Статьи, посвященные продуктам связанным с ЭЦП, шифрованием и криптографией —

Кэп что это такое и как она работает

Тот или иной документ (файл) подписывается с помощью КЭП так:

  1. Специальная шифровальная программа — например, офлайновая «КриптоАрм» или
    специальный облачный интерфейс на сайте таких поставщиков как компания
    «Контур», считывает документ и при необходимости формирует его хэш —
    уникальное описание, позволяющее идентифицировать документ.

Каких-либо изменений в документ не вносится. В этом отличие ЭЦП от обычнойподписи, которая проставляется на документ и становится его частью.

  1. На основании считанных данных (сформированного хэша) шифровальная программа,
    используя специальные программные алгоритмы (закрытый ключ) формирует ЭЦП —
    уникальную (то есть, предназначенную специально для считанного файла или его
    хэша) последовательность символов — тот самый цифровой код. Логика, по
    которой выстраивается данная последовательность, определяется сложным
    программным алгоритмом — настолько сложным, что несанкционированно
    воспроизвести его, не имея доступа к конкретному закрытому ключу, крайне
    сложно.

Закрытый ключ электронной подписи обычно размещается на надежном носителе,который находится в распоряжении владельца ЭЦП. Это может быть eToken, флешка,облачное хранилище или иной доступный или рекомендованный носитель.

Закрытый ключ ЭЦП всегда уникален. Он оформляется на конкретного пользователяс помощью мощных шифровальных алгоритмов, которые с применением компьютеров насовременном уровне технологического развития практически невозможнорасшифровать — соответственно, как и подделать закрытый ключ.

Во многих случаях его сложно хотя бы просто скопировать, поскольку программныйалгоритм применения закрытого ключа записывается в файл, не открытый длячтения полностью. Поэтому, если владелец КЭП держит защищенную флешку сзакрытым ключом при себе — ему не нужно бояться, что кто-либо подпишется занего с использованием стороннего устройства.

Во многих случаях доступ к закрытому ключу защищается дополнительно — спомощью PIN-кодов, паролей, алгоритмов SMS-авторизации и иных, которыепозволяют свести к минимуму вероятность использования закрытого ключакем-либо, кроме владельца электронной подписи.

В соответствии с п. 1 ст. 10 Закона № 63, владелец ЭЦП обязан обеспечиватьконфиденциальность закрытого ключа подписи. То есть — не давать «флешку» с ЭЦПникому, и немедленно информировать удостоверяющий центр о фактах незаконнойпередачи носителя ключа электронной подписи стороннему лицу (после чего УЦзаблокирует подпись).

Правовые последствия при использовании усиленной квалифицированной электроннойподписи — те же, что и при использовании подписи на бумаге. При этом,номинальному владельцу подписи придется нести ответственность даже занесанкционированное применение КЭП.

Далее в статье мы изучим то, какими могутбыть последствия (ответственность владельца ЭЦП) при применении подписи (в томчисле неустановленными лицами), и в каких случаях они могут быть аннулированысудом. Но пока продолжим рассматривать алгоритм применения КЭП — он включает всебя довольно много этапов.

Сформированная шифровальной программой (закрытым ключом) ЭЦП может быть:

  • объединена с подписываемым документом в один файл определенного формата
    (например, файл SIG – используемый в «КриптоАРМ»);
  • размещена в отдельном файле, который связан с подписываемым (как правило,
    размещен в одной папке с ним).

Первый вариант удобен тем, что отсутствует риск случайного разобщения ЭЦП иподписанного файла. Второй — тем, что при необходимости подписанный файл можнобудет открыть и прочитать (правда, без удостоверения его подлинности) спомощью привычного редактора (в то время как для открытия файла SIGпотребуется та же шифровальная программа или иная совместимая, которой уполучателя файла по каким-то причинам может не оказаться).

Есть и более сложные алгоритмы обеспечения взаимосвязи подписанного файла (егохэша) и ЭЦП. Например, при облачном документообороте файлы могут располагатьсяв одних серверных каталогах, а ЭЦП для них — в других.

ЭЦП, записанная в файл (или включенная, наряду с подписанным документом, всостав файла SIG), может дополняться иными типами данных. Например —сведениями о сертификате открытого ключа подписи. О нем следует сказатьотдельно.

Какую информацию содержит сертификат электронной подписи

Важнейший компонент процедуры подписания файла — отражение в структуре ЭЦПсведений о сертификате открытого ключа электронной подписи. Общераспространентехнологический подход, по которому данные о сертификатах владельцев ЭЦП (и,собственно, сами файлы сертификатов) располагаются на серверах в интернете (вто время как в структуре ЭЦП отражается лишь приведенная в установленномформате ссылка на сертификат).

Сертификат электронной подписи призван удостоверить, что:

  1. Владелец электронной подписи правомочен подписывать документы
    — то есть, задействовать имеющийся у него закрытый ключ ЭЦП. Сертификат
    показывает, что физлицо или хозяйствующий субъект в лице управомоченного
    физлица имеет законное разрешение на применение ЭЦП.

Сертификат электронной подписи имеет «визуализированную» часть — текстовыйблок, который содержит конкретную информацию об отправителе (например, егоФИО, юридический статус). Благодаря такой визуализации, получатель документасам может удостовериться в том, что документ получен именно от того лица,которое и должно было отправить его.

Здесь получателю документа (файла), подписанного КЭП, стоит быть оченьвнимательным. По всем признакам ЭЦП может быть легальной, ее сертификат —действительным. Однако, если выяснится, что ФИО владельца электронной подписине совпадает с ФИО человека, от которого ожидался файл — лучше повременить сподтверждением его получения (которое осуществляется, в свою очередь, спомощью электронной подписи получателя при ее наличии либо иным способом, окотором договорились стороны).

  1. Владелец КЭП правомочен подписывать документы
    в конкретных правоотношениях.

То есть, сертификат в данном случае играет роль разграничителя полномочийвладельца в части подписания документов: он регулирует «уровень доступа»человека к различным сферам документооборота.

Читайте также:  Всё об ЭЦП: преимущества, получение, использование

Таким образом, для того, чтобы задействовать закрытый ключ — формирующий кодЭЦП в конкретных правоотношениях, человек должен иметь действующий сертификатэлектронной подписи для таких правоотношений.

Сертификат имеет определенный срок действия (как правило, 1-3 года взависимости от конкретной разновидности ЭЦП). Если он истек, то авторство(юридическая принадлежность) документа не подлежат удостоверению, посколькуформально будет считаться, что документ подписан не владельцем.

Если владелец электронной подписи случайно потерял носитель закрытого ключа(либо есть подозрения, что его могут использовать неустановленные лица либо телица, которые не имеют на то разрешения), то ему нужнонемедленно отозвать (аннулировать) свой сертификат через УЦ.

Если после отзыва сертификата кто-либо (или сам владелец, если найдетноситель) воспользуется закрытым ключом, то ЭЦП не будет считаться легальной.При этом, во многих случаях шифровальные программы, взаимодействуя с серверамиУЦ, сами обнаруживают, что сертификат открытого ключа недействителен, иблокируют закрытые ключи.

Обзор судебной практики

Есть судебные прецеденты, позволяющие говорить о том, что у законныхправообладателей ЭЦП в случае компрометации электронной подписи будут всешансы доказать свою правоту и защитить свои интересы.

Так, в деле № 1-361/2021, рассмотренном Промышленным районным судомСтаврополя, в качестве обвиняемого фигурировал финансовый директор ООО, а вкачестве пострадавшей стороны — директор фирмы. Обвиняемый, использовавэлектронную подпись директора без разрешения (то есть, факт передачи емузакрытого ключа ЭЦП не был документально зафиксирован), похитил у фирмы более1 млн. рублей. Преступник был признан виновным.

Таким образом, одним из аргументов в защиту интересов правообладателя ЭЦП при компрометации электронной подписи может быть отсутствие документально подтвержденных фактов передачи закрытого ключа сторонним лицам. В свою очередь, если такой документ был — и, как следствие, подтверждено, что
владелец ЭЦП под свою ответственность передал подпись другому человеку — защитить свои права владельцу ЭЦП будет несоизмеримо сложнее.

В деле № А60-32436/2021, рассмотренное Арбитражным судом Свердловской области,фигурирует человек, который незаконно завладел чужой ЭЦП (оформленной надругого сотрудника фирмы), предоставив в УЦ «липовую» доверенность наполучение электронной подписи.

С помощью данной ЭЦП он заключил договор, покоторому у фирмы возникли обязанности по оплате товара. Фирма не признала этиобязанности, сославшись на то, что ЭЦП была использована лицом, не имеющим нато правомочий. И суд поддержал ее — признав электронную подпись, которая былаполучена незаконно, недействительной.

Выходит, что при получении сторонним лицом доступа к электронной подписи с использованием поддельных документов у владельца ЭЦП также есть все шансы избежать правовых последствий, связанных с применением подписи данным лицом (либо иными лицами, которые по тем или иным причинам получили доступ к подписи). Но если документы на получение электронной подписи будут легальны — ситуация может сложиться совершенно иначе.

Очевидно, что во втором прецеденте определенную роль в возникновении правовыхпоследствий сыграли и действия удостоверяющего центра. Не исключено, чтоподдельная доверенность имела все необходимые признаки легальности, но факт —УЦ «пропустил» ее.

Но совершенно очевидно,  что в подобных случаях в интересах любого УЦ —исключительно строго проверять подобные документы, поскольку есть вероятность,что суд признает действия специалистов такой организации, одобривших «липовую»доверенность, намеренными (либо в сговоре с предъявителем «липовой»доверенности).

Вам будет интересно: Электронная подпись для ЕГАИС: характеристики и особенности использования

Обращение за получением государственных и муниципальных услуг

Виды электронных документов, представляемых заявителями при обращении за предоставлением государственной или муниципальной услуги

Виды электронной подписи

В случае предоставления справочной информации (без выдачи документов)

В случае необходимости обязательного личного присутствия заявителя (его представителя) и предъявления им основного документа, удостоверяющего его личность (документа, подтверждающего правомочие)

В остальных случаях

1.

Запрос заявителя

Простая электронная подпись

Усиленная квалифицированная электронная подпись

2.

Согласие заявителя на обработку личныхперсональных данных

Простая электронная подпись

Усиленная квалифицированная электронная подпись

3.

Согласие на обработку персональных данных лица, не являющего заявителем (не распространяется на лиц, признанных безвестно отсутствующими, и на разыскиваемых лиц, место нахождения которых не установлено)

Усиленная квалифицированная электронная подпись

4.

Документы в электронной форме, удостоверяющие определенные юридические факты, информация о которых необходима для оказания государственной или муниципальной услуги

Усиленная квалифицированная электронная подпись

5.

Электронные копии документов, подтверждающих согласие на обработку персональных данных лица, не являющегося заявителем, либо документов, удостоверяющих определенные юридические факты, информация о которых необходима (либо предоставлена) в случае:

Усиленная квалифицированная электронная подпись

а) если предусмотрено требование о предоставлении оригиналов или нотариально заверенных копий документов

Усиленная квалифицированная электронная подпись

б) если не предусмотрено требования о предоставлении оригиналов или нотариально заверенных копий документов

Простая электронная подпись

Читайте также:  Квалифицированная электронная подпись (КЭП) — что это такое Как получить квалифицированную электронную подпись гражданина: что такое усиленная

Постановление правительства российской федерации от 25.08.2021 г. № 852

Об утверждении Правил использования усиленной квалифицированной электронной подписи при обращении за получением государственных и муниципальных услуг и о внесении изменения в Правила разработки и утверждения административных регламентов предоставления государственных услуг

<p>ПРАВИТЕЛЬСТВО РОССИЙСКОЙ ФЕДЕРАЦИИ
П О С Т А Н О В Л Е Н И Е
от 25 августа 2021 г. N 852
МОСКВА
Об утверждении Правил использования усиленной квалифицированной
электронной подписи при обращении за получением государственных и
муниципальных услуг и о внесении изменения в Правила разработки и
утверждения административных регламентов предоставления
государственных услуг
(В редакции постановлений Правительства Российской Федерации
от 05.12.2021 г. N 1327; от 25.10.2021 г. N 1296)
Во   исполнение   части 2   статьи 21-1  Федерального   закона
"Об организации  предоставления  государственных  и   муниципальных
услуг" Правительство Российской Федерации  п о с т а н о в л я е т:
1. Утвердить  прилагаемые  Правила   использования   усиленной
квалифицированной электронной подписи при обращении  за  получением
государственных и муниципальных услуг.
2. Внести в Правила разработки и утверждения  административных
регламентов  предоставления  государственных  услуг,   утвержденные
постановлением Правительства Российской Федерации от 16 мая 2021 г.
N 373  "О разработке  и  утверждении  административных  регламентов
исполнения государственных функций и  административных  регламентов
предоставления государственных  услуг"  (Собрание  законодательства
Российской Федерации, 2021, N 22, ст. 3169; N 35,  ст. 5092;  2021,
N 28, ст. 3908), следующие изменения:
а) подпункт "с" пункта 14  дополнить  предложением  следующего
содержания:   "При    определении    особенностей    предоставления
государственной услуги в  электронной  форме  указывается  перечень
классов  средств  электронной  подписи,   которые   допускаются   к
использованию при обращении за получением  государственной  услуги,
оказываемой с применением усиленной  квалифицированной  электронной
подписи,  и  определяются  на  основании  утверждаемой  федеральным
органом исполнительной власти по согласованию с Федеральной службой
безопасности  Российской  Федерации   модели   угроз   безопасности
информации в информационной системе, используемой  в  целях  приема
обращений   за   получением   государственной   услуги   и    (или)
предоставления такой услуги.";
б) абзац седьмой подпункта "в"  пункта  15 дополнить   словами
", в том числе связанные  с  проверкой  действительности  усиленной
квалифицированной электронной подписи заявителя, использованной при
обращении  за  получением  государственной  услуги,   а   также   с
установлением  перечня  классов  средств  удостоверяющих   центров,
которые допускаются для использования в целях обеспечения указанной
проверки  и  определяются  на  основании  утверждаемой  федеральным
органом исполнительной власти по согласованию с Федеральной службой
безопасности  Российской  Федерации   модели   угроз   безопасности
информации в информационной системе, используемой  в  целях  приема
обращений   за   получением    государственной    услуги    и (или)
предоставления такой услуги".
Председатель Правительства
Российской Федерации                                Д.Медведев
__________________________
УТВЕРЖДЕНЫ
постановлением Правительства
Российской Федерации
от 25 августа 2021 г.
N 852
П Р А В И Л А
использования усиленной квалифицированной электронной подписи при
обращении за получением государственных
и муниципальных услуг
(В редакции постановлений Правительства Российской Федерации
от 05.12.2021 г. N 1327; от 25.10.2021 г. N 1296)
1.   Настоящие   Правила   регулируют   порядок  использования
усиленной    квалифицированной   электронной   подписи   (далее   -
квалифицированная подпись) физическими и юридическими лицами (далее
-   заявители)   при  обращении  за  получением  государственных  и
муниципальных  услуг  в электронной форме, оказываемых федеральными
органами   исполнительной  власти,  государственными  корпорациями,
которые  в соответствии с федеральным законом наделены полномочиями
по  предоставлению  государственных  услуг  в  установленной  сфере
деятельности,   органами   государственных   внебюджетных   фондов,
органами  исполнительной  власти  субъектов  Российской  Федерации,
органами   местного  самоуправления,  а  также  государственными  и
муниципальными  учреждениями  и  другими  организациями,  в которых
размещается   государственное  задание  (заказ)  или  муниципальное
задание   (заказ)   на   предоставление   услуг,  перечень  которых
устанавливается    Правительством   Российской   Федерации   (далее
соответственно   -   услуги,   исполнители   услуг). (В    редакции
постановлений        Правительства       Российской       Федерации
от 05.12.2021 г. N 1327; от 25.10.2021 г. N 1296)
2. С использованием квалифицированной подписи заявитель вправе
обратиться за получением  любых  услуг,  предоставление  которых  в
электронной  форме  не   запрещено   законодательством   Российской
Федерации.
3. Для использования квалифицированной подписи  при  обращении
за получением услуг заявителю необходимо получить квалифицированный
сертификат ключа  проверки  электронной  подписи  в  удостоверяющем
центре,  аккредитованном  в  порядке,   установленном   Федеральным
законом   "Об электронной   подписи"   (далее   -   аккредитованный
удостоверяющий центр).
4. При  обращении  за  получением   услуги   квалифицированная
подпись  создается   и   проверяется   с   использованием   средств
электронной подписи и квалифицированного сертификата ключа проверки
электронной подписи, соответствующих  требованиям  законодательства
Российской Федерации в области использования электронной подписи, а
также административного регламента предоставления услуги.
5. Ключи электронной подписи,  используемые  для  формирования
квалифицированной подписи, создаются заявителем самостоятельно  или
по его обращению удостоверяющим центром.
6. Использование    заявителем    квалифицированной    подписи
осуществляется с соблюдением обязанностей, предусмотренных  статьей
10 Федерального закона "Об электронной подписи".
7. При поступлении обращения за получением услуг, подписанного
квалифицированной  подписью,  исполнитель  услуг  обязан   провести
процедуру  проверки  действительности  квалифицированной   подписи,
с использованием  которой  подписан  электронный  документ   (пакет
электронных документов) о предоставлении услуги,  предусматривающую
проверку соблюдения условий, указанных  в  статье  11  Федерального
закона "Об электронной подписи" (далее - проверка квалифицированной
подписи).
8. Проверка  квалифицированной  подписи  может  осуществляться
исполнителем  услуги  самостоятельно  с  использованием   имеющихся
средств электронной  подписи  или  средств  информационной  системы
головного  удостоверяющего  центра,   которая   входит   в   состав
инфраструктуры,    обеспечивающей     информационно-технологическое
взаимодействие действующих  и  создаваемых  информационных  систем,
используемых для предоставления  услуг. Проверка  квалифицированной
подписи  также  может  осуществляться  с   использованием   средств
информационной системы аккредитованного удостоверяющего центра.
9. В  случае  если  в  результате  проверки  квалифицированной
подписи будет выявлено несоблюдение установленных условий признания
ее действительности, исполнитель услуги в течение  3  дней  со  дня
завершения проведения такой проверки принимает решение об отказе  в
приеме к рассмотрению обращения за получением  услуг  и  направляет
заявителю уведомление об  этом  в  электронной  форме  с  указанием
пунктов статьи 11  Федерального  закона  "Об электронной  подписи",
которые послужили основанием для принятия указанного решения. Такое
уведомление подписывается  квалифицированной  подписью  исполнителя
услуги и направляется по адресу электронной почты заявителя либо  в
его личный кабинет  в  федеральной  государственной  информационной
системе  "Единый  портал  государственных  и  муниципальных   услуг
(функций)". После получения уведомления заявитель вправе обратиться
повторно с обращением о предоставлении услуги, устранив  нарушения,
которые послужили основанием для отказа  в  приеме  к  рассмотрению
первичного обращения.
____________
</p>

Регистрация ккт в налоговой службе

Строго говоря, ЭЦП в данном случае необходима лишь для решения единственнойзадачи — регистрации контрольно-кассового аппарата (точнее — основного еготехнологического компонента, фискального накопителя) в ФНС РФ. В общем случаетакая регистрация осуществляется через официальный сайт Налоговой службы.

Читайте также:  Как проверить кредитную историю: способы проверки истории по кредиту

Дляее осуществления, как мы уже отметили выше, необходим «файловый» -расположенный на компьютере пользователя, сертификат электронной подписи.Подойдет тот, что оформлен для налоговой отчетности либо отдельный,предназначенный конкретно для регистрации онлайн-касс.

В свою очередь, сертификат, предназначенный только лишь для регистрациионлайн-кассы в ФНС, как правило, не способен обеспечивать применение такойэлектронной подписи в иных правоотношениях. В этом смысле такой сертификат итот, что оформляется для отчетных ЭЦП, не следует рассматривать каквзаимозаменяемые. «Отчетный» сертификат — более универсален.

Как только онлайн-касса зарегистрирована в Налоговой службе,

то необходимость в применении ЭЦП практически отпадает (но только домомента следующей регистрации — например, в связи с истечением срокаэксплуатации фискального накопителя). Последующая передача кассовых данных вНалоговую службу (речь идет о фискальных данных — сведениях о транзакциях накассе) будет осуществляться при посредничестве Оператора фискальных данных(или ОФД).

Данная организация отвечает перед ФНС за определение юридическойпринадлежности фискальных данных и их неизменность на пути между онлайн-кассойот конкретного пользователя и сервером ФНС. То есть — по сути ОФД берет насебя часть функционала электронной подписи.

Во взаимодействии пользователя онлайн-кассы и ОФД электронная подпись в общемслучае не применяется. Но она, безусловно, может быть оформлена, еслипользователь ККТ заказывает у ОФД различные дополнительные услуги — например,связанные с аналитикой по фискальным данным, с мониторингом продаж и ведениемстатистики по различным показателям.

Так, отдельная ЭЦП оформляется дляклиентов компании «Контур» в целях защиты их доступа к Личному кабинету насайте оператора Контур.ОФД. Такая подпись позволяет заказчику и поставщику услуг организовыватьэффективный, защищенный документооборот.

Как правило, стоимость оформления «фискальной» ЭЦП входит в стоимость услугОФД. Однако, подобные услуги могут оказываться ОФД и без примененияэлектронной подписи клиента. Это обусловлено использованием защищенных каналовобмена данными — когда риск подключения к ОФД неустановленного лица от именипользователя сводится к минимуму.

Сколько стоит оформление эцп

Ценообразование на рынке услуг удостоверяющих центров — крайненесистематизировано. Большое количество организаций, осуществляющихдеятельность в данном сегменте, активно конкурируют между собой и предлагаютрынку самый широкий спектр тарифов — во многих случаях персонифицированных.

Распространен подход, по которому удостоверяющие центры предлагают своимклиентам пользоваться «конструкторами» электронных подписей — и заказатьпродукт, который предполагает размещение нескольких ЭЦП (сертификатов ЭЦП) наодном носителе закрытого ключа.

Общий принцип определения цены на «конструкторский» продукт, которогопридерживаются многие лидеры рынка — когда размещение большего количествасертификатов на одном носителе предполагает удешевление каждого отдельновзятого сертификата. Соответственно, если у хозяйствующего субъекта достоверноимеется потребность в применении большого количества ЭЦП — можно смелообъединять их на одном носителе, заказывая соответствующий продукт от УЦ. Таквыйдет дешевле в сравнении с покупкой отдельно взятых сертификатов на разныхносителях закрытого ключа.

Соответствующий «конструкторский» подход предлагают ведущие игроки рынка —компании «Контур», «Такском», «Тензор» и другие. В зависимости от конкретногосочетания сертификатов, стоимость ЭЦП может варьироваться от нескольких сотендо десятков тысяч рублей (как правило, цена на электронную подпись приводитсяв расчете на 1 год пользования — стандартный период действия сертификата).

Например, компания «Такском» позволяет пользователям онлайн-касс заказатьотдельную ЭЦП — для применения исключительно в целях исполнения требованийЗакона № 54-ФЗ. Обойдется такая подпись в 1500 рублей. В свою очередь, припокупке продукта «Квалифицированный классик» в компании «Контур»

— стоимостью 3000 рублей в год, пользователю также будет доступенсертификат для проведения операций с онлайн-кассами, а в дополнение к этомушироким спектр прочих полезных сертификатов — для отчетности, участия всистемах торгов, закупок и т. д.

Таким образом, выбор определенного сертификата (набора сертификатов)электронной подписи — процедура, предполагающая проведение хозяйствующимсубъектом довольно большого объема работы в части выявления потребностейбизнеса, связанных с вступлением в те или иные правоотношения.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector