Журналы учета электронных подписей: как вести и хранить — Удостоверяющий центр СКБ Контур

Журналы учета электронных подписей: как вести и хранить — Удостоверяющий центр СКБ Контур Сертификаты

Что такое журналы учета ключей эп

Журналы учета средств криптографической защиты информации (СКЗИ) или ключей электронной подписи (ЭП или ЭЦП) помогают следить за перемещением средств криптозащиты и ключей подписи в организации. В них отражается кто получил ключ подписи, сдал ли его при переходе на другую должность или увольнении, знаком ли сотрудник с правилами работы со средствами электронной подписи. Журналы нужны предприятиям, которые используют ЭП и СКЗИ, например, КриптоПро CSP или ViPNet CSP.

Как вести такие журналы, описано в Инструкции о безопасности хранения, обработки и передачи информации с использованием криптографических средств (приказ ФАПСИ № 152 от 13.06.2001). Разберемся, кому обязательно нужно вести их, а кому только рекомендуется это делать.

Что такое порядок использования и хранения ключей эп и скзи

Кроме журналов учета инструкция также рекомендует организациям разработать и соблюдать свой регламент хранения и использования ключей ЭП. Для регламента нет единой типовой формы, поэтому компания может разработать документ самостоятельно. Для этого нужно изучить инструкцию и адаптировать требования именно под свою компанию.

Несмотря на то, что регламент в разных компаниях будет отличаться, есть общие требования — регламент должен указывать правила, по которым в организации:

  • назначают сотрудников ответственных за учет ключей ЭП и СКЗИ;
  • ведут журналы и поэкземплярный учет;
  • устанавливают и настраивают СКЗИ;
  • обучают работе с ЭП и СКЗИ, ведут пользователей, допущенных к работе с ними;
  • контролируют соблюдение условий использования ЭП и СКЗИ;
  • действуют в случае, если ключи и СКЗИ утеряны или есть подозрение, что используются неправомерно;
  • контролируют соблюдение регламента внутри организации.

Что будет, если не соблюдать инструкцию и не вести журналы учета

За безопасностью в сфере использования конфиденциальных данных в России следит ФСБ России. Ведомство может проводить, как плановые, так и внеплановые проверки в целях контроля использования шифровальных средств. Если при проверке обнаружат нарушения правил защиты информации, то, согласно ст. 13.

Отметим, что на практике некоторые организации не соблюдают приказ ФАПСИ №152, считая, что так как документ утвердили почти двадцать лет назад, то и значимость  его устарела. Однако приказ все еще юридически действителен, а в 2021 году ФСБ России подтвердило его актуальность.

Поэтому организациям необходимо обеспечить безопасность хранения, использования и передачи конфиденциальной информации. Если для этого используются электронные подписи и СКЗИ, организация должна их учитывать. Основной документ, на который можно опираться — приказ ФАПСИ №152 и утвержденная в нем инструкция.

В чём разница

Носители различают по следующим критериям: производитель, внешний вид, аппаратная криптография, объём защищённой памяти, цена, дополнительные опции, поддержка тех или иных операционных систем и необходимое программное обеспечение для работы.

Токены могут различаться также и по максимальному количеству электронных подписей, которые можно на них установить. Например, если размер носителя 64 Кб, то на него можно установить до 8 электронных подписей.

Объём защищённой памяти варьируется от 32 до 128 Kb, в зависимости от производителя. Некоторые модели могут содержать дополнительную flash-память для автоматического запуска необходимого программного обеспечения. Большинство токенов поддерживает множество версий Windows, а также Mac OS X и GNU/Linux.

Несмотря на все отличия, носители служат одной цели. Мы рекомендуем при выборе токена обращать внимание на то, подходит лишь ваша операционная система или нет для работы с данным носителем. При необходимости можно покупать карту с дополнительными опциями.

Как работать с носителями

Мы говорили об этом раньше, но напомним — токен должен быть сертифицирован ФСТЭК России или ФСБ России. Только на такой носитель УЦ ФНС сможет установить электронную подпись и, соответственно, только с таким носителем сможет работать индивидуальный предприниматель, юридическое лицо или нотариус.

Порядок получения электронной подписи на токен выглядит следующим образом:

  1. Приобретаем сертифицированный носитель.
  2. Приходим в операционный зал налогового органа региона.
  3. Представляем документ, удостоверяющий личность, СНИЛС, токен и документацию к нему.
  4. Получаем электронную подпись.

Чтобы полноценно работать с установленной на токен электронной подписью, нужно выполнить ещё несколько действий. Главное — на компьютер нужно установить криптопровайдер «КриптоПро CSP», это требование налоговой. Остальное зависит от выбранного носителя: нужно будет установить драйвер для работы с токеном.

Порядок работы с носителями очень прост: в случае с Рутокеном, который является самым распространённым российским носителем, достаточно установить драйвер и воткнуть сам токен в гнездо USB. Настройка носителя осуществляется в специальной панели управления, которая устанавливается вместе с драйвером.

После выполненных действий электронную подпись можно будет использовать по назначению: подписывать электронные документы, работать с государственными порталами и участвовать в закупках.

Какие журналы учета вести

Инструкция устанавливает два типа журналов:

  1. Журнал поэкземплярного учета СКЗИ.
    В него вносят сведения о ключах ЭП сотрудников — кто получил носитель с ключом подписи, когда и где, даты уничтожения и другая информация.

Способ заполнения журнала отличается в зависимости от типа СКЗИ, от того кто ведет журнал: обладатель ключей ЭП или орган криптографической защиты. Подробно детали заполнения описаны в приказе ФАПСИ № 152.

Форма журнала поэкземплярного учета для органа криптографической защиты — для лицензиатов ФCБ:

Про сертификаты:  Сертификаты LEGRAND 077210 на

Форма журнала поэкземплярного учета для обладателей конфиденциальной информации:

  1. Технический или аппаратный журнал.
    Он помогает следить за аппаратными средствами криптозащиты — например, серверами с установленным ключом ЭП.

Типовая форма технического (аппаратного) журнала:

Какие могут возникнуть ошибки

Во время работы с токеном могут возникать ошибки, которые может исправить либо сам пользователь, либо организация, выдавшая носитель. Рассмотрим основные ошибки, которые возникают при работе с Рутокеном.

Какие носители бывают

Все токены внешне напоминают флешку и выполняют её функции — выступают в качестве носителя. Однако, в отличие от обычной флешки, токены являются защищёнными носителями: на них устанавливается пароль и в них встроены криптографические алгоритмы.

Мы лишь вскользь упомянем о том, что хранить электронную подпись можно и на компьютере, но это небезопасно. В то же время, с 1 января 2022 года, получить подпись для юридических лиц, индивидуальных предпринимателей и нотариусов можно будет только в удостоверяющем центре ФНС. И получатель должен иметь при себе токен, на который и будет загружен ключ.

К носителям выставлены определённые требования: они должны быть сертифицированы и соответствовать формату USB Type-A. К этому типу можно отнести следующие токены:

  • JaCarta LT, JaCarta ГОСТ, JaCarta-2 ГОСТ;
  • Рутокен Lite, Рутокен ЭЦП 2.0, Рутокен S;
  • ESMART Token, ESMART Token ГОСТ.

Вы можете приобрести в нашем магазине: JaCarta LT, Рутокен Lite, Рутокен ЭЦП 2.0.

Лицензиаты фсб

Эти компании оказывают платные услуги, связанные с использованием СКЗИ: их разработкой, распространением, установкой, обслуживанием и т.д. Это могут быть удостоверяющие центры, которые выпускают сертификат электронных подписей, или, например, дистрибьюторы СКЗИ.

К лицензиатам предъявляется самый большой список требований по соблюдению инструкции. Они должны создать у себя орган криптографической защиты информации, разработать свой регламент по соблюдению инструкции и вести журналы учета ключей ЭП и СКЗИ. Орган криптозащиты контролирует, как организация соблюдает инструкцию из приказа ФАПСИ №152.

Лицензиаты также могут помогать другим компаниям соблюдать требования регулятора — ФСБ России.

Новый порядок выдачи сертификатов кэп и ее использования с 01.01.2022: ответы на вопросы

С 01.01.2022 организации должны использовать электронные подписи (далее – ЭП), выданные удостоверяющим центром (далее – УЦ) ФНС России. Выдавать подписи начали еще с 1 июля. Новый механизм получения сертификатов и использования квалифицированной электронной подписи (далее – КЭП) вызывает много вопросов. Из статьи вы получите ответы на самые распространенные из них.

С 01.01.2022 вступают в силу изменения[1], внесенные в Федеральный закон от 06.04.2021 № 63-ФЗ «Об электронной подписи»[2] (далее – Федеральный закон № 63-ФЗ), которые вводят новый порядок выдачи сертификатов и использования КЭП.

Согласно ч. 1 ст. 17.2 новой редакции Федерального закона № 63-ФЗ в случае использования КЭП при участии в правоотношениях юридических лиц:

1) применяется КЭП юридического лица, квалифицированный сертификат которой выдается УЦ ФНС России в установленном уполномоченным федеральным органом порядке с указанием в качестве владельца квалифицированного сертификата физического лица, действующего от имени юридического лица без доверенности (единоличный исполнительный орган – далее ЕИО);

2) в случае, если от имени юридического лица электронный документ подписывает работник, не являющийся ЕИО, электронный документ подписывается КЭП, оформленной на этого работника, и одновременно представляется электронная доверенность на этого работника, которая должна быть подписана КЭП, указанной в пункте 1. Предоставление доверенности контрагенту осуществляется посредством ее включения в пакет электронных документов.

На линию Службы поддержки пользователей фирмы «1С» поступают вопросы от организаций, в том числе касательно механизма получения сертификатов и использования КЭП с 01.01.2022. В статье ответим на наиболее часто встречающиеся вопросы.

Все ли организации и индивидуальные предприниматели с 01.01.2022 должны получать сертификаты КЭП в УЦ ФНС России? 

Есть исключения. Кредитные организации, операторы платежных систем, некредитные финансовые организации и индивидуальные предприниматели, осуществляющие виды деятельности, перечисленные в ч. 1 ст. 76.1 Федерального закона от 10.07.2002 № 86-ФЗ «О Центральном банке Российской Федерации (Банке России)»[3], получают сертификаты КЭП в УЦ Центрального банка Российской Федерации. Должностные лица государственных органов, органов местного самоуправления либо подведомственных государственному органу или органу местного самоуправления организации – в УЦ Федерального казначейства.

Какой порядок получения сертификата КЭП организации для работы с 01.01.2022? Возможно ли получение сертификата КЭП организации не в УЦ ФНС России, а в другом уполномоченном УЦ? Есть ли перечень таких организаций? 

С 01.07.2021 ФНС России уже начала осуществлять выдачу сертификатов КЭП организациям. Услуга по выдаче сертификатов КЭП предоставляется в операционных залах налоговых органов. Воспользоваться этой услугой можно не во всех территориальных подразделениях, а только в тех, которые входят в перечень, опубликованный на портале ФНС России в разделе «Иные функции ФНС России» (далее выбирайте «Удостоверяющий центр ФНС России», «Порядок получения электронной подписи»). Можно обратиться в ближайшую точку выдачи КЭП – услуга оказывается экстерриториально.

Про сертификаты:  ИБДА РАНХиГС - единственная школа бизнеса в России, получившая аккредитацию AMBA сроком на 5 лет 3-й раз подряд

Чтобы получить КЭП, необходимо выполнить ряд действий (Алгоритм). Подробно рассмотрим их.

Что нужно сделать, чтобы получить КЭП?

Шаг 1. Подать заявление на выдачу КЭП в Личном кабинете налогоплательщика – физического лица. Сформировать и отправить заявление можно через «Личный кабинет налогоплательщика для физических лиц» (на руководителя юридического лица) или через «Личный кабинет индивидуального предпринимателя» (непосредственно на индивидуального предпринимателя).

В разделе «Жизненные ситуации» необходимо выбрать услугу «Получить квалифицированную электронную подпись» (рис. 1).

Выберите услугу в разделе «Жизненные ситуации»

Система автоматически сформирует заявление (рис. 2).

Система поможет вам сформировать заявление на получение КЭП

После заполнения электронной формы УЦ проверит организацию и пришлет подтверждение (рис. 3) в сообщение в Личном кабинете и на электронный ящик.

После заполнения и отправки заявления вы получите соответствующее подтверждение

В сообщении (рис. 4) будет предложено выбрать удобное место и время для визита в УЦ ФНС для подтверждения личности и получения электронной подписи.

Отслеживать статус заявления можно в Личном кабинете (в разделе «Сообщения»)

Заявление можно подать и непосредственно в УЦ ФНС России, перед поездкой можно записаться[4] на сайте ФНС России. Процедура не очень отлажена, уточняйте условия в своей региональной инспекции[5].

Шаг 2. Поехать в УЦ ФНС России с паспортом, СНИЛС[6], токеном.

В УЦ ФНС России вам выдадут распечатанный на бумаге сертификат ключа проверки ЭП, руководство пользователя, а также запишут ЭП на ваш токен (рис. 5).

Процесс записи ЭП на токен в УЦ ФНС России

Обязательно ли личное присутствие в удостоверяющем центре руководителя организации при получении сертификата КЭП организации? 

Для получения первичной КЭП в целях удостоверения личности необходимо, чтобы руководитель явился лично. Получая следующие подписи, он сможет удостоверять личность дистанционно действующей ЭП или биометрическими данными (см. п. 25 Порядка реализации ФНС России функций аккредитованного удостоверяющего центра и исполнения его обязанностей[8]).

Какие документы необходимо представить руководителю организации в УЦ для получения сертификата КЭП организации? 

Необходимы следующие документы:

  • документ, удостоверяющий личность;
  • СНИЛС (номер страхового свидетельства Государственного пенсионного страхования) заявителя – физического лица;
  • документ, подтверждающий право заявителя действовать от имени юридического лица без доверенности.

Кроме того, необходим носитель ключевой информации (токен) для записи сертификата и ключа ЭП, а также документация на ключевой носитель информации – сертификат соответствия ФСТЭК России (рис. 6) или ФСБ России. В случае применения носителя со встроенным средством криптографической защиты информации (далее – СКЗИ) – формуляр на СКЗИ и сертификат соответствия ФСБ России. Можно использовать скан-копию сертификатов соответствия с сайтов ФСТЭК России, ФСБ России или производителей носителей ключевой информации.

Токен и сертификат соответствия ФСТЭК России

Подойдет для записи сертификата ЭП в УЦ ФНС России простая флешка? 

Обычная флешка для этой цели не подойдет! УЦ ФНС России поддерживает ключевые носители формата USB Тип-А, в частности: Рутокен ЭЦП 2.0, Рутокен S, Рутокен Lite, JaCarta ГОСТ, JaCarta-2 ГОСТ, JaCarta LT, ESMART Token, ESMART Token ГОСТ и другие, соответствующие установленным требованиям.

Средняя стоимость ключевого носителя – 1000–2000 рублей. Приобрести такие носители можно у дистрибьюторов производителей и в специализированных интернет-магазинах. Кроме того, можно использовать уже имеющиеся носители (при условии их соответствия требованиям).

Где можно использовать КЭП? 

Использовать КЭП можно:

Что еще потребуется для использования КЭП в организации? 

Для того, чтобы у организации появилась возможность корректно использовать КЭП,также необходимо установить СКЗИ – КриптоПро CSP[9].

Какова стоимость сертификата КЭП, выдаваемого УЦ ФНС, и на какой срок он выдается? 

Выдача квалифицированного сертификата ключа проверки ЭП в УЦ ФНС России осуществляется на безвозмездной основе для юридических лиц (лиц, имеющих право действовать от имени юридического лица без доверенности), индивидуальных предпринимателей и нотариусов. Срок действия – 15 месяцев.

Какой порядок получения сертификата КЭП на дочерние общества организации, полномочия единоличного исполнительного органа которых переданы организации? 

Только лицо, имеющее право действовать без доверенности, может обращаться в УЦ ФНС России для получения квалифицированного сертификата юридического лица. Все остальные работники организации, действующие по доверенности, получить подпись юридического лица в УЦ ФНС не смогут.

Какой порядок получения сертификата КЭП работником организации для подписания электронных документов организации с 01.01.2022? 

С 01.01.2022 сотрудники организаций и уполномоченные лица должны использовать ЭП, выданную на физическое лицо аккредитованным УЦ. С 2022 года получать ЭП физического лица нужно будет в УЦ, который аккредитован по новым правилам.

Список аккредитованных УЦ по состоянию на определенную дату публикуется на портале Минцифры России[10]. Перечень удостоверяющих центров, не получивших аккредитацию в период с 01.07.2021 до 31.12.2021 и деятельность которых будет прекращена, также подлежит размещению.

Для минимизации расходов организаций при выборе аккредитованного УЦ следует обращать внимание на то, чтобы дата аккредитации УЦ была после 01.07.2020.

Какие документы необходимо представлять с 01.01.2022 работнику организации в УЦ для получения сертификата КЭП? Какие еще документы, кроме рабочих, работник сможет подписывать такой КЭП? 

Про сертификаты:  Приложение N 2. Требования к заполнению государственного жилищного сертификата, выдача которого осуществляется отдельным категориям граждан, государственные обязательства по обеспечению жильем которых установлены федеральным законодательством, в рамках реализации государственной программы Российской Федерации "Обеспечение доступным и комфортным жильем и коммунальными услугами граждан Российской Федерации" | ГАРАНТ

Для получения сертификата КЭП работнику организации нужно представить в УЦ следующие документы:

  • документ, удостоверяющий личность;
  • СНИЛС (номер страхового свидетельства государственного пенсионного страхования) заявителя – физического лица;
  • ИНН заявителя – физического лица.

Форму и особенности представления данных документов следует уточнять в аккредитованном УЦ, в который планируется обратиться за такой услугой. Так как данный сертификат КЭП выдан на физическое лицо, работник сможет использовать КЭП для любых личных целей.

Какой порядок оформления электронных доверенностей на работников организации, использующих КЭП в работе? Где взять форму такой доверенности? Какой порядок и срок хранения таких доверенностей? 

Использовать ЭП физического лица для документов организации можно будет только вместе с доверенностью в электронном виде. Для удобства распознавания информационной системой будет принята электронная форма доверенности (доверенность в машиночитаемом виде). Нормативно-правовые акты, конкретизирующие форму и порядок использования машиночитаемых доверенностей, пока не приняты, но с их проектами можно ознакомиться на федеральном портале проектов нормативных правовых актов. Это следующие проекты:

Предполагается, что машиночитаемые доверенности будут оформляться по образцу, размещенному на официальном сайте оператора той информационной системы, для которой предоставляются документы.

Будут ли действительны после 01.01.2022 КЭП, сертификаты которых оформлены ранее и срок их еще не истек?

Согласно письму Минцифры России от 10.08.2021 № ОП-П15-085-33604 «О разъяснении применения положений Федерального закона от 06.04.2021 № 63-ФЗ» (далее – Разъяснения), продолжат свое действие сертификаты КЭП, выданные УЦ, прошедшими аккредитацию по новым правилам.

Во-первых, в Разъяснениях уточняется, что юридические лица и индивидуальные предприниматели, получившие квалифицированные сертификаты ключей проверки ЭП, созданные аккредитованными после 01.07.2020 УЦ, вправе применять такие сертификаты после 01.01.2022 до окончания срока действия таких сертификатов. Причем это касается как ЭП руководителей, действующих от имени юридических лиц без доверенности, так и физических лиц, действующих от имени юридических лиц на основании доверенности.

Во-вторых, в Разъяснениях подтверждено требование п. 5 ст. 3 Федерального закона № 476-ФЗ: применение сертификатов КЭП, созданных до 01.07.2021 УЦ, не прошедшими аккредитацию по новым правилам, после 01.01.2022 не допускается.

В-третьих, в Разъяснениях уточнен порядок применения сертификатов КЭП, созданных до 01.07.2021 УЦ, аккредитованными до 01.07.2020 и прошедшими аккредитацию по новым правилам после 01.07.2021. Если квалифицированные сертификаты ключей проверки ЭП были созданы таким УЦ до 01.07.2021 и при этом УЦ прошел аккредитацию по правилам, установленным Федеральным законом № 476-ФЗ до 31.12.2021, то такие сертификаты действуют до окончания срока действия сертификатов ключей проверки ЭП.

Поясните порядок применения новой редакции ч. 3 ст. 14 Федерального закона № 63-ФЗ.

Извлечение из Федерального закона № 63-ФЗ

«Обезличенные» ЭП изначально применялись в информационных системах исключительно при оказании государственных и муниципальных услуг. В соответствии с п. 5 ч. 1 ст. 17.2 Федерального закона № 63-ФЗ применение «обезличенной» КЭП юридического лица допускается в правоотношениях юридических лиц, которые осуществляют функции оператора соответствующей информационной системы. В случае, когда правоотношения требуют участия должностного лица, то использование «обезличенной» КЭП юридического лица не допускается.

Если вы не нашли ответ на свой вопрос, на портале ФНС России размещена памятка[14] по получению КЭП с ответами на все возможные вопросы. Также дополнительную информацию можно получить в Едином контакт-центре ФНС России по телефону 8-800-222-2222.

Машиночитаемые доверенности – это следующая актуальная тема, которая вызовет многочисленные вопросы участников электронного документооборота. Следим за нормативной базой и обязательно затронем данную тему в следующих номерах журнала.

Организации, которые не являются лицензиатами фсб

Обязательно соблюдать приказ ФАПСИ №152 и вести журналы учета ключей ЭП должны предприятия, которые используют СКЗИ для защиты конфиденциальной информации, если такая информация по закону подлежит защите — например, для персональных данных или при передаче отчетности. В приказе их называют «обладатели конфиденциальной информации».

Если организации используют СКЗИ для защиты информации, не подлежащей обязательной защите, то требования инструкции ФАПСИ носят рекомендательный характер. Например, это касается компании, которая приобрела сертификат ЭП и средства криптозащиты только для внутреннего пользования — подписания внутренних документов, шифрования результатов своей работы.

Организациям, которые будут соблюдать требования приказа ФАПСИ №152, нужно создать регламент хранения и использования электронных подписей на основе утвержденной приказом инструкции и вести журналы учета. Сделать это можно одним из двух способов:

  • Самостоятельно создать регламент, назначить конкретного сотрудника, который будет отвечать за его соблюдение и вести журналы.
  • Обратиться к лицензиатам ФСБ и поручить им разработку регламента и журналов, и при необходимости, передать им контроль за тем, как соблюдается инструкция и внутренний регламент.

СКБ Контур — лицензиат ФСБ и поможет организовать учет электронных подписей в компании. Специалисты проекта Контур.Безопасность создадут всю необходимую документацию и проконтролируют соблюдение регламента и инструкции из приказа ФАПСИ № 152.

Оцените статью
Мой сертификат
Добавить комментарий