Использование ЭЦП при хранении книг продаж и покупок

Простая и неквалифицированная электронная подпись (ЭП) могут храниться на любых носителях, так как в Федеральном законе №63-ФЗ «Об электронной подписи» нет никаких указаний на этот счет. К вопросу хранения квалифицированной ЭП нужно отнестись серьезнее. Эта подпись приравнена к собственноручной, она используется в электронных торгах и при заключении важных сделок с контрагентами. Поэтому безопаснее хранить ее на защищенном носителе, сертифицированном ФСБ.

Защищенные носители для квалифицированной электронной подписи

Токен (eToken, Рутокен и др.)

Надежный и удобный носитель в виде USB-брелока. Подходит для большинства применений, кроме ЕГАИС. С его помощью можно отправить отчет в налоговую или Росстат, подписать договор и участвовать в электронных торгах. Чтобы подписывать документы с помощью токена, на компьютер нужно установить средство криптографической защиты информации (СКЗИ).

Токен со встроенным СКЗИ (Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta PKI/ГОСТ/SE)

Носитель, который похож на обычный токен, но обладает встроенным СКЗИ. Используя электронную подпись на таком носителе, вы сможете подписывать документы на любом компьютере без покупки дополнительного ПО.

Рутокен ЭЦП подходит для дистанционного банковского обслуживания, работы на госпорталах, сдачи отчетности и документооборота. Он не предназначен для работы с торговыми площадками и ЕГАИС. Рутокен ЭЦП 2.

0, как и JaCarta PKI/ГОСТ/SE, используются только для работы с ЕГАИС.

Дополнительная защита электронной подписи

Доступ к подписи по пин-коду

На каждом съемном носителе электронной подписи установлен пин-код — комбинация символов, после ввода которой вы получаете доступ к подписи.

Вводится пин-код каждый раз при подписании документа или любом другом обращении к ЭП. По умолчанию код стандартный, но вы можете убрать его совсем или поменять на свой.

Мы подготовили инструкцию по смене для Рутокен, eToken, JaCarta. Если нужно, обратитесь в УЦ, и наш специалист поможет сменить пин-код.

Защита подписи от копирования

Ключи электронной подписи по умолчанию разрешено копировать на другие носители. Если хотите, вы можете включить защиту от копирования. Для этого при оформлении заявки сообщите менеджеру, что вам нужен неэкспортируемый ключ электронной подписи. В этом случае скопировать подпись с носителя будет невозможно, так как при любой попытке экспорта файлов система будет выдавать ошибку.

Незащищенные носители для квалифицированной электронной подписи

Теоретически ЭП можно записать на любой съемный носитель. Но файлы на USB-диске, дискете или другом носителе никак не защищены. Если злоумышленники их украдут и расшифруют, то смогут подписывать любые документы. Поэтому мы не рекомендуем хранить файлы электронной подписи на подобных носителях.

Запись ЭП в реестр ноутбука — популярный, но тоже небезопасный вариант хранения подписи. Любой, кто получит доступ к системе, сможет подписывать документы или создать копию ключа. Если понадобится переехать на другое рабочее место, то для переноса ключа электронной подписи понадобится помощь квалифицированного специалиста. ЭП можно и вовсе потерять, если с компьютером что-то случится.

О чем нужно помнить при хранении квалифицированной эцп

Один носитель — для одного сотрудника Если записать ЭП разных сотрудников на один носитель, то нарушится конфиденциальность закрытых ключей. И по закону все подписи будут считаться недействительными.

Нельзя передавать свою ЭП другому человеку Электронная подпись — это аналог собственноручной. Она служит идентификатором владельца. Если отдать ЭП другому человеку, а он подпишет документ, с которым вы не согласны, то оспорить это решение не удастся.

Нельзя хранить ЭП в открытом доступе Квалифицированную электронную подпись нужно хранить в сейфе или другом защищенном месте. Носитель, который просто лежит на столе, легко украсть, чтобы подписать пару «лишних» документов. А когда вы это заметите, то даже в суде не сможете доказать свою непричастность.

При смене реквизитов меняйте и ЭП Компания изменила свое название, владелец ЭП уволился или поменял должность? Меняйте подпись. Не затягивайте с этим, чтобы не столкнуться с пачкой платежек, подписанных неизвестно кем, и не нарушать п. 1 ст.

2 Федерального закона №63-ФЗ «Об электронной подписи», требующий обеспечить точную идентификацию владельца ЭП. Для замены электронной подписи обратитесь к менеджеру, который ее выдавал. Или свяжитесь с удостоверяющим центром «Тензор» удобным для вас способом.

Вовремя продлевайте ЭП Если не продлить электронную подпись, она станет недействительной. И вы не сможете подписать ни один электронный документ, пока не получите новую ЭП в удостоверяющем центре. О том, как продлить электронную подпись, читайте в нашей статье.

Защитите рабочее место Антивирусное ПО защищает вас от любых неприятных сюрпризов. Вирусы способны имитировать поведение владельца подписи, чтобы подписать несколько нужных злоумышленнику документов. И доказать, что подпись ставили не вы, будет тяжело.

Не храните пароли на бумажках Это правило — основа компьютерной безопасности. Оно относится не только к электронным подписям, но и ко всем другим сферам. Пароль от токена, заботливо записанный на стикере возле компьютера, несказанно обрадует злоумышленника.

Хранение электронных документов: особенности, сроки, организация архива

Все большее число организаций активно использует электронный документооборот, а кто еще нет, все чаще задумываются о переходе на ведение своей документации в электронной форме. Этому способствуют и требования рынка, и желание контролирующих органов перейти на цифровой формат «общения».

Но даже электронный обмен не избавляет от необходимости где-то учетную документацию хранить, поэтому хранение электронных документов в организации – весьма актуальный вопрос на сегодня. Хранение документов в электронном виде должно быть очень хорошо организовано и защищено, ведь сбой такой системы грозит потерей годами накопленной информации за прошедшие периоды.

Рис.1 Схема архивного хранения ЭД

Способы хранения документов

Можно выделить три основных способа хранения архивов, при этом неважно, какое количество документов необходимо хранить, как часто проводится обмен документами с архивом и сколько сотрудников планирует с таким архивом работать.

Локальный архив. Доступный и простой способ хранения документации, которым, тем не менее, сложно управлять. Такой архив представляет собой папку на локальном ПК, к которой все сотрудники имеют доступ с возможностью вложить в папку файл, но без права на удаление файлов из этой папки.

Существует также модератор, которому предоставлена возможность удалить файлы. Модератор следит, чтобы вложения файлов сотрудниками происходило по четко определенным правилам. Основная проблема такого архива в том, что каждый сотрудник, включая новых сотрудников организации, который имеет к нему доступ, должен знать все правила работы с ним. Также нет гарантий безопасности такого архива.

Облачное хранилище. Предоставляется оператором ЭДО, который хранит все ваши данные в закрытом доступе по определенным паролям, заранее согласованным с оператором.

Имеется возможность разграничения доступа, а также можно согласовать политику хранения документации. Основной минус в том, что для доступа к файлам необходимо интернет-соединение.

Если его нет, то файлы не будут доступны.

Хранилище системы электронного документооборота. Такие системы изначально создаются для поддержки внутреннего документооборота, но ничто не мешает использовать их и для целей внешнего. Такой метод решает множество проблем.

Например, файлы находятся на внутренних серверах и к ним всегда есть доступ. Все пользователи имеют доступ к архиву на чтение, т.к. запись файлов выполняет сама система. Система же может использовать помещенные в архив файлы для повторного открытия пользователей, сохраняя связи.

При этом всегда можно ограничить определенным группам доступ к определенным документам.

Внедрение безбумажного документооборота (СЭД и ЭДО) предполагает создание электронного архива

Правила и сроки хранения электронных документов

Хранение электронных документов: как хранить документы, подписанные ЭЦП?

Различные бухгалтерские, хозяйственные и кадровые документы организации должны хранить от несколько лет до нескольких десятилетий. Например, бухгалтерские первичные документы придется хранить пять лет после года, в котором их в последний раз использовали для бухгалтерской отчетности.

Электронный документ должен быть доступен для чтения и через несколько лет после создания. Проблема в том, что компьютерная техника и программное обеспечение устаревают, а у редакторов и ридеров появляются новые версии.

Велика вероятность, что документ, который создан несколько лет назад, невозможно будет прочитать из-за отсутствия нужного устройства или программы. Например, сегодня сложно прочитать информацию с 3,5 дюймовой дискеты, хотя 10 лет назад это был распространенный носитель информации.

Хранить документ нужно в формате, в котором он был создан. Если поменять формат, электронная подпись не будет соответствовать документу. Соответственно, доказать его подлинность будет уже невозможно.

Как решить?

Решить эту проблему поможет периодическая перезапись информации с устаревших носителей на более современные. Что касается программного обеспечения, все крупные разработчики при разработке новых версий своих продуктов поддерживают форматы предыдущих версий.

Если обмен велся через сервис оператора ЭДО, то документы будут доступны в любой момент. Крупные операторы бессрочно хранят документы в «облаке» и позволяют просматривать их, выгружать и получать данные о сертификате электронной подписи (ЭЦП), с помощью которого они были подписаны. Нужен только доступ в интернет.

Как подтвердить юридическую значимость документов

В чем проблема?

Электронная подпись используется для определения лица, подписывающего документ, и защищает документа от изменений после подписания. Но сертификат электронной подписи имеет срок действия — максимум 15 месяцев, а подтвердить действительность электронной подписи может потребоваться через несколько лет.

Как решить?

Эту проблему решает сервис метки времени, который предлагают удостоверяющие центры и некоторые информационные системы. К электронной подписи в момент ее создания добавляется дополнительный атрибут — штамп, или метка времени.

Также сервис прикрепляет к подписанному документу список отозванных на этот момент сертификатов. Подписывая список электронной подписью, сервис  подтверждает, что подпись является действительной на момент подписания.

Подлинность подписи в этом случае можно будет подтвердить и после окончания срока действия самого сертификата. Электронная подпись с меткой времени называется усовершенствованной.

Такая подпись не только упрощает архивное хранение электронных документов, но и является условием для электронного документооборота с информационными системами некоторых государственных служб (например, ГИС ГМП, ФТС) и электронными торговыми площадками (Фабрикант, ТЭК-Торг).

Получить электронную подпись

Хранение ЭЦП в организации

Место хранения электронного ключа должно быть защищено от чужого доступа. ЭЦП состоит из двух частей. Открытая форма состоит из кода, доступного широкому кругу лиц.

Закрытая форма зашифрована и скрыта в базе данных регистрации. В законодательстве не прописано четко, где хранится ЭЦП после получения подписантом.

Указано правило неразглашения информации и форма назначения ответственных лиц.

Рекомендуемая форма сбережения данных — на жестком диске ПК. К серверу с подобной информацией должен быть ограничен доступ. Установлены внешние и внутренние системы защиты.

Недостатки хранения на ПК:

ЭЦП устанавливается на все компьютеры, с которых пользователь будет отсылать документацию. Если владелец забудет закрыть паролем ПК после пользования, ключи легко списываются

Экспорт/импорт закрытого ключа при физическом переезде на другое место требует прав доступа и квалификации.

Рекомендованное хранение ключей ЭЦП — специализированные хранилища Rutoken и e-Token. Они представляют собой USB-брелоки и смарт-карты. Доступ к этим хранилищам осуществляется только по ПИН-коду. Они удобны для переноса, просты в обращении. Все операции производятся непосредственно в хранилище. Ключ не попадает во внешние базы.

Достоинствами этого метода хранения являются:

защита от чужого проникновения

доступ к любому устройству для работы без сертификата

автоматизация процесса входа по СЭД и системе компьютера

Единственным неудобством можно считать дополнительные расходы на содержание хранилищ. Но при значительном увеличении безопасности это малая доля дискомфорта.

Требования к ответственности со стороны пользователя

Законом не указано, как хранить ЭЦП. Однако четко прописаны требования к ответственности со стороны владельца. В законе «Об электронной цифровой подписи» указаны четкие требования.

Требования законодательной базы предписывают:

1. Стороны электронного взаимодействия сохраняют конфиденциальность ЭЦП, обязуются защищать от использования без согласия владельца.
2. Владельцы уведомляют центр сертификации ключа о нарушении конфиденциальности ЭЦП, утрате или получении информации третьими лицами.
3. Запрещается использовать скомпрометированный ключ.
4. Применять методы проверки и соответствия электронного ключа.

Федеральный источник предписывает правила хранения ЭЦП с доступом к проверке. Программное обеспечение должно быть прописано и давать ключи доступа центру сертификации ключа. Выдавший ключ орган имеет право проверить место хранения с последующей инспекцией корректности внесения его в документы.

Также дается доступ к электронной документации. Сроки хранения цифровых носителей подписи определяются номенклатурой дел и содержанием документа. Описываются четкие правила хранения ЭЦП в организации. Со стороны владельца подписи должна быть обеспечена защита данных.

Если ключ не находится в хранилище, он должен быть установлен на каждый используемый ПК. Оговаривается круг лиц, имеющих доступ к документации и документообороту. Предполагается, что ответственность за использование ЭЦП в организациях принимают руководящие должности и главный бухгалтер.

Эти лица назначаются специальным протоколом.

Информация о них вносится в архив центра контроля и выдачи ключей. Метод, как хранить электронную подпись в рамках одного предприятия, оставляется на выбор владельца.

Ответственность и передача прав пользования

Хранение ЭЦП в организации требует назначения лиц, наделенных правом использования электронной цифровой подписи. Законодательством указан порядок хранения ЭЦП в организации. Приказ о назначении ответственного за ЭЦП включает информацию ФИО сотрудников. Указываются полномочия и выполняемые функции. Прописывается регламент пользования электронной подписью.

Внутренним документом назначается ответственный за ЭЦП приказ подписывается вместе с соглашением о неразглашении информации. Назначенному лицу или лицам вычитывают инструктаж по пользованию ЭЦП. Им рассказывается порядок хранения ЭЦП и защиты доступа данных от третьих лиц. Объясняются правила внесения ключа в документ.

От пользователя требуется:

• сохранение тайны информации и конфиденциальность
• процесса обмена информацией

хранение закрытых ключей от чужих лиц

1. соблюдение пунктов правил эксплуатации АРМ системы
2. документооборота

В документе не указывается, где хранится электронная подпись. Эту информацию сообщают в устном порядке во время инструктажа.

За использование ЭЦП ответственность несет не только назначенное лицо, но и организация. Если при передаче прав на применение подписи нарушается порядок информирования и введения в должность, меры применяются к обеим сторонам. Контроль над исполнением положений приказа остается за руководителем (владельцем) подписи.

Чужая ЭЦП: законодательная ответственность

В законодательстве РФ описана ответственность за использование чужой ЭЦП. Не имеющие официального разрешения лица с доступом к чужому электронному ключу попадают под уголовную, административную и гражданско-правовую ответственность, оговоренную соответствующими кодексами.

В случае обнаружения нарушений уличенные лица несут уголовную ответственность электронная подпись считается скомпрометированной. Организация или руководство должны донести до всех заинтересованных лиц эту информацию. Если действия личности причинили материальные убытки, ей вменяется возместить ущерб.

Принимающая электронный ключ по договору личность несет полную ответственность за его хранение.

Если вам необходима консультация о приобретении и выборе ЭЦП – обратитесь к нашим специалистам!

Учет и хранение электронных счетов-фактур

Согласно ст. 169 НК РФ, плательщики налога на добавленную стоимость для учета сумм налога обязаны вести книги покупок и книги продаж. Организации-посредники, а также лица, выставляющие (получающие) счета-фактуры при осуществлении деятельности по договору транспортной экспедиции или при выполнении функций застройщика, должны вести журналы учета полученных и выставленных счетов-фактур.

Формы книг и журнала, а также порядок их ведения закреплены в постановлении Правительства РФ от 26.12.2011 № 1137. Согласно постановлению, книги и журналы можно вести как в электронном, так и в бумажном виде. При этом единой регистрации подлежат все счета-фактуры: первичные, исправленные, корректировочные, составленные как на бумажном носителе, так и в электронном виде.

Книги покупок и книги продаж

Скачать бланк формы книги Покупок

Скачать бланк формы книги Продаж

В книге продаж счета-фактуры регистрируются в хронологическом порядке в том налоговом периоде, в котором возникает налоговое обязательство. В книге покупок подлежат регистрации счета-фактуры по мере возникновения права на вычет. Поскольку книги продаж и покупок служат лишь для учета сумм налога, то даты выставления и получения счетов-фактур в них не отражаются.

Корректировочный счет-фактура к доплате регистрируется продавцом в книге продаж, а покупателем в книге покупок. Корректировочный счет-фактура к уменьшению продавцом должен быть занесен в книгу покупок, а покупателем — в книгу продаж.

Корректировочный счет-фактура регистрируется на сумму разницы, причем все дельты (суммовые разницы) к уменьшению или доплате записываются в документ с положительным знаком.

Делается это для того, чтобы не возникало вычета сумм при занесении корректировочного счета-фактуры в книги покупок и продаж.

Если по счету-фактуре или корректировочному счету-фактуре производится исправление, то запись по исходному документу должна быть аннулирована. В случае если налоговый период еще не закрыт, в книгу заносится аналогичная строка со знаком минус, и далее вносится запись по исправленному документу.

Таким образом, значение по ошибочному счету-фактуре или корректировочный счет-фактура обернется в ноль, а исправленное займет его место. В случае если налоговый период, в котором был зарегистрирован ошибочный документ, уже завершен, то аннулирование производится на дополнительном листе книги.

 

Журналы учета полученных и выставленных счетов-фактур

Скачать бланк формы журнала учета полученных и выставленных счетов-фактур

Данный регистр состоит из двух частей, в которых раздельно регистрируются выставленные и полученные счета-фактуры (в том числе корректировочные и исправленные). В части 1 «Выставленные счета-фактуры» регистрируются документы по дате выставления счетов-фактур.

В случае, когда счета-фактуры не передаются контрагентам, регистрация происходит по дате составления. В части 2 «Полученные счета-фактуры» регистрируются счета-фактуры по дате их получения.

Таким образом, в отличие от книг, в журнале отражаются даты выставления и получения счета-фактуры.

Обязанность вести журналы учета не зависит от того, является ли посредник плательщиком НДС. Посредники, застройщики и экспедиторы не платят НДС и не принимают НДС к вычету по счетам-фактурам, зарегистрированным в журналах. Ежеквартально посредники представляют журналы в налоговые инспекции.

На основании полученных данных инспекции могут контролировать, соответствуют ли суммы НДС, начисленные, например, принципалами (комитентами) при продаже товаров, суммам налога, принимаемым к вычету покупателями этих товаров.

И, наоборот, соответствуют ли суммы заявленных вычетов принципалами (комитентами) по приобретенным агентами товарам, суммам НДС, которые продавцы этих товаров начислили к уплате в бюджет.

Учет на стыке периодов

Согласно п. 1.1 ст. 172 НК РФ (в ред. федерального закона от 29.11.

2014 N 382-ФЗ), при получении счета-фактуры покупателем от продавца после завершения налогового периода, в котором товары приняты на учет, но до момента представления налоговой декларации за указанный период покупатель вправе принять к вычету сумму налога в отношении таких товаров в том налоговом периоде, в котором указанные товары были приняты на учет. Если же счет-фактура получен после подачи декларации, то относить его нужно к новому налоговому периоду.

Хранение

Электронные счета-фактуры — это оригиналы документов и хранить их нужно в электронном виде (п. 1.13 Порядка). В Диадоке все документы хранятся вместе с электронными подписями, подтверждениями оператора и извещениями. Пользователь имеет к ним доступ даже после окончания оплаченного периода работы в системе: в Диадок можно в любой момент зайти по логину и паролю.  

Проблемы долговременного хранения документов, подписанных электронно-цифровой подписью или ее аналогами

Ни государственные мужи, ни специалисты информационных технологий, как правило, не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления. Документы, помимо прочего, фиксируют разнообразные права и обязательства государства, частных лиц и организаций, происшедшие события, принятые решения и последствия совершенных действий.

Такие документы подлежат постоянному или длительному хранению, и вот именно здесь ЭЦП из полезного для оперативной работы инструмента превращается в занозу.

В статье описываются виды документов, образующихся в деятельности организаций при использовании ЭЦП, а также методы обеспечения сохранности электронных документов с ЭЦП, применяемые в отечественной и международной делопроизводческой практике.

На сегодняшний момент ЭЦП и ее аналоги все активнее внедряются в жизнь и используются в деловых процессах, несмотря на несовершенство законодательства.

В оперативной работе ЭЦП удобна и эффективна, но долговременное хранение документов, подписанных электронной подписью, представляет собой серьезную проблему, которая до конца нигде в мире не решена.

Поскольку технология еще очень молода, то и исследований в области обеспечения сохранности электронных документов с ЭЦП немного.

Российские государственные органы, регламентируя оперативную работу с электронными документами, не задумываются, что с ними будет происходить в дальнейшем. При установлении сроков хранения не учитываются их особенности, а зачастую вообще игнорируется их существование.

Распространение установленных Законом «Об архивном деле в Российской Федерации» сроков ведомственного хранения на электронные документы неминуемо приведет к потере значительной части информации, поскольку требуется иная организация хранения[1].

Позаботиться о длительном хранении электронных документов нужно в момент их создания.

Есть несколько важных вопросов, которые организации придется решать при долговременном хранения документов с ЭЦП:

• Как обеспечить проверку ЭЦП на протяжении длительного периода времени, и нужно ли это? Как доказывать аутентичность, целостность и т.д. соответствующих электронных документов?

  На вопрос о необходимости хранения документов с ЭЦП ответ дает действующее законодательство и нормативные акты, которые предусматривают как минимум среднесрочное (5–10 лет) сохранение электронных документов с возможностью проверки ЭЦП. На большую часть остальных вопросов ответов пока нет, но уже есть требования, которые нужно исполнять.

• Что делать с подписанными электронным образом документами постоянного срока хранения? В отличие от бумажных, которые могут веками лежать на архивных полках, электронные документы не могут храниться в неизменном виде более 7–10 лет. После этого срока или теряет надежность носитель информации, или устаревает оборудование, программное обеспечение или формат, в котором документ записан. Именно поэтому говорить о 75 годах хранения в организации электронных документов просто немыслимо — принимать на хранение будет уже нечего. Только немногие организации располагают кадрами, опытом и ресурсами, необходимыми для организации такой работы.
• ЭЦП не неуязвима, и со временем может быть скомпрометирована и/или подделана. Подделка «старых» ЭЦП может иметь не менее катастрофические последствия, чем подделка действующих. Уже сейчас законодательство допускает подписание цифровой подписью документов, имеющих существенное финансовое и юридическое значение. Нужно подумать о том, как защититься от появления через 10–20 лет массы подложных электронных документов, якобы относящихся к началу 21 века и заверенных «правильными» ЭЦП. Если не позаботиться о соответствующих организационных и иных мерах защиты сегодня, то впоследствии возможны крупные неприятности.

Требования к организации делопроизводства и документооборота

Для того, чтобы интересы организации были должным образом защищены, необходимо заранее продумать, в каком объеме и каким образом информация об ЭЦП должна быть отражена в самом документе и его метаданных.

Национальные Архивы США еще в 2000 году включили в «Руководство по управлению документами для агентств, использующих электронные подписи»[2]  требования о том, что все подписанные электронным образом документы при выводе в человеко-читаемом виде (на бумагу или на экран монитора) должны содержать:

• имя отправителя или лица, который этот документ подписал,
• дату и время подписания,
• ясно сформулированные намерения подписавшего, т.е. текст типа:
  • «одобряю»,
  • «отправитель берет на себя ответственность за транзакцию»,
  • «отправитель уполномочен подписать за кого-то еще» и т.п.

Эти требования нацелены на то, чтобы обеспечить удобство работы с документами в течение длительного времени, в том числе и тогда, когда уже не будет возможности осуществить проверку ЭЦП.

Многие наши организации, расшифровывая ЭЦП, тоже включают в печатный вариант документа данные о лице, его подписавшем, и дату подписания. Третье требование у нас, как правило, не применяется, а жаль — «электронная резолюция», из которой ясны намерения подписавшего, делает документ более «неотказуемым».

Требования к документообороту и к деятельности службы ДОУ направлены на то, чтобы обеспечить сохранение всех необходимых документов. Для этого служба ДОУ организации должна:

• включать в систему документооборота организации все документы, возникающие в процессе использования ЭЦП и инфраструктуры открытых ключей, а также сохранять метаданные, достаточные для поиска и работы с ними;
• сохранять данный набор документов в течение того же периода времени, что и сам документ с ЭЦП.

Хранение на автономных компьютерах не рекомендуется, поскольку при этом:

• не обеспечивается целостность документов, и они могут быть модифицированы пользователем;
• документы доступны только отдельным пользователям, и в результате они не становятся корпоративным ресурсом;
• возникают сложности с установлением для таких документов сроков хранения, проведением экспертизы ценности и выделением их на уничтожение.

Лучше всего организовать хранение всего комплекта документов, связанных с использованием ЭЦП, в системах электронного документооборота, поскольку такие системы позволяют:

• обеспечить защищенное хранение, контроль и протоколирование доступа к ним;
• назначить и отследить сроки хранения;
• провести контролируемое конфиденциальное уничтожение по истечении сроков хранения.

Американские специалисты отмечают, что технологии, связанные с использованием ЭЦП, пока еще очень молоды и не прошли «огонь и воду» судебных разбирательств. Поэтому рекомендуется подумать о том, как «подстелить соломку» и запастись достаточным комплектом документов на тот случай, если придется идти в суд:

Для каждой информационной системы, в которой используется ЭЦП, необходимо разработать политику (регламент) и процедуры. Необходимо описать в деловых и юридических терминах процессы, методы и технологию работы таким образом, чтобы каждая операция была зафиксирована аккуратно, точно и надежно. Поскольку этот документ в случае необходимости придется представлять в суд, в нем не должно быть привилегированной юридической информации, результатов анализа рисков и других конфиденциальных материалов;

Для каждой операции рекомендуется создавать суммарный (итоговый) документ в виде, понятном любому обывателю. Цель создания такого документа — в случае спора или судебного разбирательства доказать суду и участникам судебного процесса, что проведение каждой операции соответствует правилам, регламентам и процедурам, принятым в организации. Он должен быть составлен на языке, «понятном простому человеку», без использования сложных технических терминов и формулировок и содержать следующую информацию:

• сообщение о том, что ЭЦП успешно проверена,
• дату и время проверки документа,
• идентификатор операции,
• ссылку на внутренние нормативные документы, регламентирующие работу (включая дату и версию документа),
• другую информацию, которую организация сочтет необходимым зафиксировать.

Документирование использования электронно-цифровых подписей

в организации

Любое изменение в системе документооборота организации, как правило, влечет за собой изменение состава документации.

Внедрение новых технологий не является исключением: в организациях возникает целый комплект новых, ранее не существовавших документов, которые тоже необходимо брать на учет и сохранять в строгом соответствии с законодательством, с тем, чтобы в любых спорных ситуациях организация могла доказать свою правоту.

В процессе передачи информации могут создаваться и сохраняться следующие документы:

• В организациях-отправителях и получателях:
  • собственно передаваемый документ,
  • ЭЦП,
  • сертификат ключа отправителя,
  • запросы/ответы по проверке сертификатов,
  • внутренние нормативные документы, регламентирующие порядок использования сертификатов ключей,
  • соглашения или договора между участниками информационного обмена об использовании ЭЦП,
  • уведомления об отзыве или компрометации сертификатов открытых ключей,
  • квитанции о принятии документа либо об отказе в приеме документа,
  • документы, фиксирующие конфигурацию используемого программного обеспечения,
  • документы по тестированию и проверке программного обеспечения.
• В удостоверяющих центрах:
  • внутренние нормативные документы удостоверяющего центра, определяющие правила работы с сертификатами ключей (в том числе порядок организации выдачи сертификатов и порядок хранения аннулированных сертификатов),
  • реестры сертификатов ключей,
  • списки отозванных и утративших силу сертификатов,
  • документация взаимного удостоверения удостоверяющих центров,
  • протоколы и журналы аудита информационной системы удостоверяющего центра.

Если ЭЦП используется в корпоративной информационной системе и владельцем удостоверяющего центра является одна из организаций — участников информационного обмена, то эта организация должна документировать деятельность своего удостоверяющего центра.

Перечисленные списки документов отражают наиболее простой вариант использования инфраструктуры открытых ключей. Если используются более сложные варианты[3], то, соответственно, количество документов возрастает.

Правильно задокументировать работу с ЭЦП — задача важная, но еще важнее организовать надежное хранение всех документов, в строгом соответствии с требованиями законодательства. Проблем здесь еще больше, и решить их очень и очень непросто.

Организация хранения документов с ЭЦП

Говорить о применении ЭЦП в отрыве от вопросов организации документооборота и архивного хранения документов, мягко говоря, нелогично, — но почему-то именно так принято поступать.

Ни государственные мужи, ни специалисты информационных технологий, как правило, не задумываются о том, что документы нужны не только для оперативной деловой деятельности и управления.

Они, помимо прочего, фиксируют разнообразные права и обязательства государства, частных лиц и организаций, произошедшие события, принятые решения и последствия совершенных действий. Такие документы подлежат постоянному или длительному хранению, и вот именно здесь ЭЦП из полезного для оперативной работы инструмента превращается в занозу.

• Чем больше электронных документов использует в своей работе организация, тем раньше она сталкивается с проблемами в области документооборота и архивного хранения.
• Организации необходимо учитывать требования, которые имеются в законодательных и нормативных актах, регулирующих работу с ЭЦП, по организации хранения ряда документов.
• Фрагмент документа

Федеральный закон «Об электронной цифровой подписи» от 10.01.2002 г. № 1-ФЗ Статья 7. Срок и порядок хранения сертификата ключа подписи в удостоверяющем центре 1. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре определяется договором между удостоверяющим центром и владельцем сертификата ключа подписи. При этом обеспечивается доступ участников информационной системы в удостоверяющий центр для получения сертификата ключа подписи. 2. Срок хранения сертификата ключа подписи в форме электронного документа в удостоверяющем центре после аннулирования сертификата ключа подписи должен быть не менее установленного федеральным законом срока исковой давности для отношений, указанных в сертификате ключа подписи. По истечении указанного срока хранения сертификат ключа подписи исключается из реестра сертификатов ключей подписей и переводится в режим архивного хранения. Срок архивного хранения составляет не менее, чем пять лет. Порядок выдачи копий сертификатов ключей подписей в этот период устанавливается в соответствии с законодательством Российской Федерации. 3. Сертификат ключа подписи в форме документа на бумажном носителе хранится в порядке, установленном законодательством Российской Федерации об архивах и архивном деле.

По правилам делопроизводства срок хранения устанавливается в зависимости от значимости документа и информации, которая в нем содержится, и не зависит от вида носителя и от наличия ЭЦП.

Хранение документов, подписанных ЭЦП, должно быть организовано таким образом, чтобы гарантировать возможность проверки подлинности подписи, а удостоверяющий центр должен будет обеспечить такой же срок хранения своих документов, оборудования и программного обеспечения — и в рабочем состоянии!

Если организация сдает какую-либо отчетность в электронном виде, то необходимо определить порядок ее сохранения в организации, с тем, чтобы обеспечить целостность, подлинность и аутентичность электронных документов.

Фрагмент документа

Порядок представления налоговой декларации в электронном виде по телекоммуникационным каналам связи (утвержден приказом МНС России от 02.04.2002 г. № БГ–3–32/169) 2. 3. При представлении налоговой декларации в электронном виде налогоплательщик соблюдает следующий порядок электронного документооборота: после подготовки информации, содержащей данные налоговой декларации, налогоплательщик подписывает ее ЭЦП уполномоченного лица налогоплательщика и отправляет в зашифрованном виде в адрес налогового органа по месту учета; в течение суток в адрес налогоплательщика налоговый орган высылает квитанцию о приеме декларации в электронном виде. После проверки подлинности ЭЦП уполномоченного лица налогового органа налогоплательщик сохраняет документ в своем архиве.

Пока еще не решен вопрос о том, как государство будет выполнять свои обязанности, вытекающие из ст.15 п.

2 Закона об ЭЦП, в соответствии с которой при ликвидации негосударственных удостоверяющих центров их документация, а также обязанности по проверке «старых» подписей (см. ст.4 п.1) переходят к «уполномоченному федеральному органу исполнительной власти».

Сейчас вопросами удостоверяющих центров занимается Федеральное агентство по информационным технологиям (ФАИТ) при Мининформсвязи.

В Положении «О Федеральном агентстве по информационным технологиям», утвержденном постановлением Правительства Российской Федерации от 30 июня 2004 г. № 319 в разделе о полномочиях этого органа исполнительной власти записано, что он должен организовывать:

• подтверждение подлинности электронных цифровых подписей уполномоченных лиц удостоверяющих центров в выданных ими сертификатах ключей подписей;
• ведение единого государственного реестра сертификатов ключей подписей удостоверяющих центров и реестра сертификатов ключей подписей уполномоченных лиц федеральных органов государственной власти, а также обеспечивает доступ к ним граждан, организаций, органов государственной власти и органов местного самоуправления.

1. Но вот кто будет отвечать за остальную документацию, кто будет ее хранить и, самое главное, подтверждать подлинность ЭЦП — неясно до сих пор!
2. В интернете чаще всего можно встретить оптимистические рассказы о том, как хорошо и удобно хранить документы, подписанные ЭЦП. Никаких проблем, одни удобства и сплошное удовольствие:
3. Пример 1

Из раздела «Электронная цифровая подпись» сайта «Межрегиональная интернет-торговая сеть» (http://www.e-mits.ru/mits/mits.nsf/pages/ecpabout? OpenDocument): «Документы на бумажных носителях с подписью и печатью можно хранить, а можно ли хранить электронный документ, подписанный ЭЦП?