Хранение электронной подписи: правила, требования и порядок учета ЭЦП в организации

Что такое хранение электронной подписи и почему это важно

Хранение электронной подписи — это порядок, по которому компания получает, выдает, использует, защищает и отзывает средства подписания. В него входят носители, PIN-коды, сертификаты, журналы, ответственные лица и действия при утере или компрометации. Для бизнеса ЭЦП — не флешка, а инструмент, через который подписывают договоры, отчеты, закупочные документы, кадровые приказы и акты.

Если компания использует электронный архив или ECM-платформу, например Анарта, система помогает хранить подписанные документы, контролировать доступ, версии и историю действий. Но ключи ЭЦП нужно учитывать отдельно: архив защищает документы, а регламент ЭЦП — право подписывать.

Чем отличаются электронная подпись, ключ электронной подписи и сертификат

Электронная подпись — информация, связанная с электронным документом и используемая для определения подписанта. Ключ электронной подписи создает подпись, ключ проверки подтверждает ее подлинность, а сертификат связывает ключ проверки с владельцем. Эти определения закреплены в 63-ФЗ. Проще: закрытый ключ подписывает, открытый ключ проверяет, сертификат показывает владельца.

Хранение электронной подписи по закону

63-ФЗ требует обеспечивать конфиденциальность ключей, не допускать их использование без согласия владельца, уведомлять удостоверяющий центр о нарушении конфиденциальности не позднее одного рабочего дня и не применять ключ при подозрении на компрометацию. Поэтому организации нужен внутренний порядок: кто владелец, где носитель, кто ведет журнал и что делать при увольнении или утере.

Электронная подпись: правила хранения и ответственность владельца

Владелец отвечает за сохранность ключа. Нельзя передавать носитель коллеге, диктовать PIN-код помощнику или оставлять токен в общем шкафу. Если документ подписан действующим ключом, доказать отсутствие воли на подписание бывает трудно. Рабочая модель — персональный носитель, отдельный пароль, понятные полномочия и процедура отзыва.

Требования к хранению электронной подписи

Основные требования к хранению электронной подписи сводятся к защите закрытого ключа: ограничить физический доступ, запретить копирование контейнера, использовать сложный PIN, защищать рабочее место и контролировать удаленные подключения. Для КЭП применяют средства, соответствующие установленным требованиям. Приказ ФСБ России №796 утверждает требования к средствам электронной подписи и средствам удостоверяющего центра.

Конфиденциальность ключа, защита доступа и предотвращение компрометации

Компрометация — это не только доказанная кража. Достаточно потери токена, раскрытия PIN-кода, заражения компьютера, неизвестного удаленного входа или увольнения сотрудника, у которого остался доступ. Действия лучше описать заранее: прекратить использование, сообщить ответственному, уведомить УЦ, подать заявление на прекращение действия сертификата и внести запись в журнал.

Варианты хранения электронной подписи

Вариант хранения зависит от задач и рисков. Для отчетности, торгов и внешнего документооборота чаще используют токен или другой защищенный носитель. Для распределенной работы применяют облачные сценарии, если они допустимы для конкретного процесса. Хранение на компьютере удобно, но несет больше рисков: доступ может получить другой пользователь, администратор или вредоносная программа.

Выберите вариант хранения электронной подписи: токен, компьютер, облако или защищенный носитель

Токен отделяет ключ от компьютера и требует PIN-код. Защищенный носитель снижает риск копирования. Компьютер подходит только при жестком контроле доступа. Облако удобно для мобильной работы, но важно проверить, где хранится ключ, как подтверждается операция и кто ведет журнал. Для договоров, отчетности, закупок и конфиденциальных данных лучше выбирать вариант, где ключ нельзя незаметно скопировать.

Хранение ключа электронной подписи

Хранение ключа электронной подписи — самая чувствительная часть процесса. Сертификат можно передать контрагенту для проверки, а закрытый ключ должен оставаться у владельца или в защищенной среде, где владелец подтверждает каждое действие. В регламенте стоит запретить копирование контейнера на личные устройства, отправку ключевых файлов по почте и хранение PIN рядом с носителем.

Где можно хранить закрытый ключ и почему нельзя передавать его третьим лицам

Закрытый ключ можно хранить на токене, смарт-карте, защищенном носителе, в инфраструктуре удостоверяющего центра или в корпоративной системе, если она соответствует типу подписи и требованиям безопасности. Закон также предусматривает сценарии хранения ключей квалифицированной подписи в аккредитованном УЦ по поручению владельца. Передача ключа третьим лицам разрушает персональный смысл ЭЦП.

Хранение сертификата электронной подписи

Сертификат электронной подписи содержит сведения о владельце, удостоверяющем центре, сроке действия, ключе проверки и средствах подписи. 63-ФЗ указывает, что в сертификате должны быть уникальный номер, даты действия, идентификационные сведения владельца и ключ проверки. Сам сертификат не позволяет подписывать документы без закрытого ключа, но его актуальность нужно контролировать.

Хранение сертификата ключа электронной подписи и срок его действия

Срок действия указан в сертификате. Организации лучше контролировать его заранее, например за 30–45 дней до окончания, чтобы успеть пройти идентификацию, получить новый носитель и обновить доступы. В журнале фиксируют номер сертификата, владельца, должность, дату выдачи, срок действия, место хранения носителя, дату возврата, блокировки или отзыва.

Хранение квалифицированной электронной подписи

КЭП требует более строгого контроля. Квалифицированный сертификат должен быть выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на дату выдачи; также проверяется срок действия сертификата и ключа. Для компании это означает проверять аккредитацию УЦ, полномочия владельца и основания подписания.

Особенности хранения КЭП на защищенных носителях и в удостоверяющем центре

На защищенном носителе КЭП находится у владельца, а доступ ограничивается PIN-кодом и техническими средствами. В удостоверяющем центре возможна модель, когда ключ хранится в защищенной инфраструктуре, а владелец подтверждает подписание через установленную процедуру. В любом варианте важны аутентификация, журналирование и возможность доказать, какой документ видел подписант.

Хранение электронной подписи в организации

Хранение электронной подписи в организации должно быть связано с кадровыми, юридическими и ИТ-процессами. Нужны приказ, список владельцев, порядок получения и возврата, работа с паролями и процедура инцидентов. Роли лучше разделить: ИТ отвечает за рабочие места, ИБ — за риски, кадровая служба — за события по сотрудникам, юристы — за полномочия.

Правила хранения ЭЦП в организации и порядок назначения ответственных лиц

Ответственных назначают приказом. В нем указывают, кто ведет журнал, взаимодействует с УЦ, контролирует сроки, принимает носители при увольнении и инициирует отзыв сертификатов. Отдельно нужно описать замещение: если бухгалтер в отпуске, его токен не передают замещающему сотруднику. Замещающий подписывает своим ключом в пределах полномочий.

Учет и хранение электронных подписей

Учет и хранение электронных подписей помогают видеть, кому выдан носитель, где он находится, когда истекает сертификат и какие полномочия связаны с владельцем. Без учета компания может не заметить токен у уволенного сотрудника или активный сертификат без актуальных полномочий. В журнал включают ФИО, должность, тип ЭЦП, номер сертификата, срок, носитель и основание выдачи.

Журналы учета, выдача, возврат, блокировка и отзыв сертификатов

Журнал нужен для восстановления цепочки событий: кто получил носитель, когда вернул, почему сертификат заблокировали или отозвали. Конкуренты по теме также выделяют учет как отдельный инструмент контроля при переводах, увольнениях и смене полномочий. Процесс должен быть коротким: выдали — записали; изменились полномочия — проверили; случился инцидент — остановили использование.

Хранение ЭЦП в бюджетной организации

В бюджетной организации ЭЦП используется в закупках, отчетности, казначейских операциях, кадровых документах и межведомственном обмене. Ошибка может повлиять не только на внутренний документооборот, но и на исполнение государственных функций. Поэтому нужны приказы, матрица полномочий, разграничение доступа, учет носителей и регулярная сверка сертификатов с фактическими должностями сотрудников.

Дополнительные требования к контролю доступа, регламентам и внутренним приказам

Для бюджетного сектора важно закрепить, кто подписывает закупочные заявки, контракты, отчетность, кадровые документы и ответы в государственные системы. Техническая возможность подписания не должна быть шире служебных полномочий. Отдельно учитывают машиночитаемые доверенности: Постановление Правительства №223 устанавливает требования к их хранению, использованию и отмене.

Порядок хранения электронной подписи

Порядок хранения электронной подписи должен отвечать на практические вопросы: как получить ЭЦП, кто согласует заявку, где хранить носитель, что делать при отпуске, переводе, увольнении, потере, компрометации, истечении срока и смене полномочий. Также нужно сохранять подписанные файлы, сертификаты, метки времени, квитанции операторов, журнал действий и сведения о полномочиях подписанта.

Что включить в локальный регламент по использованию и хранению ЭЦП

В регламент включают термины, виды ЭЦП, роли участников, порядок выпуска, выдачи, учета, хранения, применения, возврата, блокировки и отзыва, требования к PIN-кодам, запрет передачи, действия при инцидентах, сроки проверки, порядок уничтожения ключей и ответственность. К регламенту полезно приложить заявку на выпуск, акт выдачи, журнал учета, акт возврата и чек-лист увольнения.

Ошибки при хранении электронной цифровой подписи

Частые ошибки: общий токен для нескольких сотрудников, пароль рядом с носителем, отсутствие журнала, просроченный сертификат, неотозванная ЭЦП у уволенного работника, подписание документов без просмотра содержания и хранение контейнера на незащищенном компьютере. Еще одна проблема — разрыв между техническим доступом и полномочиями: сотрудник может подписать документ, хотя уже не имеет такого права.

Передача ключа сотрудникам, хранение паролей рядом с носителем и отсутствие учета

Передача ключа «на пять минут» быстро становится постоянной практикой. Потом трудно установить, кто фактически подписал документ и видел ли владелец содержание. Безопасный принцип проще: каждый подписывает своим ключом, в пределах своих полномочий, после проверки документа, с фиксацией действия. Исключения нужно либо запретить, либо оформить так, чтобы они выдержали внутреннюю проверку и внешний спор.

Источник новости - anarta.ru