Можно ли передать ЭЦП другому лицу

«подводные камни» простой электронной подписи

Все информационные системы (ИС) можно разделить на публичные и закрытые, рассматривая круг пользователей, имеющих возможность создания или отправки электронных документов. Если, для доступа к ИС, человек обязан пройти процедуру проверки оригинала УЛ, то такая ИС будет закрытой, доступ к которой имеет строго определенный круг лиц.

ИС, доступ к которой имеет неопределенный круг лиц, не прошедших процедуру проверки УЛ, будет публичной. К закрытым ИС относятся все корпоративные ИС, так как человек, получивший к ней доступ, прошел процедуру оформления на рабочем месте с предъявлением документов и заключением трудового договора.

Рассмотрим основные способы подписания документов ПЭП, сложившиеся в российских реалиях.

Первым способом является заключение соглашения о том, что стороны признают документы, отправленные с электронного почтового ящика, подписанными ПЭП. В этом случае открытым ключом является адрес электронной почты, конфиденциальным ключом — пароль к электронному почтовому ящику. Юридически значимой такая ПЭП будет при соблюдении следующего условий:

  1. Почтовый сервис является закрытым, т.е. доступ к нему имеет строго определенный круг лиц, прошедших процедуру проверки оригинала удостоверения личности;
  2. Открытый ключ ПЭП содержится в передаваемом документе (ФЗ-63, статья 9 п.1);
  3. Пароль к почтовому ящику строго конфиденциален, известен только единственному, определенному лицу, прошедшему процедуру проверки оригинала УЛ перед получением пароля (ключа ПЭП) и это зафиксировано в соглашении (ФЗ-63, статья 9, п.2);

При использовании корпоративной электронной почты обычно соблюдаются все эти условия, т.к. корпоративная почта относится к закрытым ИС, адрес почтового ящика отправителя содержится в передаваемом сообщении, пароль к корпоративному личному почтовому ящику известен только строго определенному лицу.

5 способов защитить электронную подпись — сервисы на

Электронная подпись (ЭП) — почти что паспорт. Она удостоверяет личность человека и позволяет совершать юридически значимые операции от его лица. Если ЭП достанется мошеннику, он сможет навредить владельцу подписи или его имуществу. Мы попросили Сергея Казакова, руководителя Удостоверяющего центра Контура, рассказать о правилах безопасности при работе с электронной подписью.


Сергей Казаков, руководитель Удостоверяющего центра Контура

Электронная подпись в руках постороннего человека, как утерянный паспорт в руках мошенника — с ее помощью можно совершить незаконные действия от имени другого человека.

Так, мы знаем о ситуации, когда генеральный директор передал закрытый ключ собственной ЭП бухгалтеру, чтобы тот не отвлекал его из-за каждого документа на подписание. В итоге бухгалтер с помощью электронной подписи руководителя оформил микрозайм на компанию на два миллиона, перевел деньги на свой счет и отправился в отпуск, из которого не вернулся.

В другой ситуации руководство организации уволило сотрудника, но не забрало у него сертификат ЭП. Желая отомстить, обиженный работник подписал товарную накладную от имени компании и скрылся, повесив долг на компанию.

Подобные ситуации происходят нечасто, но все-таки происходят — и могут привести к серьезным последствиям. Соблюдайте правила безопасности, чтобы снизить риски мошенничества с вашей ЭП.

  • Правило первое: никому не передавайте закрытый ключ ЭП

У посторонних людей, даже ваших коллег или подчиненных, не должно быть доступа к закрытому ключу подписи. В противном случае за вас могут подписать документ, а доказать, что это сделали не вы, будет практически невозможно. Храните ЭП на защищенном usb-носителе или на компьютере с паролем.

  • Правило второе: соблюдайте цифровую гигиену

Запарольте рабочий компьютер и установите на него антивирус. С осторожностью относитесь к неизвестным программам и не открывайте письма, которые вызывают сомнения. Не забывайте блокировать компьютер, когда отходите от него — тогда никто не воспользуется ЭП в ваше отсутствие.

  • Правило третье: поменяйте пинкод

Заводской пароль на токене максимально простой — 12345678, например. Его очень легко угадать, а значит воспользоваться вашей подписью.

  • Правило четвертое: если сотрудник ушел, отзовите у него сертификат ЭП

Если сертификат останется, работник сможет действовать от лица компании даже после увольнения. Чтобы забрать сертификат, обратитесь в удостоверяющий центр, который его выдал. Это может сделать или сам сотрудник, или руководитель организации.

  • Правило пятое: проверяйте данные в электронных сервисах

Так вы заметите, что кто-то подал некорректные данные от вашего имени и, вероятно, получил доступ к ЭП.

Читайте также:  Как найти электронную подпись для госуслуг

— Зайдите на Госуслуги и посмотрите раздел «Последние действия». Вы узнаете, если кто-то оформит на вас ООО или ИП или попытается изменить руководителя в компании. Настройте уведомления в сервисе, чтобы вовремя отслеживать подозрительные операции.

— Регулярно заходите в личный кабинет на nalog.ru, чтобы убедиться, что никто не пытался продать ваше имущество или подать отчетность от имени компании. Как и в случае с Госуслугами, настройте уведомления.

— Проверяйте операции в сервисах, где используете ЭП. Вы заметите, если кто-то использовал ее без вашего ведома.

Если вы потеряли закрытый ключ подписи или заметили подозрительную активность, отзовите сертификат в удостоверяющем центре — тогда тот, у кого в руках окажется электронная подпись, не сможет ей воспользоваться.

9 Учет и контроль

Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.

В журнале может отражаться следующая информация:

  • дата, время;
  • запись о компрометации ключа;
  • запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
  • запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
  • запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
  • записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
  • события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.

Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.

В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.

Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.

Квалифицированная электронная подпись


Квалифицированная электронная подпись (КЭП) может использоваться во всех перечисленных выше случаях с учетом ограничений, номенклатуры документа, который подписывается данным сертификатом.

В этом случае обмен документами происходит на площадке оператора электронного документооборота (ЭДО), и все действия по использованию КЭП регламентируются оператором. Плохая новость — за каждый пересылаемый через оператора документ придется платить (как правило, применяется оплата за объем).

Целесообразно заранее проанализировать, с кем организация будет обмениваться документами, и каким оператором ЭДО пользуется большинство партнеров, чтобы максимизировать эффект от перехода на электронный документооборот.

Бюджет на проект по внедрению УКЭП увеличивается ещё и за счет количества сотрудников, которым необходим сертификат. Средняя стоимость сертификата может варьироваться от 3 до 5 тысяч рублей в год. И скорее всего, всем сотрудникам организации такая подпись не требуется.

Для ознакомления с документом или подтверждения факта согласования достаточно простой электронной подписи или усиленной неквалифицированной. Квалифицированный сертификат, как правило, нужен только тем сотрудникам, которые уполномочены подписывать документы, отправляемые за пределы организации: первое лицо организации, главный бухгалтер, директора департаментов и т.п.

Для более надеждой защиты в подпись можно встроить информацию о том, когда документ был подписан (так называемый штамп времени). Время подписи получается от специальных центров штампов времени, которые считаются точными и надёжными источниками времени.

Такая электронная подпись называется улучшенной. Большинство современных СКЗИ поддерживают работу с улучшенными квалифицированной и неквалифицированной подписью, а аккредитованные удостоверяющие центры, выпускающие сертификаты, зачастую предоставляют услуги по предоставлению штампов времени своим клиентам.


Главным образом, такая подпись необходима для:

  • Генерального директора

  • Главного юриста

  • Главного бухгалтера

  • Других сотрудников, уполномоченных подписывать документы от имени компании

Необходимая инфраструктура:

  • СЭД с поддержкой интеграции с СКЗИ

  • СКЗИ

Бюджет:

  • От 1000 рублей ежегодно на получение квалифицированных сертификатов * количество сотрудников.

  • От 2700 рублей на для клиентских компонент СКЗИ * количество сотрудников.

  • От 5 рублей * количество документов, передаваемых через оператора ЭДО внешним контрагентам.

Квалифицированную электронную подпись нельзя передать по доверенности

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

Читайте также:  ЭЦП в браузере: проблемы, решения, личный опыт / Хабр

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация — процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя — данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:

  • Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
  • Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
  • Для ответов на запросы Пользователя в службу поддержки;
  • Для выполнения обязательств по договорам.

Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.

ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ

Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ

АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.

АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.

АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.

АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.

С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.

Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.

АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».

БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.

АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.

АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.

ХРАНЕНИЕ ДАННЫХ

АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.

Читайте также:  Время проверки эцп

Можно ли передать эцп другому лицу по доверенности?

Рассмотрев вопрос, мы пришли к следующему выводу:
Передача другому лицу ключа электронной подписи по доверенности законом не предусмотрена. Владелец электронной подписи вправе лишь согласовать ее техническое использование с согласия и под контролем владельца при условии соблюдения конфиденциальности ключа такой подписи. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования.

Обоснование вывода:
Прежде всего отметим, что подпись — обязательный реквизит любого документа, придающий ему юридическую силу (ст. 160 ГК РФ, ст. 57 ТК РФ, ст. 313 НК РФ, ч. 2 ст. 9, ч. 4 ст. 10, ч. 8 ст. 13 Федерального закона от 06.12.2021 N 402-ФЗ «О бухгалтерском учете»).
Электронная подпись (далее — ЭП) является аналогом собственноручной подписи, ее использование допускается в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон (п. 2 ст. 160 ГК РФ, ст. 6 Федерального закона от 06.04.2021 N 63-ФЗ «Об электронной подписи», далее — Закона N 63-ФЗ). Закон N 63-ФЗ регулирует отношения в области использования ЭП при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий, а также во всех случаях, установленных федеральными законами (ст. 1Закона N 63-ФЗ). Под ЭП понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и используется для определения лица, подписывающего информацию (п. 1 ст. 2 Закона N 63-ФЗ).
В соответствии с п. 1 ст. 5 Закона N 63-ФЗ установлены виды ЭП: простая и усиленная. Усиленная ЭП бывает неквалифицированная и квалифицированная.
От простой усиленную ЭП отличают обязательное наличие ключа ЭП (уникальной последовательности символов, предназначенной для создания электронной подписи) и ключа проверки ЭП (уникальной последовательности символов, однозначно связанной с ключом электронной подписи и предназначенной для проверки подлинности электронной подписи), указанного в соответствующем сертификате — электронном документе или документе на бумажном носителе, выданном удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающем принадлежность ключа проверки ЭП владельцу сертификата ключа проверки ЭП (п.п. 2, 3, 5, 6 ст. 2, п.п. 2, 3 ст. 5 Закона N 63-ФЗ).
Для неквалифицированной ЭП сертификат ключа проверки электронной подписи может не создаваться, если соответствие такой ЭП признакам неквалифицированной ЭП может быть обеспечено без использования этого документа (п. 5 ст. 5 Закона N 63-ФЗ). Тогда как одним из требований, которым должна соответствовать квалифицированная ЭП, является требование об указании ключа проверки ЭП в квалифицированном сертификате (п. 1 ч. 4 ст. 5 Закона N 63-ФЗ). Как следует из п. 2 ч. 2, ч. 3 ст. 14 Закона N 63-ФЗ, сертификат ключа проверки ЭП может быть выдан и юридическому лицу. В этом случае в нем указываются наименование и место нахождения юридического лица, а также физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Иначе говоря, это может быть или руководитель, или иное лицо, уполномоченное доверенностью. При этом ограничений по количеству сертификатов, выдаваемых одному юридическому лицу, законодательством не установлено. Иначе говоря, ЭП может быть оформлена как на руководителя, так и на иное лицо, действующее на основании доверенности.
При этом в соответствии с п. 1 ст. 10 Закона N 63-ФЗ при использовании усиленных ЭП участники электронного взаимодействия обязаны в том числе обеспечивать конфиденциальность ключей ЭП, в частности не допускать использование принадлежащих им ключей ЭП без их согласия. Такая формулировка позволяет сделать вывод о возможности использования ключей ЭП другими лицами с согласия участника электронного взаимодействия. В противном случае речь идет о нарушении конфиденциальности ключа ЭП, о котором ее владелец обязан уведомить удостоверяющий центр, выдавший сертификат ключа проверки ЭП, и иных участников электронного взаимодействия в течение не более чем одного рабочего дня со дня получения информации о таком нарушении. Он также обязан не использовать ключ ЭП при наличии оснований полагать, что конфиденциальность данного ключа нарушена (п.п. 2, 3 ст. 10 Закона N 63-ФЗ).
Тем не менее норма п. 1 ст. 10 Закона N 63-ФЗ предполагает не передачу права использования усиленной ЭП другому лицу на основании какого-либо распорядительного документа либо доверенности (ст. 185 ГК РФ), но только указывает на техническую возможность простановки ЭП другим лицом (например, техническим специалистом) с согласия и под контролем владельца сертификата ключа проверки ЭП. Такой вариант толкования нормы п. 1 ст. 10 Закона N 63-ФЗ встречается и в судебной практике (смотрите, например, апелляционное определение СК по гражданским делам Челябинского областного суда от 14.12.2021 по делу N 11−14 292/2021, решение Советского районного суда г. Махачкалы Республики Дагестан от 08.09.2021 по делу N 12−636/2021).
Как было сказано выше, ЭП является аналогом собственноручной подписи, ответственность за исполнение которой лежит на ее владельце. Непосредственно же передачу права использования ЭП от ее владельца иному лицу Закон N 63-ФЗ не предполагает. Использование электронной подписи с нарушением конфиденциальности соответствующего ключа не освобождает владельца от ответственности за неблагоприятные последствия, наступившие в результате такого использования (смотрите, например, постановление Пятого арбитражного апелляционного суда от 14.03.2021 N 05АП-1119/16, постановление Ленинского районного суда г. Владивостока Приморского края от 08.12.2021 по делу N 5−1087/2021).

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector