данъци 

Къде се съхранява ecp? За електронния подпис за "начинаещи" Инструкции за правилата за работа с цифрови подписи

Цифровият подпис е нова стъпка в идентификацията и потвърждаването на документи. Какво е тя? На какъв принцип работи? EDS - трудно ли е или не? Ще успее ли да го овладее само или ще се справи според силите си и пенсионерите?

Главна информация

Първо, нека се справим с терминологията. Какво е ECP? Това е специален файл, който се използва за потвърждаване на допустимостта на документи от определени лица. Трябва да се отбележи, че има два вида цифрови подписи – неквалифицирани. В първия случай можете да получите EDS у дома. За да направите това, достатъчно е да използвате специални криптографски програми. Можете да използвате домашно приготвени реквизити за удостоверяване на документи и съобщения между приятели или в рамките на малък бизнес.

Докато квалифицираните цифрови подписи са файлове, създадени от различни организации, които имат необходимия лиценз за това. Най-важната им характеристика е наличието на юридическа сила. Така че за тях има законодателна база, която позволява използването на тези електронни цифрови подписи в държавни и търговски структури. Освен това, благодарение на тях, можете дистанционно да използвате обществени услуги. EDS е ключът към липсата на опашки, бързото и ефективно получаване на отговори и състоянието с човешко лице.

Нека кажем няколко думи за сертификатите

Какво са те? Сертификатът EDS е документ, който се издава на собственика от сертифициращ център, който потвърждава автентичността на дадено лице. Когато се генерира ключ за подпис, лицето или юридическо лицеса запазени. По същество сертификатът EDS е нещо като електронен паспорт.

Обменът на електронни документи с тяхна помощ може да се извърши само ако подписът е валиден. За какъв срок се издава? По правило се създава за година или две. След изтичане на срока на валидност сертификатът може да бъде подновен. Трябва да се отбележи, че в случай на промяна в данните на собственика на ключа, като промяна в името, ръководител на организацията и т.н., файлът трябва да бъде отменен и да бъде издаден нов.

Регистрация и подновяване

За да получите EDS, трябва да попълните специален формуляр, който посочва пощенския адрес и много друга информация. Трябва да се отбележи, че сертификатът може да съдържа почти всякаква информация. Но поради ограничението от година или две, те трябва постоянно да се актуализират. Защо?

Факт е, че информацията, съдържаща се в сертификата, има определен полезен период на уместност. По този начин, колкото повече данни се въвеждат във файл, толкова по-бързо той става невалиден. Поради това е въведено такова ограничение на срока на валидност.

В същото време трябва да знаете, че цялата информация, която е в сертификата за подпис, става публично достъпна. Поради това се препоръчва да се включват възможно най-малко данни. Получаването на EDS също изисква наличието на носител, където ще се съхранява подписът. Като правило в тази роля се използват флаш памети. Ако трябва да подновите своя цифров подпис, трябва да се свържете със съответната институция.

Кой може да издава EDS?

Електронни документи могат да бъдат подписани с вашите домашно приготвени продукти. Но за да имат законна сила, трябва да се свържете с институции с подходяща акредитация. Най-популярно е използването на данъчни услуги. Да, в Руска федерациянай-често за проектиране на EDS те се обръщат към Федералната данъчна служба. Това се дължи както на общото приемане, на широката гама от приложения, така и на факта, че те предоставят подписи безплатно.

Когато се позовавате на други структури, дори държавни, ще трябва да платите няколкостотин или дори хиляди рубли. И предвид факта, че получаването на EDS ще се повтаря всяка година или две, не е изненадващо, че мнозина правят избора си в полза на Федералната данъчна служба. Между другото, ако има желание да отмените вашия цифров подпис, тогава за това трябва да се свържете с организацията, която го е издала, със съответно приложение. Кога може да е необходимо това? Ето кратък списък с най-популярните причини:

  1. Подробностите за организацията са променени.
  2. Упълномощеното лице (собственик на подписа) промени статута си: подаде оставка, отиде за повишение, беше преместен на друга позиция.
  3. Носителят, където е бил съхранен ключът, е повреден и вече не може да се използва.
  4. Подписът е компрометиран.

Какви са ключовете?

И така, вече знаем, че EDS е добър. Но как се проверява автентичността на файл? За целта се формират два ключа (определени поредици от знаци). Значи има:

  1. Затворен (частен, таен) ключ. Това е уникална последователност от знаци, която участва във формирането на подписа. Той е достъпен само за собственика му и е известен изключително на него.
  2. публичен ключ. Криптографски инструмент, който е достъпен за всеки. Използва се за проверка на цифровия подпис.

Как да приложим цифров подпис към документ?

И сега към основното. Как да подпиша ЕЦП изискуем документ? Това изисква специална програма, която ще мига необходимия файл, въвеждайки в него цифров подпис. Ако документът е поне по някакъв начин променен, тогава EDS ще бъде изтрит.

Като пример, нека разгледаме линията CryptoPro от криптографски програми. Може да се използва както за създаване, така и за подписване на EDS документ. Благодарение на това се извършва разработването, производството, разпространението и поддръжката на криптографски защитени файлове.

Къде да съхранявате EDS?

За тази цел (с увеличаване на надеждността) може да се използва компютърен твърд диск, DVD, обикновена флашка или токен. Но в такива случаи може да възникне ситуация, когато някой външен има достъп електронно- цифров подписи го използвайте във ваш ущърб.

Най-често срещаното е използването на флаш устройство. Поради малкия си размер, можете лесно да го носите със себе си, а използването му не отнема много време. По-сигурен, но по-малко популярен метод за съхранение е токенът. Това е името на миниатюрно устройство, което има комплекс от хардуер и софтуер, което гарантира, че информацията няма да попадне в грешни ръце.

Също така, токенът може да се използва за получаване на защитен отдалечен достъп до данни и защита на електронната кореспонденция от любопитни очи. Външно прилича на обикновена флаш памет. Неговата характеристика е наличието на защитена памет, така че трета страна няма да може да чете информация от токена. Това устройство може да реши цял набор от проблеми със сигурността в областта на удостоверяването и криптографията.

Най-накрая

В днешно време при работа с документи хората често използват хартиен формуляр, който изисква подписа ни с химикал. Но тъй като използването на електронни файлове се разпространява, необходимостта от EDS ще нараства. С течение на времето ще бъде трудно да си представим дейността и дейността на човек без този инструмент.

Вероятно цифровият подпис в крайна сметка ще се превърне в пълноправен електронен паспорт, чието значение трудно може да бъде надценено. Но в този случай въпросите за сигурността на данните ще бъдат остри. Не бива да се забравя, че най-уязвимият фактор във всяка техническа система сега е човек. За да се предотврати попадането на EDS в ръцете на натрапници, които го използват за вреда, е необходимо постоянно да се повишава тяхната информираност и умения за използване на технологични продукти.

Все повече руски предприятия внедряват системи за електронно управление на документи, като вече оценяват предимствата на тази технология за работа с документи от собствения си опит. Електронен обмен на данни се осъществява чрез информационни системи, компютърни мрежи, интернет, електронна пощаи много други средства.

А електронният подпис е атрибут на електронен документ, предназначен да защитава информацията от фалшификация.

Използване електронен подписпозволява:

  • участват в електронна търговия, търгове и търгове;
  • изграждане на отношения с населението, организациите и държавните структури на съвременна основа, по-ефективно, на най-ниски разходи;
  • разширете географията на вашия бизнес чрез дистанционно извършване на различни операции, включително икономически, с партньори от всички региони на Русия;
  • значително намаляване на времето, изразходвано за обработка на транзакцията и обмен на документация;
  • изграждане корпоративна системаобмен на електронни документи (един от неговите елементи).

Използвайки електронен подпис, работете по схемата „разработване на проект в в електронен формат- създаване на хартиено копие за подпис - изпращане на хартиен екземпляр с подпис - разглеждане на хартиено копие" е нещо от миналото. Сега всичко може да се направи по електронен път!

Разновидности на електронен подпис

Установени и регламентирани са следните видове: прост електронен подпис и усъвършенстван електронен подпис. В същото време подобреният електронен подпис може да бъде квалифициран и неквалифициран.

Таблица

Каква е разликата между 3 вида електронен подпис

Свиване на шоуто

Много е трудно да се фалшифицира какъвто и да е електронен подпис. А с подобрен квалифициран подпис (най-сигурният от трите), с текущото ниво на изчислителна мощност и необходимите времеви ресурси, това е просто невъзможно.

Простите и неквалифицирани подписи върху електронен документ заменят хартиения документ, подписан с ръкописен подпис, в случаите, предвидени в закон или по споразумение на страните. Разширеният квалифициран подпис може да се разглежда като аналог на документ с печат (т. "подходящи" за всеки повод).

Електронен документ с квалифициран подпис замества хартиения документ във всички случаи, освен когато законът изисква документът да бъде изключително на хартиен носител. Например, с помощта на такива подписи гражданите могат да кандидатстват до държавни органида получават държавни и общински услуги, а публичните органи могат да изпращат съобщения до гражданите и да взаимодействат помежду си чрез информационни системи.

Подписваме с частния ключ, с отворения проверяваме електронния подпис

За да можете да подписвате документи с електронен подпис, трябва да имате:

  • ES ключ(т.нар затворенключ) - използва се за създаване на електронен подпис за документа;
  • Сертификат за ключ за проверка на ES (отворен ES ключ) - с негова помощ се проверява автентичността на електронния подпис, т.е. потвърждава се собствеността на електронния подпис от определено лице.

Организации, които изпълняват функциите за създаване и издаване на сертификати на ключове за проверка на ES, както и редица други функции, се наричат центрове за сертифициране.

В процеса на създаване на сертификат за ключ за проверка на ES, за всеки потребител се генерират ES ключ и ключ за проверка на ES. И двата ключа се съхраняват във файлове. За да не може никой освен собственика на подписа да използва ключа ES, той обикновено се записва сигурен ключодържател(като правило заедно с ключа за проверка на електронния подпис). Той, подобно на банкова карта, е оборудван с ПИН код. И точно както при картовите транзакции, преди да използвате ключа за създаване на електронен подпис, трябва да въведете правилната стойност на ПИН кода (вижте фигурата).

Медиите за защитен ключ се произвеждат от различни производители и обикновено изглеждат като флаш карта. Предоставянето от потребителя на поверителността на неговия ES ключ гарантира, че нападателите няма да могат да подпишат документа от името на собственика на сертификата.

За да се гарантира поверителността на ES ключа, е необходимо да се спазват препоръките за съхранение и използване на ES ключа, съдържащи се в документацията, която обикновено се издава на потребителите в сертифициращия център, и ще бъдете защитени от незаконни действия, извършени с ключа за електронен подпис от ваше име. Най-добре е вашият частен ключ да е достъпен изключително за вас. Тази идея е много важна да се предаде на всеки собственик на ключа. Това се постига най-добре чрез издаване на насоки за тази сметка и запознаване на служителите с тях срещу подпис.

картина

Програмата иска парола (ПИН-код), за да подпише документа с електронен подпис с помощта на ES ключа, съдържащ се на „флаш устройството“, свързано към компютъра

Свиване на шоуто

Пример 1

Фрагмент от Насоките за гарантиране на сигурността при използването на квалифициран електронен подпис на Electronic Moscow OJSC

Свиване на шоуто

При създаването на електронен подпис средствата за електронен подпис трябва:

  1. да покаже на лицето, подписващо електронния документ, съдържанието на информацията, която подписва;
  2. създаване на електронен подпис само след като лицето, подписващо електронния документ, потвърди операцията по създаване на електронен подпис;
  3. ясно показват, че електронният подпис е създаден.

При проверка на електронен подпис средствата за електронен подпис трябва:

  1. показват съдържанието на електронен документ, подписан с електронен подпис;
  2. показва информация за извършване на промени в електронен документ, подписан с електронен подпис;
  3. посочете лицето, с чийто ключ за електронен подпис са подписани подписите електронни документи.

Сертификатът за ключ за проверка на ES съдържа цялата необходима информация за проверка на електронния подпис. Данните на сертификата са отворени и публични. Обикновено сертификатите се съхраняват в хранилището на операционната система в сертифициращия център, който ги е произвел за неопределено време (точно както нотариусът съхранява цялата необходима информация за лицето, извършило нотариалното действие вместо него). В съответствие с разпоредбите на Закон № 63-FZ център за проверкакойто е предоставил сертификата за ключа за проверка на електронния подпис, е длъжен да предостави безплатно на всяко лице по негово искане информациясъдържащи се в регистъра на удостоверенията, вкл. информация за анулирането на сертификата на ключа за проверка на електронния подпис.

Свиване на шоуто

Олег Комарски, ИТ специалист

Удостоверителният център, който е издал електронния подпис, съхранява удостоверението за ключа за проверка на този ЕСП за неопределено време, по-точно през цялото време на неговото съществуване. Докато сертифициращият орган работи, няма проблеми, но оттогава центърът е търговска организация, може да престане да съществува. По този начин, в случай на прекратяване на дейността на СО, съществува възможност за загуба на информация за сертификати, тогава електронните документи, подписани с електронни подписи, издадени от затворения CA, могат да загубят своето правно значение.

В тази връзка се планира създаването на един вид държавно хранилище на сертификати (както валидни, така и отменени). Това ще бъде нещо като държавен нотариален център, където ще се съхраняват данни за всички удостоверения. Но засега такава информация се съхранява в CA за неопределено време.

Какво трябва да имат предвид работодателите, когато снабдяват служителите си с електронни подписи?

В сертификата за ключ ES задължително има информация за пълното име неговия собственик, има и възможноствключително допълнителна информация като напр Име на фирматаи длъжност. Освен това сертификатът може да съдържа идентификатори на обекти (OID), определящи отношенията, при изпълнението на които електронен документ, подписан от ЕС, ще има правно значение. Например, OID може да посочва, че служител има право да публикува информация в търговския зал, но не може да подписва договори. Тези. с помощта на OID е възможно да се разграничи нивото на отговорност и правомощия.

Има тънкости при прехвърлянето на правомощия при уволнение или преместване на служители на друга длъжност. Те трябва да се вземат предвид.

Пример 2

Свиване на шоуто

Когато търговският директор Иванов, подписал документи с електронен подпис, бъде уволнен, трябва да се поръча нов ключов носител за ново лице, което замести Иванов на този стол, за да работи с ЕС. Все пак Петров не може да подписва документи с подпис на Иванов (макар и електронен).

Обикновено при уволнение се организира преиздаване на ES ключове; като правило за това самите служители посещават сертифициращ център. Организацията, която плаща за издаване на ключовете, е и собственик на ключа, така че има право да спре валидността на сертификата. По този начин рисковете са сведени до минимум: изключена е ситуацията, когато уволненият служител може да подписва документи от името на бившия работодател.

Свиване на шоуто

Наталия Храмцовская, д-р, водещ експерт по управление на документи на компанията EOS, експерт по ISO, член на GMD и ARMA International

Ефективната бизнес дейност на една организация зависи от много фактори. Един от ключовите елементи на цялата система за управление е принципът на взаимозаменяемост на служителите. Трябва да помислите предварително кой ще замени служителите, които временно не изпълняват своите служебни задълженияпоради болест, командировка, ваканция и др. Ако вашата организация се занимава с подписване на документи с електронни подписи, този аспект трябва да бъде разгледан отделно. Всеки, който пренебрегне този организационен проблем, рискува да изпадне в сериозни проблеми.

Показателно в този смисъл е дело No А56-51106/2011 г., което е разгледано от Арбитражния съд на Санкт Петербург и Ленинградска област през януари 2012 г.

Как възникна проблема:

  • През юли 2011 г. Асоциацията за продажби на Tvernefteprodukt LLC подаде едно заявление за участие в открит търг в електронна форма за доставка на бензин с помощта на карти за гориво за клон на Горна Волга на Федералната държавна бюджетна научна институция „Държавен изследователски институт по езерен и речен риболов " (FGNU "GosNIORKh"). Тръжната комисия на клиента реши да сключи държавен договор с единствения участник в търга.
  • Проектът на държавен договор е изпратен от клиента до оператора на електронната платформа на 12 юли 2011 г., като последният го прехвърли на LLC. В рамките на срока, установен от закона, LLC не изпрати проекта на договор, подписан с електронния подпис на лицето, упълномощено да действа от името на участника в поръчката, до оператора на електронния сайт, тъй като този служител е бил в отпуск по болест.
  • През юли 2011 г. отделът на Федералната антимонополна служба в Санкт Петербург (UFAS) разгледа предоставената от клиента информация за избягването на LLC от сключване на договор и беше взето решение за включването му в регистъра на недобросъвестните доставчици.

Несъгласно с решението на OFAS, LLC се обърна към съда. И трите съдилища признаха LLC за виновна в укриване на договор. И в краен случай през октомври 2012 г. се оказа, че LLC е подала молба до клиента на 10 август 2011 г. и назовава не болестта на своя служител, а неговата небрежност като причина за неподписването на договора.

Друг интересен случай се случи, когато държавен договор беше подписан с електронен подпис на неупълномощено лице. Това дело беше разгледано от Арбитражния съд на Калужска област през септември 2011 г. (дело № A23-2637/2011).

Обстоятелствата бяха:

  • През март 2011 г. СЕЛ ТЕХСТРОЙ ООД беше обявено за победител в открит търг. По това време LLC има промяна в генералния директор: бившият генерален директор В. става заместник на новия генерален директор П. Но новият генерален директор все още не е имал време да издаде EDS. Затова на 14 март 2011 г. те решават да „опростят живота си” и да подпишат държавен договор с помощта на ЕЦП на В., който напуска поста си. Основната грешка обаче е, че В. подписва документа като изпълнителен директорСЕЛ ТЕХСТРОЙ ООД.
  • Информация за освобождаването на генерален директор В. и назначаването на П. за генерален директор, както и пълномощно да действа от името на участника в заповедта, издадено от В. вече като заместник генерален директор, са публикувани на уебсайтът на електронния платформа за търговиясамо на 24.03.2011 г., т.е. след подписване и изпращане на договора на клиента.
  • Този пропуск беше забелязан от клиента, смятайки, че договорът е подписан от неупълномощено лице, и през април 2011 г. той се обърна към OFAS. В резултат на това OFAS включи LLC в регистъра на недобросъвестните доставчици за период от 2 години поради избягване на сключването на държавен договор.

При разглеждането на това дело на първа инстанция съдът отбеляза, че новият генерален директор на дружеството П. в обясненията си до OFAS, първо, потвърждава готовността за подписване на държавния договор, и второ, признава грешката, без да се оспорват пълномощията на В., посочени в пълномощно. Освен това фактът, че пълномощното е публикувано на официалния уебсайт на електронната платформа, макар и със закъснение, съдът разглежда като активни действия на компанията за отстраняване на допуснатата грешка. В резултат на това Арбитражният съд разпореди на OFAS да изключи LLC от регистъра на недобросъвестните доставчици. През декември 2011 г. Двадесети арбитражен апелативен съд потвърди позицията на първоинстанционния съд.

Но Федералният арбитражен съд на Централния окръг през март 2012 г. прецени друго. Според него на 14.03.2011 г. В. е използвал ЕЦП в нарушение на разпоредбата на чл. четири федерален закон„За електронния цифров подпис“ и условията, посочени в сертификата за ключ за подпис (в края на краищата, електронен документ с ЕЦП, който не отговаря на условията, включени в сертификата, няма правно значение). В резултат на това съдът заключи, че държавният договор е подписан от неупълномощено лице и призна решението на OFAS да признае LLC като безскрупулен доставчик за легитимно.

Подобни дела често се разглеждат от съдилищата. Тогава директорът, който има сертификат за ключ за ES и има право да подписва документи от името на фирмата, напуска, а новият директор няма време да си направи ES и да подпише договор навреме. Те се опитват да подписват документи с подписа на служител, който вече е напуснал (или е прехвърлен на друга позиция в същата организация). След това възникват проблеми с небрежността на служителите или тяхното заболяване (както в първия от описаните случаи), и те отново нямат време да делегират правомощия на друго лице и да му издадат ЕП. И резултатът е същият - организацията попада в списъка на недобросъвестните доставчици и губи правото да сключва договори, финансирани от бюджета.

Получаването от служител на организация на ES ключ, гарантиращ неговата безопасност и действията с него обикновено се регулират със заповед за организация с одобрение на инструктивни материали. Те определят процедурата за използване на ES ключове за подписване на документи, получаване, замяна, отнемане на сертификата на ES ключ за проверка, както и действията, извършвани при компрометиране на ES ключ. Последните са подобни на действията, извършвани в случай на загуба банкова карта.

Как да изберем сертифициращ орган?

Закон № 63-FZ предвижда разделянето на центровете за сертифициране на тези, които са преминали и тези, които не са преминали процедурата за акредитация (сега се извършва от Министерството на телекомуникациите и масовите комуникации на Руската федерация). На акредитиран сертифициращ център се издава подходящ сертификат и за получаване квалифициран сертификатключът за проверка на ES трябва да бъде адресиран до такъв CA. Неакредитирани CA могат да издават само други видове подписи.

При избора на CA трябва да се има предвид, че не всеки от тях използва всички възможни крипто доставчици. Тоест, ако партньорите, организиращи електронно управление на документи, се нуждаят от електронни подписи, генерирани с помощта на конкретен криптографски доставчик, тогава трябва да изберете център за сертифициране, който работи специално с този инструмент за защита на криптографска информация (CIPF).

Процедурата за получаване на ЕР и необходимите документи

За да организирате обмена на електронни документи между организации, трябва да изпълните следните стъпки:

  • определете целите и спецификата на документооборота между вашата и друга организация. Това трябва да бъде формализирано под формата на споразумение или споразумение, което дефинира и регулира операциите и състава на документи с електронен подпис, предавани по електронен път (такива стандартни споразумения се подписват например от банки с клиенти, което им позволява да използват клиента- банкова система);
  • да обменят сертификати за ключове за проверка на ЕС на лица, чиито подписи ще се прехвърлят между организациите. Ясно е, че партньорите могат да получават такива сертификати не само един от друг, но и от сертифициращия орган, който е издал тези сертификати;
  • издава вътрешни инструкции, регламентиращи процедурата за прехвърляне и получаване на електронни документи на друга организация, включително процедурата за проверка на електронния подпис на получените документи и действия в случай на откриване на факта на извършване на промени в документа след подписването му с електронен подпис.

За производството на ключове за електронен подпис и сертификати за ключове за проверка на ЕС, потребителите трябва да представят документи за кандидатстване, документация, потвърждаваща точността на информацията, която трябва да бъде включена в сертификата за ключ за проверка на ЕС, както и подходящи пълномощни в сертифициращия център.

За да се гарантира правилното ниво на идентификация на потребителя, процедурата за получаване на сертификати за ключове за проверка на ES изисква лично присъствие на неговия собственик.

Вярно е, че има изключения. Например, днес, за служители на държавни и бюджетни организации, както и служители на изпълнителните органи на град Москва, сертифициращият център на Electronic Moscow АД разработи система за масово издаване на сертификати за ключове за проверка на електронен подпис (SKKEP ), което, като запазва високо ниво на надеждност на идентификацията на потребителя, дава възможност да се направи посещение на сертифициращ център от всеки служител лично, което значително намалява финансовите и времеви разходи на организацията в сравнение с издаването на SCPE, организиран според традиционния схема.

Колко струва електронен подпис?

Погрешно е да се мисли, че един сертифициращ център просто продава носители за съхранение на ключове и сертификати, услугата е сложна, а носителят с ключова информация е един от компонентите. Цена пълен пакет електронен подписзависи от:

  • регион;
  • ценова политика на сертифициращия център;
  • видове подписи и неговия обхват.

Обикновено този пакет включва:

  • услуги на сертифициращ център за производство на сертификат за ключ за проверка на ЕС;
  • прехвърляне на права за използване на съответния софтуер (CIPF);
  • предоставяне на получателя на необходимия софтуер за работа;
  • доставка на сигурен ключодържател;
  • техническа поддръжкапотребители.

Средно цената варира от 3000 до 20 000 рубли за пълен пакет с един носител на ключова информация. Ясно е, че когато една организация поръча десетки или стотици сертификати за ключ за своите служители, цената на един "подписващ" ще бъде значително по-ниска. Преиздаване на ключове се извършва за една година.

В момента в Русия разпространението на електронни документи с помощта на електронен подпис бързо набира скорост. Електронният подпис е широко внедрен както в държавни организации, така и в частния бизнес. При това трябва да се има предвид, че различни видове ES имат различни стойности, така че документ, заверен от ES, е правно значим, следователно прехвърлянето на ключови носители заедно с ПИН код на други лица е неприемливо.

Най-важното е, че електронният подпис значително спестява време, елиминирайки бумащината, което е изключително важно в силно конкурентна среда и когато партньорите са отдалечени.

Проблемът засега остава само в плоскостта на потвърждаването на автентичността на такъв подпис и документ с него през целия му дълъг период на съхранение.

Бележки под линия

Свиване на шоуто


Регламентът е разработен, като се вземат предвид:

    Федерален закон "За електронния цифров подпис"

    „Временно регулиране на цифровия електронен подпис (EDS) в системата за междурегионални електронни плащания на Централната банка на Руската федерация по време на експеримента“, одобрено на 16 август 1995 г. от първия заместник-председател на Централната банка на Руската федерация A.V. Войлуков

    Временни изисквания на Централната банка на Руската федерация № 60 от 3 април 1997 г. „За осигуряване на сигурността на технологията за обработка на електронни платежни документи в системата на Централната банка на Руската федерация“

    Наредба на Централната банка на Руската федерация № 20-П от 12 март 1998 г. „За правилата за обмен на електронни документи между Банката на Русия, кредитните институции (клонове) и други клиенти на Банката на Русия при извършване на сетълменти чрез мрежата за сетълмент на Банката на Русия", изменена с Директива на Банката на Русия № 774-U от 11 април 2000 г.

2. Общи положения

2.1. Настоящият регламент е разработен за оператори, абонати и оторизирани абонати на системи за криптографска защита на информацията (CIPF), които осъществяват електронни взаимодействия с трети страни, използващи носители на ключова информация (KKI).

2.2. Този регламент включва:

    организационни мерки за работа с НЦИ;

    процедурата за използване на NCI в системата за електронни взаимодействия;

    процедурата за производство, отчитане, регистриране на ключове за ЕЦП и ключове за криптиране в системата за електронни взаимодействия;

    процедури за компрометиране на ключови материали;

    реда за осигуряване на режима на безопасност при работа с НКИ.

2.3. Основни термини:

    Носител на ключова информация– носители за съхранение (флопи диск, флаш памет и други носители), на които да съхранявате електронен ключ, предназначени за защита на електронните взаимодействия.

    CCMS- контролен център ключови системимясто на производство на носителя на ключова информация на НКИ.

    Секретен (частен) ключ за подписване- ключ, предназначен за формиране на електронен цифров подпис на електронни документи.

    Отворен (публичен) ключ за подписване- ключ, който се генерира автоматично по време на производството на секретен ключ за подпис и е уникално зависим от него. Публичният ключ е предназначен за проверка на коректността на електронния цифров подпис на електронен документ. Счита се, че публичен ключ принадлежи на участник в електронни взаимодействия, ако е сертифициран (регистриран) по установения ред.

    Ключ за криптиране- ключ, предназначен за затваряне на електронен документ по време на електронни взаимодействия.

    криптиране- специализиран метод за защита на информация от трети страни, които се запознават с нея, въз основа на кодиране на информация съгласно алгоритъма GOST 28147-89 с помощта на съответните ключове.

    Компромис с ключова информация- загуба, кражба, неоторизирано копиране или подозрение за копиране на носителя на ключова информация на NCI или всякакви други ситуации, при които не е известно със сигурност какво се е случило с NCI. Компрометирането на ключова информация включва и уволнението на служители, които са имали достъп до ключова информация.

    Сертифициране на ключ- процедурата за удостоверяване (подписване) на публичната част на регистрирания ключ с електронен цифров подпис.

    Заявление за регистрация на ключ- служебно съобщение, съдържащо нов публичен ключ, подписан с електронен цифров подпис.

3. Организация на работа с носители на ключова информация

Лицата, които имат достъп до носители на ключова информация носят лична отговорност за това. Списъкът на лицата, които имат достъп до дискети с ключова информация, се съставя от началника на отдела информационна сигурности е фиксирана в нареждането за Банката.

За да гарантирате идентификацията на подателите и получателите на информация, предпазвайте я от неоторизиран достъп:

3.1. Председателят на Управителния съвет на Банката назначава лицата, отговорни за електронните взаимодействия с трети организации измежду ръководителите на отдели и упълномощава отговорните служители с правото да задават електронния подпис на документи, изпращани по нареждане на Банката.

3.2. Началник отдел „Информационна сигурност“, съгласувано с началника на отдела информационни технологииназначава ИТ персонала, отговорен за инсталирането на отговорните служители, определени в т. 2.1., на работните станции на съответните средства за осигуряване на електронни взаимодействия и защита на криптографска информация.

3.3. Персоналът на ПИБ, заедно с ИТ персонала, назначен в клауза 2.2. трябва да провежда обучение за отговорни служители на отдели, участващи в електронни взаимодействия с организации на трети страни, работа с инструменти за електронно управление на документи и CIPF.

3.4. Контролът върху електронните взаимодействия и използването на ключови информационни носители се осъществява от служители на отдел „Сигурност на информацията“, Служба за вътрешен контрол и отдел „Икономическа защита“.

4. Редът за въвеждане в експлоатация, съхранение и използване на носители на ключова информация

4.1. Процедурата за производство, отчитане и използване на носители на ключова информация

4.2.1. Процедурата за производство и отчитане на носители на ключова информация

Персонален ключов носител (най-често флопи диск) обикновено се прави в център за управление на ключови системи (MCC). Ако CCMS се обслужва от организация на трета страна, тогава ключовите дискети се получават от служител на отдела за сигурност на информацията или от упълномощен абонат на CIPF, определен със заповед за банката. В случай, че в Банката се изработват ключови дискети, това става въз основа на заявление, подписано от ръководителя на отдела на потребителя на НЦИ.

Генерирането на уникална ключова информация и нейното записване на флопи диск се извършва на специално оборудвана самостоятелна „работна станция за генериране на ключове“, софтуеркойто изпълнява регламентираните функции технологичен процесформирането на ключове за електронен цифров подпис от упълномощени служители на отдела за информационни технологии в присъствието на потребителя на НЦИ, се маркира, записва в „Счетоводен журнал на НЦИ” и му се издава срещу подпис. Оборудването на „Работната станция за генериране на ключове“ трябва да гарантира, че уникалната информация за секретния ключ на изпълнителя се записва само на неговия личен носител.

За да се гарантира възможността за възстановяване на ключовата информация на потребителя на NCI в случай на повреда на ключовата дискета, обикновено се създава нейното работно копие. За да се гарантира, че при копиране от оригинала в работното копие на дискетата с ключ, съдържанието й няма да се озовава на никакъв междинен носител, копирането трябва да се извършва само на „работната станция за генериране на ключове“.

Ключовите флопи дискове трябва да имат съответните етикети, които отразяват: регистрационния номер на флопи диска (според счетоводния дневник на NCI), датата на производство и подписа на упълномощен служител на звеното за информационна сигурност, изработил дискетата, вида на ключова информация - ключова дискета (оригинал) или ключова дискета (копие), фамилия, собствено име, бащино име и подпис на собственика-изпълнител.

4.2.2. Процедурата за използване на носители на ключова информация

Всеки служител (изпълнител), който в съответствие с неговата функционални отговорностие предоставено правото за поставяне на цифров подпис върху ED, съгласно клауза 2.1., се издава личен носител на ключова информация (например флопи диск), на който е уникална ключова информация („секретен ключ за електронен подпис“). записани, принадлежащи към категорията информация с ограничен достъп.

Дискетите с персонален ключ (работни копия) трябва да се съхраняват от потребителя в специален калъф, запечатан с личен печат.

В поделението отчитането и съхранението на дискети с лични ключове на изпълнителите трябва да се извършва от лицето, отговорно за информационната сигурност (в негово отсъствие, от ръководителя на подразделението) или от самия изпълнител (ако разполага със сейф или метален кабинет). Ключовите дискети трябва да се съхраняват в сейфа на звеното или изпълнителя, отговорен за информационната сигурност в отделни случаи, запечатани с лични печати на изпълнителите. Моливниците се изваждат от сейфа само в момента на получаване (издаване) на работещи копия на ключови дискети на изпълнителите. Оригиналните дискети с ключове на изпълнителите се съхраняват в отдел „Информационна сигурност” в запечатан калъф и могат да се използват само за възстановяване на работното копие на ключовата дискета по установения ред в случай на повреда на последната. Наличието на оригиналните ключови дискети в кутиите се проверява от служителите на OIB при всяко отваряне и запечатване на кутията.

Контролът върху сигурността на технологията за обработка на електронни документи, включително действията на потребителите на НЦИ, които извършват работата си с лични ключови дискети, се осъществява от отделите, отговарящи за сигурността на информацията в рамките на тяхната компетентност, и служители на отдел „Сигурност на информацията“.

„Отворени“ ключове за ЕЦП на изпълнители се регистрират по предписания начин от специалистите на Центъра за управление на контрол и комуникационни и информационни технологии в указателя на „отворените“ ключове, използвани при проверка на автентичността на документите според инсталирания върху тях ЕЦП. .

5. Права и задължения на ползвателя на ключови информационни носители

5.1. Ключова информация права на потребителя на медиите

Потребителят на НКИ трябва да има право да се свърже с лицето, отговорно за информационната сигурност на своя отдел, за съвет относно използването на ключова дискета и по въпросите за осигуряване на информационната сигурност на технологичния процес.

Потребителят на NCI има право да изиска от отдела, отговарящ за информационната сигурност, и от неговия непосредствен ръководител създаването необходими условияда отговарят на горните изисквания.

Ползвателят на НКИ има право да внася своите предложения за подобряване на мерките за защита в своята област на работа.

5.2. Отговорности на ключовия медиен потребител

Потребителят на NCI, на когото в съответствие със своите длъжностни функции е предоставено право да постави цифров подпис върху ED, носи лично отговорност за безопасността и правилна употребаповерената му ключова информация и съдържанието на документите, на които стои неговият ЕЦП.

Потребителят на ключови носители на информация е длъжен:

    Да присъства лично по време на производството на вашата ключова информация (ако ключовете се произвеждат в IB на "работната станция за генериране на ключове"), за да сте сигурни, че съдържанието на нейните ключови дискети (оригинал и копие) не е компрометирано.

    Вземете работно копие на ключовата дискета срещу подпис в NCI Record Book, уверете се, че е правилно етикетирана и защитена от запис. Регистрирайте ги (вземете под внимание) в отдела, отговарящ за информационната сигурност, поставете ги в моливник, запечатайте го с личния си печат и прехвърлете моливника за съхранение на служителя по сигурността на информацията по установения ред или го поставете в сейфа си .

    Използвайте само работно копие на вашата ключова дискета за работа.

    В случай на съхранение на NCI в звеното, отговарящо за информационната сигурност, в началото на работния ден вземете и в края на работния ден предайте своя ключ дискета на лицето, отговорно за информационната сигурност. При първото отваряне на моливника и двамата са длъжни да проверят целостта и автентичността на печата върху моливника. Ако печатът на кутията за молив е счупен, дискета се счита за компрометирана.

    Ако дискета с личен ключ се съхранява в сейфа на изпълнителя, извадете дискета с ключ от сейфа, ако е необходимо, и при отваряне на кутията за първи път се уверете, че печатът на кутията е непокътнат и автентичен. Ако печатът на кутията за молив е счупен, дискета се счита за компрометирана.

    СТРОГО Е ЗАБРАНЕНО да оставяте дискета с ключ в компютъра. След като използва дискета с личен ключ за подписване или криптиране, изпълнителят трябва да постави дискетите в сейф и ако NCI се съхранява в отдела, отговарящ за информационната сигурност, да предаде дискета с личния си ключ за временно съхранение на отдела, отговорен за информационна сигурност.

    В края на работния ден поставете дискета с ключ в кутията, която трябва да бъде запечатана и прибрана в сейфа.

    В случай на повреда на работното копие на ключовата дискета (например в случай на грешка при четене на дискета), изпълнителят е длъжен да го прехвърли на оторизиран служител на системата за информационна сигурност, който трябва в присъствието на потребителя на NCI или отдела, отговарящ за информационната сигурност, направете ново копие на дискетата с ключ от оригинала, наличен в системата за информационна сигурност и го издайте на последния вместо старата.(повредена) дискета с ключ .

    Повредено работно копие на дискета с ключ трябва да бъде унищожено по предписания начин в присъствието на изпълнителя. Всички тези действия трябва да бъдат записани в NCI Record Book.

5.3. Забранява се ползвателят на ключови информационни носители

    оставяйте дискета с персонален ключ без личен надзор навсякъде;

    прехвърлете флопи диска с личния си ключ на други лица (с изключение на съхранение в запечатан моливник на лицето, отговорно за информационната сигурност);

    правете неотчетени копия на ключовата дискета, отпечатвайте или копирайте файлове от нея на друг носител за съхранение (например твърд диск на компютър), премахвайте защитата от запис от дискетата, правете промени във файловете, намиращи се на ключовата дискета;

    използвайте дискета с персонален ключ на съзнателно дефектно дисково устройство и/или компютър;

    подписвайте всички електронни съобщения и документи с вашия личен „секретен ключ за ЕЦП“, с изключение на тези видове документи, които са регламентирани от технологичния процес;

    уведомете някого извън работа, че той е собственик на „секретния ключ за EDS“ за този технологичен процес.

6. Процедура за компрометиране на носители на ключова информация

Събитията, свързани с компрометирането на ключова информация, трябва да включват следните събития:

    загуба на ключови дискети;

    загуба на ключови дискети с последващо откриване;

    уволнение на служители, които са имали достъп до ключова информация;

    появата на съмнения за изтичане на информация или нейното изкривяване в комуникационната система;

    недекриптиране на входящи или изходящи съобщения от абонати;

    нарушение на пломбата на сейфа или контейнера с ключови дискети.

Първите три събития трябва да се третират като безусловен компромис с валидни EDS ключове. Следните три събития изискват специално внимание във всеки конкретен случай. При компрометиране на EDS ключовете и криптирането на Участника в обмена на електронни документи се предвиждат следните мерки:

    Участник в обмена на електронни документи незабавно:

    • спира предаването на информация с помощта на компрометирани EDS ключове или криптиране;

      докладва за факта на компромис на отдела за информационна сигурност.

    Служител на отдел „Сигурност на информацията“ въз основа на уведомлението на участника в ED Exchange изключва компрометирания EDS ключ от електронната база данни с публични ключове или изключва криптографския номер на участника в обмен на електронни документи от списъка с абонати.

    В случай на спешност, участникът в обмена на електронни документи след компромис може да продължи да работи по резервни ключове, което се записва в „Дневник за регистрация на NKI“.

    Участник в обмена на електронни документи подава заявление за изработване на нов ключ и получава нови ЕЦП и ключове за криптиране с регистрация в регистъра на НЦИ.

    Тестовите съобщения се обменят с помощта на нови EDS и ключове за криптиране.

7. Осигуряване на информационна сигурност при работа с носители на ключова информация

Редът за поставяне, специално оборудване, охрана и режим в помещенията, където се намират средствата за криптографска защита и ключовите носители на информация:

    средствата за криптографска защита за обслужване на ключови информационни носители се намират в помещенията на Сървър банка и отдел Сигурност на информацията;

    поставяне, специално оборудване и режим в помещенията, където се намират средствата за криптографска защита и носителите на ключова информация, осигуряват сигурността на информацията, средствата за криптографска защита и ключовата информация, като минимизират възможността за неконтролиран достъп до средствата за криптографска защита, гледане процедурите за работа със средства за криптографска защита от непознати лица;

    редът за допускане до помещенията се определя от вътрешната инструкция, която се разработва, като се вземат предвид особеностите и условията за дейността на Кредитната институция;

    прозорците на помещенията са оборудвани с метални решетки и аларми срещу взлом, предотвратяващи неоторизиран достъп до помещението. Тези стаи са с масивни входни врати с надеждни брави;

    за съхранение на ключови дискети, нормативна и експлоатационна документация, инсталационни дискети, помещенията са снабдени със сейфове;

    установената процедура за охрана на помещенията предвижда периодичен контрол техническо състояниесредства за охранителна и пожарна сигнализация и спазване на охранителния режим;

    поставянето и инсталирането на средства за криптографска защита се извършва в съответствие с изискванията на документацията за средствата за криптографска защита;

    системните блокове на компютрите със средства за криптографска защита са оборудвани със средства за управление на тяхното отваряне.

Процедурата за гарантиране на безопасността на съхранение на ключови дискети:

    всички ключове за криптиране, ключове за ЕЦП и инсталационни дискети се вземат в Банката за отчитане копие по копие в предназначените за тези цели „Счетоводен вестник на NCI” и „Счетоводен вестник на CIPF”;

    отчитането и съхранението на носители на криптиращи ключове и инсталационни дискети, пряката работа с тях се поверява на служители на МИБ или отговорни служители, определени със заповед на Банката. Тези служители носят лична отговорност за безопасността на ключовете за криптиране;

    регистрацията на криптиращи ключове, направени за потребители, регистрацията на издаването им за работа, връщане от потребители и унищожаване се извършва от служител на МИБ;

    съхраняването на ключове за криптиране, ключове EDS, инсталационни дискети е разрешено в едно и също хранилище с други документи при условия, които изключват тяхното неволно унищожаване или друго използване, непредвидено от правилата за използване на системи за криптозащита;

    заедно с това предвижда възможност за сигурно разделно съхранение на работни и резервни ключове, предназначени за използване в случай на компрометиране на работни ключове в съответствие с правилата за използване на инструменти за криптографска защита;

    валиден частен ключ на ЕЦП, записан на магнитен носител (дискета), трябва да се съхранява в личен, запечатан сейф (контейнер) на отговорното лице. Трябва да се изключи възможността за копиране и неоторизирано използване на ЕЦП от неупълномощено лице;

    резервният EDS ключ трябва да се съхранява по същия начин като текущия, но винаги в отделен запечатан контейнер.

Изисквания към служителите, участващи в експлоатацията и инсталирането (инсталирането) на инструменти за криптографска защита и ключови носители на информация:

    да работят със средства за криптографска защита и носители на ключова информация само служители, които познават правилата за нейната работа, имат практически умения за работа на компютър, изучават правилата за използване и оперативната документация за средствата за криптографска защита;

    служителят трябва да е наясно с възможните заплахи за информацията при нейната обработка, предаване, съхранение, методите и средствата за защита на информацията.

Унищожаване на ключова информация и дискети:

    унищожаването на ключова информация от флопи дисковете трябва да се извърши чрез двойно безусловно преформатиране на дискетата с DOS командата "FORMAT A: / U";

    унищожаването на ключова дискета, която е станала неизползваема, трябва да се извърши чрез разтопяване на огън (изгаряне) или смилане на флопи магнитен диск, изваден от кутията.

Както знаете, ако трето лице има достъп до частния ключ на вашия електронен подпис, последният може да го инсталира от ваше име, което по възможните последици е подобно на фалшифицирането на подпис върху хартиен документ. Следователно е необходимо да се осигури високо ниво на защита на частния ключ, което е най-добре да се реализира в специализирани хранилища. Между другото, електронният подпис не е снимка, запазена под формата на файл с вашите извивки, а низ от битове, получени в резултат на криптографска трансформация на информация с помощта на частен ключ, който ви позволява да идентифицирате собственика и да установите липсата на изкривяване на информацията в електронен документ. Електронният подпис има и публичен ключ – достъпен за всички код, с който можете да определите кой и кога е подписал електронния документ.

Сега най-често срещаният вариант за съхранение на частен ключ е на твърд диск на компютъра. Но той има редица недостатъци, включително:

Сега обратно към специализираните складове. В момента в някои системи за електронно управление на документи е реализирана възможността за използване на хранилища, като e-Token и Rutoken. Какво е e-Token или Rutoken (често наричан просто „токен“)? Това е сигурно съхранение на ключове под формата на USB ключодържатели и смарт карти, достъпът до които се осъществява само чрез пинкод. Ако въведете неправилен пин код повече от три пъти, паметта се заключва, предотвратявайки опитите за достъп до ключа чрез отгатване на стойността на пин кода. Всички операции с ключа се извършват в паметта за съхранение, т.е. ключът никога не го напуска. По този начин прихващането на ключа от RAM е изключено.

В допълнение към горните предимства при използване на сигурно съхранение, могат да се разграничат следните:

  • безопасността на ключа е гарантирана, включително в случай на загуба на носителя за времето, необходимо за отнемане на сертификата (в края на краищата загубата на ES трябва спешно да се докладва на сертифициращия център, както се докладва на банката в случай на загуба на банкова карта);
  • няма нужда да инсталирате сертификат за частен ключ на всеки компютър, от който работи потребителят;
  • „Токенът“ може да се използва едновременно за оторизация при влизане в операционната система на компютъра и в EDMS. Тоест става лично средство за удостоверяване.

Ако EDMS има интеграционни решения със специализирани хранилища за частни ключове, тогава всички предимства се проявяват при работа със системата.

Нека разгледаме опцията, когато потребителят съхранява ключа в специализирано хранилище, докато активно работи от лаптоп. Тогава, дори ако мобилното работно място е загубено (при условие, че „токенът“ е запазен), не можете да се притеснявате, че някой ще получи достъп до EDS от лаптоп или ще може да копира личния ключ и да подписва електронни документи от името на този потребител.

Използването на специализирани трезори е свързано с допълнителни разходи, но в същото време нивото на сигурност на вашия ключ и системата като цяло се повишава значително. Ето защо експертите препоръчват използването на такива устройства в работата, но изборът, разбира се, винаги е ваш.

Алена, разбирам със сигурност, че статията е донякъде „обща информация“ по природа, но все пак си струва да подчертаем списъка с „предимства и недостатъци“ на всяко решение по-широко. Ни най-малко не опровергавам крайното заключение, че смарткартите са по-надеждни, но потенциално създават много повече трудности, отколкото баналното „включва допълнителни разходи“.

Чрез клавиши на локалния компютър

Това не е вярно. Доставчикът на криптографски RSA по подразбиране в магазините на Windows използва папката C:\Users\ за съхраняване на частни ключове \AppData\Roaming\Microsoft\Crypto\RSA.

Тези. ги поставя в роуминг частта на профила, което означава, че ако потребителят работи на различни машини в рамките на корпоративната мрежа, ще му е достатъчно да настрои роуминг профил и няма нужда да инсталира сертификати на всяка машина.

Чрез използване на токени

Тук трябва да разберете, че различните производители прилагат тази функционалност по различни начини. При някои клавиатурата с ПИН код се намира директно на самото устройство, за други се използва специализиран софтуер на компютъра.

В първия случай устройството се оказва по-тромаво, но по-защитено от прихващане на ПИН кода, който може да се прочете чрез инсталиране на софтуерен или хардуерен кейлогър на машината на потребителя, ако се използва входен софтуер.

По-специално, Rutoken използва софтуер за въвеждане на ПИН кодове, което означава, че е потенциално уязвим.

Точно така, не е необходимо да инсталирате сертификати, но трябва да инсталирате драйвери на устройства, криптографски доставчици и други модули.

И това е допълнителен софтуер на ниско ниво със свои специфични характеристики и проблеми.

Да, това е вярно, но само при условие, че използвате крипто функциите на самото устройство (т.е. цялото криптиране и подписване се извършват от самия токен).

Това е най-безопасният вариант, но има редица ограничения:

  • пуснати алгоритми. Например, същият Rutoken (съдейки по тяхната документация) поддържа само GOST 28147-89 в хардуера. Всички други алгоритми, очевидно, вече са внедрени в софтуер, т.е. с извличане на частния ключ от хранилището.
  • скорост на интерфейса. Простите смарт карти като правило прилагат не най-бързите хардуерни интерфейси (най-вероятно с цел опростяване и намаляване на цената на устройството), например USB 1.1. И тъй като трябва да прехвърлите целия файл на устройството за подписване / криптиране, това може да причини неочаквани „спирачки“.

Въпреки това (отново, съдейки по документацията на Rutoken), токените могат да действат и просто като криптирано хранилище. Например, така работят те във връзка с CryptoPro CSP. Е, тогава изводът е очевиден - тъй като един софтуер има достъп до ключовете, значи друг може да го направи.

Допълнителни въпроси

Към списъка по-горе трябва да добавим още няколко въпроса, които също трябва да бъдат взети под внимание, когато решаваме дали да преминем към токени:

  • Как се актуализират сертификатите? Например, нито в уебсайта на Rutoken (в общите раздели и във форума), нито в документацията не намерих никакво споменаване за поддръжката на Rutoken за услугата за разпространение на ключове на Active Directory. Ако случаят е такъв (а самият Rutoken не предоставя други механизми за масово актуализиране на ключове), тогава всички ключове трябва да бъдат актуализирани чрез администратори, което създава свои собствени проблеми (защото операцията не е тривиална).
  • какъв софтуер се използва в предприятието и изисква крипто функции:
    • може да работи чрез доставчик на криптовалута (някои софтуери използват собствена реализация на крипто алгоритми и изисква само достъп до ключове)
    • може да използва криптографски доставчици, различни от стандартните
  • какъв допълнителен софтуер (в допълнение към драйверите за маркери) ще трябва да бъде инсталиран на работни станции и сървъри. Например, стандартният сертифициращ орган на Microsoft не поддържа генериране на ключове за GOST алгоритми (и маркерът може да не работи с други).