Электронная подпись. Что поменялось c 1 января 2014 года?
Электронная подпись в России становится повседневным инструментом взаимодействия государства, бизнеса и граждан. С ее помощью отправляют отчетность, ведут документооборот, подписывают контракты, получают госуслуги. Но вместе с расширением сфер применения меняется и законодательная база, и сама технология, и требования к ее безопасности. С 1 июля 2013 года сферу применения технологии регулирует новый Федеральный закон № 63-ФЗ «Об электронной подписи». А с 1 января 2014 года вступил в силу № 44-ФЗ «О контрактной системе в сфере закупок…». Другими словами, область применения электронной подписи в системе государственных торгов переживает переходный период. Закончился ли он с наступлением 2014 года?
Ситуацию корреспонденту ИА "Клерк.Ру" Льву Мишкину прокомментировал Никита Баранов, эксперт в области применения сертификатов электронных подписей.
С 2009 года Никита Баранов возглавляет группу проектов «Услуги Удостоверяющего центра» СКБ Контур, участвует в законодательных инициативах, связанных с выпуском и применением электронных подписей, регламентом работы удостоверяющих центров, занимается развитием дополнительных услуг и сервисов для клиентов, в том числе индивидуальных предложений для крупных предприятий. В сфере его компетенции также взаимоотношения с государственными регуляторами.
Особенности переходного периода
– Никита, во-первых, что это за точка отсчета – 1 января 2014 года?
– 1 января – это очень интересный рубеж. Попробуем в нем разобраться. C 2002 года с России действовал ФЗ-1 «Об электронной цифровой подписи» – старый закон. В 2011 был принят 63-ФЗ «Об электронной подписи» - новый закон, который ввел три вида электронной подписи вместо одного. Для обеспечения плавного перехода со старого закона на новый, выпущенные в соответствии со старым законом ЭЦП были временно приравнены к квалифицированным сертификатам электронной подписи (КЭП) в терминах нового закона. 31 декабря это самое временное приравнивание закончилось.
– В таком случае, что произошло со старыми ЭЦП?
– Тут еще одна тонкость. Дело в том, что по новому закон ЭЦП подпадает под определение неквалифицированной электронной подписи (НЭП). Таким образом, после 31 декабря все ЭЦП стали НЭП. Повезло пользователям электронной подписи, которые выступают на ЭТП по госзаказу в роли поставщиков, так как в 44-ФЗ прописано применение НЭП, соответственно замены сертификатов им не требуется.
– А кому в таком случае «не повезло»?
- В «группу риска» попали поставщики, получившие в 2013 году так называемые «гибридные» сертификаты. Это квалифицированные сертификаты электронной подписи (КЭП), совмещенные с требованиями электронных торговых площадок (ЭТП). «Риск» заключался в том, что требования ЭТП и требования к КЭП не могут быть полностью выполнены одновременно.
Согласно информационному письму крупнейшей ЭТП госзаказа Сбербанк-АСТ, такие сертификаты, выданные авторизованными удостоверяющими центрами до 01.01.2014, подлежат использованию до истечения срока их действия в силу того, что в момент выпуска сертификата действовал 94-ФЗ. То есть их КЭП равна НЭП.
Но поскольку 01.01.2014 вступил в силу новый 44-ФЗ, электронные подписи поставщиков должны выпускаться в строгом соответствии с требованиями ЭТП.
– А какую подпись использовать заказчикам, 44-ФЗ определил?
– Это стало ясно только после выхода Федерального закон № ФЗ-396 от 28.12.2013. До этого в рамках всего 44-ФЗ можно было использовать только НЭП, а Казначейство выпускало только КЭП. Подписанный 28 декабря закон определил, что заказчики должны использовать КЭП или НЭП выпущенные УЦ Федерального Казначейства.
– А что означают все эти законодательные «закавыки» для тех, кто использует электронную подпись в других областях?
– Больше всего эти изменения затронули пользователей систем электронной отчетности и систем электронного документооборота (ЭДО) между организациями. Таким пользователям необходимо заменить их старые ЭЦП на КЭП. Все удостоверяющие центры, которые выпускают сертификаты для систем отчетности и ЭДО, в течение полугода работали с такими пользователями, чтобы замена сертификатов прошла без задержек и очередей.
- А зачем вообще нужно было ограничивать срок действия ЭЦП определенной датой? Ведь сертификат подписи и так имеет ограниченный срок действия, и перевыпуск каждого можно было сделать индивидуально.
– Это один из открытых вопросов к авторам нового 63-ФЗ и действующих поправок. Действительно, подавляющее большинство сертификатов выпускаются на 1 год, а переходный период был ограничен полугодом. То есть удостоверяющим центрам было отведено полгода для замены сертификатов всем абонентам, однако этот срок оказался не таким уж и большим на деле, особенно учитывая следующие факты:
- число пользователей электронной подписи, нуждающихся в перевыпуске сертификата, можно оценить в несколько миллионов
- правила выпуска сертификатов по новому закону строже старых, это привело к тому, что пользователям необходимо принести в УЦ больший комплект документов
- автоматическая замена сертификатов ЭП невозможна, то есть все пользователи для замены должны лично встретиться с представителями УЦ
Все удостоверяющие центры выстраивают свои внутренние процессы оптимальным образом в соответствии с годовой статистикой обслуживания клиентов. И поскольку выпуск сертификатов – процесс ответственный и регламентированный, резко нарастить мощность обслуживания без потери качества любому УЦ довольно сложно.
Проблем можно было бы избежать, если бы переходный период не был ограничен каким либо сроком. В виду того, что большинство сертификатов действуют 12 месяцев, переходный период закончился бы естественной и планомерной заменой в связи с окончанием срока.
Сейчас в Минкомсвязи создан экспертный совет, в который входят основные игроки рынка ЭП. Надеемся, что при активном участии сообщества все законы и подзаконные акты будут создаваться с учетом тонкостей технологии и реального опыта работы на рынке без усложнения жизни держателей электронной подписи.
О безопасности
- Вы сказали, что с выходом нового закона требования к выдаче сертификатов еще усилились?
- Да, в новом законе усложнена процедура выдачи сертификата КЭП. Ужесточение в большей степени касается удостоверяющих центров, но и владельцев сертификатов они не обошли стороной.
Дополнительно к ФИО и названию компании закон требует представления СНИЛС физического лица, на чье имя выпускается сертификат, и ОГРН юридического лица. Удостоверяющий центр обязан не только проверить достоверность данных, но и хранить реквизиты этих документов
Несоблюдение новых требований приведет к аннулированию аккредитации УЦ и, как следствие, к прекращению действия всех ранее выданных сертификатов.
– То есть если я – предприниматель, то мои сделки на торгах могут быть аннулированы только потому, что удостоверяющий центр что-то нарушил в процедуре выдачи сертификата электронной подписи?
Надо сказать, инициаторами «упрощенной» схемы выдачи часто становятся сами клиенты, которые хотят получить электронную подпись, не имея нужных документов.
В этой ситуации удостоверяющий центр может либо способствовать совершению преступления, либо препятствовать ему, добросовестно удостоверяя личность каждого получателя, будь то президент крупного холдинга или индивидуальный предприниматель.
- И как не оказаться в этой ситуации?
- Соблюдать универсальные правила выбора удостоверяющего центра.
Во-первых, важно убедиться, имеет ли он все необходимые лицензии и сертификаты, является ли доверенным удостоверяющим центром ФНС, ПФР, ФСС и Росстата. Аккредитован ли на площадках госторгов и крупных коммерческих электронных торговых площадках. Важным показателем надежности служит длительность работы и наличие разветвленной партнерской сети с широкой географией.
Как я уже сказал, важный пункт — требовательное отношение к документам со стороны удостоверяющего центра: он должен настаивать на том, чтобы клиент представлял полный пакет бумаг, согласно действующему законодательству.
В-третьих, ознакомьтесь со списком дополнительных услуг, которые предоставляет удостоверяющий центр. Надежный УЦ поддерживает постоянный контакт со своими клиентами, предлагая им образовательные программы, семинары, вебинары, обучение работе с электронными торговыми площадками. Задача УЦ – не просто продать электронную подпись клиенту, но и помочь ему правильно использовать ее.
- В обсуждении технологии электронной подписи часто возникает вопрос об архивном хранении электронных документов. Закон это как-то регламентирует?
- Сертификат ключа проверки электронной подписи действует не больше одного года, а подписанный документ, следуя требованиям законодательства, чаще всего надо хранить не менее пяти лет. В законе, прописано, что если момент подписи известен, то действительность проверяется на момент подписи, а если нет – то на момент проверки. То есть если не зафиксировать момент подписи, то доказать ее действительность спустя год будет сложно.
В специализированных системах интернет-отчетности и ЭДО проблема длительного хранения решена разработчиком системы. Но если вам надо получить подпись без использования каких либо систем, то достаточно использовать усовершенствованную подпись, которая внутри себя содержит штамп времени и данные о статусе сертификата (действителен или отозван). В данный момент это единственное подходящее решение.
- С хранением понятно, а как насчет безопасности? Что будет, если ЭП окажется в руках злоумышленников?
- Бизнесу может быть нанесен значительный ущерб. Электронное мошенничество отличается от обычного только тем, что документы подписывают не собственноручной, а электронной подписью. Так что нужно внимательно следить за тем, где сейчас ваш «токен» с закрытым ключом электронной подписи – образно говоря, рука, с помощью которой вы создаете подписи.
Чтобы ваша подпись принадлежала только вам, нужно бережно хранить «токен», никому не передавать, сменить заводской пароль и, что немаловажно, запомнить, поскольку взломать «токен» нельзя, как и восстановить забытый пароль.
Кстати, «токены» нового поколения несут на себе задачи криптографии, то есть в будущем шифрование документов всех пользователей технологии будет происходить в самом ключевом носителе, а не на компьютере. Это тоже повышает безопасность электронного документооборота.
Итоги
- Подводя итоги разговора, можно ли сказать, что переходный период закончился?
- Большая его часть – да. В частности, появилась определенность в сфере применения видов ЭП на электронных торговых площадках.
Не нужно забывать: единственный путь совершенствования новых законов - накопление опыта в процессе его применения. Будем применять 44-ФЗ и 63-ФЗ на практике, обсуждать достоинства и недостатки, предлагать усовершенствования.
- Напоследок, можно ли сделать какой-то прогноз развития технологии?
- Все происходит эволюционно, и в ближайшее время нужно быть готовыми к еще более широкому применению электронной подписи.
Думаю, что к 2015 году мы дойдем до состояния, когда электронную подпись будут активно использовать не менее 90 процентов всех юридических лиц и порядка 30 процентов физических лиц. Предпосылки этому есть. В первую очередь, в сфере представления отчетности – например, с 2014 года отправить декларацию по НДС можно только в электронном виде.
Активно развиваются системы межведомственного электронного взаимодействия и предоставления госуслуг в электронном виде. Изданы нормативные правовые акты, обеспечивающие в будущем использование универсальной электронной карты в качестве страхового полиса, в том числе полиса ОСАГО.
На рассмотрении Госдумы находится Законопроект № 286672-6, который вносит изменения в отдельные законодательные акты Российской Федерации и конкретизирует виды электронной подписи, используемые в различных право-отношениях.
Государство стремится к максимальной унификации информационных систем и требований к их безопасности. Это значит, что в ближайшем будущем электронная подпись, используемая сегодня в основном для отправки отчетности через интернет, может использоваться и в транзакциях с банком, и для предоставления максимального количества госуслуг в электронном виде. То есть станет более универсальной.
- А можно дать рекомендации владельцам электронных подписей?
- Хочется сделать акцент на следующем. Несмотря на то что электронная подпись все шире распространяется и становится все более простой в применении, она все равно остается достаточно технологичной. Она всегда связана с удостоверяющим центром и законодательством. Поэтому предприятиям при принятии решении (самостоятельном или предписанном) переходить или нет на ЭП, важно найти профессиональных поставщиков технологии и с ними вместе проходить все стадии: обучение, сопровождение и поддержку в течение срока действия сертификата.
Использовать эту технологию нужно аккуратно. Соблюдая простые меры предосторожности, вы обезопасите свой бизнес от лишних рисков, расширив при этом его возможности. Если вы не уверены в том, нужна ли вам электронная подпись и насколько безопасно ее использование, – обратитесь в удостоверяющий центр за консультацией.