Коротко о главном: состав электронной подписи
КЭП состоит из сертификата, закрытого и открытого ключей.
Сертификат — это бумажный или электронный документ, в котором содержится информация о владельце, наименовании и местонахождении компании (актуально для КЭП руководителя организации), сроке действия подписи, выдавшем удостоверяющем центре, используемых средствах криптографической защиты.
Открытый ключ также включен в сертификат. Он доступен всем, используется для расшифровки и проверки электронной подписи. Именно благодаря открытому ключу получатель электронного документа может проверить, кто именно подписал файл.
Подпись формируется с помощью закрытого ключа — уникального набора символов. Закрытый ключ хранится в зашифрованном виде на защищенном носителе (токене) и известен только владельцу сертификата.
Сформированную электронную подпись нельзя изменить, подделать или украсть, так как при создании используются средства криптографической защиты информации (СКЗИ). В этом плане электронная подпись безопасней собственноручной на бумаге. Трудности могут возникнуть, если владелец сертификата неправильно применяет или хранит электронную подпись.
Важно. При получении электронной подписи каждому пользователю выдается руководство по обеспечению безопасности использования КЭП и средств квалифицированной ЭП. Необходимо изучить руководство и придерживаться указанных в нем правил.
Что говорит закон владельцам квалифицированных сертификатов
Сразу оговоримся, что правила безопасного использования относятся и к другим видам подписей. Однако простая и неквалифицированная электронные подписи применяются только внутри определенных систем (например, во внутреннем ЭДО при наличии соглашения между сторонами), и круг возможностей мошенников при похищении ключей таких подписей ограничивается этими системами. Если же посторонние получат доступ к КЭП, то могут совершать от лица владельца сертификата широкий круг действий на многих площадках (Госуслуги, ФНС, банки и др.).
Основные требования закона № 63-ФЗ обязывают владельца электронной подписи:
Обеспечивать конфиденциальность ключей — не допускать, чтобы кто-то использовал подпись без его согласия. При этом возможно, чтобы третьи лица применяли подпись в присутствии владельца. Например, бухгалтер может подписать документы «под присмотром» руководителя его КЭП.
Уведомлять удостоверяющий центр о любых подозрениях на компрометацию ключей — не позднее, чем в течение суток с момента, как стало об этом известно.
Не применять электронную подпись, если есть вероятность, что кто-то получил доступ к ключам.
Использовать для работы с подписью СКЗИ, соответствующие требованиям законодательства.
Таким образом квалифицированная электронная подпись — это не просто удобный инструмент, упрощающий и ускоряющий выполнение личных и рабочих задач в цифровой среде. При наличии и использовании сертификата КЭП у владельца появляются обязанности, которые необходимо соблюдать для собственной безопасности.
Что нужно знать при использовании и хранении КЭП
Для защиты ключей следуйте простым правилам:
Не передавайте ключи электронной подписи третьим лицам, даже если сильно им доверяете. Ваш друг, приятель, сотрудник может забыть токен с КЭП в общественном месте или не убрать в сейф в людном офисе, тем самым увеличив вероятность мошеннических действий в отношении вас. Лучше оформите на третье лицо машиночитаемую доверенность, чтобы представитель мог действовать от вашего имени в рамках переданных полномочий, применяя свою КЭП физического лица.
Замените заводской пароль защищенного носителя на собственный и никому его не сообщайте. Храните пароль отдельно от ключевого носителя.
Не оставляйте носитель с КЭП без присмотра — в том числе подключенным к ПК на время вашего отсутствия в помещении.
Храните токен в сейфе или ином только вам доступном месте.
Задайте надежный пароль контейнеру, а также PIN-код или пароль входа в систему ПК в случае, если контейнер ключей электронной подписи установлен на компьютер.
Обратитесь в ваш удостоверяющий центр для отзыва сертификата при потере, краже электронной подписи или любом подозрении на получение несанкционированного доступа к ключам.
В случае с мобильной подписью (МЭП) сертификат КЭП связывается с приложением на смартфоне. При этом КЭП физлица записывается прямо на мобильное устройство (для МЭП руководителя по-прежнему необходим токен, обязательно с NFC модулем).
При использовании МЭП обеспечьте защиту смартфона:
Установите надежный, только вам известный, пароль;
Применяйте Touch ID или Face ID для разблокировки;
Не передавайте устройство в пользование третьим лицам;
Не оставляйте смартфон разблокированным без присмотра.
Если владелец КЭП всегда следуют вышеперечисленным правилам, то в разы снижает риски мошеннических действий в свой адрес.
Бдительность не бывает лишней
По потерянной или похищенной действующей КЭП злоумышленники могут выпустить на имя владельца электронные подписи (в том числе в разных удостоверяющих центрах), о которых тот может и не догадываться. Поэтому не лишним будет периодически проверять, какие электронные подписи за вами числятся. Сделать это можно на портале Госуслуг.
Для проверки зайдите в свой личный кабинет, кликните по учетной записи, выберите раздел «Настройка и безопасность», далее «Электронная подпись». Если увидите в перечне сертификат, который не получали, обратитесь в выдавший его удостоверяющий центр для отзыва.
Хотите получить консультацию специалиста УЦ ITCOM?
Оставьте заявку:
Реклама: ООО «АйтиКом», ИНН 7714407563, erid: 2W5zFJADm8k
Начать дискуссию