Как инструмент электронная подпись (ЭП) нужна для участия в закупках (тендерах), а также для электронного документооборота. Сама ЭП — это не привычная для многих из нас «флешка» или какой-то конкретный предмет, а информация в электронном виде, которая позволяет идентифицировать личность её владельца во время использования электронных сервисов.
Как это выглядит? На определённый носитель записывается «ключевая пара» в виде ключа ЭП и сертификата ключа проверки ЭП. А сама «электронная подпись» создаётся владельцем сертификата в момент подписания документа.
Несмотря на то, что защищённые носители внешне и выглядят как флешка, в них имеется особая начинка. В эту начинку, помимо микросхем, входит специализированный апплет, обеспечивающий взаимодействие ОС с содержимым носителя. Выдаётся носитель со всем указанным содержимым в удостоверяющих центрах (УЦ). Для большинства современных IT-шников данные понятия хорошо известны в разрезе получения и использования Code Signing и SSL-сертификатов.
Давайте разберём основные понятия, связанные с ЭП и УЦ.
Что делает УЦ?
Удостоверяющие центры выдают своим клиентам: а) носители, содержащие ключевую пару; б) комплект документов к ним (в т. ч. руководство по безопасности); в) бумажные сертификаты.
Также УЦ занимается:
— Установлением личности владельцев сертификатов.
— Проверкой всех документов и сведений, представленных для выдачи сертификата.
— Генерацией сертификатов.
— Отправкой данных о сертификатах и их владельцах в ЕСИА.
— Отзывом выданных сертификатов (например, в случае компрометации).
Все ли ЭП подходят для участия в закупках?
Нет, не все. Нужно иметь тот вид электронной подписи, который предусмотрен действующим законодательством. Для закупок по 44-ФЗ и 223-ФЗ это усиленная квалифицированная электронная подпись. Сертификаты, с помощью которых формируются такие ЭП, выдаются только в УЦ, которые аккредитованы Минкомсвязи. Отношения в области использования электронных подписей регулируются Федеральным законом № 63-ФЗ «Об электронной подписи», в котором, помимо всего прочего, содержатся требования по аккредитации удостоверяющих центров и описание процедуры выдачи сертификатов такими УЦ. А на сайте самого министерства можно ознакомиться со списком всех аккредитованных УЦ.
Также важно отметить, что коммерческие электронные торговые площадки (ЭТП) и иные информационные системы вправе устанавливать свои дополнительные требования к составу сертификатов. Эти требования представляют собой дополнительные расширения — OIDы. Так что если вам будет необходимо применять свою ЭП на каких-то конкретных площадках, то лучше сразу уточнить в УЦ возможность выпуска сертификата для этих площадок.
Что записывается на носитель?
На носитель записывается ключевая пара в виде ключа электронной подписи и сертификата ключа проверки электронной подписи. Наш УЦ, например, дополнительно записывает туда ещё автоустановщик и специализированный антируткит, потому что машины многих компаний в России, увы, бывают поражены эпидемиями вирусов и шпионским ПО. Кроме того, носитель может использоваться и как обычная флешка для хранения данных. Туда можно сразу записать инструкции и прочие данные. Но это делается уже опционально и индивидуально.
ЭП подходит ко всему сразу?
Нет. Обычно ЭП применяется для чего-то конкретного. Но все требования различных информационных систем хорошо известны УЦ, и как вариант можно получить «универсальный» сертификат, подходящий для максимально широкого круга различных систем. Так что, если вы планируете использовать свою ЭП в большом количестве различных сервисов с дополнительными требованиями, то будет выгоднее приобрести «универсальный сертификат». Вот, например, цены таких сертификатов в нашем УЦ.
Они plug & play?
Ну, почти. Может случиться так, что всё сразу запустится, а может — что придётся «пошаманить» с сисадмином. Ключевой фактор тут — понимание того, что приобретён нужный сертификат, и что у площадки и УЦ есть нормальная поддержка. Поскольку мы заинтересованы в том, чтобы у участников закупок на нашей площадке не возникало технических неполадок и ошибок, то для наших ЭП мы разработали автоустановщик. Также у нас есть круглосуточная техподдержка.
Какие существуют лицензии на ПО для работы с сертификатом?
Вообще общепринятое название ПО для работы с сертификатом — это «Криптопровайдер» (Cryptography Service Provider, CSP). Он представляет собой независимый модуль, который при помощи функций CryptoAPI осуществляет криптографические операции в Microsoft. Различают следующие виды лицензий на криптопровайдер:
— С привязкой к рабочему месту пользователя.
— Без привязки к рабочему месту (технология так называемой встроенной лицензии).
Лицензия на криптопровайдер с привязкой к рабочему месту зачастую вызывает непонимание у людей, слабо знакомых с Интернетом, потому что с таким сертификатом можно работать только с одного компьютера. Наш УЦ по умолчанию выдаёт сертификат со встроенной лицензией.
У компании изменились реквизиты. Что делать?
Обратиться в УЦ. В связи с технической особенностью структуры сертификата изменять его содержимое не представляется возможным, поэтому придётся делать запрос об изменении данных и получать новый сертификат. Записать его можно на тот же самый носитель, что использовался раньше. Не забудьте только отозвать свой старый сертификат.
Можно ли сделать копию ключей ЭП?
Можно. Для этого опять же необходимо обратиться в удостоверяющий центр, где получался сертификат, и попросить сделать резервную копию своей ключевой пары. В целом это хорошая и полезная практика — иметь резервную копию, потому что, если перед самыми торгами окажется, что ваш носитель, например, сломался, то будет возможность оперативно его заменить на резервный вариант.
Удостоверяющие центры чем-то отличаются друг от друга?
Да. Всего по стране их более 400 штук. На заре формирования этого рынка встречалось немало сомнительных серых схем. Говорят, что небольшие УЦ и сейчас нарушают закон, выдавая сертификаты без установления личности владельца. А это может впоследствии всплыть и аукнуться. Во избежание недоразумений лучше выбирать всё-таки крупные УЦ (аккредитованные Минкомсвязи), которые уже давно работают на рынке. В общем, всё как с центрами сертификации в Интернете.
Сами по себе ЭП тоже отличаются. Есть простая ЭП, которая банально подтверждает факт того, что подпись была создана конкретным лицом. Подтверждение делается с помощью какого-либо кода или письма на электронную почту.
Есть ещё усиленная неквалифицированная ЭП и усиленная квалифицированная ЭП. Оба вида этих подписей формируются с помощью криптографических средств, но в случае с усиленной квалифицированной ЭП подтверждается еще и факт того, что УЦ, который выдал сертификат, аккредитован Минкомсвязи, и используются сертифицированные средства электронной подписи.
Квалифицированная ЭП признаётся равнозначной собственноручной без каких-либо дополнительных условий. А простая и неквалифицированная ЭП приобретают юридическую силу при наличии дополнительных условий, в том числе когда между участниками электронного взаимодействия заключено какое-либо дополнительное соглашение.
Сколько времени надо на получение сертификата?
У нас сертификат выдается за три часа по ускоренной процедуре (с личным присутствием, то есть закладывайте время ещё и на дорогу). Обычная процедура (с учётом подготовки документов и оплаты счёта) занимает около 1–2 рабочих дней.
Напоследок выговорите скороговорку: «ИП с ЭП для ЭТП». Надеюсь, что некоторые из вас прочитают этот материал и перестанут бояться быть вот этими «ИП с ЭП для ЭТП». Ну и задавайте свои вопросы про ЭП, мы с коллегами из УЦ ответим.
Автор: Sapacheva_M