Добавлен: 05.05.2024
Просмотров: 41
Скачиваний: 0
ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.
Усиленная квалифицированная электронная подпись – подпись, представленная в виде ключа, созданного с помощью криптографических средств, сертифицированных ФСБ РФ. Имеет все свойства, присущие простой и неквалифицированной подписям, но в отличие от них выдаётся только в аккредитованных удостоверяющих центрах. Обладает высокой степенью защиты. Приравнивается к бумажному документу, подписанному собственноручной подписью. Квалифицированную электронную подпись можно применять для сдачи отчетности в контролирующие органы, участия в качестве поставщика и заказчика в электронных торгах, работы с государственными информационными системами, обмена формализованными документами с ФНС и деятельности электронный документооборот внутри компании или с ее внешними контрагентами. [24]
-
Приказ Минфина РФ от 10.11.2015 № 174н (Зарегистрирован в Минюсте России 18.02.2016 N 41145) «Об утверждении порядка выставления и получения счетов-фактур в электронном форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи» определяет порядок выставления и получения счетов-фактур в электронной форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи. [22] -
Постановление Правительства РФ от 25.06.2012 N 634 (ред. от 27.08.2018) «О видах электронной подписи использование которых допускается при обращении за получением государственных и муниципальных услуг» устанавливает порядок определения видов электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг. Включает: Правила определения видов электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг и Критерии определения видов электронной подписи, использование которых допускается при обращении за получением государственных и муниципальных услуг. [19] -
Приказ ФСБ РФ от 27.12.2011 г. N 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи», который регулирует требования к форме квалифицированного сертификата ключа проверки электронной подписи. Включает: Требования к совокупности полей квалифицированного сертификата, Требования к порядку расположения полей квалифицированного ключа, Требования к форме квалифицированного сертификата на бумажном носителе и Общий вид квалифицированного сертификата на бумажном носителе для владельца – физического/юридического лица. [23] -
Приказ ФСБ РФ от 09.02.2005 N 66 (ред. от 12.04.2010) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» (Зарегистрировано в Минюсте РФ 03.03.2005 N 6382). Положение регулирует отношения, возникающие при разработке, производстве, реализации и эксплуатации шифровальных криптографических средств защиты информации с ограниченным доступом, не содержащей сведений, составляющих государственную тайну. Включает: Порядок разработки СКЗИ, Порядок производства СКЗИ, Порядок реализации СКЗИ и Порядок эксплуатации. СКЗИ (средство криптографической защиты информации) – это программа или устройство, предназначенное для кодирования документов и создания электронной подписи. [20] -
Приказ ФТС РФ от 25.10.2011 N 2187 «Об утверждении Положения об использовании участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, средств электронной подписи при реализации информационного взаимодействия с таможенными органами Российской Федерации» (Зарегистрировано в Минюсте РФ 27.12.2011 N 22786). Положение об использовании участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, средств электронной подписи при реализации информационного взаимодействия с таможенными органами Российской Федерации определяет условия и единый порядок использования средств электронной подписи участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, при осуществлении информационного взаимодействия с таможенными органами Российской Федерации. [21] -
ГОСТ Р 34.11-2012. Национальный стандарт Российской Федерации. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Разработан Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»). Внесён Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации». Утверждён и введен в действие приказом Федерального агентства по техническому регулированию и метрологии № 215-ст от 7 августа 2012 года в качестве национального стандарта Российской Федерации с 1 января 2013 года. Взамен ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Содержит описание процессов формирования и проверки электронной подписи. Стандарт определяет схему электронной подписи, процессы формирования и проверки цифровой подписи под заданным документом, передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения. Внедрение ЭП на основе настоящего стандарта повышает, по сравнению с ранее действовавшей схемой цифровой подписи, уровень защищенности передаваемых сообщений от подделок и искажений. Стандарт рекомендуется применять при создании, эксплуатации и модернизации систем обработки информации различного назначения. [5] -
ГОСТ Р 34.10-2018. Межгосударственный стандарт. «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Разработан Центром защиты информации и специальной связи ФСБ России с участием Открытого акционерного общества «Информационные технологии и коммуникационные системы» (ОАО «ИнфоТеКС»). Внесён Техническим комитетом по стандартизации ТК 26 «Криптографическая защита информации». Принят Межгосударственным советом по метрологии, стандартизации и сертификации (протокол от 29 ноября 2018 г. N 54). Приказом Федерального агентства по техническому регулированию и метрологии от 4 декабря 2018 г. N 1059-ст Межгосударственный стандарт ГОСТ 34.10-2018 введен в действие в качестве национального стандарта Российской Федерации с 1 июня 2019 г. Стандарт подготовлен на основе применения ГОСТ Р 34.11-2012. Введён впервые. Стандарт определяет схему электронной подписи, процессы формирования и проверки цифровой подписи под заданным документом, передаваемым по незащищенным телекоммуникационным каналам общего пользования в системах обработки информации различного назначения. [4] -
ГОСТ Р 7.0.97-2016. «Национальный стандарт Российской Федерации. Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов» (утв. Приказом Росстандарта от 08.12.2016 N 2004-ст) (ред. от 14.05.2018). Возник новый реквизит «Отметка об электронной подписи». Электронный документ, заверенный ЭП, при визуализации, сканировании либо распечатке должен иметь эту отметку. Отметка располагается на том месте, где должна быть собственноручная подпись. В соответствии с законодательством Российской Федерации отметка об электронной подписи содержит фразу «Документ подписан электронной подписью» номер сертификата ключа электронной подписи, фамилию, имя, отчество владельца сертификата, срок действия сертификата ключа ЭП. Отметка об электронной подписи может включать изображение герба, эмблемы органа власти (организации), товарного знака (знака обслуживания) организации в соответствии с функционирующим законодательством. ГОСТ Р 7.0.97-2016 обязует, чтобы отметка была видимой и читаемой, когда документ изображается в натуральную величину. Элементы отметки не должны загораживать друг друга и другие элементы текста. [7]
Электронная подпись является результатом криптографических преобразований. Увидеть изображение электронной подписи, нельзя ни на физическом носителе, ни на самом документе. Она не похожа на подпись, оставленную шариковой ручкой. Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Обнаружить можно только факт её наличия в электронном документе. Для этого требуется открыть файл документа, подписанного электронной подписью, в формате .sig через программу-криптопровайдер и затем выбрать строчку «Подписанные данные» (или другое подобное название). При просмотре в окне отображаются данные о подписи и сертификате: факт использования подписи, время создания, идентификатор ресурса, алгоритм подписи и хеширования. [10]
Рисунок 1. Информация о подписи и сертификате.
Электронная подпись на документе выглядит как реквизит, составная часть файла. Иногда в зависимости от типа подписи можно наблюдать набор символов или графическую картинку. Однако именно невидимая подпись является самой надежной. Документ, который подписан электронной подписью обозначается специальным значком и его запрещается редактировать. При его распечатке на бумагу подпись увидеть нельзя.
Электронная подпись – результат криптографических преобразований и обнаружить как выглядит подпись нет возможности, но можно увидеть её физический носитель. Таких носителей четыре: flash-накопитель, токен, smart-карта и sim-карта с чипом. 1) Flash-накопитель – это компактное устройство в виде USB-флешки с flash-памятью для хранения информации; 2) Токен – компактное устройство, предназначенное для информационной безопасности пользователя. Представлено в виде флешки; 3) Smart-карта – пластиковая карта, которая внешне и размерами похожа обыкновенную банковскую карту, предоставляющая осуществлять криптографические операции; 4) Sim-карта с чипом – карта мобильного оператора с java-приложением.
Наиболее безопасным на сегодняшний момент является носитель в виде токена. А также он более удобен в эксплуатации. Не требует для подключения дополнительного оборудования и программ. Поддерживает работу со всеми основными операционными системами и приложениями. В случае утери или кражи токена злоумышленник не сможет им воспользоваться. Только владелец знает код для его активации. Технически взломать токен все же можно, но для этого нужны высококвалифицированные специалисты и время, за которое владелец сможет предпринять необходимые меры. Мошенник, который украл флеш-накопитель или телефон со специальной сим-картой, будет иметь полный доступ к электронной подписи.
Созданием и выдачей сертификатов электронной подписи занимается удостоверяющий центр. Удостоверяющий центр (УЦ) – доверенная организация, которая имеет право издавать сертификаты электронной подписи юридическим и физическим лицам. В соответствии с Постановлением Правительства РФ от 28.11.2011 №976 (ред. от 25.09.2018) «О федеральном органе исполнительной власти, уполномоченном в сфере использования электронной подписи» функции головного удостоверяющего центра в отношении аккредитованных УЦ выполняет Министерство связи и массовых коммуникаций Российской Федерации. [39]
На портале уполномоченного федерального органа в области использования электронной подписи можно найти действующий УЦ по любому городу. В городе Тамбове функционирует три центра:
-
Государственное учреждение – Отделение Пенсионного фонда Российской Федерации по Тамбовской области -
Тамбовское областное государственное бюджетное учреждение «Региональный информационно-технический центр». -
Частное учреждение дополнительного профессионального образования «Учебно-информационный центр».
На портале уполномоченного федерального органа в области использования электронной подписи есть информация о любом действующем удостоверяющем центре в конкретном городе и по всей России. [29]
Рассмотрим получение электронной подписи на конкретном примере – Тамбовского областного государственного бюджетного учреждения «Региональный информационно-технический центр». Данный удостоверяющий центр выполняет свою работу согласно Федеральному закону от 06.04.2011 N 63-ФЗ «Об электронной подписи», положениям Регламента регионального удостоверяющего центра органов государственной власти Тамбовской области и на основании договоров между Удостоверяющим центром и участниками обмена электронными документами. В деятельности удостоверяющего центра ТОГБУ «РИТЦ» применяются сертифицированные средства ЭП. Электронный документ или электронное сообщение с электронной подписью обладает юридической силой при реализации отношений, отмеченных в сертификате ключа подписи, выданном ТОГБУ «РИТЦ». [11]
Приобретение ЭП в Удостоверяющем центре ТОГБУ «РИТЦ» предполагает изучение регламента Удостоверяющего центра и руководства по обеспечению безопасности использования квалифицированной электронной подписи, заполнение заявления на регистрацию пользователя в Реестре РУЦ ОГВ ТО. Определить вид подписи: простая электронная подпись и усиленная электронная подпись (квалифицированная и неквалифицированная). Требуется предоставить готовые документы в пункт приема заявлений УЦ и заключить договор на оказание услуги. Такая услуга является платной и её необходимо оплатить. Получить ключевую информацию, фиксируется на носителе клиента (USB-флеш-накопитель, ruToken, eToken). Запись ключевой информации производится на чистые носители заказчика. Рекомендуется защитить данную информацию от повреждения вирусами или случайного удаления. Восстановить полученную ключевую информацию нельзя. [12]
Документы, которые требуется предъявить в УЦ для регистрации пользователя и создания сертификата ключа проверки электронной подписи:
1. Заявление на изготовление сертификата ключа проверки электронной подписи:
- Для юридических лиц;
- Для физических лиц и ИП;
- Для информационных систем;
В обязательном порядке нужно заполнить такие поля: ФИО должность, название юридического лица, город (населенный пункт), регион, страна, адрес электронной почты, ИНН, ОГРН, СНИЛС и область использования сертификата
2. Согласие на обработку персональных данных (составляется на собственника сертификата ключа подписи, заполняется лично):
3. Документы, подтверждающие точность информации, переданной заявителем для зачисления в квалифицированный сертификат или соответствующим образом заверенные копии:
• основной документ, удостоверяющий личность предстоящего владельца сертификата ключа подписи (паспорт гражданина РФ);
• страховое свидетельство государственного пенсионного страхования заявителя - физического лица;
• выписка из ЕГРЮЛ, приобретенная не раньше, чем за шесть месяцев до дня выпуска сертификата;
• свидетельство о постановке на учет в налоговом органе заявителя - юридического лица;
• доверенность уполномоченного представителя юридического лица (для физических лиц и индивидуальных предпринимателей) на приобретение сертификата ключа подписи и его паспорт. Это в случае если сертификат ключа будет получать не владелец, а его представитель. Для физических лиц доверенность нужно нотариально заверить.
4. Реквизиты, которые потребуются для заключения договора.
Для работы ЭП на компьютере пользователя должен быть установлен криптопровайдер КриптоПро CSP (версии 3.9 и выше). Безлимитное разрешение на КриптоПро CSP 4.0 можно получить в ТОГБУ "РИТЦ".
Для правильной эксплуатации электронной подписи должна быть установлена полная цепочка сертификатов УЦ и списки отозванных сертификатов. Чтобы проверить сертификаты, выданные удостоверяющим центром требуется установить полную цепочку корневых сертификатов до Головного УЦ. Приобрести такую цепочку сертификатов можно в удостоверяющем центре при выдаче личного сертификата или скачать её на сайте. Сначала устанавливается сертификат Головного удостоверяющего центра.
Применять электронный документ может любой человек в своих целях, которые не должны возражать закону. Проверять документ с использованием электронной подписи нужно по таким причинам: 1) определяет подлинность документа; 2) распознает личность собственника подписи; 3) можно убедиться в том, что документ не был послан по ошибке. Без специализированного обслуживания проверить подлинность нельзя. Самостоятельно расшифровать код не получится. Техническая процедура проверки сложна и без вычислительной машины невозможна, потому что уровень надежности и защищенности этих документов должен быть высок. [13]
Фальсифицировать ЭП возможно, но это нелегко. Нередко бывает, когда квалифицированная электронная подпись применялась без разрешения владельца. Злоумышленники запускают опасную программу в ПО. Она показывает на экран один документ, а пользователь закрепляет электронной подписью другой, который попадает адресату. В итоге в банк поступает платежное поручение, созданное вредоносной программой.
Главные атаки на ЭП – это похищение ключа, замена подписываемой информации и доступ без официального разрешения к системе электронной подписи (например, USB-токену через кражу его PIN-кода). Возможные варианты мошенничества с ЭП: физические преступления, технологические преступления и социальные. [37]
Электронная подпись может использоваться в таких сферах, как: 1) электронный документооборот, 2) электронная отчётность, 3) государственные услуги, 4) электронные торги, 5) арбитражный суд, 6) документооборот с физическими лицами. [31]
1.Электронный документооборот. Технология электронной подписи обширно применяется в системах электронного документооборота для разных целей: внешнего и внутреннего обмена, организационно-распорядительного, кадрового, законотворческого, торгово-промышленного и другого. Это обосновано тем, что электронная подпись может быть использована как аналог собственноручной подписи или печати на бумажном документе.
