированные подписи, например:

  • ЕФРСБ, ЕФРСФДЮЛ, ЕАИС ФСТ, ЦБ РФ Финансовые рынки, Росимущество, Главгосэкспертиза, Мой Арбитр, Роскомнадзор, Госуслуги и другие.

Для некоторых нужен квалифицированный сертификат, который содержит в структуре специальный идентификатор, например:

  • ФТС, порталы для раскрытия информации и некоторые коммерческие торговые площадки: B2B-Center, ЭТП ГПБ, Фабрикант и др.

Выберите сертификат для работы с конкретным ведомством с помощью Мастера подбора сертификатов.

Получить электронную подпись для госсистем

Участие в электронных торгах

Больше половины закупок всех бюджетных организаций проводятся в формате электронных аукционов. До июля 2021 года для участия в госзакупках нужна неквалифицированная электронная подпись (НЭП) — это требование 44-ФЗ «О контрактной системе».

С помощью НЭП участники госзакупок аккредитуются на электронных торговых площадках и подписывают контракты в случае победы в закупке. Но специалисты рекомендуют сразу же оформить КЭП, необходимую для других действий, связанных с участием в госзакупках: например, она нужна, чтобы оформить банковскую гарантию через интернет, обратиться в ФАС или арбитраж.

Кроме того, КЭП подойдет для участия в электронных закупках компаний с госучастием и коммерческий компаний, которые тоже проводят часть своих закупок  на электронных площадках.

Чтобы приобрести подходящую электронную подпись для участия в торгах в качестве поставщика, уточните требования к виду подписи на тех площадках, на которых планируете участвовать в электронных торгах.

Планируете участвовать в электронных торгах впервые? СКБ Контур поможет разобраться в сложных процедурах государственных и коммерческих торгов с помощью услуги Сопровождение торгов. Вы пройдете полный цикл от аккредитации на площадке до подписания контракта вместе с нашими специалистами. Услуги сопровождения торгов предотвратят ошибки, которые допускают новички. Мы проанализируем документацию, правильно составим и подадим заявки. Для победы вам останется подготовить конкурентное предложение.

Получить электронную подпись для торгов

Электронный документооборот

Все больше организаций, особенно с большим количеством контрагентов, переходят на электронный документооборот, оценив плюсы этой технологии:

  • быстрый обмен любыми документами, в том числе бухгалтерской «первичкой»,
  • сокращение издержек на обработку и передачу документов.

По договоренности между собой стороны могут использовать любой вид электронной подписи, но гарантом юридической силы электронных документов без подписания дополнительных соглашений между участниками документооборота является только КЭП. Кроме того, государство установило обязанность использовать квалифицированную электронную подпись для счетов-фактур.

Получить электронную подпись для документооборота

Выводы

Из всего написанного ранее можно сделать вывод, что ЭП — очень полезное нововведение на предприятии, поскольку предприятия при использовании ЭП получат следующие преимущества:

  1. Возможность защиты документов от несанкционированного чтения и изменения
  2. Сокращение бумажного документооборота благодаря переводу части внутренних документов в электронный вид
  3. Возможность определять юридический статус документа по ЭП (устанавливать авторство документа).

Вся описанная выше система сгодится только для коммерческих организаций, но ее нельзя использовать для государственных предприятий, где нужен сертифицированный криптопровайдер. Также описанную систему можно использовать между разными организациями для любых документов, если стороны договорились считать ключи и УЦ доверенными.

Стоит отметить, что настоящая версия CyberSafe не является полноценной корпоративной версией, поскольку на данный момент пока нет централизованной выдачи и распределения ключей. Поэтому в этой версии администратор шифрования может сам формировать ключи и сертификаты и записывать пользователям на токены (будут рассмотрены во второй части статьи). Полноценная корпоративная версия ожидается к середине 2021 года.

На этом заканчивается первая часть статьи. Во второй части мы поговорим как раз об использовании электронной подписи в государственных организациях и банках. Речь пойдет об использовании сертифицированного криптопровайдера и токенов. В принципе, все, о чем пойдет речь во второй части статьи, можно будет использовать и на коммерческих предприятиях, если есть на то необходимость.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector