Как правильно хранить ключ личной электронной подписи. Хранение эцп в организации Порядок хранения ключей электронной подписи

Алена, я конечно понимаю, что статья носит несколько "общеознакомительный" характер, но все же стоит более широко осветить список "достоинств и недостатков" каждого решения. Я ничуть не опровергаю конечный вывод о большей надежности smartcards, но потенциально они создают куда больше сложностей чем банальное "предполагает дополнительные расходы".

По ключам на локальном компьютере

Это не так. Используемый по умолчанию в Windows RSA-криптопровайдер хранит использует для хранения закрытых ключей папку C:\Users\\AppData\Roaming\Microsoft\Crypto\RSA.

Т.е. располагает их в перемещаемой части профиля, а значит, если пользователь работает за разными машинами в пределах корпоративной сети, ему достаточно будет настроить перемещаемый профиль и устанавливать сертификаты на каждую машину нет нужды.

По использованию токенов

Тут нужно понимать, что у разных производителей данная функциональность реализуется по-разному. У одних клавиатура по вводу PIN-кода расположена прямо на самом устройстве, у дригих используется специализированное ПО на компьютере.

В первом случае устройство получается более громоздким, но более защищенным от перехвата PIN-кода, который может быть считан установкой программного или аппаратного кейлоггера на машине пользователя, в случае использования ПО ввода.

В частности Rutoken использует именно ПО для ввода PIN-кодов, а значит потенциально уязвим.

Верно, сертификаты устанавливать не надо, зато нужно устанавливать драйверы устройств, криптопровайдеры и другие модули.

А это дополнительное низкоуровневое ПО со своими специфическими особенностями и проблемами.

Да, это верно, но только при условии, что вы используете криптофункции самого устройства (т.е. все шифрование и подписание выполняет сам токен).

Это самый безопасный вариант, но у него есть ряд ограничений:

релизуемые алгоритмы. Например, тот же Rutoken (если судить по их документации) аппаратно поддерживает только ГОСТ 28147-89. Все остальные алгоритмы, по всей видимости реализуются уже программно, т.е. с извлечением закрытого ключа из хранилища.
скорость интерфейсов. Простые smartcards реализуют, как правило не самые быстрые аппаратные интерфейсы (скорее всего в целях упрощения и удешевления устройства), например USB 1.1. А так как для подписания/шифрования вам нужно передать на устройство весь файл, это может стать причиной неожиданных "тормозов".

Однако (опять-таки, судя по документации Rutoken) токены могут выступать и просто как шифрованные хранилища. Например, так они работают в связке с КриптоПро CSP. Ну а дальше вывод очевиден - раз одно ПО может получить доступ к ключам, значит это может сделать и другое.

Дополнительные вопросы

К списку выше нужно добавить еще некоторые вопросы, которые также следует учитывать при принятии решения о переходе на токены:

каким образом реализуется обновление сертификатов? Например, ни на сайте Rutoken (в общих разделах и форуме), ни в документации я не нашел упоминания о поддержке Rutoken-ом службы распространения ключей Active Directory. Если это так (и сам Rutoken не предоставляет других механизмов массового обновления ключей), то все ключи нужно обновлять через администраторов, что порождает свои проблемы (т.к. операция не тривиальная).
какое ПО, используемое на предприятии и требующее криптофункций:
- может работать через криптопровайдер (некоторое ПО использует собственную реализацию криптоалгоритмов и требует только доступа к ключам)
- может использовать криптопровайдеры, отличные от стандартных
какое дополнительное ПО (помимо драйверов токена) потребуется установить на рабочих станциях и серверах. Например, стандартный центр сертификатов Microsoft не поддерживает создание ключей для алгоритмов GOST, (а с другими токен может и не работать).

Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц. Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом. Указано правило неразглашения информации и форма назначения ответственных лиц.

Недостатки хранения на ПК:

ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.

Рекомендованное хранение ключей ЭЦП - специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

Достоинствами этого метода хранения являются:

защита от чужого
проникновения

доступ к любому устройству
для работы без сертификата

автоматизация процесса входа
по СЭД и системе компьютера

Требования к ответственности со стороны пользователя

Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

Требования законодательной базы предписывают:

Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
Запрещается использовать скомпрометированный ключ.
Применять методы проверки и соответствия электронного ключа.

Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа.

Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных. Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту.

Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер. Эти лица назначаются специальным протоколом.

Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

Ответственность и передача прав пользования

Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации.

Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.

Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.

От пользователя требуется:

сохранение тайны информации
и конфиденциальность
процесса обмена информацией

хранение закрытых ключей от
чужих лиц

соблюдение пунктов правил
эксплуатации АРМ системы
документооборота

В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.

За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.

Чужая ЭЦП: законодательная ответственность

В законодательстве РФ определена статья 22, в которой описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.

В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб. Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.

Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!

О практите применения электронной подписи при хранении электроных документов корреспонденту Клерк.Ру Льву Мишкину рассказал Иван Агапов, аналитик компании Synerdocs

Иван, вот уже целый год мы по закону можем обмениваться электронными документами. Но кроме передачи документов, нам необходимо их хранить и обеспечивать юридическую силу. Закон дает нам электронную подпись, как она помогает обеспечить юридическую значимость хранимых электронных документов?

Начнем с того, что документы имеют свой срок хранения - от пяти лет до нескольких десятилетий. И сам сертификат электронной подписи, который дается сотруднику компании, тоже имеет свой срок действия - как правило, один год. Закон требует, чтобы на момент проверки подписи сертификат либо был действующим, либо должно быть подтверждение, что в момент подписания он был таковым. Если делать проверку подписи спустя год, прямая проверка «в лоб» скажет, что подпись не действительна, поскольку срок сертификата истек.

Как раз этот вопрос и закрывает усовершенствованная электронная подпись. Во-первых, она позволяет доказать время подписания (штамп времени, в котором закреплен момент постановки подписи). Во-вторых, обеспечивает доказательство того, что в конкретное время сертификат действовал и ему можно доверять (списки отзывов, сертификаты из пути доверия).

Так решается принципиальная задача архивного хранения электронного документа - обеспечение юридической значимости документа, чей срок хранения превышает срок действия сертификата электронной подписи.

Сейчас при работе с электронными документами усовершенствованная электронная подпись - единственный гарант юридической силы? Как это отражается в сегодняшней практике, например, в суде?

Конечно, такая подпись - не единственный юридический фактор. Тут стоит вернуться к общей теории признания электронных документов юридически значимыми. Есть много мнений, но мы используем, так сказать, классическую цепочку приоритетов.

Например, у нас есть электронный документ, который мы собираемся использовать в суде, потому следует определить, имеет ли он юридическую значимость. Первое, что суд должен выяснить - может ли он вообще по закону создаваться и существовать в электронном виде. Второе, документ должен содержать все требуемые реквизиты. Третье, суд должен быть уверен, что лицо, которое его подписало, имело право документ подписывать, согласно Уставу, доверенности т.п. Все это фактически является правовым полем документа. И только потом выясняется, действительна ли электронная подпись.

На практике спорный вопрос действительности электронной подписи возникает не часто. Например, суд легко решает проблему с юридической значимостью документа в электронном виде, если стороны ранее заключили соглашение об обмене подписанными электронными документами и даже обменивались ими до возникновения спора. Суд проверяет, прежде всего, наличие факта соглашения об обмене электронными документами, которое фактически закрепляет юридическую силу документа. И только в исключительных случаях суд проверяет действительность самой электронной подписи.

Вернемся к вопросу о хранении электронных документов. Полностью ли электронная подпись решает проблемы обеспечения юридической значимости хранимых данных или какие-то риски сохраняются?

Решает, но не полностью. Закон обязывает нас иметь доказательства, но какие они могут быть - не определено. В нашей практике есть международные стандарты, но это все до сих пор не закреплено законом, потому присутствует потенциальный риск, что в определенный момент государство примет новый стандарт, и текущие технологии придется в корне менять.

Хотя мы склонны считать, что такой риск маловероятен, потому что есть международный опыт и стандарты, которые переделывать не целесообразно. Подтверждением служит и то, что последние предлагаемые поправки в ФЗ-63 «Об электронной подписи» говорят, что законодатели не идут вразрез с практикой.

Плюс к этому у нас сохраняются риски, связанные с самим электронным документом, как таковым. Его тоже нужно как-то хранить, а здесь уже всплывают классические проблемы электронного документа - это носители, это средства хранения и воспроизведения, это форматы и их поддержка. Естественно, что для документов со сроком хранения 5 или 10 лет это не особо актуально, но если мы говорим про документы со сроком хранения в несколько десятков лет, то очень сложно предугадать, что мы будем иметь спустя это время.

В России очень незначительная практика хранения электронных документов. Это не смотря на то, что с 2002 года действует ФЗ-1 «Об ЭЦП» и можно сдавать отчетность в электронном виде, то есть, получается, с электронными архивами мы имеем дело уже больше 10 лет. Правда, отчетность - это специфическая задача, в рамках которой сроки хранения незначительны.

Мы видим, что в практике сохраняется множество противоречий. Что с этим делать операторам электронного документооборота? Возможно, они имеют какое-то решение?

Могу отвечать только за нашу практику. У нас при передаче через сервис документа с электронной подписью, подпись проверяется и доводится до усовершенствованного формата - то есть, мы добавляем штамп времени и другие необходимые параметры. Таким образом, мы обеспечиваем решение задачи обеспечения юридической силой документов с длительным сроком хранения. И в данный момент это единственное подходящее решение.

Даже в этом случае вопрос не решается полностью. Технология электронной подписи тоже имеет свои ограничения, у сертификатов есть сроки действия. Поэтому придется регулярно повторять процедуру подтверждения сертификатов.

А по поводу документов с длительными (например, 50 лет) или постоянными сроками хранения можно вновь сослаться на Европу. Зарубежная практика идет по пути изменения подхода к сохранению в них юридической значимости. Например, упрощаются механизмы обеспечения целостности массива документов. Либо может даже идти речь о переводе в бумажный вид для хранения.

Получается, что по-прежнему главным сдерживающим фактором развития практики хранения электронных документов является законодательство. Помимо обозначенных проблем, каких еще решений вы ждете?

На самом деле все довольно оптимистично. Сегодня у нас уже есть предлагаемые поправки к ФЗ-63, которые несут полезный и позитивный характер, в частности, требования по использованию штампа времени в электронной подписи, вводится понятие о едином пространстве доверия. Это уже хорошо, это уже конкретика. Это влияет на развитие инфраструктуры использования электронной подписи, чтобы пользователь не ломал голову, какой сертификат лучше применять, а приступил к решению своих конкретных задач.

Сейчас сложилась такая ситуация, что зачастую электронная подпись привязана к определенной услуге. С учетом роста разнообразия сервисов, это становится неудобно пользователям. Им нужен один сертификат с максимально широким полем использования. При том, что мы ожидаем взрывной рост сервисов и областей применения электронной подписи, и если у нас не будет единого пространства доверия, то мы рискуем столкнуться с мощным системным кризисом.

Ну и, самое главное, не решен вопрос с регулированием архивов электронных документов. ФЗ-125 «Об архивном деле» уже устарел, в нем нет практически ничего про электронный документ. Там есть сроки хранения, но ни технологий, ни рекомендаций по электронным документам нет. При том, рынку будет достаточно хотя бы общих принципов и рекомендуемых стандартов, а уже над реализацией он подумает сам. В общем, мы ждем новостей по новому закону, который давно уже всем очень нужен.

Электронная подпись сегодня используется для защиты документа, существующего в электронном виде, от подделки. На основании ФЗ №63 , ее возможно использовать для защиты электронной версии документов и при работе с различными государственными структурами. В этом законе прописано, как использовать ее и получать физическим и юридическим лицам. Как пользоваться электронной подписью

Электронная подпись является инструментом для установления отсутствия искажения в документах с момента подписи. Перед ее использованием пользователю требуется пройти процедуру соответствующего сертификата. Специальный сертификат является подтверждением принадлежности подписи физическому или юридическому лицу. Получить такой документ возможно только в специализированных удостоверяющих центрах или у их доверенных представителей. Существует два вида ключей для электронной подписи:

Закрытого типа.
Открытого типа.

Что такое электронная подпись

В случае с закрытым ключом или паролем к доступу для данной подписи, нельзя сообщать код никому. Пароль необходим для проверки подлинности подписи.

Согласно положениям , существует несколько видов ЭП:

Простая . Чаще всего используется физическими лицами. Ее можно поставить на документ путем введения специального кода, который предоставляется удостоверяющим центром.
Усиленная неквалифицированная . Ее можно получить в следствии криптографического преобразования информации. Она может выявить факт изменения данных после подписания, а также существует механизм идентификации личности, которая поставила подпись под электронным документом.
Усиленная квалифицированная . Аналогичная предыдущей, однако используются специальные коды шифрования, которые сертифицированы ФСБ.

Виды электронной подписи

Важно! Заверенные электронной подписью документы обладают аналогичной юридической силой с теми бумагами, которые подписываются лично. Использование усиленной квалифицированной подписи эквивалентно собственноручной подписи с заверением печати.

Область применения

Согласно ФЗ №63, существует несколько областей применения такого рода подписи. В частности, ее используют в следующих случаях:

Где используется	Простая ЭП	Неквалифицированная ЭП	Квалифицированная ЭП
Ведение внутреннего и внешнего документооборота	+	+	+
Арбитражный суд	+	+	+
Заключение договоров с физическими лицами	+	+	+
Работа с контрольно-ревизионными государственными структурами	+		+
Электронные торги			+

Общие понятия электронной подписи

Как начать пользоваться такой подписью

Перед тем, как начать ее использовать, требуется ее оформить. Сделать это можно путем обращения , который имеет лицензию на выдачу ЭП. Для оформления необходимо:

Иметь персональный компьютер.
Иметь лицензионное программное обеспечение для работы на компьютере.
Выбрать лицо, на которое будет оформляться электронная подпись.
Определить способ получения подписи и заключить договор с центром.
Оплатить услуги и получить ключ.

Как получить квалифицированную электронную подпись

В зависимости от центра, необходимы различные документы. Чаще всего требуется:

Заявка установленного образца, где будет минимальная необходимая информация о заявителе (компании в праве запрашивать расширенные анкетные данные).
Паспорт заявителя.
ИНН и СНИЛС заявителя.
Квитанция об оплате услуг удостоверяющего центра.

Если необходим квалифицированный сертификат, то потребуются:

Учредительные документы организации.
Выписка из ЕГРЮЛ.

Пути получения электронной подписи

Важно! Ключ действует в течение одного года, а при его оформлении обязательно личное присутствие заявителя. Далее требуется продление путем написания соответствующего заявления в удостоверяющий центр. При этом не обязательно личное присутствие в центре, достаточно отправить заявление по электронной почте или заказным письмом. Какие именно условия продления действуют в конкретно взятом центре необходимо уточнять у его специалистов. Чаще всего требуется только произвести оплату за следующий год и предоставить заявление.

Как правильно использовать электронную подпись

Получив желаемый ключ, не все знают, как правильно его использовать. На самом деле все достаточно просто:

Установите на свой ПК или ноутбук лицензионное ПО, полученное из удостоверяющего центра.
Установите библиотеки «Cadescom» и «Capicom».

Стоит рассмотреть данный момент более подробно.

В Word 2007 требуется нажать на значок офиса, выбрать «Подготовить» и «Добавить ЦП». После этого вы добавляете цель подписания документа и выбираете подпись. Нажав на кнопку «Подписать», вы получаете желаемый результат. Подпись документа в Word 2007
При работе в Word 2003 необходимо выбрать «Сервис» – «Параметры» – «Безопасность» – «ЦП» – «Сертификат» – «Ок». Подпись документа в Word 2003
Для работы с файлами в формате pdf существуют специальные программы типа Acrobat и Adobe reader. Необходимо приобрести полную их версию для работы с ЭП, так как вам требуется криптомодуль. Кнопка подписи документа Схема подписания документа
Подпись в HTML варианте также возможна. Современные браузеры приспособлены к работе с ЭП, поэтому у вас будет соответствующая кнопка для подписания документа. Однако необходимо, чтобы установлено все требуемое программное обеспечение на ПК.

Выглядеть данная подпись может по-разному. Чаще всего это небольшое изображение в виде штампа. У государственных организаций она имеет форму печати, где указывается, что электронная печать усилена квалифицированной подписью.

Что делать, если электронная подпись не работает

Существует несколько стандартных ситуаций, когда подпись не работает. Решить типичные проблемы не составляет труда без обращения в службу сервисной поддержки. Рассмотрим основные проблемы.

Проблема	Решение
Сертификат не действителен	Требуется установить его, согласно инструкции специалиста центра, который выдавал сертификат
К сертификату нет доверия	Тогда вам требуется установить новые сертификаты. Обычно они предоставляются вместе с электронной подписью. Также их возможно скачать на официальном сайте центра или Ассоциации торговых площадок
Истек срок действия КриптоПро	Вам требуется ввести уникальный код КриптоПро, который вы получили вместе с электронной подписью
Не установлен Capicom	Скачайте его, закройте браузер и установите программу. Далее необходимо осуществит настройку в соответствии с требованиями площадки, в которой вы собираетесь работать
Несоответствие закрытого ключа заданному сертификату	Стоит обратиться в удостоверяющий центр для решения проблемы. Перед этим настоятельно рекомендуется проверить все закрытые контейнеры. Есть вероятность, что вы выбрали активным не тот
Действительные сертификаты не были обнаружены или не отображается выбор сертификата	Проверьте срок действия вашей лицензии. Если он истек, то обратитесь в центр. Если все в порядке, то переустановите его

Использование электронной подписи

Многие интересуются, можно ли взломать электронную подпись? На самом деле все выполнено таким образом, что подделать ее практически невозможно, если ее владелец умышленно не предоставил третьим лицам к паролям. Чтобы полностью защитить себя от факта мошенничества рекомендуется покупать квалифицированную электронную подпись. Ее возможно использовать при работе с любыми учреждениями.

Где хранится электронная подпись

Чтобы уточнить, какие именно сертификаты установлены на ПК, необходимо войти в свойства браузера. Заходим в свойства браузера

Потом потребуется войти во вкладку «Содержание», выбрав раздел «Сертификаты». Здесь и указана информация обо всех установленных сертификатах. Входим во вкладку «Содержание», выбрав раздел «Сертификаты»

Также возможно найти необходимые сертификаты в реестре. Обычно они расположены по следующему адресу: HKEYLOCAL_MACHINESOFTWAREWow6432NodeCrypto ProSettingsUsersS-1-5-23…Keys

Особенности хранения электронных документов

Согласно ГОСТ Р 51141-98, электронные документы необходимо хранить столько же, сколько бумажные. Однако существует несколько особенностей. Например, если закон требует хранить документ в течение пяти лет, подпись действует всего год. Согласно ФЗ-63, нет необходимости ставить подпись каждый год на архивных документах. Они продолжают иметь юридическую силу, несмотря на смену кода электронной подписи. Носитель ключа электронной подписи

Важно! при проставлении электронной подписи автоматически прописывается дата, таким образом, становится понятно, что штамп был действителен на момент его проставления. При возникновении различных спорных ситуаций, можно обратиться в удостоверяющий центр. Там, получив требуемые данные, есть возможность проверить, кто именно поставил подпись под текстом документа.

Таким образом, электронная подпись может использоваться наравне с обычной. Сфера ее применения подробно изложена в ФЗ-63. Она охватывает все сферы гражданско-правовых отношений, отношений между юридическими лицами и работу с государственными структурами.

Как правильно хранить ключ личной электронной подписи. Хранение эцп в организации Порядок хранения ключей электронной подписи

Недостатки хранения на ПК:

Достоинствами этого метода хранения являются:

Требования к ответственности со стороны пользователя

Ответственность и передача прав пользования

От пользователя требуется:

Чужая ЭЦП: законодательная ответственность

Область применения

Как начать пользоваться такой подписью

Как правильно использовать электронную подпись

Что делать, если электронная подпись не работает

Где хранится электронная подпись

Особенности хранения электронных документов

Видео – Электронная цифровая подпись (ЭЦП): регистрация и использование

Видео – Как подписать электронной подписью (ЭЦП) документ Microsoft Word 2007

Рекомендуем также

Главная > Право

Как правильно хранить ключ личной электронной подписи. Хранение эцп в организации Порядок хранения ключей электронной подписи

Недостатки хранения на ПК:

Достоинствами этого метода хранения являются:

Требования к ответственности со стороны пользователя

Ответственность и передача прав пользования

От пользователя требуется:

Чужая ЭЦП: законодательная ответственность

Область применения

Как начать пользоваться такой подписью

Как правильно использовать электронную подпись

Что делать, если электронная подпись не работает

Где хранится электронная подпись

Особенности хранения электронных документов

Видео – Электронная цифровая подпись (ЭЦП): регистрация и использование

Видео – Как подписать электронной подписью (ЭЦП) документ Microsoft Word 2007

Рекомендуем также