А что же контур?
Удостоверяющий центр Контура аккредитован по новым правилам и соответствует всем требованиям, предъявляемым законом об электронной подписи.
В ближайшее время планируем сотрудничать с УЦ ФНС, чтобы стать доверенным лицом, которое поможет выдавать электронные подписи руководителям юр.лиц и ИП.
Также Контур участвует в разработке нормативно-правовых актов, которые регулируют применение электронных доверенностей. И планирует участвовать в подготовке системы этих доверенностей. А наши сервисы будут поддерживать работу таких доверенностей со всеми информационными системами, с которыми они взаимодействуют.
(для подробного просмотра нажмите на крестик):
2. Обязанности УЦ ФНС России
3.2.1. Информировать в письменной форме заявителей по их письменному запросу об условиях и о порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и о мерах, необходимых для обеспечения безопасности ЭП и их проверки.
3.2.2. Предоставлять безвозмездно любому лицу по его письменному запросу сведения, содержащиеся в реестре квалифицированных сертификатов УЦ ФНС России, в том числе сведения об аннулировании сертификата.
3.2.3. Обеспечивать конфиденциальность создаваемых КЭП.
3.2.4. Отказать заявителю в создании КСКПЭП в случае, если не было подтверждено то, что заявитель владеет КЭП, который соответствует КПЭП, указанному заявителем для получения КСКПЭП.
3.2.5. Отказать заявителю в создании КСКПЭП в случае отрицательного результата проверки в реестре УЦ ФНС России уникальности КПЭП, указанного заявителем для получения КСКПЭП.
3.2.6. Отказать в выдаче КСКПЭП в случае, если заявитель не дал письменного согласия на обработку своих персональных данных.
3.2.7. Отказать в выдаче КСКПЭП в случае, если не было подтверждено, что заявитель владеет КЭП, который соответствует КПЭП, указанному заявителем для получения КСКПЭП.
3.2.8. Отказать в выдаче КСКПЭП в случае, если заявитель отказывается или уклоняется от посещения точки выдачи УЦ ФНС России или Доверенного лица лично, когда это необходимо в целях подтверждения его волеизъявления, предоставленной им информации и документов или удостоверения его личности в случаях, установленных Законом N 63-ФЗ”.
3.2.9. Отказать в создании и выдаче КСКПЭП, если заявитель (в случае самостоятельного создания КЭП) не использовал аппаратную реализацию генерации ключевых пар с помощью ключевого носителя, имеющего действующий сертификат ФСБ России.
3.2.10. Отказать в выдаче КСКПЭП в случае, если заявитель не согласился с обработкой и хранением персональных данных с помощью технических средств.
3.2.11. Отказать в выдаче КСКПЭП, если заявитель не предоставил соответствующий требованиям ключевой носитель в случаях, предусмотренных пунктом 5.1.1 настоящего Регламента.
3.2.12. Использовать для создания КСКПЭП средства УЦ ФНС России, имеющие подтверждение соответствия требованиям действующего законодательства.
3.2.13. Оказывать в предоставлении услуги в соответствии с требованиями, устанавливаемыми Федеральным законом N 63-ФЗ, другими Федеральными законами и принимаемыми в соответствии с ними нормативными актами.
3.2.14. Осуществлять проверку достоверности документов и сведений, представленных заявителем с использованием инфраструктуры СМЭВ и (или) доступных государственных информационных ресурсов. В случае осуществления идентификационных действий, затребовать результаты проверки до изготовления КСКПЭП.
3.2.15. Вносить в создаваемые КСКПЭП только достоверную и актуальную информацию, подтвержденную соответствующими документами и (или) сведениями, полученными из государственных реестров.
3.2.16. При выдаче КСКПЭП установить личность заявителя – физического лица. Идентификация заявителя проводится при его личном присутствии или посредством идентификации заявителя без его личного присутствия с использованием квалифицированной ЭП при наличии действующего квалифицированного КСКПЭП либо посредством идентификации заявителя – гражданина Российской Федерации с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина Российской Федерации за пределами территории Российской Федерации, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные, или путем предоставления сведений из единой системы идентификации и аутентификации и единой биометрической системы.
При этом в случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия отказывается от использования шифровальных (криптографических) средств, указанных в части 19 статьи 14.
3.2.17. В течение срока деятельности УЦ ФНС России, если более короткий срок не предусмотрен нормативными правовыми актами Российской Федерации, хранить информацию о реквизитах основного документа, удостоверяющего личность владельца КСКПЭП – физического лица; о наименовании, номере и дате выдачи документа, подтверждающего право лица, выступающего от имени заявителя – юридического лица, обращаться за получением КСКПЭП.
3.2.18. Для подписания КСКПЭП заявителей от имени УЦ ФНС России использовать квалифицированную ЭП, основанную на КСКПЭП, выданном Головным удостоверяющим центром.
3.2.19. Осуществлять формирование и ведение реестра УЦ ФНС России.
3.2.20. Обеспечивать круглосуточную доступность реестра выданных и аннулированных сертификатов УЦ ФНС России в сети Интернет, за исключением периодов планового или внепланового технического обслуживания.
3.2.21. Обеспечивать актуальность информации, содержащейся в Реестре УЦ ФНС России, и ее защиту от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий.
3.2.22. Направить сведения о выданном КСКПЭП в Единую систему идентификации и аутентификации (ЕСИА).
3.2.23. По желанию владельца КСКПЭП безвозмездно осуществить его регистрацию КСКПЭП в Единой системе идентификации и аутентификации с проведением его идентификации при его личном присутствии в соответствии с пунктом 5 статьи 18 Федерального закона N 63-ФЗ “Об электронной подписи”.
3.2.24. Исполнять прочие обязанности, предусмотренные Федеральным законом N 63-ФЗ “Об электронной подписи”, другими Федеральными законами и иными нормативными актами.
Меры предосторожности
Не передавайте ключевой носитель третьим лицам, даже тем, кому вы доверяете!
Если вы руководитель организации и ваш сотрудник должен подписывать документы с помощью электронной подписи, обеспечьте его собственным ключевым носителем с закрытым ключом электронной подписи и сертификатом на его имя, а также выдайте доверенность на подписание документов.
Обеспечьте надежное хранение носителя с электронной подписью (ключевой носитель), которое исключает доступ к нему посторонних лиц (например, храните его в сейфе). Не оставляйте ключевой носитель подключенным к компьютеру без присмотра.
При потере или краже ключевого носителя незамедлительно обратитесь с заявлением на отзыв сертификата в удостоверяющий центр, который его выдал.
Замените «заводской» пароль (PIN-код)ключевого носителя на свой собственный при получении электронной подписи, как вы это делаете с банковской картой. Обеспечьте надежное хранение пароля, исключите доступ к паролю любых лиц.
Внимательно читайте документы при оформлении различных сервисов в организациях, оказывающих услуги для бизнеса и банках. Если вы видите в тексте соглашения словосочетание “электронная подпись”, уделите этому разделу особое внимание. Возможно, на вас оформят сертификат электронной подписи, закрытый ключ от которой будет храниться в недоступном для вас месте.
Не соглашайтесь на предложения выдать электронную подпись без личной явки при первичном ее получении. Во-первых, это незаконно. Во-вторых, закрытый ключ могут скопировать, и так же, как в предыдущем сценарии, использовать его без вашего ведома для формирования электронной подписи на электронном документе.
Регулярно проверяйте информацию о выпуске на ваше имя сертификатов электронных подписей на Едином портале государственных и муниципальных услуг (Госуслуги). Информация о выпущенных на ваше имя электронных подписях и удостоверяющих центрах, которые их выпустили, размещены на сайте «Госуслуги» в вашем личном кабинете в разделе “Настройки и безопасность” => “Электронная подпись”.
Методологические рекомендации по использованию носителей ключевой информации (защищенных ключевых носителей)
К началу страницы
Свойство экспортируемости или неэкспортируемости закрытого ключа присваивается на этапе формирования закрытого ключа и записи его на ключевой носитель. Указанное свойство может быть реализовано в средствах электронной подписи и управляться его настройками, которые следует установить до формирования закрытого ключа.
Для экспортируемых закрытых ключей доступно их копирование, что несет риски нарушения конфиденциальности закрытого ключа.
Для копирования закрытого ключа нарушителю потребуется получить физический доступ к ключевому носителю и узнать пароль (PIN-код).
Возможность копирования закрытого ключа создаёт риск возникновения неучтенных копий, усложняет контроль за его хранением, использованием и уничтожением. Также указанное усложняет определение возможного нарушителя, особенно когда нарушитель начнет использовать копию не сразу.
Неэкспортируемые закрытые ключи обладают большей защищенностью, так как записанный на ключевой носитель закрытый ключ не подлежит копированию при помощи стандартных СКЗИ. Получение доступа к такому ключу требует применения специальных средств и техники.
Извлекаемые и неизвлекаемые закрытые ключи
Свойство неизвлекаемости закрытого ключа достигается способом его создания и хранения, и напрямую зависит от вида ключевого носителя. Для обеспечения свойства неизвлекаемости закрытого ключа используются только активные ключевые носители, содержащие в себе аппаратно реализованные функции СКЗИ, при использовании которых создается и используется неизвлекаемый закрытый ключ.
Для некоторых ключевых носителей существует возможность записи закрытого ключа на активные ключевые носители сторонними СКЗИ (установленными локально на компьютерное устройство или непосредственно в информационной системе удостоверяющего центра) и, в таком случае, такой носитель применяется как пассивный ключевой носитель, который может обеспечить только свойство неэкспортируемости закрытого ключа.
К извлекаемым закрытым ключам относятся все виды закрытых ключей, за исключением неизвлекаемых, включая экспортируемые и неэкспортируемые.
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Для доступа к защищенному содержимому данного ключевого носителя необходимо ввести пароль (PIN-код). Закрытый ключ хранится в ключевом контейнере на ключевом носителе. Пароль (PIN-код), которым защищён от доступа закрытый ключ на таком носителе, при получении следует изменить, обеспечить его надежное хранение и исключить доступ к паролю любых лиц.
При подписании электронного документа с использованием пассивного носителя и средства электронной подписи вычисляется уникальный набор символов – хэш документа, однозначно связанных с содержанием электронного документа. Далее закрытый ключ копируется в память компьютерного устройства, где с его помощью средство электронной подписи выполняет криптографические операции формирования электронной подписи – подписание электронного документа. По завершении процедуры подписания закрытый ключ удаляется из памяти компьютерного устройства. Процедура подписания электронного документа происходит незаметно для пользователя в течение нескольких секунд.
На ключевом носителе установлено ограничение попыток неправильного ввода пароля (PIN-кода) и при превышении такого лимита ключевой носитель блокируется. Несмотря на это пассивный ключевой носитель обладает средним уровнем защищенности от атак злоумышленников – в момент подписания документа образуется короткий промежуток времени, когда закрытый ключ находится в памяти компьютерного устройства, где существует возможность его перехвата злоумышленником с высоким уровнем технических знаний и/или с использованием специальных технических средств. Для исключения такого вида атак существует активный ключевой носитель.
Активный ключевой носитель (криптографический ключевой носитель)
Виды реализации: носитель с USB интерфейсом, носитель с бесконтактным интерфейсом (NFC интерфейс), смарт-карта.
Активный ключевой носитель содержит в себе функции СКЗИ. Закрытый ключ на таком ключевом носителе хранится в защищенном ключевом контейнере и в специальном внутреннем формате.
У такого носителя существует ряд технических преимуществ перед пассивным ключевым носителем:
- создание закрытого ключа происходит на самом носителе с использованием аппаратных криптографических функций ключевого носителя;
- при подписании электронного документа закрытый ключ не копируется в память или реестр компьютерного устройства – подписание электронного документа происходит на самом ключевом носителе;
- закрытый ключ ни в какой момент времени не покидает ключевой носитель.
Вычисление значения хэш документа может происходить на компьютерном устройстве, а итоговое формирование электронной подписи только на самом активном ключевом носителе.
Компрометация закрытого ключа на таком носителе возможна только в случае его хищения вместе с паролем (PIN-кодом).
Активный ключевой носитель (криптографический ключевой носитель) обладает высоким уровнем защищенности от атак злоумышленников. Риск атаки «подмена хэша» злоумышленником присутствует, но такие случаи крайне редки.
При выборе вида ключевого носителя для хранения закрытого ключа электронной подписи следует учитывать, что электронная подпись считается равнозначной собственноручной подписи в случаях, установленных Федеральным законом от 06.04.2021 № 63-ФЗ «Об электронной подписи». Рекомендуется использовать ключевые носители с наивысшей степенью защиты закрытого ключа.
Рекомендуется сменить пароль доступа к ключевому носителю (PIN-код), установленный его изготовителем, на уникальный – известный только владельцу электронной подписи. Рекомендуемая длина пароля – не менее 6 символов с использованием специальных символов, прописных и строчных латинских букв. Рекомендуется периодическая смена пароля.
Не рекомендуется при выборе пароля основываться на типовых шаблонах и идущих подряд на клавиатуре или алфавите символов (qwerty, abcde, 12345 и другие) на каком-либо идентификаторе, паспортных данных, кличек питомцев и подобных ассоциаций.
Не рекомендуется активировать функцию «запомнить пароль» в средствах электронной подписи и настройках программного обеспечения, которое необходимо для использования ключевого носителя.
Организационные меры предосторожности
Не рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- передавать ключевой носитель третьим лицам;
- записывать пароль доступа к ключевому носителю (PIN-код) на бумаге или непосредственно на ключевом носителе, запоминать пароли в реестровой памяти систем электронных устройств и хранить парольную информацию в общедоступных местах;
- оставлять ключевой носитель без присмотра в доступных или общественных местах;
- оставлять без присмотра ключевой носитель в компьютерном устройстве, на котором осуществляется подписание электронных документов (usb-порты в системном блоке компьютера, ноутбука, планшета или других электронных устройствах).
Рекомендуется в рамках организации процедур безопасной работы с ключевым носителем:
- при необходимости, обеспечивать сотрудников организации, не имеющих права действовать без доверенности, их персональными закрытыми ключами и сертификатами электронной подписи, с наделением их правом подписи распорядительными документами организации путем оформления доверенности;
- хранить ключевой носитель в недоступном для третьих лиц месте;
при потере или краже ключевого носителя незамедлительно обратиться в удостоверяющий центр, выпустивший сертификат электронной подписи, и прекратить действие такого сертификата электронной подписи, и, не дожидаясь завершения процедуры аннулирования, уведомить контрагентов о том, что утраченный сертификат с соответствующим серийным номером, считается уже недействительным.
Термины
К началу страницы
Электронная подпись – это аналог собственноручной подписи для подписания электронных документов.
Сертификат ключа проверки электронной подписи (сертификат электронной подписи, квалифицированный сертификат электронной подписи) – это электронный и бумажный документ, который подтверждает связь электронной подписи с ее владельцем (человеком или организацией).
Открытый ключ (ключ проверки электронной подписи) – это уникальный набор символов (байт), сформированный средством электронной подписи и однозначно привязанный к закрытому (секретному) ключу. Открытый ключ необходим для того, чтобы любой желающий мог проверить электронную подпись на электронном документе. Он передается получателю электронного документа в составе файла электронной подписи и может быть известен всем.
Закрытый (секретный) ключ электронной подписи – это уникальный набор символов (байт), сформированный средством электронной подписи. Используется для формирования самой электронной подписи на электронном документе и хранится в зашифрованном виде на ключевом носителе. Доступ к закрытому ключу защищен паролем (PIN-кодом) и его нужно хранить в секрете.
Ключевая пара – это набор из открытого и закрытого ключей электронной подписи, однозначно привязанных к друг другу.
Ключевой носитель – это устройство для хранения закрытого ключа. Ключевой носитель внешне напоминает “флешку” для компьютера, но отличается по своим свойствам: память у него защищена паролем (PIN-кодом). Может иметь встроенное средство электронной подписи.
Средство электронной подписи – это программно-аппаратное или только программное средство, предназначенное для создания ключевой пары, формирования и проверки электронной подписи на электронном документе. Его еще называют “криптопровайдером” или СКЗИ (средством криптографической защиты информации).
Требования, которые предъявляются к уц с 01 июля 2021 года
Напомним читателям, что это за новые, более строгие требования, предъявляемые к Удостоверяющим центрам.
Согласно новым правилам (изменения к Федеральному закону № 63 «Об электронной подписи» (в ред. от 27.12.2021 № 476-ФЗ):
- уставный капитал УЦ (1 млрд руб. вместо 7 млн руб.) и сумма гарантированного возмещения ущерба должна быть выше, чем прежде;
- аккредитация проходит в два этапа с обязательным прохождением Правительственной комиссии, в состав которой входят представители Министерства цифрового развития, связи и массовых коммуникаций РФ, ФНС, ФСБ и других служб;
- новая аккредитация выдается на срок не 5 лет, а только 3 года;
- за умышленно неправомерные действия сотрудников УЦ при выдаче электронной подписи введена уголовная ответственность;
- ужесточены требования к деловой репутации удостоверяющего центра.
Те удостоверяющие центры, которые не прошли аккредитацию согласно новым правилам, не смогут с 1 июля 2021 года выдавать электронные подписи.
Еще одно нововведение: с 1 июля стартовала выдача сертификатов ЭП для директоров (ЕИО) организаций и ИП через ФНС. С 1 января 2022 года к налоговой службе полностью переходит контроль за выдачей этим лицам электронных подписей.
Многие Удостоверяющие центры просто перестали работать и закрылись. Но есть те, кто вопреки закону продолжают выдавать электронные подписи.
Так, недавно специалистами Калуга Астрал в сервисе для сдачи отчетности Астрал Отчет 5.0 был замечен сертификат от Удостоверяющего Центра ООО «МЦСП-ГРУПП», хотя компания уже лишена аккредитации.
Проверяем информацию на сайте Минцифры: аккредитация была досрочно прекращена 09.08.2021 г.:
А еще раньше она была приостановлена (с этого момента выдавать подписи УЦ не имел право):
Мы проверили еще несколько УЦ, потерявших с июля 2021 г. аккредитацию, но их сайты продолжают функционировать и, как ни в чем не бывало, предлагать услуги.
1) Удостоверяющий Центр «КонсультантЪ» (г. Томск).
2) ООО «Тюменский удостоверяющий налоговый центр» (г.Тюмень).
3) ООО «Центральный Удостоверяющий Центр» (г. Москва).
Поэтому перед тем, как подписывать договор, убедитесь, что УЦ находится в актуальном списке аккредитованных удостоверяющих центров и продаст вам сертификат электронной подписи законно.
Если ваш УЦ сейчас потерял аккредитацию, то все выданные им электронные подписи перестают работать. Владельцам таких ЭЦП следует получить новые сертификаты у проверенных центров.
Функциональные инструкции
Обязанности Администратора УЦ:
– Осуществляет управление доступом Операторов УЦ ФНС России, создание сертификатов ключей проверки ЭП операторов УЦ, их выдачу операторам УЦ.
– Обеспечивает конфиденциальность защищаемой информации, обрабатываемой на вверенном участке УЦ ФНС России.
– Контролирует целостность печатей (пломб, защитных наклеек), разъемов, системных блоков.
– Контролирует соответствие состава, расположения основных и вспомогательных технических средств УЦ ФНС России, в том числе средств защиты информации (системные блоки, мониторы, принтеры, сканеры, телефонные аппараты, соединительные кабели и линии связи, генераторы электромагнитного шума и т.д.), требованиям по защите информации, в том числе предписания на эксплуатацию средств ЭП и УЦ.
– Анализирует, архивирует и безопасно хранит журналы мониторинга СЗИ.
– Восстанавливает работоспособность УЦ ФНС России при авариях, сбоях в работе и т.д.
– Осуществляет контроль за монтажом оборудования
– Обеспечивает безопасность информации при работе с общесистемным и прикладным программным обеспечением, аппаратным обеспечением (защиту от несанкционированного доступа к информации, изменения или удаления системных файлов и данных и т.д.).
– Обеспечивает работоспособность УЦ ФНС России (в том числе резервирование информации).
– Немедленно сообщает вышестоящему руководству о выявленных нарушениях (злоупотреблениях, нарушениях требований по безопасности информации, попытках несанкционированного доступа к информации, к техническим средствам, в помещения, компрометации ключей электронной подписи).
– Осуществляет постоянный контроль:
– за выполнением Операторами УЦ установленных требований и организационных мероприятий по обеспечению безопасности конфиденциальной информации при ее обработке в УЦ ФНС России;
– правомерности присвоения прав доступа к ресурсам УЦ ФНС России путем просмотра записей электронных журналов мониторинга общесистемного и прикладного программного обеспечения, средств защиты информации.
– Осуществляет периодический (не реже одного раза в квартал) контроль эффективности, работоспособности и соответствия требованиям по безопасности системы защиты информации УЦ ФНС России.
– Осуществляет техническое обеспечение процедуры подтверждения электронной подписи в документах, представленных в электронной форме, по обращениям Пользователей УЦ
Обязанности Оператора УЦ:
– Регистрация Пользователей УЦ.
– Ведение Реестра зарегистрированных Пользователей УЦ.
– Изготовление ключей ЭП .
– Изготовление и предоставление изготовленных сертификатов ключей проверки ЭП в электронной форме по обращению Пользователей УЦ.
– Изготовление и предоставление копий сертификатов ключей проверки ЭП на бумажном носителе по обращению их владельцев.
– Предоставление сертификатов ключей проверки ЭП уполномоченного лица УЦ ФНС России по обращению Пользователей УЦ.
– Распространение средств электронной подписи.
– Аннулирование (отзыв) сертификатов ключей проверки ЭП по обращениям владельцев сертификатов ключей проверки ЭП.
– Предоставление Пользователям УЦ сведений об аннулированных сертификатах ключей проверки ЭП.
– Предоставление копий сертификатов ключей проверки ЭП из Реестра сертификатов УЦ, по запросам Пользователей УЦ.
ПРИЛОЖЕНИЕ Ж