Алексей Апкаликов, СберКорус: Потерять саму ЭП нельзя, однако можно потерять токен

Алексей Апкаликов, директор Удостоверяющего центра СберКорус, оператора электронного документооборота рассказал Cyber Media, как обезопасить себя и свой бизнес при работе с электронной подписью, как ее получить и пользоваться.

Cyber Media: Какие виды электронной подписи существуют? Чем они отличаются с точки зрения форматов носителей, стоимости, уровня значимости?

Алексей Апкаликов: Электронная подпись — это цифровые данные, которые позволяют определить лицо, подписавшее электронный документ. ЭП имеет такую же юридическую силу, как собственноручная подпись на бумажном документе.

Различают следующие виды ЭП: простая ЭП, усиленная квалифицированная ЭП и усиленная неквалифицированная ЭП.

Простая ЭП (ПЭП) формируется с использованием кодов и паролей. К примеру, СМС-код подтверждает факт формирования электронной подписи определенным лицом. Чаще всего используется для авторизации на интернет-сайтах и порталах, в мобильных приложениях. ПЭП не позволяет проверить и установить отсутствие изменений в подписанном электронном документе после его подписания.

Использование ПЭП равнозначно собственноручной подписи. Оно регулируется соглашением между участниками электронного взаимодействия, или в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами, нормативными актами ЦБ РФ, за исключением тех, которые оформляются только на бумажном носителе или с использованием усиленной квалифицированной электронной подписи (УКЭП).

УКЭП — это аналог собственноручной подписи на бумажном носителе в силу Федерального закона № 63-ФЗ «Об электронной подписи» и используется в любых юридически значимых электронных действиях и сделках, за исключением случаев, когда документы должны быть подписаны только на бумаге.

Для формирования УКЭП необходимы сертифицированные ФСБ России средства ЭП. Такой вид ЭП применяется в следующих случаях:

• для регистрации электронных сделок с недвижимостью;
• обмена юридически значимыми документами с контрагентами и госорганами (в том числе для сдачи обязательной отчетности);
• участия в коммерческих и государственных торгах;
• в электронных закупках и торгах по банкротству;
• в электронном документообороте;
• для оформления тендерной документации;
• в процессах, связанных с образованием, обращением в суды РФ и для упрощения пользования государственными услугами и подачи налоговых деклараций.

Усиленная неквалифицированная электронная подпись (УНЭП) позволяет обнаружить факт внесения изменений в электронном документе после подписания. УНЭП, как и простая ЭП, имеет юридическую силу при заключении соглашения между участниками электронного взаимодействия. Чаще всего использование и применение УНЭП ограничено определенной системой или сервисами, и использование вовне невозможно.

Средняя стоимость базового квалифицированного сертификата ЭП начинается от 1000 рублей и может увеличиваться за счет дополнительных услуг: настройки рабочего места, выездной идентификации заказчика ЭП, лицензии для криптопровайдера.

Cyber Media: Где нужно получать сертификат ЭП, куда обращаться, чтобы подпись была валидной?

Алексей Апкаликов: Физическим лицам услуги по выдаче квалифицированных сертификатов ЭП оказывают коммерческие аккредитованные удостоверяющие центры — можно обратиться в любой ближайший. Список аккредитованных удостоверяющих центров доступен на сайте Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации.

Руководители юрлиц получают сертификат электронной подписи в Удостоверяющем центре ФНС или у его доверенных лиц. В коммерческих УЦ можно приобрести токен и лицензию КриптоПро CSP – средство криптографической защиты информации. Они потребуются для получения и работы с сертификатом от УЦ ФНС. УЦ Федерального казначейства выдает сертификаты всем бюджетным организациям и их руководителям. Удостоверяющий центр ЦБ РФ выдает сертификаты руководителям кредитных и финансовых организаций.

Индивидуальный предприниматель для использования в правоотношениях предпринимательской деятельности выпускает квалифицированный сертификат ЭП физического лица, но в нем указаны не только его персональные данные, но и основной государственный регистрационный номер индивидуального предпринимателя (ОГРНИП), В электронном взаимодействии как ИП обязательно применение сертификата ИП, содержащего ОГРНИП. ИП также получают сертификат ЭП в УЦ ФНС или у его доверенных лиц на сайте ФНС, а токен и лицензию КриптоПро CSP ИП могут купить в коммерческих УЦ.

Cyber Media: Существуют ли различия в токенах, на которые записывается усиленная квалифицированная подпись? В чем эти различия?

Алексей Апкаликов: В практике используется два вида токенов: токены без СКЗИ (пассивные) и токены с СКЗИ (активные), которые чаще всего сертифицированы ФСБ России. Продажа последних токенов разрешена тем, у кого имеется лицензия спецслужбы на распространение шифровальных средств.

Активные токены могут работать как пассивные, но одновременно являются СКЗИ и для работы КЭП не требуется внешняя программа криптозащиты.

Пассивные токены не имеют встроенного СКЗИ, а для работоспособности КЭП придется установить дополнительную программу – средство криптографической защиты информации, чаще всего используется КриптоПро CSP, для которого необходимо приобретать дополнительную лицензию на право использования программного обеспечения.

Также возможен способ хранения ключей ЭП в мобильном приложении, созданном на базе сертифицированного средства электронной подписи. Использование такой ЭП доступно в рамках ограниченных сервисов или порталов, которых становится все больше.

Cyber Media: Когда для использования ЭП понадобится расширенная лицензия «КриптоПро CSP»? И сколько стоит приобретение такой лицензии?

Алексей Апкаликов: Приобретение лицензии требуется в случае, если сертификат ЭП записан на токен с пассивным хранением ключа, бессрочная лицензия в среднем стоит 2700 рублей, годовая лицензия — около 1350 рублей. Также есть лицензия, встраиваемая в состав сертификата в момент его создания, она стоит около 1000 рублей.

Cyber Media: Как обезопасить себя при использовании ЭП для заключения сделок?

Алексей Апкаликов: Для любого типа ЭП необходимо обеспечивать конфиденциальность ключа электронной подписи, с помощью которого создается ЭП к электронному документу, а также не передавать носитель ключа электронной подписи посторонним лицам, чтобы обеспечить сохранность данных и предотвратить ущерб и потерю активов.

Главные меры предосторожности и профилактики для защиты ключа ЭП включают такие действия:

• хранить ключ ЭП на сертифицированном носителе, который гарантирует невозможность извлечения закрытого ключа;
• не передавать носитель ключа (токен) ЭП третьим лицам и не предоставлять им пин-код от токена;
• регулярно менять пин-код к токену после получения ЭП для предотвращения несанкционированного доступа;
• использовать сложные пин-коды, не связанные с личной информацией, такой как даты рождения и избегать использования одних и тех же паролей на всех ресурсах, чтобы диверсифицировать риски.

У ЭП есть механизмы защиты. Потерять саму ЭП нельзя, однако можно потерять носитель ключа (токен) ЭП. В случае столкновения с угрозой компрометации электронной подписи или же потере носителя ключа (токена) ЭП необходимо немедленно уведомить удостоверяющий центр, где была выпущена ЭП, в случае угрозы компрометации электронной подписи для прекращения действия сертификата ЭП.

Если потеряли или повредили токен ключа ЭП, то нужно незамедлительно сообщить о случившемся в УЦ, где он был выпущен для его отзыва и получения нового после повторного прохождения идентификации. Восстановить ключ ЭП невозможно, потому что он хранится в единственном экземпляре у его владельца.