Электронная подпись применяется повсеместно. Для этого в удостоверяющем центре приобретается квалифицированный сертификат электронной подписи , на рабочий компьютер устанавливается требуемое программное обеспечение, после чего владельцу становятся доступны блага электронного документооборота. При всем удобстве такого обмена информацией есть и минусы: ЭП требует бережного хранения закрытого ключа и привязывает к конкретному рабочему месту, не позволяя воспользоваться подписью с другого компьютера.

Что такое облачная электронная подпись
Эти проблемы с успехом решает облачная электронная подпись - мобильная, удобная и простая в применении. Ее суть сводится к тому, что закрытый ключ хранится не у пользователя, а на сервере удостоверяющего центра, где и происходит визирование документа. Ответственность за хранение ключа при использовании облачной ЭП также несет удостоверяющий центр. Личность пользователя при этом подтверждается посредством SMS авторизации. Очевидно, что применение такой электронной подписи дает пользователю много преимуществ.

Облачная ЭП: плюсы

• Самое главное и неоспоримое достоинство облачной электронной подписи в том, что воспользоваться ею можно в любом месте, с любого компьютера. Единственное необходимое условие - доступ к интернету.
• Облачная ЭП не нуждается в специальном программном обеспечении: пользователю не придется устанавливать на компьютер ни сертификат ключа подписи , ни вспомогательные программы.
• Использование облачной электронной подписи обходится на порядок дешевле по сравнению с традиционной за счет того, что нет нужды приобретать дорогие средства криптозащиты.
• Пользоваться облачной электронной подписью можно с любых мобильных устройств, будь то планшет, нетбук или даже смартфон - независимо от платформы, на которой работает девайс.
• И наконец, облачная технология позволяет подписывать документы не только простой, но и усиленной квалифицированной ЭП, обладающей самой высокой степенью защищенности.

Может показаться, что эта технология состоит из одних достоинств, но это не совсем так.

Облачная ЭП: минусы

• Некоторые компании из тех, с которыми пользователь взаимодействует посредством электронного документооборота, могут возражать против использования облачной ЭП по причине недостаточно высокой степени безопасности. Ведь фактически право подписи серьезных документов при такой технологии передается третьему лицу.
• Не всех пользователей устраивает, что закрытый ключ ЭП хранится не у них, а на сервере удостоверяющего центра. Несмотря на надежную защиту серверов, многих пользователей беспокоит степень конфиденциальности данных, которые они вынуждены передавать УЦ для подписания.
• Не все сервисы поддерживают ПО удостоверяющего центра, поэтому облачная технология применима только для тех из них, интеграция которых с программным обеспечением УЦ возможна.

Облачная электронная подпись будет незаменима для тех, кому часто приходится подписывать и отправлять электронные документы вне стен офиса, - аудиторам, бизнесменам, юристам, руководителям предприятий. Тем сотрудникам, которые редко покидают рабочие кабинеты, больше подойдет «стационарный» вариант ЭП.

В последнее время речь часто заходит об электронной подписи (ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники - бухгалтеры, секретари, аудиторы и другие.

Поясню, облачная электронная подпись подразумевает, что ваш закрытый ключ ЭП хранится на сервере удостоверяющего центра, и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей. А фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.

Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает. Если вы часто находитесь вне офиса, или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места. При этом не понадобится устанавливать никакого дополнительного программного обеспечения. Однако, несмотря на простоту использования, не все компании готовы использовать эту возможность.

Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такая подпись. Кстати, в данной статье мы будем говорить только об усиленной квалифицированной электронной подписи (далее - УКЭП).

За

Облачная электронная подпись дешевле обычной . В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на сертификат взлетает в 2-2.5 раза.

Удобство и простота использования . Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.

Мобильность . На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.

Против

Физически документ подписываете не вы . Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от политики, связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.

Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет гарантий, что эти сервисы будут поддерживать какую-либо облачную электронную подпись.

И что же?

Облачная электронная подпись - это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.

Кому же действительно нужна электронная подпись? В первую очередь тем, кто часто работает не из своего кабинета в офисе. Например, юристы и аудиторы, которые часто выезжают к клиентам. Или руководители и директоры, которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.

Также, очень много зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.

В облако могут быть перенесены только крипто ключи выпущенные с СКЗИ КриптоПро.

Перенос производится в 2 этапа, они описаны ниже.

Проверка ЭЦП на соответствие предъявляемым требованиям

Откройте панель управления средства криптографической защиты информации (СКЗИ) КриптоПро CSP («Пуск» – «Панель управления» – «КриптоПро CSP») от имени администратора (Вкладка «Общие» - «Запустить от имени администратора») и перейдите на вкладку «Оборудование» (Рисунок 1).

Рисунок 1 – Настройка считывателей

Нажмите кнопку «Настроить считыватели …». Считыватель USB флеш-накопителя и дискет устанавливается по умолчанию при установке КриптоПро CSP. Проверьте, что на закладке «Считыватели» присутствует пункт «Все съемные диски ». В случае, если пункт «Все съемные диски» отсутствует, его необходимо добавить через кнопку «Добавить …» (Рисунок 2).



Рисунок 2 – Управление считывателями

Убедитесь, что чистый USB флеш-накопитель подключен и доступен.


Перейдите на вкладку «Сервис» и нажмите кнопку «Скопировать ».




Рисунок 3 - Вкладка «Сервис» кнопка «Скопировать»


Откроется окно «Копирование контейнера закрытого ключа».

1. В окне «» (Рисунок 3) заполните поле «Имя ключевого контейнера». Оно может быть найдено в списках контейнеров (кнопка «Обзор ») или сертификатов (кнопка «По сертификату »).

После того, как ключевой контейнер будет найден, нажмите кнопку «Далее ». Если на доступ к закрытому ключу установлен пароль, то он будет запрошен.

Введите пароль и нажмите кнопку «ОК ». Откроется окно ввода параметров нового контейнера закрытого ключа (Рисунок 4).




Рисунок 4 - Окно ввода параметров нового контейнера закрытого ключа

Откроется окно «Копирование контейнера закрытого ключа » (Рисунок 5).




Рисунок 5 - Окно «Копирование контейнера закрытого ключа»

Введите имя нового ключевого контейнера и установите переключатель «Введенное имя задает ключевой контейнер » в положение «Пользователь ».


Нажмите кнопку «Готово». Откроется окно, в котором необходимо выбрать USB флеш-накопитель для размещения скопированного контейнера (Рисунок 6).





Рисунок 6 - Окно выбора носителя

Нажмите кнопку «ОК ». Откроется окно создания пароля на доступ к контейнеру закрытого ключа (Рисунок 7).





Рисунок 7 - Окно ввода пароля

На данном шаге следует создать пароль для нового контейнера закрытого ключа и подтвердите его. Этим паролем будет защищена цифровая подпись , его понадобится вводить при каждом обращении к ней. После ввода необходимых данных нажмите кнопку «ОК». Средство криптографической защиты информации (СКЗИ) «КриптоПро CSP» осуществит копирование контейнера закрытого ключа на USB флеш-накопитель.


Для копирования открытого ключа ЭЦП запустите панель настройки Internet Explorer («Пуск » – «Панель управления » – «Свойства браузера » (Рисунок 8)) и перейдите на вкладку «Содержание » (Рисунок 9).


Рисунок 8 - «Панель управления » – «Свойства браузера »





Рисунок 9 - «Свойства браузера » - «Содержание » - «Сертификаты »;

На вкладке «Содержание» нажмите на кнопку «Сертификаты». В окне «Сертификаты» выберете связанный с закрытым ключом сертификат ЭЦП и нажмите кнопку «Экспорт…» (Рисунок 10).




Рисунок 10 – Оснастка «Сертификаты»

Откроется окно «Мастер экспорта сертификатов » (Рисунок 11).




Рисунок 11 – Мастер экспорта сертификатов

В открывшемся окне мастера экспорта сертификатов нажмите кнопку «Далее ». На следующем шаге откажитесь от экспорта закрытого ключа, установив флажок «Нет, не экспортировать закрытый ключ » (Рисунок 12) и нажмите кнопку «Далее».




Рисунок 12 – Выбор типа ключей для экспорта

На следующем шаге выберете формат файла сертификата ЭЦП, установив переключатель в поле «Файлы X.509 (.CER) в кодировке DER», и нажмите кнопку «Далее » (Рисунок 13).





Рисунок 13 – Выбор формата файла сертификата ЭЦП

На завершающем этапе укажите имя и расположение файла и нажмите кнопку «Далее ». На последнем шаге мастера проверьте выбранные параметры и нажмите кнопку «Готово » (Рисунки 14 и 15).




Рисунок 14 – Указание пути сохранения и наименования сертификата




Рисунок 15 – Сохранение сертификата ЭЦП

Файлы полученные в результате вышеописанных манипуляций следует поместить в папку и скопировать в облако по пути «W:\ЭЦП ». Данная папка доступна только основному пользователю .

В результате должно получиться примерно следующее «W:\ЭЦП\ООО Тест» (рисунок 16).




Рисунок 16 - ЭЦП скопирован в облако.

Установка производится специалистами по информационной безопасности, они работают по будням с 9 до 18 по Мск. В заявке следует указать название папки, в которую вы сохранили ЭЦП.

Если Ваши ключи выпущены с помощью СКЗИ VipNet, то работать на терминальной ферме (через удаленный рабочий стол или RemoteApp) они не будут. В таком случае работа может производиться на локальном ПК с использованием тонкого клиента, подробнее об установке и работе в .

Если вариант работы в тонком клиенте Вам не подходит, то ЭЦП следует перевыпустить через КриптоПро, по вопросу одобрения заявки на переиздание сертификата следует обращаться в свою обслуживающую организацию.

Иван Пискунов

Тенденция нескольких последних лет говорит о том, что многие сервисы переходят из традиционных десктопных инстилляций в облака. Не стало исключением и электронная подпись . Однако миграция ЭП в облака воспринимается сообществом пользователей и экспертов пока еще весьма неоднозначно. Среди несомненных преимуществ новых облачных решений особняком стоят вопросы обеспечения информационной безопасности. Однако, ни технологии ни законодательство не стоят на месте, и вскоре можно ожидать нового витка развития электронной подписи с участием облачных вычислений

Электронная подпись как основа юридически значимого электронного документооборота

Электронная подпись (далее по тексту - ЭП) согласно Федерального закона №63-ФЗ от 06.04.2011 года является обязательным юридически значимыми реквизитом электронного документа. По мимо этого в законе так же сказано, что ЭП является абсолютным аналогом собственно ручной подписи поставленной на бумажном документе. В виду этого логично и вполне обосновано считать, что электронный документооборот является реальной альтернативой традиционному делопроизводству в целом и в частности отдельным процессам заключения и подтверждения различных сделок, соглашений, договоров, контрактов и т.п.

Согласно выше обозначенного федерального закона ЭП, как обязательный элемент ЭДО призвана обеспечить три ключевых задачи:

1. Обеспечить однозначную идентификацию лица, подписавшего

документ;

2. Обеспечить защиту от несанкционированного изменения документа;

3. Обеспечить юридическую силу электронного документа.

Юридическая значимость использования ЭП закреплена в ряде отечественных нормативных документов. Приведем несколько основных ссылок:

• · Ст. 160, 434, 847 ГК РФ, которые регламентируют практическое использование электронных подписей в документообороте.
• · Федеральный закон №63-ФЗ «Об электронной подписи» от 06.04.2011. Основной и рамочный закон описывающий общий смысл использования ЭП при совершении сделок различного характера и оказания услуг.
• · Федеральный закон №149-ФЗ «Об информации, информационных технологиях и о защите информации от 27.07.2006. В настоящем документе конкретизируется понятие электронного документа и всех связанных с ним сегментов.
• · Федеральный закон 402-ФЗ «О бухгалтерском учете» от 06.12.2011. Законодательный акт предусматривает систематизацию требований к бухгалтерии и бухгалтерским документам в электронном виде.
• · Согласно п.3 ст.75 Арбитражного процессуального кодекса РФ , документы, полученные с использованием информационно-телекоммуникационной сети Интернет и подписанные электронной подписью, допускаются в качестве письменных доказательств в арбитражных спорах.

Все выше указанные факты и доводы означают, что, используя ЭП мы всегда можем чётко знать кем и когда был подписан документ, быть уверенным в том, что после подписания в документ не были внесены какие-либо изменения, и в случае разногласия сторон и последующих судебных разбирательств обеспечить неотказуемость факта свершения сделки (заключения контракта и т.д.).

В настоящее время законодательством установлена три варианта использования ЭП на территории Российской Федерации, это:

• · Простая ЭП;
• · Усиленная не квалифицированная ЭП;
• · Усиленная квалифицированная ЭП.

Чем же они отличаются и какую же ЭП можно и нужно использовать для совершения финансовых операций? Чуть ниже мы их разберем . И так, начнем (см. рисунок 1)

1. Простая электронная подпись

Простая подпись или как часто ее еще называют связка «логин-пароль» - это электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Классический пример, когда вы введёте пин-код вашей кредитной карты, скажите парольную фразу (метка голосом) в телефонном разговоре с кол-центром банка и тому подобное – всё это будет вашей Простой Электронной Подписью . Иными словами, единственная функция такой подписи - подтверждение авторства , идентификация личности. Простая ЭП обеспечивает базовый уровень защиты и аутентификации. К примеру. Она подпись применяется для получения доступа к возможностям Единого портала госуслуг . Простую электронную подпись категорически нельзя использовать при подписании электронных документов или в государственной информационной системе (ГИС), которые содержат гостайну.

2. ЭП является усиленной НЕквалифицированно й , если выполняются следующие условия:

• · получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

• · позволяет определить лицо, подписавшее электронный документ;

• · позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

• · создается с использованием средств электронной подписи.

Усилинная НЕквалифицированная ЭП позволяет определить автора подписанного документа и доказать неизменность содержащейся в нем информации. В неквалифицированную электронную подпись заложены криптографические алгоритмы, которые обеспечивают надежную защиту документов в соответствии с российскими ГОСТ по шифрованию. Такая подпись вполне подойдет для внутреннего документооборота в компании, а также для отправки электронных документов из одной компании в другую. Неквалифицированная электронная подпись также подходит для участия в электронных торгах.

3. Ну и, наконец третий вариант, когда ЭП является усиленной квалифицированной , если соответствует всем вышеперечисленным признакам неквалифицированной ЭП и двум следующим дополнительным признакам:

• · ключ проверки электронной подписи указан в квалифицированном сертификате;

• · для создания и проверки электронной подписи используются средства электронной подписи, получившие подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом

Стоит отметить. что программное обеспечение, необходимое для работы с КЭП, должно быть сертифицировано Федеральной службой безопасности . Следовательно, квалифицированная электронная подпись наделяет документы полной юридической силой и соответствует всем требованиям о защите конфиденциальной информацию. Контролирующие органы, такие как ФНС, ПФР, ФСС, признают юридическую силу только тех документов, которые подписаны квалифицированной ЭП

Рисунок 1. Виды электронных подписей

Электронная подпись в облачных сервисах

За последние несколько лет в ИТ-индустрии прочно закрепились тренды перехода от эксплуатации собственной ИТ-инфраструктуры к использованию облачных вычислений. Это прежде всего замена традиционных ИТ-систем изначально разворачиваемых на материально-технической базе каждой отельной взятой компании на сервисы по требованию, т.к. SaaS,PaaS и IaaS. По данным свежего исследования «Облачные услуги в корпоративном секторе, Россия 2017». от компаний SAP и Forrester, облачные технологии в России будет расти быстрее, чем весь ИТ рынок взятый в целом: так при среднегодовом темпе в 21% рынок облаков вырастет в 3 раза по сравнению с показателями 2015 года. В докладе сообщается, что крупный бизнес в настоящее время максимально готов к использованию облачных услуг: в этом сегменте свыше 90% опрошенных знают про облачные услуги, в малом бизнесе – свыше 70%. В крупном бизнесе 54,5% опрошенных пользуется одновременно облачными услугами из двух и более категорий, в среднем бизнесе – 50%, в малом – 43%.

Текущая ситуация с использованием облачной ЭП в России

Совсем недавно, в июне 2017 года стало известно о том, что ФСБ совместно с «Ростелекомом» создают электронную подпись, которая «взорвет и перевернет рынок» . Идея все та же, создать ЭП не требующую использования токена (носителя на флешке). Об этом рассказал директор по электронному правительству в «Ростелекоме» Михаил Бондаренко. «У меня есть данные от коллег с Лубянки о том что до конца года должно выйти некое решение, которое позволит делать доверенные ЭЦП облачными, - сказал он, не приведя каких-либо подробностей, но противопоставляя это решение распространенным сегодня электронным подписям на токенах. - На наш взгляд это взорвет и перевернет рынок доверенной авторизации и идентификации», - добавил он. Но есть нюанс, по мимо использования «облаков» предполагается еще и задействовать биометрию, т.е. индивидуальные биометрические характеристики каждого человека как параметры для его уникальной аутентификации.

Как сообщает тот же источник со слов Бондаренко - «Предполагается, что «Ростелеком» станет оператором этой платформы и два года будет проводить пилотный эксперимент с банками, в точение этого времени услуги по биометрической идентификации будут предоставляться им бесплатно» , отметив, что в уже стартовавшем пилоте участвует порядка десяти банков, включая Сбербанк, ВТБ и Газпромбанк.

При этом закончить создание платформы оператор намерен до конца 2017 г. К тому же только с 1 января 2018 г. предположительно вступят в силу поправки в 115 федеральный закон, разрешающие использовать биометрическую идентификацию в финансовом секторе - для открытия-закрытия счетов, размещения и снятия вкладов, переводов и т. д. Таким образом, по словам топ-менеджера, уже рассматривается идея создания на базе национальной биометрической платформы «национального банка идентификации и авторизации» жителей России.

Комментарии экспертов:

«По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона. Технология «облачной» электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов «СКБ Контур», сделавших выбор в ее пользу», – рассказывает эксперт Казаков.

«Облачная» электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, «в облаке», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют. - Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО». Чепкасов отмечает , что одно из ключевых преимуществ «облачной» подписи – это возможность подписания документов и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Игорь Чепкасов рассказывает о возможностях использования ЭП в новых сервисах и услугах, к примеру, построенных на технологии Blockchain , а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом» , – рассказывает он. Так по мнению эксперта, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в роли одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей» , – отмечает он.

В настоящее время сертификаты ключей проверки электронной подписи (СКП) выпускаются на специальных носителях, рассказал замглавы Минкомсвязи Михаил Евраев. При этом средняя стоимость такого СКП составляет около 5 тыс. рублей. «Система облачной электронной подписи позволит создавать подпись без материального носителя, что значительно снизит стоимость ее использования и повысит безопасность применения», - пояснил замминистра.

Ситуацию так же прокомментировал интернет-омбудсмен Дмитрий Мариничев, который уверен, что в технологиях ЭП произойдет настоящая революция, как это уже случилось несколько лет назад с накопителями информации. Например, еще в 90-х фильмы продавались на VHS-кассетах, в 2000-х они появились на CD, затем на DVD, и через десять лет в конце концов распространяются на флеш-накопителях и в интернете.

Перспективы использования облачной ЭП для банковской отрасли

Электронная подпись задумывалось как универсальное средство подтверждения юридической силы совершаемых операций, и в виду этого имеет широкий спектр применения, от пользования порталом гос услуг до обеспечения электронного документооборота между организациями и государственными контролирующими органами. Для банковской отрасли ЭП физическими и юридическими лицами чаще всего используется для совершения финансовых операций через сервисы ДБО. Это включает в себя и онлайн доступ в личный кабинет посредством web-технологий и мобильный банк, т.е. управление счетом через социализированное приложение со смартфонов и планшетов.

К примеру, ЭП для физических лиц в крупнейшем федеральном банке - Сбербанке дает возможность банковской организации уменьшить оборот бумаги и увеличить скорость обслуживания посетителей. То есть во время открытия депозита вместо установки подписи на 4-х разных документах посетителю нужно будет 1 раз набрать свой ПИН (пароль к ЭП). Данный вид технологии сможет обеспечить проведение двойной клиентской идентификации с использованием паспорта и при помощи карточки с ПИН-кодом, который сможет знать лишь владелец. Благодаря этому можно также будет предотвратить вероятные факты мошенничества. Так по внутренним данным Сбербанка актуальных на 2014 год, в течении двенадцати месяцев после запуска такого сервиса, только жителями Москвы было совершено больше трёх миллионов операций с применением подписи в электронном виде.

Процедура получения соответствующего ключа электронной подписи банка России довольна проста, необходимо пройти онлайн-регистрацию на специализированном сайте «Сбер ключ». Так право на электронную подпись банк даёт любому его владельцу принимать участие в торгах и делать размещение на необходимых электронных ресурсах личные заявления.

Еще одним наглядным вариантом массового использования облачной ЭП может послужить , доступный в интернет-банке «Сбербанк Бизнес Онлайн», который стал официальным инструментом Сбербанка для электронного подписания многосторонних и двусторонних договоров между любыми юридическими лицами и индивидуальными предпринимателями (ИП) – так называемый межкорпоративный ЭДО. Как пояснил , благодаря этой системе трудозатраты на обработку одного документа сокращаются с 2-3 минут до 10-15 секунд. Кроме того, отказавшись от бумажного документооборота, компания может значительно снизить расходы на канцелярские товары, аренду складских помещений, замену расходных материалов для офисного оборудования и т.п.

Проблемы безопасности облачной ЭП

Не смотря на все ощутимые плюсы от использования ЭП в облаках, данная концепция не нашла широкой поддержки у экспертов по информационной безопасности. Так, по мнению некоторых специалистов использование средств ЭП в мобильном телефоне тает в себе существенную угрозу безопасности. Не нужно быть специалистом, что бы разглядеть удручающую статистику роста числа мобильных вредоносных программ, перехватывающих СМС-сообщения пользователя, маскирующимся под официальные приложения мобильного банкинга и выполняющие другие несанкционированные действия без ведома пользователя.

В виду этого гарантировать информационную безопасность использования ЭП может только доверенная среда (изолированная), в которой пользователь и технические средства в момент взаимодействия защищены от посторонних вмешательств. Мобильный телефон такой доверенной средой назвать сложно - пользователь может устанавливать любые приложения на свое усмотрение. Хуже ситуация, если только если операционная система устройства «рутована». Однако, выход есть – как уже описывалось ранее это использование специальной SIM-карты, интегрированной с ЭП.

При использовании сервисов ДБО злоумышленники нередко проводят атаку типа «человек в браузере », являющееся частной реализацией атаки «человек-по-середине», когда, подменяя реквизиты легального платежа, показывая пользователю правильные данные, а в банк отправляя свои, подмененные. С новой функцией безопасности такой трюк злоумышленника уже не пройдет - получив реквизиты, специальный апплет на сим-карте выведет их на экран телефона и запросит ПИН-код. Визуально проверив корректность реквизитов, пользователь для подтверждении вводит ПИН-код своей электронной подписи, подписывает их и после отправляет обратно на шлюз, который передает информацию банку.

Сергей Груздев, генеральный директор компании-разработчика отечественных систем криптографической защиты «Аладдин Р. Д» выделяет еще один способ применения данной технологии - «Помимо аутентификации и подписания документов, разработанная система может использоваться для уведомления клиента банка об операциях с его счетом, что стало особенно актуальным в свете вступления в действие девятой статьи 163-ФЗ «О национальной платежной системе» . В отличие от самого популярного на данный момент способа - СМС-информирования, в этом случае гарантируется банковская тайна (никто не сможет прочитать уведомления, ни заразив смартфон вирусом, ни даже подменив базовую станцию), и исключена подмена сообщений злоумышленниками».

Остается другая проблема, когда например, в случае утери и умышленной кражи телефона и сохраненным ПИН-кодом в заметках или иной внутренней памяти телефона. В этом случае злоумышленник, сможет потратить все деньги как минимум с мобильного счета владельца, и, например, подписать обязывающие абонента документы, скажем, оплатить покупки в кредит на одном и популярных онлайн-магазинов. Однако, и эти риски достаточно уверенно предотвращаются примерно так же, как и с платежными и кредитными картами. Владелец счета (карты) может ограничить ежедневный объем и содержание сделок, допустимых с данной SIM-карты, так же использовать опцию отключения своей ЭП на временной период, пока он ею не пользуется.

Электронная подпись выполняет такую же функцию, как ваша обычная подпись, скрепленная печатью:

• Подтверждает подлинность документа: помогает убедиться, что документ не изменили, и что он дошел до получателя в первоначальном виде.
• Позволяет идентифицировать автора документа.

Электронная подпись состоит из открытого и закрытого ключей. Открытый ключ также называется публичным, он доступен всем и используется, чтобы проверить, действительна ли подпись, помогает определить владельца и подтвердить достоверность документа, под которым поставлена подпись. Закрытый ключ — секретный. С его помощью подписывают документ, он доступен только обладателю электронной подписи. С технической точки зрения электронная подпись — это набор символов, закодированных криптографическими средствами.

Ещё подпись защищает документы от несанкционированного доступа через шифрование . Документооборот с контролирующими органами обязательно происходит в зашифрованном виде.

Как работает электронная подпись?

Прежде чем отправить отчёты в налоговую при помощи криптографического средства и открытого ключа получателя, ваш отчет, подписывается, шифруется и передается по защищенным каналам связи. Расшифровать документ сможет только инспектор, получатель отчетности, если у него есть свой секретный закрытый ключ. Затем инспектор присылает вам ответные документы, они шифруются уже на рабочем месте инспектора с помощью вашего открытого ключа и криптографического средства, а расшифровываются на вашем рабочем месте с помощью вашего закрытого секретного ключа.

При расшифровке проверяется соответствие открытого ключа, на который зашифрован документ, и закрытого ключа пользователя.

Электронную подпись выпускает удостоверяющий центр — организация, которая имеет на это право и аккредитацию. После подписания договора и других документов УЦ выпускает сертификат для вашей фирмы.

Электронную подпись можно хранить на компьютере, флешке или рутокене. Рутокен — это usb-средство аутентификации с дополнительной защитой доступа к ключам. Тогда для того, чтобы электронная подпись работала, установите на компьютер криптографическое программное обеспечение.

Квалифицированная электронная подпись

1 июля 2013 года утратил силу Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Ему на смену пришел закон № 63-ФЗ «Об электронной подписи» от 06.04.2011, который вводит понятие квалифицированной электронной подписи или КЭП.

В связи с изменениями законодательства электронная подпись для представления отчетности в КО действует до 31 декабря 2013 года, а с 1 января 2014 года её нужно заменить на квалифицированную.

С 1 июля 2013 года, все пользователи Контур.Эльбы начали получать квалифицированную электронную подпись. Если вы получали электронно-цифровую подпись до 1 июля, то сервис предложит заменить ЭЦП на КЭП. Процедуру можно пройти онлайн, без визита в сервисный центр, если на момент оформления заявки ваша подпись действительна, а реквизиты не менялись.

Чем электронная подпись отличается от квалифицированной электронной подписи?

Принципиальных отличий между ними нет. Есть несколько законодательных и технических моментов.

Например, по закону № 63-ФЗ электронный документ, подписанный КЭП равнозначен документу на бумажном носителе, подписанному собственноручной подписью. В законе №1-ФЗ равнозначными признавались подписи.

Технические преобразования электронной подписи не изменят вашу работу. Вы по-прежнему сможете отправлять отчетность с любого устройства и из любого места на карте мира.