- Что делать, если компании необходимо множество электронных подписей?
- Основные понятия
- Риски использования электронной подписи
- Общие принципы организации информационной безопасности в Системе
- 5 способов защитить электронную подпись — сервисы на
- 2 Размещение технических средств АРМ с установленным СКЗИ
- 3 Установка программного обеспечения на АРМ
- 5 Установка и настройка СКЗИ
- 9 Учет и контроль
- Безопасность при использовании кэп
- Урок безопасности: наглядные схемы/случаи мошенничества с электронными подписями
- Эксперты дали советы по безопасному использованию электронной подписи
- Памятка для ип: как без риска использовать электронную подпись
Что делать, если компании необходимо множество электронных подписей?
Все больше компаний понимают, что использование электронной подписи позволяет сэкономить время и деньги, а потому покупают сотрудникам электронные подписи для различных целей – бухгалтеру для сдачи отчетности, закупщику – для работы на электронных торговых площадках. В данном случае возникает сразу несколько сложностей:
1. Трудно контролировать все электронные подписи – люди уходят из компании и уносят с собой токены с подписями.
2. Сроки действия электронных подписей заканчиваются неожиданно в самый неподходящий момент, их необходимо перевыпускать в срочном порядке.
3. Покупка электронной подписи может затянуться: закупщик запросил счет в Удостоверяющем центре, отдал его бухгалтеру. Бухгалтер считала зарплату и счет оплатила только через неделю. За это время интересная закупка уже закончилась – компания потеряла возможность подписать выгодный контракт с крупным заказчиком.
Удостоверяющие Центры предлагают крупным компаниям и организациям с разветвленной филиальной структурой решения, которые позволяют подавать заявления на выпуск сертификатов электронной подписи, не покидая собственного рабочего места. Данные сервисы позволяют сотрудникам организации оперативно получать КЭПы и управлять жизненным циклом каждого конкретного сертификата. Один сотрудник в вашей компании берет на себя функции администратора такой системы и осуществляет:
· регистрацию пользователей для получения сертификата;
· отправку заявки на проверку в УЦ;
· создает запросы на выпуск электронных подписей и их аннулирование.
Подробнее о решении для работы с множеством электронных подписей в компании можно почитать по ссылке
Основные понятия
Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.
Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.
Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.
Ключ ЭП – уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.
Ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи.
Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.
Владелец сертификата ключа проверки ЭП – лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.
Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.
Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.
Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:
- Потеря ключевых носителей.
- Потеря ключевых носителей с их последующим обнаружением.
- Увольнение сотрудников, имевших доступ к ключевой информации.
- Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
- Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
- Нарушение печати на сейфе с ключевыми носителями.
- Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).
Риски использования электронной подписи
При использовании электронной подписи существуют определенные риски, основными из которых являются следующие:
- Риски, связанные с аутентификацией (подтверждением подлинности) пользователя. Лицо, на которого указывает подпись под документом, может заявить о том, что подпись сфальсифицирована и не принадлежит данному лицу.
- Риски, связанные с отрекаемостью (отказом от содержимого документа). Лицо, на которое указывает подпись под документом, может заявить о том, что документ был изменен и не соответствует документу, подписанному данным лицом.
- Риски, связанные с юридической значимостью электронной подписи. В случае судебного разбирательства одна из сторон может заявить о том, что документ с электронной подписью не может порождать юридически значимых последствий или считаться достаточным доказательством в суде.
- Риски, связанные с несоответствием условий использования электронной подписи установленному порядку. В случае использования электронной подписи в порядке, не соответствующем требованиям законодательства или соглашений между участниками электронного взаимодействия, юридическая сила подписанных в данном случае документов может быть поставлена под сомнение.
- Риски, связанные с несанкционированным доступом (использованием электронной подписи без ведома владельца). В случае компрометации ключа ЭП или несанкционированного доступа к средствам ЭП может быть получен документ, порождающий юридически значимые последствия и исходящий от имени пользователя, ключ которого был скомпрометирован.
Для снижения данных рисков или их избежания помимо определения порядка использования электронной подписи при электронном взаимодействии предусмотрен комплекс правовых и организационно-технических мер обеспечения информационной безопасности.
Общие принципы организации информационной безопасности в Системе
Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.
Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат.
Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации.
Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя.
Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:
- выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
- выдает пользователям средства электронной подписи;
- создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
- получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
- ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
- проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
- осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
- определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.
Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.
Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.
Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:
- обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
- подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
- обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
- обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
- аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.
Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.
В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.
5 способов защитить электронную подпись — сервисы на
Электронная подпись (ЭП) — почти что паспорт. Она удостоверяет личность человека и позволяет совершать юридически значимые операции от его лица. Если ЭП достанется мошеннику, он сможет навредить владельцу подписи или его имуществу. Мы попросили Сергея Казакова, руководителя Удостоверяющего центра Контура, рассказать о правилах безопасности при работе с электронной подписью.
538просмотров
Электронная подпись в руках постороннего человека, как утерянный паспорт в руках мошенника — с ее помощью можно совершить незаконные действия от имени другого человека.
Так, мы знаем о ситуации, когда генеральный директор передал закрытый ключ собственной ЭП бухгалтеру, чтобы тот не отвлекал его из-за каждого документа на подписание. В итоге бухгалтер с помощью электронной подписи руководителя оформил микрозайм на компанию на два миллиона, перевел деньги на свой счет и отправился в отпуск, из которого не вернулся.
В другой ситуации руководство организации уволило сотрудника, но не забрало у него сертификат ЭП. Желая отомстить, обиженный работник подписал товарную накладную от имени компании и скрылся, повесив долг на компанию.
Подобные ситуации происходят нечасто, но все-таки происходят — и могут привести к серьезным последствиям. Соблюдайте правила безопасности, чтобы снизить риски мошенничества с вашей ЭП.
- Правило первое: никому не передавайте закрытый ключ ЭП
У посторонних людей, даже ваших коллег или подчиненных, не должно быть доступа к закрытому ключу подписи. В противном случае за вас могут подписать документ, а доказать, что это сделали не вы, будет практически невозможно. Храните ЭП на защищенном usb-носителе или на компьютере с паролем.
Правило второе: соблюдайте цифровую гигиену
Запарольте рабочий компьютер и установите на него антивирус. С осторожностью относитесь к неизвестным программам и не открывайте письма, которые вызывают сомнения. Не забывайте блокировать компьютер, когда отходите от него — тогда никто не воспользуется ЭП в ваше отсутствие.
Правило третье: поменяйте пинкод
Заводской пароль на токене максимально простой — 12345678, например. Его очень легко угадать, а значит воспользоваться вашей подписью.
Правило четвертое: если сотрудник ушел, отзовите у него сертификат ЭП
Если сертификат останется, работник сможет действовать от лица компании даже после увольнения. Чтобы забрать сертификат, обратитесь в удостоверяющий центр, который его выдал. Это может сделать или сам сотрудник, или руководитель организации.
- Правило пятое: проверяйте данные в электронных сервисах
Так вы заметите, что кто-то подал некорректные данные от вашего имени и, вероятно, получил доступ к ЭП.
— Зайдите на Госуслуги и посмотрите раздел «Последние действия». Вы узнаете, если кто-то оформит на вас ООО или ИП или попытается изменить руководителя в компании. Настройте уведомления в сервисе, чтобы вовремя отслеживать подозрительные операции.
— Регулярно заходите в личный кабинет на nalog.ru, чтобы убедиться, что никто не пытался продать ваше имущество или подать отчетность от имени компании. Как и в случае с Госуслугами, настройте уведомления.
— Проверяйте операции в сервисах, где используете ЭП. Вы заметите, если кто-то использовал ее без вашего ведома.
Если вы потеряли закрытый ключ подписи или заметили подозрительную активность, отзовите сертификат в удостоверяющем центре — тогда тот, у кого в руках окажется электронная подпись, не сможет ей воспользоваться.
§
6просмотров
Цифровое деловое пространство и Политех в рамках весенней публичной программы запускают новый формат — «Большие вопросы» — споры о проблемах, по которым ещё нет единой научной позиции. Зрители погрузятся в сложную научную картину мира и больше узнают об актуальных космических проблемах. А в конце дискуссии определят победителя интеллектуальной дуэли.
30 марта на площадке Цифрового делового пространства Политех проведёт первую дискуссию этой серии. Так как 2021 год — юбилейный для космической отрасли, темой дискуссии станет колонизация Марса.
«Марс — уникальный заповедник возможной внеземной жизни. Сохраним Марс для науки!» — позиция астронома Владимира Сурдина.
«Человечеству не нужно колонизировать Марс. Земля наша велика и обильна, и ничто во Вселенной с ней не сравнится. Но законы физики не запрещают переселение малой, но мотивированной и подготовленной группы людей на Марс, поэтому рано или поздно это произойдёт. Просто потому что можем», — считает популяризатор космонавтики Виталий Егоров.
«Человечество достигло Луны полвека назад — неожиданно для себя, и вскоре её оставило. Сейчас всё более возможной становится высадка на Марс. Она стала бы долгосрочным вызовом технологиям, науке, решимости человека и целеустремлённости наций. Но достаточно ли всего этого, чтобы возможность превратилась в реальность?» — рассуждает Алексей Семихатов, доктор физико-математических наук, главный научный сотрудник Физического института имени Лебедева РАН и модератор встречи.
На вопрос «А вы полетели бы на Марс, не имея возможности вернуться на Землю?» —гостям придется ответить дважды, перед дебатами и после них. Присоединиться к голосованию сможет и онлайн-аудитория — для этого будет организована онлайн-трансляция. Поучаствовать в обсуждении и составить собственное мнение о перспективах освоения Марса сможет любой желающий.
Мероприятие пройдет офлайн в Большом зале Цифрового делового пространства. Вход свободный, требуется регистрация на сайте ЦДП. Ссылка на онлайн-трансляцию будет выслана всем зарегистрированным на мероприятие за час до начала.
ЦИФРОВОЕ ДЕЛОВОЕ ПРОСТРАНСТВО — высокотехнологичная конгрессно-выставочная площадка в центре Москвы для проведения отраслевых мероприятий и привлечения представителей технологических МСП. Оператором площадки является Агентство инноваций Москвы, подведомственное Департаменту предпринимательства и инновационного развития.
2 Размещение технических средств АРМ с установленным СКЗИ
Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.
Рекомендуется использовать АРМ с СКЗИ в однопользовательском режиме. В отдельных случаях, при необходимости использования АРМ несколькими лицами, эти лица должны обладать равными правами доступа к информации.
Не допускается оставлять без контроля АРМ при включенном питании и загруженном программном обеспечении СКЗИ после ввода ключевой информации. При уходе пользователя с рабочего места должно использоваться автоматическое включение экранной заставки, защищенной паролем.
Рекомендуется предусмотреть меры, исключающие возможность несанкционированного изменения аппаратной части АРМ, например, опечатывание системного блока АРМ администратором. Также возможно в этих целях применение специальных средств защиты информации — аппаратных модулей доверенной загрузки.
Рекомендуется принять меры по исключению вхождения лиц, не ответственных за администрирование АРМ, в режим конфигурирования BIOS (например, с использованием парольной защиты).
Рекомендуется определить в BIOS установки, исключающие возможность загрузки операционной системы, отличной от установленной на жестком диске: отключается возможность загрузки с гибкого диска, привода CD-ROM, исключаются прочие нестандартные виды загрузки ОС, включая сетевую загрузку.
Средствами BIOS должна быть исключена возможность работы на ПЭВМ, если во время его начальной загрузки не проходят встроенные тесты.
3 Установка программного обеспечения на АРМ
На технических средствах АРМ с установленным СКЗИ необходимо использовать только лицензионное программное обеспечение фирм-изготовителей, полученное из доверенных источников.
На АРМ должна быть установлена только одна операционная система. При этом не допускается использовать нестандартные, измененные или отладочные версии операционной системы.
Не допускается установка на АРМ средств разработки и отладки программного обеспечения. Если средства отладки приложений необходимы для технологических потребностей пользователя, то их использование должно быть санкционировано администратором безопасности.
В любом случае запрещается использовать эти средства для просмотра и редактирования кода и памяти приложений, использующих СКЗИ. Необходимо исключить попадание в систему средств, позволяющих осуществлять несанкционированный доступ к системным ресурсам, а также программ, позволяющих, пользуясь ошибками ОС, получать привилегии администратора.
Рекомендуется ограничить возможности пользователя запуском только тех приложений, которые разрешены администратором безопасности.
Рекомендуется установить и использовать на АРМ антивирусное программное обеспечение.
Необходимо регулярно отслеживать и устанавливать обновления безопасности для программного обеспечения АРМ (Service Packs, Hot fix и т п.), обновлять антивирусные базы.
5 Установка и настройка СКЗИ
Установка и настройка СКЗИ на АРМ должна выполняться в присутствии администратора, ответственного за работоспособность АРМ.
Установка СКЗИ на АРМ должна производиться только с дистрибутива, полученного по доверенному каналу.
Установка СКЗИ и первичная инициализация ключевой информации осуществляется в соответствии с эксплуатационной документацией на СКЗИ.
При установке ПО СКЗИ на АРМ должен быть обеспечен контроль целостности и достоверность дистрибутива СКЗИ.
Рекомендуется перед установкой произвести проверку ОС на отсутствие вредоносных программ с помощью антивирусных средств.
По завершении инициализации осуществляются настройка и контроль работоспособности ПО.
Запрещается вносить какие-либо изменения, не предусмотренные эксплуатационной документацией, в программное обеспечение СКЗИ.
5.6 Подключение АРМ к сетям общего пользования
При использовании СКЗИ на АРМ, подключенных к сетям общего пользования, должны быть предприняты дополнительные меры, исключающие возможность несанкционированного доступа к системным ресурсам используемых операционных систем, к программному обеспечению, в окружении которого функционируют СКЗИ, и к компонентам СКЗИ со стороны указанных сетей.
В случае подключения АРМ с установленным СКЗИ к общедоступным сетям передачи данных необходимо ограничить возможность открытия и исполнения файлов и скриптовых объектов (JavaScript, VBScript, ActiveX и т д.), полученных из сетей общего пользования, без проведения соответствующих проверок на предмет содержания в них программных закладок и вредоносных программ.
9 Учет и контроль
Действия, связанные с эксплуатацией СКЗИ, должны фиксироваться в «Журнале пользователя сети», который ведет лицо, ответственное за обеспечение информационной безопасности на АРМ. В журнал кроме этого записываются факты компрометации ключевых документов, нештатные ситуации, происходящие в системе и связанные с использованием СКЗИ, проведение регламентных работ, данные о полученных у администратора безопасности организации ключевых носителях, нештатных ситуациях, произошедших на АРМ, с установленным ПО СКЗИ.
В журнале может отражаться следующая информация:
- дата, время;
- запись о компрометации ключа;
- запись об изготовлении личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении копий личного ключевого носителя пользователя, идентификатор носителя;
- запись об изготовлении резервного ключевого носителя пользователя, идентификатор носителя;
- запись о получении сертификата ключа проверки ЭП, полный номер ключевого носителя, соответствующий сертификату;
- записи, отражающие выдачу на руки пользователям (ответственным исполнителям) и сдачу ими на хранение личных ключевых носителей, включая резервные ключевые носители;
- события, происходившие на АРМ пользователя с установленным ПО СКЗИ, с указанием причин и предпринятых действий.
Пользователь (либо администратор безопасности) должен периодически (не реже одного раза в два месяца) проводить контроль целостности и легальности установленных копий ПО на всех АРМ со встроенной СКЗИ с помощью программ контроля целостности, просматривать сообщения о событиях в журнале EventViewer операционной системы, а также проводить периодическое тестирование технических и программных средств защиты.
В случае обнаружения «посторонних» (не зарегистрированных) программ, нарушения целостности программного обеспечения либо выявления факта повреждения печатей на системных блоках работа на АРМ должна быть прекращена. По данному факту должно быть проведено служебное расследование комиссией, назначенной руководителем организации, где произошло нарушение, и организованы работы по анализу и ликвидации негативных последствий данного нарушения.
Рекомендуется организовать на АРМ систему аудита в соответствии с политикой безопасности, принятой в организации, с регулярным анализом результатов аудита.
Безопасность при использовании кэп
Статьей 10 Федерального закона от 06.04.2021 №63-ФЗ «Об электронной подписи (далее – Федеральный закон №63-ФЗ) установлена обязанность участников электронного взаимодействия обеспечивать конфиденциальность ключей электронных подписей.
При использовании электронной подписи стоит помнить, что токен в ваших руках – не просто флешка, а важный инструмент с помощью которого недоброжелатели могут вывести деньги со счета организации или даже переоформить ее на себя.
Чтобы не стать участником аферы, не передавайте свой ключ электронной подписи третьим лицам. Примером такой ситуации является случай, когда генеральный директор приобретает УКЭП и передает его бухгалтеру для сдачи отчетности, а бухгалтер выводит средства с расчетного счета компании.
В любом случае, чтобы обезопасить себя и свой бизнес, вам необходимо придерживаться трех простых правил:
- Максимально бережно относиться к токену, который вы получили в УЦ, не передавать его третьим лицам. Если вашим сотрудникам для работы требуется сертификат ЭП – оформите им собственные КЭП.
- В случае утери токена с действующим сертификатом ЭП или подозрений на незаконное использование – сразу обращайтесь в в УЦ для прекращения действия сертификата.
- Если вам необходимо получить квалифицированную подпись – обращайтесь за ней только в проверенный Удостоверяющий Центр.
Спасибо, за внимание! Если у вас остались вопросы, от отвечу в комментариях.
#Электронная_Подпись#ЭЦП#крипто
Урок безопасности: наглядные схемы/случаи мошенничества с электронными подписями
Чтобы понять, насколько опасно игнорировать нормы безопасности при использовании ЭЦП, узнайте о громких случаях мошенничества с нею:
1. В Москве преступниками была переоформлена квартира, расположенная на улице Тверской. Хозяин квартиры узнал о незаконной сделке, когда начал получать коммунальные счета, выписанные на чужое имя.
2. Гражданин узнал, что возглавляет несколько фирм, обросших непомерными долгами. И при этом сам «бизнесмен» никогда не оформлял цифровую подпись.
Разберем подробнее один из случаев, чтобы вооружиться знаниями и не допустить подобного происшествия.
Владелец квартиры по имени Роман незадолго до случая с мошенничеством оформил на себя право собственности, получив квартиру в дар от собственного отца. При этом электронную подпись он не оформлял, а подписывал все документы лично. Но по документам квартира была передарена якобы самим Романом незнакомому ему человеку, сделка оформлялась с использованием ЭЦП.
Такой способ оформления дарственной (без участия нотариуса) не является запрещенным. Отсюда вопрос — как мошенники смогли получить электронную подпись Романа?
Они воспользовались порталом Госуслуги и взломали личный кабинет Романа. Тот заметил попытку взлома и сообщил администраторам ресурса, но те не нашли ничего подозрительного. Украденные из кабинета данные задействовали для оформления ЭЦП. Кроме того, возможно, что в схему был вовлечен и сотрудник одного из удостоверяющих центров.
Чтобы избежать участи, постигшей Романа, следует быть настойчивее при обнаружении взлома. Кроме того, чтобы обезопасить свою недвижимость, подайте в ближайший МФЦ заявление о запрете проведения удаленных операций со своим имуществом. Чтобы обезопасить себя от возможности «случайно» возглавить несколько сомнительных фирм, оставьте аналогичную заявку в налоговой (заполните форму Р38001).
Эксперты дали советы по безопасному использованию электронной подписи
СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ
Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.
ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ
Регистрация – процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.
Персональные данные Пользователя – данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.
ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ
Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:
- Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
- Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
- Для ответов на запросы Пользователя в службу поддержки;
- Для выполнения обязательств по договорам.
Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.
ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ
Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.
ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ
АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.
АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.
АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.
АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.
С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.
Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.
АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».
БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ
АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.
АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.
АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.
ХРАНЕНИЕ ДАННЫХ
АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.
Памятка для ип: как без риска использовать электронную подпись
Помните, что существует вероятность компрометации подписи и на этапе ее получения, и потом при использовании. Всегда храните накопитель с ключом и пароль в надежном месте, не пользуйтесь ЭЦП в сети, подключенной через общественный Wi-Fi.
Чтобы защитить цифровую подпись ИП, необходимо разработать свод правил и неукоснительно им следовать:
1. Держите свои документы при себе (паспорт, документы о присвоении ИНН, СНИЛС) или в защищенном месте. Не давайте посторонним людям хотя бы временный доступ к ним, не разрешайте неустановленным лицам снимать с них копии.
2. Пользуйтесь ЭЦП для ИП персонально, не доверяйте бухгалтеру или другому лицу подписывать и отправлять документы от вашего имени.
3. Запарольте свой USB-токен, на котором хранится ключ, чтобы он блокировался после трех неудачных попыток.
4. Уведомляйте удостоверяющий центр о каждом случае компрометации ключа (по причине утери флешки с ключом, увольнения сотрудника, имевшего доступ к ключу, взлома компьютера и т.д.).
5. Если удостоверяющий центр игнорирует обращение, пишите жалобу в Минкомсвязи или ФСБ. И, если проблема так и не решилась, обращайтесь в суд.
Пользуйтесь благами цивилизации, развивайте свой бизнес. Но будьте крайне осторожными не только с бумажными документами, но и с цифровыми данными и носителями информации.