Электронная цифровая подпись как бизнес

Компания Digital Design Рано или поздно организация начинает задумываться о переходе на электронный документооборот и внедрении электронной подписи (ЭП). Некоторые внедряют ЭП как дань моде, другие – потому что так требует законодательство, а третьи потому что проанализировали бизнес-процессы, взвесили риски и затраты и определили, для чего это необходимо.

О том, что такое ЭП и где её использовать, можно и нужно прочитать в Федеральном законе N 63-ФЗ «Об электронной подписи». Но на практике на этапе внедрения ЭП в бизнес-процессы организации возникает множество вопросов.

Например, когда речь заходит о кадровой документации, нужно учесть, что многие акты, регулирующие нормы трудового права, требуют использовать только бумажные носители. Если законом или подзаконными актами не предусмотрена обязанность использовать для каких-либо документов именно собственноручную подпись, то возникает вопрос какую ЭП внедрять. Эта статья поможет тем, кто только задумался о внедрении ЭП в своей организации или уже решает, с какой стороны подойти к этому вопросу, и тем, у кого уже внедрена ЭП в организации, но ее использование не приносит желаемого эффекта. Рассказываем, с чего начать, на что стоит обратить внимание, как выполнить все требования – технические и законодательные – и добиться желаемого результата, а также сколько это может стоить.

Электронная подпись в сфере бизнеса

Постановка целей

Зачастую внутри организации отсутствует четкая формулировка цели внедрения ЭП, поэтому на первом этапе важно правильно определить, для чего и для кого она нужна, и заранее проанализировать затраты на реализацию проекта. Существует несколько типов ЭП – простая, усиленная квалифицированная и неквалифицированная.

Чаще всего под ЭП понимается именно усиленная квалифицированная ЭП (УКЭП), которая включает в себя полный «боекомплект» – она требует приобретения сертификата у аккредитованного Минкомсвязью России удостоверяющего центра, установки средств криптографической защиты информации (СКЗИ) и ежегодную плату за перевыпуск сертификатов. Конечно, она имеет самые широкие возможности использования, но такая ЭП нужна далеко не для всех задач и тем более не для всех сотрудников.

В законе прописано, что участники имеют право «использовать электронную подпись любого вида по своему усмотрению, если требование об использовании конкретного вида электронной подписи в соответствии с целями ее использования не предусмотрено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами либо соглашением между участниками электронного взаимодействия». Чтобы понять, какая ЭП нужна компании, необходимо сперва проанализировать объем внутреннего и внешнего электронного документооборота компании (как существующего на данный момент, так и планируемого после завершения проекта по внедрению ЭП). Если обмен электронными документами происходит только внутри компании, то возможно достаточно будет использовать простую электронную подпись. Её основная функция – подтверждение авторства, идентификация личности.

Электронная цифровая подпись. Как получить и для чего нужна ЭЦП

Простая электронная подпись

Технически она реализуется путем авторизации в СЭД с помощью логина и пароля (они выступают в роли «ключа»), так что любое действие пользователя – согласование документа или подтверждение, что с документом ознакомлен, – фиксируется в системе. Этот на первый взгляд весьма простой трюк позволяет наладить внутри компании быстрый обмен документами, ускорить согласование, подписание, ознакомление с документами без бумажной волокиты и лишней беготни с листочками из кабинета в кабинет.

Случай из практики. Рассказывает эксперт компании Digital Design , руководитель проектов Дмитрий Сердюченко: Не каждый будет заморачиваться точными расчётами – сколько времени уходит на «возню» с бумагами, потому что кажется, что это сопровождает основную деятельность и не отнимает много времени.

Но вот ИТ-директор одной топливно-энергетической компании попросил нас посчитать время, которое он тратит на работу с бумагами, и обосновать, зачем внедрять электронную подпись. Досконально изучив его распорядок дня, мы рассчитали время, которое он тратит на передвижение, согласование и прочие действия, связанные с согласованием бумаг.

По нашим расчётам, в среднем в год только ИТ-директору компания платила за время «хождения по мукам» около 100 000 рублей. Увидев такие показатели, ИТ-директор незамедлительно приступил к проекту по внедрению СЭД с использованием простой ЭП. Он лично контролировал каждый этап проекта, разработал подробный регламент, и буквально не оставил коллегам шансов работать с бумагой, отказавшись принимать бумажные документы, поступающие в его департамент. Это, стоит отметить, очень действенная мера —постепенно пользу от ЭП стали отмечать и коллеги.

Обязательное условие для внедрения такой подписи — подготовка регламентных документов. Это самый важный и сложный этап, поскольку необходимо продумать и прописать все действия: какие документы, в соответствии с Административным регламентом или другим нормативно-правовым актом, можно «подписывать», «согласовывать», с какими можно «ознакомиться» с помощью ЭП. Также возможность использования ЭП в качестве замены собственноручной подписи на электронных документах должна быть прописана в трудовом договоре с сотрудником. То есть после того, как сотрудник авторизовался в системе, все его действия регистрируются, и более того, факт ознакомления с документами, содержащимися в СЭД, или выполнения определенных действий в системе может быть доказан в ходе судебного разбирательства. Но правовые последствия таких действий для работника и работодателя будут иметь место только в случае если в компании принят в установленном порядке локальный акт, регламентирующий использование СЭД и вытекающие из этого права и обязанности сотрудников и работодателя.

Из практики: На сегодняшний день мало примеров судебной практики по спорам компании, внедрившей СЭД и ЭП, c сотрудниками. Но всё же один пример, чем может обернуться несоблюдение регламента об использовании ЭП, удалось найти. На сайте «Судебные и нормативные акты РФ» опубликовано решение суда по делу, в котором сотрудник пытался оспорить привлечение к дисциплинарной ответственности из-за ненадлежащего исполнения должностных обязанностей. «Невыполнение» обязанностей выражалось в не ознакомлении с приказами Инспекции, рассылаемыми посредством системы электронного документооборота. Суд признал претензию сотрудника о том, что на почту не поступал приказ, необоснованной, поскольку благодаря карточке документа в СЭД удалось восстановить историю событий и доказать, что данный документ был направлен посредством СЭД всем сотрудникам инспекции.

• согласование документов
• визирование внутренних документов
• исполнение документов
• утверждение резолюций
• ознакомление с документами и резолюциями

• всем сотрудникам организации

• СЭД
• Домен (в случае, если авторизация в СЭД происходит на основании доменных учетных записей пользователей)

• Внедрение СЭД (если в организации СЭД не внедрена)
• Доработка СЭД (если в организации СЭД внедрена)
• Поддержка и администрирование СЭД
• Разработка нормативных документов по использованию ЭП

Неквалифицированная электронная подпись

Безопасность (а это одно из главных призваний электронных подписей в целом) в случае с простой ЭП обеспечивается средствами аутентификации СЭД. Администратор имеет доступ к журналам событий системы и может скорректировать информацию о действиях пользователей. Для более мощной защиты можно использовать усиленную квалифицированную или неквалифицированную подпись.

Такие подписи являются результатом криптографического преобразования информации и реализуются с помощью средств криптографической защиты информации (СКЗИ). Подделать такие подписи можно, только получив доступ к секретным ключам, выдаваемым каждому пользователю лично. Также усиленные подписи позволяют определить, вносились ли изменения в документ после его подписания. Таким образом, усиленные ЭП решают сразу две задачи: идентификация сотрудника, подписавшего документ, и обеспечение целостности подписанного документа.

Отличаются они тем, что неквалифицированная подпись не требует закупки сертификатов у аккредитованного Минкомсвязью РФ удостоверяющего центра (УЦ). Такую подпись можно изготовить внутри компании, развернув в своей ИТ-инфраструктуре удостоверяющий центр, который можно не аккредитовывать. В качестве средств УЦ для создания неквалифицированной электронной подписи может использоваться инфраструктура Microsoft. Выданные таким способом сертификаты будут действительны не только внутри организации, они могут использоваться и для внешнего документооборота при условии заключения соглашения с контрагентом, партнером об использовании ЭП.

Закон устанавливает, что «информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия».

Неквалифицированная электронная подпись подойдет для:

• внутреннего документооборота при условии принятия соответствующих регламентов, НПА
• внешнего документооборота при подписании соглашения об использовании ЭП

Кому из сотрудников будет полезна:

• руководителям среднего и высшего звена
• специалистам, участвующим в процессах согласования документов (юристы, финансисты, бухгалтеры и т.п.)

• СЭД с поддержкой интеграции с СКЗИ
• Удостоверяющий центр
• СКЗИ

• Внедрение СЭД (если в организации СЭД не внедрена)
• Доработка СЭД (если в организации СЭД внедрена)
• Поддержка и администрирование СЭД
• Разработка нормативных документов по использованию ЭП
• Разворачивание внутреннего УЦ
• От 1 000 рублей Х количество сотрудников для клиентских компонент СКЗИ.
• Внедрение СКЗИ от 2 700 рублей (зависит от количества сертификатов). Если используются средства, встроенные в Windows, то СКЗИ необязательны.

Квалифицированная электронная подпись

Квалифицированная электронная подпись (КЭП) может использоваться во всех перечисленных выше случаях с учетом ограничений, номенклатуры документа, который подписывается данным сертификатом.

В этом случае обмен документами происходит на площадке оператора электронного документооборота (ЭДО), и все действия по использованию КЭП регламентируются оператором. Плохая новость — за каждый пересылаемый через оператора документ придется платить (как правило, применяется оплата за объем).

Целесообразно заранее проанализировать, с кем организация будет обмениваться документами, и каким оператором ЭДО пользуется большинство партнеров, чтобы максимизировать эффект от перехода на электронный документооборот.

Бюджет на проект по внедрению УКЭП увеличивается ещё и за счет количества сотрудников, которым необходим сертификат. Средняя стоимость сертификата может варьироваться от 3 до 5 тысяч рублей в год. И скорее всего, всем сотрудникам организации такая подпись не требуется. Для ознакомления с документом или подтверждения факта согласования достаточно простой электронной подписи или усиленной неквалифицированной. Квалифицированный сертификат, как правило, нужен только тем сотрудникам, которые уполномочены подписывать документы, отправляемые за пределы организации: первое лицо организации, главный бухгалтер, директора департаментов и т.п.

Для более надеждой защиты в подпись можно встроить информацию о том, когда документ был подписан (так называемый штамп времени). Время подписи получается от специальных центров штампов времени, которые считаются точными и надёжными источниками времени. Такая электронная подпись называется улучшенной. Большинство современных СКЗИ поддерживают работу с улучшенными квалифицированной и неквалифицированной подписью, а аккредитованные удостоверяющие центры, выпускающие сертификаты, зачастую предоставляют услуги по предоставлению штампов времени своим клиентам.

Главным образом, такая подпись необходима для:

• Генерального директора
• Главного юриста
• Главного бухгалтера
• Других сотрудников, уполномоченных подписывать документы от имени компании

• СЭД с поддержкой интеграции с СКЗИ
• СКЗИ

• От 1000 рублей ежегодно на получение квалифицированных сертификатов * количество сотрудников.
• От 2700 рублей на для клиентских компонент СКЗИ * количество сотрудников.
• От 5 рублей * количество документов, передаваемых через оператора ЭДО внешним контрагентам.

Какие изменения ждут в 2019 году?

Есть ещё один момент, на который организации обязательно нужно обратить внимание, если она затеяла внедрение квалифицированной ЭП, — до 31 декабря 2019 года необходимо перейти на использование схемы создания электронной подписи по стандарту «ГОСТ Р 34.10-2012. Информационная технология (ИТ). Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи». Раньше использовался стандарт ГОСТ 34.10-2001.

Из этого следует, что при внедрении ЭП по новому ГОСТу важно учесть возможности инфраструктуры — есть большая вероятность, что понадобится обновление ОС или СЭД, например, — и выбрать надежного криптопровайдера. Тем, кто уже использует ЭП, возможно предстоит замена криптопровайдера и обновление инфраструктуры.

Источник: www.audit-it.ru

Предложение о партнёрском сотрудничестве

Удостоверяющий центр, аккредитованный Минкомсвязи, имеющий лицензию ФСБ и выпускающий любые виды электронной подписи.

Технологии стирают границы, и мы разработали свою электронную систему, позволяющую работать в любом городе страны через интернет.

Как поправки в закон об электронной подписи влияют бизнес-процессы

Электронная подпись — инструмент, который компании часто используют для автоматизации бизнес-процессов. 1 июля 2021 года правила использования ЭЦП значительно изменились: реформирована система её получения (См. подробнее: «Как получит бесплатную подпись от ФНС»).

Федеральным законом от 27.12.2019 № 476-ФЗ внесены соответствующие поправки в Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи». Рассмотрим три категории нововведений, которые коснутся всех пользователей электронных подписей.

Новый порядок аккредитации удостоверяющих центров

Власть приняла решение повысить требования к удостоверяющим центрам (УЦ), которые выдают ключи и сертификаты к ЭП. Далеко не каждый игрок данного рынка отвечает новым нормам, так что число УЦ значительно уменьшится.

Повышен порог размера как собственных средств, так и страховой ответственности УЦ:

• минимально допустимая величина капитала теперь равна миллиарду рублей в отличие от прежних 7 млн. Если удостоверяющий центр имеет представительства или филиалы в 75% субъектов федерации, то порог вдвое ниже — 0,5 млрд руб
• увеличена сумма денежного обеспечения ответственности фирмы за убытки, причинённые третьим лицам

Реформа проводится с целью сократить число аккредитованных УЦ, оставив на рынке только добросовестных и ответственных участников.

Формальные условия для удостоверяющих центров — ещё не всё. Кроме них, появился аналог известной в банковском деле процедуры — оценка репутации в деловых кругах и честности намерений фирмы и её руководства. Анализировать добросовестность УЦ будет специальная правительственная комиссия.

После 1 июля прошлого года удостоверяющим центрам следовало получить аккредитацию согласно новым нормам 63-ФЗ. На сайте Минцифры опубликован перечень УЦ, которые прошли аккредитацию по новым правилам. В перечень попали и УЦ, входящие в группу компаний СКБ Контур: удостоверяющий центр СКБ Контур и «Сертум-Про».

Влияние на бизнес-процессы

Если Вы не являетесь клиентом УЦ Контура, проверьте актуальный статус удостоверяющего центра, в котором получали сертификат. Отметим, что УЦ СКБ Контур уже аккредитован правительственной комиссией и успешно продолжает выдавать электронные подписи.

Открылся удостоверяющий центр ФНС

УЦ ФНС отводится ключевая роль в новой инфраструктуре. Он будет крупнейшим игроком на рынке подготовки ЭЦП.

1 января 2022 года УЦ ФНС начнёт бесплатную выдачу сертификатов директорам компаний, индивидуальным предпринимателям и нотариусам. Прочим аккредитованным УЦ законом позволено выдавать ЭЦП только физическим лицам или уполномоченным представителям компаний. Предполагается, что такая схема повысит доверие к процедуре получения подписи.

УЦ ФНС работает уже сейчас, с 1 июля текущего года, но пока в пилотном режиме. До Нового года взаимодействие налоговиков с пользователями и операторами ЭДО должно быть отработано, а процедуры — оптимизированы.

Влияние на бизнес-процессы

Период с 1 июля 2021 года по 31 декабря 2022 года отводится для перехода к новой схеме работы. За это время всем руководителям компаний необходимо воспользоваться услугами УЦ ФНС или его уполномоченных представителей. Список последних пока уточняется.

Квалифицированные сертификаты, выданные в пределах пилотного проекта, будут действовать 15 месяцев. Ими можно пользоваться для сдачи отчётов и ведения финансово-хозяйственной деятельности.

Выдавать КЭП будут в операционных залах региональных ИФНС.

Чтобы бесплатно получить электронную подпись ЭП в УЦ ФНС, необходимы:

• документ, удостоверяющий личность заявителя
• СНИЛС
• носитель ключевой информации (токен), куда записываются сертификат и ключ подписи
• документация на ключевой носитель информации — сертификат соответствия ФСТЭК или ФСБ. Допускается использование скан-копию сертификатов соответствия с сайтов ФСТЭК или ФСБ или производителей носителей ключевой информации.

Примеры токенов с сертификатом соответствия ФСТЭК России:

• Rutoken-S
• Rutoken-Lite
• E-Smart
• JaCarta

При использовании носителя со встроенным средством криптозащиты информации (СКЗИ) потребуется формуляр на СКЗИ, а также сертификат соответствия ФСБ. Примеры таких токенов:

• РуТокен ЭЦП
• E-Smart ГОСТ
• JaCarta ГОСТ

ФНС выдаёт КЭП в одном экземпляре. Сам ключ является некопируемый, а значит нельзя сделать копию для бухгалтера или тендерного специалиста

Данное новшество потребует отказаться от принятой во многих фирмах неправильной процедуры, когда сертификатом директора пользуется не только сам директор, но и бухгалтер. Если сертификатом «общего пользования» окажется заверен документ, который заверять не следовало, Вы не сможете выяснить, кто именно так сделал из немалой группы лиц, имевших доступ к сертификату. Нововведение исключает риск получить документ, фактически подписанный лицом, не имевшим на это полномочий.

Электронная подпись уполномоченного лица

Наиболее существенно на бизнес-процессах предприятий отразится изменение порядка выдачи сертификатов уполномоченным представителям. Прежде в сертификатах для таких представителей УЦ указывали название фирмы и владельца сертификата. Это порождало две проблемы, особенно неприятные для крупных организаций, которым сертификаты уполномоченных лиц необходимы в большом количестве.

1. Один уполномоченный сотрудник может быть вправе представлять несколько компаний, входящих в одну группу. Ранее ему для этого требовалось несколько сертификатов. К примеру, один бухгалтер, чтобы сдавать отчёты за 10 компаний группы, вынужден был заказывать в УЦ 10 сертификатов.
2. Часть пользователей электронного документооборота считает, что наличие в сертификате данных как фирмы, так и физлица, её представляющего, служит гарантией проверки УЦ полномочий данного физлица представлять данную фирму.

Вот зачем понадобилось решение разорвать связь между полномочиями сотрудника и его ЭЦП. Теперь уполномоченные лица будут получать электронную подпись физлица. То есть, для УЦ такой работник — не бухгалтер или, к примеру, экономист, а просто Петров Иван Сергеевич.

Описать полномочия Петрова и подтвердить его право действовать от имени конкретной компании должна электронная доверенность. Её подписывает директор компании. Там содержится информация о доверенном лице и полномочиях данного лица действовать от имени фирмы.

Влияние на бизнес-процессы

С начала 2022 года уполномоченные представители компаний обязаны приступить к использованию в документообороте сертификатов физических лиц. Связь между физлицом и фирмой обеспечит электронная доверенность.

Новый порядок использования электронной доверенности поможет пользователям электронного документооборота (ЭДО) убеждаться, что доверенность ещё действует. Сейчас это непростая задача.

Все нововведения нацелены на то, что в распоряжении бизнеса появятся сертификаты юридических лиц без привязки к данным конкретного физлица. Это удобно для установки сертификата в автоматизированной системе, которая должна заверять загружаемые в неё документы.

Ранее законом разрешалось выдавать сертификаты для автоматизированного подписания исключительно в рамках электронного взаимодействия ведомств с государством. После Нового года это ограничение исчезнет.

Сводная таблица по ЭЦП с 1 января 2022 года

Для простоты понимания мы собрали в одну таблицу сведения о том, кому какая электронная подпись потребуется с начала следующего года.

Как действовать сейчас?

Контур.Норматив — справочно-правовая система!

До 1 января 2022 года доступны два равноправных метода работы с ЭЦП:

1. Работать по-старому
2. Применять новую схему, то есть обратиться за сертификатом для директора фирмы в УЦ ФНС, а для физического лица — в коммерческий УЦ, прошедший аккредитацию согласно новым нормам.

До конца 2021 года Вы будете вправе выбрать любой из этих вариантов по своему усмотрению.

Новый порядок станет обязательным к применению для всех компаний с 1 января 2022 года.

Источник: kontursverka.ru