Поправки в закон об электронной подписи: облачная ЭП, цифровой нотариус и выдача сертификатов по новым правилам — Бухонлайн

Что такое квалифицированная электронная подпись в облаке

Для целей данной статьи, а также других научно-популярных и практических дискурсов об облачной электронной подписи предлагается использовать следующее определение.

Электронная подпись в облаке (облачная электронная подпись) — это вычислительная система, предоставляющая через сеть доступ к возможностям создания, проверки ЭП и интеграции этих функций в бизнес-процессы других систем.

В соответствии с данным определением, для облачной электронной подписи может использоваться в том числе и локальное средство ЭП. Например, используя КриптоПро DSS Lite, пользователь через веб-браузер может подписывать электронный документ с помощью средства ЭП, установленного на его оконечном устройстве (персональный компьютер или планшет).

Другой вариант облачной ЭП получается при использовании средства ЭП, размещённого в облаке. Для удобства дальнейшего изложения назовём такую схему полностью облачной ЭП, чтобы отличать её от предыдущей. Эта схема регулярно вызывает жаркие дискуссии среди специалистов, поскольку подразумевает передачу самого ключа подписи «в облако». Данная же статья призвана прояснить ряд вопросов, связанных с безопасностью полностью облачной ЭП.

Где и как получить облачную электронную подпись?

Как создать облачную электронную подпись? Пока что всего несколько удостоверяющих центров предоставляют такую возможность. Среди них самыми популярными являются Sign Me . Кстати, работают они как раз на базе КриптоПро myDSS, то есть, на программном уровне у них идентичный функционал.

Доверенная третья сторона (поправки действуют с января 2021 года)

С января 2021 года в Законе об электронной подписи появилось понятие «доверенная третья сторона» (ДТС). Это юридическое лицо, которое проверяет правильность применения электронной подписи при совершении той или иной сделки. По сути, на ДТС возложены функции цифрового нотариуса.

ДТС создает «метку доверенного времени» — информацию о дате и времени подписания документа электронной подписью. Такая метка служит дополнительным подтверждением того, что документ подписан законно. Например, сообщает, что в момент подписания сертификат электронной подписи был действителен..

Функции ДТС чем-то напоминают полномочия оператора электронного документооборота, через которого сдается налоговая отчетность или происходит обмен юридически значимыми электронными счетами-фактурами. Оператор ЭДО тоже фиксирует время отправки отчета или дату подписания счета-фактуры.

В настоящее время привлечение ДТС является добровольным. Предположительно доверенная третья сторона будет участвовать в следующих видах сделок.

  1. Экспортные и импортные операции. Ожидается, что власти РФ заключат международные соглашения о взаимном признании квалифицированной электронной подписи или ее аналогов. Тогда ДТС станут подтверждать достоверность электронного документооборота с иностранными контрагентами.
  2. Внутрироссийские операции, при которых стороны предъявляют повышенные требования к качеству оформления электронных документов.

Диадок
Обмениваться с контрагентами юридически значимой «первичкой» через интернет

Входящие бесплатно

Полномочия и условия аккредитации ДТС прописаны в новых статьях 18.1 и 18.2 Закона об электронной подписи.

Европейский путь

В октябре 2021 года Европейский Комитет по Стандартизации (CEN) одобрил техническую спецификацию CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing». В этом документе приводятся требования и рекомендации к серверу электронной подписи, предназначенному для создания, в том числе, квалифицированных подписей.

Хочется отметить, что уже сейчас КриптоПро DSS в полном объёме соответствует требованиям данной спецификации в наиболее сильном варианте: требованиям Уровня 2, предъявляемым для формирования квалифицированной электронной подписи (в терминах европейского законодательства).

Одним из основных требований Уровня 2 является поддержка строгих вариантов аутентификации. В этих случаях аутентификация пользователя происходит напрямую на сервере подписи — в противоположность допустимой для Уровня 1 аутентификации в приложении, которое от своего имени обращается к серверу подписи. Все методы аутентификации, поддерживаемые КриптоПро DSS, удовлетворяют данному требованию Уровня 2.

В соответствии с этой спецификацией, пользовательские ключи подписи для формирования квалифицированной ЭП должны храниться в памяти специализированного защищенного устройства (криптографический токен, HSM). В случае КриптоПро DSS таковым устройством является программно-аппаратный криптографический модуль КриптоПро HSM — сертифицированный ФСБ России по уровню KB2 как средство ЭП.

Аутентификация пользователя на сервере электронной подписи для выполнения требований Уровня 2 обязана быть как минимум двухфакторной. КриптоПро DSS поддерживает широкий, постоянно пополняемый спектр методов аутентификации, в том числе и двухфакторных.

Помимо привычных криптографических токенов в качестве средства аутентификации может использоваться и специализированное приложение на смартфоне, такое как КриптоПро AirKey, и генераторы одноразовых паролей (OTP-токены). В документе CEN эти методы также упомянуты.

Ещё одним перспективным способом аутентификации по Уровню 2 может стать использование криптографического приложения на SIM-карте в телефоне. По нашему мнению, данный вариант использования SIM-карт с криптографией наиболее реален, поскольку построение функционально законченного СКЗИ (или средства ЭП) по новым требованиям ФСБ на базе только лишь SIM-карты вряд ли возможно.

Рассматриваемая техническая спецификация также допускает использование сервера электронной подписи для формирования подписей сразу для некоторого набора документов. Данная возможность может быть полезна при подписании большого массива однородных документов, отличающихся лишь данными в нескольких полях.

В документе CEN содержится также ряд требований к формированию, обработке, использованию и удалению пользовательского ключевого материала, а также к свойствам внутренней ключевой системы сервера электронной подписи и к аудиту. Эти требования полностью и даже «с запасом» покрываются требованиями, предъявляемыми к средствам ЭП класса KB2, по которому сертифицирован отвечающий за данные вопросы ПАКМ «КриптоПро HSM».

Закрытие небольших уц (с июля 2021 года) и окончание срока действия их сертификатов (с января 2022 года)

С июля 2020 года удостоверяющим центрам (УЦ) стало труднее получить аккредитацию. Теперь от них требуют более высокую сумму капитала (в общем случае до 1 млрд руб.) и страховой ответственности (составляет от 100 млн до 200 млн руб.).

Читайте также:  ЭЦП для Росреестра | Сертификат квалифицированной электронной подписи для Росреестра — Удостоверяющий центр СКБ Контур

УЦ, которые не смогут соответствовать новым требованиям, продолжат выпускать сертификаты электронной подписи до конца июня 2021 года включительно. Начиная с июля, воспользоваться услугами данных центров не получится.

Квалифицированные сертификаты, которые выданы потерявшим аккредитацию удостоверяющими центрами, будут действовать до конца декабря 2021 года. С января 2022 года подписывать документы с их помощью нельзя.

Такие правила установлены в пунктах 3 и 4 статьи 3 Закона № 476-ФЗ.

Организациям и предпринимателям следует заранее выяснить, планирует ли обслуживающий их УЦ получить аккредитацию по новым требованиям. И если не планирует, то советуем подобрать другой удостоверяющий центр.

Электронная подпись
Заказать электронную подпись в крупном УЦ, который соответствует новым требованиям

Получить через час

Как работает оэп?

Рассмотрим пример, характерный для участников торгов. Допустим, поставщик направляет свое предложение на участие в тендере. До появления ОЭП подписать документ невозможно было без установленного на компьютер пользователя плагина. Этот плагин и софт локального средства сообщались друг с другом и работали в неразрывной связке.

Теперь вытащим из этой схемы флеш-накопитель: софт подключается к облачному хранилищу по защищенному каналу.

Одной из первых площадок, которая оценила возможности новых технологий и внедрила в свои процессы использование облачной ЭП, стала федеральная торговая площадка «Росэлторг».

Как установить оэп и начать работать?

Для работы на локальном компьютере потребуется:

Чтобы пользоваться ОЭП на мобильном устройстве, оно должно работать на базе операционных систем не ниже Android 7.0 или iOS 8/9/10/11. Кроме этого, нужно установить приложение MyDss

Установка и настройка на смартфоне приложения MyDss

  1. Зайдите в приложение Play Market или Apple Store (зависит от устройства, которое Вы используете).
  2. В поисковую строку вбейте «MyDss» и запустите установку приложения.
  3. После завершения скачивания нажмите кнопку «Открыть».

4. Для начала работы система уведомит вас о необходимости сканирования QR-кода. Предоставьте камере доступ к этому действию.

5. Считайте QR-код с сертификата, который получили в УЦ.

6. Придумайте имя для сохраняемого ключа, например, «ОЭП для торгов».

7. Выберите способ авторизации (с паролем, без пароля, отпечаток пальца, Face ID).

8. Программа готова к использованию.

Установка СКЗИ КриптоПро CSP 5

Чтобы пользоваться облачной ЭП потребуется наличие операционной системы Windows 7, 8, 8.1 или 10. Проверьте, что Ваша ОС подходит для работы с ОЭП. Для этого откройте «Центр обновлений Windows» и запустите поиск и обновления компонентов Windows.

Настройка крипто про csp 5.0

1.     Windows: Откройте меню Пуск, в папке КРИПТО-ПРО выберите пункт Инструменты КриптоПро;

Mac OS: Найдите среди установленных программ CPTools и запустите.

2.     В окне программы нажмите раздел «Облачный провайдер» и укажите:

Настройка облачной кэп и работа с ней на примере авторизации на портале госуслуги

1.     Если Ваш компьютер ранее не был настроен для работы с электронной подписью, установите необходимо ПО и настройке компьютер – инструкция «Настройка КЭП для работы на Windows» или инструкция «Настройка КЭП для работы на MacOS».

Внимание! Для работы с облачной электронной подписью должен быть установлен криптопровайдер КриптоПро версии 5.0.

2.     Если у вас есть серийный номер для активации лицензии КриптоПро 5.0, введите его, воспользовавшись инструкцией.

3.     Если облачная КЭП еще не выпущена и не добавлена в приложение myDSS, воспользуйтесь инструкцией.

Наше будущее

Решение КриптоПро DSS поддерживает широкий набор методов аутентификации, среди которых для каждой задачи возможно подобрать подходящий. Надёжность наиболее безопасных из них соответствует самым строгим критериям европейских требований CEN/TS 419241 и, как мы рассчитываем, в недалёком будущем будет подтверждена сертификатом соответствия ФСБ России.

Алексей Голдбергс, заместитель технического директора ООО «КРИПТО-ПРО»

Станислав Смышляев, к.ф.-м.н., начальник отдела защиты информации ООО «КРИПТО-ПРО»

Павел Смирнов, к.т.н., заместитель начальника отдела разработок ООО «КРИПТО-ПРО»

Облачные электронные подписи (поправки действуют с января 2021 года)

Облачные электронные подписи (ОЭП) применялись и ранее, до 2021 года. Но при этом в законе не было норм, регулирующих использование таких подписей.

Электронная подпись
Заказать усиленную квалифицированную электронную подпись (КЭП)

Получить через час

Теперь в Законе об электронной подписи предусмотрены положения, посвященные ОЭП. В частности, оговорено следующее:

  • чтобы получить аккредитацию для работы с ОЭП, удостоверяющий центр должен иметь финансовое обеспечение ответственности за убытки, причиненные в результате компрометации или несанкционированного использования хранимых им ключей.   В общем случае сумма обеспечения составляет не менее 200 млн руб.;
  • УЦ, как хранитель ключа, обязан информировать владельца сертификата об использовании этого ключа;
  • владелец сертификата может потребовать, чтобы УЦ предоставил историю использования ОКЭП. Что должно входить в историю использования, пока не ясно — эти детали должны уточнить подзаконные нормативно-правовые акты.

Такие дополнения содержатся в новой части 2.2 статьи 15 и новой редакции части 3.1 статьи 16 Закона об электронной подписи.

Читайте также:  Проверка электронной подписи по ГОСТ Р 34.10-2001 в документах PDF

Общие понятия об облачных эцп

Первый программный комплекс по работе с облачными ЭЦП был представлен ещё в 2021 году компанией КриптоПро. Но вплоть до 2021 года использовать их не представлялось возможным, так как на законодательном уровне мелись юридические ограничения, не дававшие возможности реализовать подобный проект.

В 2021 – 2021 годах в ФЗ 63, которым и регулируется использование ЭЦП, были внесены изменения, благодаря которым удостоверяющие центры получили возможность регистрировать облачные электронные подписи. Однако контроль за их использованием, а также защита данных, сертификатов от компрометации – все это УЦ обязан был брать на себя, разрабатывая специальные программные комплексы для работы с ЭЦП.

Блок вниманияНа текущий момент полноценное готовое решение по работе с облачными сертификатами электронных подписей представлено компанией «КриптоПРО» — речь идет про программный комплекс КриптоПро myDSS. По сути – это специальное приложение, с помощью которого владелец ЭЦП и может работать со своей подписью через мобильный телефон (заявлена поддержка платформ Android и iOS).

Что такое облачная электронная подпись простым языком?

Это тот же цифровой сертификат, но который хранится не на физическом носителе у владельца подписи, а на удаленном сервере, то есть, в интернете. Взаимодействие с ЭЦП в облаке возможно без так называемого RU-токена, что делает невозможным случайную потерю или повреждение электронной подписи.

Ответы на самые распространенные вопросы

А можно без софта на локальном компьютере?

Да, это возможно, если на ЭТП есть  дополнительный сервер, который обрабатывает входящую информацию и выступает в роли этого самого локального средства. В этом случае пользователь может использовать любой браузер. 

В чем отличие стандартной ЭП от облачной?

Оба эти варианта имеют общее ядро с сертификатом и уровнем безопасности. По своей сути, они аналогичны, просто меняется схема внутреннего API-шифрования при кодировке информации. В первом случае ключ извлекается из локального средства, а во втором – с виртуального (удаленного).

Для использования облачной ЭП тоже нужна авторизация?

Да. Однако теперь авторизация имеет два уровня защиты, и нет привязки к компьютеру. При этом авторизация для пользователя не вызовет никаких сложностей:

Перспективы развития “облачной” квалифицированной электронной подписи.

Развитие технологий не стоит на месте: уже скоро вступят в силу поправки к Федеральному закону № 63-ФЗ “Об электронной подписи”, согласно которым пользователи на законных основаниях смогут хранить свои ключи электронной подписи в удаленном хранилище удостоверяющего центра (иначе говоря, в “облаке”).

Итак, каково же будущее “облачных” технологий в сфере документооборота?

Пандемия COVID-19 внесла коррективы в неминуемый процесс глобальной цифровизации: затронуты корпоративные, производственные, образовательные, государственные организации. Она выявила недостатки цифровых инфраструктур (приложений для проведения совещаний, работы в системах ведения документооборота, совершения удаленных сделок и подписание контрактов) и неготовность предприятий и учреждений к переходу в дистанционный формат работы.

Что касается документооборота, об электронной подписи в “облаках” много было написано и сказано. Предполагается, что практически все элементы офисных процессов, связанных с документами, будут переведены в формат удаленной работы и хранения. Уже сейчас обмен документами многими компаниями ведется в “облаках” — это создание, хранение, совместное редактирование текстовых и иных файлов, размещенных на удаленном сервере.

Но если мы говорим о юридически значимом документообороте, а значит, и о необходимости соблюдать требования закона — для подтверждения оригинальности и легитимности документа. Многие государственные структуры уже давно принимают документы, подписанные ЭП. В чем же преимущества использования “облачной” ЭП?

Преимущества

  1. Владелец стандартной ЭП на USB-носителе при утере флешки должен будет получить новый ключ. Владелец облачной ЭП просто поменяет пароль.
  2. Мобильность пользователя. Раньше нужно было находиться поблизости к компьютеру, на который установлены все программы и надстройки. Теперь при использовании ОЭП привязка к рабочему месту не нужна.
  3. Нет привязки к браузеру: раньше это был IE, а это вызывало трудности еще на этапе выбора ОС: Linux-админы находили пути обхода, а вот на Mac-устройствах это невозможно.
  4. Нет территориальной привязки. Пользователь не обязательно должен находиться в РФ. Раньше владельцы должны были находиться внутри страны, ввиду особенностей защиты подписей на носителях.
  5. Двухуровневая защита обеспечивает более надежную сохранность информации о пользователе.
  6. Возможность подписывать документы через приложение на смартфоне.
Читайте также:  Усиленная квалифицированная электронная подпись и другие виды ЭЦП

Преимущества “облачной” электронной подписи.

  1. Основным и самым очевидным преимуществом является мобильность пользователя ЭП: отсутствие привязки к рабочему месту, на котором установлены и настроены программы для подписания и шифрования электронных документов. Это означает, что пользователь подпишет любые отчеты, акты, протоколы, договоры, сопроводительные письма — с различных устройств — смартфонов, планшетов, ноутбуков, домашнего компьютера, в удобный для него момент, важен только доступ в интернет. Это востребовано руководителями и сотрудниками, которые часто вынуждены отсутствовать на рабочем месте из-за большого количества деловых поездок и рабочих командировок. Часто в такой ситуации подчиненные вынуждены ждать своих руководителей, потому что у них нет полномочий подписать и отправить отчет.
  2. Безопасность данных — один из приоритетных пунктов, вызывающих беспокойство у владельцев бизнеса любого масштаба либо руководителей государственных учреждений. Потеря ключа может стать проблемой в случае необходимости срочно подписать документ. Если ключ украден, им могут воспользоваться мошенники. Однако в случае с хранением ключа электронной подписи на удаленном сервере удостоверяющего центра эти страхи необоснованны. Несмотря на миф о незащищенности “облаков”, ключи будут храниться в надежном месте, и ответственность за сохранность сертификата будет нести удостоверяющий центр, а не владелец ЭП. Эта безопасность обеспечивается хранилищем сертификатов электронной подписи КриптоПро HSM (программно-аппаратный криптографический модуль).
  3. Отсутствие физического носителя — одно из безусловных преимуществ. Токен или смарт-карта не защищены от утраты, поломки, они могут быть украдены. С ключами в “облаке” это не произойдет.
    Если вовремя уведомить Удостоверяющий центр об утере ключа электронной подписи, серьезных последствий не будет. Однако даже если незаконные сделки будут заключены, они впоследствии могут быть оспорены в суде. Но эти процессы неминуемо приведут к временным и финансовым затратам.
  4. Экономичность “облачных” решений: для того чтобы воспользоваться новыми возможностями, нет необходимости закупать специализированное программное обеспечение (например, лицензию на СКЗИ, поскольку подписание документов реализовано на стороне удостоверяющего центра). В том числе не нужен и ключевой носитель — токен или смарт-карта.
  5. Возможность получить подпись дистанционно. Если раньше владельцу ЭП было необходимо обращаться в удостоверяющий центр для получения токена с сертификатом подписи лично с предоставлением оригиналов документов, либо просить доверенное лицо получить ее вместо него, то последние поправки (подпункт «б» пункта 10 статьи 1 Федерального закона от 27.12.2021 N 476-ФЗ) к Федеральному закону № 63-ФЗ “Об электронной подписи” позволяют получить “облачную” подпись без физического присутствия получателя. Идентификация будет проведена через ЕСИА (Единую систему идентификации и аутентификации) или сервис ЕБС (Единую Биометрическую Систему). Предполагается, что время, затрачиваемое на оформление и получение электронной подписи, будет сокращено в десятки раз

Схема аутентификации пользователя “облачной” кэп с использованием программы криптоарм гост

  1. Создание документа пользователем в сервисе (информационной системе, системах ЭДО, ДБО и т.д.).
  2. Вызов КриптоАРМ ГОСТ(мобильной или десктопной версии), загрузка документа.
  3. Запрос на подпись (из КриптоАРМ ГОСТ — в КриптоПро DSS).
  4. Сообщение с уникальным идентификатором (SMS на телефон пользователя, или push-сообщение из клиентского приложения).
  5. Для подтверждения операции пользователь вводит пароль (при сохраненном пароле пользователь проходит процедуру аутентификации).
  6. После подтверждения владельцем ЭП документ подписывается на сервере КриптоПро DSS. На сервере формируется и отправляется запрос на подписание документа ключом ЭП пользователя в КриптоПро HSM. Этот криптографический модуль выполняет запрашиваемую операцию и направляет подписанный документ обратно на сервер.
  7. Документ отправляется обратно в КриптоАРМ ГОСТ, где его статус меняется на “Успешно подписан”.

Важно отметить, что “облачные” сервисы развиваются и являются весьма перспективными. Новые технологии интересны для внедрения — в ближайшем будущем они помогут экономить деньги и время, а также оптимизировать процессы обработки документов. Однако уже сейчас программа КриптоАРМ ГОСТ с возможностью установки сертификата из сервиса DSS позволяет применять “облачную” подпись максимально мобильно — там, где удобно пользователю.

Чем утверждены изменения

Поправки внесены в Федеральный закон от 06.04.11 № 63-ФЗ «Об электронной подписи» (далее — Закон об электронной подписи). Новая редакция утверждена Федеральным законом от 27.12.19 № 476-ФЗ (далее — Закон № 476-ФЗ) и Федеральным законом от от 08.06.2020 № 166-ФЗ.

Некоторые изменения вступили в силу с января 2021 года, другие нужно будет применять с июля 2021 года. Есть новшества, которые начнут действовать через год — с начала 2022 года. Расскажем обо всех этих изменениях подробнее.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector