Как выбрать СКЗИ: руководство для бухгалтеров

Бухгалтеры каждый день работают с конфиденциальными данными: сдают отчетность в налоговую, обмениваются документами с контрагентами, подписывают договоры и платежные поручения. При этом важно не только удобство электронного документооборота, но и его безопасность. Здесь на помощь приходят средства криптографической защиты информации (СКЗИ).  

Для бухгалтера СКЗИ — это не просто инструмент, а необходимость. Вот почему:  

• Безопасная сдача отчетности. Государственные органы — ФНС, СФР, Росстат — принимают отчетность с квалифицированной электронной подписью (КЭП). Без СКЗИ бухгалтер не сможет провести никаких действий с ЭП — в том числе отправить декларации или расчеты в установленные сроки. 

• Защита документооборота. При обмене актами, накладными, договорами важно подтвердить их подлинность и неизменность. Электронная подпись на основе СКЗИ гарантирует, что документ не был изменен после подписания, и идентифицирует отправителя, исключая мошенничество.

• Работа с государственными системами. Некоторые сферы бизнеса — например, торговля маркированными товарами, алкоголем — подключаются к государственным системам «Честный ЗНАК», ЕГАИС. Для работы в них также требуется усиленная ЭП, которую генерируют СКЗИ.  

СКЗИ — это фундамент защищенного электронного документооборота. Без них бухгалтер не сможет ни отчитаться перед государством, ни безопасно взаимодействовать с партнерами. В следующих разделах мы разберем, как выбрать подходящее решение под конкретные задачи компании.  

Государственная политика и нормативно-правовая база России регулируют использование, сертификацию и эксплуатацию СКЗИ. Ниже — основные законодательные акты, определяющие условия и принципы работы с СКЗИ.

• Приказ ФАПСИ от 13.06.2001 № 152. Первостепенную основу для использования СКЗИ заложил приказ ФАПСИ № 152. Он формулирует условия для безопасной обработки, хранения и передачи данных с применением тех СКЗИ, которые прошли сертификацию. После упразднения ФАПСИ в 2003 году указом Президента функции этой службы передали ФСБ.

• Приказ ФСБ РФ от 09.02.2005 № 66 (Положение ПКЗ-2005). Регламентирует всю совокупность процессов, связанных с созданием и эксплуатацией криптографических средств. Положение устанавливает стандарты, которые должны соблюдать все участники рынка криптографии.

• Закон от 06.04.2011 № 63-ФЗ. Определяет виды ЭП, их легитимность и правомочность, а также работу удостоверяющих центров. 

• Закон от 27.07.2006 № 149-ФЗ. Устанавливает принципы работы с информацией, условия ее защиты, регулирует вопросы доступа, распространения и охраны данных.

• Приказ ФСБ от 10.07.2014 № 378. Формирует требования к организации защиты персональных данных в информационных системах персональных данных (ИСПДН). Приказ описывает комплекс необходимых организационных и технических мер для обеспечения конфиденциальности, целостности и доступности обрабатываемых сведений.

• Приказ ФСБ от 24.10.2022 № 524. Устанавливает требования по защите информации для использования криптографических средств в рамках государственных информационных систем (ГИС). 

Ниже представлен обзор популярных решений в области СКЗИ, используемых на российском рынке.

• КриптоПро CSP — криптопровайдер,  занимающий лидирующую позицию на российском рынке СКЗИ. Одно из ключевых преимуществ КриптоПро CSP — его совместимость с большинством ПО. Решение широко используется в разных сферах: электронная отчетность, эдо,закупки, защита данных, где требуется применение электронной подписи и шифрования. СКЗИ КриптоПро CSP сертифицирован ФСБ России по классам КС1, КС2 и КС3.

• ViPNet PKI Client — универсальный программный комплекс, разработанный компанией ИнфоТеКС. Предназначен для формирования и проверки электронной подписи, шифрования, установки защищенного TLS соединения к веб-порталам и безопасной  аутентификации к ним. Сертифицирован ФСБ России по классам КС1, КС2 и КС3.

• Рутокен ЭЦП — это активный ключевой носитель в виде смарт-карты или токена, обеспечивающий надежную защиту данных. Устройства Рутокен гарантируют безопасность благодаря неизвлекаемым ключам и содержат аппаратный микрочип, выполняющий операции электронной подписи и шифрования.

Сертифицированные смарт-карты и токены используются в государственных УЦ ФНС, УЦ Банка России и УЦ Казначейства для получения сертификатов усиленной квалифицированной электронной подписи юридическими лицам, кредитными организациям и госслужащими.

• КриптоАРМ ГОСТ — программа для электронной подписи, шифрования и защищенного обмена электронными документами по электронной почте. Работает на российских ОС Astra Linux, Ред ОС, Альт, РОСА, Альтер ОС. Главным отличием от аналогов у КриптоАРМ ГОСТ 3 является наличие встроенного почтового клиента для отправки защищенных (зашифрованных) писем. 

КриптоАРМ ГОСТ версии 3 сертифицирован в составе СКЗИ «КриптоПро CSP» версии 5.0 R3 по классам КС1 и КС2.

• ESMART® Token ГОСТ — USB носитель,разработанный на базе отечественной микросхемы MIK51 от АО «Микрон», выполнен в виде металлического USB-токена. Криптографические алгоритмы выполняются внутри токена, за это отвечает отдельный микрочип. Сертифицирован ФСБ России по классам КС1, КС2 и КС3, поэтому его можно использовать для записи сертификатов УКЭП в том числе для юридических лиц.

КриптоАРМ ГОСТ 3 — приложение для подписания и шифрования электронных документов, ориентированное на профессионалов в области бухгалтерии и финансов. 

Плюсы КриптоАРМ ГОСТ 3:

• Удобный интерфейс. Пользователи, особенно бухгалтеры, оценят интуитивно понятный интерфейс, который упрощает процесс подписания документов и делает его максимально доступным, даже для тех, кто не обладает техническими знаниями.

• Совместимость с российскими операционными системами Astra Linux, Альт, РОСА, Ред ОС и ОСнова.

• Поддержка подписи с использованием МЧД и формирование единого архива документов.

• Встроенный почтовый клиент. КриптоАРМ ГОСТ 3 оснащен встроенным почтовым клиентом, который позволяет отправлять и получать конфиденциальные документы в защищенных форматах. Это упрощает рабочие процессы и обеспечивает дополнительный уровень безопасности при обмене информацией.

• Поддержка популярных стандартов ГОСТ (Р 34.10-2012, Р 34.11-2012, Р 34.12-2015, Р 34.13-2015, ГОСТ 28147-89) гарантирует совместимость и безопасность при работе с документами.

КриптоАРМ ГОСТ 3 подходит для самых разных сценариев, связанных с юридически значимым обменом и обработкой информации:

• Заключение контрактов и соглашений — решение обеспечивает юридическую силу документов при их подписании и защищает коммерческую тайну.

• Отправка отчетности — подходит для подачи отчетности в ЦБ РФ, ФСРАР, Росреестр, ФИС ФРДО.

• Обмен документами с контрагентами — упрощает защищенный обмен данными с деловыми партнерами.

• Кадровый электронный документооборот — подписание приказов о приеме на работу и трудовых договоров в электронной форме с использованием сертификатов усиленной квалифицированной электронной подписи.

КриптоАРМ ГОСТ

Сертифицированное ФСБ средство электронной подписи и шифрования

Попробовать

Рассмотрим основные критерии выбора СКЗИ и особенности их приобретения.

• Проверка наличия действующего сертификата ФСБ. Сертификация подтверждает, что продукт соответствует государственным стандартам безопасности. Если срок действия сертификата скоро истекает, обязательно уточните у вендора или поставщика о планах продления.

• Совместимость с используемым ПО. Перед приобретением и внедрением СКЗИ убедитесь в его совместимости с вашим текущим программным обеспечением и инфраструктурой: ПО для бухучета и управления — 1С, Контур и СБИС, отечественными ОС.

• Стоимость. Стоимость СКЗИ складывается из нескольких составляющих: количество необходимых лицензий, цена обновлений, которые расширяют функциональность или улучшают безопасность, услуги технической поддержки.

• Условия лицензирования. Количество необходимых лицензий может зависеть от числа пользователей или рабочих мест. Убедитесь, что выбранный вариант соответствует реальным нуждам вашего предприятия и его удобно масштабировать.

Важно. Приобретать СКЗИ можно только у организаций, имеющих соответствующую лицензию. Обращайтесь к проверенным поставщикам, чтобы избежать несертифицированного или контрафактного продукта. Он может не только поставить под угрозу безопасность, но и вызвать нежелательные юридические последствия.

При работе с СКЗИ учитывайте, что необходимо:

• Вести журналы учета ключей ЭП и сертификатов. Это позволяет отслеживать использование и предотвращать несанкционированный доступ.

• Соблюдать сроки действия сертификатов и своевременно их обновлять, чтобы поддерживать валидность и безопасность электронных подписей.

• Хранить ключи на защищенных носителях, чтобы предотвратить их компрометацию и обеспечить физическую защиту.

• Назначить ответственного за СКЗИ, который будет отвечать за его эксплуатацию и контроль использования.

• Разработать и соблюдать внутренние регламенты. Они определяют, кто и когда может использовать электронные подписи, устанавливают ясные процедуры для минимизации рисков и повышения безопасности.

За несоблюдение требований к СКЗИ организацию ждут санкции:

• За нарушение порядка использования СКЗИ, несоблюдение установленных норм и процедур обращения с ними предусмотрен штраф до 50 тысяч рублей для юридических лиц (ст. 13.12 КоАП).

• Использование несертифицированных СКЗИ может привести к наложению штрафа до 200 тысяч рублей (ст. 13.13 КоАП).

• В случае утечки данных по причине их некачественной защиты ответственных лиц могут привлечь к уголовной ответственности по ст. 272 УК. Меры наказания включают штраф до 200 тысяч рублей или эквивалент заработка за период до восемнадцати месяцев, исправительные работы на срок до одного года, ограничение свободы или принудительные работы на срок до двух лет либо лишение свободы на тот же срок.

Даже единичное нарушение работы с СКЗИ и злоупотребление электронной подписью может привести к уголовной ответственности, крупным штрафам и возмещению ущерба. Вот несколько примеров из реальных дел:  

1. Бухгалтер госучреждения в Дагестане использовала чужой ключ ЭП для оформления поддельных заявок на кассовые расходы. Деньги она переводила на подставные счета, обналичивала и тратила в личных целях. Сумма ущерба составила 3 млн рублей. Суд признал бухгалтера виновной по ч. 3 и 4 ст. 159 УК (мошенничество) и назначил 3 года условно, а также обязал полностью возместить ущерб.  

2. Бухгалтер коммерческой фирмы в Московской области с помощью ЭП руководителя оформляла заказы на продукты, сигареты и другие товары, которые затем продавались через магазин ее мужа. Позже она также оплатила санаторий за счет компании. В итоге сумма ущерба составила 2,2 млн руб., в отношении бухгалтера возбудили уголовное дело.  

3. Бухгалтер ИП в Ялте подавала в банк фальшивые ведомости о выплатах, подписанные ЭП, таким образом похитив 800 тыс. руб. Также она незаконно изготовила 10 поддельных распоряжений о переводе денег на свой личный счет — они были подписаны электронной подписью без разрешения владельца. Часть средств бухгалтер направила на погашение личного кредита. Суд приговорил ее к 2,5 годам лишения свободы условно, штрафу 100 тыс. руб. и обязал вернуть украденное.  

Любое несанкционированное применение СКЗИ наказуемо. Даже если злоумышленник пытается «легализовать» украденные средства, суд взыщет ущерб и назначит реальное наказание.

Не упустите возможность повысить эффективность и безопасность вашего документооборота. Попробуйте КриптоАРМ ГОСТ 3 прямо сейчас и убедитесь в его надежности и удобстве.

КриптоАРМ ГОСТ

Сертифицированное ФСБ средство электронной подписи и шифрования

Попробовать

Реклама: ООО «Цифровые технологии», ИНН 1215039585, erid: 2W5zFJxD2ue