- Что такое электронная подпись
- Основные понятия в законе 63-ФЗ
- Виды электронных подписей
- Актуальные изменения в 63-ФЗ
- Сроки по изменениям в 63 ФЗ
- ФЗ № 63 об электронной подписи: обзор
- Состав закона
- Типы и сферы использования ЭЦП в соответствии с Российским законом
- Средства ЭЦП по ФЗ №63
- Средства для создания ЭЦП
- Порядок использования
- Законные способы получения ЭЦП
Правовым регулированием электронного обмена документами с использованием ЭДО является Федеральный закон № 63-ФЗ от 4 июня 2011 года; закон включает разделы о терминологии, видах электронных подписей, работе удостоверяющих центров и другие.
Электронная цифровая подпись обеспечивает безопасность EDI. Для его создания криптографический алгоритм преобразует информацию с помощью закрытого ключа. Это идентифицирует владельца сертификата и устанавливает целостность информации документа после аутентификации.
Цифровые подписи необходимы для различных сделок, государственных и муниципальных услуг, распространения документов b2b и b2g и в других случаях, предусмотренных законом.
Что такое электронная подпись
Цифровые подписи определяются федеральным законом как информация, относящаяся к заверяемым данным. Электронные цифровые подписи также связаны с данными об авторе документа.
Проще говоря, электронная подпись — это то же самое, что и собственноручная подпись, но в цифровой форме.
Электронные подписи призваны облегчить работу организаций и частных лиц. Его можно использовать для простой регистрации в электронном кассовом аппарате или для подачи налоговых деклараций.
См. другие определения, предусмотренные законом.
Основные понятия в законе 63-ФЗ
Сертификат соответствия (СС) — необходим для проверки соответствия ключа и идентификации ЭП и владельца сертификата Сертификат ключа проверки ЭП — это документ, который клиент получает от центра сертификации (ЦС).
Только аккредитованные ЦС или органы, признанные на федеральном уровне, уполномочены выдавать такие сертификаты; владельцем ЦС по закону признается лицо, на чье имя он выдан.
Ключ цифровой подписи — это уникальная строка символов, а ключ проверки — строка символов, подтверждающая подлинность ЭП.
ЦС создают, выпускают и поддерживают ЦС; ЦС должны быть аккредитованы. Чтобы получить аккредитацию, они должны соответствовать законодательным требованиям и иметь специальное программное обеспечение, устройства и компетентный персонал.
ЭП относится к набору криптографических устройств для генерации и проверки ЭП и ключей ЭП.
Участники электронного взаимодействия — физические и юридические лица, государственные органы, обмен информацией и данными.
Виды электронных подписей
Закон различает три из них.
Простые электронные подписи. Это логин и пароль для входа на сайт или SMS-код. Он создается в информационной системе. Обычно используется для банковских операций, аутентификации ДО, получения государственных услуг и в некоторых случаях для внутрифирменного EDI.
Простая подпись имеет такое же значение, как и собственноручная подпись, если это предусмотрено другим правовым актом или если между участниками ЕБРР существует соглашение. Последний определяет владельца простой ЭП и устанавливает правила поддержания конфиденциальности.
Электронные подписи без оговорок. Эти подписи в соответствии с федеральным законодательством имеют гораздо более широкий спектр возможностей. Эти электронные подписи создаются криптографической программой путем применения закрытого ключа. Он используется для определения владельца и проверки того, были ли внесены изменения в файл.
Клиент получает от ЦС два ключа ЭП (закрытый и открытый): первый хранится в брелоке с PIN-кодом или на компьютере владельца, известном только ему. Это создает ЭП для дальнейшего ввода пользователем. Общественность доступна для всех частей электронного обмена данными (EDI).
Она связана с Private, и получатель документа может определить, является ли подпись подлинной.
ЭП, о которой идет речь, может использоваться для всех видов ЭДО, но за рубежом договаривающиеся стороны заключают соглашения о правилах использования и взаимном признании юридической силы.
Усовершенствованная специальная электронная подпись. Как и предыдущий тип, эта подпись создается с помощью шифрования и открытого ключа. Однако, согласно правилам Федерального закона № 63, отличительной чертой признанной подписи является наличие признанного сертификата.
Программное обеспечение, на котором он работает, должно быть сертифицировано ФСБ. Также, согласно Федеральному закону № 63, специальные электронные подписи могут выдаваться только органами, аккредитованными Министерством связи и массовых коммуникаций.
Согласно 63-му Федеральному закону, специальные электронные подписи усиливаются без каких-либо дополнительных условий или согласия участников биржи. Подписи имеют юридическую силу в следующих случаях
— отчеты в государственные органы,.
— Работать с ИБ государственного сектора.
— Внутренний и внешний EDI.
В заключение следует отметить, что если организация или индивидуальный предприниматель используют ЭЦП, то электронный документооборот автоматически признается законом юридически значимым.
Актуальные изменения в 63-ФЗ
С 1 июля этого года вступили в силу поправки к 63-ФЗ «Об электронной подписи». Они были импортированы из 476-ФЗ.
Внесение изменений в положения Федерального закона № 63 ранее долгое время откладывалось, поскольку электронные подписи могли выдаваться не только владельцу, но и другим лицам. Часто совершались такие правонарушения, как создание нелегальных компаний. В связи с этим были ужесточены требования к ЦА.
— Увеличен минимальный пакет акций, и
— увеличилась сумма финансовой гарантии от убытков, и
— введены требования к деловой репутации директоров.
— Срок действия разрешения был сокращен.
После принятия изменений количество ЦС значительно сокращается, чтобы на рынке остались только самые надежные.
Кроме того, усиленные специальные электронные подписи могут выдаваться коммерческими УЦ только физическим лицам. Кроме того, такие физические лица могут использовать электронные подписи для сделок и для сделок, действуя от имени юридических лиц.
Кто может выдавать электронные подписи генеральному директору или любому другому лицу, имеющему право представлять компанию без доверенности?
Федеральное налоговое управление является первым органом, который может выдавать электронные подписи. Федеральная налоговая служба выдает электронные подписи всем организациям и индивидуальным предпринимателям, не являющимся кредитными организациями.
Банк России выдает ЭП кредитным организациям.
Федеральное министерство финансов выдает НЗ представителям финансовых учреждений.
Еще одним изменением в Федеральном законе № 63 является введение концепции электронных подписей в облаке. Подписи в облаке хранятся не у владельца, а в другом месте (например, на сервере оператора); ФНС выдает требование о получении этой подписи для соблюдения требований безопасности. Затем компании необходимо оснастить себя соответствующим программным обеспечением, и этот продукт готов к использованию на рынке.
Ожидается, что такие облачные электронные подписи появятся на рынке не ранее конца 2022 года. Власти должны будут издать нормативные акты.
Еще одним новшеством является то, что владелец электронной подписи получает ее лично. Раньше это можно было отправить курьером (или другим лицом), используя доверенность. Теперь личность эмитента электронной подписи является обязательной.
При этом юридическое лицо получает подпись организации в инспекции Федеральной налоговой службы, независимо от места его регистрации. Однако это удобно не для всех предпринимателей. Согласно закону, Федеральной налоговой службе и Банку России разрешено иметь доверенных партнеров, к которым предъявляются дополнительные требования.
Через такие доверенные и авторизованные центры сертификации можно выдавать цифровые подписи. Эти ЦС могут предоставлять услуги на месте для идентификации лиц и выдачи подписей.
Одним из изменений, внесенных новым законодательством, является введение доверенных третьих лиц. Это важно для тех, кто ведет бизнес с контрагентами в других странах. Это необходимо для того, чтобы убедиться, что документы подписаны надлежащим образом и не были изменены, чтобы их можно было пересмотреть.
Требования к доверенным третьим лицам также будут опубликованы в ближайшее время. Вполне возможно, что аккредитованные ЦС также являются такими сторонами. Они также будут проверять законность документов при трансграничном обмене документами.
Последним новшеством, введенным законом, является изменение порядка подписания. Головной сертификат, выданный Федеральным налоговым управлением или Центральным банком, содержит информацию о юридическом лице и его реквизитах. Для этой части процесс подписания максимально приближен к предыдущему механизму.
Для подписей других сотрудников (например, бухгалтеров, а не генеральных директоров), документ должен быть сначала подписан подписью физического лица (полученной в ЦА), а затем сопровождаться электронной доверенностью от имени генерального директора. Другими словами, закон предписывает использовать компьютерную доверенность: в итоге передается документ, содержащий подпись и доверенность в формате xml.
Сроки по изменениям в 63 ФЗ
Часть положений, которые должны были вступить в силу с 1 июля этого года, были несколько изменены (с учетом 166-ФЗ).
Действующие в настоящее время ключи электронной подписи будут действительны до 1 января 2022 года. Если срок их действия истекает, их можно получить по тем же правилам до 1 июля 2021 года. Аккредитованный ЦС может выдавать ключи еще в течение года.
После этого они продолжат функционировать до 1 января 2022 года, хотя и не будут получать ключи по старому порядку.
С 1 января 2021 года налоговые органы будут предоставлять ключи для электронных подписей. Существует также услуга по подаче заявлений в режиме онлайн.
С 1 января 2021 года вступают в силу положения о доверенных третьих сторонах и облачных подписях.
Полностью положения Закона 476 и выдача налоговыми органами ключей ЭП вступают в силу с 1 января 2022 года.
ФЗ № 63 об электронной подписи: обзор
Закон четко определяет процессы производства и использования EDA. Она затрагивает всех участников СЭД — от государственных контролирующих органов и удостоверяющих центров (УЦ) до клиентов, заверяющих документы в СЭД. Соблюдение правовых норм обеспечивает безопасность, целостность и неизменность документов, отправляемых всем участникам ETA.
ЭЦП строится на основе зашифрованного алгоритма шифрования и не может быть подделана (третьи лица не могут изменить или модифицировать подписанный документ).
Состав закона
Закон содержит нормативные положения, которые разделены на шесть групп.
Статьи 1-4, 6, 7 и 10 объясняют возможное использование ЭЦП, обязательства участников ЭЦП и терминологию.
Статья 5 описывает типы и характеристики ЭЦП.
Статьи 9 и 11 объясняют принципы работы как простых, так и признанных ЭЦП.
Статьи 13, 15 и 16 касаются ПР, процессов аккредитации, прав и обязанностей и т.д.
Статьи 12, 14 и 17 описывают инструменты для создания и проверки ЭЦП.
Статья 18 описывает процесс создания и предоставления EDA.
Статьи 19 и 20 содержат заключительные положения, определяющие дату вступления в силу СЭП.
Типы и сферы использования ЭЦП в соответствии с Российским законом
Федеральный закон № 63 определяет два вида ЭЦП: простую (ПЭКП) и усиленную. Усовершенствованные далее делятся на специализированные (EDS) и неспециализированные (NECP).
PEP создаются без шифрования и паролей. В качестве примера можно привести одноразовый SMS-код, предоставляемый пользователю для входа на сайт, и пароль, отправляемый по электронной почте. ЭЦП не подходит для передачи юридических документов, поскольку их можно легко подделать; ЭЦП подходит только для
Внутренний и внешний документооборот. Однако только для дополнений между договаривающимися сторонами.
Услуги от частных лиц на веб-сайте ESIA.
Удаленная интеграция с арбитражными судами.
NECP отличается от PECP тем, что позволяет не только доказать авторство, но и определить, был ли документ изменен с момента его подписания; NECP можно получить в любом УЦ, даже неаккредитованном. Сегодня эта подпись менее важна, но все еще используется некоторыми компаниями для EDI с другими организациями или частными лицами. Основным условием является то, что обе стороны должны согласиться признать действительность АДР; ЭЦП генерируется криптографическим алгоритмом, аналогичным НЭП, и имеет следующие характеристики
Он производится только прокурорами, аккредитованными Министерством связи и информации.
Для легального использования ЭПК требуется криптопровайдер, аккредитованный ФСБ.
В этом случае сертификат гарантирует юридическую силу документа без дополнительного согласования, в соответствии с Федеральным законом № 2,63, и подходит для всех отраслей бизнеса.
Корпоративный документооборот.
Участие в онлайн-аукционах, аукционах и конкурсах.
Передача запросов и отчетов в FTA, FIS и другие государственные органы.
Взаимодействие с государственными реестрами, такими как Росреестр, ГИС ГМП, ЦБ, EMEA.
Регистрация ККМ и подписание договоров с ОФД.
Электронные документы, подписанные ЭЦП, имеют такую же юридическую силу, как и собственноручные подписи.
Средства ЭЦП по ФЗ №63
ЭЦП — это не просто свойство документа, а целая серия процессов шифрования. Получатель может проверить наличие ЭЦП только в свойствах документа, но не саму подпись. Некоторые программные модули и приложения предоставляют возможность пометить файл как «документ, подписанный ЭП». На штампе написаны имя отправителя, номер ЭЦП и срок ее действия.
Средства для создания ЭЦП
ЭЦП не может быть создана сама по себе; Закон об AED четко предусматривает набор конкретных инструментов для создания AED.
Закрытый ключ — серия символов, сгенерированная самой ЭЦП. Инструмент также позволяет пользователю расшифровывать документы, которые отправитель может зашифровать с помощью открытого ключа.
Открытый ключ — это случайный набор символов, который находится в свободном доступе для всех участников EDI. Ключ предназначен для шифрования пакетов данных и аутентификации документов.
Сертификат открытого ключа для проверки ЭЦП. Документ подтверждает, что открытый ключ закреплен за конкретным лицом, связывая цифровую последовательность с владельцем; PKPEC может быть предоставлен в электронном или бумажном формате; процесс EDI автоматически отправляет его получателю вместе с аутентифицированным файлом.
Все сертификаты и ключи могут быть отправлены пользователю по электронной почте или записаны на обычный флэш-накопитель. Оба этих метода совершенно бесплатны, но обеспечивают относительно низкий уровень безопасности. Для полной защиты и резервного копирования данных рекомендуется приобрести в сертифицированном центре выделенный носитель данных (токен) и хранить средства ЭЦП на нем.
USB-токены можно использовать для усиления защиты ключей с помощью двухфакторной аутентификации. Пользователь должен ввести пароль для аппаратного ключа. В противном случае ключ, хранящийся в аппаратном ключе, не может быть использован.
Если оборудование не имеет встроенного провайдера шифрования, пользователь должен дополнительно приобрести и установить на устройство соответствующее программное обеспечение. Большинство рыночных и государственных систем интегрированы с программным обеспечением КриптоПро CSP. Это связано с тем, что без криптографической защиты ключ не может быть использован для генерации ЭЦП.
Порядок использования
Процесс подписания и шифрования информации выглядит следующим образом
Владелец сертификата проверяет подлинность документа с помощью плагина или внешней программы, «встроенной» в редактор. Закрытый ключ имеет отношение к процессу генерации ЭЦП.
При необходимости подписант шифрует документ с помощью сертификата открытого ключа (который должен быть заранее получен от получателя и загружен на рабочее место).
Получатель получает документ и расшифровывает его с помощью закрытого ключа.
В соответствии с Федеральным законом 63, партии взаимосвязанных документов могут быть подписаны одним сертификатом. Каждый из них содержится в общей партии и автоматически сертифицируется выбранной ЭЦП; формат ЭЦП также может быть выбран.
Отключен (отправлен в отдельном документе).
Attached (прилагается к документу).
Законные способы получения ЭЦП
В конце 2020 года Федеральный закон № 63 приобрел юридическую силу. В настоящее время покупатели CEPC могут получать подписи и сертификаты только напрямую.
Принципы получения КЭКП
Чтобы получить ЭЦП, заявитель должен сначала подтвердить свою личность одним из следующих способов
Личное посещение центра сертификации.
Удаленная регистрация с действующим сертификатом KECP.
Предоставление биометрических данных из заграничного паспорта или ЕВС.
Подтверждение личности не требуется для простой ЭЦП, так как она не подходит для передачи конфиденциальной информации. Подписи можно получить как через уполномоченных лиц, так и лично.
Существуют дополнительные требования к представителям юридического лица, подающего заявление на ADR.
Сотрудники компании должны лично явиться в офис, иметь нотариально заверенную доверенность и получить справку от директора.
Руководители имеют право получать CEPC для себя и своих сотрудников (например, специалистов, ответственных за подачу тендерных заявок).
Во втором случае работники должны подписать форму заявления на подготовку QECP.
Федеральный закон № 476 внес важные поправки в закон № 476.63 Уже в 2022 году вступят в силу поправки, затрагивающие практически всех участников ЭДО.
Только руководители могут получать подписи от компаний. Другие сотрудники должны обращаться в центр сертификации только как частные лица для получения подписей для выполнения своих задач (например, для отправки договоров или бухгалтерских документов).
Организации могут заказать неперсональную ЭЦП для подписания технических документов.