5. "Методические рекомендации по внедрению электронного документооборота в целях обеспечения популяризации использования электронного документооборота среди граждан и организаций РФ"

5.1. Нормативно-правовая база

В России применение электронной подписи (ЭП) регулирует федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи". Закон устанавливает виды электронных подписей, правила признания юридической силы подписанных документов, выдачу и использование электронной подписи.

Согласно указанному закону "Электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию".

5.2. Об электронной подписи

Для подтверждения подлинности электронные документы подписывают электронной подписью (ЭП). Это специальный персональный цифровой код, который прикрепляют к документу. Такие подписанные электронной подписью электронные документы равнозначны бумажным документам с обычной рукописной подписью и печатью и имеют такую же юридическую силу.

Простая электронная подпись (ПЭП) и неквалифицированная электронная подпись (НЭП), о которых пойдет речь ниже, придают документу юридическую силу только на основании нормативных актов Правительства Российской Федерации или договоренностей между участниками электронного документооборота. В обоих случаях должна быть возможность проверить личность подписанта.

Электронный документ с квалифицированной электронной подписью (КЭП) обладает такой же юридической силой, что и бумажный с собственноручной подписью и печатью, без заключения каких-либо дополнительных соглашений, утверждения нормативных актов.

Если действующее законодательство не обязывает применять конкретный вид подписи для тех или иных действий, то участники электронного документооборота могут использовать любой вид подписи по договоренности между собой.

5.2.1. Использование электронной подписи в работе

Электронная подпись в работе нужна человеку и для сдачи отчетности в государственные и контролирующие органы, а также для документооборота с контрагентами и сотрудниками компании.

5.2.2. Отчетность через Интернет

Отчитываться от лица компании может и ее руководитель, и сотрудник. Для этого у них должна быть своя КЭП. У директора - с реквизитами юридического лица, у сотрудника - с реквизитами физлица плюс машиночитаемая доверенность. Машиночитаемая доверенность (МЧД) подтверждает право сотрудника сдавать отчетность и подписывать документы от лица компании.

5.2.3. Электронный документооборот с контрагентами и сотрудниками

По договоренности между собой стороны могут использовать любой вид электронной подписи. В последнее время организации для электронного документооборота все чаще стали выбирать неквалифицированные электронные подписи, так как они дешевле и проще в обращении. Чтобы их использовать стороны должны заключить дополнительное соглашение. Однако НЭП - не универсальная подпись, использовать ее можно только в случаях, которые не ограничены законом.

5.2.4. Использование электронной подписи в частной жизни

Какую электронную подпись использовать человеку для личных целей зависит от того, где именно он планирует ее применять.

Так, простую электронную подпись чаще всего используют для разных банковских операций. Например, СМС о подтверждении оплаты покупки товара на маркетплейсе может рассматриваться как простая электронная подпись.

Неквалифицированную электронную подпись используют, например, при подаче заявления на получение налогового вычета в личном кабинете ФНС России.

5.3. Виды электронной подписи

Вид электронной подписи для конкретных типов правоотношений в рамках ЭДО устанавливается действующим законодательством и/или соглашением участников ЭДО.

Согласно закону, есть два вида электронных подписей - простая и усиленная, при этом усиленная электронная подпись может неквалифицированной и квалифицированной. Они отличаются друг от друга порядком получения и проставления, надежностью, а также сферами применения.

В России используют три вида электронной подписи:

- простую - ПЭП;

- усиленную неквалифицированную - НЭП;

- усиленную квалифицированную - КЭП.

5.3.1. ПЭП - простая электронная подпись

В соответствии с п. 2 ст. 5 63-ФЗ "Об электронной подписи": "Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом".

Простая подпись - это знакомые всем коды доступа из СМС, коды на скретч-картах, пары "логин-пароль" в личных кабинетах на сайтах и в электронной почте. Простая подпись создается средствами информационной системы, в которой ее используют, и подтверждает, что ее выпустил конкретный человек.

ПЭП не обеспечивает неизменяемость электронного документа. Она обычно используется в системах внутреннего ЭДО с высокой степенью доверия.

5.3.2. НЭП - усиленная неквалифицированная электронная подпись

НЭП - усиленная неквалифицированная электронная подпись, которая: получена в результате криптографического преобразования информации с использованием ключа электронной подписи; позволяет определить лицо, подписавшее электронный документ; позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания.

НЭП (или УНЭП) ЕСИА - усиленная неквалифицированная электронная подпись в инфраструктуре электронного правительства. В приложении "Госключ" можно бесплатно получить сертификат усиленной неквалифицированной электронной подписи, а также создавать, хранить и применять ключи электронной подписи. Для работы с ними не нужны токены, а для подписания - внешний криптопровайдер.

НЭП позволяет определить лицо, подписавшее ЭД, и обеспечивает неизменяемость электронного документа.

НЭП создается с помощью программ криптошифрования с использованием закрытого ключа электронной подписи. НЭП идентифицирует личность владельца, а также позволяет проверить, вносились ли в документ изменения после его отправки.

НЭП можно получить в удостоверяющем центре в виде двух ключей: закрытого и открытого. Закрытый ключ хранится на специальном ключевом носителе с пин-кодом или в компьютере пользователя - он известен только владельцу и его нужно держать в тайне. С помощью закрытого ключа владелец генерирует электронные подписи, которыми подписывает документы.

Открытый ключ электронной подписи доступен всем, с кем его обладатель ведет ЭДО. Он связан с закрытым ключом и позволяет всем получателям подписанного документа проверить подлинность ЭП.

То, что открытый ключ принадлежит владельцу закрытого ключа, прописывается в сертификате электронной подписи. Сертификат также выдается удостоверяющим центром. Но при использовании НЭП сертификат можно не создавать. Требования к структуре неквалифицированного сертификата законодательством не установлены.

Где используют неквалифицированную электронную подпись?

НЭП можно использовать для внутреннего и внешнего ЭДО, если стороны предварительно договорились об этом, либо при наличии нормативно-правового акта (НПА), обязующего или разрешающего использование НЭП в подписании документов.

Юридическая сила неквалифицированной электронной подписи.

У участников ЭДО имеется два варианта, для признания электронных документов, заверенных НЭП, равнозначными бумажным с собственноручной подписью:

1. Между сторонами заключено соглашение о правилах использования НЭП и взаимном признании ее юридической силы.

2. Наличие НПА, разрешающего или требующего использование НЭП при подписании документов (например, для Кадрового ЭДО - 22.1 - 22.3 ТК РФ и т.п.).

5.3.3. КЭП - усиленная квалифицированная электронная подпись

Усиленная квалифицированная электронная подпись (КЭП) - самый регламентированный вид подписи. Так же, как и НЭП, она создается с помощью криптографических алгоритмов и базируется на инфраструктуре открытых ключей, но отличается от нее тем, что:

- обязательно имеет квалифицированный сертификат, структура которого определена приказом ФСБ России N 795 от 27.12.2011;

- программное обеспечение для работы с КЭП сертифицировано ФСБ России;

- выдавать КЭП может только аккредитованный удостоверяющий центр.

Где используют КЭП?

КЭП нужна при:

- сдаче отчетности в контролирующие органы;

- участии в качестве поставщика или заказчика в электронных торгах;

- работе с государственными информационными системами;

- обмене формализованными документами с ФНС России.

КЭП также можно использовать для ведения электронного документооборота внутри компании или с ее внешними контрагентами.

Юридическая сила КЭП.

КЭП - это подпись, которая придает документам юридическую силу без дополнительных условий. Если организации ведут ЭДО, подписывая документы КЭП, их юридическая сила признается автоматически согласно федеральному закону N 63-ФЗ "Об электронной подписи".

Особенности КЭП.

В отличие от ПЭП и НЭП, у КЭП есть несколько видов. Разные сертификаты нужны руководителям компаний и их сотрудникам.

Сертификаты КЭП для руководителя организации или индивидуального предпринимателя.

Руководитель организации или индивидуальный предприниматель получают сертификаты в государственных удостоверяющих центрах.

Сертификаты физических лиц.

Такие сертификаты нужны, в том числе и сотрудникам компаний. Их можно использовать как для работы, так и для личных нужд - например, для регистрации на портале "Госуслуг". Выпустить сертификаты физических лиц можно в коммерческих аккредитованных удостоверяющих центрах.

Преимущества КЭП для физических лиц.

Сертификат квалифицированной подписи для физических лиц позволяет подписывать документы в электронном виде. Это сокращает время ожидания и расходы на доставку документов курьером. Онлайн, например, можно:

- при наличии МЧД подписывать документы организации;

- подать документы на поступление в вуз;

- зарегистрировать ООО или ИП;

- подписать трудовой договор и работать дистанционно;

- оформить кредит;

- отправить заявление на водительское удостоверение или загранпаспорт;

- зарегистрировать брак или оформить развод;

- обратиться в суд;

- получить патент;

- перевести пенсию на банковский счет или карту;

- подтвердить аккаунт на портале "Госуслуг", чтобы пользоваться государственными услугами;

- подавать и получать документы из суда, работать на судебных порталах "Мой арбитр" и ГАС "Правосудие";

- заключить договор долевого участия (ДДУ) или купли-продажи недвижимости;

- оформить недвижимость в собственность или зарегистрировать другую сделку;

- запросить выписку из Единого государственного реестра недвижимости (ЕГРН).

Преимущества КЭП для руководителей.

Только с КЭП руководитель сможет работать на электронных торговых площадках для госзакупок, коммерческих торгов и торгов банкротов, а также в популярных информационных системах, используемых для:

- сдачи налоговой отчетности, передачи сведений в Социальный фонд России (СФР) и т.д.,

- подачи иска в суд, например, через систему "Мой Арбитр",

- обращения в госорганы, например, в Ростехнадзор или Минпромторг,

- цифровой маркировки Честный ЗНАК,

- получения госуслуг,

- работы с банками и партнерами с помощью ЭДО,

- закупок через интернет-магазины

- решения других вопросов.

5.4. Как получить электронную подпись?

5.4.1. Как директору организации получить электронную подпись?

Куда обращаться директору за оформлением ЭП, зависит от сферы деятельности организации. С 2022 года директора фирм и ИП получают сертификаты ЭП в налоговой или у доверенных лиц УЦ ФНС России, руководители финансовых организаций - в УЦ Банка России, а госучреждений - в Казначействе.

Рядовым сотрудникам для работы нужна ЭП физического лица - ее можно оформить в аккредитованном коммерческом удостоверяющем центре. Электронная подпись понадобится сотрудникам, которые раньше не оформляли ее - ФНС выдает подписи директору только в единственном экземпляре и копировать их для сотрудников нельзя.

В ФНС России

Для получения КЭП в ФНС России директору организации необходимо:

- Приобрести токен. Устройство должно быть сертифицировано федеральной службой по техконтролю (ФСТЭК) и ФСБ России. Рекомендованные модели можно посмотреть на сайте ФНС России, а узнать подробный порядок оформления ЭП в ФНС России - в Приказе ФНС России от 30.12.2020 N ВД-7-24/982@.

- Установить программу для работы с ЭП. Для работы с КЭП необходимо приобрести лицензию и установить на ПК пользователя средство криптографической защиты информации (далее - СКЗИ). ФНС России рекомендует использовать КриптоПро CSP. Сделать это можно в Удостоверяющем центре.

- Подготовить документы для оформления подписи. Потребуются паспорт, СНИЛС и ИНН.

- Лично обратиться в ФНС России или к его представителям за выпуском сертификата. Выбрать инспекцию и время посещения можно на сайте ФНС России. При себе, кроме документов, нужно иметь токен для записи на него сертификата ЭП.

Личное обращение нужно только при получении первого сертификата ФНС России. Таким образом ФНС России проверит, что сертификат получает именно руководитель, а не другое лицо. Получить следующие сертификаты можно удаленно.

Если руководитель - иностранный гражданин, то порядок получения сертификата ФНС России для него схожий. Им нужно предоставить номер СНИЛС и ИНН физлица, а также нотариальный перевод документа, удостоверяющего личность.

В Банке России

УЦ Банка России предлагает оформить ЭП несколькими способами: в пункте выдачи или онлайн в личном кабинете на сайте УЦ. Первое получение сертификата всегда происходит при личном визите. Для оформления ЭП в УЦ Банка России онлайн необходимо:

- Запросить в Банке России логин и пароль для входа в личный кабинет на сайте УЦ.

- Войти в личный кабинет.

- Создать запрос на получение сертификата ЭП.

- Дополнить заявку документами, которые необходимы для выпуска сертификата.

- Дождаться результатов проверки документов и сообщения о том, что сертификат готов.

- Скачать сертификат и программу, которая понадобится для работы с ЭП.

Инструкция по получению сертификата есть на сайте УЦ Банка России. Подробные правила выдачи сертификата можно посмотреть в Указании Банка России от 10.03.2021 N 5750-У о Порядке реализации функций и исполнения обязанностей УЦ Банка России.

В Казначействе России

Порядок получения сертификата в Казначействе похож на эти процессы в ФНС России и Банке России. Казначейство выдает сертификаты ЭП директорам госучреждений после установки СКЗИ на компьютер пользователя и покупки в любой сторонней организации носителя (токена) для сертификата. Основанием для выдачи сертификата является обращение в организацию и подача документов. Подробная инструкция по оформлению ЭП есть на сайте Казначейства России.

5.4.2. Как физическому лицу получить электронную подпись?

1. Определить, для чего и кого нужна подпись.

2. Заполнить заявку на выпуск сертификата электронной подписи в удостоверяющем центре (УЦ).

3. Посетить удостоверяющий центр с документами:

- оригиналом паспорта будущего владельца ЭП;

- заявлением на выдачу КЭП, подписанным будущим владельцем ЭП,

- СНИЛС и ИНН будущего владельца ЭП.

Удостоверяющий центр.

В обязанности УЦ входят:

- соответствие требованиям, установленным Федеральным законом "Об электронной подписи"

- удостоверение личности человека, который обратился за сертификатом электронной подписи,

- изготовление и выдача сертификата, в который включены данные о владельце сертификата и его открытый ключ проверки,

- управление жизненным циклом сертификата (выпуск, приостановление, возобновление, окончание срока действия).

5.5.1. Как работают ключи усиленной электронной подписи?

В создании усиленной подписи - и КЭП, и НЭП - для защиты от мошенников участвуют открытый и закрытый ключи.

Закрытый ключ можно сравнить с чернилами - им подписывают документ. Открытый - с лакмусовой бумажкой: он подтверждает, что подпись ставил именно этот владелец и именно этими чернилами.

Еще один элемент усиленной электронной подписи - сертификат ключа проверки электронной подписи (СКПЭП). Он содержит значение открытого ключа и подтверждает, что ключи принадлежат конкретному владельцу. СКПЭП - это носитель информации о владельце, сроке действия ЭП и удостоверяющем центре. Он доступен для всех и используется при проверке подписи под документом.

СКПЭП является подобием паспорта. Его выдают аккредитованные удостоверяющие центры и только после подтверждения личности владельца. В целях безопасности у сертификата есть срок действия не больше 15 месяцев. После истечения срока нужно получать новый СКПЭП.

Пример работы с квалифицированной электронной подписью при отправке отчета в ФНС России:

- бухгалтер организации формирует отчет, подписывает его своим закрытым ключом и загружает его в сервис оператора ЭДО;

- оператор ЭДО шифрует отчет при помощи общедоступного сертификата ФНС России;

- Оператор отправляет отчет в ФНС России.

- ФНС России получает документ и расшифровывает его своим закрытым ключом;

- ФНС России с помощью открытого ключа бухгалтера проверяет достоверность подписи.

- совпадение данных в открытом и закрытом ключах означает, что отчет подписал конкретный бухгалтер и его никто не менял после подписания, отчет принимается ФНС России.

5.5.2. Как получить и где хранится открытый ключ?

Открытый ключ будущий владелец подписи генерирует вместе с закрытым самостоятельно на своем компьютере в сервисе удостоверяющего центра либо на специальном компьютере в офисе УЦ. Как правило для этого он водит мышкой, а специальная программа генерирует случайные символы. После этого УЦ записывает открытый ключ в сертификат. Их владелец может сохранить на токен или компьютер.

Просмотреть данные сертификата открытого ключа можно, например, с помощью специализированного программного обеспечения, предоставляемого оператором ЭДО.

5.5.3. Кто может пользоваться открытым ключом?

Сертификат с открытым ключом доступен для любых лиц. Владелец может передавать его контрагентам для проверки подписи, а информационные системы - сами обращаются к базам данных УЦ, чтобы найти значение открытого ключа и проверить подпись.

5.5.4. Что такое закрытый ключ электронной подписи?

Закрытый ключ представляет собой уникальный набор символов без информации о владельце. Он нужен для создания электронной подписи и ее защиты от компрометации.

5.5.5. Как получить и где хранится закрытый ключ?

Закрытый ключ владелец подписи генерирует так же, как и открытый - на своем компьютере, мобильном устройстве или офисе УЦ.

Закрытый ключ - основной элемент в безопасной подписи документов. Если не обеспечить ему надежную защиту, то он может попасть в руки злоумышленников. Поэтому его не следует передавать другим лицам и сообщать пароль.

Этот ключ рекомендуется хранить на защищенных носителях информации - токенах с уникальным паролем. Закрытый ключ можно записать на рабочий компьютер или ноутбук, но это менее безопасно, если, например, на ПК нет дополнительной защиты или на нем работают другие лица. Дополнительно имеется возможность генерации и хранения закрытого ключа на мобильном устройстве - с использованием технологии "Госключ". Обычно закрытый ключ помещают в специальный виртуальный контейнер вместе с сертификатом и открытым ключом либо отдельно от них.

5.5.6. Как посмотреть данные о закрытом ключе?

Закрытый ключ - это контейнер, в котором находится несколько файлов со специальным расширением "key".

Данные о закрытых ключах можно просмотреть с помощью специального программного обеспечения, предоставляемого оператором ЭДО.

5.5.7. Кто может пользоваться закрытым ключом?

Закрытый ключ доступен только владельцу ЭП. Чтобы им не пользовались посторонние, в некоторых ситуациях закрытый ключ делают неэкспортируемым или защищают от копирования. Например, ключи от удостоверяющего центра ФНС России нельзя перенести с токена или сделать дубликат для других пользователей.

5.5.8. Как хранить закрытый ключ?

Любая усиленная электронная подпись - это защищенный инструмент, который создают с помощью криптографии. Но владельцу все же не стоит забывать о безопасности.

Пароль на токене следует изменить после его получения в УЦ на собственный, максимально сложный и хранить в месте, где никто его не найдет.

Если закрытый ключ все-таки попал в посторонние руки, заблокируйте доступ к сертификату электронной подписи - отзовите его в удостоверяющем центре.

При соблюдении указанных мер вероятность того, что документ подпишут злоумышленники от лица владельца будет сведена к минимуму.

5.6. Как подписать электронный документ электронной подписью?

Сценарий подписания зависит от сервиса, в котором клиент работает с документом. Обычно владельцу ЭП нужно:

- настроить компьютер, в сервисе это происходит автоматически;

- загрузить файл, который нужно подписать;

- вставить токен или другой носитель с ключами в компьютер;

- выбрать сертификат ЭП и нажать кнопку "подписать".

В этот момент с помощью закрытого и открытого ключей создается электронная подпись для конкретного документа.

После этого появляется статус "Документ подписан" и создается файл с расширением "sig". Пользователь может отправить документ по электронной почте или сохранить его на компьютере.

Возможность создания подписи для электронного документа реализована в различном программном обеспечении:

- в специализированных системах для электронного документооборота и сдачи отчетности, предоставляемых Операторами ЭДО;

- в различных информационных системах (например, на портале "Госуслуг", на электронных торговых площадках);

- в учетных системах;

- в компьютерных программах для работы с электронными документами;

- в специальных программах для создания и проверки электронной подписи, которые устанавливаются на компьютер;

- в веб-сервисах, в которые можно загрузить документ и создать для него электронную подпись.

С использованием сервиса "Подписание документов в Госключе" граждане могут направить себе на подписание документы и подписать их в мобильном приложении "Госключ". После подписания в мобильном приложении "Госключ" и в ленте уведомлений ЕПГУ есть возможность скачать файлы подписанного документа и открепленной электронной подписи в формате sig. Обмен указанными файлами, в том числе по электронной почте, обеспечивает юридически значимое подписание и закрепление соответствующих правоотношений.

5.7.1. Типы проверки

При применении простой ЭП проверка обычно осуществляется при помощи фиксации действий пользователя информационной системы.

При применении усиленной ЭП могут осуществляться следующие проверки:

- проверка соответствия ЭП документу;

- проверка действительности сертификата ЭП на момент проверки или на момент подписания документа (при наличии штампа времени, содержащего соответствующую информацию);

- проверка соответствия средства ЭП, на котором выпущен сертификат, требованиям, установленным в соответствии с законодательством об ЭП (для КЭП);

- проверка полномочий подписанта ЭД.

5.7.2. Проверка полномочий и машиночитаемая доверенность

Проверка полномочий подписанта электронного документа осуществляется в соответствии с требованиями ГК РФ.

Дополнительная проверка полномочий не требуется в случае, если документ подписан ЭП, владельцем сертификата ключа проверки которой является лицо, имеющее полномочия действовать без доверенности от имени лица, подпись которого необходима для удостоверения данного документа (для ЮЛ - сертификат ЮЛ с указанием руководителя ЮЛ, для ИП - сертификат этого ИП, для ФЛ - сертификат самого ФЛ).

В случае, если документ подписан ЭП, владельцем которой является иное лицо, для подтверждения полномочий подписанта используется доверенность в электронной форме в соответствии с рекомендуемым Министерством цифрового развития Российской Федерации форматом (машиночитаемая доверенность - МЧД), за исключением случаев, когда для ЭД с конкретным государственным органом используется отдельный формат.

МЧД должна быть подписана ЭП лица, имеющего право действовать без доверенности от имени доверителя, либо ЭП нотариуса, либо ЭП лица, имеющего полномочия подписания МЧД на основании доверенности, выданной с правом передоверия.

Полномочия подписанта в МЧД могут быть указаны текстом, либо с применением классификатора полномочий, размещенного на сайте на сайте Единой системы нормативной справочной информации (https://esnsi.gosuslugi.ru/classifiers/6714/data).