Получение сертификата ключа проверки электронной подписи. Открытый и закрытый ключ эцп Кто является сертификата ключа проверки электронной подписи

Каждый документ на предприятии, чтобы иметь юридическую силу, обязательно должен быть подписан одним из руководителей. Благодаря современным технологиям, документооборот перешел в электронный режим. В итоге для подписи электронных документов была разработана электронная подпись (ЭП). С ЭП тесно связаны сертификат, который удостоверяет принадлежность подписи определенному лицу, и ключ, состоящий из самой подписи и ключа проверки ЭП.

Что такое сертификат ключа проверки

Сертификат ключа проверки электронной подписи (СКПЭП) — электронный документ, который выдается удостоверяющим центром (УЦ) и подтверждает, что ключ подписи принадлежит владельцу свидетельства. Выдается он аккредитованным удостоверяющим центром на один год, по истечении которого его нужно продлить.

В СКПЭП входит следующая информация:

• уникальный номер квалифицированного свидетельства, дата начала и окончания его действия;
• Ф.И.О. и СНИЛС обладателя сертификата — для физлиц; наименование, место нахождения, ИНН и ОГРН владельца документа — для юрлиц;
• ключ проверки электронной подписи;
• наименование средств электронной подписи и средств УЦ;
• наименование и место нахождения УЦ, номер квалифицированного сертификата, выданного УЦ Минсвязью;
• ограничения использования сертификата, иную информацию о владельце свидетельства.

Например, на сайте Сбербанка можно запросить сертификат онлайн (для ЭП, выданных Сбербанком).

В статье 14 Федерального закона от 06.04.2011 № 63 06.04.2011 № 63 описаны основания для создания и выдачи СКПЭП, а также дан перечень оснований для прекращения действия и случаи аннулирования СКПЭП.

Проверка подлинности

Проверять документы с использованием электронно-цифровой подписи на подлинность необходимо по нескольким причинам:

• определяет достоверность документа;
• идентифицирует личность обладателя подписи;
• владелец может убедиться, что документ не отправлен случайно.

Проверить ЭЦП можно, предоставив свидетельство, подтверждающее, что подпись и сертификат актуальны на момент подачи документов.

Проверить электронную подпись можно двумя способами:

1. Онлайн-проверка ЭЦП, Госуслуги .
2. Контроль ЭЦП через криптограммы, которые устанавливаются на ПК владельца.

Использование первого способа предпочтительнее, т. к. он более универсальный. Для него необходим только компьютер с доступом в Интернет. Но преимущества второго — в безопасности передачи данных и удобстве работы с файлами.
Так выглядит страница проверки ЭП на сайте Госуслуг.

При проверке сертификата ЭЦП можно узнать:

• имя владельца;
• название организации, которое выдало ЭП;
• срок действия документа.

Контроль работоспособности

Чтобы начать работу на торговых площадках, нужно проверить работоспособность ключа ЭЦП: зайти на сайт электронной торговой площадки, найти соответствующий раздел («Проверка ЭЦП») и воспользоваться стандартным механизмом проверки. При необходимости — устранить неполадки и скорректировать настройки браузера, криптопровайдера или токена.

Сначала нужно проверить на работоспособность носитель ключа ЭП:

• вставить носитель (например, ruToken) в USB-порт компьютера;
• ввести адрес сайта ЭТП со специальным сервисом;
• нажать кнопку «Проверить».

Если ошибок не будет обнаружено, можно начинать работу.

Электронная подпись (ЭП) не может работать без сертификата, который помогает проверить ее ключ. Что это за приложение?

Сертификат ключа проверки электронной подписи является:

• частью системы криптографической защиты оцифрованной документации;
• специфическим инструментом, направленным на обеспечение эффективности функционирования системы, которая подтверждает подлинность и авторство документа.

Применение сертификатов ЭП

Открытый ключ применяется для организации защищенного от внешних вмешательств канала связи с хозяином ЭП для:

• аутентификации – проверки принадлежности подписи;
• обеспечения секретности посредством использования алгоритмов криптошифрования;

Применяются два способа организации инфраструктуры таких сертификатов:

• централизованная;
• действующая на основе телекоммуникационных сетей доверия.

Почему это важно? Современные технологии управления информационными ресурсами вывели электронный документооборот на новый технический уровень. Но специализированные информационные системы продолжают базироваться на общедоступных телекоммуникационных сетях, обрабатывающих открытую информацию.

Так, например, интернет является основой для:

• ЕПГУ – общегосударственного портала, с помощью которого население и юридические лица получают широкий спектр административных услуг от органов государственной власти и местного управления;
• электронных площадок для проведения тендеров и торгов, обеспечивающих государственные закупки;
• систем управления денежными средствами, размещенными в финансовых учреждениях типа «клиент-банк»;
• систем подачи отчетности предприятий фискальным и контролирующим структурам.

В связи с этим проблема обеспечения целостности, юридической значимости и достоверности передаваемых данных для пользователей ЭП стоит особенно актуально.

Применяемая терминология

Прежде всего необходимо разобраться в нормативных определениях. Сертификатом ключа проверки (СКП) цифровой подписи называют документ, изданный удостоверяющим центром. Этот документ доказывает, что ключ проверки принадлежит хозяину СКП. Квалифицированный сертификат ключа проверки электронной подписи вполне отвечает определению во всем, кроме требований относительно издателя.

Квалифицированный СКП может выдаваться:

• специализированным властным органом, исполняющим обязанности по организации и контролю над внедрением ЭП в РФ (на данный момент это ФСБ);
• аккредитованным удостоверяющим центром.

В абсолютном большинстве случаев изготовлением СКП ЭЦП занимается удостоверяющий центр (УЦ). Он предоставляет потребителям услуги по:

• производству и передаче СКП заявителям;
• установлению терминов применения СКП;
• отмене действия (аннулирования) изготовленных этим УЦ СКП;
• их сервисному обслуживанию и сопровождению эксплуатации;
• установке программного обеспечения, обеспечивающего надлежащее использование;
• обеспечению онлайн-доступа к сведениям реестра СКП.

Кроме того, УЦ производится сертификация паспортных средств электронной подписи. Применение термина «аккредитованный» к УЦ означает, что в результате проверки ФСБ был установлен факт соответствия персонала, принципов и методов деятельности УЦ требованиям, которые выдвигаются к изготовителям квалифицированных ЭП.

Право на владение

Основными функциями управления СКП ЭП являются их:

• издание;
• отзыв;
• обеспечение криптографической безопасности.

Иметь в своем распоряжении СКП может:

• гражданин РФ, иностранец либо лицо без гражданства, на законных основаниях пребывающее на территории РФ;
• индивидуальный предприниматель;
• предприятие, учреждение.

Сертификат выдается УЦ, изготовившим проверяемую ЭП. Соответственно, квалифицированные СКП выдаются только аккредитованными УЦ. Возможность заявителя получить СКП определяется соглашением между УЦ и собственником ЭП. Именно последний устанавливает круг лиц, которым он предоставляет такое право.

Оно может быть сформулировано в договоре:

Этим же документом определяются сроки изготовления и выдачи СКП, а также вопросы оплаты. За изготовление СКП и его электронный носитель может платить сам заявитель, либо хозяин ЭП.

Порядок изготовления и выдачи

Заявление на получение сертификата ключа проверки электронной подписи должно сопровождаться подачей необходимых документов, подтверждающих:

• личность человека;
• регистрационные данные предприятия или учреждения.

УЦ может выпускать СКП в виде цифровых файлов или традиционных документов. За хозяином сертификата, полученного в электронном виде, всегда сохраняется право в любой момент и без дополнительной оплаты получить его бумажную копию, надлежащим образом заверенную УЦ. Сертификат ключа проверки ЭП действует со дня выдачи, если заявителем не было изъявлено желание определить более позднюю дату, тогда это специально указывается в самом СКП.

Удостоверяющий центр обязан вписать в реестр сертификатов данные о выданном сертификате не позже дня начала его действия.

Структура СКП

Сертификат электронной подписи вмещает:

1. Порядковый номер, который ему присвоен.
2. Указание срока применения.
3. Ключ проверки.
4. Название средств ЭЦП, стандартов, ГОСТов, нормам которых должны удовлетворять ключ, ключ проверки и СКП подписи.
5. Название, адрес центра-издателя.
6. Если таковые имеются – запреты применения СКП в некоторых сферах или для отдельных целей.
7. Данные о хозяине СКП:

• для граждан РФ и иностранцев:
  • ФИО (отчество не указывается, если в документе, подтверждающем личность, оно отсутствует по причине национальных особенностей) и место проживания;
  • номер личного счета СНИЛС хозяина сертификата;
• для предприятий и учреждений:
  • полное название с указанием организационно-правовой формы, юридического и фактического адреса;
  • ФИО подписанта-представителя с обозначением реквизитов документа – основания для такого представительства (устав, приказ о назначении на должность, доверенность);
  • ОГРН, ИНН.

Бумажный вариант сертификата ключа проверки электронно-цифровой подписи обеспечивает:

• воспроизведение данных СКП ЭЦП в виде, пригодном для прочтения без применения каких-либо устройств;
• описание имеющихся в сертификате данных о названиях, личных именах, месте регистрации, сфере использования русским языком;

приспособленность для осуществления контроля взаимосвязи СКП ЭЦП в цифровой и бумажной формах.

Нововведения

28.06.2014 года отдельные положения действующего федерального акта «Об ЭЦП» 2011 года касательно СКП ЭЦП были изменены. Раньше при изготовлении сертификата юридическому лицу следовало обязательно указать сведения о человеке, действующем от него на основе должностных полномочий или доверенности. Сейчас в СКП, используемых для автоматической проверки ЭП в большинстве телекоммуникационных систем, допустимо опускать ведомости о наемном работнике. То есть владельцем СКП ЭП считается непосредственно юридическое лицо. Это очень удобно.

Если раньше впервые назначенный сотрудник должен был получить квалифицированный сертификат и средства электронной подписи от аккредитованного УЦ, то теперь достаточно выдачи локального акта руководством учреждения.

Передача СКП ЭП от предыдущего держателя может быть произведена по акту или расписке.

До Федерального закона от 30 декабря 2015 г. N 445-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» каждый УЦ, после прохождения аккредитации САМ выпускал себе ключевую пару (открытый и закрытый ключи УЦ) и сертификат проверки ключа электронной подписи (далее сертификат). Основной особенностью сертификата было то, что он был выпущен самим УЦ и подписан его подписью (такой вариант сертификата называется «самоподписанный»). Далее этот сертификат предоставлялся оператору Головного удостоверяющего центра Российской федерации, где данный самоподписанный сертификат включался в доверенные и ГУЦ публиковался на портале ГУЦ как доверенный.

В результате для того, чтобы два пользователя с сертификатами двух разных УЦ доверяли друг другу, им было необходимо добавить сертификаты УЦ друг друга в доверенные.

После изменений в законе УЦ запрещается указывать в создаваемом им сертификате ключа проверки электронной подписи ключ проверки электронной подписи, который содержится в сертификате ключа проверки электронной подписи, выданном этому УЦ любым другим удостоверяющим центром. То есть УЦ теперь запрещено самостоятельно генерировать себе «самоподписанные» сертификаты. Кроме этого, УЦ для подписания от своего имени квалифицированных сертификатов обязан использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган.

Аккредитованному удостоверяющему центру запрещается использовать квалифицированную электронную подпись, основанную на квалифицированном сертификате, выданном ему головным удостоверяющим центром, функции которого осуществляет уполномоченный федеральный орган, для подписания сертификатов, не являющихся квалифицированными сертификатами.

В результате теперь неважно, кем выдан сертификат вашего ключа ЭП, так как все сертификаты проверки ключа ЭП позволяют построить цепочки сертификатов до Головного Удостоверяющего центра. И все, что остается пользователю, – иметь в доверенных только сертификат ГУЦ.

Аккредитованный удостоверяющий центр не вправе наделять третьих лиц полномочиями по созданию ключей квалифицированных ЭП и квалифицированных сертификатов.

Операторы государственных и муниципальных информационных систем, а также информационных систем, использование которых предусмотрено нормативными правовыми актами или информационных систем общего пользования, не вправе требовать наличие в квалифицированном сертификате информации, ограничивающей его применение в иных информационных системах.

Ведомствам-издателям сертификатов запрещено вносить в них дополнительные поля и требования их обязательности. Таким образом, имея единственную квалифицированную ЭП, вы можете быть авторизованы и использовать все государственные информационные системы.

Прекращение действия сертификата

СКП останавливает свое действие:

• планово – по окончании срока его действия, а это обычно один год;
• по желанию собственника ЭП, аргументировать которое он не обязан;
• в ситуации, когда удостоверяющий центр как учреждение или предприниматель ликвидируется или официально приостанавливает деятельность и ни один из действующих УЦ не стал его правопреемником.

Сведения об окончании действия СКП подлежат оглашению через процедуру внесения соответствующих данных в специализированный реестр. Эта операция должна быть проведена на протяжении одного рабочего дня с момента, когда наступило одно из вышеперечисленных обстоятельств. За ее проведение ответственен УЦ, изготовивший сертификат.

Реально действие СКП прекращается с момента внесения соответственных данных в реестр сертификатов.

Законом РФ «Об ЭЦП» также установлено, что УЦ, изготовивший и выдавший сертификат либо его правопреемник обязан отменить сертификат ключа электронной цифровой подписи путем внесения соответствующей записи в реестр сертификатов в случае вынесения об этом судебного постановления.

Закон отдельно выписал обязанность УЦ произвести это действие и в случае, если основанием для решения Фемиды стало то, что выданный УЦ сертификат содержит недостоверные данные. Если недостоверные сведения внесены в сертификат ключа электронной подписи по вине заявителя, УЦ не понесет ответственности. Если же имела место ошибка или недосмотр самого УЦ, ему грозит внеплановая проверка ФСБ с применением соответствующих санкций.

Следует отметить, что использование аннулированного сертификата ключа проверки, как правило, не имеет юридических последствий, кроме тех, которые непосредственно связанны с фактом его отмены. УЦ обязан предупредить собственника СКП о предстоящем аннулировании путем отправки соответствующего сообщения рекомендованным письмом либо посредством электронного документооборота.

В се больше российских предприятий внедряют у себя системы электронного документооборота, уже на собственном опыте оценивая преимущества данной технологии работы с документами. Электронный обмен данными осуществляется посредством информационных систем, компьютерных сетей, Интернета, электронной почты и множества других средств.

А электронная подпись - это реквизит электронного документа, предназначенный для защиты информации от подделки.

Использование электронной подписи позволяет:

• принимать участие в электронных торгах, аукционах и тендерах;
• выстраивать взаимоотношения с населением, организациями и властными структурами на современной основе, более эффективно, с наименьшими издержками;
• расширить географию своего бизнеса, совершая в удаленном режиме различные, в том числе экономические, операции с партнерами из любых регионов России;
• значительно сократить время, затрачиваемое на оформление сделки и обмен документацией;
• построить корпоративную систему обмена электронными документами (являясь одним из ее элементов).

С использованием электронной подписи работа по схеме «разработка проекта в электронном виде - создание бумажной копии для подписи - пересылка бумажной копии с подписью - рассмотрение бумажной копии» уходит в прошлое. Теперь все можно делать в электронном виде!

Разновидности электронной подписи

Установлены следующие виды , которые регулируются : простая электронная подпись и усиленная электронная подпись. При этом усиленная электронная подпись может быть квалифицированной и неквалифицированной.

Таблица

Чем различаются между собой 3 вида электронной подписи

Свернуть Показать

Любую электронную подпись подделать очень сложно. А с усиленной квалифицированной подписью (самой защищенной из трех) при современном уровне вычислительных мощностей и требуемых временных ресурсов это сделать просто невозможно.

Простые и неквалифицированные подписи на электронном документе заменяют бумажный документ, подписанный собственноручной подписью, в случаях, оговоренных законом или по согласию сторон . Усиленная квалифицированная подпись может рассматриваться как аналог документа с печатью (т.е. «сгодится» для любых случаев ).

Электронный документ с квалифицированной подписью заменяет бумажный документ во всех случаях, за исключением тех, когда закон требует наличия документа исключительно на бумаге. Например, с помощью таких подписей граждане могут обращаться в государственные органы для получения государственных и муниципальных услуг, а органы государственной власти могут отправлять сообщения гражданам и взаимодействовать друг с другом через информационные системы.

Закрытым ключом подписываем, открытым - проверяем электронную подпись

Чтобы иметь возможность подписывать документы электронной подписью, необходимо иметь:

• ключ ЭП (так называемый закрытый ключ) - с его помощью создается электронная подпись для документа;
• сертификат ключа проверки ЭП (открытый ключ ЭП) - с его помощью проверяется подлинность электронной подписи, т.е. подтверждается принадлежность ЭП определенному лицу.

Организации, которые осуществляют функции по созданию и выдаче сертификатов ключей проверки ЭП, а также ряд иных функций, называются удостоверяющими центрами .

В процессе создания сертификата ключа проверки ЭП каждому пользователю генерируются ключ ЭП и ключ проверки ЭП. Оба этих ключа хранятся в файлах. Для того чтобы никто, кроме владельца подписи, не мог воспользоваться ключом ЭП, его обычно записывают на защищенный ключевой носитель (как правило, совместно с ключом проверки электронной подписи). Его так же, как банковскую карточку, для дополнительной защиты снабжают PIN-кодом . И точно так же, как при операциях с картой, перед тем как воспользоваться ключом для создания электронной подписи, необходимо ввести правильное значение PIN-кода (см. Рисунок).

Защищенные ключевые носители изготавливаются различными производителями и обычно внешне напоминают флэш-карту. Именно обеспечение пользователем конфиденциальности своего ключа ЭП гарантирует отсутствие возможности у злоумышленников подписать документ от имени владельца сертификата.

Для обеспечения конфиденциальности ключа ЭП необходимо выполнять рекомендации по хранению и использованию ключа ЭП, содержащиеся в документации, как правило, выдаваемой пользователям в удостоверяющем центре, - и вы будете защищены от неправомерных действий, совершаемых с ключом электронной подписи от вашего имени. Лучше всего, если ваш закрытый ключ будет доступен исключительно вам. Эту идею очень важно донести до каждого владельца ключа. Лучше всего этого добиться путем издания инструктивных материалов на данный счет и ознакомления с ними сотрудников под подпись.

Рисунок

Программа запрашивает пароль (PIN-код) для того, чтобы подписать документ электронной подписью при помощи ключа ЭП, содержащегося на подключенной к компьютеру «флэшке»

Свернуть Показать

Пример 1

Фрагмент Руководства по обеспечению безопасности использования квалифицированной электронной подписи ОАО «Электронная Москва»

Свернуть Показать

При создании электронной подписи средства электронной подписи должны:

1. показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает;
2. создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;
3. однозначно показывать, что электронная подпись создана.

При проверке электронной подписи средства электронной подписи должны:

1. показывать содержание электронного документа, подписанного электронной подписью;
2. показывать информацию о внесении изменений в подписанный электронной подписью электронный документ;
3. указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы.

Сертификат ключа проверки ЭП содержит всю необходимую информацию для проверки электронной подписи. Данные сертификата открыты и публичны. Обычно сертификаты хранятся в хранилище операционной системы в изготовившем его удостоверяющем центре бессрочно (точно так же, как и нотариус хранит всю необходимую информацию о человеке, выполнившем у него нотариальное действие). В соответствии с положениями Закона № 63-ФЗ удостоверяющий центр , изготовивший сертификат ключа проверки электронной подписи, обязан предоставлять безвозмездно любому лицу по его обращению информацию , содержащуюся в реестре сертификатов, в т.ч. информацию об аннулировании сертификата ключа проверки электронной подписи.

Свернуть Показать

Олег Комарский , IT-специалист

Удостоверяющий центр, выдавший электронную подпись, хранит сертификат ключа проверки этой ЭП бессрочно, точнее, в течение всего времени своего существования. Пока удостоверяющий центр работает, проблем нет, но т.к. центр является коммерческой организацией, он может прекратить свое существование. Таким образом, в случае прекращения деятельности УЦ возникает возможность потери информации о сертификатах, тогда электронные документы, подписанные электронными подписями, выданными закрывшимся УЦ, могут потерять свою юридическую значимость.

В связи с этим планируется создание своего рода государственного хранилища сертификатов (как действующих, так и отозванных). Это будет что-то вроде государственного нотариального центра, где будут храниться данные о всех сертификатах. Но пока такая информация хранится в УЦ бессрочно.

Что нужно учесть работодателю при оснащении своих сотрудников электронными подписями?

В сертификате ключа ЭП обязательно есть информация о Ф.И.О. его владельца , также есть возможность включения дополнительной информации, такой, как название компании и должность . Кроме того, в сертификате могут быть прописаны объектные идентификаторы (OID) , определяющие отношения, при осуществлении которых электронный документ, подписанный ЭП, будет иметь юридическое значение. Например, в OID может быть прописано, что работник имеет право размещать информацию на торговой площадке, но не может подписывать договоры. Т.е. с помощью OID можно разграничивать уровень ответственности и полномочий.

Существуют свои тонкости передачи полномочий при увольнении или переходе работников на другую должность. Их следует учитывать.

Пример 2

Свернуть Показать

При увольнении коммерческого директора Иванова, подписывавшего документы электронной подписью, для нового человека, сменившего Иванова в этом кресле, нужно заказывать новый ключевой носитель для работы с ЭП. Ведь не может Петров подписывать документы подписью Иванова (хоть и электронной).

Обычно при увольнении организуется перевыпуск ключей ЭП; как правило, для этого работники сами посещают удостоверяющий центр. Организация, оплачивающая выпуск ключей, тоже является владельцем ключа, поэтому она имеет право приостанавливать действие сертификата. Таким образом минимизируются риски: исключается ситуация, когда уволенный работник мог бы подписывать документы от имени прежнего работодателя.

Свернуть Показать

Наталья Храмцовская , к.и.н., ведущий эксперт по управлению документацией компании «ЭОС», эксперт ИСО, член ГУД и ARMA International

Эффективная деловая деятельность организации зависит от многих факторов. Одним из ключевых элементов всей системы управления является принцип взаимозаменяемости сотрудников. Следует заранее подумать о том, кто подменит сотрудников, временно не исполняющих свои должностные обязанности из-за болезни, командировки, отпуска и т.д. Если ваша организация имеет дело с подписанием документов электронными подписями, этот аспект нужно учитывать отдельно. Тот, кто пренебрежительно относится к данному организационному вопросу, рискует нарваться на серьезные неприятности.

Показательным в данном смысле является дело № А56-51106/2011, которое рассматривал Арбитражный суд города Санкт-Петербурга и Ленинградской области в январе 2012 года.

Как возникла проблема:

• ООО «Сбытовое Объединение «Тверьнефтепродукт» в июле 2011 года подало единственную заявку на участие в открытом аукционе в электронной форме на поставку бензина по топливным картам для Верхне-Волжского отделения Федерального государственного бюджетного научного учреждения «Государственный научно-исследовательский институт озерного и речного рыбного хозяйства» (ФГНУ «ГосНИОРХ»). Аукционная комиссия заказчика приняла решение о заключении государственного контракта с единственным участником аукциона.
• Проект государственного контракта был направлен заказчиком оператору электронной площадки 12 июля 2011 года, а тот передал его в ООО. В установленный законодательством срок ООО не направило оператору электронной площадки проект контракта, подписанный электронной подписью лица, имеющего право действовать от имени участника размещения заказа, т.к. это должностное лицо было на больничном.
• В июле 2011 года Санкт-Петербургским Управлением Федеральной антимонопольной службы (УФАС) были рассмотрены представленные заказчиком сведения об уклонении ООО от заключения контракта и было принято решение о включении того в реестр недобросовестных поставщиков.

Не согласившись с решением УФАС, ООО обратилось в суд. Все три судебные инстанции сочли ООО виновным в уклонении от заключения контракта. А в последней инстанции в октябре 2012 года выплыло, что ООО обращалось к заказчику 10 августа 2011 года и в качестве причины неподписания контракта называло не болезнь своего сотрудника, а его халатность.

Другой интересный случай произошел при подписании государственного контракта электронной подписью неуполномоченного лица. Это дело Арбитражный суд Калужской области рассматривал в сентябре 2011 года (дело №А23-2637/2011).

Обстоятельства были таковы:

• В марте 2011 года ООО «СЭЛ ТЕХСТРОЙ» было признано победителем открытого аукциона. К этому моменту в ООО произошла смена генерального директора: прежний гендир В. стал заместителем нового гендиректора П. Но новому генеральному директору еще не успели оформить ЭЦП. Поэтому 14.03.2011 решили «упростить себе жизнь» и подписать госконтракт при помощи ЭЦП ушедшего со своего поста В. Однако главная ошибка была в том, что В. подписал документ как генеральный директор ООО «СЭЛ ТЕХСТРОЙ».
• Сведения об освобождении от должности генерального директора В. и назначении генеральным директором П., а также доверенность на осуществление действий от имени участника размещения заказа, выданная В. уже как заместителю генерального директора, были размещены на сайте электронной торговой площадки только 24.03.2011, т.е. после подписания и направления контракта заказчику.
• Эту оплошность заметил заказчик, посчитав, что контракт подписан неуполномоченным лицом, и в апреле 2011 года обратился в УФАС. В результате УФАС включило ООО в реестр недобросовестных поставщиков сроком на 2 года из-за уклонения от заключения госконтракта.

При рассмотрении данного дела в первой судебной инстанции суд отметил, что новый генеральный директор общества П. в своих объяснениях УФАС, во-первых, подтвердил готовность к подписанию госконтракта, во-вторых, признал допущенную ошибку, не оспаривая при этом полномочий В., указанных в доверенности. Кроме того, факт размещения доверенности на официальном сайте электронной площадки, пусть и с опозданием, был расценен судом как активные действия общества по устранению допущенной ошибки. В результате Арбитражный суд обязал УФАС исключить ООО из реестра недобросовестных поставщиков. В декабре 2011 года Двадцатый арбитражный апелляционный суд поддержал позицию суда первой инстанции.

Но Федеральный арбитражный суд Центрального округа в марте 2012 года рассудил иначе. По его мнению, 14.03.2011 В. использовал ЭЦП с нарушением положений ст. 4 Федерального закона «Об электронной цифровой подписи» и условий, указанных в сертификате ключа подписи (ведь электронный документ с ЭЦП, не соответствующей условиям, внесенным в сертификат, не имеет юридического значения). В итоге суд сделал вывод о том, что государственный контракт был подписан неуполномоченным лицом, и признал правомерным решение УФАС о признании ООО недобросовестным поставщиком.

Аналогичные дела часто рассматриваются судами. То директор, обладающий сертификатом ключа ЭП и имеющий право подписывать документы от имени общества, увольняется, а новый директор не успевает изготовить себе ЭП и вовремя подписать контракт. То пытаются подписать документы подписью уже уволившегося сотрудника (или переведенного на иную должность в той же организации). То возникают проблемы с халатностью сотрудников или их болезнью (как в первом из описанных случаев), и опять вовремя не успевают делегировать полномочия другому лицу и оформить ему ЭП. А результат один - организация попадает в список недобросовестных поставщиков и лишается права заключения контрактов, финансируемых из бюджета.

Получение работником организации ключа ЭП, обеспечение его сохранности и действия с ним обычно регламентируются приказом по организации с утверждением инструктивных материалов. В них определяется порядок применения ключей ЭП для подписания документов, получения, замены, аннулирования сертификата ключа проверки ЭП, а также действия, выполняемые при компрометации ключа ЭП. Последние аналогичны действиям, выполняемым при потере банковской карты.

Как выбрать удостоверяющий центр?

Законом № 63-ФЗ предусмотрено разделение удостоверяющих центров на прошедших и не прошедших процедуру аккредитации (сейчас ее осуществляет Министерство связи и массовых коммуникаций РФ). Аккредитованному удостоверяющему центру выдается соответствующее свидетельство, и для получения квалифицированного сертификата ключа проверки ЭП необходимо обращаться именно в такой УЦ. Неаккредитованные УЦ могут выдавать только другие виды подписей.

При выборе УЦ следует учитывать, что не каждый из них использует все возможные криптопровайдеры. То есть, если партнерам, организующим электронный документооборот, нужны электронные подписи, сгенерированные с использованием конкретного криптопровайдера, то следует выбирать удостоверяющий центр, работающий именно с данным средством криптографической защиты информации (СКЗИ).

Процедура получения ЭП и необходимые документы

Чтобы организовать обмен электронными документами между организациями, необходимо выполнить следующие действия:

• определить цели и специфику документооборота между вашей и другой организацией. Это должно быть оформлено в виде соглашения или договора, в котором определяются и регламентируются операции и состав документов с электронной подписью, передаваемых в электронном виде (такие типовые договоры подписывают, например, банки с клиентами, разрешая пользоваться системой клиент-банк);
• совершить обмен сертификатами ключей проверки ЭП лиц, документы за подписью которых будут передаваться между организациями. Понятно, что получить такие сертификаты партнеры могут не только друг от друга, но и от удостоверяющего центра, осуществившего выпуск данных сертификатов;
• выпустить внутренние инструкции, регламентирующие порядок передачи и приема электронных документов другой организации, включая порядок проверки электронной подписи полученных документов и действия в случае выявления факта внесения изменений в документ после подписания его электронной подписью.

Для изготовления ключей электронной подписи и сертификатов ключей проверки ЭП пользователи должны предоставить в удостоверяющий центр заявительные документы, документацию, подтверждающую достоверность информации, подлежащую включению в сертификат ключа проверки ЭП, а также соответствующие доверенности.

Для обеспечения должного уровня идентификации пользователя процедура получения сертификатов ключей проверки ЭП требует личного присутствия его владельца.

Правда, есть и исключения. Например, сегодня для сотрудников государственных и бюджетных организаций, а также работников органов исполнительной власти города Москвы удостоверяющим центром ОАО «Электронная Москва» разработана система массовой выдачи сертификатов ключей проверки электронной подписи (СКПЭП), которая при сохранении высокого уровня достоверности идентификации пользователя позволяет сделать необязательным посещение удостоверяющего центра каждым сотрудником лично, что существенно сокращает денежные и временные затраты организации по сравнению с выдачей СКПЭП, организованной по традиционной схеме.

Сколько стоит электронная подпись?

Ошибочно считать, что удостоверяющий центр просто продает носители для хранения ключей и сертификатов, услуга является комплексной, и носитель с ключевой информацией является одной из составляющих. Стоимость полного пакета электронной подписи зависит от:

• региона;
• ценовой политики удостоверяющего центра;
• разновидности подписи и области ее применения.

Как правило, в этот пакет входят:

• услуги удостоверяющего центра по изготовлению сертификата ключа проверки ЭП;
• передача прав использования соответствующего программного обеспечения (СКЗИ);
• обеспечение получателя необходимым программным средством для работы;
• поставка защищенного ключевого носителя;
• техническая поддержка пользователей.

В среднем стоимость варьируется от 3 000 до 20 000 рублей на полный пакет с одним носителем ключевой информации. Понятно, что при заказе организацией десятка или сотни сертификатов ключей для своих сотрудников цена на одного «подписанта» будет существенно ниже. Перевыпуск ключей осуществляется через год.

В настоящее время в России обращение электронных документов с использованием электронной подписи стремительно набирает обороты. Электронную подпись широко внедряют как в государственных организациях, так и на предприятиях частного бизнеса. При этом необходимо учитывать, что разные виды ЭП имеют разную стоимость, что документ, заверенный ЭП, является юридически значимым, поэтому передача ключевых носителей вместе с PIN-кодом другим лицам недопустима.

Самое важное: электронная подпись существенно экономит время, избавляя от бумажной волокиты, что крайне актуально в условиях жесткой конкуренции и при удаленном расположении партнеров.

Проблема пока остается только в плоскости подтверждения подлинности такой подписи и документа с ней на протяжении его длительного срока хранения.

Сноски

Свернуть Показать

Сертификат ЭЦП - это ключевой компонент электронной подписи, без которого она будет считаться недействительной. Как выглядит этот сертификат и где его получить, какова продолжительность его действия? Ответы на эти и другие вопросы уже подготовлены для вас в нашей статье.

Сертификат открытого ключа проверки электронной цифровой подписи - что это, каково его назначение

Основное назначение сертификата ключа проверки электронной подписи - это подтверждение того, что электронная подпись принадлежит какому-то определенному лицу, так называемому владельцу электронной подписи. Практически сертификат - это своего рода паспорт владельца электронной подписи, в котором указаны фамилия, имя, отчество, СНИЛС - если владелец ЭЦП является физлицом. Или наименование, адрес нахождения, ИНН, ОГРН, если владелец подписи - организация.

Сертификат ЭЦП с присвоенным ему уникальным номером предоставляется удостоверяющим центром в электронном виде или на бумажном носителе.

Выбор сертификата ключа проверки электронной подписи

Выделяют квалифицированный и неквалифицированный сертификаты ЭЦП. Их различие в первую очередь состоит в функциональности. К примеру, электронную подпись с неквалифицированным сертификатом могут применить либо физлица - при работе с личным кабинетом налогоплательщика, либо фирмы-поставщики - при участии в электронных торгах.

Электронная подпись с квалифицированным сертификатом имеет более широкий спектр действия: начиная со входа на портал Госуслуг и заканчивая подписанием любых юридически значимых документов, не требующих обязательного бумажного оформления с ручной подписью.

Как сделать неквалифицированный сертификат ключа электронной подписи

Неквалифицированный сертификат выдается любым удостоверяющим центром на платной основе. Он также может быть сформирован любым опытным IT-специалистом при создании ЭЦП с помощью криптографических программ.

Как создать квалифицированный сертификат ЭЦП

Самостоятельно создать ЭЦП с квалифицированным сертификатом не получится. Квалифицированный сертификат выдается только аккредитованными удостоверяющими центрами. Поэтому для его получения придется обратиться в один из таких центров с заявлением на выдачу сертификата.

Подробнее узнать о назначении квалифицированной подписи и порядке ее получения вы можете в нашей статье .

Заявление на сертификат ключа проверки электронной подписи - образец заполнения

Заявление на выдачу сертификата оформляется в виде приложения к договору на приобретение сертификата ключа ЭЦП. Бланк для заполнения данного заявления у каждого аккредитованного центра свой, но сведения, вносимые в него, одинаковы.

Чтобы наглядно увидеть, как примерно выглядит этот документ и какие сведения понадобятся для его заполнения, мы подготовили для вас образец уже заполненного заявления (см. ниже).

Продление сертификата ЭЦП

Срок сертификатов ЭЦП, выдаваемых удостоверяющими центрами, ограничен и составляет 12 месяцев (год) независимо от того, квалифицированный сертификат или неквалифицированный. Некоторые крупные аккредитованные центры могут оформить сертификат на 15 месяцев. Но не более. Как только установленный срок сертификата истечет, электронная подпись станет недействительной.

Если планируется применять электронную подпись после окончания установленного срока сертификата, то необходимо подать заявление на продление срока его действия в удостоверяющий центр, выдавший этот сертификат, оформить допсоглашение и оплатить выставленный центром счет.

Как обновить сертификат ЭЦП

После оформления соглашения и оплаты счета ехать в удостоверяющий центр и забирать обновленный сертификат не надо. Современные технологии позволяют обновлять сертификаты, не покидая рабочего места. У каждого аккредитованного центра свой механизм обновления сертификатов, описание которого обычно представлено на сайте центра в довольно подробном виде с иллюстрациями.

Перевыпуск сертификата ЭЦП

Иногда возникают ситуации, когда владелец электронной подписи теряет USB-носитель, меняет свои личные или юридические реквизиты или же законодательство вносит изменения в требования к электронным подписям. В таких случаях понадобится перевыпуск сертификата. В большинстве случаев эта услуга предоставляется удостоверяющими центрами на платной основе. И лишний раз менять реквизиты или терять USB-ключи финансово невыгодно. Правда, некоторые удостоверяющие центры предлагают услугу «Сопровождение сертификата», которая позволяет до определенного числа за период действия сертификата перевыпускать его за более низкую стоимость.

В случае перевыпуска сертификата ЭЦП просто обновить его не получится - придется устанавливать заново. Для установки нового сертификата понадобится программа КриптоПро CSP, находящаяся в меню «Пуск» - «Настройки» - «Панель управления». В этой программе на вкладке «Сервис» установить новый сертификат можно либо через кнопку «Просмотреть сертификаты в контейнере…», либо через кнопку «Установить личный сертификат…». Далее нужно следовать указаниям программы. Дополнительно можно воспользоваться подробными инструкциями, предоставляемыми сайтами аккредитованных центров.

Как удалить старые сертификаты ЭЦП

Удалить старые сертификаты ЭЦП будет намного проще, чем установить или обновить новые. Для этого нужно зайти в программу «Сертификаты» через меню «Пуск» - «Программы» - «Крипто-Про», открыть подпапку «Личное», выбрать старый сертификат, нажать правой клавишей мыши и из появившегося меню выбрать функцию «Удалить». Сертификат будет удален.

Но специалисты не рекомендуют этого делать, так как устаревшие сертификаты могут понадобиться для просмотра ранее подписанных документов и отчетов. Например, при удалении старых сертификатов просмотреть отчеты и письма, переданные с их помощью через ТКС, уже будет нельзя. И придется обращаться в аккредитованные центры с просьбой предоставить удаленные сертификаты.

Чтобы старые сертификаты сохранились в электронном виде, но и не появлялись в списке действующих сертификатов, достаточно вместо удаления сертификата открыть его двойным щелчком левой клавиши мыши и в появившемся окне на вкладке «Состав» нажать на кнопку «Свойства». В новом окошке переставить точечку на «Разрешить только следующие назначения» и убрать галочку «Проверка подлинности клиента». Таким образом старый сертификат сохранится, но и мешать при использовании действующих сертификатов уже не будет.

Где посмотреть уникальный номер сертификата ЭЦП

Для входа в личный кабинет налогоплательщика ЮЛ, настройки обмена юридически значимыми документами с банками и другими контрагентами понадобится уникальный номер сертификата ЭЦП. Для того чтобы посмотреть этот номер, нужно произвести несколько несложных действий, наглядно показанных на рисунке ниже.

Как долго надо хранить сертификат ЭЦП

Нужно ли владельцу электронной подписи хранить сертификаты ЭЦП после истечения срока их действия? Да, желательно сохранить их у себя в электронном или бумажном виде, так как они могут пригодиться в любой момент для подтверждения юридической значимости ранее подписанных с помощью них документов. При определении срока хранения сертификата ЭЦП можно ориентироваться на установленные законодательством сроки хранения документов в бумажном виде. Ознакомиться с ними вы можете в нашей статье .

Но еще раз напомним, что это лишь рекомендация для владельцев ЭЦП. Обязанность хранить сертификаты законодательно закреплена за выдавшими их аккредитованными удостоверяющими центрами (п. 1 ст. 15 закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ). Период хранения выданных сертификатов ограничен только сроком деятельности аккредитованного центра. То есть пока аккредитованный цент работает - можно в любой момент запросить у него информацию о ранее выданных сертификатах. Но как только удостоверяющий центр прекращает свою деятельность - обязанность по хранению сертификатов с него снимается.

В будущем планируется перевести хранение всех выданных сертификатов под контроль единой государственной базы, чтобы минимизировать риск их утери в случае прекращения деятельности аккредитованных центров. Но пока такой системы хранения нет, поэтому негласно ответственность за сохранность сертификата полностью лежит на его владельце.

Причины отзыва сертификата ЭЦП

Помимо аннулирования сертификата ЭЦП в связи с окончанием срока его действия и его отзыва владельцем электронной подписи есть еще несколько причин, по которым сертификат может стать недействительным (п. 6, п. 6.1 ст. 14 закона № 63-ФЗ):

• ликвидация аккредитованного центра в случае, если его функции не были переданы другим удостоверяющим центрам;
• владелец сертификата владеет ключом ЭЦП, не соответствующим ключу ЭЦП, зарегистрированному в выданном сертификате;
• оформленная сертификатом электронная подпись уже используется под другим сертификатом;
• вынесено судебное решение о недостоверности информации, внесенной в сертификат ЭЦП;
• иные случаи, установленные законодательством или соглашением между аккредитованным центром и владельцем сертификата.

Итоги

Таким образом, сертификат является неотъемлемой частью ключа электронной подписи, подтверждает подлинность и достоверность этого ключа, выступает в качестве его юридически значимого документального сопровождения. При отсутствии сертификата ключ ЭЦП будет считаться недействительным.

С переходом к цифровому документообороту многих людей, особенно представителей организаций, волнует вопрос – а как же подписывать сведения, передаваемые через Интернет? Для этого каждому отправителю цифровой документации необходимо лишь оформить получение сертификата ключа проверки электронной подписи . Это делается после обращения в уполномоченные центры, либо к их представителям, имеющим право выдачи. Выдача документа органами, обладающими необходимыми полномочиями, подтверждает, что у сертификата есть реальный владелец, имеющий право на совершение определенных операций.

Заключает в себе данные о своем владельце, собранные в отдельный файл, составляемый при создании ЭП. Документ, выдаваемый УЦ, либо его представителями, имеющими право выдачи, называется квалифицированный сертификат ключа проверки электронной подписи . Это свидетельство удостоверяет личность участника обмена цифровыми данными. В нем перечисляются:

• День, когда сертификат ЭЦП начинает и заканчивает свое действие.
• Идентификационные сведения: ФЛ предоставляют СНИЛС и ФИО, ЮЛ – ОГРН, название, ИНН и местонахождение.
• Код, проверяющий ЭП.
• Название конкретной ЭП или стандартные законодательные требования, предписывающие правила генерации средств шифрования подписанных сведений.
• Название центра либо представителя, которые выдали сертификат ключа электронной подписи .
• Сведения, без указания которых сертификат ЭП не проверится.

Ключ проверки электронной подписи работает, как и сама ЭП, ровно год со дня выдачи. Затем его нужно заново переоформить в центрах или у представителей, имеющих право выдачи документа. Если сертификат ключа подписи заключает в себе устаревшие сведения (физлицо сменило имя/ фамилию, организация – наименование, либо руководителя), то он также становится недействительным и его нужно получить снова. Такой же порядок действует, если вдруг закрытый ключ окажется скомпрометированным.

Продолжим определение понятий. 63-ФЗ устанавливает, что владелец сертификата ключа проверки электронной подписи – это физлицо, либо юрлицо, в особом порядке оформившее вышеупомянутое свидетельство. И, проставляя подпись под передаваемыми в цифровой форме данными, отправитель именно при помощи алгоритма ЭП удостоверяет их подлинность. Сам ключ подразделяется на два вида: закрытый (ключ ЭП) и открытый ключ сертификата ЭЦП (ключ проверки электронной подписи).

Купить подпись

Перед обращением за оформлением ЭЦП каждый потенциальный заказчик должен понять, как пользоваться сертификатом ключа проверки электронной подписи , и для каких конкретных действий она нужна. Итак, как говорилось выше, для удостоверения передаваемой документации применяются два ключа: ЗК (при помощи которого данные подписываются) и ОК (позволяющий расшифровать ЭЦП и увидеть, кому она принадлежит). Создаются ЗК и ОК в то же время, что и генерируется сертификат ключа ЭЦП, и удостоверяющие центры записывают все полученные данные на особое внешнее устройство (на первый взгляд напоминающее флеш-карту). Информация надежно ограничивает доступ посторонних лиц при помощи пин-кода, который необходимо вводить, прежде чем подписывать электронный документ. Подобная защита гарантирует, что сертификат подписи не попадет в руки злоумышленникам, и важное содержимое документов не будет потеряно. Но это, конечно, обеспечивается только тогда, когда само лицо, в чьих руках находится сертификат ключа ЭЦП , сохраняет в секрете все сведения.

Для того чтобы обучить владельцев ЭП правильно обращаться с секретными средствами шифрования данных, руководителю предприятия необходимо организовать обязательный подробный инструктаж. Физлица смогут ознакомиться с подобными понятиями самостоятельно, найдя информацию в Сети, либо в уполномоченном центре, когда будут получать сертификат цифровой подписи .

Электронная подпись подразделяется на несколько разновидностей, применяемых в конкретных ситуациях. Поэтому, прежде чем решить, как получить сертификат ключа проверки электронной подписи , продумайте, для каких целей вам необходима ЭЦП. Если вам нужен аналог документа, просто собственноручно подписанного, то вам достаточно оформить простую, либо неквалифицированную усиленную ЭЦП. Документ с печатью заменяется квалифицированной усиленной подписью.

Продолжим тему. Квалифицированный сертификат ключа имеет особое содержание, отвечающее требованиям, предъявленным ФСБ (приказ №795). В нем содержатся различные дополнения к ФЗ, не допускающие несанкционированное применение хранящихся данных. В частности, имеется дополнение keyUsage, согласно правилам которого квалифицированный сертификат ключа проверки ЭП не вправе применяться, если какой-либо из флагов дополнения keyUsage не стоит в нужном положении. Уполномоченные центры бессрочно хранят каждый выдаваемый сертификат открытого ключа электронной подписи и допускают к этим сведениям лиц, проверяющих подлинность ЭП отправителя документации. Но УЦ – коммерческие предприятия и способны закрыться в любой момент, а документы, подписанные ЭЦП, станут недействительными, так как невозможно будет проверить сертификат. Поэтому со временем планируется создать государственную базу информации, в которой бессрочно будут храниться все выдаваемые сертификаты.

Решив, зачем вам нужна электронная подпись в конкретном случае, подумайте, где получить сертификат ключа проверки электронной подписи . При проживании в крупных городах России проблемы нет – у вас, наверняка, имеется уполномоченный центр, занимающийся оформлением ЭП, либо его доверенные представители. Обратитесь с заявлением, и вам изготовят и выдадут особый носитель с закрытым ключом, и сертификат с открытым.

Назначение сертификата электронной подписи состоит в установлении личности отправителя документа. Он содержит особый набор символов. При проверке сличаются зашифрованные данные документации, подписанной ЭЦП, и код, который находится в сертификате электронной подписи. Они должны совпадать, что говорит о том, что подпись принадлежит конкретной личности.

Квалификационный сертификат ЭП оформляется и выдается после предоставления паспорта и приравненных к нему документов. На специализированном оборудовании с применением особых алгоритмов криптографии создаются ОК и ЗК и сертификат проверки электронной подписи. Гражданин либо представитель организации получает носитель с ЭЦП. Его очень важно сохранять в строжайшем секрете и гарантировать отсутствие возможности использования посторонними лицами. Это делается, чтобы предотвратить мошенничество и подделку важной информации. Ведь документы, заверенные ЭЦП, обладают такой же силой, что и бумажные (заверенные печатями и подписями), за исключением случаев, когда необходима только привычная печатная либо рукописная форма.

Также лицу, владеющему ЭЦП, выдается копия сертификата электронной подписи, оригинал которого хранится в уполномоченном центре.

Если вы часто получаете документацию от посторонних лиц, у вас может возникнуть необходимость проверки открытого ключа. Для этого существуют специальные сервисы, например, IECP. Перейдите по ссылке и в специальном поле выберите сертификат ключа проверки электронной подписи , который нужно проверить. Обязательно проставьте отметку, что вы не робот, иначе сайт не допустит вас к просмотру данных.

После получения всех шифрующих средств в аккредитованных центрах либо у их представителей нужно установить ЭЦП на компьютер и научиться обращаться с ней самому (ФЛ), либо обучить своих подчиненных (ЮЛ). При наличии определенных навыков вы сможете самостоятельно установить софт и загрузить данные, которые нужны для подписания и проверки.

Благодаря написанному выше вы теперь знакомы с основными понятиями, связанными с получением и применением цифровой подписи, а также знаете, где можно получить современные средства защиты важных сведений. Как бы мы ни привыкли к бумажной форме документации, всеобщая компьютеризация предъявляет свои требования, и, чтобы идти в ногу со временем и облегчить свою трудовую деятельность, им необходимо соответствовать.