Главная » Разное

Электронная цифровая подпись как способ защиты информации

Содержание
  1. Электронная подпись как элемент информационной безопасности
  2. Какими бывают электронные подписи?
  3. Электронная цифровая подпись как способ защиты информации
  4. Как получить
  5. Где можно применять
  6. Недостатки
  7. Неквалифицированная электронная подпись
  8. Как получить
  9. Где можно применять
  10. Недостатки
  11. Квалифицированная электронная подпись
  12. Как получить
  13. Где можно применять
  14. Недостатки
  15. Как защитить электронную подпись от мошенников: правила безопасности
  16. Что такое ЭП, КЭП и для чего они нужны
  17. Как происходит мошенничество с электронной подписью
  18. Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП
  19. Как обеспечить безопасность электронной подписи

Электронная подпись как элемент информационной безопасности

Автор: Семёнова Дарья, руководитель PR-службы, отдела IT и разработок
Агентства Финансовой и Правовой Безопасности

Бурное развитие интернета и информационных технологий, наблюдающееся в течение последних лет, способствовало появлению электронной цифровой подписи (сокращённо – ЭЦП) – информации в цифровом виде, связанной с электронным документом. Эта информация может идентифицировать подписавшее его лицо – полноправного участника документооборота – и защитить этот документ от подделки. ЭЦП создается благодаря криптографическому преобразованию данных с использованием специального ключа, который является определенной последовательностью символов. Этот ключ – аналог собственноручной подписи на обычном бумажном носителе, имеющий такую же юридическую силу.

ЭЦП позволяет установить отсутствие каких-либо изменений информации в документе и трудно поддается подделке: чтобы подобрать искомую комбинацию символов криптографического ключа, злоумышленникам необходимо произвести большое количество сложных математических вычислений, что, без сомнения, потребует многих недель или даже месяцев кропотливой работы.

Какими бывают электронные подписи?

Согласно закону №63-ФЗ «Об электронной подписи» ЭЦП бывает трех видов:

  • Простая электронная подпись – последовательность символов, зашифрованная с помощью разных алгоритмов и защищенная паролем. Простая ЭЦП указывает на лицо, подписавшее документ, но не дает возможности определить неизменность подписи и подписанных данных. Она не предполагает использование сертификата ключа электронной подписи, что повышает вероятность её подделки. Этот вид подписи прекрасно подойдет для подписания электронных сообщений, которые направляются должностным лицам, а также в органы федеральной, региональной или местной власти.
  • Неквалифицированная ЭЦП – электронная подпись, ассоциируемая с владельцем и имеющая юридическую силу равную традиционной подписи. Она защищается специальным ключом и позволяет сохранить неизменность подписанной информации или обнаружить факт ее изменения. Данная подпись создаётся как при помощи сертификата неаккредитованного удостоверяющего центра, так и без него.
  • Квалифицированная ЭЦП соответствует признакам неквалифицированной ЭЦП и при этом имеет специальный сертификат, выданный аккредитованным удостоверяющим центром – организацией, занимающейся выпуском сертификатов ключей идентификации электронных подписей. Квалифицированная ЭЦП создается при помощи программных средств, которые одобрила ФСБ. Это гарантирует ей высокую степень безопасности.

Важно: квалифицированные и неквалифицированные электронные подписи заменяют собой подписанные и заверенные печатью бумажные документы во всех случаях (кроме тех, когда федеральный закон требует наличия бумажных документов).

Преимущества ЭЦЦ

В ближайшем будущем эра бумажных документов завершится, не сумев устоять под всесильным натиском передовых информационных технологий 21-го века. На смену ей придет совершенно иная эпоха – царство электронного документооборота в государственных и коммерческих структурах. Это изменит организацию рабочего процесса и наложит свой отпечаток на коммуникационное взаимодействие между сотрудниками, служащими государственных учреждений и обычными гражданами. Система электронного документооборота (или СЭД) на предприятии может предполагать использование ЭЦП.

Целесообразно выделить ряд преимуществ электронной цифровой подписи:

  • ЭЦП дает возможность сократить издержки фирмы благодаря удешевлению процедуры учета, доставки и хранения документов. При полном отказе от бумажного документооборота экономия денежных средств будет весьма ощутимой.
  • Использование электронной подписи сокращает время оформления сделок и значительно увеличивает скорость обмена документацией между сотрудниками, что приводит к повышению эффективности их работы.
  • ЭЦП минимизирует риск потери денежных средств, обусловленной кражей конфиденциальных данных.
  • Электронная цифровая подпись гарантирует достоверность корпоративной документации.
  • Все документы, имеющие ЭЦП, – это доказательства определенного соглашения, решения или факта. В случае возникновения спорной или конфликтной ситуации на основе документа, подписанного ЭЦП, можно провести объективное внутрикорпоративное расследование.

Система электронного документооборота в компании, использующая электронные подписи, является полноценной заменой кипам бумажных документов – заявлениям, служебным запискам, распоряжениям, счетам-фактурам, налоговым декларациям и т.д. Она удобна, надежна и экономически выгодна, поэтому будущее корпоративного документооборота, бесспорно, принадлежит ей.

Как внедрить ЭЦП?

В последние годы компании чаще стали использовать системы электронного документооборота, поддерживающие ЭЦП. Это позволило им снизить операционные расходы, повысить информационную безопасность и увеличить скорость обмена данными между подразделениями.

Чтобы внедрить ЭЦП в систему корпоративного электронного документооборота, им пришлось обзавестись программным обеспечением удостоверяющего центра и службы штампов времени, программно-аппаратным комплексом СЭД с интегрированной опцией «ЭЦП и шифрование», несколькими криптопровайдерами – независимыми модулями (программы или аппаратные комплексы), которые осуществляют криптографические операции в операционных системах Microsoft.

Читайте также:  Стандартные некорректные способы убеждения софизмы уловки

Службы штампов времени удостоверяют точное время создания документов в цифровом виде, подписанных ЭЦП. Штампы времени – документы, имеющие ЭЦП, – выполняют весьма важную функцию: они доказывают факт существования документа в определенный момент времени.

Службу штампов времени следует интегрировать в систему электронного документооборота, поскольку срок действия сертификата электронной подписи ограничен. Когда он заканчивается, ранее созданные документы теряют юридическую силу согласно закону №63-ФЗ «Об электронной подписи». Кроме того, становится невозможным определить, была ли ЭЦП создана, когда сертификат был еще действительным, или когда его срок действия закончился. Однако в случае интеграции СЭД со службой штампов времени можно легко проверить действительность сертификата на момент создания ЭЦП.

Чтобы внедрить ЭЦП, необходимо:

  • Получить сертификат и создать закрытый ключ.
  • Заключить договорное соглашение с удостоверяющим центром или разработать собственное программное обеспечение, позволяющее создавать сертификаты ключей подписей, осуществлять их аннулирование, приостановление действия, возобновление, а также вести реестр.
  • Разработать корпоративную нормативно-правовую базу, которая должна учитывать выбранную систему электронного документооборота и особенности делопроизводства в компании.

Для эффективного внедрения ЭЦП следует создать доверенную информационную среду в компании с помощью различных программных средств: необходимо использовать надежные антивирусные программы и регулярно их обновлять, загружать ОС с помощью «электронного замка».

Обеспечение информационной безопасности – это важнейшая задача для любой компании, которая желает минимизировать риски утечки конфиденциальных данных и возможных убытков, вызванных этой утечкой.

Можно сделать вывод: выгоды от использования электронной подписи стоят того, чтобы потратиться на ее внедрение.

Источник

Электронная цифровая подпись как способ защиты информации

Это комбинация цифровых данных, с помощью которых можно идентифицировать личность. Простой пример — логин и пароль, которые вводим на сайтах для авторизации, или смс-код, который присылают на телефон для входа в личный кабинет. Это электронная подпись для повседневной жизни.

Как получить

Простую электронную подпись (ПЭП) можно создать с помощью программного обеспечения, например:

Для оформления простого электронного сертификата (подписи) нужно создать документ, открыть меню «Файл», выбрать пункт «Защита документа», а потом выбрать «Добавить цифровую подпись». Если подпись создаётся впервые, программа выдаст запрос на получение программного обеспечения от партнеров. В этом случае поможет русскоязычная версия приложения «Карма», которое установит подпись в операционную систему.
После завершения всех действий нужно сохранить файл.

Приложение КриптоПро CSP

Этот метод сложнее, зато с помощью этого ПО можно создать усиленные ключи.

Ещё один способ — получить заверенную простую электронную подпись в удостоверяющем центре, где сертификат запишут на USB-токен. Этот вариант подойдёт тем, кто создаёт документы в текстовых программах: с помощью сертификата получится защитить документ от плагиата и подтвердить авторство.

Где можно применять

  • Для регистрации или авторизации на интернет-сайтах.
  • В качестве ключа доступа к файлам и базам данных, защищенным паролем.
  • Для заверения электронных документов.

Недостатки

Простая электронная подпись не имеет юридической силы. Её нельзя использовать для подачи документов в государственные инстанции, а также для участия в торгах по 44-ФЗ и 223-ФЗ.

Чтобы при помощи ПЭП можно было подписывать обычные документы (например, договоры с контрагентами), нужно составить соглашение о простой электронной подписи. Такое соглашение должно содержать пункты об обязанности соблюдать конфиденциальность сведений и правила определения подписавшего лица — подлинности подписи. И подписывать его придётся всем сторонам, участвующим в электронном взаимодействии. Иначе все документы, подписанные ПЭП, закон признает недействительными.

Неквалифицированная электронная подпись

Неквалифицированная электронная подпись (НЭП) — чаще всего это ключ, хранящийся на USB-носителе. Иногда НЭП может создать программа, в которой работаете (только она и опознает эту подпись). Функционал такой подписи тоже частично ограничен, но, по сравнению с ПЭП, она обладает рядом преимуществ.

Как получить

Юридические лица и ИП могут оформить неквалифицированную подпись в удостоверяющих центрах или даже сделать её самостоятельно при помощи опытного программиста.

Где можно применять

  • В рамках внутреннего документооборота компании.
  • Для взаимодействия с контрагентами, если заключено соглашение с указанием условий использования НЭП (аналогично ПЭП).

Для аккредитации и участия в торгах на электронных площадках с помощью неквалифицированной подписи поставщик может создавать заявки и осуществлять сделки при наличии дополнительного соглашения между сторонами. Однако НЭП позволяет совершать не все типы операций.

Недостатки

НЭП подходит скорее физлицам. Юридическим лицам и ИП неквалифицированная электронная подпись подойдёт только при внушительном объёме внутреннего или внешнего документооборота, в других ситуациях её функционала может быть недостаточно.

Читайте также:  Нужно ли замачивать волнушки перед засолкой горячим способом

Квалифицированная электронная подпись

Наиболее совершенный вид электронной подписи — усиленная квалифицированная подпись (КЭП). Это ключ, сформированный с помощью сертифицированных криптографических средств, который записывается на USB-носитель.

Ключ электронной подписи указан в сертификате, который выдаёт удостоверяющий центр, аккредитованный в Минкомсвязи.

КЭП состоит из двух частей:

  • проверочного сертификата для ключа подписи (USB-носитель);
  • лицензированного дистрибутива — установочного пакета специальной программы, который можно использовать в течение ограниченного периода действия ключа.

КЭП способна обеспечить надёжную защиту информации от посторонних лиц, а степень конфиденциальности данных владелец устанавливает сам. Данные будут защищены даже когда срок действия ключа истечёт.

Как получить

Для подачи заявления в аккредитованный удостоверяющий центр придётся собрать пакет уставных документов организации и документов, удостоверяющих личность владельца.

Для работы с квалифицированной подписью потребуются:

  • Флеш-накопитель.
  • Компьютерная программа, которая устанавливается с флэш-накопителя к ЭЦП. Например, КриптоПро.
  • Установленный личный сертификат.
  • Установленные библиотеки для электронной подписи.

Где можно применять

Если коротко — везде.

  • Для (пере)регистрации онлайн-кассы в ФНС.
  • Для удалённой подачи документов.
  • Для работы с государственными порталами, включая ФНС, ПФР и другие.
  • Для участия в коммерческих и государственных торгах или покупки имущества банкротов на множестве площадок.

Недостатки

У КЭП существует один недостаток: нужно ежегодно оплачивать сертификат электронной подписи.

Источник

Как защитить электронную подпись от мошенников: правила безопасности

Электронная подпись — надежный инструмент для работы. Но при неосторожном обращении она открывает возможности для злоумышленников. Какие правила нужно соблюдать при работе с электронной подписью, чтобы уберечься от мошенничества.

Что такое ЭП, КЭП и для чего они нужны

Электронная подпись (ЭП или ЭЦП) — это электронные данные в документе, которые заменяют собственноручную подпись. Больше всего возможностей у квалифицированной электронной подписи (КЭП). Предприниматели используют ее, чтобы отправлять отчетность в налоговую, участвовать в электронных торгах, получать госуслуги и вести электронный документооборот.

КЭП подтверждает, что документ подписан конкретным человеком и придает ему юридическую силу. Она также гарантирует, что в документ никто не вносил изменения после подписания.

КЭП выдают только удостоверяющие центры (УЦ), которые имеют аккредитацию Минкомсвязи. Например, ее можно получить в Удостоверяющем центре Контура или в Центре выдачи электронных подписей в Москве. УЦ соблюдают правила безопасности — этого от них требует закон и госорганы, — удостоверяют личность будущего владельца ЭП, проверяют его документы через государственные базы. А в случае нарушений УЦ несут материальную ответственность.

В УЦ владелец электронной подписи получает файлы, из которых состоит электронная подпись: закрытый ключ, открытый ключ и сертификат. Файлы записываются на токен (устройство, похожее на флешку) или в память компьютера. С помощью закрытого ключа пользователь подписывает документы, а открытый ключ и сертификат позволяют убедиться, что подпись поставил конкретный человек.

Закрытый ключ ЭП доступен только владельцу, и он должен держать его в тайне — этого требует 63-ФЗ «Об электронной подписи» (п.1 ч.1 ст.10 63-ФЗ). Именно из-за того, что владельцы передают закрытый ключ другим людям, возникают злоупотребления электронной подписью.

У Артема было несколько продуктовых магазинов. Он не нарушал закон и вовремя закрывал кредиты. Однажды бизнесмену позвонили из банка, а потом звонок продублировали коллекторы. Они утверждали, что у компании миллионный долг. Артем не поверил и пошел проверять кредитные истории: свою и компании. Выяснилось, что долг существует.

Два месяца назад бывший бухгалтер Артема оформил на компанию микрозайм на 1,2 миллиона рублей, перевел деньги себе и уволился. Оформить займ бухгалтер смог с помощью электронной подписи директора — Артем сам отдал ЭП, чтобы избавиться от рутинного подписания бумаг.

Как происходит мошенничество с электронной подписью

Злоумышленники могут завладеть ЭП по-разному. Первый вариант — умышленно получить подпись другого лица. Мошенники могут украсть закрытый ключ, который хранится на токене. Или владелец может оставить подпись в общественном месте или потерять. Бывает и так, что компания забывает отозвать ЭП у уволенного сотрудника: он покупает товар от имени фирмы и скрывается, оставив долг. Нужно знать, как отозвать подпись и делать это сразу после увольнения, даже если работник пользовался полным доверием.

Есть и другой вариант. Владелец может сам отдать подпись постороннему лицу, чтобы снять с себя часть нагрузки. Так было с Артемом из нашего примера: он не знал, как обезопасить себя от мошенничества, поэтому передал ЭП бухгалтеру, а потом получил миллионный долг.

Читайте также:  Химические способы анализа вещества

Продажа квартиры, подача декларации в ФНС и другие риски использования сертификата ЭП

Использование чужой ЭЦП по значимости сравнимо с использованием чужого паспорта. Она подтверждает личность человека и дает право совершать юридически значимые действия. Если ЭП попадет в руки злоумышленников, они смогут выдать себя за другое лицо и заключить сделку. Например:

  • оформить кредит на компанию;
  • вывести деньги из фирмы, а потом ликвидировать ее;
  • подать в налоговую поддельные декларации с баснословными суммами, чтобы получить возмещение НДС в размере нескольких миллионов;
  • продать чужую квартиру или офис. Сейчас этот сценарий невозможен для физических лиц — в августе 2019 года Росреестр ужесточил правила онлайн-сделок с физлицами, поэтому перед сделкой нужно получить согласие собственника на сделки с недвижимостью с использованием ЭП.

Как обеспечить безопасность электронной подписи

Подделать саму ЭП нельзя. В ее основе лежат криптографические технологии, которые не поддаются взлому. Переживать о том, как защитить свою подпись от подделки, не нужно, потому что мошенники действуют примитивнее — они подделывают документы, чтобы незаконно получить ЭП, или крадут подпись.

Рекомендуем соблюдать правила безопасности, которые помогут избежать мошенничества с цифровой подписью:

Нельзя передавать ЭП другим людям. Бухгалтер, заместитель и другие сотрудники не должны иметь доступа к закрытому ключу подписи, потому что могут подписать документ самовольно. Тогда доказать, что подпись поставил не владелец, а постороннее лицо, будет почти невозможно.

Если увольняется сотрудник, у которого есть ЭП, сертификат подписи надо сразу отозвать. Иначе уволенный работник может списать деньги со счета компании или вообще ликвидировать организацию, если раньше у него были такие полномочия. Отлично, если кадровая служба ведет учет сертификатов сотрудников — так проще следить, кому и когда выдана ЭП.

Токен с подписью и компьютер, где она используется, должны быть защищены паролем. Иначе злоумышленник сможет воспользоваться чужой ЭП, если украдет токен или получит доступ к компьютеру.

Если ЭП хранится на компьютере, он должен быть защищен от вирусов. Подозрительный файл, который пришел на почту, лучше не открывать: он может оказаться шпионской программой, которая скопирует все файлы, в том числе электронную подпись.

Если нужно отойти от компьютера, его лучше блокировать. Это гарантирует, что никто не воспользуется подписью в отсутствие владельца.

Нельзя передавать сканы и реквизиты паспорта ненадежным фирмам или оставлять их на подозрительных сайтах. Если сканы попадут в руки мошенников, они могут получить по ним электронную подпись от чужого имени. Скорее всего, сотрудники удостоверяющего центра увидят подделку и сертификат не выдадут, но лучше не рисковать. Если паспорт пропадет, об этом нужно сразу сообщить в полицию — заявление станет аргументом, если потребуется доказать, что ЭП на документ поставили мошенники.

Электронная подпись не гарантирует защиту компании от мошенников и воров. Но она создает для них серьезное препятствие — завладеть чужой ЭП намного сложнее, чем подделать подпись и печать на бумаге. Кроме того, с электронной подписью шансы остановить преступников и вычислить их намного выше:

Если у вас пропала подпись, то ее можно и нужно сразу же отозвать — тогда злоумышленники не смогут ей воспользоваться.

Проверить, что никто не выпустил на ваше имя электронную подпись, можно на портале Госуслуг — в личном кабинете в разделе «Настройки и безопасность» найдите вкладку «Электронная подпись». Госуслуги покажут, какие подписи были выпущены на вас, когда и каким удостоверяющим центром. Если увидите электронную подпись, которую не получали, обратитесь в техподдержку портала и в УЦ, который указан в этой подписи. УЦ по вашему заявлению отзовет сертификат подписи, и тогда ей больше никто не сможет воспользоваться.

Если мошенник все-таки смог без вашего ведома получить электронную подпись на ваше имя, то найти его будет проще, чем того, кто подделывает рукописные подписи. Ведь из сертификата электронной подписи можно узнать, кто, когда и в каком УЦ его получил. Также все удостоверяющие центры хранят копии документов, по которым выдавалась подпись, а некоторые — при выдаче сертификата делают фото будущего владельца ЭП с паспортом. Благодаря таким зацепкам, правоохранителям будет проще поймать мошенников.

Получите подпись в УЦ Контура — это надежно и безопасно. Мы работаем на рынке больше 17 лет и выдаем сертификаты подписей, соблюдая все меры безопасности, имеем аккредитацию Минкомсвязи и необходимые лицензии ФСБ России.

Источник

Оцените статью
Разные способы
© 2024 Разные способы.
Внимание! Информация, опубликованная на сайте, носит исключительно ознакомительный характер и не является рекомендацией к применению.