Электронная подпись в России: виды, применение и прогнозы экспертов

Электронная подпись в России: виды, законодательство и практическое применение

Электронная подпись в России: виды, законодательство и практическое применение

Электронная подпись в России является полноценным аналогом собственноручной подписи и наделена равной юридической силой. Она позволяет безопасно участвовать в электронном документообороте. Эксперты AM Live обсудили виды ЭП, порядок их получения и практические аспекты применения в различных сферах.

 

 

 

 

 

 

  1. Введение
  2. Виды электронной подписи: простая, усиленная и квалифицированная
  3. Сферы применения усиленной подписи, квалифицированной и неквалифицированной
    1. 3.1. Законодательство об электронной подписи и трансграничное признание (ФЗ-63)
    2. 3.2. Облачная электронная подпись: преимущества и ограничения
    3. 3.3. Аппаратные носители для работы с усиленной квалифицированной ЭП
    4. 3.4. Распределённые электронные подписи
  4. Что мешает массовому применению электронной подписи в России?
  5. Особенности работы с машиночитаемыми доверенностями
  6. Будущее электронной подписи: прогнозы экспертов и законодательные изменения
  7. Выводы

Введение

Благодаря электронной подписи миллионы россиян и тысячи организаций перешли на электронный документооборот (ЭДО), экономя время и ресурсы, ускоряя принятие решений. Законодательство различает три вида ЭП: простую, усиленную неквалифицированную и усиленную квалифицированную — каждая со своей областью применения и степенью защиты. Понимание этих различий — ключ к эффективной и законной работе в цифровой среде.

Российский документооборот совершил цифровой скачок, и в его основе лежит технология, которая полностью изменила правила игры. Сегодня это не просто опция для ИТ-компаний, а стандартный инструмент для бизнеса, госслужбы и даже обычных граждан. Но что скрывается за этим понятием? Какую подпись выбрать и почему она имеет юридическую силу? Попробуем разобраться в преимуществах ЭП, чтобы начать использовать ее эффективно и безопасно.

 

Рисунок 1. Эксперты в студии AM Live

Эксперты в студии AM Live

 

Участники эфира:

  • Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС».
  • Дарья Верестникова, генеральный директор, «СТКрипт».
  • Павел Смирнов, директор по развитию, «КриптоПро».
  • Дмитрий Горелов, управляющий партнер и коммерческий директор, Компания «Актив».
  • Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра, «Газинформсервис» (по видеосвязи).

Ведущий и модератор эфира — Юрий Малинин, президент ассоциации РОСЭУ.

 

 

Виды электронной подписи: простая, усиленная и квалифицированная

Павел Смирнов рассказал, что основной закон, который регулирует эту сферу (№63-ФЗ «Об электронной подписи»), выделяет три вида — простая электронная подпись, усиленная неквалифицированная (УНЭП) и усиленная квалифицированная (УКЭП). Простая электронная подпись не предусматривает никаких криптографических преобразований. Секретным элементом является пароль. УНЭП и УКЭП — подписи с криптографией. Квалифицированная подпись отличается тем, что используются сертифицированные регулятором средства электронной подписи, а сертификат проверки выдаётся аккредитованным удостоверяющим центром.

 

Рисунок 2. 10 крупнейших аккредитованных УЦ по количеству выданных сертификатов

10 крупнейших аккредитованных УЦ по количеству выданных сертификатов

 

В соответствии с федеральным законом выделяется несколько удостоверяющих центров, которые занимаются выдачей сертификатов для определённых отраслей — Федеральная налоговая служба может выдавать сертификаты юридическим лицам и ИП, Федеральное казначейство — чиновникам и бюджетополучателям. 

Сферы применения усиленной подписи, квалифицированной и неквалифицированной

Юрий Малинин пояснил, что постоянно появляются новые сервисы, часть бизнеса хочет переходить на использование средств УНЭП, в том числе не сертифицированных. Но при этом общие рекомендации — использовать сертифицированные средства, ведь развивая бизнес, нужно будет рано или поздно переходить в юридически значимые отношения.

 

Юрий Малинин, президент ассоциации РОСЭУ

Юрий Малинин, президент ассоциации РОСЭУ

 

Какова практика использования УНЭП и УКЭП в России? Павел Смирнов рассказал, что УКЭП требуется везде, где речь идёт о взаимодействии с государством. УНЭП тоже достаточно надёжный механизм: он может применяться там, где разрешено законом или по договорённости сторон.

Дарья Верестникова добавила, что УКЭП нужна при взаимодействии с государством — документы в налоговую, регистрация юрлиц, ипотека и пр. Есть целый перечень случаев, где УКЭП обязательна. Если двум лицам нужно подписать договор на оказание услуг, аренды квартиры, приём на работу удалённого сотрудника — в этих случаях может использоваться неквалифицированная электронная подпись. То, какое средство электронной подписи будет использоваться — простая, УНЭП или УКЭП — зависит от того, насколько важен документ.

 

Дарья Верестникова, генеральный директор, «СТКрипт»

Дарья Верестникова, генеральный директор, «СТКрипт» 

 

Законодательство об электронной подписи и трансграничное признание (ФЗ-63)

Сергей Кирюшкин объяснил, что с точки зрения нормативной базы для признания электронной подписи есть все условия. Это подтверждается на практике, в том числе в промышленной эксплуатации трансграничного пространства доверия во всех сегментах электронного взаимодействия с участием органов государственной власти, бизнеса и граждан. Сложность состоит в масштабировании этого пространства на другие страны. В ЕАЭС это реализовано, лидером является российско-белорусское взаимодействие. Реализовано трансграничное признание с Китаем в сегменте B2B. Ведётся работа с Азербайджаном, Узбекистаном, есть большой интерес со стороны Ирана.

В первом опросе зрители поделились, насколько распространено применение ЭП в их компании: почти все ключевые процессы переведены на ЭП — 51%, используют ЭП только по требованию законодательства — 29%, ЭП внедрена фрагментарно — 16%, пока не используют ЭП, но планируют начать в ближайшее время — 3%.

 

Рисунок 3. Насколько распространено применение ЭП в вашей компании?

Насколько распространено применение ЭП в вашей компании

 

Облачная электронная подпись: преимущества и ограничения

Павел Смирнов рассказал, что с реформой Федерального закона «Об электронной подписи» введено специальное регулирование на эту тему. Закон предписывает, что должны появиться требования к средствам облачной электронной подписи. Сейчас их нет, как и сертифицированных средств облачной УКЭП. Для УНЭП специального регулирования нет, есть примеры их использования для низкорисковых документов внутри корпоративных систем.

Дмитрий Гусев добавил, что когда говорят об облачной электронной подписи, обычно подразумевают, что средства ЭП находятся в аккредитованном облаке, а у пользователя на его устройстве ничего нет. Но на самом деле для идентификации требуется применение проверенных криптографических механизмов и на стороне пользователя.

 

Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС»

Дмитрий Гусев, заместитель генерального директора, «ИнфоТеКС» 

 

Аппаратные носители для работы с усиленной квалифицированной ЭП

Дмитрий Горелов объяснил механизм: есть ключ, который называется закрытым. Он хранится в секрете и должен быть известен только владельцу. Это главное, на чем держится инфраструктура открытых ключей (PKI) — чтобы только один субъект владел этим секретом. На основе этого ключа реализовывается подпись. Он может храниться разными способами, самый безопасный из которых — отдельное устройство, которое выполняет только операции с ключом. Минимальная конфигурация — это специализированное средство криптографической защиты на устройстве. Для работы системы требуются наборы сервисного ПО и плагины.

 

Дмитрий Горелов, управляющий партнер и коммерческий директор, Компания «Актив»

Дмитрий Горелов, управляющий партнер и коммерческий директор, Компания «Актив»

 

Дарья Верестникова считает, что пользователям сложно разобраться с инструкциями на 5–10 листов, которые нужно детально изучить, чтобы выполнить какую-либо стандартную операцию. Есть решения, которые позволяют в несколько кликов проверить всё необходимое окружение — наличие библиотек, установки плагинов, браузеры. Это превращает 10 листов инструкций в 1,5 минуты установки. Эту проблему можно решать удобно.

Павел Смирнов уверен, что удобная и простая установка конфигурации окружения для подписи — это задача сервиса, который её предоставляет. Сергей Кирюшкин считает, что не всегда упрощение — это главное в вопросе, касающимся безопасности. В качестве примера эксперт привёл недавнюю атаку на одного из крупнейших операторов ЭДО. Элементом этой атаки был подход социальной инженерии. Злоумышленники знали, что многие пользователи, когда получают свои ключевые носители, не меняют стандартные пин-коды.

Дмитрий Горелов добавил по этому поводу, что смена ПИН-кода — это важная необходимость, но проблема в том, что иногда даже техподдержка не говорит об этом.

Распределённые электронные подписи

Павел Смирнов рассказал про новую технологию, которую компания «КриптоПро» начала разрабатывать несколько лет назад. В этом году разработку довели до стадии продукта и сертификации. Распределённая подпись не вычисляется одномоментно на одном устройстве: ключ разделён на две части: одна хранится на стороне сервера, другая — на стороне клиента. Впервые эти технологии реализовали для мобильных устройств. Это новый уровень безопасности, для которого разработаны новые протоколы. Через несколько лет, возможно, появится спрос и на другие устройства.

 

Павел Смирнов, директор по развитию, «КриптоПро»

Павел Смирнов, директор по развитию, «КриптоПро» 

 

Что мешает массовому применению электронной подписи в России?

Дмитрий Гусев: 

«Есть криптографические средства под разные операционные системы. Весь необходимый инструментарий существует. Но многие работают на зарубежном ПО. Есть объективные сложности внедрения криптографических средств в конечные информационные системы, но в ближайшие 1–2 года работать с отечественной криптографией будет существенно проще».

Дарья Верестникова: 

«Мешает исключительно стереотипное мышление».

Павел Смирнов: 

«Сложная регуляторика — она не учитывает удобство для пользователя».

Дмитрий Горелов: 

«Нужно больше возможностей по распространению средств ЭП среди массового потребителя, упрощению механизмов поддержки и продлению сроков использования. Сейчас во многих случаях стоп-фактором является нежелание оператора информационной системы испытывать сложности, которые может доставить регулирование».

Сергей Кирюшкин: 

«Этот инструмент становится обыденным. Нужно включать вопрос использования электронной подписи в школьную программу уроков информатики, об этом нужно знать со школы».

Юрий Малинин считает, что ничего не мешает — созданы все условия для применения. Пока есть проблема удалённости некоторых субъектов, но Минцифры с этим работает.

Во втором опросе зрители ответили, что больше всего ограничивает применение ЭП в их компании: недостаточно интеграций с другим ПО — 20%, неудобно и сложно — 11%, дорого — 7%. В целом картину можно назвать благополучной: у более чем половины респондентов всё хорошо.

 

Рисунок 4. Что больше всего ограничивает применение ЭП в вашей компании?

Что больше всего ограничивает применение ЭП в вашей компании

 

Особенности работы с машиночитаемыми доверенностями

Сергей Кирюшкин объяснил, что когда физическое лицо выступает от имени организации, его полномочия могут закрепляться в машиночитаемой доверенности. Как правило, в организациях занимаются созданием МЧД юристы, делопроизводители. Полномочия, которые находятся в обычной бумажной доверенности и имеют отношение к электронному документообороту, переносятся в XML-формат. Есть много платформ, где можно создать прототип МЧД. 

Далее доверенность проводится по нужным инстанциям, подтверждается главой юридического подразделения, подписывается электронной подписью руководителя, которая основана на сертификате, полученном в удостоверяющем центре ФНС России — единоличного исполнительного органа. Не всегда это бывает нужно — в зависимости от возможностей платформы, назначения МЧД. Она может автоматически регистрироваться в централизованном реестре, наиболее распространённый из которых — ЦПРР (блокчейн-реестр МЧД юридических лиц).

 

Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра, «Газинформсервис»

Сергей Кирюшкин, советник генерального директора и начальник удостоверяющего центра, «Газинформсервис»

 

Будущее электронной подписи: прогнозы экспертов и законодательные изменения

Дмитрий Гусев: 

«Ведутся обсуждения с регулятором о возможности внесения изменений в существующую нормативно-правовую базу, которые позволят облегчить внедрение массового применения средств ЭП, криптографической защиты информации в разных информационных системах. В последние годы наблюдаются явные положительные сдвиги в рамках определённых информационных систем».

Дарья Верестникова: 

«Можно выделить два тренда, связанных с мобильной электронной подписью. Первый — расширение применения неквалифицированной ЭП. Можно прийти к массовой системе электронного документооборота. Второй — возможность использования юрлицами различных технологий в качестве квалифицированной ЭП единого исполнительного органа».

Павел Смирнов: 

«Прежде всего учитывается нормативная документация Центробанка, который видит необходимость появления криптографии в каждом мобильном приложении — для цифрового рубля, для подтверждения безопасности всех транзакций. Это позволит поменять представление об отечественной криптографии, как сложной, дорогой и ненадежной. В каждом банковском приложении появится это средство».

Дмитрий Горелов: 

«Идёт процесс, связанный с транспортной отраслью, где широко пошло развитие того документооборота, который ранее не был оцифрован. Это упростит жизнь организациям, которые уже умеют работать с ЭП. Кроме того, люди увидят, что государство широко применяет эти технологии и поймут, что ЭП доступна обычному человеку и не является проблемой».

Сергей Кирюшкин: 

«Ведётся разработка отечественных стандартов, которые позволяют создать основу для широкого применения электронных документов с усовершенствованными форматами ЭП. Усовершенствованные форматы нужны для длительного хранения документов с ЭП с сохранением свойств, которые обеспечивает ЭП в корпоративно-техническом регулировании».

Юрий Малинин: 

«Для большего проникновения ЭП необходимо, чтобы федеральные органы исполнительной власти активнее применяли требования — как, например, императивы Минтранса по применению отраслевых документов. Всё это приведет к тому, что ЭДО будет развиваться, распространяться применение ЭП, выпуск сертификатов увеличится. На развитие повлияют отраслевые требования, но важно, чтобы они были синхронизированы между ФОИВами».

Третий опрос показал, каково мнение зрителей относительно использования ЭП после эфира: стало меньше вопросов по использованию ЭП — 63%, будут активнее использовать ЭП в компании — 30%.

 

Рисунок 5. Каково ваше мнение относительно использования ЭП после эфира?

Каково ваше мнение относительно использования ЭП после эфира

 

Выводы

Электронная подпись в России перешла из стадии эксперимента в фазу повсеместного и обязательного использования, став основой для цифрового документооборота. Несмотря на существующие барьеры — сложность регулирования, технические сложности настройки и остаточное стереотипное мышление — вектор развития задан чётко и необратимо.

Будущее ЭП определяется несколькими ключевыми трендами: это активное развитие облачных и распределённых технологий для повышения удобства и безопасности, синхронизация отраслевых требований со стороны федеральных органов исполнительной власти, а также тотальная интеграция отечественной криптографии в массовые сервисы, такие как мобильные приложения банков и платформа цифрового рубля.

В итоге, электронная подпись продолжит стирать географические и бюрократические границы, превращаясь из узкопрофессионального инструмента в привычный и доступный технологический элемент повседневной жизни для миллионов россиян.

Телепроект AM Live еженедельно приглашает экспертов отрасли в студию, чтобы обсудить актуальные темы российского рынка ИБ и ИТ. Будьте в курсе трендов и важных событий. Для этого подпишитесь на наш YouTube-канал. До новых встреч!

Полезные ссылки: 
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новые статьи на Anti-Malware.ru