Новые требования к электронным подписям для предпринимателей: что изменилось с 1 июля – «Жиза» — бизнес-блог для предпринимателей

А что не так с меткой времени и когда она должна заработать?

Подчеркну, что, в первую очередь, меня интересует правовое закрепление использования метки времени и унификация формата ЭП с меткой времени, а не сами расширенные форматы ЭП (основанные на разных международных стандартах), в которых метка времени давно уже используется.

К сожалению, законодатель (до декабря 2021) и регуляторы (до сентября 2020) не раскрывали функционал «метки времени». Отсюда пошли различные несовместимые между собой форматы ЭП. Они вроде бы и являлись усиленными квалифицированными и были выполнены на сертифицированных средствах, но обмен документами с такими ЭП с автоматическим доверием между разными информационными системами в обход системы межведомственного электронного взаимодействия (СМЭВ) был невозможен.

На сегодня с меткой времени больше ясности, но пока она так и не закреплена в нормативно-правовых актах.

«Метка доверенного времени» (именно так указано в законе об ЭП, но я везде пишу просто «метка времени») добавлена изменениями к закону об ЭП от 27.12.2021 г. Правда этот термин упоминается однократно в ст. 2 «Основные понятия, используемые в настоящем Федеральном законе», и больше нигде не используется. Норма о метке времени вступает в силу одновременно с нормой о ДТС (с 01.01.2021 года), поскольку они связаны между собой.

Закон определяет «метку времени» так:

«Достоверная информация в электронной форме о дате и времени подписания электронного документа электронной подписью, создаваемая и проверяемая доверенной третьей стороной, удостоверяющим центром или оператором информационной системы […]».

Таким образом, метка времени может создаваться и проверяться ДТС, УЦ и оператором ИС, если она получена:

«[…]в момент подписания электронного документа электронной подписью в установленном уполномоченным федеральным органом порядке с использованием программных и (или) аппаратных средств, прошедших процедуру подтверждения соответствия требованиям, установленным в соответствии с настоящим Федеральным законом».


Почти год спустя (14 сентября 2020 г.) после появления метки времени в законе об ЭП вышел

«Об утверждении Формата электронной подписи, обязательного для реализации всеми средствами электронной подписи»

. Он, наконец-то:

Далее. В дополнение к приказу Минцифры России № 472 (где, как я написал выше, нет ни определения метки времени, ни ссылки на нее, но есть требование к размещению в составе ЭП

«времени создания ЭП»

) появилось 2 проекта правовых актов:


Очевидно, что ДТС для фиксирования

«определенного момента времени»

также нужна метка времени или сертификат ЭП, срок действия которого еще не истек. Метка времени должна быть одновременно и

«доверенной»

, и

«правильной»

(ДТС должна ее понимать). И, скорее всего, идеальный алгоритм проверки электронных документов с ЭП, в которых реализована метка времени, в ДТС будет следующем:

  1. Создание электронного документа с ЭП, где ЭП реализована средствами и в формате с поддержкой метки времени (приказ Минцифры России №472).
  2. Получение метки времени в ДТС или где-то еще (в УЦ или у оператора ИС).
  3. Встраивание метки времени (выданной «аккредитованным» сервисом – ДТС/УЦ/оператор ИС) в документ с ЭП.


И только если все эти этапы будут пройдены, ДТС сможет

«подтвердить действительность электронной подписи»

со всеми «плюшками и расширенными отчетами». Что из этого следует? Все, кто пожелает использовать ДТС для проверки документов с ЭП после истечения срока действия сертификата ЭП, должны иметь:

Нормативно-правовые акты регуляторов еще не приняты, тем не менее пазл с меткой времен начинает сходиться:

Как изменит ситуацию появление доверенной третьей стороны?

Мы добрались до самого главного. В дополнениях к 63-ФЗ «Об электронной подписи» от 27.12.2021 вместе с целым рядом изменений, в том числе юридическим признанием облачной ЭП, появляется институт доверенной третьей стороны (статья 18.1). Это новый вид организации, которая призвана обеспечить доверие при обмене электронными документами с ЭП.

Законом определяется перечень услуг, которые ДТС будут оказывать участникам электронного взаимодействия:

  • по подтверждению действительности электронных подписей, используемых при подписании электронного документа, в том числе установлению фактов того, что соответствующие сертификаты действительны на определенный момент времени, созданы и выданы аккредитованными удостоверяющими центрами, аккредитация которых действительна на день выдачи этих сертификатов;
  • по проверке соответствия всех квалифицированных сертификатов, используемых при подписании электронного документа, требованиям, установленным настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами;
  • по проверке полномочий участников электронного взаимодействия;
  • по созданию и подписанию квалифицированной электронной подписью доверенной третьей стороны квитанции с результатом проверки квалифицированной электронной подписи в электронном документе с достоверной информацией о моменте ее подписания;
  • по хранению данных, в том числе документированию выполняемых доверенной третьей стороной операций.

Иными словами, появляется аккредитованная организация (а не просто набор сервисов при аккредитованном УЦ), предоставляющая такой необходимый набор услуг:

По сути это все те задачи и соответствующие «аккредитованные» решения по проверке ЭП во времени, которые призваны обеспечить внешний доверенный электронный документооборот с ЭП и минимум среднесрочное хранение документов.

Какие неочевидные проблемы «краткосрочности» обычной электронной подписи существуют сегодня?

Я работаю в подразделении, которое занимается прикладной интеграцией. Так сложилось, что нам не приходилось внедрять «штатную» ЭП для документооборота «из коробки» или внедрять готовые клиентские приложения для работы с ЭП. Почти всегда задачи внедрения сводились к встраиванию ЭП (включая разного рода автоматизации по обслуживанию жизненного цикла сертификатов, ключей и их носителей) в существующие и совсем не коробочные документообороты или в информационные системы, в том числе с длительным хранением документов.

На первых этапах проектирования процесс формирования ЭП больших сложностей обычно ни у кого не вызывал. Казалось бы, ну что тут? Сформировать хеш на документ и подписать его закрытым ключом с использованием базовых форматов электронной подписи, например, CAdES-BES или XAdES-BES.

А вот потребность в дальнейшем среднесрочном и долговременном хранение документов с ЭП, проверка ЭП в документообороте (в том числе автоматизированная) всегда в конечном итоге влияли на архитектуру решения. Усложнялись форматы ЭП, начиная от CAdES-T и XAdES-T (с метками времени) и заканчивая их расширенными и специальными «A»-версиями (Archival).

Так как осуществить проверку ЭП документа, хотя бы лет так через 10-15? (Опустим такую подробность, что, скорее всего, спустя столько лет не будет сертифицированных средств криптографической защиты информации (СКЗИ), поддерживающих нужные криптографические алгоритмы и нужные форматы, а необходимые средства просмотра электронных документов не будут запускаться на текущих ОС.)

Обратимся к закону об ЭП (от 06.04.2021 № 63-ФЗ). Какие условия признания (проверки) квалифицированной ЭП содержатся в статье 11 «Признание квалифицированной электронной подписи» (приведу только пункт 2 статьи, потому что именно он влияет на проверку документов с ЭП во времени):

Квалифицированная электронная подпись признается действительной […] при одновременном соблюдении следующих условий:

2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен.

Ключевая информация (особенно в контексте длительного хранения документов) тут взята в скобки. Квалифицированный сертификат не просто должен быть действительным на момент подписания электронного документа, но и сам момент подписания электронного документа должен быть зафиксирован, причем

«достоверно»

, – и это обязательное условие.

Законодатель не предложил и даже не намекнул на способы подтверждения достоверности информации о моменте подписания электронного документа. Впрочем, это нормально. Требования к процедуре должны раскрывать ответственные регуляторы. И спустя 9 лет, после того, как в конце 2021 года вышли изменения к закону об ЭП, Минцифры России и ФСБ России (в части работы с меткой времени, но об этом дальше), наконец-то, разработали проекты приказов.

Читайте также:  Удаление ЭЦП с ПК | Как удалить электронную подпись с компьютера — Удостоверяющий центр СКБ Контур

Пока же бремя доказывания достоверности момента подписания все еще лежит на плечах разработчиков СКЗИ и на владельцах информационных систем. Например, полагаясь на открытые международные спецификации и стандарты, они вынуждены сами выбирать форматы ЭП, в том числе с меткой времени, и ждать, подтвердит или скорректирует их подход судебная практика.

Какие решения для обхода «краткосрочности» базовой эп обычно используют?

Единый стандарт для формата ЭП с меткой времени в процессе разработки. Самым очевидным, с точки зрения среднесрочного (5-10 лет) и долгосрочного хранения документов с ЭП, является реализация квалифицированной ЭП в одном из расширенных форматов (на усмотрение владельца ИС) как минимум:

К менее очевидным и менее распространенным решениям, обеспечивающим проверку ЭП документа через N-лет, относится создание доверенных сред хранения. В такую среду документ с ЭП помещается чаще всего еще во время действия выданного пользователю квалифицированного сертификата ЭП (например, сразу после подписания) с максимальным набором метаданных.

При помещении документа с ЭП в доверенную среду проверяется ЭП, статус сертификата, формируются расширенные отчеты о фактах проверок. После этого целостность документа и всех связанных с ним метаданных обеспечивается доверенной средой. К таким решениям можно отнести, например, и внутренние/отраслевые реестры крупных организаций, в которых регистрируется максимально возможный набор метаданных документа с ЭП (как минимум, атрибуты документа и его хеш, ЭП, идентификатор сертификата и сам сертификат ЭП, факт проверки сертификата с меткой времени, отдельно метка времени на ЭП).

При желании все это может быть подписано сверху технической подписью «архивариуса». В целом это подходит для внутренних нужд крупных компаний и организаций, где документы с ЭП не отчуждаются из системы или сама ЭП первично реализовывалась без метки времени.

Громоздкие доверенные среды хранения документов помогают избегать некоторых потенциальных проблем с компрометацией ЭП, так как подписанный документ сохраняется со всем набором метаданных. Но все же они не способствуют осуществлению электронного документооборота с ЭП между организациями.

Новые требования к электронным подписям для предпринимателей

Носитель должен быть сертифицирован Федеральной службой по техническому и экспортному контролю России (ФСТЭК) или ФСБ России и иметь формат USB типа А. Например, подойдут Рутокен-S, Рутокен-Lite, JaCarta, E-Smart, Рутокен ЭЦП, JaCarta ГОСТ, E-Smart ГОСТ.

Если у вас уже есть носитель и он соответствует требованиям — можете использовать его.

Шаг 2. Подготовьте документы:

  •  Паспорт РФ.
  • СНИЛС.
  • Документы на носитель. Вам понадобится сертификат соответствия вашего носителя ФСТЭК или ФСБ России. Его можно найти на сайтах ФСТЭК, ФСБ России или производителя носителя для КЭП.

Если вы используете носитель со встроенным средством криптографической защиты информации (СКЗИ), например, Рутокен ЭЦП, JaCarta ГОСТ или E-Smart ГОСТ — вам также понадобится формуляр на СКЗИ. Как его получить, подскажет производитель.

Шаг 3. Подайте заявление на получение КЭП. 

Вы можете заполнить и отправить заявление через личный кабинет налогоплательщика на сайте ФНС. Если вы руководитель организации — через личный кабинет налогоплательщика для физлиц. Если индивидуальный предприниматель — через личный кабинет налогоплательщика для ИП.

Шаг 4. Запишитесь на приём в ФНС. Выберите в списке подразделение ФНС, в котором вам будет удобно получить КЭП, и запишитесь на приём. Вы можете сделать это через личный кабинет налогоплательщика, с помощью сервиса «Онлайн-запись на приём в инспекцию» или по телефону. Номер телефона инспекции в вашем регионе вы можете найти на сайте ФНС.

Шаг 5. Получите подпись в выбранном подразделении ФНС. Возьмите с собой на приём носитель для КЭП и все необходимые документы. Сотрудник налоговой проверит документы, и если всё будет в порядке, запишет ключ подписи и сертификат на носитель. Сертификат подтверждает, что ключ подписи принадлежит именно вам. Запись займёт не более 15 минут.

Готово! Вы получили подпись. Чтобы использовать её, загрузите на ваш компьютер программное обеспечение «КриптоПро CSP» и установите сертификат подписи.

Новый порядок выдачи сертификатов кэп и ее использования с 01.01.2022: ответы на вопросы

Новый порядок выдачи сертификатов КЭП и ее использования с 01.01.2022: ответы на вопросы

С 01.01.2022 организации должны использовать электронные подписи (далее – ЭП), выданные удостоверяющим центром (далее – УЦ) ФНС России. Выдавать подписи начали еще с 1 июля. Новый механизм получения сертификатов и использования квалифицированной электронной подписи (далее – КЭП) вызывает много вопросов. Из статьи вы получите ответы на самые распространенные из них.

С 01.01.2022 вступают в силу изменения[1], внесенные в Федеральный закон от 06.04.2021 № 63-ФЗ «Об электронной подписи»[2] (далее – Федеральный закон № 63-ФЗ), которые вводят новый порядок выдачи сертификатов и использования КЭП.

Согласно ч. 1 ст. 17.2 новой редакции Федерального закона № 63-ФЗ в случае использования КЭП при участии в правоотношениях юридических лиц:

1) применяется КЭП юридического лица, квалифицированный сертификат которой выдается УЦ ФНС России в установленном уполномоченным федеральным органом порядке с указанием в качестве владельца квалифицированного сертификата физического лица, действующего от имени юридического лица без доверенности (единоличный исполнительный орган – далее ЕИО);

2) в случае, если от имени юридического лица электронный документ подписывает работник, не являющийся ЕИО, электронный документ подписывается КЭП, оформленной на этого работника, и одновременно представляется электронная доверенность на этого работника, которая должна быть подписана КЭП, указанной в пункте 1. Предоставление доверенности контрагенту осуществляется посредством ее включения в пакет электронных документов.

На линию Службы поддержки пользователей фирмы «1С» поступают вопросы от организаций, в том числе касательно механизма получения сертификатов и использования КЭП с 01.01.2022. В статье ответим на наиболее часто встречающиеся вопросы.

Все ли организации и индивидуальные предприниматели с 01.01.2022 должны получать сертификаты КЭП в УЦ ФНС России? 

Есть исключения. Кредитные организации, операторы платежных систем, некредитные финансовые организации и индивидуальные предприниматели, осуществляющие виды деятельности, перечисленные в ч. 1 ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»[3], получают сертификаты КЭП в УЦ Центрального банка Российской Федерации. Должностные лица государственных органов, органов местного самоуправления либо подведомственных государственному органу или органу местного самоуправления организации – в УЦ Федерального казначейства.

Какой порядок получения сертификата КЭП организации для работы с 01.01.2022? Возможно ли получение сертификата КЭП организации не в УЦ ФНС России, а в другом уполномоченном УЦ? Есть ли перечень таких организаций? 

С 01.07.2021 ФНС России уже начала осуществлять выдачу сертификатов КЭП организациям. Услуга по выдаче сертификатов КЭП предоставляется в операционных залах налоговых органов. Воспользоваться этой услугой можно не во всех территориальных подразделениях, а только в тех, которые входят в перечень, опубликованный на портале ФНС России в разделе «Иные функции ФНС России» (далее выбирайте «Удостоверяющий центр ФНС России», «Порядок получения электронной подписи»). Можно обратиться в ближайшую точку выдачи КЭП – услуга оказывается экстерриториально.

Чтобы получить КЭП, необходимо выполнить ряд действий (Алгоритм). Подробно рассмотрим их.

Что нужно сделать, чтобы получить КЭП?

Шаг 1. Подать заявление на выдачу КЭП в Личном кабинете налогоплательщика – физического лица. Сформировать и отправить заявление можно через «Личный кабинет налогоплательщика для физических лиц» (на руководителя юридического лица) или через «Личный кабинет индивидуального предпринимателя» (непосредственно на индивидуального предпринимателя).

В разделе «Жизненные ситуации» необходимо выбрать услугу «Получить квалифицированную электронную подпись» (рис. 1).

Читайте также:  Личный кабинет eGov. Функционал и возможности | Электронное правительство Республики Казахстан

Выберите услугу в разделе «Жизненные ситуации»

Система автоматически сформирует заявление (рис. 2).

Система поможет вам сформировать заявление на получение КЭП

После заполнения электронной формы УЦ проверит организацию и пришлет подтверждение (рис. 3) в сообщение в Личном кабинете и на электронный ящик.

После заполнения и отправки заявления вы получите соответствующее подтверждение

В сообщении (рис. 4) будет предложено выбрать удобное место и время для визита в УЦ ФНС для подтверждения личности и получения электронной подписи.

Отслеживать статус заявления можно в Личном кабинете (в разделе «Сообщения»)

Заявление можно подать и непосредственно в УЦ ФНС России, перед поездкой можно записаться[4] на сайте ФНС России. Процедура не очень отлажена, уточняйте условия в своей региональной инспекции[5].

Шаг 2. Поехать в УЦ ФНС России с паспортом, СНИЛС[6], токеном.

В УЦ ФНС России вам выдадут распечатанный на бумаге сертификат ключа проверки ЭП, руководство пользователя, а также запишут ЭП на ваш токен (рис. 5).

Процесс записи ЭП на токен в УЦ ФНС России

Обязательно ли личное присутствие в удостоверяющем центре руководителя организации при получении сертификата КЭП организации? 

Для получения первичной КЭП в целях удостоверения личности необходимо, чтобы руководитель явился лично. Получая следующие подписи, он сможет удостоверять личность дистанционно действующей ЭП или биометрическими данными (см. п. 25 Порядка реализации ФНС России функций аккредитованного удостоверяющего центра и исполнения его обязанностей[8]).

Какие документы необходимо представить руководителю организации в УЦ для получения сертификата КЭП организации? 

Необходимы следующие документы:

  • документ, удостоверяющий личность;
  • СНИЛС (номер страхового свидетельства Государственного пенсионного страхования) заявителя – физического лица;
  • документ, подтверждающий право заявителя действовать от имени юридического лица без доверенности.

Кроме того, необходим носитель ключевой информации (токен) для записи сертификата и ключа ЭП, а также документация на ключевой носитель информации – сертификат соответствия ФСТЭК России (рис. 6) или ФСБ России. В случае применения носителя со встроенным средством криптографической защиты информации (далее – СКЗИ) – формуляр на СКЗИ и сертификат соответствия ФСБ России. Можно использовать скан-копию сертификатов соответствия с сайтов ФСТЭК России, ФСБ России или производителей носителей ключевой информации.

Токен и сертификат соответствия ФСТЭК России

Подойдет для записи сертификата ЭП в УЦ ФНС России простая флешка? 

Обычная флешка для этой цели не подойдет! УЦ ФНС России поддерживает ключевые носители формата USB Тип-А, в частности: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и другие, соответствующие установленным требованиям.

Средняя стоимость ключевого носителя – 1000–2000 рублей. Приобрести такие носители можно у дистрибьюторов производителей и в специализированных интернет-магазинах. Кроме того, можно использовать уже имеющиеся носители (при условии их соответствия требованиям).

Где можно использовать КЭП? 

Использовать КЭП можно:

Что еще потребуется для использования КЭП в организации? 

Для того, чтобы у организации появилась возможность корректно использовать КЭП,также необходимо установить СКЗИ – КриптоПро CSP[9].

Какова стоимость сертификата КЭП, выдаваемого УЦ ФНС, и на какой срок он выдается? 

Выдача квалифицированного сертификата ключа проверки ЭП в УЦ ФНС России осуществляется на безвозмездной основе для юридических лиц (лиц, имеющих право действовать от имени юридического лица без доверенности), индивидуальных предпринимателей и нотариусов. Срок действия – 15 месяцев.

Какой порядок получения сертификата КЭП на дочерние общества организации, полномочия единоличного исполнительного органа которых переданы организации? 

Только лицо, имеющее право действовать без доверенности, может обращаться в УЦ ФНС России для получения квалифицированного сертификата юридического лица. Все остальные работники организации, действующие по доверенности, получить подпись юридического лица в УЦ ФНС не смогут.

Какой порядок получения сертификата КЭП работником организации для подписания электронных документов организации с 01.01.2022? 

С 01.01.2022 сотрудники организаций и уполномоченные лица должны использовать ЭП, выданную на физическое лицо аккредитованным УЦ. С 2022 года получать ЭП физического лица нужно будет в УЦ, который аккредитован по новым правилам.

Список аккредитованных УЦ по состоянию на определенную дату публикуется на портале Минцифры России[10]. Перечень удостоверяющих центров, не получивших аккредитацию в период с 01.07.2021 до 31.12.2021 и деятельность которых будет прекращена, также подлежит размещению.

Для минимизации расходов организаций при выборе аккредитованного УЦ следует обращать внимание на то, чтобы дата аккредитации УЦ была после 01.07.2020.

Какие документы необходимо представлять с 01.01.2022 работнику организации в УЦ для получения сертификата КЭП? Какие еще документы, кроме рабочих, работник сможет подписывать такой КЭП? 

Для получения сертификата КЭП работнику организации нужно представить в УЦ следующие документы:

  • документ, удостоверяющий личность;
  • СНИЛС (номер страхового свидетельства государственного пенсионного страхования) заявителя – физического лица;
  • ИНН заявителя – физического лица.

Форму и особенности представления данных документов следует уточнять в аккредитованном УЦ, в который планируется обратиться за такой услугой. Так как данный сертификат КЭП выдан на физическое лицо, работник сможет использовать КЭП для любых личных целей.

Какой порядок оформления электронных доверенностей на работников организации, использующих КЭП в работе? Где взять форму такой доверенности? Какой порядок и срок хранения таких доверенностей? 

Использовать ЭП физического лица для документов организации можно будет только вместе с доверенностью в электронном виде. Для удобства распознавания информационной системой будет принята электронная форма доверенности (доверенность в машиночитаемом виде). Нормативно-правовые акты, конкретизирующие форму и порядок использования машиночитаемых доверенностей, пока не приняты, но с их проектами можно ознакомиться на федеральном портале проектов нормативных правовых актов. Это следующие проекты:

Предполагается, что машиночитаемые доверенности будут оформляться по образцу, размещенному на официальном сайте оператора той информационной системы, для которой предоставляются документы.

Будут ли действительны после 01.01.2022 КЭП, сертификаты которых оформлены ранее и срок их еще не истек?

Согласно письму Минцифры России от 10.08.2021 № ОП-П15-085-33604 «О разъяснении применения положений Федерального закона от 06.04.2021 № 63-ФЗ» (далее – Разъяснения), продолжат свое действие сертификаты КЭП, выданные УЦ, прошедшими аккредитацию по новым правилам.

Во-первых, в Разъяснениях уточняется, что юридические лица и индивидуальные предприниматели, получившие квалифицированные сертификаты ключей проверки ЭП, созданные аккредитованными после 01.07.2020 УЦ, вправе применять такие сертификаты после 01.01.2022 до окончания срока действия таких сертификатов. Причем это касается как ЭП руководителей, действующих от имени юридических лиц без доверенности, так и физических лиц, действующих от имени юридических лиц на основании доверенности.

Во-вторых, в Разъяснениях подтверждено требование п. 5 ст. 3 Федерального закона № 476-ФЗ: применение сертификатов КЭП, созданных до 01.07.2021 УЦ, не прошедшими аккредитацию по новым правилам, после 01.01.2022 не допускается.

В-третьих, в Разъяснениях уточнен порядок применения сертификатов КЭП, созданных до 01.07.2021 УЦ, аккредитованными до 01.07.2020 и прошедшими аккредитацию по новым правилам после 01.07.2021. Если квалифицированные сертификаты ключей проверки ЭП были созданы таким УЦ до 01.07.2021 и при этом УЦ прошел аккредитацию по правилам, установленным Федеральным законом № 476-ФЗ до 31.12.2021, то такие сертификаты действуют до окончания срока действия сертификатов ключей проверки ЭП.

Поясните порядок применения новой редакции ч. 3 ст. 14 Федерального закона № 63-ФЗ.

Извлечение из Федерального закона № 63-ФЗ

«Обезличенные» ЭП изначально применялись в информационных системах исключительно при оказании государственных и муниципальных услуг. В соответствии с п. 5 ч. 1 ст. 17.2 Федерального закона № 63-ФЗ применение «обезличенной» КЭП юридического лица допускается в правоотношениях юридических лиц, которые осуществляют функции оператора соответствующей информационной системы. В случае, когда правоотношения требуют участия должностного лица, то использование «обезличенной» КЭП юридического лица не допускается.

Если вы не нашли ответ на свой вопрос, на портале ФНС России размещена памятка[14] по получению КЭП с ответами на все возможные вопросы. Также дополнительную информацию можно получить в Едином контакт-центре ФНС России по телефону 8-800-222-2222.

Читайте также:  Электронная подпись для юридических лиц: как получить ЭЦП юр.лицу

Машиночитаемые доверенности – это следующая актуальная тема, которая вызовет многочисленные вопросы участников электронного документооборота. Следим за нормативной базой и обязательно затронем данную тему в следующих номерах журнала.

Сложный функционал проверки полномочий в дтс

Вернемся к ДТС и функционалу проверок правильности применения сертификатов ЭП и полномочий. В соответствии с изменениями в законе об ЭП от 27.12.2021 ДТС выступает в том числе в роли «авторизационного» центра, выполняющего:

При этом первый пункт также должен включать проверку правильности применения сертификата квалифицированной электронной подписи (КЭП):


Отдельно разберемся со вторым пунктом – проверкой полномочий. Кроме правильности применения типа сертификата выданного на физлицо, юрлицо или ИП, здесь должна выполняться проверка документа о полномочиях, который должен быть

«подписан КЭП уполномоченного в установленном порядке на принятие соответствующих решений должностного лица соответствующего государственного органа или органа местного самоуправления»

. Сами же полномочия должны быть

«определены на основании классификатора полномочий, который уполномоченный федеральный орган формирует, актуализирует»

. В соответствии со статьями 17.2 и 17.3 закона об ЭП необходимо также проверить наличие и содержимое электронной доверенности, поскольку именно она уполномочивает сторону на те или иные правоотношения. Таким образом, при проверке полномочий ДТС должна также проверять:

Выполнять данные проверки, конечно же, сможет прикладная система. Она понимает контекст электронных правоотношений, знает, какие полномочия и доверенности допустимы с сертификатами КЭП и с какими УЦ можно/нужно работать. Другой вопрос, как будет проводить такие проверки ДТС, ведь она не обладает информацией о контексте правоотношений.

«Авторизационные» операции при использовании сертификатов ЭП, с одной стороны, унифицировались. Специфицированные OID-ы в сертификатах ЭП теперь должны игнорироваться, а схемы авторизаций по принципу свой/чужой OID с 01.06.2020 вне закона. С другой стороны, разграничение полномочий и правила применения сертификатов ЭП трансформировались в более сложные процессы, которые еще должны быть отрегулированы к 01.01.2022.

«Белые пятна» в проверке полномочий

В

проекте приказа ФСБ России«Об утверждении Требований к средствам доверенной третьей стороны, включая требования к используемым доверенной третьей стороной средствам электронной подписи»

разъяснений по «авторизационным» функциям ДТС так и не последовало. Например, пункт 2.3 проекта требований гласит:

«Компонент проверки полномочий должен осуществлять проверку полномочий должностного лица – отправителя электронного документа, являющегося владельцем сертификата ключа проверки электронной подписи».

Не ясно, где, например, проверка полномочий физического лица, действующего на основании документа о полномочиях или действующего на основании электронной доверенности? И какие именно полномочия должностного лица тут будут проверяться? Будем надеяться, что требования к применению доверенностей и полномочий, которые вступают в силу только с 01.01.2022, еще будут уточнены.

Сам же проект приказа определяет требования к набору компонентов средств ДТС и к функционированию компонентов средств ДТС. Большинство требований технические и организационно-технические и касаются информационной безопасности, что также несомненно очень важно, потому что позволит начать создавать «аккредитованные» ДТС.

Требования, которые предъявляются к уц с 01 июля 2021 года

Напомним читателям, что это за новые, более строгие требования, предъявляемые к Удостоверяющим центрам.

Согласно новым правилам (изменения к Федеральному закону № 63 «Об электронной подписи» (в ред. от 27.12.2021 № 476-ФЗ):

  • уставный капитал УЦ (1 млрд руб. вместо 7 млн руб.) и сумма гарантированного возмещения ущерба должна быть выше, чем прежде;
  • аккредитация проходит в два этапа с обязательным прохождением Правительственной комиссии, в состав которой входят представители Министерства цифрового развития, связи и массовых коммуникаций РФ, ФНС, ФСБ и других служб;
  • новая аккредитация выдается на срок не 5 лет, а только 3 года;
  • за умышленно неправомерные действия сотрудников УЦ при выдаче электронной подписи введена уголовная ответственность;
  • ужесточены требования к деловой репутации удостоверяющего центра.

Те удостоверяющие центры, которые не прошли аккредитацию согласно новым правилам, не смогут с 1 июля 2021 года выдавать электронные подписи.

Еще одно нововведение: с 1 июля стартовала выдача сертификатов ЭП для директоров (ЕИО) организаций и ИП через ФНС. С 1 января 2022 года к налоговой службе полностью переходит контроль за выдачей этим лицам электронных подписей.

Многие Удостоверяющие центры просто перестали работать и закрылись. Но есть те, кто вопреки закону продолжают выдавать электронные подписи.

Так, недавно специалистами Калуга Астрал в сервисе для сдачи отчетности Астрал Отчет 5.0 был замечен сертификат от Удостоверяющего Центра ООО «МЦСП-ГРУПП», хотя компания уже лишена аккредитации.

Проверяем информацию на сайте Минцифры: аккредитация была досрочно прекращена 09.08.2021 г.:

А еще раньше она была приостановлена (с этого момента выдавать подписи УЦ не имел право):

Мы проверили еще несколько УЦ, потерявших с июля 2021 г. аккредитацию, но их сайты продолжают функционировать и, как ни в чем не бывало, предлагать услуги.

1) Удостоверяющий Центр «КонсультантЪ» (г. Томск).

2) ООО «Тюменский удостоверяющий налоговый центр» (г.Тюмень).

3) ООО «Центральный Удостоверяющий Центр» (г. Москва).

Поэтому перед тем, как подписывать договор, убедитесь, что УЦ находится в актуальном списке аккредитованных удостоверяющих центров и продаст вам сертификат электронной подписи законно.

Если ваш УЦ сейчас потерял аккредитацию, то все выданные им электронные подписи перестают работать. Владельцам таких ЭЦП следует получить новые сертификаты у проверенных центров.

Выводы: уже куда-то бежать или ждать?

«Легализация» хранения и дистанционного использования средствами УЦ облачной ЭП с 01.01.2021 должна запустить новый виток ее развития. Это касается увеличения количества внедряемых услуг на базе ЭП (особенно в наше ковидное время) и удобных сервисов работы с ЭП для мобильных клиентов и клиентов на рабочих местах, которые, в свою очередь, будут нуждаться во внешних обслуживающих сервисах проверки ЭП (на базе ДТС).

Скорее всего, либо под новый год, либо сразу же после праздников упомянутые мною приказы примут. Потом разработчикам СКЗИ потребуется еще месяца 3-4 для корректировки клиентского ПО и библиотек под новый формат ЭП с меткой времени и сервисы служб меток доверенного времени. К слову, последние у ключевых разработчиков СКЗИ уже реализованы и эксплуатируются как TSP-службы штампов времени.

Далее потребуется еще некоторое время на разработку функционала ДТС, явно не завязанного на какие-либо форматы, но необходимого по закону об ЭП:

С учетом всех необходимых доработок ПО, а также организационных процедур на аккредитацию, ждать появления первых ДТС раньше лета 2021 года, думаю, не стоит. Может быть, ФНС и ключевой разработчик СКЗИ выпустят что-то раньше в качестве тестовой версии ДТС.

Услуги ДТС, очевидно, не будут бесплатными для всех, и все затраты прямо или косвенно лягут на участников электронного взаимодействия.

Появление на рынке ДТС должно в итоге способствовать появлению полезных сервисов (в первую очередь, в виде API для встраивания), которые смогут обеспечивать:

Эти сервисы можно будет встраивать в информационные системы, например:

Сервисы найдут применение и в мобильных клиентах разных информационных систем, в том числе для работы с облачной ЭП. Второй вариант соответствует недавно озвученному предложению Максута Шадаева, министра цифрового развития, связи и массовых коммуникаций России:

«Нам кажется, основной сценарий — использование электронной подписи на смартфоне. Такое техническое решение мы с коллегами согласовали, такая возможность есть».

Сказано это было в контексте поддержки министерством инициативы по бесплатной выдаче ЭП пользователям портала госуслуг.

Итого: заявленные изменения в законе об ЭП и предложенный функционал ДТС действительно интересны, долгожданны и обязательно будут востребованы. Метка времени (которая вводится одновременно с ДТС с 01.01.2021) «автоматически» решит проблемы среднесрочного хранения документов.

ДТС и унифицированный формат ЭП с меткой времени позволят осуществлять доверенный оборот документов с ЭП старше 1 года и проверять их после отчуждения из системы. Конечно, многое зависит от реализации, и в том числе от регламентов и приказов Минцифры России и приказов ФСБ России, которые в идеале должны привести к единому знаменателю технические решения по всем ДТС.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector