Удостоверяющий центр — зачем, как и где получать средства ЭЦП

Современный электронный документооборот (далее — ЭДО) практически невозможен без применения электронно-цифровых подписей. Использование этого инструмента необходимо для верификации авторства и определения целостности цифрового документа. Успешное прохождение проверки гарантирует его неотказуемость (non-repudation) — невозможность отчуждения авторства его составителя.

Аппаратно-программные средства для генерации и верификации ЭЦП предоставляются удостоверяющими центрами (далее — УЦ). Считается, что эти организации — цифровые посредники между участниками ЭДО, осуществляющими сетевое онлайн-взаимодействие. Честность и прозрачность работы аккредитованных центров сертификации неоспоримы.

Какие  функции выполняют УЦ? На чем основываются принципы их работы? В статье мы ответим на эти и многие другие вопросы: расскажем, можно ли создать центр сертификации для обеспечения собственных нужд и как это сделать. Вы узнаете, как правильно выбрать сторонний УЦ, почему так важно, чтобы он был аккредитован, лицензирует ли ФСБ РФ деятельность УЦ.

Получение средства ЭЦП: что такое удостоверяющие центры и для чего они нужны

В одной из статей мы уже описывали принцип шифрования, который используется для генерации и верификации ЦП. Напомним вкратце, как это работает. Криптографическая система функционирует на основе асимметричных ключей, предназначенных для кодирования и дешифровки данных — закрытого (секретного), открытого (публичного) и соответствующего ему сертификата. Ключи уникальны для каждого участника ЭДО.

Секретный ключ — набор символов, его длина составляет 256 бит. Хранить его надлежит на носителе, недоступном для третьих лиц (USB-токене, смарт-карте). Секретный ключ необходим для генерации его держателем уникальной ЦП и полной расшифровки получателем, например, сотрудником ФНС РФ, цифрового документа отправителя. Работает он только в тандеме с публичным.

Публичный ключ — шифр (как правило, сложная математическая формула) длиной 1024 бита. Нужен для верификации ЭП, которыми визируются цифровые документы участников ЭДО. На открытый ключ проверки ЭП выдается соответствующий сертификат (далее — СКПЭП). Публичный ключ работает только в тандеме с секретным.

Участники ЭДО обязаны обеспечить наличие своих публичных ключей у каждого коммуниканта, с которым они предполагают обмениваться цифровыми документами, визированными ЦП и упакованными в файлы. Дубликаты публичных ключей хранятся в УЦ. Удостоверяющие центры создают библиотеки (реестры) публичных ключей — таким образом осуществляются регистрация и хранение средств ЭЦП, чтобы избежать их подделок и/или искажений.

Что такое СКПЭП? Это расширение публичного ключа — цифровой документ (и при необходимости его бумажная копия), содержащий публичный ключ и дополнительные сведения о нем и его держателе (подробнее читайте ниже — в одном из следующих разделов этой статьи). За выдачу СКПЭП в основном и отвечают удостоверяющие центры — они подтверждают подлинность информации о владельце электронной подписи, его полномочиях.

Средства ЭП, как и саму электронную подпись (например, простую, но и не только ее), возможно создать самостоятельно, используя персональный компьютер и специализированное программное обеспечение. Удостоверяющие центры выступают в роли цифровых нотариусов, поскольку заверяют и подтверждают сами средства генерации и верификации ЭЦП, которой визируются электронные бумаги.

Иногда их называют центрами сертификации — такое определение наиболее точно отражает их суть. Удостоверяющий центр — организация, честность и прозрачность работы которой неоспоримы. Проще говоря, это универсальная глобальная служба каталогов, осуществляющая контроль за использованием криптографических ключей всех своих клиентов.

Таким образом, за средствами для создания и верификации простой ЦП обращаться в УЦ не нужно. Эти действия не требуют применения криптографических алгоритмов. Удостоверяющие центры обеспечивают клиентам  получение средств для создания и проверки двух видов усиленной ЭЦП: неквалифицированной (НЭП) и квалифицированной (КЭП). Обе имеют очень высокую степень защиты, но с юридической точки зрения только КЭП считается равнозначной «живой» росписи на бумаге — она не требует заключения дополнительных соглашений между участниками ЭДО.

Примечание. Практически все электронные площадки (далее — ЭТП) — участники ЭДО — с января 2019 действуют на основании 44-ФЗ от 02.07.2013 и Постановления Правительства №768 от 30.06.2018. Согласно этим правовым нормам, использование КЭП обязательно для удаленного получения услуг через большинство государственных и коммерческих ЭТП, доступных в Сети.

Квалифицированные СКПЭП выдают только аккредитованные Министерством цифрового развития, связи и массовых коммуникаций РФ (далее — Минкомсвязь) центры сертификации.

Удостоверяющий центр выдачи средств электронных подписей: основные принципы работы и функции

На момент написания статьи в РФ действует порядка 300 УЦ. Каждый из них применяет собственные регламенты: о требованиях безопасности и финансовых расчетов, технологические, учреждающие методы выдачи закрытых ключей и СКПЭП. Среди основных можно выделить такие принципы работы УЦ:

1. Полное соответствие действующим нормам законодательства (в частности, ФЗ № 63-ФЗ от 06.04.2011).
2. Аккредитация. К 2019 она стала обязательным условием подключения к крупным системам ЭДО (например, для всех организаций, претендующих на ведение деятельности в рамках Ассоциации электронных торговых площадок — АЭТП).
3. Техническая совместимость применяемых программно-аппаратных средств для генерации и верификации ЭЦП (USB-носителей, ПО) с устройствами, которыми пользуются заявители (ПК, ноутбуками, смартфонами, планшетами) и установленными на них операционными системами.
4. Гарантия уникальности используемых идентификаторов: объектов, номеров СКПЭП и закрытых ключей для генерации ЦП.

ФЗ № 63-ФЗ предусматривает выполнение удостоверяющим центром следующих функций:

• выпуск СКПЭП и выдача их клиентам, а также назначение сроков их действия;
• аннулирование СКПЭП, ранее предоставленных этим же УЦ, по окончании срока их актуальности или по заявлению держателя (например, при утрате или краже);
• формирование и предоставление клиентам закрытых ключей (генерации электронных подписей) и аппаратных средств (например, USB-токенов), их содержащих;
• ведение реестра СКПЭП как предоставленных, так и аннулированных этим УЦ, включая все данные о них (периоды действия, причины утраты актуальности и прочих);
• формирование порядка ведения реестра квалифицированных и неквалифицированных СКПЭП, доступа к нему;
• обеспечение клиентского доступа (в том числе онлайн на удаленной основе) к данным, содержащимся в реестре сертификатов;
• формирование открытых ключей проверки ЭП по обращению клиентов;
• ревизия уникальности СКПЭП через упомянутый реестр;
• проверка ЭП по требованиям участников ЭДО.

На основании договора между заявителем и УЦ его сотрудники создают и/или выдают аппаратно-программные средства для генерации и верификации ЭЦП:

• секретный ключ;
• публичный ключ;
• СКПЭП;
• при необходимости и/или по требованию клиента защищенный носитель для записи упомянутых программных средств ЦП — USB-накопитель (токен, смарт-карту и прочие).

СКПЭП должен содержать следующие данные:

• диапазон дат — период его актуальности;
• Ф. И. О. держателя — для физических лиц и/или индивидуальных предпринимателей, наименование и фактический адрес — для юридических лиц;
• прочую информацию, которая позволит идентифицировать его владельца;
• открытый ключ верификации ЭП;
• наименование применяемого средства ЭЦП и/или стандарты открытого ключа верификации ЦП и/или СКПЭП;
• название организации, которая выдала средства генерации и верификации ЭЦП.

В обязанности УЦ входит ряд мероприятий при взаимодействии с клиентами:

• ознакомление с порядком и правилами использования ЭП;
• гарантия сохранения в тайне закрытых ключей, выданных организацией клиентам (она не вправе передавать их третьим лицам);
• сообщение о потенциальных рисках, предоставление информации о способах их снижения и прочих мерах безопасности.

Примечания и уточнения

Первое. Данные об окончании срока действия СКПЭП должны быть добавлены УЦ в реестр сертификатов в течение рабочего дня с момента фиксации любых обстоятельств, приведших к утрате его актуальности. Только после внесения соответствующей записи в упомянутый реестр СКПЭП считается недействительным. Если вы утратили над ним контроль, немедленно известите об этом сотрудников УЦ!

Второе. Если при получении средств ЭЦП от имени ЮЛ совершает действия физическое лицо (на основании учредительного договора или по доверенности), в содержание СКПЭП включаются его персональные данные.

Третье. СКПЭП могут выдаваться как в цифровом виде, так и на бумажном носителе. Держатель, получивший электронный СКПЭП, вправе в любой момент потребовать его бумажную копию. Сотрудники УЦ обязаны заверить ее и вручить клиенту.

Четвертое. Удостоверяющий центр вправе аннулировать СКПЭП по решению судебной инстанции, вступившему в силу, например, если средство электронной подписи содержит недостоверные данные или в том случае, если при его выдаче были допущены нарушения.

Пятое. Обстоятельства, при которых СКПЭП становится недействительным:

1. Закончился срок его действия.
2. Держатель заявил об его утрате, порче, краже.
3. УЦ прекратил свою деятельность и не передал свои функции и полномочия третьим лицам, а также в иных случаях, упомянутых ФЗ № 63-ФЗ.

Шестое. УЦ обязан уведомить держателя средств генерации и верификации ЭП об окончании срока действия СКПЭП и закрытого ключа. Поэтому сам факт применения аннулированного ключа не повлечет правовых последствий, кроме тех, что прямо указаны в ФЗ № 63 и непосредственно связаны с его аннулированием.

Рутокен ЭЦП Bluetooth

9 507 ₽

Быстрый просмотр

КриптоПро TSP Client

1 200 ₽

Быстрый просмотр

Настройка ЭЦП

1 000 ₽

Быстрый просмотр

Удостоверяющий центр выдачи средств ЭЦП в Москве: как выбрать лучший

Центры сертификации предоставляют одну комплексную услугу с приблизительно одинаковым набором опций. Чтобы выбрать подходящий и надежный УЦ, следует придерживаться критериев:

• стоимость комплексного сопровождения;
• количество пунктов выдачи средств ЦП;
• помощь в инсталляции и настройке сопутствующего ПО;
• качество сервиса (например, согласно отзывам пользователей, рейтингам);
• год основания организации.

Расценки на стандартный набор средств генерации и верификации ЭП для работы с ЭТП складываются из расчета стоимости:

• работ по созданию секретного и публичного ключей, СКПЭП;
• годовой лицензии на специализированное ПО — средство криптографической защиты информации (СКЗИ), например, КриптоПРО CSP;
• flash-накопителя, как правило, с интерфейсом USB (например, Рутокен).

Иногда в стоимость комплексной услуги входят инсталляция и настройка необходимого ПО, подготовка рабочего места, техническая поддержка. Расценки на базовый комплект средств ЭП в среднем составляют от 5 000 до 9 000 р.

Большое количество пунктов выдачи, включая офисы партнерских организаций, облегчает получение услуги. Вы сможете забрать программно-аппаратные средства ЦП из точки обслуживания УЦ, которая находится в шаговой доступности от вашего дома или офиса.

Инсталляция и настройка специализированного ПО для генерации и верификации ЦП, включая отладку браузера для работы с ЭТП, установку СКЗИ и корневых сертификатов, сильно сэкономит вам время и избавит от необходимости обращения в службу технической поддержки. Как правило, за включение этой опции в комплексную услугу приходится доплачивать отдельно, но сам факт ее наличия свидетельствует о высоком качестве сервиса, предоставляемого УЦ.

Защита от руткитов — вредоносных программ, используемых сетевыми злоумышленниками с целью маскировки вторжения на чужой ПК и получения доступа к данным от имени администратора, — опция, которая встречается в пакете комплексной услуги крайне редко. Обычная антивирусная программа не всегда может обнаружить руткит, пакующий и кодирующий свои файлы. Опцию защиты от вредоносного ПО этого типа предусмотрел удостоверяющий центр АО «Единая электронная торговая площадка» (ЕЭТП). У организации есть пункты выдачи средств ЭЦП в Москве.

Любой удостоверяющий центр предлагает опцию ускоренного выпуска средств ЭП в качестве дополнительной услуги. За нее также придется доплачивать, как правило, около 2 500-3 000 р. к стандартному тарифу. Скорость предоставления услуги — от 15 минут (в экстренном режиме) до 3 суток (в обычном).

Чем дольше организация работает на рынке цифровых услуг, тем она надежней, и тем меньше вероятность совершения нарушений общепринятого регламента и положений законодательства РФ с ее стороны. Старейшими считаются УЦ «Такском» и «Национальный удостоверяющий центр». Эти организации функционируют с 2000 года.

Рейтинг ведущих УЦ по версии консалтингового агентства «ГосРосЗаказ» (gosroszakaz.ru) со ссылкой на «Российскую газету» (rg.ru):

• ЕЭТП;
• «Электронный экспресс»;
• ТаксНет;
• СКБ Контур;
• Такском;
• Компания Тензор;
• Национальный удостоверяющий центр.

Все вышеперечисленные удостоверяющие центры открыли в Москве точки выдачи средств ЭЦП клиентам.

Удостоверяющие центры для получения средств ЭЦП  Москвы

Если рейтинг, предоставленный консалтинговым агентством «ГосРосЗаказ», показался вам неубедительным, рекомендуем обратиться к базе данных Ассоциации разработчиков и операторов систем электронных услуг (РОСЭУ). Организация была основана в 2010. Это авторитетное и единственное официально зарегистрированное в РФ объединение крупнейших игроков рынка цифровых услуг. Основная задача РОСЭУ — формирование отраслевой ЭТП для обеспечения взаимодействия между коммерческими организациями, предоставляющими услуги в сегментах В2В, B2G, B2C, и государством.

С полным перечнем аккредитованных УЦ, действующих на территории РФ, можно ознакомиться на сайте https://roseu.org. Чтобы сузить поиски, укажите ваше местоположение — заполните электронные поля «Регион» и «Город» (в нашем случае — г. Москва) соответствующими данными. Нажмите кнопку «Выбрать». Вы получите полный список УЦ, действующих в указанном субъекте РФ, и их контактные данные:

• фактические адреса;
• телефоны;
• ссылки для перехода на официальные сайты;
• адреса электронной почты.

Также вы получите краткую информацию об особенностях работы интересующего вас УЦ. Например, является ли организация членом РОСЭУ, какой класс защиты информации применяет (КС1, КС2, КС3) и прочее. В качестве участников в Ассоциации РОСЭУ состоят:

• СКБ Контур;
• Компания КриптоПро;
• «Электронный экспресс»;
• Компания «МостИнфо»;
• ООО «Верикей»;
• ТаксНет;
• ООО «АРГОС»;
• ITCOM (ООО «Айтиком»);
• ОАО «ИнфоТеКС Интернет Траст»;
• АО «Удостоверяющий центр».

Все вышеперечисленные удостоверяющие центры имеют офисы в Москве. Для получения средств ЭЦП подойдет любой ближайший к вам пункт выдачи.

Аккредитованные удостоверяющие центры, выдающие средства ЭЦП в Москве

Действительно ли надежен УЦ и достоин ли он доверия, определяет Минкомсвязи РФ. Для этого действует процедура аккредитации.  Требования к УЦ, претендующим на ее получение, перечислены в ФЗ № 63-ФЗ и уточнены Приказом Минкомсвязи от 23.11.2011 № 320. Текст документа опубликован здесь. Чтобы получить аккредитацию в Минкомсвязи РФ, центр сертификации должен:

• располагать чистыми активами на сумму от 1,5 млн р.;
• иметь в штате 2 и более работника, способных создавать и выдавать закрытые и публичные ключи, СКПЭП.

Национальный удостоверяющий центр: электронная подпись и средства ее создания и верификации

НУЦ — организация, аккредитованная Минкомсвязи РФ и входящая в первую десятку крупнейших российских УЦ. Если вам нужна квалифицированная электронная подпись, вы можете обратиться за выпуском средств для ее создания и верификации в Национальный удостоверяющий центр. Специалисты НУЦ предоставляют ФЛ, ЮЛ и ИП комплексную услугу внедрения ЭП под ключ со следующим набором опций:

• подготовка и предоставление аппаратно-технических средств для ее генерации и верификации;
• подбор, установка и настройка необходимых криптографических программных продуктов (например, СКЗИ КриптоПро CSP);
• проверка ЭЦП на подлинность.

У НУЦ 4 филиала и около 100 точек выдачи средств ЦП по всей РФ. Чтобы получить в Национальном удостоверяющем центре средства электронной подписи, вам понадобится сообщить ИНН, написать заявление и представить как минимум два документа:

• гражданский паспорт;
• страховой номер индивидуального лицевого счета.

От ИП и ЮЛ дополнительно потребуются:

• выписка из ЕГРЮЛ/ЕГРИП;
• ОГРН/ОГРНИП;
• доверенность на имя уполномоченного представителя ЮЛ и/или ИП, получающего СКПЭП (или копия учредительного договора).

Тарифные планы НУЦ для ФЛ представлены в таблице.

ТП НУЦ для ЮЛ и ИП:

НУЦ также предлагает дополнительные услуги:

• ускоренный выпуск СКПЭП. Придется доплатить 2 350 р. к стоимости основного тарифа;
• доставка СКПЭП в пределах МКАД — от 5 000 до 8 800 р., в зависимости от срочности оказания основной услуги и необходимости выезда специалиста к клиенту для оформления документов;
• продление действия СКПЭП — от 4 090 до 14 390 р. в год;
• установка и настройка специализированного ПО — от 3 000 до 8 800 р., в зависимости от срочности оказания основной услуги и необходимости выезда специалиста к клиенту для оформления документов.

У НУЦ превосходная репутация. Среди постоянных клиентов ОАО «Интер РАО ЕЭС», ОАО «АК Транснефть», ОАО «РОСНАНО», ЗАО «Русагротранс» и многие другие. Реклама НУЦ есть на портале разработчика СКЗИ КриптоПРО CSP. В столице находится 12 точек выдачи средств ЭЦП.

Как стать удостоверяющим центром, выдающим средства ЭЦП

Создание собственного центра сертификации сопряжено с рядом сложностей. Претенденту предстоит преодолеть несколько этапов.

На первом следует определиться с организационно-правовой формой учреждения — выбирать придется из трех вариантов: общество с ограниченной ответственностью (ООО), закрытое акционерное общество (ЗАО) или открытое акционерное общество (ОАО).

При регистрации организации в учредительной документации нужно указывать общероссийский классификатор продукции по видам экономической деятельности  (ОКПД-2) — 62.09 («Услуги в области информационных технологий…»). Возможно, основателям УЦ понадобится добавлять кодировки — какие именно, зависит от перечня услуг, которые организация планирует оказывать в дальнейшем.

На втором этапе потребуется выбрать подходящее помещение, приобрести или арендовать его. Учредители должны корректно оформить все документы, подтверждающие право на владение объектом (акт купли-продажи и свидетельство о праве собственности) и/или его использование (арендное соглашение). Этот пакет бумаг позже потребуется представить в лицензирующий орган — ФСБ РФ.

На третьем этапе потребуется покупка и/или аренда оборудования и прочих технических средств производства и объектов, необходимых для ведения профильной деятельности УЦ. Для них также потребуется собирать пакет документов, подтверждающих право собственности и/или временного владения и использования. Их вы будете обязаны представить в лицензирующий орган — ФСБ РФ. Там же следует уточнять и требования к оборудованию.

На четвертом этапе обязательно понадобится штатный или сторонний юрист. Этот специалист необходим для участия в разработке, согласовании со всеми учредителями и принятии ряда инструкций и нормативов. Потребуется сформировать регламенты:

• проведения операций со СКПЭП;
• защиты и хранения секретных и публичных клиентских ключей, параметров их генерации;
• приема и обработки входящих обращений на выдачу СКПЭП заявителям;
• физического доступа к техническим средствам УЦ (каждой единице оборудования).

Должен быть документально оформлен порядок осуществления следующих процедур:

• защиты сотрудников и страхования их ответственности;
• проведения аудиторских мероприятий;
• порядка разрешения споров и конфликтов;
• защиты и хранения собственных и клиентских ключей.

Кроме этого, вам потребуется разработать:

• режим работы каталога СКПЭП и доступа к нему третьих лиц;
• порядок разделения сфер ответственности;
• подробное описание функций всех компонентов УЦ, каталогов СКПЭП, баз данных конечных пользователей.

Пятым этапом является прохождение аккредитации в Минкомсвязи. Потребуется подать соответствующее заявление, представить образец соглашения с клиентом и договор о страховании ответственности на сумму не менее 1,5 млн р. На момент обращения в надзорный орган в штате должно числиться как минимум два исполнителя, способных создавать и выдавать клиентам аппаратно-программные средства ЭЦП. Если вы ее получите, федеральный орган выдаст вам свидетельство об аккредитации удостоверяющего центра с указанием периода его действия.

На шестом этапе потребуется получение лицензии ФСБ РФ. На портале госоргана перечислены 7 основных видов деятельности, подлежащих обязательному лицензированию. Их точный список составляется с учетом формата работы УЦ и используемых криптографических стандартов (алгоритмов).

Вы отмечаете необходимые виды деятельности, от которых и будет зависеть конечная стоимость лицензии. Как правило, она обходится УЦ в несколько сотен тысяч рублей. Учтите, что компании, помогающие с оформлением этого разрешительного документа, взимают дополнительную плату за свои услуги.

Если вы собираетесь выпускать и использовать средства ЭП только для нужд собственных сотрудников, лицензирование в ФСБ РФ необязательно. Руководитель УЦ должен иметь высшее профессиональное образование по специальности «Информационная безопасность» или пройти соответствующие этому направлению курсы профподготовки. Стаж работы должен составлять от 3 лет, в некоторых случаях — от 5 (это зависит от перечня предоставляемых УЦ услуг).

На седьмом этапе потребуется нанять штатного бухгалтера или заключить договор с компанией-аутсорсером, чтобы осуществлять ведение бухучета и своевременно предоставлять отчетность в ФНС РФ, отчислять причитающиеся налоги и сборы. Приток клиентов обеспечивается за счет рекламы: обязательно заложите в бюджет расходы на раскрутку вашего бренда.

Краткий ликбез, как стать удостоверяющим центром, выдающим средства ЭЦП, и во сколько это обойдется, размещен на сайте компании «КРИПТО-ПРО». Затраты на создание собственного УЦ приведены из расчета на 4 000 пользователей. Почему было выбрано именно такое количество клиентов, авторы обзора поясняют в конце.