Электронная подпись для чайников: с чем ее есть и как не подавиться. Часть 2. Электронная подпись внутренняя


отсоединенная, присоединенная и внутри документа — Удостоверяющий центр СКБ Контур

Электронная подпись может быть по-разному связана с подписанным документом. В статье рассмотрим три варианта, их отличия и особенности использования.

Присоединенная электронная подпись

При создании присоединенной подписи создается новый файл, в который помещается подписываемый документ и подпись к нему. Этот процесс можно сравнить с запечатанным конвертом  с документом внутри. с подписанными данными. Этот файл можно копировать, пересылать по почте и т.п.

Нужно учесть, что без специальных криптографических программ невозможно прочитать содержимое подписанного файла. Точно так же, как нельзя извлечь содержимое конверта, не вскрыв его.

Если вы получаете такой  документ вне информационных систем, в которых уже есть механизмы проверки, нужно использовать программу, которая умеет проверять подпись и «извлекать» подписанный файл, чтобы его можно было прочитать. В программу нужно будет загрузить единый файл, который содержит и документ, и подпись.

Отсоединенная электронная подпись

Отсоединенная подпись формируется в отдельном  от подписываемого документа файле. Файл подписи называется так же, как  подписанный документ и имеет расширение.sig или.sgn). Хранить и пересылать нужно оба эти файла, переименовывать их нельзя.

При этом сам подписываемый файл достается доступным для чтения без криптографических программ. Они нужны, только чтобы проверить действительность подписи. Чтобы проверить подпись, нужно загрузить в программу и подписанный файл, и  файл с электронной подписью.

Электронная подпись внутри данных

Электронную подпись внутри документа можно создать только в определенном приложении, например Microsoft Word или Acrobat Reader. В этом случае подпись генерируется как метаданные и только по желанию владельца можно создать на документе поле с подписью.

Очень сложно проверить подлинность подписи вне приложения, в котором она была создана.

Если вам необходимо самостоятельно создать электронную подпись, уточните требования системы, которой вы подписываете документ. Например, чтобы отправить документы в Росреестр или Арбитраж, требует подписывать документы отсоединенной подписью в формате.sig.

ca.kontur.ru

Простая электронная подпись может быть использована для внутреннего ЭДО

Главная → Статьи → Простая электронная подпись может быть использована для внутреннего ЭДО

 

Организация применяет общую систему налогообложения, занимается оптовой торговлей геодезическим оборудованием. У организации есть два обособленных подразделения в других городах России. Для оперативного решения проблем в учете организация использует ксерокопии первичных документов, полученные от сотрудников подразделений (авансовые отчеты, заявления на перевод подотчетных сумм, списание материальных ценностей для собственных нужд и др.). Документы подписываются простой электронной подписью. Такую возможность дает бухгалтерская программа. Затем отслеживается приход оригинальных документов. Возможно ли в целях налогового учета использовать электронный документооборот и электронную подпись в программном обеспечении организации (без обращения в специализированные удостоверяющие организации)?

 

Документальное подтверждение расходов является одним из обязательных условий для их признания в целях налогообложения прибыли.

Под документально подтвержденными расходами в соответствии с абзацем 4 п. 1 ст. 252 НК РФ понимаются затраты, подтвержденные документами, оформленными, в частности, в соответствии с законодательством РФ.

НК РФ не предъявляет каких-либо конкретных требований к оформлению документов, а также не устанавливает особенностей, в соответствии с которыми определенные документы должны оформляться исключительно на бумажном носителе (письмо Минфина России от 02.09.2014 № 03-03-06/1/43920).

Поскольку в налоговом законодательстве не приведено понятие первичных документов, на основании ст. 11 НК РФ следует использовать определения из других отраслей законодательства. В соответствии со ст. 9 Федерального закона от 06.12.2011 № 402-ФЗ “О бухгалтерском учете” (далее – Закон № 402-ФЗ) формы первичных учетных документов определяет руководитель экономического субъекта по представлению должностного лица, на которое возложено ведение бухгалтерского учета. Они должны содержать обязательные реквизиты, предусмотренные в п. 2 ст. 9 Закона № 402-ФЗ (смотрите также письма Минфина России от 19.01.2015 № 03-03-06/1/879, от 05.12.2014 № 03-03-06/1/62458).

К числу таких обязательных реквизитов Закон № 402-ФЗ относит подпись (подписи) лица (лиц), совершившего (совершивших) сделку, операцию и ответственного (ответственных) за ее оформление, с указанием его (их) фамилий и инициалов либо иных реквизитов, необходимых для идентификации этого лица (этих лиц).

Часть 5 ст. 9 Закона № 402-ФЗ предусматривает, что первичный учетный документ может составляться в виде электронного документа, подписанного электронной подписью.

Виды электронных подписей, используемых для подписания документов бухгалтерского учета, устанавливаются федеральными стандартами бухгалтерского учета (п. 4 части 3 ст. 21 Закона 402-ФЗ).

По мнению финансового ведомства (письмо Минфина России от 05.05.2015 № 07-01-06/25701) до принятия соответствующего федерального стандарта бухгалтерского учета организация может в целях бухгалтерского учета и налогообложения использовать при оформлении первичных учетных документов в электронном виде любой предусмотренный Федеральным законом от 06.04.2011 № 63-ФЗ “Об электронной подписи” (далее – Закон № 63-ФЗ) вид электронной подписи.

Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия. Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных неквалифицированной электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать порядок проверки электронной подписи (часть 2 ст. 6 Закона № 63-ФЗ).

Принимая во внимание приведенные нормы Закона № 63-ФЗ, специалисты налогового ведомства приходят к выводу, что электронный документооборот с применением, в том числе, простой электронной подписи может быть организован хозяйствующими субъектами при наличии между ними юридически действительного соглашения.

При этом в целях подтверждения расходов по налогу на прибыль аутентичность электронного первичного документа, подписанного простой электронной подписью, должна быть обеспечена наличием в соответствующем соглашении между контрагентами порядка проверки электронных подписей. Данное мнение нашло отражение в письме ФНС России от 19.05.2016 № СД-4-3/8904 (смотрите также письмо ФНС России от 17.01.2014 № ПА-4-6/489).

В свою очередь, в письмах Минфина России от 30.05.2016 № 03-03-06/1/31061, от 05.05.2015 № 07-01-06/25701, от 04.08.2015 № 03-03-06/44905 говорится, что электронные документы, обращающиеся в рамках соглашений между участниками электронного взаимодействия, подписанные простой электронной подписью, признаются для целей бухгалтерского учета и налогообложения равнозначными документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных соглашением.

Обобщая сказанное, можно сделать вывод, что согласно позиции официальных органов в настоящее время электронные документы, подписанные простой электронной подписью, признаются для целей бухгалтерского учета и налогообложения равнозначными документам на бумажном носителе, подписанным собственноручной подписью, в случаях, установленных соглашением участников электронного взаимодействия.

Как мы поняли, в анализируемом случае речь идет о внутренних документах организации (авансовых отчетах, актах на списание материальных ценностей и пр.).

По нашему мнению, сказанное выше справедливо и в отношении внутренних документов организации. Таким образом, полагаем, что Ваша организация вправе использовать в целях налогообложения прибыли внутренние документы, составленные в электронном виде и подписанные простой электронной подписью.

Считаем, что с этой целью организации следует издать соответствующий приказ о введении электронного документооборота, а также утвердить положение или правила об электронном документообороте. В них возможно указать, например, перечень документов, оформляемых в электронном виде, порядок их обработки, рассмотрения, перечень должностей сотрудников, участвующих в электронном документообороте.

Соответствующие положения об использовании документов в электронном виде, подписанных простой электронной подписью, по определенным хозяйственным операциям должны содержаться и в учетной политике организации.

Разъяснениями уполномоченных органов, а также судебными решениями применительно к рассматриваемой ситуации мы не располагаем.

Косвенно о возможности использования внутреннего электронного документооборота свидетельствует письмо Минфина России от 12.04.2013 № 03-03-07/12250, в котором работники финансового ведомства, не ответив прямо на вопрос о возможности составления авансового отчета в электронной форме с подписанием его электронной подписью, указали, что информация в электронной форме, подписанная простой электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью.

 

Ответ подготовил: Завьялов Кирилл, эксперт службы Правового консалтинга ГАРАНТ, аудитор, член РСАКонтроль качества ответа: Королева Елена, рецензент службы Правового консалтинга ГАРАНТ

 

Свежие новости цифровой экономики на нашем канале в Телеграм 

 

Нужна электронная подпись?  Достаточно оставить заявку. Мы поможем выбрать нужный в вашем случае тип сертификата электронной подписи, расскажем как его применить и предоставим другие дополнительные услуги. Оставить заявку >>

 

Хотите перейти на ЭДО? Поможем организовать юридически значимый документооборот с применением электронной подписи.  Оставить заявку >>

 

www.garantexpress.ru

Выпустить ЭП для внутреннего документооборота

Электронную подпись можно использовать не только для отправки отчетов и утверждения документов, но и для документооборота внутри компании. Сотрудник может подписывать приказы на отпуск, инструкции по технике безопасности и прочие документы неквалифицированной электронной подписью для внутреннего документооборота. Чтобы выпустить такую подпись:

  1. В карточке сотрудника откройте вкладку «Права и подписи» и перейдите в реестр «Подписи».

  2. Нажмите «Получить новую» и выберите «Для внутреннего документооборота».

  3. В открывшейся заявке в блоке «Организация» укажите юридическое лицо, в котором трудоустроен сотрудник. ФИО и e-mail владельца подписи заполнятся автоматически по данным карточки. Укажите должность сотрудника.
  4. Выберите способ хранения электронной подписи и нажмите  Получить подпись .

  5. Если вы выбрали хранение подписи на внешнем носителе, то вставьте его в компьютер и следуйте инструкции. Иначе переходите к следующему шагу.
  6. В открывшемся бланке сертификата проверьте данные.

  7. Заполните блок «Соглашение об использовании усиленной неквалифицированной электронной подписи».
  8. Распечатайте бланк, подпишите у сотрудника, поставьте печать организации.
  9. По кнопке «Загрузить» добавьте в заявку скан подписанного бланка.
  10. Нажмите  Сертификат верный 

  11. Убедитесь, что в карточке сотрудника появилась запись о действующей неквалифицированной ЭП для внутреннего ЭДО.

Оставьте свой отзыв:

ОТПРАВИТЬ

sbis.ru

Возможность использования простой электронной подписи в юридически значимом электронном документообороте

Использование простой электронной подписи в юридически значимом обмене электронными документами с контрагентами возможно. Для этого необходимо заключить с контрагентом соглашение, в котором будут прописаны правила определения лица, подписывающего электронным документ, а также обязанность лица, создающего и (или) использующего ключ простой ЭП, соблюдать его конфиденциальность.

Однако следует иметь в виду следующее:

1. При обмене документами, содержащими государственную тайну, использование простой ЭП недопустимо. Для этого необходимо использовать усиленную электронную подпись.

2. При представлении документов в ФНС по требованию, документы, подписанные простой ЭП, не будут признаны юридически значимыми. Для данных документов необходимо использовать квалифицированную электронную подпись (электронную цифровую подпись).

3. Также есть виды документов, для которых есть прямые требования законодательства по использованию определённого типа электронной подписи.

Для обоснования данного ответа необходимо обратиться к законодательству.

ЭП и ЭЦП

На сегодняшний день законодательство разделяет понятия «Электронная цифровая подпись» (далее - ЭЦП) и «Электронная подпись» (далее - ЭП).

Федеральный закон от 13.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее – Закон об ЭЦП) дает понятие ЭЦП: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Указанный Закон будет действовать до 1 июля 2013 года.

Федеральный закон от 06.04.2011  г. № 63-ФЗ «Об электронной подписи» (далее – Закон об ЭП) дает понятие ЭП: электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Также в Законе об ЭП указываются виды ЭП:

●   простая ЭП;

●   усиленная ЭП:

o    неквалифицированная ЭП;

o    квалифицированная ЭП.

В соответствии со ст. 19 Закона об ЭП, сертификаты ключей подписей, выданные в соответствии с Законом об ЭЦП, признаются квалифицированными сертификатами после утраты силы Закона об ЭЦП.

Подписание электронных документов простой ЭП

О признании электронного документа, подписанного простой ЭП, равнозначным документу на бумажном носителе, подписанному собственноручно, что равно юридически значимому документообороту, ст. 6 Закона об ЭП говорит следующее:

«Информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия».

Нормативные правовые акты и соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны соответствовать требованиям статьи 9 Закона об ЭП, а именно:

1. Электронный документ считается подписанным простой электронной подписью при выполнении, в том числе, одного из следующих условий:

1) простая электронная подпись содержится в самом электронном документе;

2) ключ простой электронной подписи применяется в соответствии с правилами, установленными оператором информационной системы, с использованием которой осуществляются создание и (или) отправка электронного документа, и в созданном и (или) отправленном электронном документе содержится информация, указывающая на лицо, от имени которого был создан и (или) отправлен электронный документ.

2. Нормативные правовые акты и (или) соглашения между участниками электронного взаимодействия, устанавливающие случаи признания электронных документов, подписанных простой электронной подписью, равнозначными документам на бумажных носителях, подписанным собственноручной подписью, должны предусматривать, в частности:

1) правила определения лица, подписывающего электронный документ, по его простой электронной подписи;

2) обязанность лица, создающего и (или) использующего ключ простой электронной подписи, соблюдать его конфиденциальность.

3. Использование простой электронной подписи для подписания электронных документов, содержащих сведения, составляющие государственную тайну, или в информационной системе, содержащей сведения, составляющие государственную тайну, не допускается.

Следует также иметь в виду, что если в соответствии с федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или обычаем делового оборота документ должен быть заверен печатью, электронный документ, подписанный усиленной электронной подписью и признаваемый равнозначным документу на бумажном носителе, подписанному собственноручной подписью, признается равнозначным документу на бумажном носителе, подписанному собственноручной подписью и заверенному печатью. Федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия могут быть предусмотрены дополнительные требования к электронному документу в целях признания его равнозначным документу на бумажном носителе, заверенному печатью.

Также необходимо отметить, что ФНС признает юридически значимыми только те документы, которые подписаны квалифицированной электронной подписью (электронной цифровой подписью).

 

ecm-journal.ru

с чем ее есть и как не подавиться. Часть 2 / Хабр

Часть 1

Продолжая раскрывать тайное знание о цифровой подписи простым языком, разберем, что же нам надо для удобной и эффективной работы с ними, а также главное различие между лагерями S/MIME + X.509 и PGP.

Перед тем, как рассматривать особенности этих двух больших лагерей, стоит рассмотреть, какая информация нужна получателю для проверки подписи (а наш зашифрованный хэш уже вполне можно называть подписью), и в каком виде ее можно ему передать.

Каждую из частей информации можно передать вместе с открытым ключом, или вместе с нашей подписью, а можно и с тем и с тем, для большего удобства. Конечно, можно не разделять информацию на передаваемую с открытым ключом и передаваемую с подписью. Но тогда каждый раз отправляя подписанную информацию мы отправляем одно и то же. Как если бы к каждому отправляемому нами бумажному письму (даже короткому, в две строки), мы бы прикладывали дополнение вида «Здравствуйте! Это я, В. Пупкин, которого вы встречали на Красной площади Москвы, где мы и познакомились, потом пошли в ресторан, потом <...>». Согласитесь, слегка неудобно.

Но вернемся к нашей информации, необходимой для проверки подписи. Начнем с простого: информация, которая позволит нам узнать, кто же сделал эту подпись. Как мы уже договорились, ассиметричное шифрование позволяет однозначно связать наш открытый ключ и полученную подпись. Беда в том, что сам по себе открытый ключ – набор байт. При этом он, конечно, связан с закрытым, которым мы (то есть отправитель) владеем, но связь эта для получателя неочевидна. У него есть набор байт от В. Пупкина, от И. Петрова, от С. Сидорова… И от десятка других людей. И как ему их идентифицировать? Держать отдельный реестр для того, кому какой набор байт принадлежит? Это что же, получается уже второй реестр (помимо того, где должно быть записано, с помощью какой хэш-функции какой хэш сделан)! И опять, неудобно!

Значит, надо связать каждый открытый ключ с информацией о том, кому этот ключ принадлежит, и присылать это все одним пакетом. Тогда проблема реестра решается сама собой – пакет (а если более правильно, контейнер) с открытым ключом можно будет просто посмотреть и сразу понять его принадлежность.

Но эту информацию все так же надо связать с подписью, пришедшей получателю. Как это сделать? Надо соорудить еще один контейнер, на сей раз для передачи подписи, и в нем продублировать информацию о том, кто эту подпись создавал. Продолжая нашу аналогию с красивым замком, мы пишем на ключе «Этот ключ открывает замок В. Пупкина». А на замке тоже пишем «Замок В. Пупкина». Имея такую информацию, получатель нашей коробочки не будет каждый из имеющихся у него ключей вставлять наугад в наш замок, а возьмет наш ключ и сразу его откроет.

Теперь, по переданной информации при проверке можно найти контейнер открытого ключа, взять оттуда ключ, расшифровать хэш и…

А собственно, что «и»? Мы ведь пока так и не решили проблему, как донести до получателя информацию о том, какая хэш-функция применялась для хэша, а ведь для проверки подписи эта информация необходима! Решить ее можно достаточно просто: положить эту информацию в контейнер вместе с нашим открытым ключом. Ведь именно связка «хэширование – шифрование результата хеширования» считается процедурой создания цифровой подписи, а ее результат – подписью. А значит, достаточно логичным представляется объединение в связку алгоритма шифрования хэша и хэш-функции, с помощью которой он сформирован. И доставлять эту информацию тоже надо в связке.

Теперь, ненадолго вернемся к информации о подписывающем. Какого рода эта информация должна быть? ФИО? Нет, В. Пупкиных много. ФИО + год рождения? Так и родившихся в один день В. Пупкиных тоже предостаточно! Более того, это может быть Василий, Виктор, или даже Василиса или Виктория Пупкины. Значит, информации должно быть больше. Ее должно быть столько, чтобы совпадение всех параметров, по которым мы идентифицируем человека, было максимально невероятным.

Безусловно, такой пакет информации создать возможно. Вот только, работать с ним уже трудновато. Ведь надо наши контейнеры открытых ключей надо сортировать, хранить, использовать, в конце концов. А если для каждого использования придется указывать по полсотни параметров, то уже на втором контейнере станет понятно, что что-то надо менять. Решение этой проблемы, конечно же, было найдено.

Чтобы понять, в чем же оно заключалось, обратимся к бумажному документу, который есть у всех нас: к паспорту. В нем можно найти и ФИО, и дату рождения, и пол, и много другой информации. Но, главное, в нем можно найти серию и номер. И именно серия и номер являются той уникальной информацией, которую удобно учитывать и сортировать. Кроме того, они существенно короче всей оставшейся информации вместе взятой, и при этом все так же позволяют опознать человека.

Применяя этот же подход к контейнерам открытых ключей, мы получим, что у каждого контейнера должен быть некий номер, последовательность символов, уникальная для него. Эту последовательность символов принято называть идентификатором, а сами контейнеры – сертификатами, либо просто ключами. Вот здесь и начинаются принципиальные различия в идеологиях OpenPGP и S/MIME + X.509. Для краткого понимания их, вернемся к нашей аналогии с паспортом.

Паспорт вы можете использовать при покупках билетов, при оформлении документов, для выдачи пропуска на какую-либо территорию и даже на территории других стран! То есть, вы используете его для идентификации вашей личности в самых различных, зачастую абсолютно не связанных друг с другом, местах, с самыми различными людьми. И везде ваш паспорт принимают. Гарантом того, что вы – это вы выступает третья сторона в ваших взаимоотношениях с другими: государство. Именно оно выдало вам ваш паспорт, специально оформленный, подписанный и заверенный, и именно поэтому ваш паспорт является таким универсальным документом.

С другой стороны, в кругу друзей, или внутри компании вам достаточно представиться так: «В. Пупкин из твоей группы в институте» или же «В. Пупкин из отдела продаж». И людям, с которыми вы контактируете в этом кругу уже не нужна третья сторона, они и так помнят Пупкина из группы с которым проучились пять лет, или Пупкина из отдела продаж, с которым недавно ходили обедать, и предоставленной вами информации им вполне достаточно.

Так же можно разделить и эти два лагеря.

Сертификат X.509 – это аналог нашего паспорта. Здесь сертификаты вам выдаются суровой третьей стороной, гарантом вашей личности: Удостоверяющим Центром (УЦ). Получающий ваши подписи человек всегда может обратиться в УЦ и спросить интересующую его информацию по вот этому конкретному сертификату.

PGP же (и стандарт OpenPGP, появившийся в дальнейшем) создавался на основе так называемых сетей доверия. Такая идея подразумевает, что обмениваются подписями люди, которым третья сторона для их взаимоотношений не нужна, а нужна только защита от нехороших лиц.

Конечно, с течением времени такое разделение стало уже достаточно условным, так как на данный момент и в S/MIME+X.509 и в PGP можно использовать методы лагеря соперников. Но все же, стандарты достаточно продолжительное время развивались параллельно и развились до той степени, что взаимная совместимость между ними стала невозможной.

Более популярным стандартном, в силу своей ориентированности на участие более компетентной третьей стороны, стал стандарт S/MIME + X.509, однако и у PGP есть некоторое количество козырей за пазухой, с помощью которых он не только не погибает, но и продолжает успешно развиваться. Более подробное рассмотрение каждого из форматов, а также рекомендации, когда, где и какой из них использовать вы сможете прочитать уже в следующих статьях.

Часть 3

habr.com

Электронная подпись: делопроизводство под защитой криптографии

Электронная подпись — реквизит, обеспечивающий криптографическую защиту передаваемой по незащищенным сетям информации. Такая подпись имеет разные уровни обеспечения безопасности. По ней можно не только однозначно идентифицировать владельца, но и определить целостность переданного по информационным каналам связи документа.

Из статьи вы узнаете:

  • что такое электронная подпись;
  • виды электронной подписи;
  • где используется электронная подпись;
  • где можно получить электронную подпись для юридических лиц и граждан.

Что такое электронная подпись

Повсеместное внедрение компьютерных сетей сделало возможным информационный обмен между пользователями напрямую, без использования промежуточных носителей, в том числе, и бумажных. Но деловое общение, обусловленное производственной деятельностью предприятия, требует постоянного документационного сопровождения и обмена документами при взаимодействии как с партнерами по бизнесу, так и с финансовыми организациями и государственными органами.

С документами, которые представлялись на бумажных носителях, вопрос подлинности решался при помощи выполнения требований к оформлению и заверению. Заверить печатью организации или нотариуса документ, представленный в электронном виде, нельзя. Но информационный обмен между субъектами предпринимательства уже невозможно осуществлять без использования документов, представленных в электронном виде. Именно такой формат обмена обеспечивает оперативность взаимодействия и обработки представляемых данных.

Гарантией подлинности передаваемых в электронном виде документов является электронная цифровая подпись. Это особый реквизит, получаемый в результате криптографического преобразования исходной информации о владельце, гарантирующий отсутствие искажений и правок передаваемого по сети оригинала и подтверждающий принадлежность данной подписи ее владельцу. Электронная подпись (ЭП) позволяет однозначно идентифицировать его и, соответственно, быть уверенным в подлинности полученного документа.

Читайте по теме в электронном журнале

Виды электронной подписи

Применение электронной подписи и правила ее оформления регламентирует Федеральный закон «Об электронной подписи» от 06.04.2011 №63-ФЗ (далее — Закон). В соответствии со ст. 5 данного закона, электронные подписи бывают двух видов:

  • простая электронная подпись;
  • усиленная электронная подпись.

Усиленная подпись, в свою очередь, может быть неквалифицированной или квалифицированной.

Простая электронная подпись позволяет однозначно идентифицировать владельца и подтвердить, что именно этот человек ее сформировал.

Неквалифицированная усиленная электронная цифровая подпись имеет такие характерные признаки:

  • при ее формировании использовался криптографический ключ электронной подписи;
  • она позволяет идентифицировать того, кем был подписан электронный документ;
  • она позволяет определить, вносились ли в документ корректировки и дополнения с того момента, как он был подписан;
  • она сформирована с использованием средств электронной подписи.

Отличительные признаки квалифицированной усиленной электронной подписи:

  • подтверждена квалифицированным сертификатом, в котором указан ключ проверки;
  • при формировании применялись средства электронной подписи, подтвержденные в соответствии с требованиями Закона.

Неквалифицированная электронная подпись может применяться без создания сертификата ключа проверки, но только когда ее соответствие характерным для нее признакам может быть обеспечено без применения проверочного сертификата ключа электронной подписи.

В соответствии со ст. 14 Закона об электронной подписи, сертификат ключа проверки квалифицированной ЭП является документом, который выдается аккредитованными в Минкомсвязи России удостоверяющими центрами. Это обусловлено тем, что при ее использовании применяются средства криптогрфической защиты, прошедшие сертификацию в ФСБ. Благодаря таким мерам квалифицированная электронная подпись является полноценным аналогом собственноручной подписи владельца и отвечает тем требованиям, которые установлены в отношении безопасного доступа к той информации, которая считается конфиденциальной.

Сертификат электронной подписи выдается удостоверяющими центрами в бумажном виде, но, кроме него, владелец поучает два электронных ключа — закрытый и открытый. Закрытый ключ владелец хранит у себя, он используется непосредственно для заверения документов. Вся ответственность за сохранность этого ключа лежит на владельце, который по закону должен хранить этот ключ в тайне.

Открытый ключ предоставляется тем организациям, куда направляются электронные документы. Этим ключом контрагент может проверить подлинность той электронной подписи, которая заверяет присланную по сети информацию.

 

Использование электронной подписи

Простая ЭП — самый распространенный вид защиты информации, реализуемый посредством использования логина и пароля или же только пароля, который в этом случае является одноразовым. Такая личная электронная подпись, как правило, используется физическими лицами и оформляется после подтверждения личности.

Электронная подпись для юридических лиц необходима даже в большей степени. Она дает право доверенному лицу предприятия от его имени в электронных торгах, получая неограниченный доступ к государственным и коммерческим закупкам. Без ЭП ни физическое, ни юридическое лицо не будет аккредитовано на торговой площадке. С ее помощью подтверждается подлинность документов, необходимых для участия в конкурсных торгах. Вид ЭП, необходимой для участников, определяется правилами, установленными для каждой конкретной площадки.

Как секретарю создать электронный архив документов

В настоящее время почти вся установленная отчетность, предоставляемая в контрольно-надзорные ведомства, должна сдаваться в электронном виде. Электронной подписью для юридических лиц заверяются отчеты, которые отправляются по сети интернет. Как правило, для взаимодействия с государственными структурами необходима усиленная квалифицированная ЭП.

Документооборот как внутренний, так и внешний на подавляющем большинстве предприятий осуществляется также в электронном виде. Электронной цифровой подписью заверяются как обычные письма и документы, так и те из них, которые являются юридически значимыми — договоры, соглашения, счета-фактуры и т. п. Какой из видов ЭП будет использоваться для обмена документами с контрагентом, определяется по взаимной договоренности.

Как получить электронную подпись

Оформить личную электронную подпись физические лица могут бесплатно. Простую ЭП можно оформить и использовать для доступа в личный кабинет на портале государственных услуг, а также на официальных сайтах таких федеральных структур, как пенсионный фонд, налоговая служба и пр. Сертификат может хранится в течение года либо на личном компьютере владельца, либо в специальном хранилище ведомства.

Квалифицированная электронная подпись для юридических лиц оформляется любым удостоверяющим центром. Заявителю необходимо будет предоставить:

  • учредительные документы;
  • справку, подтверждающую, что сведения о данном предприятии внесены в ЕГРЮЛ;
  • свидетельство о присвоении ИНН.

Если квалифицированную ЭП потребуется получить гражданину, в удостоверяющий центр он должен явиться лично, предъявив паспорт и свидетельство СНИЛС.

Рекомендуем материалы по теме:

www.sekretariat.ru

Какую электронную подпись выбрать для бизнеса - Блог Эвотора

Что такое электронная подпись

Электронная подпись (ЭП, ЭЦП) — это аналог вашей подписи, но для электронных документов. Она позволяет подтвердить, что именно вы подписали документ.

Подписи бывают трех видов: простая, усиленная неквалифицированная и усиленная квалифицированная. Они отличаются тем, насколько они надежны и где их можно применять.

Простая электронная подпись

63-ФЗрегулирует работу с электронными подписями

К простым электронным подписям (ПЭП) относятся пары «логин-пароль», коды подтверждения и скретч-карты. Их задача — удостоверить, что вы тот, за кого себя выдаете. Например, когда вы расплачиваетесь через интернет, банку нужно подтверждение, что это именно вы переводите деньги. Вам на телефон приходит смс с одноразовым кодом. Если вы ввели этот код, вы подписали чек, но не рукой, а цифрами. Платеж прошел.

Код подтверждения от Альфа-Банка — это ваша простая подпись, поэтому банк предупреждает, чтобы вы никому не говорили этот код. Хранить его в тайне так же важно, как не светить лишний раз паспортные данные

Как получить

Простая подпись формируется программой, в которой вы работаете. По умолчанию, ПЭП не имеет юридической силы и работает просто как указание вашего имени. Логин-пароль от электронной почты — это ваша ПЭП, но она не имеет юридической силы: если хотите подписать договор, нужно что-то посущественнее.

Пример такого соглашения на сайте Ситибанка

Закон может признать ПЭП равнозначной «живой» подписи на документах, если вы составили «Соглашение о простой электронной подписи». Такое соглашение нужно подписать у всех, с кем будете обмениваться документами. Закон не регулирует форму соглашения, но в нем должны быть два пункта:— обязательство соблюдать конфиденциальность;— правила определения подписавшего лица.

Пример такого текста из соглашения Йоты

Обязательство соблюдать конфиденциальность — это текст о том, что владелец подписи должен сделать всё, чтобы злоумышленники не получили доступ к его информации: никому не сообщать свой логин-пароль, не показывать коды и т.п.

Правила определения подписавшего лица — как понять, что подпись настоящая. Подписавшее лицо можно определить двумя способами: договориться об однозначной идентификации или использовать шифрование.

В первом случае в соглашении вы указываете, что определенный электронный адрес или телефон «однозначно идентифицирует отправителя», а хозяин обязан держать все данные для доступа в секрете. Так можно действовать, если у вас на работе есть свой почтовый сервер. Вы пишете в соглашении, что почтовый адрес [email protected] принадлежит Иванову П.П., только он имеет к нему доступ и факт отправки письма с этого адреса равнозначен собственноручной подписи. Это самый простой путь, но и наименее безопасный. Если вы забыли выйти из почты, а кто-то этим воспользовался — это только ваша головная боль.

Пример соглашения о ПЭП в договоре оказания услуг

Второй вариант — это использование в самом документе кода подписи в любом виде: буквы, цифры, штрих-код. Например, вы можете использовать захэшированный код пароля:

Источник: erp-platforma.com

Чтобы создать такой код, нужно придумать пароль и применить к нему хэш-функцию. Это делают специальные сервисы-генераторы, например, SHA1 online. Получится последовательность цифр фиксированной длины — ее и вставляем в письмо. Получатель может проверить подпись с помощью того же сервиса. Так он убедится, что письмо отправили вы. При этом способе последовательность цифр — это аналог вашей подписи от руки на электронном документе. Подробно такой путь описан на хабрахабре.

Что подписать

Простая подпись защищена слабее всех остальных. Она подойдет для внутреннего документооборота, заказа услуг или подтверждения оплаты товаров, но заверить электронный документ для госорганов вы не сможете.

Для бизнеса удобно использовать ПЭП с юридической силой. Например, вы — команда из трех человек, обмениваетесь рабочими документами через почту. Чтобы придать вашей переписке юридическую силу, вам нужно составить и подписать соглашение о ПЭП, а потом во все документы вписывать свой код электронной подписи. Просто и дешево.

Неквалифицированная электронная подпись

Усиленная неквалифицированная электронная подпись (НЭП) — более сложная и защищенная подпись. Она не только подтверждает, что документ подписали именно вы, но и гарантирует, что после вас его никто не изменял.

Как получить

НЭП создает система, в которой вы подписываете документы. Например, если вы — физическое лицо и хотите подавать в ФНС декларации о доходах, налоговая создаст для вас такую подпись бесплатно у себя на сайте. Если вы — юрлицо и хотите отправлять служебки через систему электронного документооборота, эта система создаст подпись. В таком случае за подпись вы не платите — ее стоимость входит в плату за программу документооборота.

Если у вас установлена НЭП, документ можно подписать прямо в ворде, но узнает эту подпись только та система, которая ее выпустила

Что подписать

Неквалифицированная подпись — аналог подписи на документах без печати, то есть документов физических лиц и внутреннего документооборота компании.

НЭП будет работать только в той системе, где ее создали. Это значит, что, если вы получили НЭП на сайте налоговой, использовать ее можно только для взаимодействия с налоговой. Если у вашей компании есть система электронного документооборота, которая генерирует электронные подписи, вы можете подписать документ с помощью НЭП только внутри этой системы.

Квалифицированная электронная подпись

Усиленная квалифицированная электронная подпись (КЭП) — та подпись, которую обычно имеют в виду, когда говорят об ЭЦП и электронном правительстве. Именно такую подпись требуют все госорганы для работы в своих личных кабинетах для подачи отчетов. КЭП — самая защищенная и регламентированная законом подпись: она зашифрована специальными сертифицированными средствами, поэтому госорганы принимают ее на документах юрлиц.

Как получить
456удостоверяющих центров могут выдавать электронные подписи в России

За квалифицированную электронную подпись придется заплатить. Разрешение производить и продавать КЭП есть только у удостоверяющих центров, аккредитованных Минкомсвязи. Эти центры пользуются специальными средствами шифрования, которые утвердила ФСБ — они гарантируют, что взломать вашу подпись невозможно.

Удостоверяющий центр выдает вам сертификат подписи и ключ. Сертификат — это документ, который подтверждает, что ключ действительно принадлежит вам. В нем указаны ваши данные, открытый ключ подписи и сфера применения КЭП — площадки, которые ее принимают. Электронный сертификат устанавливается на компьютер. Ключ — это код, записанный на электронный носитель. Носители могут быть разными: похожими на флешку, карту памяти или банковскую карту с чипом.

Чтобы вы могли подписывать документы, у вас на компьютере должен стоять криптопровайдер — программа-посредник между ЭЦП и операционной системой. Самые известные — КриптоПро CSP и ViPNet CSP. Выбор одной конкретной остается за производителем электронной подписи: этот пункт будет в правилах установки.

Это ключи от разных производителей: КЭП JaCarta, eToken и Рутокен. Они выполняют одинаковые функции, но отличаются требованиями к ПО

Что подписать

С квалифицированной ЭЦП вы можете подписывать любые документы как внутри компании, так и с другими компаниями и госорганами.

Квалифицированная подпись имеет больше прав, чем неквалифированная: если закон говорит, что разрешена неквалифицированная подпись, КЭП вы тоже можете использовать. Например, при проведении госзакупок закон допускает неквалифицированную подпись. Это значит, что вам нужна подпись «не ниже, чем НЭП», то есть простая подпись не подойдет, а квалифированная — вполне.

Некоторые госорганы требуют свою особую подпись с ограниченной сферой применения. Например, Росреестр и Таможенная служба требуют подписи только под них. Если вы попробуете отправить им запрос с другой КЭП, у вас ничего не получится: система выдаст ошибку. Определитесь, куда вы будете отправлять документы, и ищите на сайтах удостоверяющих центров подходящий сертификат.

Сертификат КЭП действителен 12 месяцев. Через год вам придется оплатить его снова или перестать использовать электронную подпись. Учитывайте это, когда планируете график сдачи отчетности.

Некоторые удостоверяющие центры продают комплексную услугу: электронную подпись и программу подачи отчетности. Такая программа дает готовые шаблоны отчетов, напоминает вам, когда пора сдавать отчеты, и отправляет их в госорганы. Еще один плюс таких программ в том, что они позволяют отправлять отчеты даже в те госорганы, которые требуют сертификат с указанной сферой применения. Вместо того, чтобы покупать отдельную подпись для каждого госоргана, можно купить программу и «подпись на все».

Как действовать

  1. Определитесь, для чего вам нужна подпись. Внутренний документооборот можно настроить с простой электронной подписью или с неквалифицированной. Для госорганов нужна КЭП.
  2. Если собираетесь общаться с госорганами через личный кабинет, будьте готовы раз в год оплачивать КЭП.
  3. Определитесь, в какие госорганы вы будете подавать отчеты и внимательно читайте пункт про сферу применения сертификата. Узнавайте, есть ли у удостоверяющего центра один сертификат, который работает с нужными госорганами. Помните, что некоторые госорганы требуют специальной электронной подписи для своего личного кабинета.
  4. Если вы сдаете много отчетов в разные госорганы, спросите в удостоверяющем центре о программах передачи отчетности. В таких программах есть нужные шаблоны для вашей системы налогообложения и график сдачи. Чтобы проверить, подходит ли она именно вам, просите триальную версию или демонстрацию.

blog.evotor.ru