Образец заполнения акта установки и ввода в эксплуатацию СКЗИ требования и основание

Понятие ЭЦП

Электронной цифровой подписью называют средство защиты, которое подтверждает подлинность содержания документа. При этом используется специальное программное обеспечение, установкой которого занимаются сотрудники Удостоверяющего центра – учреждения, созданного для выдачи ЭЦП.

Регламентация

Применение электронной цифровой подписи в РФ регламентируется следующей нормативной документацией:

• ФЗ об ЭЦП № 63, вышедший в апреле 2011 года – основной документ, определяющий условия использования данного средства защиты;
• Приказом ФСБ РФ № 795, изданным в декабре 2011 года – утверждает требования к сертификатам ключей, удостоверяющих подлинность ЭЦП;
• Приказом ФСБ РФ № 796, действующим с той же даты, что и предыдущий документ из указанных – определяет условия применения ЭЦП, регламент работы удостоверяющих центров;
• Приказом ФСБ РФ № 149/6/6-622, принятым в феврале 2008 года и определяющим регламент организационных мероприятий по защите данных в средствах криптографической защиты.
   

Перечисленная регламентная документация вышла примерно в одно время, создав нормативную базу использования электронных цифровых подписей.

Как выглядит

Цифровую подпись невозможно увидеть физически. Она представляет собой файл, ограничивающий внесение исправлений и открытие документа. ЭЦП применяют на следующих носителях:

• токенах – напоминает обычную флешку, но предусматривает дополнительную защиту записанной информации и ввод пароля для входа;
• смарт-картах – напоминает стандартный банковский пластик;
• флешках – устройство с картой памяти, подключаемое к компьютеру через разъем USB;
• сим-картах – элемент активации номера телефона в сотовой сети с установленным специальным приложением.
   

Программу с ЭЦП устанавливают на компьютер для удостоверения подлинности документов сертификатом ключа.

Виды

Электронные цифровые подписи делят на виды с учетом степени обеспечиваемой защиты, определяющей условия применения.

Простая

Простую цифровую подпись создает информационная система, в которой применяется данное средство защиты. Это пароль, который необходимо ввести для входа на ресурс. Простейшие примеры такой ЭЦП – код для открытия аккаунта электронной почты или ПИН для операций с банковской картой.

Ввод подтверждения известен владельцу или ограниченному кругу лиц, что удостоверяет возможность доступа к ресурсу. Простую ЭЦП не применяют для документов, заверяемых печатями организаций или учреждений, использующих информацию, относящуюся к государственной тайне.

Усиленная неквалифицированная

Усиленной неквалифицированной называют электронную подпись, созданную специальными программными средствами путем криптографического кодирования информации. При получении такой ЭЦП предусмотрена выдача удостоверяющим центром сертификата подписи, закрытого и открытого ключей по предъявлению получателем следующих подтверждений:

• гражданского паспорта;
• учредительной документации (для организаций);
• доверенности – если за подписью обращается полномочный представитель владельца.
   

Сертификат включает данные, подтверждающие соответствие всех компонентов подписи, принадлежности их владельцу.

Файл закрытого ключа помещают на съемный носитель, доступ к которому защищен ПИН-кодом, или направляют на компьютер собственника. Этот компонент необходим для генерирования подписей, защищающих документ.

Отрытым ключом получатель подписанной документации может проверить действительность электронной подписи.

Усиленная неквалифицированная ЭЦП заменяет традиционную печать на бумажном документе. Этим криптографическим защитным средством подписывают документацию, направляемую контрагентам по электронной почте, подтверждают действия на тендерах при проведении закупочных операций.

Усиленная квалифицированная

Усиленная квалифицированная подпись – наиболее защищенная разновидность ЭЦП, выдачей которых занимаются аккредитованные удостоверяющие центры. От получателя требуется предоставление:

• гражданского паспорта и СНИЛС (гражданам);
• учредительной документации, заверенной выписки из реестра юридических лиц или предпринимателей (организациям и ИП);
• доверенности (доверенным лицам).
   

Компоненты усиленной КЭП аналогичны неквалифицированной подписи, но характеризуются применением более сложных криптографических алгоритмов.

Этот вид ЭЦП применяют для подтверждения подлинности:

• отчетной документации, направляемой в налоговую службу и прочие инстанции;
• запросов, подаваемых в государственные информационные системы;
• документов поставщиков и заказчиков в торгах, проводимых удаленно, прочей ответственной документации.
   

Программа генерирует цифровую комбинацию, не поддающуюся запоминанию, которую невозможно воспроизвести с целью подделки.

Необходимость применения

Цифровые подписи используют для удостоверения подлинности в следующих ситуациях:

• для защиты внутреннего и внешнего электронного документооборота;
• подтверждения действий участника электронных тендерных торгов;
• чтобы получить право доступа к информационной системе, в других целях.
   

Условия применения ЭЦП зависят от вида подписи, определяющего степень обеспечиваемой защиты.

СКЗИ

Один из важных компонентов, непосредственно связанных с применением электронной цифровой подписи – СКЗИ.

Что это

СКЗИ (средство криптографической защиты информации) называют программу или службу, обеспечивающую функционирование электронной подписи. Этот компонент может быть программным продуктом, непосредственно хранящимся на ПК или встроенным в съемный носитель.

Назначение

СКЗИ применяют для выполнения следующих задач:

• шифрования документации;
• раскодирования полученных сообщений, переданных контрагентами или представителями государственных органов;
• проверки подлинности сертификатов безопасности при пересылке электронной документации.
   

Применение СКЗИ требует лицензии, установки дополнительного программного обеспечения.

Какие бывают

Применяют несколько видов СКЗИ, отличающихся используемыми в работе алгоритмами.

КриптоПро CSP

Этот продукт применяют в следующих целях:

• формирования и проверки ЭЦП;
• исключения доступа посторонних к конфиденциальной информации;
• надежной защиты электронных протоколов соединения;
• недопущения вмешательства в работу программного обеспечения.
   

Ключи Крипто Про хранятся на облачном сервисе, что облегчает их применение для любых приложений.

VipNet CSP

Позволяет пересылать защищенную информацию от граждан и юридических лиц за пределы ТАОС. Это средство нотификации официально зарегистрировано в ФСБ РФ и рассчитано на работу с большинством современных операционных систем.

Signal-COM CSP

Разновидность программного продукта, обеспечивающая быстрый переход от локальных криптографических средств к облачным, исключая внесение изменений в информационные системы. Инсталляция требует применения отдельной программы.

Может использоваться для защиты данных организациями и частными лицами.

LISSI-CSP

Средство электронной защиты от одноименной компании, рассчитанное на использование для обеспечения следующих условий:

• аудита корпоративных ресурсов;
• анализа безопасности информационных сетей;
• защиты электронной документации и пр.
   

Позволяет аутентифицировать отправителя, подтвердить подлинность информации.

Критерии выбора

Пользователю важно учитывать, что на одном ПК нельзя установить одновременно две и более СКЗИ. Программный продукт не будет работать в таких условиях. Если на предприятии применяют КриптоПро CSP для удостоверения отчетных документов, а VipNet CSP для работы с банковским сервисом, эти средства размещают на разных машинах.

Также нужно учитывать регламенты, установленные государственными органами и контрагентами, возможности разных видов СКЗИ. К примеру, LISSI-CSP, Signal-COM CSP, встроенная система на JaCarta не поддерживают режим раскодирования СВС, поэтому такие средства защиты нельзя использовать для отправки некоторой отчетной документации.

Для подтверждения подлинности форм, направляемых ПФР РФ в Фонд социального страхования, структуры МВД или Росприроднадзор, прочие ведомства, применяют КриптоПро CSP, VipNet CSP или Рутокен ЭЦП 2.0.

В оборонном ведомстве применяют специализированную систему АСТ ГОЗ. Для защиты локальных сетей можно использовать технологическую платформу АПКШ «Континент».

Установка средства электронной подписи

Чтобы стать обладателем ЭЦП, нужно получить данные средства защиты электронной документации, установить соответствующее программное обеспечение.

Где получить

Место выдачи ЭЦП зависит от вида электронной подписи. Простую разновидность выдает система, для которой применяют данное средство защиты. Пароль входа на электронную почту пользователь формирует сам, используя возможности сайта. ПИН-код банковской карты выдает в распечатанном виде получателю финансовая организация.

Квалифицированные электронные подписи можно получить в удостоверяющем центре. Так называют организации, обладающие соответствующей лицензией и получившие разрешение государственных органов на выдачу криптографических средств защиты.

Цены на ЭЦП с учетом вида подписи приведены в таблице.

 

Вид ЭЦП	Цена, рублей в год
Простая	Чаще всего бесплатно в зависимости от условий сервиса
Квалифицированная:
Базовая для граждан	1 200–1 400
Для работы с государственными органами	От 2 000
Для ведения бизнеса	От 3 000
Для участия в торгах	От 5 900
Оформление лицензии на программное обеспечение	От 1 000
Токены	От 500

Точные расценки зависят от тарифов удостоверяющего центра.

Порядок получения ЭЦП и сертификата ключа ее проверки

ЭЦП выдают в таком порядке:

1. клиент заключает договор с удостоверяющим центром;
2. подписанные соглашения регистрируют в подразделении Федерального казначейства региона;
3. получатель передает заявление в УЦ о выдаче ЭЦП, сопровождая его документацией, удостоверяющей личность или подтверждающей регистрацию компании; предоставляют носитель для размещения данных;
4. сотрудник УЦ устанавливает программное обеспечение на рабочем месте пользователя;
5. заявителю предоставляют доступ к системе удаленного финансового документооборота, для подтверждения чего направляют письмо в региональный регистрационный центр;
6. формируют электронный ключ непосредственно на рабочем месте получателя или на компьютере, принадлежащем Федеральному казначейству.
    

ЭЦП устанавливают на машину пользователя. Порядок действий сотрудника УЦ зависит от вида пользователя. Но общий порядок такой:

1. загружают программу для установки электронной подписи на носитель пользователя;
2. устанавливают сертификат электронного ключа;
3. если этого требуют условия инсталляции, данные прописывают в регистре машины.
    

Оказание услуг удостоверяющим центром подтверждают составленным актом предоставления средств криптографической защиты.

Документы, необходимые для получения сертификата

Чтобы получить ЭЦП, от граждан в статусе ИП требуется предоставление:

• гражданского паспорта или другого документа, удостоверяющего личность;
• СНИЛС;
• подтверждения регистрации в налоговой службе.
   

Юридическое лицо удостоверяет правомерность получения электронной подписи следующей документацией:

• паспортом и СНИЛС руководителя, представляющего интересы организации;
• учредительными документами компании;
• выписками из государственных реестров.
   

Подписи получают руководители организаций. Работникам, подписывающим от компании отчетную и прочую документацию, нужно оформить в УЦ ЭЦП для физических лиц. Если вместо заявителя обращается представитель, его полномочия подтверждают электронной доверенностью, оформленной руководителем организации.

Как устанавливается

Электронную подпись устанавливают со съемного носителя. Для инсталляции используют специализированное программное обеспечение с учетом вида ЭЦП. При установке СКЗИ на рабочий компьютер пользователя в организации нужно войти в систему от имени администратора.

Подключают носитель, запускают программу. Последовательно проходят предусмотренные сервисом окна, внося требуемые данные. По завершении установки система вносит необходимые изменения в регистр для сохранения сведений о сертификате ключа.

Акт установки средства криптографической защиты

Акт установки средства криптографической защиты выдает исполнитель, устанавливающий и настраивающий программное обеспечение, необходимое для применения ЭЦП.

В роли установщика может выступать представитель УЦ, предоставившего программу.

Основные требования

Форма акта, подтверждающего установку и ввод СКЗИ в эксплуатацию, приведена в приложении 22 к Регламенту УЦ Федерального казначейства, утвержденного приказом № 279 данного ведомства в декабре 2013 года. Этот норматив используют в качестве образца при составлении шаблона документа.

Состав

Документ состоит из «шапки», основной части и заключения. Как нужно заполнять эти разделы – рассмотрено ниже.

Шапка

В правом верхнем углу размещено утверждение документа руководителем компании, владеющей подписью. Указывают должность ответственного лица, его фамилию и инициалы. Предусмотрено место для подписи руководителя. Ниже отмечена дата утверждения документа.

Основная часть

После названия документа, написанного посередине ниже «шапки», предусмотрено внесение следующих данных:

• номера документа;
• даты и места оказания услуг;
• организации, устанавливающей СКЗИ;
• наименования средства криптографической защиты;
• серийного номера компьютера, адреса расположения машины;
• ФИО пользователя;
• сведений о системном администраторе организации-заказчика;
• регистрационного номера ЭП;
• реквизитов лицензии установщика;
• условий применения цифровой подписи.
   

В конце перечисляют обязанности пользователя по обеспечению необходимой конфиденциальности и соблюдению правил использования ЭЦП.

Заключение

В завершение отмечают количество экземпляров данного акта. Документ подписывают представитель УЦ, устанавливающий программное обеспечение, и системный администратор заказчика, ставят печать организации на подпись руководителя.

Количество экземпляров

Акт ввода СКЗИ в эксплуатацию (установки средств защиты) оформляют в двух экземплярах – по одному для заказчика и исполнителя.

Образец заполнения

Образец акта установки СКЗИ можно найти здесь.

Хранение

Акты по установке и вводу в эксплуатацию СКЗИ хранят на предприятии в соответствии с условиями ведения документооборота, установленного в организации. Срок хранения – в течение действия сертификатов ключей.

Применение криптографических средств защиты информации – надежный способ подтвердить подлинность электронных документов. Главное – соблюдать требования по использованию СКЗИ и ЭЦП, регламентированные действующим законодательством.

 

В современных условиях важные документы не всегда используют в традиционном, бумажном виде, отправляя их, например, по электронной почте. Для защиты документации применяют разные средства.

В предлагаемом материале рассматривается акт установки СКЗИ с учетом содержания и порядка составления данного документа, прочие вопросы, связанные с использованием криптографических защитных средств.