Внедрение электронной подписи в организации
В связи с распространенностью применения информационных технологий во всех сферах жизнедеятельности современного общества управление процессами в организациях не является исключением. Особое значение в данной сфере приобретают системы электронного документооборота, предназначенные для организации и автоматизации процессов взаимодействия между сотрудниками. Применение данных систем обеспечивает эффективное управление документами организации и продуктивную работу сотрудников. Для организации полноценного электронного документооборота необходимо применение электронной подписи, которая также понадобится для проведения торговых операций онлайн и сдачи отчетности в некоторые государственные структуры.
Правовые основы
Первоначально электронная подпись применялась в банках отдельных европейских стран, позднее вопросом ее правовой регламентации занимались Организация Объединенных Наций и Европейский союз. В Российской Федерации вопрос правовой регламентации электронной подписи возник во второй половине 90-х в рамках обсуждения в Государственной Думе проблем безопасности безналичных платежей и электронной торговли и отсутствия должных механизмов правового контроля. Впервые понятие электронной подписи было сформулировано в Федеральном законе от 10 января 2002 г. "Об электронной цифровой подписи" (далее - Федеральный закон 2002 г.), который утратил силу с июля 2013 г. В соответствии с данным законом электронная цифровая подпись - это реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа-подписи, а также установить отсутствие искажения информации в электронном документе.
В настоящее время правовую основу применения электронной подписи в Российской Федерации составляет Федеральный закон от 6 апреля 2011 г. "Об электронной подписи" (далее - Федеральный закон 2011 г.). В соответствии с ним под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию. Действующим Федеральным законом определены основные понятия и принципы использования электронной подписи, закреплены виды электронных подписей и условия их признания, а также регламентированы полномочия органов государственной власти, права и обязанности участников электронного взаимодействия с использованием электронной подписи.
Таким образом, действующее сейчас определение электронной подписи более широкое, нежели прежнее, и сейчас понятие электронной цифровой подписи, данное в прежнем законе, близко, но не идентично понятию усиленной электронной подписи, признаками которой являются следующие:
- получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
- позволяет определить лицо, подписавшее электронный документ;
- позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
- создается с использованием средств электронной подписи;
- ключ проверки электронной подписи указан в квалифицированном сертификате;
- для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии Федеральным законом "Об электронной подписи" 2011 г.
Следует также отметить, что в период с апреля 2011 г. по июнь 2013 г. параллельно действовали оба вышеуказанных закона, что было связано с необходимостью времени для перехода участников рынка и госорганов на новые сертификаты и правила работы с электронной подписью.
Суть электронной подписи
Электронная подпись в Российской Федерации используется физическими и юридическими лицами и является аналогом собственноручной подписи правомочного на то лица на бумажном носителе и скрепления печатью, только в отношении придания юридической силы электронному документу. Основными целями использования электронной подписи являются:
- электронный документооборот компании;
- участие в электронных торгах на электронных торговых площадках;
- сдача отчетности в государственные органы.
Преимуществами применения электронной подписи для организации являются следующие моменты:
- сокращение времени обмена документами и совершения сделок;
- сокращение затрат на создание, доставку, хранение документов;
- гарантии достоверности и конфиденциальности передаваемой информации;
- эффективная система обмена документами для сотрудников компании;
- ликвидация проблемы наличия/отсутствия полномочий на подписание тех или иных документов.
Таким образом, при электронном документообороте с использованием электронной подписи возможно избежать массы проблем бумажного документооборота, существенно сократить сроки обмена информацией и повысить эффективность функционирования организации в целом.
Помимо преимуществ применения электронной подписи, можно выделить и недостатки:
- использование недобросовестными пользователями;
- недоступность/утрата электронных архивов всех документов организаций из-за проблем с техникой;
- затраты на оборудование и программные средства.
Однако данные недостатки скорее выступают опасениями, которые абсолютно беспочвенны в случае правильного использования системы электронного документооборота с электронной подписью на предприятии: применение индивидуализированного программного обеспечения, создание резервных копий информации, своевременный ремонт и замена оборудования и т.д.
Использование электронной подписи в Российской Федерации осуществляется на основании нескольких принципов, которые являются основополагающими основами в данной сфере:
- свобода выбора вида электронной подписи - участник имеет право самостоятельно определять вид электронной подписи, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия;
- свобода использования информационных технологий и технических средств - участник имеет возможность использования по своему усмотрению любой информационной технологии и (или) технических средств, позволяющих выполнить требования Федерального закона 2011 г. применительно к использованию конкретных видов электронных подписей;
- недопустимость признания электронной подписи и (или) подписанного ею электронного документа не имеющими юридической силы только на основании того, что такая электронная подпись создана не собственноручно, а с использованием средств электронной подписи для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе.
Анализ принципов использования электронной подписи позволяет сделать вывод о свободе выбора вида электронной подписи и необходимых технических средств для участника электронного взаимодействия в зависимости от целей его деятельности и правовой регламентации данной деятельности в части наличия/отсутствия обязательных требований к электронной подписи.
Основные понятия
Для полноценного понимания механизма функционирования электронной подписи необходимо не просто поверхностно понять его суть, но и изучить основные понятия, фигурирующие в данной сфере.
Участники электронного взаимодействия - это лица и (или) организации, осуществляющие обмен информацией в электронной форме, в том числе и государственные органы, органы местного самоуправления и т.д.
Корпоративная информационная система - это информационная система, участники электронного взаимодействия в которой составляют определенный круг лиц.
Информационная система общего пользования - это информационная система, участники электронного взаимодействия в которой составляют неопределенный круг лиц и в использовании которой этим лицам не может быть отказано.
Ключ электронной подписи - это уникальная последовательность символов, предназначенная для создания электронной подписи.
Ключ проверки электронной подписи - уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи.
Сертификат ключа проверки электронной подписи - это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.
Квалифицированный сертификат ключа проверки электронной подписи - это сертификат ключа проверки электронной подписи, выданный аккредитованным удостоверяющим центром или доверенным лицом аккредитованного удостоверяющего центра либо федеральным органом исполнительной власти, уполномоченным в сфере использования электронной подписи (Министерством связи и массовых коммуникаций Российской Федерации).
Средства электронной подписи - это шифровальные (криптографические) средства, которые используются для создания или проверки электронной подписи, создания или проверки ключа электронной подписи.
Удостоверяющий центр - это юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей и т.д. В настоящее время функции головного удостоверяющего центра в отношении аккредитованных удостоверяющих центров осуществляет Министерство связи и массовых коммуникаций Российской Федерации, которое и проводит аккредитацию удостоверяющих центров.
Средства удостоверяющего центра - программные и (или) аппаратные средства, используемые для реализации функций удостоверяющего центра.
Виды электронной подписи
Российским законодательством предусмотрено 3 основных вида электронной подписи:
1) простая электронная подпись - электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом;
2) усиленная неквалифицированная электронная подпись (неквалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, и позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи;
3) усиленная квалифицированная электронная подпись (квалифицированная электронная подпись) - электронная подпись, которая получена в результате криптографического преобразования информации с использованием ключа электронной подписи, позволяет определить лицо, подписавшее электронный документ и обнаружить факт внесения изменений в документ после момента его подписания, а также создается с использованием средств электронной подписи. При этом ключ проверки электронной подписи указан в квалифицированном сертификате, и для создания/проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с законодательством Российской Федерации в данной сфере.
В связи с изменениями в законодательстве и положениями Федерального закона "Об электронной подписи" 2011 г., где нет прошлого понятия "электронная цифровая подпись", необходимо рассмотреть вопрос соотношения действующих на данный момент подписей и новых. Так, сертификаты ключей подписей, выданные в соответствии с Федеральным законом от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи", признаются квалифицированными сертификатами. При этом, электронный документ, подписанный электронной подписью, ключ проверки которой содержится в сертификате ключа проверки электронной подписи, выданном в соответствии с порядком, ранее установленным законом, в течение срока действия указанного сертификата, но не позднее 31 декабря 2013 г. признается электронным документом, подписанным квалифицированной электронной подписью. Также в тех случаях, где федеральными законами и иными нормативными правовыми актами, вступившими в силу до 1 июля 2013 г., предусмотрено использование электронной цифровой подписи, используется усиленная квалифицированная электронная подпись.
Однако для полноценного применения электронной подписи в связи с вышеуказанными изменениями организациям необходимо учесть не только юридические аспекты равенства тех или иных видов подписи, но и исследовать технический аспект. При сравнении сертификата квалифицированной подписи и сертификата электронной цифровой подписи, закрепленной в Федеральном законе 2002 г., возникнет их различие в наличии/отсутствии поля СНИЛС (страховой номер индивидуального лицевого счета в Пенсионном Фонде Российской Федерации), что может привести к невозможности использования в конкретных системах в зависимости от их требований. В таком случае необходимо заранее узнавать о требованиях к виду электронной подписи для конкретных целей организации, или иметь оба сертификата.
При этом важно знать, что квалифицированная электронная подпись не является универсальной и ее обязательное использование предусмотрено только для ряда информационных систем государственных органов, например, таких как портал gosuslugi.ru или системы отчетности Федеральной налоговой службы Российской Федерации. Что касается торговых площадок, то они сами определяют требования к электронным подписям и вправе использовать как квалифицированную подпись, так и электронную цифровую подпись, предусмотренную Федеральным законом 2002 г. Подобная ситуация с самостоятельностью определения различными системами создает проблему в виде невозможности некоторых из них к работе с квалифицированными электронными подписями даже к окончанию срока действия закона 2002 г.
При таком раскладе наиболее логичным для организации является определение целей использования электронной подписи. В случае если это отчетность в государственные органы, то необходимо срочно получать квалифицированную подпись. Однако если речь идет о других торговых сделках - лучше обратиться в удостоверяющий центр для получения квалифицированной подписи, чтобы избежать неловкой ситуации в случае перехода какой-либо площадки на ее обязательное требование.
Стоит также отметить, что несколько электронных документов, связанных между собой (пакет), могут быть подписаны одной электронной подписью и каждый такой документ в отдельности признается подписанным. При этом по-прежнему не стоит забывать о требованиях к конкретным видам электронных подписей в некоторых случаях.
Электронные подписи, созданные в соответствии с нормами права иностранного государства и международными стандартами, признаются в РФ в зависимости от соответствия признакам того или иного вида. Выдача сертификата ключа проверки электронной подписи в соответствии с нормами иностранного права не является причиной признания документа недействительным.
Порядок получения электронной подписи
Получение электронной подписи проходит в несколько этапов:
1. Поиск подходящего удостоверяющего центра
Для получения электронной подписи необходимо в первую очередь определиться с целями применения электронной подписи вашей организацией и в зависимости от них выбрать удостоверяющий центр, который уполномочен изготавливать сертификаты ключей проверки электронных подписей.
К компетенции удостоверяющего центра относится:
- создание и выдача сертификатов ключей проверки электронных подписей лицам, обратившимся за их получением (заявителям);
- утверждение сроков действия сертификатов ключей проверки электронных подписей;
- аннулирование выданных им сертификатов ключей проверки электронных подписей;
- выдача по обращению заявителя средств электронной подписи, содержащих ключ электронной подписи и ключ проверки электронной подписи (в том числе созданные удостоверяющим центром) или обеспечивающих возможность создания ключа электронной подписи и ключа проверки электронной подписи заявителем;
- ведение реестра выданных и аннулированных им сертификатов ключей проверки электронных подписей, в том числе включающих в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращений или аннулирований;
- утверждение порядка ведения реестра сертификатов, не являющихся квалифицированными, и порядка доступа к нему, а также обеспечение доступа лиц к информации, содержащейся в реестре сертификатов, в том числе с использованием сети "Интернет";
- создание по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
- проверка уникальности ключей проверки электронных подписей в реестре сертификатов;
- осуществление по обращениям участников электронного взаимодействия проверки электронных подписей;
- осуществление иной связанной с использованием электронной подписи деятельности.
Помимо этого для удостоверяющего центра закреплены следующие обязанности:
- информирование в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки;
- обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защита от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий;
- предоставление безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата ключа проверки электронной подписи;
- обеспечение конфиденциальности созданных удостоверяющим центром ключей электронных подписей.
Таким образом, основными функциями удостоверяющего центра являются осуществление проверки электронных подписей, ключи проверки которых указаны в выданных доверенными лицами сертификатах ключей проверки электронных подписей, и обеспечение электронного взаимодействия доверенных лиц между собой, а также доверенных лиц с удостоверяющим центром. Информация, внесенная в реестр сертификатов, подлежит хранению в течение всего срока деятельности удостоверяющего центра, если более короткий срок не установлен нормативными правовыми актами. В случае прекращения деятельности удостоверяющего центра без перехода его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты прекращения деятельности этого удостоверяющего центра. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть уничтожена. В случае прекращения деятельности удостоверяющего центра с переходом его функций другим лицам он должен уведомить об этом в письменной форме владельцев сертификатов ключей проверки электронных подписей, которые выданы этим удостоверяющим центром и срок действия которых не истек, не менее чем за один месяц до даты передачи своих функций. В указанном случае после завершения деятельности удостоверяющего центра информация, внесенная в реестр сертификатов, должна быть передана лицу, к которому перешли функции удостоверяющего центра, прекратившего свою деятельность.
При этом важно также оценивать стабильность и качества поставщика услуг, которые, как правило, определяются широтой сфер использования их сертификатов. И, конечно же, не стоит принимать свое решение в зависимости от цены, так как для полноценного функционирования необходимо приобрести полный комплект в виде ключевого носителя, лицензии на право использования средства электронной подписи и сертификата ключа проверки электронной подписи. Цены варьируются. В сети "Интернет" можно найти сайты удостоверяющих центров в подходящем регионе и подробно узнать всю информацию.
2. Подача заявки и документов для получения электронной подписи
Определившись с удостоверяющим центром, необходимо отправить заявку на выпуск сертификата электронной подписи. Такую заявку можно подать на сайте, заполнив краткую форму, после обработки которой для выяснения деталей оформления перезвонит менеджер, а позднее необходимо будет предоставить перечень документов в Регистрационный центр удостоверяющего центра. Также возможно заполнить полную регистрационную карту на сайте и явиться в место выдачи сертификатов к моменту его готовности. На данном этапе форма заявки зависит от выбора конкретного удостоверяющего центра.
После мониторинга сайтов удостоверяющих центров список документов, необходимых для изготовления квалифицированного сертификата ключа подписи, как правило, выглядит следующим образом:
Для юридических лиц
- Заявление на изготовление сертификата ключа подписи
- Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРЮЛ
- Нотариально заверенная копия, либо оригинал с простой копией свидетельства о постановке на учет в налоговом органе
- Копия паспорта будущего владельца сертификата
- Копия СНИЛС владельца сертификата
- Копия паспорта получателя сертификата
- Доверенность на получение сертификата ключа подписи (если это не владелец сертификата)
- Доверенность, подтверждающая полномочия владельца сертификата ключа подписи (если владелец не имеет права действовать от имени юридического лица без доверенности)
Для индивидуальных предпринимателей
- Заявление на изготовление сертификата ключа подписи
- Нотариально заверенная копия либо оригинал с простой копией выписки из ЕГРИП
- Нотариально заверенная копия либо оригинал с простой копией свидетельства постановке на учет в налоговом органе
- Копия СНИЛС владельца сертификата
- Копия паспорта будущего владельца сертификата
- Копия паспорта получателя сертификата
- Доверенность на получение сертификата ключа подписи (если это не владелец сертификата)
- Доверенность, подтверждающая полномочия владельца сертификата ключа подписи (если владелец не имеет права действовать от имени юридического лица без доверенности)
Для физических лиц
- Заявление на изготовление сертификата ключа подписи
- Нотариально заверенная копия, либо оригинал с простой копией свидетельства постановки на учет в налоговом органе
- Копия паспорта
- Копия СНИЛС владельца сертификата.
3. Получение сертификата и комплекта
Личное присутствие владельца сертификата или его доверенного представителя для получения сертификата ключа проверки электронной подписи является обязательным условием большинства удостоверяющих центров. Несмотря на то что на практике существуют случаи оказания услуг и дистанционно с использованием пересылок сканированных заявительных документов по электронной почте и получение сертификата электронной подписи также почтой, чаще всего таким образом действуют мошенники. Оформление сертификата и выдача комплекта в удостоверяющем центре не займет много времени. В этот комплект, как правило, входят:
- ключевой носитель (дискета, флешка, токен), содержащий файлы с ключом электронной подписи;
- сертификат ключа проверки электронной подписи, который также в виде файла записан на этот же ключевой носитель;
- копия сертификата ключа проверки электронной подписи на бумажном носителе с подписью и печатью удостоверяющего центра;
- лицензия на право использования программы для ЭВМ, которая в терминах закона называется средством электронной подписи;
- сама программа средства электронной подписи (установочные файлы) и документация к ней на CD-диске.
В случае кражи или утери ключа электронной подписи необходимо обратиться в удостоверяющий центр, сообщить об этом факте и получить новый ключ и новый сертификат ключа проверки электронной подписи, при этом все этапы его получения придется пройти заново и сертификат будет совершенно другим.
Также важно отметить, что электронная подпись обладает сроком действия, при этом выделяют срок действия ключа подписи - это период времени, в течение которого можно использовать ключ для создания подписи, и срок действия ключа проверки подписи - период времени, в течение которого можно использовать ключ для проверки действительности электронной подписи. Как правило, первый срок устанавливается равным 1 году, а второй срок устанавливается от 1 года до 15 лет. Но даже после получения нового ключа подписи и нового сертификата по истечении срока старого, пока не закончится срок действия "старого" сертификата, все "старые" подписи будут считаться действительными.
Требования к сотрудникам организации при работе с электронной подписью
Несмотря на простую процедуру получения электронной подписи, для эффективного ее использования необходимо уделять внимание обеспечению информационной безопасности на рабочем месте сотрудников. Порядок обеспечения информационной безопасности при работе с электронной подписью, как правило, определяется руководителем организации на основе рекомендаций по организационно-техническим мерам защиты, а также действующего российского законодательства в области защиты информации.
Сотрудники, имеющие доступ к ключевой информации и работе с использованием электронной подписи, должны быть определены и утверждены в определенный список. Они должны пройти соответствующую подготовку и ознакомиться с документацией по конкретной информационной системе, а также с нормативными документами по использованию электронной подписи. Чаще всего в организациях существует сотрудник, отвечающий за безопасность эксплуатации средств криптографической защиты информации, который занимается полным процессом сопровождения данных процессов, в том числе и созданием специализированных должностных инструкций. В случае увольнения или перевода в другое подразделение с изменением трудовых обязанностей сотрудника, рекомендуется проводить смену ключей, к которым тот сотрудник имел доступ.
Стоит отметить, что выше указаны наиболее общие требования, что в очередной раз подчеркивают серьезность применения электронной подписи в организации. Однако на практике каждая организация индивидуальна в регулировании данного вопроса.
Оформление трудовых отношений
Особую актуальность в последнее время приобретает использование электронной подписи для оформления трудовых отношений с работниками, которые находятся в удаленном доступе. Так, в апреле 2013 г. вступили в силу изменения в Трудовом кодексе РФ, которые регламентируют регулирование труда дистанционных работников и предусматривают заключение трудового договора о дистанционной работе путем обмена электронными документами. Однако в рамках данных трудовых отношений применятся исключительно квалифицированную электронную подпись для обеих сторон: работодателя и работника. Для подтверждения ознакомления с приказом о приеме на работу, правилами внутреннего трудового распорядка, иными документами в электронном виде сотрудник также должен использовать только усиленную квалифицированную электронную подпись.
При этом документы, касающиеся трудовой деятельности дистанционного работника, также оформляются в бумажном виде путем копий документов в электронной форме, которые заверяются квалифицированной электронной подписью работодателя и направляются дистанционному работнику на ознакомление. Именно эту копию работник и подписывает своей электронной подписью.
Ответственность за нарушение законодательства об электронной подписи
Ответственность за нарушение положений законодательства об использовании электронной подписи предусмотрена для разных участников электронного взаимодействия. Важно отметить, что Федеральный закон "Об электронной цифровой подписи" от 2002 г. предусматривает уголовную, гражданско-правовую и административную ответственность в соответствии с нормативными правовыми актами Российской Федерации за неправомерное использование электронно-цифровой подписи другого лица, включая неправомерное получение закрытого ключа и (или) без должных полномочий, за неправомерное создание и использование закрытых ключей, а также в случае причинения убытков пользователю открытого ключа вследствие несанкционированного доступа к закрытому ключу по вине владельца сертификата ключа подписи.
Однако в действующем законе от 2011 г. подобных упоминаний об ответственности участников электронного взаимодействия нет. При этом законодатель уделил внимание регламентации ответственности удостоверяющего центра за вред, причиненный третьим лицам в результате неисполнения или ненадлежащего исполнения обязательств, вытекающих из договора оказания услуг удостоверяющим центром, а также неисполнения или ненадлежащего исполнения обязанностей, предусмотренных данным законом.
Таким образом, после исследования правовой регламентации и организационных моментов использования электронной подписи можно сделать вывод об актуальности данной технологии в настоящее время. Повсеместное использование информационных технологий и переход на электронный документооборот в ближайшем будущем будут приносить плоды своего положительного влияния, однако для этого необходимо некоторое время. Правовая регламентация механизмов функционирования электронных подписей, включая переходный период от положений закона, утратившего силу, к новому правопорядку, нуждается в дополнительной проработке. Особенно стоит отметить сложность и запутанность применения различных видов электронных подписей, что негативно влияет на восприятие организациями процесса внедрения новых технологий. Помимо этого, проблемным моментом является отсутствие достаточной правовой регламентации ответственности всех участников электронного взаимодействия. Предполагается логичным установление дополнительной ответственности работников локальными актами конкретной организации. Однако в настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты.