Федеральный закон 63-ФЗ от 06.04.2011 сменил ФЗ № 1 от 10.01.2002, регламентировавший условия применения электронной цифровой подписи (ЭЦП). В связи с заменой привычная аббревиатура ЭЦП теперь считается устаревшей и не подходит под новую терминологию. Определение «электронная цифровая подпись» утратило актуальность с 01.01.2014, когда ФЗ № 63 окончательно вступил в действие. Несмотря на это, термин до сих пор используется наряду с ЭП, ЦП и другими сокращениями.
Новый закон, как и его устаревшая версия, регламентирует отношения между организациями, предпринимателями и физлицами, использующими электронные аналоги вместо бумажной документации. Нормативно-правовой акт действителен в сфере гражданских правоотношений, предоставления госуслуг и других процедур, имеющих юридическую значимость. Основная суть закона об ЭЦП заключается в том, что при соблюдении некоторых условий электронный документооборот (ЭДО) равнозначен бумажному и может полностью его заменить. Какие средства нужны для создания цифровой подписи, как их получить и где применять, рассмотрим в статье.
Краткий обзор ФЗ № 63 об электронной подписи
Закон устанавливает порядок выпуска и применения ЭП. Документ касается всех участников документооборота: от надзорных госорганов и удостоверяющих центров до клиентов, подписывающих электронные файлы. Соблюдение правил, приведенных в законе, гарантирует безопасность, целостность и неизменность отправленных пакетов данных.
ЭП создается на основе алгоритмов криптошифрования, поэтому ее невозможно подделать. Третьи лица не смогут получить доступ к файлу и изменить его после подписания — внесение корректив в уже завизированный документ автоматически делает его недействительным.
Структура закона
Нормативно-правовой акт состоит из 20 статей, которые условно можно объединить в 6 групп:
- Ст. 1–4, 6,7, 10 дают представление о возможностях применения ЭП и обязанностях участников электронного документооборота, а также знакомят потенциальных пользователей с терминологией.
- Из ст. 5 можно узнать о видах и специфике ЭП.
- Ст. 9 и 11 определяют принципы использования простой и квалифицированной ЭП.
- Ст. 13, 15 и 16 касаются удостоверяющих центров (УЦ): порядок выдачи сертификатов, порядок аккредитации, обязательства и пр.
- В ст. 12, 14 и 17 описаны средства для генерации и проверки цифровой подписи.
- Ст. 18 устанавливает порядок выдачи квалифицированных ЭП.
Ст. 19 и 20 содержат заключительные положения и определяют дату вступления нормативно-правового акта в силу.
Виды и сферы применения ЭЦП согласно закону
ФЗ об ЭЦП выделяет два вида электронной подписи — простую и усиленную. Вторая, в свою очередь, бывает квалифицированной (КЭП) и неквалифицированной (НЭП).
Простая реализована на базе кодов и паролей. В качестве примера приведем одноразовый SMS-код, поступающий пользователю для авторизации на сайте, а также пароль доступа в аккаунт почтового сервиса. Для передачи юридически значимой документации эта подпись не подойдет, так как ее легко скомпрометировать или украсть. Простая ЭП применима для следующих операций:
- внутренний (корпоративный) и внешний документооборот, но только при условии, если обе стороны заключили дополнительное соглашение;
- получение физическими лицами услуг на портале ЕСИА (подача налоговых деклараций, уплата штрафов и др.);
- удаленное взаимодействие с арбитражным судом.
В отличие от простой ЭП, неквалифицированная не только определяет автора, но и подтверждает, что документ не корректировался после визирования. НЭП доступна для получения в любом УЦ, в том числе без аккредитации, но на сегодня она практически утратила свою актуальность. Некоторые организации до сих пор используют неквалифицированную ЭП для электронного документооборота с другими компаниями и физлицами. Основное условие — соглашение двух сторон о признании юридической силы такой ЦП. КЭП, как и НЭП, генерируется посредством алгоритмов криптошифрования, но имеет следующие особенности:
- выпускается только УЦ, аккредитованными Минкомсвязи;
- для законной работы с КЭП требуется криптопровайдер, сертифицированный ФСБ.
Квалифицированный сертификат обеспечивает юридическую значимость документации без допсоглашений и, согласно 63-ФЗ об электронной подписи, подходит для любых сфер ЭДО:
- отраслевой и корпоративный документооборот;
- участие в торгах: коммерческие аукционы, продажа имущества банкротов, закупки по 44-ФЗ и 223-ФЗ;
- подача запросов и отчетности в ИФНС, ПФР и другие госучреждения;
- работа с информационными госсистемами: Росреестр, ГИС ЖКХ, Центробанк, СМЭВ и др.;
- регистрация кассовых аппаратов и заключение договоров с операторами фискальных данных (ОФД).
Цифровой файл, заверенный КЭП, имеет такую же силу, что и бумажный аналог с ручной подписью и печатью.
Средства электронной подписи по ФЗ № 63
Цифровая подпись — не просто атрибут к файлу, а результат криптографических операций. Адресат увидит только факт присутствия ЭП в свойствах документа, а не саму подпись. Некоторые плагины и настольные приложения позволяют добавлять специальный значок с надписью «Документ подписан ЭП». Стикер имеет форму штампа с Ф. И. О. отправителя, номером и сроком действия ЦП.
Средства для генерации ЭП
КЭП не формируется самостоятельно. Закон об электронной подписи устанавливает набор специальных инструментов для ее формирования:
- Закрытый ключ — последовательность символов, посредством которой генерируется сама ЭП. Также посредством этого инструмента пользователь расшифровывает файл, который отправитель закодировал с публичным (открытым) ключом.
- Открытый ключ — произвольный набор букв и цифр. В отличие от секретного ключа, находится в свободном доступе для всех участников ЭДО и выполняет противоположные по смыслу задачи: шифрует пакет данных перед отправкой и проверяет подлинность документов. Значения открытого и закрытого ключей выглядят следующим образом:
- Сертификат открытого ключа проверки ЭП (СКПЭП). Этот документ закрепляет принадлежность публичного ключа определенному лицу, то есть он связывает обезличенную комбинацию символов с конкретным владельцем. СКПЭП выдается в электронном или бумажном виде, в процессе ЭДО он автоматически отправляется адресату вместе с заверенной документацией.
В сертификате открытого ключа содержится стандартная информация:
- номер документа;
- период действия (обычно он не превышает 12 месяцев);
- сведения о держателе ключа: название организации, юридический адрес, ИНН, ОГРН и т. д.
- сферы применения ЦП;
- информация об УЦ, который выпустил этот сертификат.
Все перечисленные компоненты предоставляются удостоверяющим центром. Они могут быть отправлены на email или записаны на стандартный флеш-накопитель. Оба способа бесплатны, но небезопасны, поэтому рекомендуется сразу приобрести в УЦ защищенный носитель (токен) и сохранить на него средства для ЭП.
В России наиболее популярны USB-токены Рутокен, eToken и JaCarta. Некоторые устройства, например Рутокен 2.0, поставляются со встроенным криптопровайдером, поэтому установка дополнительного средства криптозащиты на ПК не потребуется.
USB-токены повышают защиту ключа благодаря двухфакторной идентификации — пользователь вводит пароль для аппаратного носителя и только потом может обращаться к записанным на нем ключам.
Если токен не имеет встроенного криптопровайдера, необходимо отдельно приобрести соответствующее ПО и установить его на рабочем месте. Большинство торговых площадок и госсистем работает с утилитой КриптоПро CSP. Без средства криптозащиты обращение к ключам и генерация ЭП невозможны.
Порядок применения
Процедура подписания и зашифровки данных выглядит следующим образом:
- Держатель сертификата подписывает документ с помощью плагина, встроенного в редактор, или сторонней программы. В процессе генерации ЭП участвует закрытый ключ.
- При необходимости подписант зашифровывает документ, используя сертификат открытого ключа адресата (его необходимо заранее запросить у получателя и загрузить на свое рабочее место).
- Адресат получает файл и декодирует его при помощи своего секретного ключа (доступ открывается, когда сходятся ключи из одной пары).
Согласно ст. 6 ФЗ об электронной подписи, одним обращением к сертификату можно сразу завизировать пакет связанных между собой документов. Каждый файл, входящий в пакет, будет автоматически подписан выбранной ЦП. Также предусмотрена возможность выбора формата КЭП: отсоединенная (отправляется в отдельном файле) или присоединенная (добавляется в документ).
Как получить электронную подпись по закону
В начале июля 2020 года вступили в силу некоторые поправки, внесенные в федеральный закон 63 об электронной цифровой подписи. Теперь будущий держатель квалифицированного сертификата (на чье имя оформляется ключ) не может отправить вместо себя доверенное лицо — он должен получить ЭП лично.
Как оформить КЭП
Для получения квалифицированного сертификата заявитель должен подтвердить личность одним из способов:
- личное присутствие в офисе УЦ;
- удаленное оформление с помощью действующего сертификата КЭП (актуально для получения новой подписи вместо старой);
- предоставление биометрических данных из загранпаспорта или Единой биометрической системы (ЕБС).
На выдачу простой ЭП перечисленные ограничения не распространяются, так как она неприменима для отправки секретных сведений. Такую подпись, как и раньше, можно получить лично или через уполномоченное лицо. Для представителей юридических лиц, получающих СКПЭП на свое имя, действуют дополнительные условия:
- Сотрудники предприятий должны пройти идентификацию лично в офисе, а также представить доверенность на получение сертификата от руководителя (заверенную нотариально).
- Руководитель вправе получить КЭП как на себя, так и на своих сотрудников, например, на специалистов, отвечающих за участие в торгах. Во втором случае сотруднику остается только завизировать заявку на выпуск СКПЭП.
ФЗ № 476 от 27.12.19 внес существенные коррективы в закон № 63 «Об электронной подписи». В 2022 году вступят в силу масштабные нововведения, которые затронут практически всех участников ЭДО. От предприятий подписи смогут получать только руководители. Остальные сотрудники будут обращаться в УЦ только как физические лица и получать подписи для выполнения своих функций (например, для отправки договоров и бухгалтерских документов). Юридические лица смогут заказать так называемую обезличенную ЦП, которой они будут заверять технологическую документацию.
Какие данные необходимо предоставить
Перед выпуском КЭП для физического лица УЦ должен проверить следующую информацию:
- Ф. И. О., дату рождения;
- реквизиты паспорта;
- ИНН;
- СНИЛС.
В отношении юрлиц проверяются данные:
- название;
- организационно-правовая форма;
- ИНН;
- юридический адрес;
- ОГРН (ОГРНИП).
В среднем сертификат изготавливается в течение 1–2 дней, за отдельную плату можно заказать срочный выпуск в день обращения.
Какие обязанности по закону об ЭЦП выполняют УЦ
Согласно закону, сертификаты должны выдаваться удостоверяющими центрами. После подтверждения данных и внесения платы клиент получает аппаратное (USB-носитель) и программное (встроенный модуль для генерации публичного ключа и записанный на него секретный ключ) средства.
Для выпуска КЭП организация должна пройти государственную аккредитацию в Минкомсвязи. Кроме выдачи СКПЭП, УЦ выполняют дополнительные обязанности:
- самостоятельно определяют период действия сертификатов;
- аннулируют ранее выданные ими ключи;
- выпускают новые ЭП при утере или порче;
- ведут реестры всех выпущенных и аннулированных подписей;
- проводят ревизию СКПЭП по запросу клиентов/госорганов и т. д.;
- уведомляют клиентов о правилах и порядке применения ЭП;
- обеспечивают защиту информации о закрытых ключах своих клиентов.
Невыполнение обязательств влечет за собой начисление штрафов и утрату статуса аккредитованного УЦ.
Последние поправки ужесточили требования к УЦ (в том числе к минимальному размеру собственного капитала). Не каждая компания сможет им соответствовать, поэтому уже к следующему году их число может серьезно сократиться. С начала 2021 года УЦ, помимо аккредитации, должны получать лицензию на разработку и продажу средств криптозащиты (на основе которых выпускается КЭП).
Среди положительных моментов выделим право УЦ хранить и применять ключи по поручению держателя. Поправка вступает в силу со следующего года. Это означает, что пользователи смогут поручать подписание документов удостоверяющим центрам, избавляя себя от необходимости настраивать компьютер и устанавливать дополнительное ПО.
Согласно поправкам из ФЗ № 476, с 2022 года сертификаты для предпринимателей и организаций будут выпускать только новые УЦ от ФНС, Федерального казначейства и Центробанка РФ. Организации, которые были аккредитованы до принятия этого закона, могут выдавать сертификаты в течение всего срока действия аккредитации, но не позднее чем до 01.07.2021.