- Введение
- Архитектурные решения пак крипто про dss
- Вопросы о получении эцп
- Зарегистрироваться в еис
- Интерфейс мобильного приложения криптопро mydss
- Как зарегистрироваться в приложении mydss? — тинькофф помощь
- Методика тестирования
- Общие сведения о программно-аппаратном комплексе криптопро dss
- Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
- Ответы на вопросы об аккредитации операторов
- Ответы на вопросы про электронные подписи спецоператоров
- Электронная подпись для торгов по 223-фз и коммерческих закупок
- Эп не подписывает документ
- Выводы
Введение
Активная цифровизация общества позволяет экономить финансы, а также сокращает временные затраты. Также с каждым годом увеличивается количество услуг, которые можно выполнить в электронном виде (отправка документов в налоговую, передача платежных поручений в банк, электронная регистрация сделок по объектам недвижимости, участие в электронных торгах и т. д.), необходимо лишь иметь электронную подпись.
На сегодняшний день электронная подпись является неотъемлемым атрибутом не только многих организаций, но и многих физических лиц. Но это лишь один из срезов применения электронной подписи. В крупных организациях ее часто используют для внутреннего документооборота: цифровые сертификаты являются универсальным средством строгой аутентификации, а использование ассиметричной криптографии обеспечивает надежное шифрование.
С каждым днем поддержка цифровых сертификатов становится более трудоемкой и сложной задачей. Рост числа цифровых сертификатов увеличивает нагрузку на службы ИТ и ИБ, так как необходимо контролировать срок их действия, своевременно обновлять, также нужно отслеживать использование ключевых носителей (смарт-карт и токенов).
КриптоПро DSS позволяет применять как традиционную электронную подпись, так и облачную (что обеспечивает компаниям полноценную работу с ЭП без аппаратных носителей — токенов и смарт-карт). Также КриптоПро DSS имеет мобильное приложение КриптоПро myDSS для смартфонов на базе Android и iOS, которое позволяет подписывать квалифицированной электронной подписью.
Напомним, что, согласно Федеральному закону от 06.04.2021 г. № 63-ФЗ «Об электронной подписи», электронная подпись бывает следующих видов:
- простая электронная подпись;
- неквалифицированная электронная подпись;
- квалифицированная электронная подпись.
Таким образом, с помощью КриптоПро myDSS можно подписывать документы, которые будут иметь юридическую значимость. Стоит отметить, что контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП.
Архитектурные решения пак крипто про dss
КриптоПро DSS предлагается в трех вариантах:
- ПАК КриптоПро DSS — сервер ЭП и КриптоПро HSM;
- КриптоПро DSS Lite является облегченной версией КриптоПро DSS и предназначен для подписания документов электронной подписью в браузере;
КриптоПро DSS Lite позволяет подписывать документы всех распространенных форматов на различных платформах, используя любые веб-браузеры и ключевые носители.
Гибкая модель лицензирования позволяет отказаться от покупки и установки плагинов и дополнительных приложений для подписания различных форматов документов.
Поддерживаются следующие форматы документов:
- PKCS#7/CMS/CAdES;
- Microsoft Office;
- PDF (CMS/CAdES);
- XMLDSig.
Предоставляет единую точку входа для подписания документов и управления сертификатами пользователя.
КриптоПро myDSS – это приложение для смартфона (myDSS доступен для скачивания в Google Play и App Store), которое позволяет подписывать квалифицированной электронной подписью документы и контролировать действия пользователя в системах дистанционного банкинга, порталах госуслуг, системах ЭДО, электронных торговых площадках и т. д.
КриптоПро myDSS представляет собой совместную разработку компаний КриптоПро и SafeTech на базе программно-аппаратного комплекса облачной электронной подписи КриптоПро DSS и системы подтверждения электронных транзакций PayControl.
КриптоПро myDSS объединяет удобство и экономическую эффективность облачных технологий с максимальным уровнем безопасности, что позволяет использовать все юридические и технические свойства квалифицированной электронной подписи при построении систем онлайн-взаимодействия.
В основе КриптоПро myDSS лежит технология, которая обеспечивает строгую криптографическую аутентификацию пользователей, безопасное online-взаимодействие, отображение документа и подтверждение операций. Это позволяет сервису облачной электронной подписи КриптоПро DSS выполнить требования, предъявляемые регулятором к средствам электронной подписи.
Криптографическая аутентификация и защита канала между приложением и сервером КриптоПро DSS гарантируют, что только легальный пользователь сможет воспользоваться ключами подписи.
Ключи электронной подписи пользователей хранятся в сертифицированном КриптоПро HSM в неизвлекаемом виде.
Комплексное решение КриптоПро myDSS включает:
- серверную часть, в которой в КриптоПро HSM хранятся ключи электронной подписи,
- систему, управляющую процессами формирования подписи на стороне сервера,
- приложение для смартфона, которое визуализирует пользователю подписываемый документ и вырабатывает операции на подписание,
- защищенные каналы взаимодействия клиентской и серверной частей,
- является полноценным средством электронной подписи. Условно его можно назвать «большим токеном».
КриптоПро myDSS предназначен для применения в следующих сферах деятельности:
- системы интернет-банкинга или мобильного банкинга, в которых необходимо использование квалифицированной электронной подписи;
- порталы государственных услуг, системы сдачи электронной отчетности;
- системы электронной коммерции;
- системы электронного документооборота.
Благодаря максимальной гибкости и отсутствию ограничений на бизнес-процессы КриптоПро myDSS может применяться при автоматизации любых видов деятельности, в которых необходимо обеспечить юридическую значимость подтверждения пользователей.
ПАК Крипто Про DSS разворачивается на сервере (Сервер ЭП) и работает в связке с КриптоПро HSM. В частности, создание и хранение ключей электронной подписи пользователей осуществляется с использованием специального защищенного модуля КриптоПро HSM.
КриптоПро HSM предоставляет криптографический сервис пользователям и предназначен для выполнения следующих функций: создание и проверка электронной подписи; вычисление хэш-функции; шифрование и расшифрование блоков данных; вычисление имитовставки блоков данных; генерация и защищенное хранение ключевой информации (все ключи хранятся в зашифрованном виде); управление учетными записями пользователей криптографического сервиса.
Одним из преимуществ использования КриптоПро DSS является отсутствие привязки пользователя к настроенному рабочему месту. Настройку криптографических механизмов и форматов, например, установку средства криптографической защиты (программы КриптоПро CSP), и управление ключами берут на себя серверные компоненты КриптоПро DSS.
Доступ к ключу ЭП можно получить с настольного компьютера, с ноутбука, с планшета и со смартфона. Для работы КриптоПро DSS требуется установить лишь удобное средство аутентификации. Варианты аутентификации пользователей для работы с КриптоПро DSS рассмотрены ниже.
Для безопасного хранения и использования секретных ключей ЭП удостоверяющих центров и пользователей применяется КриптоПро HSM, который выполняет операции формирования, проверки ЭП и вычисления значений хэш-функции, шифрования и расшифровки данных. КриптоПро HSM снабжен датчиками вскрытия, механизмами доверенной генерации и уничтожения ключей, защитой от утечек по побочным каналам и от внутреннего нарушителя (администратора), а также другими уровнями защиты, соответствующими классу КВ2. Ключи становятся неизвлекаемыми и некомпрометируемыми.
Пользователь получает доступ к своим ключам только после прохождения процедуры надежной многофакторной аутентификации в КриптоПро DSS. При этом дополнительно каждый ключевой контейнер может защищаться индивидуальным PIN-кодом, который знает и может сменить только владелец ключа электронной подписи.
Для прохождения аутентификации в КриптоПро DSS реализуются следующие способы:
Управление пользователями КриптоПро DSS осуществляется администратором (оператором), который имеет возможность посредством веб-интерфейса или API выполнять следующие действия:
- создание пользователя;
- блокирование и удаление пользователя;
- генерация ключа электронной подписи пользователя;
- формирование и передача в удостоверяющий центр запроса на создание сертификата ключа проверки электронной подписи;
- установку полученного сертификата пользователю;
- настройку параметров аутентификации пользователей;
- аудит и формирование аналитической отчетности по выполняемым пользователями операциям;
- сброс пароля в случае его утраты пользователем.
КриптоПро DSS позволяет интегрировать использование сервера электронной подписи в существующие бизнес-процессы и системы (например, ЭДО, ДБО и т. д.). На рисунке 1 приведен пример того, как может быть развернут КриптоПро DSS и приведены стадии подписания электронного документа ЭП в системе электронного документооборота (ЭДО). При этом вместо ЭДО может быть и другая система, например, система дистанционного банковского обслуживания (ДБО).
Рисунок 2. Пример архитектурного решения КриптоПро DSS, интегрированного с системой ЭДО
Вопросы о получении эцп
«Можно иметь две подписи: ИФНС и оператора?»
Да, можно.
«ЭЦП можно будет получить на всех сотрудников организации, которые участвуют в ЭДО?»
Да, на каждого сотрудника можно получить подпись физлица. До 1 января 2022 года, чтобы счета-фактуры и другие документы, подписанные и отправленные по ЭДО, имели силу, их нужно подписывать ЭЦП руководителя юрлица, полученного у коммерческого УЦ или у УЦ ФНС.
«Для подписания документов в банк, УКЭП оформлять в ЦБ?»
Нет, УКЭП в ЦБ оформляют только:
- кредитные организации;
- операторы платежных систем;
- некредитные финансовые организации.
Юрлица и предприниматели оформляют подпись в ФНС и ей подписывают документы в Банк.
«Непонятно, подпись нужно обязательно получать в ифнс, или у своего оператора?»
До 1 июля получайте и продлевайте ЭЦП у своего спецоператора. После 1 июля уточните у своего оператора, пройдена ли у него переаккредитация. Если да, то можно получить подпись у него, если нет — получите подпись в УЦ ФНС.
«На директора ООО также оформлено ИП. Может ли директор получить в ИФНС КЭП на юрлицо бесплатно?»
Да, может. ЭЦП для организации в ФНС может получить только лицо, указанное в выписке ЕГРЮЛ: вне зависимости от указанной там должности или наличия у этого лица ИП.
«Кто будет подписывать отчетность компании, которая находится на бухгалтерском обслуживании. Ведь доверенность можно получить только на работника организации?»
К 1 января 2022 года в ФНС нужно получить подписи на каждое юрлицо, которое находится на бухгалтерском обслуживании. Сотруднику, который подписывает отчетность этих организаций, нужно будет сделать подпись физлица. К концу года должна появится машиночитаемая доверенность, которая будет генерироваться и хранится на серверах ФНС. От каждой организации нужно будет получить такую доверенность. После этого можно будет сдавать отчетность.
«Наша организация — ломбард. Мы подотчетны ЦБ. Куда обращаться за подписью?»
Квалифицированную электронную подпись кредитных организаций, операторов платежных систем, некредитных финансовых организаций и индивидуальных предпринимателей можно будет получить в Удостоверяющем центре ЦБ. Ломбарды являются некредитными финансовыми организациями на основании ст. 76.1 86-ФЗ.
«Можно ли КЭП получить дистанционно в ФНС при действующем сертификате?»
Нет, обязательна личная явка руководителя.
«На гендиректора надо уже сейчас менять подпись в ФНС или к 2022 году?»
Зависит от срока действия ЭЦП. Если заканчивается до конца 2021 года — продлить ее можно в любом коммерческом аккредитованном удостоверяющем центре, либо получить в ФНС с 1 июля. Если заканчивается в 2022 году, то безопасней подождать окончательное решение по поводу сроков действия ЭЦП, выданных коммерческими УЦ: либо она продолжит действовать до окончания своего срока, либо до 01.01.2022.
«Организация фактически находится в Москве, но юрадрес в другом регионе. Куда обращаться за подписью руководителя?»
Обратитесь в свою территориальную налоговую или на горячую линию ФНС: 8-800-222-22-22.
«В налоговой для получения подписи требуют защищенный носитель. Это правомерно?»
Правомерно. 63-й-ФЗ передал полномочия по выпуску КЭП Удостоверяющему центру ФНС. Деятельность УЦ ФНС регламентирует приказ ФНС России от 30.12.2020 № ВД-7-24/982@. В приказе сказано: «В пунктах выдачи УЦ ФНС России заявителем предоставляется носитель ключевой информации, оснащенный интерфейсом универсальной последовательной шины (ТИП А), сертифицированный федеральным органом исполнительной власти в области обеспечения безопасности или федеральным органом исполнительной власти, осуществляющим реализацию государственной политики, организацию межведомственной координации и взаимодействия, специальные и контрольные функции в области государственной безопасности.
Удостоверяющий центр создает ключ ЭП и ключ проверки ЭП для заявителя в соответствии с правилами пользования средствами криптографической защиты информации, согласованными с Федеральной службой безопасности Российской Федерации в соответствии с приказом ФСБ России № 66.»
Когда вышло письмо ФНС от 12 мая, оно просто конкретизировало токены, попадающие под эти требования.
«Сейчас в организации две подписи на гендиректора. Одной пользуется бухгалтерия, чтобы сдавать отчетность. Другой ЭЦП пользуется отдел, который занимается тендерами. Работаем удаленно. Как будет теперь?»
До 1 января 2022 года директору нужно получить подпись в ФНС. Главному бухгалтеру в коммерческом УЦ надо будет получить подпись физлица. В вашей учетной программе или у спецоператора к концу года появится возможность сгенерировать машиночитаемую доверенность, которая подписывается подписью директора, и дает право главному бухгалтеру сдавать отчетность. Если тендерами занимается отдельный сотрудник, ему также нужно получить отдельную подпись физ.лица.
«Первые лица компаний получают подпись только в ИФНС, ЦБ или Казначействе?
С 1 января 2022 года получать подпись первые лица компаний могут только в ИФНС, ЦБ, Казначействе. До 1 июля 2021 можно получить в любом УЦ, а после 1 июля 2021 — можно продлить у аккредитованного УЦ или в УЦ ФНС.
«Если я одновременно директор ООО и главный бухгалтер, то я могу иметь две подписи: от ФНС и коммерческого УЦ?»
ФНС выдает ЭЦП только на лицо, указанное в выписке ЕГРЮЛ. Если у главбуха есть ЭЦП, выданная коммерческим УЦ, то она продолжит действовать до истечения своего срока. При необходимости можно дополнительно получить подпись физлица, в этом случае вы сами себе будете подписывать доверенность.
«ИП может получить ЭЦП в ИФНС?»
Верно. Руководители юрлиц, ИП и нотариусы могут получить ЭЦП в ФНС с 1 июля.
«Может ли директор, как и раньше, получить ЭЦП у аккредитованного центра, или только в ФНС?»
С 1 июля до конца года можно получить ЭЦП в любом аккредитованном по новым правилам коммерческом удостоверяющем центре или в УЦ ФНС.
«ЭЦП для передачи документов в систему ЕГАИС тоже оформлять через ФНС?»
Достаточно будет получить одну подпись в УЦ ФНС, она будет применима в том числе для ЕГАИС.
Подключайте БухСофт Отчетность и отправляйте отчеты в июле без штрафов, ошибок и в срок.
Сравнить тарифы и цены
Зарегистрироваться в еис
Первый шаг — создание учетной записи на Госуслугах (ЕСИА).
- С помощью ЭП авторизуйтесь в ЕСИА.
- Из личного кабинета добавьте организацию. Данные заполнятся из сертификата подписи. Добавьте контактную информацию.
ФНС проверит данные в течение 5 рабочих дней. Статус регистрации можно смотреть в личном кабинете Госуслуг или просто дождаться результатов проверки на электронную почту.
Второй шаг — создание учетной записи в ЕИС.
- Зайдите в ЕИС по сертификату электронной подписи, дайте согласие на перенос данных из ЕСИА в ЕИС.
- Заполните недостающие сведения в форме.
- Прикрепите сканы документов.
- Внесите данные о сотрудниках, которые будут работать на ЭТП по доверенности.
ЕИС проверит внесенную информацию в течение 1 рабочего дня. Если все верно, данные об участнике попадут в Единый реестр участников закупок (ЕРУЗ) на следующий рабочий день. В противном случае в регистрации откажут. Придется заново заполнять форму и отправлять ее на подтверждение.
Еще 1 рабочий день займет перенос данных из ЕИС на федеральные ЭТП.
Фактически на регистрацию в ЕИС уходит 2-7 дней. Лучше зарегистрироваться в ЕИС заранее, в противном случае можно не успеть подать заявку на участие в выбранной закупке.
ИП Андрей Васильев нашел на НЭП-Фабрикант интересный тендер и решил принять в нем участие. До конца срока подачи заявок оставалось четыре дня. Чтобы подать заявку, Андрей стал регистрироваться в ЕИС. Данные об индивидуальном предпринимателе появились в ЕРУЗ только на пятый день, и Андрей не успел принять участие в закупке.
В компании «Тензор» помогут быстро зарегистрироваться в ЕИС: подготовят нужные документы, заполнят заявку, перепроверят данные на актуальность и наличие ошибок.
После регистрации можно переходить к работе на НЭП-Фабрикант.
Интерфейс мобильного приложения криптопро mydss
Приложение myDSS является интерфейсной частью КриптоПро DSS и предназначено для осуществления аутентификации, управления ключами и осуществления подтверждения операций (вход пользователя в КриптоПро DSS, подписание документа и т. д.).
С помощью мобильного приложения КриптоПро myDSS:
- подписание документов осуществляется в одно нажатие;
- не требуется никаких дополнительных устройств и программных средств (токенов, генераторов паролей и т. д.);
- возможна работа в офлайн-сценариях, когда смартфон находится вне сети;
- нет никаких задержек и отмены операций, связанных с ожиданием или недоставкой push-уведомлений и SMS-сообщений;
- возможна интеграция со средствами биометрической идентификации — подписание по отпечатку пальца, изображению лица и прочим признакам.
Рисунок 24. Перечень возможностей КриптоПро myDSS
В качестве примера рассмотрим, как проходит процесс подписания документа с использованием приложения myDSS:
Первоначально необходимо загрузить в КриптоПро DSS документ, выбрать сертификат для подписи и нажать кнопку «Подписать».
Рисунок 25. Выбор параметров для создания подписи документав КриптоПро DSS
Далее предлагается подтвердить операцию с использованием мобильного устройства.
Рисунок 26. Запрос на подтверждение операции подписания документа в КриптоПро DSS
После — ввести PIN-код от контейнера ключа подписи.
Рисунок 27. Запрос PIN-кода к ключевому контейнеру в КриптоПро DSS
Далее следует предложение на подтверждение операции с использованием мобильного приложения.
Рисунок 28. Запрос на подтверждение операции в КриптоПро DSS
После в приложении myDSS придет уведомление о том, что есть операции, требующие подтверждения. Для подтверждения операции нажимаем кнопку «Подтвердить», выбираем нужный ключ авторизации и вводим пароль к нему.
После чего в приложении для ознакомления и подтверждения отобразится информация о подписываемом документе. Нажимаем кнопку «Подтвердить», и затем появится уведомление об успешном подтверждении операции.
Рисунок 29. Подтверждение операции подписания документа в приложении КриптоПро myDSS
После успешного подтверждения операции в приложении в КриптоПро DSS у пользователя появится сообщение об успешном завершении операции.
Рисунок 30. Успешное завершение операции подписания документа в КриптоПро DSS
Также в приложении myDSS можно осуществлять управление ключами (переименование, изменение пароля и удаление ключа).
Рисунок 31. Возможности по управлению ключами вКриптоПро myDSS
Таким образом, мы рассмотрели основные возможности работы КриптоПро DSS и мобильного приложения myDSS, доступные пользователям.
Как зарегистрироваться в приложении mydss? — тинькофф помощь
Чтобы зарегистрироваться в приложении:
Рекомендуем сделать это заранее, до встречи с представителем банка, чтобы встреча прошла быстрее.
2. Убедитесь, что у вас есть СМС с кодом активации.
После согласования условий кредита мы создадим для вас учетную запись в приложении MyDSS. После этого вам придет СМС с кодом активации. С помощью этого кода вы активируете свою учетную запись на встрече с представителем Тинькофф. До встречи с представителем вам ничего не нужно делать с этим кодом.
Если такое СМС не пришло до первой встречи, сообщите об этом своему менеджеру в Тинькофф.
3. Дождитесь встречи с представителем Тинькофф.
На первой встрече представитель Тинькофф передаст вам бланк с QR-кодом. QR-код нужен, чтобы привязать учетную запись с КЭП к вашему смартфону.
4. Активируйте учетную запись.
Войдите в приложение MyDSS. Нажмите значок QR-кода в нижней части экрана. Потом нажмите кнопку «Сканировать»:
Наведите камеру на QR-код, который вам даст представитель Тинькофф.
Введите код активации, который пришел до встречи в СМС. Нажмите «Продолжить»:
5. Напишите название вашей электронной подписи.
Можете придумать любое. Его видите только вы. Например, «Кредитная линия под залог» или «Моя подпись»:
6. Выберите режим защиты электронной подписи.
Этим способом вы будете подтверждать подписание документов в приложении MyDSS.
Использовать пароль. Придумайте шестизначный пароль. Запишите его в удобном для себя месте, чтобы не потерять. Если забудете пароль, восстановить учетную запись не получится: придется заново регистрироваться и выпускать новый QR-код.
Использовать Face ID. Подписание документов по сканированию лица, если в вашем смартфоне есть такая возможность.
Использовать Touch ID. Подписание документов по сканированию отпечатка пальца, если в вашем смартфоне есть такая возможность.
Сохранить без пароля. Подписание документов без пароля.
Готово, вы зарегистрировались в приложении MyDSS.
Методика тестирования
Смоделируем типовой процесс подготовки Администратором информационной безопасности ключевых документов для организации ЭДО:
- генерируется контейнер закрытого ключа и запрос на сертификат открытого ключа;
- после прохождения в удостоверяющем центре процедуры сертификации из запроса получается сертификат;
- сертификат в совокупности с контейнером закрытого ключа образует готовую для использования ключевую информацию. Данную ключевую информацию, записанную на носителе, будем называть исходным ключевым документом;
- с исходного ключевого документа изготавливаются копии, которые записываются на отчуждаемые носители (далее будем называть их рабочими ключевыми документами) и передаются уполномоченным пользователям;
- после изготовления необходимого количества рабочих ключевых документовисходный ключевой документ уничтожается или депонируется на хранение в орган криптографической защиты информации.
В нашем случае мы не будем пользоваться услугами центров сертификации, а сгенерируем ключевой контейнер с самоподписанным сертификатом и разместим его в реестре компьютера (АРМа генерации ключевой информации), это и будет
исходный ключевой документ
. Затем скопируем ключевую информацию на Рутокен ЭЦП и JaCarta ГОСТ, изготовив
рабочие ключевые документы
. После этого уничтожим
исходный ключевой документ
, удалив из реестра ключевой контейнер. И, наконец, попробуем скопировать ключевую информацию с рабочих ключевых документов обратно в реестр.
Общие сведения о программно-аппаратном комплексе криптопро dss
В статье мы рассматриваем программно-аппаратный комплекс КриптоПро DSS, который предназначен для централизованного, защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию электронной подписи (ЭП) с использованием ПАКМ (программно-аппаратного криптографического модуля) КриптоПро HSM.
Главным преимуществом использования КриптоПро DSS является технология облачной электронной подписи. Компания КриптоПро предлагает понимать под облачной электронной подписью следующее: это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.
То есть все вычислительные операции с использованием ЭП переносятся в облако, а от пользователя требуется лишь подтвердить свою личность.
В традиционном понимании, привычном для подавляющего большинства пользователей, ключ ЭП хранится у ее владельца. Например, для хранения ключа ЭП используется защищенный ключевой носитель в формате USB-токена или смарт-карты, который пользователь может носить с собой.
Следовательно, можно сказать, что КриптоПро DSS — это сервер облачной ЭП, хранящий ключи и сертификаты пользователей и предоставляющий аутентифицированный доступ к ним для формирования ЭП.
КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью пользователей ЭП, например, удостоверяющие центры, банки, страховые и производственно-сбытовые компании. При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к.
компания КриптоПро предлагает «Сервис электронной подписи» на собственной инфраструктуре. При этом хранение ключей электронной подписи и реализация криптографических операций осуществляются централизованно в КриптоПро DSS и КриптоПро HSM, а установка дополнительных средств криптографической защиты информации на рабочих местах пользователей не требуется. Вся работа с КриптоПро DSS осуществляется через web-браузер или мобильное приложение myDSS.
При использовании облачной электронной подписи ключевыми вопросами являются обеспечение сохранности ключей подписи, безопасный доступ к ним, а также признание ее юридической значимости.
Прорывом в данном случае является получение компанией «КриптоПро» 10 августа 2021 года сертификатов соответствия ФСБ России на все разработанные к настоящему моменту исполнения программно-аппаратного криптографического модуля КриптоПро HSM версии 2.0 (с ГОСТ Р 34.10-2021):
- на Комплектацию 1 (в том числе, Исполнение 1 класса KB/KB2) и Комплектацию 2;
- на исполнения Комплектации 3 (КриптоПро DSS 2.0) с КриптоПро CSP 3.9 (КС1, КС2, КС3), с КриптоПро CSP 4.0 (КС1, КС2, КС3) и с КриптоПро JCP 2.0 (КС1);
- на исполнения Комплектации 3 (КриптоПро DSS 2.0) DSS SIM(QES), а также DSS myDSS и DSS AirKey Lite с аутентификацией и подтверждением операций формирования ЭП с использованием SIM-карт и с помощью мобильных приложений для iOS и Android.
Рисунок 1. Пример сертификата соответствия ФСБ на одну из комплектаций КриптоПро HSM 2.0 и КриптоПро DSS 2.0
Тем самым, с использованием КриптоПро DSS можно формировать облачную квалифицированную электронную подпись и подписывать ей документы даже с помощью приложения для смартфона.
Помимо этого, ПАК КриптоПро DSS v. 2.0 имеет свидетельство о государственной регистрации программы для ЭВМ № 2021613440 от 14.03.2021 г.
Онлайн сервис подачи документов для получения сертификатов (портал заявителя)
Для получения квалифицированного сертификата ключа проверки электронной подписи (далее – сертификат), созданного Удостоверяющим центром Федерального казначейства (далее – УЦ ФК), необходимо:
Обратиться в территориальный орган Федерального казначейства (далее – ТОФК) при принадлежности к кругу лиц, определённому в пункте 2
Порядка реализации Федеральным казначейством функций аккредитованного удостоверяющего центра и исполнения его обязанностей, утвержденному приказом Федерального казначейства от 16.03.2020 № 11н.
Проверить настройку АРМ для работы с Порталом заявителя ИС УЦ (
проверить
).
Получить средство электронной подписи (КриптоПро CSP версии 4.0) в ТОФК, в случае его отсутствия.
Настроить автоматизированное рабочее место (далее – АРМ) для работы с Порталом заявителя:
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС;
Обеспечить на АРМ наличие одной из следующих операционных систем: ОС Windows 7 с пакетом обновления 1 (SP1) и выше, ОС Astra Linux («Астра Линукс»), ОС Альт Линукс, ОС GosLinux («ГосЛинукс»), РЕД ОС;
Обеспечить на АРМ наличие любого Web-браузера с поддержкой криптоалгоритмов ГОСТ: Internet Explorer (версии 9.х, 10.х, 11.х), Яндекс.Браузер (скачать), Браузер «Спутник» с поддержкой отечественной криптографии (скачать), Браузер Chromium ГОСТ (скачать);
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0;
Установить сертифицированную версию СКЗИ КриптоПро CSP 4.0;
Установить «КриптоПро ЭЦП Browser Plugin» версии 2.0 (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать);
Установить драйвера ключевого носителя (например, Рутокен (скачать), e-Token (скачать);
Установить сертификаты Минцифры России (ГУЦ) и УЦ ФК ГОСТ Р 34.10-2021 (инструкция);
Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).Проверить работу КриптоПро ЭЦП Browser plug-in (проверить).
Подать документы на создание сертификата с использованием Портала заявителя:
Для подачи документов на создание сертификата без использования ЭП, необходимо руководствоваться инструкцией подачи запроса на сертификат без использования ЭП;
Для подачи документов на создание сертификата с использованием действующего ключа ЭП, который соответствует сертификату, созданному УЦ ФК, необходимо руководствоваться инструкцией по смене сертификата с использованием ЭП.
В случае возникновения ошибок при работе с Порталом заявителя рекомендуем воспользоваться «Списком часто задаваемых вопросов» либо обратиться в Единый контактный центр Федерального казначейства по номеру телефона 8(800) 301-07-77
Для работы с Порталом заявителя нажмите на кнопку ниже
Ответы на вопросы об аккредитации операторов
«Если центр прошел аккредитацию, то в ИФНС не обязательно получать? Можно, как обычно, продлевать у своего центра?»
Если подпись заканчивается в июле-августе, то лучше продлить ее у своего коммерческого УЦ. Если позже — дождитесь разъяснений ФНС по поводу того, будут или нет действовать подписи аккредитованных коммерческих УЦ в 2022 году. Пока существует одно письмо, в котором сказано, что с 1 января 2022 года для организации действует только подпись, выданная УЦ ФНС.
«Если удостоверяющая организация прошла аккредитацию, все равно надо будет в 2022 году получать подпись в ФНС, ЦБ и Казначействе?
Да, на сегодняшний день информация такая. Если дополнительных разъяснений от ФНС по срокам действия подписей аккредитованных коммерческих УЦ не будет, к 1 января нужно будет получить подпись ФНС. Дальше необходимо отправлять отчетность через своего спецоператора или учетную программу. Подписывать документы начнете новой подписью.
«Как можно узнать об аккредитации оператора?»
Информацию об аккредитации можно посмотреть на сайте Минцифры. Обновляют список примерно раз в месяц. Если работаете с партнером, а не с головной организацией (УЦ), то ищите информацию по головной организации. На каждого партнера отдельно документы не подают.
«Крупный оператор ЭДО сообщил, что получит аккредитацию после 01.07.2021, но пообещал, что из-за этого проблем у владельцев его подписей не будет. Это правда так?»
Если до 1 июля Удостоверяющий центр не успевает пройти аккредитацию, то он не может выдавать новые и пролонгировать текущие подписи. Однако весь функционал отправки будет работать в полном объеме. Это значит, что действующей подписью вы сможете подписать отчетность и отправить ее в принимающую инстанцию.
«Подпись действует до середины августа, но центр не получил аккредитацию. Получит он ее или нет — неизвестно. Что делать в этом случае?»
До середины августа подписывайте документы своей ЭЦП, она продолжает действовать. В августе обратитесь в территориальное отделение УЦ ФНС, или к аккредитованному коммерческому УЦ.
«Как узнать истечение срока действия аккредитации выдавшего сертификат центра?»
Посмотреть срок действия аккредитации можно на сайте Минцифры.
«Работаю как уполномоченная бухгалтерия. Мои подписи будут действительны после 1 января?»
Пока не известно. Если в течение лета информация не прояснится, безопаснее с сентября или уже сейчас, по мере окончания сроков действия ЭЦП, начать переводить клиентов на подписи ФНС. С нового года уполномоченные лица организаций должны будут использовать подпись физлица.
Подпись физлица нужно получить у вашего спецоператора (коммерческий УЦ). В ней будут указаны только Ф.И.О. сотрудника без информации об организации, которую он представляет. При подписании документов сотрудникам нужно будет подтверждать полномочия — прикладывать электронную доверенность, подписанную ЭП руководителя.
Ответы на вопросы про электронные подписи спецоператоров
«Если пользуемся БухСофт Электронная отправка, то можно совсем не получать КЭП от ФНС?»
Зависит от срока действия ЭЦП. Если она заканчивается в период с июля по декабрь 2021 года, то выпустить ЭЦП можете через БухСофт, либо получить в ФНС. В 2022 году получить ЭЦП можно будет только в ФНС. Но такую ЭЦП также можно будет использовать в сервисе БухСофт.
«Будут ли действовать ключи ИФНС на платформах СБИС, Тензор и т. д. Что будет с программами по сдаче отчетности?»
Подпись ИФНС не привязана ни к одной системе отправки и будет действовать на всех платформах. Учетные программы тоже с ними будут работать. Для того, чтобы отправлять отчетность из БухСофт нужно будет указать в программе сертификат ФНС, аналогично будут работать другие программы.
«Контур Экстерн предоставляет усиленную квалифицированную подпись или нет?»
По вопросу выпуска и пролонгации подписей Контуром, лучше обращаться непосредственно к спецоператору, либо отслеживать факт аккредитации на сайте Минцифры. В целом, все по общему правилу — до 1 июля предоставляет. После — предоставляет, если пройдет переаккредитацию. Уже выпущенные подписи продолжают действовать.
«Если подпись продлена СБИС до июля 2022 года, можно сдавать отчеты в ФНС, ФСС, ПФР?»
Вопрос до конца не урегулирован. По данным на текущий момент, срок действия КЭП, выпущенных коммерческими удостоверяющими центрами, в том числе прошедшими переаккредитацию, заканчивается 1 января 2022 года.
«Если КЭП у ИП заканчивается 08.07.2021 года, нужно ли в обязательном порядке получить КЭП в ФНС или можно продлить и работать через Калугу Астрал?»
Рекомендуем продлить до 01.07.2021 года, чтобы спокойно встретить отчетную кампанию в июле. Выпущенная ЭЦП в таком случае будет действовать минимум до конца года. Ближе к концу года станет ясно, перевыпустить ее у аккредитованного спецоператора, или же получить в ФНС.
«Может ИП получить в ФНС КЭП для себя, а отчетность сдавать через Калугу Астрал? Подпись этого оператора действительна до мая 2022 года».
Да, может. Наличие ЭЦП от ФНС не повлияет на действие ЭЦП, уже выпущенной у спецоператора. Однако, по информации на июнь, ЭЦП, выпущенные коммерческими спецоператорами, прекратят действие 1 января 2022.
«Можно директору не обращаться в ФНС, а как обычно получить подпись у Калуги Астрал?»
Да, можно.
«Калуга Астрал сможет выдавать КЭП директору без доверенности в 2022 году?»
Нет, с 1 января 2022 года выдавать подписи руководителям юрлиц смогут только УЦ ФНС. Требуется личная явка. По доверенности получить подпись будет нельзя.
Электронная подпись для торгов по 223-фз и коммерческих закупок
Торги по 223-ФЗ проводят компании с государственным участием, их «дочки» и «внучки», а также естественные монополии. Например, РЖД, Газпром, Сбербанк и Россети.
Закупки по 223-ФЗ для крупного бизнеса и коммерческие тендеры публикуют на отдельных электронных торговых площадках. Активно работают около 200 таких ЭТП. Их можно разделить на две группы:
- Универсальные — для любых заказчиков, товаров и регионов. Например, B2B-center, Фабрикант, коммерческая секция ЕЭТП.
- Cпециализированные — для нефтяной или строительной отрасли, в определенном регионе или для конкретного холдинга. Например, ТЭК-Торг, «Электронный магазин Москвы», «Электронные аукцион Сибири», закупки Газмпромнефть, Тендер.РЖД, закупки Корпорации Росатом.
Какая нужна подпись?
Не всем коммерческим ЭТП подойдет обычная КЭП. На некоторых площадках работает только КЭП со специальным платным расширением — OID-ом. Какую подпись принимать, решают сами ЭТП. Например, стандартную КЭП принимают коммерческие секции площадок Сбербанк-АСТ, ЕЭТП, РТС‑тендер. А КЭП с OID-ом — B2B-center и Фабрикант.
Это не означает, что поставщикам нужно покупать несколько разных подписей для разных ЭТП. Можно заказать одну квалифицированную подпись и добавить в нее все необходимые OID-ы. Такую услугу оказывают удостоверяющие центры, которые сотрудничают с торговыми площадками. Правда, за каждый OID площадка требует доплаты.
Так, в подпись для торгов от Контура можно добавить OID интересующей вас площадки. Сделать это можно даже после того, как начнете пользоваться подписью — например, если захотите участвовать в закупке на новой площадке. Добавить до трех OID-ов можно через месяц после выпуска подписи, если подключите специальную услугу, или в любое время при покупке подписи для торгов «Марафон».
В обоих случаях удостоверяющий центр перевыпустит вашу подпись, добавив к ней необходимое расширение.
Эп не подписывает документ
Причин у подобной проблемы множество. Среди самых распространённых можно выделить следующие неполадки:
Закрытый ключ на используемом контейнере не соответствует открытому ключу сертификата. Возможно был выбран не тот контейнер, поэтому следует проверить все закрытые контейнеры на компьютере. Если необходимый контейнер по тем или иным причинам отсутствует, владельцу придётся обращаться в удостоверяющий центр для перевыпуска ЭП.
Ошибка «Сертификат недействителен» (certificate is not valid). Следует повторно установить сертификат ЭП по инструкциям УЦ в зависимости от используемого криптопровайдера — КриптоПро CSP, ViPNet CSP или другого.
Сертификат ЭП определяется как непроверенный. В этом случае необходимо переустановить корневой сертификат удостоверяющего центра.
Истёк срок действия криптопровайдера. Для решения этой проблемы необходим новый лицензионный ключ к программе-криптопровайдеру. Для его получения необходимо обращаться к специалистам УЦ или к ответственным сотрудникам своей организации.
Подключён носитель с другим сертификатом. Убедитесь, что подключён правильный токен. Проверьте также, не подключены ли носители других сертификатов. Отключите другие носители в случае их обнаружения.
В момент подписания электронных документов или формирования запроса в различных может возникнуть ошибка «Невозможно создание объекта сервером программирования объектов».
В этой ситуации помогает установка и регистрация библиотеки Capicom:
Выводы
Электронная подпись все чаще применяется современными компаниями. В связи с этим вопрос централизованного хранения ЭП в настоящее время весьма актуален.
В данной статье мы рассмотрели, как с этой задачей может справиться ПАК КриптоПро DSS, который предназначен для централизованного защищенного хранения закрытых ключей пользователей, а также для удаленного выполнения операций по созданию ЭП с использованием ПАКМ КриптоПро HSM.
Стоит отметить, что ввиду технических и организационных особенностей реализации КриптоПро DSS преимущественно ориентирован на крупные организации с разветвленной сетью владельцев электронных подписей и высокой мобильностью сотрудников: например, удостоверяющие центры, банки, страховые, производственно-сбытовые компании.
При этом для малого и среднего бизнеса он удобен тем, что нет необходимости тратиться и внедрять ПАК КриптоПро DSS в свою инфраструктуру, т. к. КриптоПро предлагает сервис на собственной инфраструктуре. А вся работа с КриптоПро DSS осуществляется через web-браузер. КриптоПро DSS поддерживает все основные web-браузеры. В том числе у КриптоПро DSS есть приложение и для смартфонов.
Для крупных компаний удобство заключается в гибкости КриптоПро DSS и возможности интеграции с различными системами, уже функционирующими в компании, например, с IdM/IAM-системы (системы управления доступом).
Технически и организационно сложное в своей реализации решение КриптоПро DSS прошло долгий путь от идеи до получения сертификата от ФСБ России. Процесс был осложнен тем, что помимо применения передовых технологий необходимо было обеспечить должный уровень безопасности пользователей.
10 августа 2021 года компания «КриптоПро» получила сертификаты ФСБ России на все разработанные комплектации КриптоПро HSM 2.0 и DSS 2.0 (с поддержкой ГОСТ Р 34.10-2021) — в том числе с аутентификацией операций формирования электронной подписи с использованием SIM-карт, а также с помощью мобильных приложений myDSS и AirKey DSS для iOS и Android.
Компоненты КриптоПро DSS при использовании совместно с ПАКМ КриптоПро HSM 2.0 удовлетворяют требованиям к средствам криптографической защиты информации, предназначенным для защиты информации, не содержащей сведений, составляющих государственную тайну, и требованиям к средствам электронной подписи, утвержденных приказом ФСБ России от 27 декабря 2021 г. №796, по классу КС1; для исполнений КриптоПро DSS с КриптоПро CSP 4.0 по классам КС1, КС2, КС3 соответственно.
Это позволяет формировать и использовать квалифицированные электронные подписи, в том числе и юридически значимою облачную квалифицированную электронную подпись.
Достоинства: