+7(499)-938-42-58 Москва
+7(800)-333-37-98 Горячая линия

Кто и как ведёт реестр сертификатов электронных подписей

Содержание

Сертификат ключа проверки электронной подписи

Кто и как ведёт реестр сертификатов электронных подписей

Электронная подпись (ЭП) не может работать без сертификата, который помогает проверить ее ключ. Что это за приложение?

Сертификат ключа проверки электронной подписи является:

  • частью системы криптографической защиты оцифрованной документации;
  • специфическим инструментом, направленным на обеспечение эффективности функционирования системы, которая подтверждает подлинность и авторство документа.

Применение сертификатов ЭП

Открытый ключ применяется для организации защищенного от внешних вмешательств канала связи с хозяином ЭП для:

  • аутентификации – проверки принадлежности подписи;
  • обеспечения секретности посредством использования алгоритмов криптошифрования;

Применяются два способа организации инфраструктуры таких сертификатов:

  • централизованная;
  • действующая на основе телекоммуникационных сетей доверия.

Почему это важно? Современные технологии управления информационными ресурсами вывели электронный документооборот на новый технический уровень. Но специализированные информационные системы продолжают базироваться на общедоступных телекоммуникационных сетях, обрабатывающих открытую информацию.

Так, например, интернет является основой для:

  • ЕПГУ – общегосударственного портала, с помощью которого население и юридические лица получают широкий спектр административных услуг от органов государственной власти и местного управления;
  • электронных площадок для проведения тендеров и торгов, обеспечивающих государственные закупки;
  • систем управления денежными средствами, размещенными в финансовых учреждениях типа «клиент-банк»;
  • систем подачи отчетности предприятий фискальным и контролирующим структурам.

В связи с этим проблема обеспечения целостности, юридической значимости и достоверности передаваемых данных для пользователей ЭП стоит особенно актуально.

Применяемая терминология

Прежде всего необходимо разобраться в нормативных определениях. Сертификатом ключа проверки (СКП) цифровой подписи называют документ, изданный удостоверяющим центром. Этот документ доказывает, что ключ проверки принадлежит хозяину СКП. Квалифицированный сертификат ключа проверки электронной подписи вполне отвечает определению во всем, кроме требований относительно издателя.

Квалифицированный СКП может выдаваться:

  • специализированным властным органом, исполняющим обязанности по организации и контролю над внедрением ЭП в РФ (на данный момент это ФСБ);
  • аккредитованным удостоверяющим центром.

В абсолютном большинстве случаев изготовлением СКП ЭЦП занимается удостоверяющий центр (УЦ). Он предоставляет потребителям услуги по:

  • производству и передаче СКП заявителям;
  • установлению терминов применения СКП;
  • отмене действия (аннулирования) изготовленных этим УЦ СКП;
  • их сервисному обслуживанию и сопровождению эксплуатации;
  • установке программного обеспечения, обеспечивающего надлежащее использование;
  • обеспечению онлайн-доступа к сведениям реестра СКП.

Кроме того, УЦ производится сертификация паспортных средств электронной подписи. Применение термина «аккредитованный» к УЦ означает, что в результате проверки ФСБ был установлен факт соответствия персонала, принципов и методов деятельности УЦ требованиям, которые выдвигаются к изготовителям квалифицированных ЭП.

Основными функциями управления СКП ЭП являются их:

  • издание;
  • отзыв;
  • обеспечение криптографической безопасности.

Иметь в своем распоряжении СКП может:

  • гражданин РФ, иностранец либо лицо без гражданства, на законных основаниях пребывающее на территории РФ;
  • индивидуальный предприниматель;
  • предприятие, учреждение.

Сертификат выдается УЦ, изготовившим проверяемую ЭП. Соответственно, квалифицированные СКП выдаются только аккредитованными УЦ. Возможность заявителя получить СКП определяется соглашением между УЦ и собственником ЭП. Именно последний устанавливает круг лиц, которым он предоставляет такое право.

Оно может быть сформулировано в договоре:

  • методом конкретного перечисления;
  • путем формулировки признаков;
  • указанием на возможность предоставить подобный сертификат любому лицу по требованию собственника ЭП.

Этим же документом определяются сроки изготовления и выдачи СКП, а также вопросы оплаты. За изготовление СКП и его электронный носитель может платить сам заявитель, либо хозяин ЭП.

Порядок изготовления и выдачи

Заявление на получение сертификата ключа проверки электронной подписи должно сопровождаться подачей необходимых документов, подтверждающих:

  • личность человека;
  • регистрационные данные предприятия или учреждения.

УЦ может выпускать СКП в виде цифровых файлов или традиционных документов.

За хозяином сертификата, полученного в электронном виде, всегда сохраняется право в любой момент и без дополнительной оплаты получить его бумажную копию, надлежащим образом заверенную УЦ.

Сертификат ключа проверки ЭП действует со дня выдачи, если заявителем не было изъявлено желание определить более позднюю дату, тогда это специально указывается в самом СКП.

Удостоверяющий центр обязан вписать в реестр сертификатов данные о выданном сертификате не позже дня начала его действия.

Структура СКП

Сертификат электронной подписи вмещает:

  1. Порядковый номер, который ему присвоен.
  2. Указание срока применения.
  3. Ключ проверки.
  4. Название средств ЭЦП, стандартов, ГОСТов, нормам которых должны удовлетворять ключ, ключ проверки и СКП подписи.
  5. Название, адрес центра-издателя.
  6. Если таковые имеются – запреты применения СКП в некоторых сферах или для отдельных целей.
  7. Данные о хозяине СКП:
  • для граждан РФ и иностранцев:
    • ФИО (отчество не указывается, если в документе, подтверждающем личность, оно отсутствует по причине национальных особенностей) и место проживания;
    • номер личного счета СНИЛС хозяина сертификата;
  • для предприятий и учреждений:
    • полное название с указанием организационно-правовой формы, юридического и фактического адреса;
    • ФИО подписанта-представителя с обозначением реквизитов документа – основания для такого представительства (устав, приказ о назначении на должность, доверенность);
    • ОГРН, ИНН.

Бумажный вариант сертификата ключа проверки электронно-цифровой подписи обеспечивает:

  • воспроизведение данных СКП ЭЦП в виде, пригодном для прочтения без применения каких-либо устройств;
  • описание имеющихся в сертификате данных о названиях, личных именах, месте регистрации, сфере использования русским языком;

приспособленность для осуществления контроля взаимосвязи СКП ЭЦП в цифровой и бумажной формах.

Нововведения

28.06.2014 года отдельные положения действующего федерального акта «Об ЭЦП» 2011 года касательно СКП ЭЦП были изменены.

Раньше при изготовлении сертификата юридическому лицу следовало обязательно указать сведения о человеке, действующем от него на основе должностных полномочий или доверенности.

Сейчас в СКП, используемых для автоматической проверки ЭП в большинстве телекоммуникационных систем, допустимо опускать ведомости о наемном работнике. То есть владельцем СКП ЭП считается непосредственно юридическое лицо. Это очень удобно.

Если раньше впервые назначенный сотрудник должен был получить квалифицированный сертификат и средства электронной подписи от аккредитованного УЦ, то теперь достаточно выдачи локального акта руководством учреждения.

Передача СКП ЭП от предыдущего держателя может быть произведена по акту или расписке.

До Федерального закона от 30 декабря 2015 г. N 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» каждый УЦ, после прохождения аккредитации САМ выпускал себе ключевую пару (открытый и закрытый ключи УЦ) и сертификат проверки ключа электронной подписи (далее сертификат).

Основной особенностью сертификата было то, что он был выпущен самим УЦ и подписан его подписью (такой вариант сертификата называется «самоподписанный»).

Далее этот сертификат предоставлялся оператору Головного удостоверяющего центра Российской федерации, где данный самоподписанный сертификат включался в доверенные и ГУЦ публиковался на портале ГУЦ как доверенный.

В результате для того, чтобы два пользователя с сертификатами двух разных УЦ доверяли друг другу, им было необходимо добавить сертификаты УЦ друг друга в доверенные.

После изменений в законе УЦ запрещается указывать в создаваемом им сертификате ключа проверки электронной подписи ключ проверки электронной подписи, который содержится в сертификате ключа проверки электронной подписи, выданном этому УЦ любым другим удостоверяющим центром.

То есть УЦ теперь запрещено самостоятельно генерировать себе «самоподписанные» сертификаты.

Кроме этого, УЦ для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган.

Аккредитованному удостоверяющему центру запрещается использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами.

В результате теперь неважно, кем выдан сертификат вашего ключа ЭП, так как все сертификаты проверки ключа ЭП позволяют построить цепочки сертификатов до Головного Удостоверяющего центра. И все, что остается пользователю, – иметь в доверенных только сертификат ГУЦ.

Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных ЭП и квалифицированных сертификатов.

Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами или информационных систем общего пользования, не вправе требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах.

Ведомствам-издателям сертификатов запрещено вносить в них дополнительные поля и требования их обязательности. Таким образом, имея единственную квалифицированную ЭП, вы можете быть авторизованы и использовать все государственные информационные системы.

Прекращение действия сертификата

СКП останавливает свое действие:

  • планово – по окончании срока его действия, а это обычно один год;
  • по желанию собственника ЭП, аргументировать которое он не обязан;
  • в ситуации, когда удостоверяющий центр как учреждение или предприниматель ликвидируется или официально приостанавливает деятельность и ни один из действующих УЦ не стал его правопреемником.

Сведения об окончании действия СКП подлежат оглашению через процедуру внесения соответствующих данных в специализированный реестр. Эта операция должна быть проведена на протяжении одного рабочего дня с момента, когда наступило одно из вышеперечисленных обстоятельств. За ее проведение ответственен УЦ, изготовивший сертификат.

Реально действие СКП прекращается с момента внесения соответственных данных в реестр сертификатов.

Законом РФ «Об ЭЦП» также установлено, что УЦ, изготовивший и выдавший сертификат либо его правопреемник обязан отменить сертификат ключа электронной цифровой подписи путем внесения соответствующей записи в реестр сертификатов в случае вынесения об этом судебного постановления.

Закон отдельно выписал обязанность УЦ произвести это действие и в случае, если основанием для решения Фемиды стало то, что выданный УЦ сертификат содержит недостоверные данные.

Если недостоверные сведения внесены в сертификат ключа электронной подписи по вине заявителя, УЦ не понесет ответственности.

Если же имела место ошибка или недосмотр самого УЦ, ему грозит внеплановая проверка ФСБ с применением соответствующих санкций.

Следует отметить, что использование аннулированного сертификата ключа проверки, как правило, не имеет юридических последствий, кроме тех, которые непосредственно связанны с фактом его отмены. УЦ обязан предупредить собственника СКП о предстоящем аннулировании путем отправки соответствующего сообщения рекомендованным письмом либо посредством электронного документооборота.

Источник: http://documentooborot.com/podpis/sertifikat-klyucha-proverki-elektronnoj-podpisi.html

Сертификат электронной подписи

Кто и как ведёт реестр сертификатов электронных подписей

Для удостоверения и защиты электронного документа используется электронная подпись – с ее помощью можно идентифицировать владельца сертификата ключа и установить, что информация, предоставленная в электронном виде, не имеет искажений.

Электронные подписи (ЭП) бывают разных видов (ст. 5 закона об ЭП № 63-ФЗ от 06.04.2011):

  • Простая ЭП подтверждает факт составления документа определённым лицом (то есть установить личность того, кто подписал документ);
  • Неквалифицированная усиленная ЭП – тоже позволяет установить лицо, подписавшее документ, а также определить, были ли внесены изменения в документ после его подписания (создается с помощью средств ЭП);
  • Квалифицированная усиленная ЭП содержит все признаки неквалифицированной подписи, плюс – обладает следующими признаками: ключ ее проверки содержится в специальном «документе» (квалифицированный сертификат ключа проверки электронной подписи), а средства, которые используются при создании и проверке подписи, соответствуют требованиям законодательства.

Давайте разберемся, что такое сертификат ключа ЭП, зачем он нужен и каким образом его можно получить.

Сертификат ключа электронной подписи

Сертификат ключа подписи – оформленный на бумаге либо электронный документ, включающий в себя ключ ЭП для подтверждения того, что подпись подлинная, и для определения владельца сертификата ключа.

Сертификат ключа проверки электронной подписи создается и выдается только специальной организацией – удостоверяющим центром (УЦ), который имеет соответствующую аккредитацию.

Сертификат может быть выдан заявителю только при установлении его личности или соответствующих полномочий (если лицо представляет заявителя).

Таким образом, получение сертификата ключа проверки электронной подписи возможно только при установлении личности получателя.

УЦ также устанавливает сроки, в течение которых будет действовать сертификат, аннулирует выданные ранее сертификаты (сертификат электронной подписи может быть аннулирован центром, где был выдан), ведет реестр всех сертификатов, в т.ч. когда-то выданных и уже прекративших свое действие.

Срок хранения сертификата в УЦ определен в договоре, составленном между центром и владельцем сертификата (владелец сертификата ключа проверки электронной подписи – это лицо, которому был выдан созданный специальным УЦ сертификат ключа проверки). Сертификаты ключей подписи действительны в течение ограниченного срока.

Заявление на изготовление сертификата ключа подписи (образец) можно скачать на официальном сайте УЦ – единой формы для данного документа не предусмотрено и каждый центр вправе разработать свой шаблон заявления.

Как распечатать сертификат электронной подписи? Как мы говорили ранее, сертификат может быть выдан как на бумаге, так и в электронном виде. Если сертификат выдан в электронном виде, то владелец сертификата вправе запросить также копию сертификата, оформленную на бумажном носителе (заверенную удостоверяющим центром).

Квалифицированный сертификат электронной подписи содержит следующую информацию:

  • Уникальный номер сертификата, дату, когда сертификат начинает действовать и дату, когда его действие заканчивается;
  • Информацию, которая позволяет установить владельца сертификата. Если сертификат ключа электронной подписи принадлежит юрлицу, то такой информацией будет наименование компании, место ее нахождения, ИНН, ОГРН. Если владельцем сертификата является физлицо, то идентифицирующими данными будут ФИО физлица, если физлицо является предпринимателем – ФИО, ОГРНИП;
  • Сертификат ЭЦП содержит уникальный ключ проверки;
  • Приводится наименование УЦ, выдавшего сертификат;
  • Ограничения при использовании сертификата (если они определены).

Таким образом, чтобы получить сертификат электронной подписи, необходимо обратиться в специальную организацию (УЦ) и предоставить следующие документы:

  • Основной документ удостоверения личности;
  • Если заявитель – физлицо, то необходимо предоставить номер СНИЛС, ИНН. Если заявитель – юрлицо, то необходимо предоставить ОГРН, если заявитель является ИП – номер ОГРНИП;
  • Доверенность или другой документ, который подтвердит полномочия представителя.

Установка сертификата ЭЦП

Если пользователь никогда не работал с электронно-цифровой подписью, то в самом начале работы может возникнуть много вопросов. Как установить сертификат ЭЦП? Необходимо ли устанавливать специальное ПО на персональный компьютер? С чего начинать работу?

Ответы на многие вопросы можно найти на официальном сайте удостоверяющего центра. Обычно УЦ размещает подробные пошаговые инструкции, с чего начинать работу, как отправить сертификат ЭЦП по электронной почте и нужно ли это делать, какое ПО понадобится вам для работы, что необходимо установить на свой ПК и в каком разделе программы содержится та или иная информация.

Как установить корневой сертификат УЦ, выдавшего ЭЦП, зачем это необходимо? Корневой сертификат – это открытый ключ, который позволяет понять, в какой УЦ вы обращались для получения электронной подписи. Корневой сертификат можно получить в удостоверяющем центре на переносном устройстве (диск, флешка) или скачать его на сайте УЦ.

Проверка сертификата ЭЦП

Чтобы убедиться, что электронный документ имеет юридическую силу, необходимо проверить, действительна ли электронная подпись, которой он подписан.

В информационных системах ЭДО, как правило, есть встроенная система проверки, однако в некоторых случаях проверить сертификат электронной подписи придется самостоятельно (если по какой-либо причине участники электронного документооборота взаимодействуют друг с другом вне системы – например, сделка может заключаться без использования системы ЭДО).

Как проверить сертификат ЭЦП? Для этого необходимо обратиться к специальным программам (сервисам), в которых присутствует данная возможность. С помощью специального плагина или сервиса можно установить владельца определенной подписи, а также узнать, действителен ли сертификат.

Уникальный номер сертификата ЭЦП – где посмотреть? Это можно сделать с помощью специального программного обеспечения, которое вам понадобится установить на свой ПК для работы с электронным документооборотом.

Сертификат ключа подписи – определенная последовательность различных символов, которая является уникальной.

Номер сертификата обычно содержатся в специальной вкладке, где можно посмотреть состав сертификата: издателя (УЦ), срок действия, серийный номер.

Источник: https://spmag.ru/articles/sertifikat-elektronnoy-podpisi

Как узнать, есть ли электронная подпись?

Кто и как ведёт реестр сертификатов электронных подписей

Зачем обычному человеку, никогда не работающему с электронными документами узнавать, есть ли у него электронная подпись? Да и сам вопрос звучит странно. Казалось бы — если вы ее не оформляли, значит, ее не существует.

Однако совсем недавно прошла информация об уводе квартир и оформлении микрокредитов на ничего не подозревающих обывателей с помощью ЭП. Так как же защитить от мошенничества свою собственность и персональные данные?

Если вы узнали о противоправных действиях с электронной подписью без вашего ведома, надо сразу обращаться за юридической защитой. Необходимо будет написать заявление о непричастности к этим действиям. Выяснить, в каком удостоверяющем центре был получен сертификат ключа ЭЦП, и отозвать его.

Юристы подскажут форму заявления и сориентируют по организациям, в которые надо будет обратиться. А главное, помогут оперативно отреагировать на случившееся, чтобы минимизировать последствия мошенничества.

Получи первичную консультацию от нескольких компаний бесплатно:
оформи заявку и система подберет подходящие компании!

По этой услуге подключено 25 компаний

Начать подбор в несколько кликов >

Можно ли проверить наличие ЭП?

Проблема в том, что проверить, существует или нет электронная подпись, невозможно. В России работают сотни удостоверяющих центров, выдающих ключи. И пока вам не придет уведомление от налоговой или коллекторов о наличии долга у открытого на ваше имя ООО, вы ничего не узнаете. Пробел в законодательстве очень серьезный — для получения ЭП достаточно скана паспорта и СНИЛС.

Эксперты Росреестра советуют написать обращение в МФЦ с требованием запретить сделки с недвижимостью без личного присутствия.

Однако другие специалисты говорят, что это бесполезно, так как электронная подпись — это и есть эквивалент личного присутствия. Аналогичный запрет можно оформить и в налоговой инспекции.

Это форма 38001 — запрет на регистрацию или внесение изменений в сведения о юридических лицах.

Может быть, получится доказать, что это не вы продали свою квартиру, не вы зарегистрировали стопятьсот ООО и набрали кучу кредитов — для этого вам нужно проанализировать свой интернет-трафик за конкретный день. Если вы вообще не выходили в сеть в этот день — это лучшее доказательство вашей непричастности к сделкам.

Вот, собственно, и все, что пока можно сделать. В общем, как говаривал Льюис Кэрролл: «Всё чудесатее и чудесатее! Всё любопытственнее и любопытственнее! Всё страннее и страннее!»

Как защитить электронную подпись

Пока законодатели ломают голову над внедрением дополнительных механизмов защиты граждан от фальсификации и кражи электронной подписи, мы поговорим о том, как защитить ЭЦП, если вы ее уже получили.

  1. Следите за количеством копий, которые делают в банках или центрах получения документов. Сразу просите уничтожить лишние копии.
  2. Никогда не отправляйте сканы с персональными данными и копиями документов по электронной почте. Даже заархивированные.
  3. Внимательно выбирайте удостоверяющий центр. Он должен быть аккредитован Минкомсвязи. Отказывайтесь от услуг посредников, не несущих никакой ответственности. Требуйте самостоятельного формирования ключа или проведения процедуры в вашем присутствии. Если вам предложили сформировать ключ ЭЦП дистанционно — отказывайтесь от услуг такого центра.
  4. Соблюдайте требования информационной безопасности — никому не доверяйте использовать вашу электронную подпись.
  5. При подозрении на компрометацию ЭЦП аннулируйте ключ проверки.

Если вы долго не используете ЭП, напишите в удостоверяющий центр заявление об отозвании ключа сертификата. Запомните, что электронную подпись нельзя продлить — когда заканчивается срок действия ЭЦП, требуется изготовление нового уникального ключа.

Как проверить электронную подпись

Если вы активно работаете с электронными документами, для вас будет актуальной информация, как проверить электронную подпись контрагента. Это можно сделать с помощью интернет-сервисов, платных/бесплатных программ или плагинов для ПК.

Самый простой и универсальный способ проверить ЭЦП — портал «Госуслуги», его старая версия. Выберите на жестком диске сертификат для проверки и загрузите этот файл в окно. После нажатия кнопки «проверить» вы увидите информацию о результатах тестирования.

Чтобы проверить электронную подпись с помощью программ, достаточно установить на ПК дистрибутив ПО. Самая распространенная бесплатная программа — «КриптоАРМ Старт».

Это ПО предназначено для шифрования и подписи электронных документов. Скачать его можно с официального сайта ООО «Цифровые технологии».

Для проверки ЭП на вкладке «файл» выберите нужный документ или папку и запустите проверку.

Есть плагины для программ Microsoft Office Word и Excel, позволяющие создавать и проверять ЭЦП. Это «КриптоПро Office Signature», его необходимо установить вместе со средством криптографической защиты КриптоПро CSP. Важно, чтобы версия ПО, в котором создана подпись, была совместима с ПО для проверки. Проверить совместимость можно на официальном сайте.

Плагин для PDF — бесплатный КриптоПро PDF. Вместе с ним также устанавливается КриптоПро CSP. Для проверки необходимо открыть электронный документ, на котором нужно поставить подпись. В левой панели кликнуть кнопку Signatures, выбрать ЭП для проверки и в контекстном меню правой кнопки мыши выбрать Validate Signature.

Первые действия при обнаружении мошенничества

Мы написали выше, что, если вы узнали, что кто-то выпустил и использует электронную подпись вместо вас, нужно обращаться за юридической помощью.

Однако специалисты в области информационной защиты рекомендуют сразу писать заявление в Федеральную налоговую службу. Указать в нем, что вы не учреждали организации, что сертификат ключа проверки фальшивый, и вы его никогда не заказывали и не получали.

Параллельно с заявлением в ФНС обратитесь в Минкомсвязи России и сообщите данные об электронной подписи, с помощью которой были зарегистрированы юридические лица или произведены другие мошеннические действия.

Укажите номер сертификата и удостоверяющий центр, где он был выдан. Потребуйте внеплановой проверки этого УЦ. Можно отправить письмо почтой или оставить заявление на сайте министерства.

Источники:

Настройка проверки электронной подписи в PDF

Проверка электронной подписи

Проверка ЭП на Госуслугах

Источник: https://rtiger.com/ru/journal/kak-uznat-est-li-elektronnaya-podpis/

Образец журнала учета и регламента использования в организации ЭЦП

Кто и как ведёт реестр сертификатов электронных подписей

Организации обязаны выполнять требования по обеспечению безопасности хранения, обработки и передачи средств криптографической защиты информации. Требования к хранению и учету электронной подписи и ее средств прописаны в отдельном приказе, а за его невыполнение юридическое лицо может понести наказание вплоть до уголовной ответственности.

Требования по обеспечению безопасности хранения ЭЦП

Требования к журналу учета ЭЦП, а также к документам по информационной безопасности указаны в Приказе от 13.06.2001 г. под номером 152, опубликованном Федеральным агентством правительственной связи и информации (ФАПСИ). Приказ прописывает определения средств криптографической защиты информации, ключевой информации, а также правила по хранению, обработке, передаче данных.

Приказ ФАПСИ от 13 июня 2001 г N 152 

Согласно приказу, электронная подпись в организации должна ставиться на учет, и ее движение (выдача, формирование, передача, установка или уничтожение) также должны быть отслежены документально. Для этой цели и создан журнал учета средств электронной подписи.

Нормативные документы

Помимо приказа ФАПСИ организации должны придерживаться в своей работе с электронной подписью следующий документов:

Все внутренние положения, регламенты и инструкции по использованию средств электронной цифровой подписи должны строиться на этих управляющих документах и отвечать их требованиям.

Общие положения регламента использования ЭЦП в организации

Документ должен включать все принципы использования ЭЦП в организации и содержать следующие разделы:

  • термины и определения;
  • нормативные ссылки;
  • основные положения;
  • требования к использованию ЭЦП;
  • организация работы с носителями ключевой информации;
  • правила получения сертификата ключа ЭЦП;
  • правила предоставления данных о статусе сертификата ЭЦП;
  • порядок использования ЭЦП;
  • условия признания юридической силы ЭЦП;
  • порядок отзыва сертификата ключа ЭЦП;
  • процедура восстановления работы ранее приостановленного сертификата ЭЦП.

Дополнительно к документу указываются ссылки на положения по электронному документообороту, а также на приложения в виде журнала учета электронной подписи, акта уничтожения ключевых носителей и т.д.

Организация работы с носителями ключевой информации

Пользователи, имеющие доступ к средствам электронной подписи, несут ответственность за ее сохранность согласно ФЗ-63. Список лиц, имеющих доступ к носителям ключевой информации, должен быть составлен руководством организации и зафиксирован в журнале учета выдачи электронной подписи.

Руководство организации также обязано назначить сотрудника, ответственного за осуществление электронных взаимодействий со сторонними агентами, и наделить его правом устанавливать электронную подпись соответствующим приказом.

Директор отдела информационной безопасности по согласованию с руководителем организации назначает ответственных за установку на рабочих местах средств для работы с ЭЦП. Контроль за использованием средств электронной подписи, а также за хранение и безопасность ЭЦП ложится на сотрудников компании.

Правила хранения и использования ЭЦП

Носитель электронной цифровой подписи изготавливается в удостоверяющем центре и обслуживается сторонней организацией.

Генерация ключей и их запись на токен (ключевой носитель) происходит на специальном сертифицированном оборудовании с использованием регламентированных технологических процессов.

Формирование ключей ЭЦП, а также их маркировка учитывается в обязательном порядке в журнале учета ЭЦП организации. ЭЦП выдается сотруднику под роспись.

Установка на рабочее место ПО АРМ от КриптоПро призвано гарантировать безопасность ключевой информации. Для возможности восстановления сертификата ключевой подписи в случае поломки носителя создается его копия на персональном компьютере.

Безопасность информации во время копирования информации обеспечивается переносом данных только при помощи ПО «‎АРМ Генерация ключей». Носители ЭЦП маркируются специальными этикетками с номерами, соответствующими записи в журнале выдачи ЭЦП.

Каждому пользователю выдается личный носитель сертификата ЭЦП, содержащий закрытый ключ электронной подписи. Пользователь обязан хранить носители ЭЦП в месте, недоступной сторонним лицам.

Рекомендации по обеспечению безопасности при работе с ЭЦП

На ПК должно быть установлено только лицензионное ПО последней версии. Обновление программного обеспечения обязательное условие безопасного использования средств ЭЦП.

Также на ПК устанавливается антивирусное программное обеспечение с регулярным обновлением, а все съемные носители и файлы, запускаемые из сети, должны проверяться антивирусом перед открытием.

Рекомендуется использовать ограничение IP-диапазона, блокировку сетевых атак и средства фильтрации трафика.

Пример заполнения журнала использования ЭЦП в организации

Работа с электронной подписью должна проводиться с отдельной учетной записи. Аутентификация и идентификация пользователя происходит при помощи логина-пароля.

Все пароли должны быть уникальными и не совпадать с паролями от входа в систему. Плановая смена паролей происходит раз в 60-70 дней, а внеплановая — при выявлении нарушения в использовании носителей ключевой информации.

Для обеспечения информационной безопасности своего рабочего места пользователю запрещается:

  • сообщать пароль третьим лицам от своей учетной записи;
  • оставлять пароль, записанный на бумажном носителе, в общественном месте;
  • выводить пароль на внешние устройства (дисплей, телефон);
  • использовать пароль от учетной записи в интернет-кафе;
  • использовать опцию сохранения пароля от учетной записи в памяти системы ПК.

Ключи шифрования ЭЦП должны храниться только на флэш-носителе. Для работы с ЭЦП флэш-носитель подключают к ПК, а после использования — закрывают программу, вынимают носитель и убирают его в шкаф или сейф. Оставлять носитель ЭЦП на столе во время отсутствия на рабочем месте запрещено.

Если есть подозрение на компрометацию ключа ЭЦП, необходимо срочно обратиться в удостоверяющий центр для приостановки действия сертификата или его отзыва.

Образцы документов

Регламент, а также положение по использованию и хранению электронной цифровой подписи составляются юридическим и IT-отделом исходя из требований приказа ФАПСИ № 152.

Образец для скачивания журнала учета ЭЦП в организации.

Пример регламента использования ЭЦП в организации.

Образец положения по использованию и хранению ЭЦП.

Для всех юридических лиц являются обязательными к выполнению требования Приказа ФАПСИ № 152 по обеспечению безопасности использования электронной цифровой подписи.

Каждая организация должна вести журнал учета ЭЦП в организации по образцу, а также иметь регламент и положение по использованию, обеспечению сохранности и уничтожению ЭЦП.

Документы должны содержать такие разделы, как требования к ЭЦП, организация хранения подписи и правила использования подписи, порядок отзыва сертификата и процедура восстановления ранее приостановленного. Составляются документы юридическим отделом и отделом информационной безопасности исходя из рекомендаций и требования ФАПСИ.



Источник: https://myedo.ru/elektronnaya-podpis/dokumenty/zhurnal-ucheta-ecp-v-organizacii-obrazec

Об электронной подписи

Кто и как ведёт реестр сертификатов электронных подписей

Электронная подпись (ЭП, ранее – электронная цифровая подпись, ЭЦП) используется физическими и юридическими лицами в качестве аналога собственноручной подписи для придания электронному документу юридической силы, равной юридической силе документа на бумажном носителе, подписанного собственноручной подписью правомочного лица и скрепленного печатью.

Электронная подпись формируется в результате преобразования информации с использованием средств криптографической защиты информации (СКЗИ) и позволяет идентифицировать владельца сертификата ключа проверки электронной подписи, а также установить отсутствие искажения информации в электронном документе и проверить принадлежность подписи владельцу сертификата ключа проверки электронной подписи.

Составляющие Электронной подписи

Рутокен – это сертифицированный носитель электронной подписи, предназначенный для ее безопасного хранения.

ПО «Крипто Про» – это криптографическое программное средство, используемое для генерации электронной подписи и работы с электронной подписью.

Сертификат ключа проверки электронной подписи – это электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа.

Виды электронной подписи

Простая – Подтверждает, что документ подписан определенным лицом. Порядок проверки этой подписи устанавливается нормативными правовыми актами или соглашением между участниками обмена. 

Усиленная неквалифицированная – Данная подпись позволяет определить лицо, подписавшее документ, и защитить его от несанкционированного изменения. Подпись выдается УЦ и признается равнозначной собственноручной подписи. 

Усиленная квалифицированная –  Такая подпись выдается только аккредитованным удостоверяющим центром и является гарантом подлинности подписи. К ней прилагается квалифицированный сертификат ключа проверки электронной подписи.

Федеральный закон №63-ФЗ «Об электронной подписи»

Использование электронной подписи регулируется Федеральным законом от 06.04.2011 №63-ФЗ «Об электронной подписи».

Сертификат ключа проверки электронной подписи содержит информацию:

  1. Уникальный серийный номер
  2. Даты начала и окончания срока действия
  3. ФИО владельца сертификата
  4. Должность владельца сертификата, название и местонахождение организации, если электронная подпись изготавливается на юридическое лицо
  5. Наименование и место нахождения УЦ, выдавшего сертификат
  6. Иные сведения в соответствии с требованиями законодательства РФ.

Срок действия ЭП

  1. Срок действия ЭП составляет не менее 1 года.
  2. По истечении срока действия ЭП ее необходимо продлевать.

Кто может получить ЭП?

  1. юридические лица
  2. индивидуальные предприниматели
  3. физические лица

Как получить ЭП?

ЭП выдается удостоверяющим центром или его Регистрационными центрами (точками выдачи).

Функции Удостоверяющего центра

  1. Создает ключи электронной подписи по обращению участников информационной системы с гарантией сохранения в тайне закрытого ключа ЭП;
  2. Устанавливает сроки действия сертификатов ключей проверки электронных подписей;
  3. Приостанавливает и возобновляет действие сертификатов ключей проверки электронных подписей, а также аннулирует их;
  4. Проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  5. Ведет ведение реестра сертификатов ключей проверки электронных подписей, обеспечение его актуальности и возможности свободного доступа к нему участников информационных систем.

В каких случаях ЭП может работать некорректно?

  1. На компьютер не установлен корневой сертификат удостоверяющего центра;
  2. Истекла лицензия Крипто Про CSP;
  3. Истек срок действия электронной подписи;
  4. Нарушен алгоритм подписания документа;
  5. Несовместимость офисных пакетов;
  6. Были внесены изменения в подписанный документ.

При возникновении каких-либо проблем при работе с ЭП необходимо обратиться в удостоверяющий центр, который выпустил ЭП.

Сфера применения электронной подписи

  1. ЭП для электронных торговых площадок
    Сертификат регистрируется в реестре Ассоциации Электронных Торговых Площадок, что позволяет применять ЭП более чем на 100 электронных торговых площадках РФ, включая 6 федеральных операторов торгов
  2. ЭП для электронного документооборота и использования на электронных ресурсах
  3. ЭП для предоставления отчетности в государственные органы и работы на их порталах

Получение ЭП

Перечень необходимых документов:

  • Заявление на изготовление электронной подписи.
  • Документ, подтверждающий полномочия лица, на имя которого выдается электронная подпись: копия приказа о приеме на работу, заверенная печатью и подписью руководителя, доверенность (если электронная подпись изготавливается на сотрудника).
  • В отношении ЭП для ЕГАИС и физических лиц – Копия свидетельства о постановке на учет в налоговом органе, заверенная нотариально, печатью организации и подписью руководителя или Удостоверяющим центром при предъявлении оригинала.
  • Копия паспорта (разворот с фотографией, прописка) уполномоченного лица, заверенная печатью и подписью руководителя или Удостоверяющим центром при предъявлении оригинала.
  • Копия СНИЛС лица, на имя которого выдается электронная подпись, заверенная печатью организации и подписью руководителя или Удостоверяющим центром при предъявлении оригинала.
  • Копия свидетельства о государственной регистрации юридического лица/индивидуального предпринимателя, заверенная нотариально, печатью организации и подписью руководителя или Удостоверяющим центром при предъявлении оригинала (по собственной инициативе клиента).
  • В отношении ЭП для Росреестра необходимо предоставить копию документа, подтверждающего полномочия лица (в соответствии с действующим законодательством Российской Федерации), на которое изготавливается электронная подпись, заверенную печатью организации и подписью руководителя (для юридического лица) или Удостоверяющим центром (для физического лица).

Мы готовы ответить на все Ваши вопросы.

8-800-1000-945

Источник: https://podpis.su/elektronnaya-podpis.html

Поделиться:
Нет комментариев

    Добавить комментарий

    Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.