Электронный документ реквизиты документа электронная цифровая подпись

Электронная подпись (ЭП, или ЭЦП — устаревшее название) — это реквизит электронного документа. Она подтверждает, кто автор подписанного файла, что там нет изменений, а также дает документам юридическую силу при определенных условиях.

В 63-ФЗ описаны три вида электронной подписи: простая (ПЭП), усиленная неквалифицированная (НЭП) и усиленная квалифицированная (КЭП). Отличаются ли они внешне, расскажем далее в статье.

По сути электронную подпись на документах никак не увидеть, так как это набор данных: информация, которая присоединяется к другой информации. Можно только проверить сам факт того, что документ подписан. Для этого есть специальные программы, например на портале Госуслуг или же Контур.Крипто.

Пример. Директор Аркадий получил электронный документ. Чтобы убедиться, что его подписал нужный сотрудник и файл не менялся, Аркадий решил проверить документ с ЭП в сервисе Контур.Крипто. 

Руководитель зашел на сайт Контур.Крипто, загрузил оригинал документа и файл с подписью. Сервис проверил документ, а Аркадий увидел отчет о проверке и красный знак — в документ внесли изменения, поэтому подпись в файле недействительна.

Из отчета Аркадий узнал, что сотрудник исправил дату в документе уже после того, как поставил подпись. Директор еще раз проверил содержимое файла и вернул документ сотруднику на подпись. 

Когда документ подписан, его, например, можно отличить по наличию в папке нового файла с тем же названием, но расширением «.sig». А иногда внутри самого документа стоит штамп либо специальный знак. 

Видна подпись или нет, зависит от вида ЭП, программы и сервиса, где подписывают документ. Далее расскажем, как выглядят разные подписи на электронных документах.

КЭП — самая универсальная подпись. Она равнозначна собственноручной подписи и по умолчанию придает подписанному документу юридическую значимость. По этой причине бизнес часто использует ее в работе: чтобы участвовать в торгах, сдавать отчетность и обмениваться документами с контрагентами. 

Представим, что вы подписали КЭП документ Microsoft Word. В зависимости от способа присоединения подписи к документу он станет выглядеть так:

Если подпись открепленная

Когда документ подписали электронной подписью, создается отдельный файл с ЭП. У него такое же название, но другое расширение — sig, sgn или p7s. 

Чтобы проверить автора и неизменность подписанного документа, в программу, например Контур.Крипто, надо передать сразу два файла: оригинал «Файл.docx» и файл с подписью «Файл.sig».

Если подпись прикрепленная 

Когда документ подписали электронной подписью, в тот же файл добавляется расширение «Файл.docx.sig». То есть ЭП находится внутри исходного документа. Чтобы проверить такой документ, например в сервисе от Госуслуг, в программу надо загрузить именно этот файл — «Файл.docx.sig».

Если подпись встроенная

Когда файл подписали ЭП, его формат остался прежним, но в самом документе появляется штамп или специальный знак с информацией о подписи. Если изменить документ после подписания, электронная подпись станет недействительной.

Встроенную подпись создают внутри документов Word, Excel или PDF с помощью дополнительного ПО: например, КриптоПро Office Signature и КриптоПро PDF. Часто такой способ визуализации подписи используют государственные структуры: ФНС, Росреестр и другие. Внизу их документов стоят подобные штампы:

Как выглядит штамп, зависит от настроек программы, где он создан, или сервиса. Например, в Контур.Экстерне появляется галочка «Документ подписан», а в подписанном документе Microsoft Word на панели внизу — красный ярлык:

Также в Microsoft Word можно создать поле с графическим изображением подписи. Юридической силы оно не имеет, а служит просто для наглядности.

Посмотреть, есть ли в документе подпись, можно и на вкладке «Свойства». В пункте «Подпись» будут сведения о подписанте.

Если в документе стоит отметка «Подписано ЭП» и подобные, это не значит, что файл на самом деле подписан и не изменен. Чтобы проверить подлинность документа и верность ЭП, надо загрузить электронный оригинал документа в специальный сервис (например, Контур.Крипто). 

Усиленная неквалифицированная подпись

Визуально НЭП не отличается от КЭП. Между собой эти два вида подписи отличаются требованиями к программному обеспечению, структурой сертификата, который подтверждает личность владельца подписи, а также процедурой получения.

Из-за того, что КЭП по умолчанию придают документам юридическую силу, к получению таких сертификатов больше требований. Так, сертификаты КЭП выдают только специально отобранные организации — аккредитованные удостоверяющие центры (УЦ). Чтобы выпустить КЭП, нужно прийти туда и удостоверить личность. 

НЭП же дает файлам юридическую значимость не по умолчанию, а когда стороны, которые обмениваются документами, заключили допсоглашение об этом. 

Отличаются и сферы применения КЭП и НЭП.  КЭП универсальна — с ней можно работать одновременно в нескольких системах: зарегистрировать квартиру в Росреестре и при этом отчитаться в Честном ЗНАКе. А НЭП используется только на одной конкретной площадке. 

Например, неквалифицированную подпись можно выпустить онлайн на сайте ФНС, если есть аккаунт на Госуслугах. Сделать это может физлицо, но не ИП или представитель юрлица. Такая НЭП будет работать только на сайте налоговой — по внутреннему регламенту ФНС. Или другой пример — кадровый электронный документооборот (ЭДО) в компании. Сотрудник с НЭП подписывает приказы, трудовые договоры, должностные инструкции и другие кадровые документы только в системе ЭДО организации. Подпись обеспечивает их юридическую значимость, так как работник и компания заключили соглашение об этом.

Простая электронная подпись

Простая ЭП — это комбинация цифр и символов, с помощью которой можно узнать автора документа или подтвердить совершенное действие. Например, это логин и пароль при входе на Госуслуги или смс-код, который банк отправляет на телефон, когда вы оплачиваете товары в интернете. Таким образом вы подтверждаете, что именно вы входите на портал или совершаете покупку.

В зависимости от площадки и сервиса, где используют ПЭП, может стоять тот или иной знак, что документ подписан. Например, галочка или штамп «Платеж отправлен», «Подписано ПЭП».

ПЭП также не будет давать документам юридическую силу, если стороны документооборота не заключат между собой соглашение. Такие соглашения обычно включены в договор обслуживания (например, между банком и клиентом) или заключаются во время обслуживания (например, анкета-согласие на использование электронной подписи на Почте России).

На физических носителях хранят не саму электронную подпись, а ее компоненты — файлы, с помощью которых человек формирует подпись, когда подписывает документ. Это сертификат, подтверждающий личность владельца подписи, а также закрытый и открытый ключи — длинные наборы символов.

Сертификат и ключи можно записать на съемные носители или хранить только в памяти компьютера. Далее перечислим, на каких устройствах хранят элементы ЭП, и покажем, как выглядят такие носители. 

Токен 

Токен — это устройство, которое внешне очень похоже на обычную флешку. Но в отличие от флешки токен предназначен для защиты информации, поэтому на его карте памяти есть восьмизначный пароль. 

На токене также может быть установлено средство криптографической защиты информации (СКЗИ). Оно не позволяет переносить файлы с токена на другие устройства.

Использовать обычную флешку для хранения подписи опасно. Ведь она не защитит данные. 

Smart-карта

Smart-карта — это пластиковая карта с микросхемой, похожая на банковскую карту. Она выполняет ту же функцию, что и токен, то есть защищает информацию: на ней есть пароль и СКЗИ. Однако возможности карты в отличие от токена шире. Например, иногда компании делают из smart-карт электронные удостоверения сотрудников.

Для считывания информации с карты обычно нужно специальное устройство. Некоторые карты работают бесконтактно.

SIM-карта 

SIM-карта — устройство от мобильного оператора с чипом, где установлено специальное приложение для работы электронной подписи. Внешне это обыкновенная «симка». 

Такой носитель необходим, чтобы работать с мобильной электронной подписью: подписывать документы через приложение в телефоне. В мобильном формате используют только НЭП. Возможность применения КЭП пока рассматривается контролирующими органами.

Flash 

Flash, или флешка, — это небольшое устройство для хранения информации, где есть карта памяти и разъем USB. Она не предназначена для защиты и шифрования данных в отличие от токена, поэтому на ней нет пароля и СКЗИ. Из этого следует, что хранить ЭП на флешке не стоит, так как информация легко может попасть не в те руки. 

Подробнее про электронную подпись на флешке мы рассказывали в статье.

Итак, на носителях хранят не электронные подписи, а файлы, из которых формируются ЭП. Самые безопасные устройства для этого — токен и smart-карта: они защищены паролями, а некоторые — СКЗИ. 

Чтобы сохранить подпись в безопасности, не стоит передавать носитель с ЭП другим людям. Так, сотрудники не должны иметь доступ к подписям руководителя и друг друга. Иначе они могут подписать документ самовольно, а доказать, что подпись поставил не ее владелец, трудно.

ЭЦП — электронная (цифровая) подпись — это аналог рукописной подписи. Она выполняет ту же функцию — обеспечивает юридическую значимость для документов. Только подписывают с помощью ЭЦП документы не бумажные, а электронные. Кроме того, электронная подпись фиксирует информацию, которая была в документе на момент подписания, тем самым подтверждая её неизменность. В статье рассмотрим, что значит электронная подпись.

Как устроена электронная подпись

Электронная цифровая подпись — это устройство со сложной технической составляющей.

Электронная подпись состоит из двух основных частей:

1. Открытый ключ, он же сертификат.
2. Закрытый ключ — криптографическая часть.

Эти составные части выполняют разные функции: с помощью закрытого ключа, доступного только владельцу, документ шифруется, а с помощью сертификата, доступного для всех, документ дешифруется. Таким образом, достигается цель использования ЭЦП — подтверждается то, кем был подписан документ, и заверяется его неизменность с момента подписания.

Закрытый ключ не содержит в себе ничего, кроме механизма, с помощью которого он может шифровать документы. Сертификат же несёт в себе такую полезную информацию, как сведения о владельце, сведения об удостоверяющем центре, срок действия цифровой электронной подписи и т.д. Сертификат выступает в роли главного носителя информации о ЭЦП.

Программы для работы и алгоритмы шифрования

С ЭЦП не получится работать сразу. Чтобы шифровать и подписывать документы, недостаточно только иметь сертификат и закрытый ключ, для работы нужно устанавливать специальные программы. С помощью этих программ, которые работают по определённому стандарту шифрования (в России — ГОСТ 34.10-2018), обеспечивается связь закрытого и открытого ключа с документами.

Одной из самых популярных программ-криптопровайдеров в России является «КриптоПро CSP». С её помощью можно подписывать и шифровать документы, проверять сертификаты на подлинность, контролировать целостность соответствующего программного обеспечения.

Принцип работы электронной подписи

Электронная подпись работает по асимметричному принципу шифрования. То есть документ зашифровывается с помощью закрытого ключа, а расшифровывается с помощью открытого.

Объясним принцип работы ЭЦП на пальцах. Подписание документа производится в несколько этапов:

1. Хеш документа шифруется с помощью закрытого ключа.
2. Полученная подпись добавляется к документу.
3. К документу прикрепляется сертификат проверки.

Так как сертификаты, выдаваемые удостоверяющим центром, тоже подписываются с помощью электронной подписи, подменить сертификат невозможно. На сайте удостоверяющего центра, как правило, можно скачать открытый ключ проверки, хеш которого должен совпадать с хешем открытого ключа владельца. Таким образом доказывается его достоверность.

Виды электронной подписи

Существует три вида ЭП, которые используют для различных ситуаций. Рассмотрим, какой может быть электронная подпись, понятие, виды и применение.

• Простая электронная подпись (ПЭП) — представляет из себя логин и пароль. Используется для авторизации и аутентификации пользователя в интернете или различных автоматизированных сервисах;
• Неквалифицированная электронная подпись (НЭП) — подойдёт для внутреннего и партнёрского электронного документооборота. Чтобы работать с контрагентами, потребуется заключить дополнительное соглашение;
• Квалифицированная электронная подпись (КЭП) — равнозначна рукописной, придаёт документам юридическую значимость, имеет высокую степень защиты информации. Для создания цифровой подписи используются средства криптографической защиты, которые соответствуют требованиям законодательства. Технические характеристики КЭП регулирует государство. Данный вид подписи подходит для сдачи электронной отчётности в государственные органы, участия в закупках по 223-ФЗ и 44-ФЗ и ЭДО с контрагентами без дополнительных соглашений.

Как происходит подписание документа с помощью ЭЦП

Система подписания документов с помощью электронной подписи выглядит следующим образом:

1. Электронная подпись присоединяется не к цифровому документу. ЭП ставится на его сжатую версию — хэш. Таким образом, сокращается время шифрования, так как хэш файла весит меньше, чем сам файл.
2. Для создания хэша применяются криптографические хэш-функции. При данном способе объёмный текст файла не делится на отдельные модули и сохраняет свой порядок.
3. После создания хэша, закрытый ключ его шифрует и передаёт получателю вместе с сертификатом электронной подписи.
4. Открытый ключ ЭП адресата расшифровывает информацию и проверяет подлинность сертификата отправителя.

Закрытый ключ электронной подписи хранят в памяти компьютера или физических носителях: USB-токенах и смарт-картах. Согласно закону «Об электронной подписи» 63-ФЗ, ответственность за хранение закрытого ключа несёт владелец.

Как начать работать с квалифицированной электронной подписью

Для работы с КЭП требуется настроить рабочее место: установить СКЗИ и специальный плагин на компьютер. А получить квалифицированную электронную подпись можно только в удостоверяющих центрах. Финансовым участникам рынка КЭП выдают в Центробанке, работникам бюджетных учреждений — в Казначействе, а индивидуальным предпринимателям и юрлицам в УЦ ФНС и её доверенных лиц.

Работники индивидуальных предпринимателей получают квалифицированную подпись только в удостоверяющих центрах, которые аккредитованы Минцифры.

Что такое электронная подпись — простым языком для новичков мира цифровой экономики

30 октября 2017

В статье даны ответы на вопросы: «Как выглядит электронная подпись», «Как работает ЭЦП», рассмотрены ее возможности и основные компоненты, а также представлена наглядная пошаговая инструкция процесса подписания файла электронной подписью.

Что такое электронная подпись?

Электронная подпись – это не предмет, который можно взять в руки, а реквизит документа, позволяющий подтвердить принадлежность ЭЦП ее владельцу, а также зафиксировать состояние информации/данных (наличие, либо отсутствие изменений) в электронном документе с момента его подписания.

---

Справочно:

Сокращенное название (согласно федеральному закону № 63) — ЭП, но чаще используют устаревшую аббревиатуру ЭЦП  (электронная цифровая подпись). Это, например, облегчает взаимодействие с поисковиками в интернете, так как ЭП может также означать электрическую плиту, электровоз пассажирский и т.д.

---

Согласно законодательству РФ, квалифицированная электронная подпись — это эквивалент подписи, проставляемой «от руки», обладающий полной юридической силой. Помимо квалифицированной в России представлены еще два вида ЭЦП:

— неквалифицированная — обеспечивает юридическую значимость документа, но только после заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП, позволяет подтвердить авторство документа и проконтролировать его неизменность после подписания,

— простая — не придает подписанному документу юридическую значимость до заключения дополнительных соглашений между подписантами о правилах применения и признания ЭЦП и без соблюдении законодательно закрепленных условий по ее использованию (простая электронная подпись должна содержаться в самом документе, ее ключ применяться в соответствии с требованиями информационной системы, где она используется, и прочее согласно ФЗ-63, ст.9), не гарантирует его неизменность с момента подписания, позволяет подтвердить авторство. Ее применение не допускается в случаях, связанных с государственной тайной.

Возможности электронной подписи

Физическим лицам ЭЦП обеспечивает удаленное взаимодействие с государственными, учебными, медицинскими и прочими информационными системами через интернет.

Юридическим лицам электронная подпись дает допуск к участию в электронных торгах, позволяет организовать юридически-значимый электронный документооборот (ЭДО) и сдачу электронной отчетности в контролирующие органы власти.

Возможности, которые предоставляет ЭЦП пользователям, сделали ее важной составляющей повседневной жизни и рядовых граждан, и представителей компаний.

Что означает фраза «клиенту выдана электронная подпись»? Как выглядит ЭЦП?

Сама по себе подпись является не предметом, а результатом криптографических преобразований подписываемого документа, и ее нельзя «физически» выдать на каком-либо носителе (токене, smart-карте и т.д.). Также ее нельзя увидеть, в прямом значении этого слова; она не похожа на росчерк пера либо фигурный оттиск. О том, как «выглядит» электронная подпись, расскажем чуть ниже.

---

Справочно:

Криптографическое преобразование — это зашифровка, которая построена на использующем секретный ключ алгоритме. Процесс восстановления исходных данных после криптографического преобразования без данного ключа, по мнению специалистов, должен занять большее время, чем срок актуальности извлекаемой информации.

Flash-носитель — это компактный носитель данных, в состав которого входит flash-память и адаптер (usb-флешка).

Токен — это устройство, корпус которого аналогичен корпусу usb-флешки, но карта памяти защищена паролем. На токене записана информация для создания ЭЦП. Для работы с ним необходимо подключение к usb-разъему компьютера и введения пароля.

Smart-карта — это пластиковая карта, позволяющая проводить криптографические операции за счет встроенной в нее микросхемы.

Sim-карта с чипом — это карта мобильного оператора, снабженная специальным чипом, на которую на этапе производства безопасным образом устанавливается java-приложение, расширяющее ее функциональность.

---

Как же следует понимать фразу «выдана электронная подпись», которая прочно закрепилась в разговорной речи участников рынка? Из чего состоит электронная подпись?

Выданная электронная подпись состоит из 3 элементов:

1 – средство электронной подписи, то есть необходимое для реализации набора криптографических алгоритмов и функций техническое средство. Это может быть либо устанавливаемый на компьютер криптопровайдер (КриптоПро CSP, ViPNet CSP), либо самостоятельный токен со встроенным криптопровайдером (Рутокен ЭЦП, JaCarta ГОСТ), либо «электронное облако». Подробнее прочитать о технологиях ЭЦП, связанных с использованием «электронного облака», можно будет в следующей статье Единого портала Электронной подписи.

---

Справочно:

Криптопровайдер — это независимый модуль, выступающий «посредником» между операционной системой, которая с помощью определенного набора функций управляет им, и программой или аппаратным комплексом, выполняющим криптографические преобразования.

Важно: токен и средство квалифицированной ЭЦП на нем должны быть сертифицированы ФСБ РФ в соответствии с требованиями федерального закона № 63.

---

2 – ключевая пара, которая представляет из себя два обезличенных набора байт, сформированных средством электронной подписи. Первый из них – ключ электронной подписи, который называют «закрытым». Он используется для формирования самой подписи и должен храниться в секрете. Размещение «закрытого» ключа на компьютере и flash-носителе крайне небезопасно, на токене — отчасти небезопасно, на токене/smart-карте/sim-карте в неизвлекаемом виде — наиболее безопасно. Второй — ключ проверки электронной подписи, который называют «открытым». Он не содержится в тайне, однозначно привязан к «закрытому» ключу и необходим, чтобы любой желающий мог проверить корректность электронной подписи.

3 – сертификат ключа проверки ЭЦП, который выпускает удостоверяющий центр (УЦ). Его назначение — связать обезличенный набор байт «открытого» ключа с личностью владельца электронной подписи (человеком или организацией). На практике это выглядит следующим образом: например, Иван Иванович Иванов (физическое лицо) приходит в удостоверяющий центр, предъявляет паспорт, а УЦ выдает ему сертификат, подтверждающий, что заявленный «открытый» ключ принадлежит именно Ивану Ивановичу Иванову. Это необходимо для предотвращения мошеннической схемы, во время развертывания которой злоумышленник в процессе передачи «открытого» кода может перехватить его и подменить своим. Таким образом, преступник получит возможность выдавать себя за подписанта. В дальнейшем, перехватывая сообщения и внося изменения, он сможет подтверждать их своей ЭЦП. Именно поэтому роль сертификата ключа проверки электронной подписи крайне важна, и за его корректность несет финансовую и административную ответственность удостоверяющий центр.

В соответствии с законодательством РФ различают:

— «сертификат ключа проверки электронной подписи» формируется для неквалифицированной ЭЦП и может быть выдан удостоверяющим центром;

— «квалифицированный сертификат ключа проверки электронной подписи» формируется для квалифицированной ЭЦП и может быть выдан только аккредитованным Министерством связи и массовых коммуникаций УЦ.

Условно можно обозначить, что ключи проверки электронной подписи (наборы байт) — понятия технические, а сертификат «открытого» ключа и удостоверяющий центр —  понятия организационные. Ведь УЦ представляет собой структурную единицу, которая отвечает за сопоставление «открытых» ключей и их владельцев в рамках их финансово-хозяйственной деятельности.

Подводя итог вышеизложенному, фраза «клиенту выдана электронная подпись» состоит из трех слагаемых:

1. Клиент приобрел средство электронной подписи.
2. Он получил «открытый» и «закрытый» ключ, с помощью которых формируется и проверяется ЭЦП.
3. УЦ выдал клиенту сертификат, подтверждающий, что «открытый» ключ из ключевой пары принадлежит именно этому человеку.

Вопрос безопасности

Требуемые свойства подписываемых документов: 

• целостность;
• достоверность;
• аутентичность (подлинность; «неотрекаемость» от авторства информации).

Их обеспечивают криптографические алгоритмы и протоколы, а также основанные на них программные и программно-аппаратные решения для формирования электронной подписи.

С определенной долей упрощения можно говорить, что безопасность электронной подписи и сервисов, предоставляемых на ее основе, базируется на том, что «закрытые» ключи электронной подписи хранятся в секрете, в защищенном виде, и что каждый пользователь ответственно хранит их и не допускает инцидентов.

Примечание: при приобретении токена важно поменять заводской пароль, таким образом, никто не сможет получить доступ к механизму ЭЦП кроме ее владельца.

Как подписать файл электронной подписью?

Для подписания файла ЭЦП нужно выполнить несколько шагов. В качестве примера рассмотрим, как поставить квалифицированную электронную подпись на свидетельство на товарный знак Единого портала Электронной подписи в формате .pdf. Нужно:

1. Кликнуть на документ правой кнопкой мышки и выбрать криптопровайдер (в данном случае КриптоАРМ) и графу «Подписать».

2. Пройти путь в диалоговых окнах криптопровайдера:

Выбрать кнопку «Далее».

На этом шаге при необходимости можно выбрать другой файл для подписания, либо пропустить этот этап и сразу перейти к следующему диалоговому окну.

Поля «Кодировка и расширение» не требуют редактирования. Ниже можно выбрать, где будет сохранен подписанный файл. В примере, документ с ЭЦП будет размещен на рабочем столе (Desktop).

В блоке «Свойства подписи» выбираете «Подписано», при необходимости можно добавить комментарий. Остальные поля можно исключить/выбрать по желанию.

Из хранилища сертификатов выбираете нужный.

После проверки правильности поля «Владелец сертификата», нажимайте кнопку «Далее».

В данном диалоговом окне проводится финальная проверка данных, необходимых для создания электронной подписи, а затем после клика на кнопку «Готово» должно всплыть следующее сообщение:

Успешное окончание операции означает, что файл был криптографически преобразован и содержит реквизит, фиксирующий неизменность документа после его подписания и обеспечивающий его юридическую значимость.

Итак, как же выглядит электронная подпись на документе?

Для примера берем файл, подписанный электронной подписью (сохраняется в формате .sig), и открываем его через криптопровайдер.

Фрагмент рабочего стола. Слева: файл, подписанный ЭП, справа: криптопровайдер (например, КриптоАРМ).

Визуализация электронной подписи в самом документе при его открытии не предусмотрена ввиду того, что она является реквизитом. Но есть исключения, например, электронная подпись ФНС при получении выписки из ЕГРЮЛ/ЕГРИП через онлайн сервис условно отображается на самом документе. Скриншот можно найти по ссылке.

Но как же в итоге «выглядит» ЭЦП, вернее, как факт подписания обозначается в документе?

Открыв через криптопровайдер окно «Управление подписанными данными», можно увидеть информацию о файле и подписи.

При нажатии на кнопку «Посмотреть» появляется окно, содержащее информацию о подписи и сертификате.

Последний скриншот наглядно демонстрирует как выглядит ЭЦП на документе «изнутри».

---

Приобрести электронную подпись можно по ссылке.

---

Задавайте другие вопросы по теме статьи в комментариях, эксперты Единого портала Электронной подписи обязательно ответят Вам.

Статья подготовлена редакцией Единого портала Электронной подписи iEcp.ru с использованием материалов компании SafeTech.

При полном или частичном использовании материала гиперссылка на www.iecp.ru обязательна.

Читайте также:

Подписаться

23 августа 2017

Информационная безопасность в мире цифровой экономики

Цифровая экономика стремительно вытесняет старый уклад во всех сферах деятельности современного общества. Трансформируется частная жизнь и рабочие места, появляются новые профессии и инструменты взаимодействия. В эпоху столь масштабных преобразований всё большую актульность принимает проблема информационной безопасности в организациях. Исполнительный директор АЭТП Илия Димитров и заместитель директора Академии Информационных Систем Игорь Елисеев прокомментировали вопрос становления цифровой экономики и основные аспекты обеспечения ИБ в современных компаниях.

Принцип работы ЭЦП

28 ноября 2018

Принцип работы ЭЦП

Электронная цифровая подпись — это реквизит электронного документа, полученный криптографическим изменением информации с закрытым ключом подписи, Электронная подпись — инструмент, который упрощает подпись документа и ускоряет сотрудничество с государственными и муниципальными структурами, работодателями, учебными заведениями через интернет. Организациям электронная подпись упрощает документооборот внутри компании и облегчает взаимодействие с партнерами по бизнесу.

Электронная цифровая подпись помогает понять, не изменена ли информация в электронном документе со времени подписания. Электронная цифровая подпись помогает идентифицировать авторство и удостовериться в факте подписания. Электронная подпись выступает аналогом ручной подписи, преобразованной в цифровую. Электронную цифровую подпись применяют в гражданско-правовых сделках, при оказании государственных и муниципальных услуг, при проведении юридических действий.

Как происходит подписание документа с помощью ЭЦП?

Подпись ставят не на сам документ, а на его хэш. Хэш — это сжатая версия документа. Он нужен, потому что электронные документы весят достаточно много, поэтому на их шифрование уходило бы достаточно много времени. Для вычисления хэша применяют криптографические хэш-функции. Это гарантия того, что любые изменения в документе при проверке подписи будут выявлены.

Преимущество хэш-функций

• Быстрое формирование и подпись из-за меньшего объема информации.
• Хэш-функция позволяет не делить объемный текст на блоки и не терять их порядок.

После того, как получен хэш документа, отправитель шифрует информацию при помощи закрытого ключа. У отправителя документа и его получателя есть два ключа: закрытый и открытый. Оба хранят свои ключи у себя, но закрытый нельзя передавать никому, а открытый можно передавать любому. Закрытый ключ применяется отправителем для шифрования, а открытый ключ использует получатель для расшифровки данных. Благодаря такой схеме можно легко обмениваться секретной информацией с разными получателями с минимальным риском потери информации. Если только получатель не потерял собственный ключ или не передал в руки злоумышленников.

Зашифрованный закрытым ключом хэш отправляется получателю вместе с сертификатом. Сертификат вручает аккредитованный центр сертификации ключей. АЦСК проверяет принадлежность открытого ключа получателю. Открытый ключ находится в сертификате и известен владельцу и получателю.

Информация с цифровой подписью доходит до адресата. Получатель расшифровывает документ с помощью открытого ключа. Узнать, подлинна ли электронная подпись возможно:

• С помощью программного обеспечения.
• На сайте госуслуг.
• Самостоятельно, по значению хеш-функций. Суть проверки — сравнить хэш документа и расшифрованную подпись, и если они совпадают, значит подпись верна.

Иллюстрация подписания и проверки электронного документа

Для хранения закрытого ключа используют:

• USB-накопители,
• дискеты,
• считыватель для ключей,
• защищенную память компьютера
• смарт-карты, пластиковой карты с микросхемой, на которых можно хранить информацию.

По закону «Об электронной подписи», ответственность за хранение закрытого ключа берет на себе его обладатель. Применение электронной цифровой подписи в электронных документах происходит согласно 63-ФЗ. Благодаря электронной подписи российские компании ведут свою деятельность в интернете через системы электронной торговли и обмениваются подписанными документами с партнёрами и клиентами в электронном виде.

Как выглядит электронная подпись и как идентифицировать подлинность документа? Что такое ЭЦП, кем и для каких целей она используется? Ответы на эти вопросы узнайте в нашей статье.

Что такое ЭЦП и кто может ее использовать

С развитием новых технологий электронно-цифровая подпись (ЭЦП) находит все более широкое применение. ЭЦП — электронный аналог личной подписи ответственного лица (а в некоторых случаях и печати организации).

ЭЦП позволяет защитить электронный документ от подделки и придает ему юридическую силу. Документ, заверенный ЭЦП, приравнивается к бумажному варианту, подписанному собственноручно.

ЭЦП бывает двух видов: простая и усиленная. Усиленная, в свою очередь, подразделяется на квалифицированную и неквалифицированную.

Простая ЭЦП — подпись, которая включает в себя определенную последовательность кодов или паролей и подтверждает факт подписания электронного документа определенным лицом.

Усиленная неквалифицированная ЭЦП (НЭП) — подпись, полученная в результате криптографического преобразования информации, которая позволяет выявить:

• ответственное лицо, подписавшее документ;
• факт изменения документа после его подписания.

Усиленная квалифицированная ЭЦП (КЭП) — подпись, которая обладает всеми свойствами неквалифицированной ЭЦП, но при этом имеет сертификат проверки ключа ЭЦП.

Простая и усиленная НЭП соответствуют автографу подписывающего лица на бумажном носителе, а усиленная КЭП — подписи ответственного лица и печати фирмы-заверителя электронного документа (пп. 2, 3 ст. 6 закона 63-ФЗ «Об электронной цифровой подписи»).

Подробнее о простой и усиленной ЭЦП узнайте в материалах:

• «Как сделать простую электронную подпись»;
• «Чем отличаются два основных типа электронных подписей».

Физлицо может получить ЭЦП в удостоверяющем центре (УЦ), аккредитованном Минкомсвязью РФ. Выдаваемый центром комплект включает:

1. Сертификат ключа проверки ЭЦП — как правило, выдается на USB-носителе.
2. Дистрибутив софта «КриптоПро» с активированной лицензией для использования в течение срока действия ключа проверки ЭЦП.

Ключ проверки ЭЦП действует в течение 12 месяцев, после чего подлежит замене.

Руководитель юрлица или ИП с 01.01.2022 получает ЭЦП в налоговой (только в определенных филиалах, список которых можно найти на сайте налоговой) или в доверенных центрах (Сбербанк, ВТБ Банк, АО «Аналитический центр»). Для начала следует приобрести токен, а также установить на компьютер КриптоПРО.

ЭЦП могут использовать юридические лица, подписывая электронную информацию внутри фирмы или обмениваясь электронными документами с внешними контрагентами, а также с контролирующими ведомствами. Зачастую ЭЦП используют и физлица, заверяя документы в формате MS Office или отправляя заявки на получение госуслуг. Физлица также могут получить ЭЦП для обмена электронными документами с ИФНС. Для этого достаточно скачать сертификат ключа проверки в личном кабинете налогоплательщика. Данная возможность недоступна ИП, частным нотариусам и адвокатам.

С 01.01.2022 действуют новые правила получения ЭЦП юрлица — только через ФНС или доверенные лица. Новый порядок описали эксперты КонсультантПлюс. Оформите пробный бесплатный доступ к системе и переходите в Готовое решение.

Как выглядит ЭЦП на документе

Как выглядит электронная подпись на документе — таким вопросом задаются многие пользователи, желающие проверить ту или иную форму на подлинность.

При распечатке электронного документа, заверенного ЭЦП, электронная подпись на бумажном носителе не обнаруживается, поскольку фактически ЭЦП — действие по криптографическому шифрованию информации, которое позволяет однозначно идентифицировать подписанта.

На электронном документе ЭЦП может выглядеть по-разному, поскольку для каждого вида информации предусмотрен свой способ защиты. Это может быть:

1. Набор цифр и букв, который обычному пользователю может показаться случайным. Однако на самом деле такой код обозначает ключ, указанный в проверочном сертификате.
2. Графическая картинка. В электронном виде выглядит как обычный штамп, содержащий подпись ответственного лица и печать предприятия. Подписывающее лицо также может создать стикер с сообщением или заданием получателю, который выводится на экран. Таким функционалом обладает относительно недорогой софт «КАРМА», разработанный российскими программистами.
3. Невидимая ЭЦП, которая считается самым надежным способом защиты подписываемой информации. Незнающий человек попросту не сможет выявить ее наличие, а значит, и подделать ее будет крайне затруднительно. Как правило, такой способ защиты используется в документах, создаваемых в продуктах MS Office. В данном случае строка подписи визуально не определяется, а ЭЦП генерируется как метаданные. Узнать о том, что документ заверен ЭЦП, можно по специальному значку, который появляется в окне «Состояние» в нижней части монитора. При этом заверенный документ не подлежит редактированию.

Пример того, как выглядит ЭЦП на справке 2-НДФЛ, сформированной в личном кабинете налогоплательщика:

Подробности смотрите в материале «2-НДФЛ можно скачать в личном кабинете на сайте ФНС».

Итоги

Выходя за рамки стандартного делопроизводства, электронная подпись все больше внедряется в жизнь обычных интернет-пользователей, позволяя своим владельцам сэкономить массу времени. Физлицам предоставлена возможность скачать сертификат проверки подписи в личном кабинете налогоплательщика, а также добавить ее в электронную систему своего электронного паспорта. Юрлица могут получить ЭЦП в ФНС или у доверенных лиц.

Вопрос, как выглядит электронная цифровая подпись на документе, не имеет однозначного ответа, поскольку для каждого вида подписи и подписываемого файла предусмотрен свой уникальный метод защиты информации. ЭЦП может быть невидимой, состоять из кодового набора букв и цифр, обозначающих ключ проверки сертификата, или же выглядеть в электронном виде как штамп с подписью и печатью. 

Как подписать документ электронной подписью: главные особенности процедуры

Дмитрий Пангин
Генеральный директор АО «Пененза» (ранее руководитель АО «ОТС»)

Специализация: закупки по 44-ФЗ и 223-ФЗ, коммерческие тендеры

дата: 09.11.2021

Электронная или электронно-цифровая подпись (ЭП) – это реквизит документа, сформированный с помощью оригинальной комбинации символов для того чтобы придать документу юридическую силу. Сегодня мы расскажем об основных преимуществах ЭП, а также о том, как заверить документы электронной цифровой подписью и какие программные модули для этого используются.

---

Содержание

1. Область применения электронной подписи
2. Разновидности и возможности электронной подписи
3. Для чего нужен сертификат электронной подписи
4. Программы для подписания документа ЭП
5. Правила использования цифровой подписи в MS Word

---

Область применения электронной подписи

К наиболее популярным сферам применения ЭП относится:

• ► Электронный документооборот – ЭП часто применяется в качестве замены обыкновенной подписи либо печати в системах кадрового, торгового и другого делопроизводства.

Совет: Во внутреннем делопроизводстве подпись можно применить в качестве средства визирования – к примеру, договор может передаваться в исполнение, если при согласовании руководитель компании подписал его ЭП. При формировании документооборота в сфере B2B ЭП выступает гарантом законности.

• ► Отчётность – большинство организаций предпочитают сдавать документацию в электронном виде, используя отдельное ПО, программные продукты 1C, а также порталы ФНС и ФСС.
• ► Государственные услуги – ЭП часто используется для заверения документации, отправляемой в электронной форме.
• ► Торги – ЭП используется поставщиками для того, чтобы обеспечить заключаемым контрактам законную силу.
• ► Суд – подпись сможет послужить доказательством при появлении разногласий между предприятиями.
• ► Делопроизводство с физлицами – например, при помощи ЭП можно работать удалённо.

Разновидности и возможности электронной подписи

Разновидности подписи утверждены ФЗ № 63 от 06.04.2011. Любой вид ЭП гарантирует конфиденциальность информации, идентифицирует автора документации и предоставляет возможность контроля внесённых в документ изменений. Использование такой подписи существенно сокращает затраты, связанные с оформлением, анализом и хранением документации.

Применение ЭП позволяет:

• • уменьшить время, необходимое для оформления сделки и обмена документацией;
• • усовершенствовать процедуру подготовки и доставки документации;
• • выстроить эффективную структуру обмена документацией;
• • минимизировать риски, связанные с материальными потерями.

Подпись может быть:

• ➊ простой – предполагает подтверждение с применением паролей либо кодов;
• ➋ усиленной неквалифицированной – образуется в процессе криптографической обработки информации и позволяет установить, кто именно подписал тот или иной документ;
• ➌ усиленной квалифицированной – этот вид подразумевает применение наработок криптозащиты, обладающих сертификацией Федеральной службы безопасности РФ.

Для чего нужен сертификат электронной подписи

Этот бумажный либо электронный документ указывает на принадлежность электронной подписи собственнику и позволяет проверить её подлинность.

Сертификат включает такие элементы, как:

• ✔ ключ проверки;
• ✔ название центра, который выпустил данный сертификат, а также дату его действия;
• ✔ данные об ограничениях при использовании подписи и её владельце (ФИО, СНИЛС, ИНН и проч.).

Создание ключа сертификата производится при помощи средств криптографической защиты информации, поэтому все сведения надёжно защищены.

Совет: Желаете начать работать с ЭП? Тогда за сертификатом следует обратиться в удостоверяющий центр (СКПЭП), затем заполнить онлайн‑заявление, оплатить счёт и подготовить документацию, связанную с идентификацией.

Программы для подписания документа ЭП

Для подписания документации ЭП понадобится сам документ, действующий сертификат и специальные программы.

Существует несколько программ, используемых для подписания документации ЭП – к самым популярным из них относится:

• → ViPNet CryptoFile – эта бесплатная программа позволяет подписывать документацию в форматах doc, xls, jpg, xml и txt, однако при визировании можно добавлять только одну ЭП.
• → КриптоАРМ – программа с платным ПО, которая даёт возможность добавлять большое количество ЭП.
• → OTC-crypto – программа, доступная как для юридических, так и для физических лиц, которые находятся в любом регионе РФ.

Совет: Если вы планируете получить ЭП посредством OTC-crypto, то для этого вам потребуется пройти простую процедуру регистрации – указать контактные данные (ФИО, e-mail и номер телефона) и придумать пароль.

Правила использования цифровой подписи в MS Word

Заявления, судебные иски, различные договоры и другие документы в MS Word можно подписывать без применения специализированного программного обеспечения. Для этого к обычному пакету Microsoft Office необходимо скачать плагин «КриптоПро Office Signature 2.0». При этом на ноутбуке или персональном компьютере должна быть установлена ОС старше 2007 г.

Подписание ЭП в MS Word осуществляется в несколько этапов:

• ■ откройте документ, найдите раздел «Файл», нажмите на блок «Защита документа» и выберите пункт «Добавить цифровую подпись»;
• ■ после добавления подписи в окне «Подписание» нужно указать роль подписанта и выбрать сертификат (если к вашему персональному компьютеру или ноутбуку привязано несколько сертификатов, то Word автоматически подтянет последнюю версию ЭП, а для изменения текущего положения следует перейти в настройки, нажав на строку «Изменить»);
• ■ заполните обязательные поля, нажмите на кнопку «Подписать» – и сертификат соединится с документом, обеспечив его надёжную защиту.

Как видим, ЭП является программно-криптографическим средством, обеспечивающим конфиденциальность и проверку целостности документов, а также установку лиц-отправителей. В сфере госзакупок ЭП подписываются любые поданные заявки – подобная процедура позволит заказчикам быть уверенными в том, что они имеют дело с конкретными существующими участниками. Кроме того, все контракты, заключаемые по итогам закупок, начинают действовать исключительно после визирования при помощи ЭП.

Подпись – один из важнейших реквизитов документа. В ряде стран документ становится легитимным лишь при наличии подписи уполномоченного лица, без проставления на нем печати организации. Нечто подобное встречается и в нашей стране. Например, при оформлении счета-фактуры законодатель не требует заверять подписи лиц печатью выдавшей ­организации или индивидуального предпринимателя.

Козлова С.Ю.

Но развитие современных технологий вносит свои коррективы и в эту сферу отношений. С одной стороны, такие нововведения призваны облегчить процесс подписания документов и расширить возможности применения подписи для удостоверения, например, электронных документов. С другой стороны, очень важно при этом действовать в соответствии с законодательством, дабы избежать ситуаций, когда юридическая сила документа может быть оспорена в силу неправомерного использования того или иного аналога собственноручной подписи.

Кто и на каком основании

Подпись как реквизит документа выполняет, по крайней мере, три функции:

• она удостоверяет личность подписавшего;
• гарантирует, что он не сможет отказаться от подписанного;
• является подтверждением того, что отправитель заверил соответствующим образом именно тот документ, который отправил, а не какой-либо другой.

Согласно Гражданскому кодексу для удостоверения любых сделок требуется личная подпись гражданина. Перечень случаев, когда документ может быть подписан другим лицом, является исчерпывающим: наличие у гражданина физических недостатков, тяжелой болезни или его неграмотность. При этом подпись другого лица удостоверяется нотариусом. Однако Гражданский кодекс оговаривает ситуации, когда подпись документа возможна только лицом, от которого он исходит. Так, закрытое завещание должно быть собственноручно написано, причем подписано именно завещателем. Несоблюдение этих правил влечет недействительность завещания. Его подписание каким-либо другим, даже уполномоченным завещателем лицом, не допускается.

В организации правом подписи документов наделены лишь руководитель и главный бухгалтер. Этот перечень может быть расширен по решению руководителя, которое оформляется в виде соответствующего приказа или доверенности в зависимости от того, состоит ли лицо, наделяемое правом подписи, в штате организации. Поскольку приказ является внутренним документом, то передать право подписи по нему можно лишь работнику организации. Доверенность же предполагает такую возможность и применительно к лицу, не связанному с организацией трудовыми отношениями. Доверенность от имени юридического лица может быть выдана только руководителем или лицом, уполномоченным на это учредительными документами.

Судебно-арбитражная практика

Между ООО «ПроЛед» и ООО «Политекс» был заключен договор на поставку материалов и комплектующих от 28.11.2005 г. № ДП234, по условиям которого продавец обязуется передать в собственность покупателя товар в соответствии с письменными заказами покупателя, являющимися неотъемлемой частью договора, покупатель обязуется принимать и оплачивать товар.

Исполнение своих обязательств по договору истец обосновывает соответствующими товарными накладными. Однако данные накладные не имеют ссылки на договор № ДП234 от 28.11.2005 г., а также подписаны со стороны ответчика неуполномоченным лицом, так как отсутствует ­соответствующая доверенность или иное основание.

В соответствии со статьей 53 Гражданского кодекса, подпунктами 12–14 Положения по ведению бухгалтерского учета и бухгалтерской отчетности в РФ, статьи 9 закона «О бухгалтерском учете» документами, подтверждающими передачу и приемку товаров, являются акт о приемке товаров либо товарная накладная, подписанные руководителем предприятия и главным бухгалтером либо уполномоченными лицами. При этом в силу статей 182, 186 Гражданского кодекса такие полномочия представителя должны быть подтверждены в доверенности, выдаваемой представляемым (постановление Девятого арбитражного апелляционного суда от 30.01.2007 г. № 09АП-18701/2006-ГК).

Как правило, учредители при разработке устава будущего общества не придают особого значения урегулированию данного вопроса. В результате складывается ситуация, когда право выдачи доверенностей будет принадлежать только руководителю организации. А это не всегда удобно, поскольку в любой организации обстоятельства могут сложиться таким образом, что руководитель временно отсутствует, а доверенность, например, на получение ТМЦ, необходимо подписать здесь и сейчас.
Иными словами, не будет лишним в уставе указать должности лиц, обладающих правом подписи доверенностей. Если таких должностных лиц будет несколько, имеет смысл уточнить, какие именно доверенности вправе подписывать то или иное уполномоченное лицо.

Аналоги собственноручной подписи

В деятельности любой организации возможна ситуация, когда руководитель (или другое уполномоченное лицо) отсутствует на месте, а подписать документы надо немедленно. В этом случае на помощь может прийти факсимиле. Не исключена и необходимость передачи документа по электронным каналам связи. При этом сканирование не способно обеспечить его безопасность. В этом случае, чтобы сохранить первоначальный смысл и реквизиты документа и исключить вероятность прочтения его третьими лицами, следует воспользоваться электронной цифровой подписью (ЭЦП). Только факсимиле и ЭЦП являются на настоящий момент закрепленными в российском законодательстве аналогами собственноручной подписи.

Право использования при совершении сделок аналога собственноручной подписи имеет ряд ограничений. В частности, такое использование допускается лишь в случаях и в порядке, предусмотренных законом, иными правовыми актами или соглашением сторон. Однако до сих пор законодатель не выработал четкой и однозначной позиции в отношении использования факсимиле и электронной цифровой подписи.

Факсимиле

Факсимильное воспроизведение подписи с помощью средств механического или иного копирования упоминается в Гражданском кодексе. Но, как сказано в письме МНС РФ от 01.04.2004 г. «Об использовании факсимиле подписи», поскольку в действующем законодательстве отсутствует регламентация данного вопроса, то применение факсимиле допускается только при взаимном соглашении сторон, которое может быть выражено либо непосредственно в договоре (оговоркой, что документы, заверенные подобным образом, имеют юридическую силу), либо путем направления соответствующих писем. Но даже тогда применение факсимиле весьма ограничено: согласно тому же письму МНС оно не допускается на доверенностях, платежных и других документах, имеющих финансовые последствия.

Судебно-арбитражная практика

В своих исковых требованиях ГУП ссылается на договор и акт сдачи-приемки проектной документации. В результате анализа представленных документов суд установил, что договор, приложения к договору (календарный план работ, сводная смета, сметы № 1–3) и акт сдачи-приемки проектной документации со стороны ответчика ЗАО «Сетьстрой» непосредственно генеральным директором С. не подписаны. Указанные документы оформлены с использованием факсимиле генерального директора.

В соответствии с пунктами 1 и 2 статьи 160 Гражданского кодекса сделка в письменной форме должна быть подписана лицом или лицами, совершающими сделку, или должным образом уполномоченными ими лицами; использование при совершении сделок факсимильного воспроизведения подписи либо иного аналога собственноручной подписи допускается в случаях и в порядке, предусмотренных законом, иными актами или соглашением сторон.

Истцом не представлено каких-либо доказательств, свидетельствующих о том, что использование факсимильной подписи на договорной документации в данном случае предусмотрено соглашением сторон. Порядок использования факсимиле подписи при оформлении сделок законом или иными правовыми актами не определен. Следовательно, при оформлении договора волеизъявление ЗАО «Сетьстрой» в установленном порядке не выражено, в связи с чем суд сделал обоснованный вывод о том, что указанный договор не считается заключенным.

Ссылка истца на акт сдачи-приемки проектной документации является несостоятельной, поскольку указанный акт оформлен таким же образом, то есть при помощи факсимильного изображения подписи генерального директора ответчика (постановление Девятого арбитражного апелляционного суда от 04.11.2004 г. № 09АП-3722/04ГК).

В ходе проверок деятельности организаций налоговыми органами чаще всего встает вопрос о правомерности использования факсимиле на счете-фактуре.

ФНС в письме от 17.05.2005 г. № ММ-6-03/404@ признает недейст­вительными счета-фактуры, оформленные таким образом, и отказывает налогоплательщику в праве предъявлять их в целях вычета или возмещения суммы НДС, ссылаясь на то, что в соответствии с Налоговым кодексом счет-фактура подписывается руководителем и главным бухгалтером организации либо иными лицами, уполномоченными на то приказом (иным распорядительным документом) по организации или доверенностью от имени организации. Указание на возможность факсимильного подписания счета-фактуры в Налоговом кодексе отсутствует.

Однако арбитражные суды еще не выработали единой позиции по данному вопросу. В практике судов встречаются как решения в пользу ­налоговых органов в этом вопросе, так и против.

Судебно-арбитражная практика

Действующим налоговым законодательством и законодательством о бухгалтерском учете не конкретизировано, каким способом должны подписываться счета-фактуры. Факсимильное воспроизведение подписи является аналогом собственноручной подписи. Так как законом не предусмотрены негативные последствия принятия к вычету НДС на основании счетов-фактур, подписанных факсимиле, суд пришел к выводу о том, что Общество имеет право на вычет на основании статей 171 и 172 Налогового кодекса (постановление ФАС Московского округа от 26.04.2005 г. № КА-А40/2975-05).

Судебно-арбитражная практика

Довод налогового органа о том, что представленные заявителем счета-фактуры оформлены с использованием факсимильного воспроизведения подписи Н. в качестве руководителя организации и лица, разрешившего отпуск товара со склада ООО ПТК «Машпрофиль», что ставит под сомнение объективность существования данных документов, не принимается во внимание, поскольку закон не содержит ограничений в части способа выполнения подписи руководителя на счете-фактуре. Факсимильная подпись, то есть оттиск подписи с помощью клише (печати), представляет собой способ выполнения собственноручной ­подписи. Проставление факсимиле не свидетельствует о несоблюдении требований статьи 169 Налогового кодекса о подписании счета-фактуры руководителем поставщика (постановление Девятого арбитражного ­апелляционного суда от 23.08.2006 г. № 09АП-10337/2006-АК).

Судебно-арбитражная практика

Законодательство о бухгалтерском учете, а также о налогах и сборах не предусматривает использование факсимильного воспроизведения подписи руководителя при оформлении первичных документов и счетов-фактур. По­скольку материалами дела подтверждается наличие в действиях заявителя и его поставщиков признаков недобросовестности, отказ в возмещении НДС является обоснованным (постановление ФАС Поволжского округа от 03.05.2007 г. № А57-4249/06).

Электронная цифровая подпись (ЭЦП)

В отношении подписания счетов-фактур электронной цифровой ­подписи (ЭЦП) налоговые органы придерживаются аналогичной позиции (признают недействительными). И опять инспекторы ссылаются на то, что такой вид подписи не предусмотрен в статье 169 Налогового кодекса.

Но, в отличие от факсимиле, в отношении ЭЦП есть возможность оспорить позицию ИФНС, основываясь на законе от 10.01.2002 г. ­№ 1-ФЗ «Об электронной цифровой подписи». В соответствии с ним действие закона распространяется на отношения, возникающие при совершении гражданско-правовых сделок и в других предусмотренных законодательством РФ случаях. Исходя из данного положения, можно сделать вывод о том, что действие закона распространяется не только на гражданские правоотношения. Однако для использования ЭЦП в других отраслях права необходимо прямое указание на это соответствующего законодательного акта.

Указание на возможность использования ЭЦП при подписании счета-фактуры в Налоговом кодексе отсутствует. На основании этого Министерство по налогам и сборам в письме от 21.04.2004 г. № 03-1-08/1039/17 заметило, что счета-фактуры, оформленные таким образом, признаются недействительными. На этом основании налогоплательщику будет отказано в праве предъявлять такие счета-фактуры к вычету или возмещению суммы НДС.

Кроме того, налоговики, обосновывая свою позицию, ссылаются на то, что налоговые правоотношения, к сфере ведения которых и относятся, собст­венно говоря, счета-фактуры, регулируются законодательством ­Российской Федерации о налогах и сборах, а не гражданским законодательством.

На сегодняшний момент Налоговый кодекс содержит лишь одно упоминание о правомерном использовании информации в электронном виде – пунктом 2 статьи 80 предоставлено право представления в электронном виде налоговой декларации по установленной форме в налоговый орган по месту своего учета.

Свою позицию налоговые органы подтвердили еще раз в письме ФНС России от 14.02.2005 г. № 03-1-03/210/11.

С другой стороны, пункт 6 статьи 169 Налогового кодекса, на который ссылаются налоговые органы, не конкретизирует, что в данном случае речь идет именно о личной подписи. Прямого запрета на использование аналогов собственноручной подписи нет. Как, впрочем, и прямого разрешения.

И поэтому позиция налоговых органов выглядит более убедительной – ведь в Налоговом кодексе не предусмотрена возможность использования ЭЦП на счетах-фактурах.

Надо заметить, что и суды придерживаются той же позиции. Некоторые юристы в обоснование противоположной позиции приводят в качестве примера следующее постановление.

Судебно-арбитражная практика

Суд признал довод налоговой инспекции о нарушении порядка подписания счетов-фактур незаконным, так как право на налоговые вычеты по ряду сделок купли-продажи имущества подтверждалось обществом представлением счетов-фактур с наличием электронной цифровой подписи (постановление ФАС Уральского округа от 11.05.2006 г. № Ф09-3600/06-С2 № А47-8175/05).

Но они забывают о главном – при рассмотрении дела в суде налогоплательщик представил счета-фактуры с собственноручной подписью руководителя и главного бухгалтера. Возможно, это и сыграло решающую роль при вынесении судом своего решения.

Что такое электронная цифровая подпись?

Согласно закону электронной цифровой подписью признается реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе.

Суть ЭЦП можно выразить в нескольких словах: если пересылаемый документ будет каким-либо образом изменен, то проверка подписи будет неудачной и, следовательно, будет неудачной и попытка открыть сам документ.

С понятием ЭЦП тесно связано понятие сертификата ключа подписи, действием которого определяется равнозначность ЭЦП собственноручной подписи. Сертификат ключа подписи – документ на бумажном носителе или электронный документ с электронной цифровой подписью уполномоченного лица удостоверяющего центра, которые включают открытый ключ электронной цифровой подписи и выдаются удостоверяющим центром участнику информационной системы для подтверждения подлинности электронной цифровой подписи и идентификации владельца сертификата ключа подписи.

Сертификат выдается удостоверяющим центром и содержит следующие сведения:

• уникальный регистрационный номер ключа подписи;
• даты начала и окончания срока действия сертификата ключа подписи;
• фамилию, имя и отчество владельца сертификата ключа подписи;
• открытый ключ электронной цифровой подписи;
• наименование удостоверяющего центра, выдавшего сертификат ключа подписи;
• значение ЭЦП под открытым ключом подписи владельца, сгенерированное с использованием закрытого ключа ЭЦП удостоверяющего центра.

Немаловажное значение для лиц, планирующих в будущем использование ЭЦП, имеет уже упомянутый выше удостоверяющий центр. В законе нет указания на то, что удостоверяющим центром может быть только государст­венный орган. Единственное требование – это должно быть юридическое лицо, выполняющее функции, предусмотренные законом.

Удостоверяющий центр осуществляет весь комплекс мероприятий, направленных на упорядочение отношений в сфере использования ЭЦП.

Удостоверяющий центр может быть как сторонней организацией по отношению к владельцу сертификата ключа подписи, так и быть созданным внутри организации – владельца сертификата. Все зависит от целей использования ЭЦП. Если речь идет об использовании ЭЦП в документах, передаваемых контрагентам, то здесь необходимо участие стороннего удостоверяющего центра. Только в этом случае у сторон не возникнут в дальнейшем обвинения в предвзятости внутреннего удостоверяющего центра контрагента. При этом решение сторон о выборе того или иного удостоверяющего центра должно быть зафиксировано документально, например, в договоре.

Если ЭЦП необходима прежде всего для организации внутреннего документооборота, то для компании имеет смысл создание внутреннего удостоверяющего центра. Особенно если речь идет о крупных компаниях с широкой филиальной сетью.

Регламент использования ЭЦП

В любом случае, пожалуй, основным документом, который позволит упорядочить отношения, связанные с использованием ЭЦП, и, как следст­вие, в дальнейшем позволит использовать документы, подписанные ЭЦП для решения спорных ситуаций, в том числе и в суде, является своеобразный регламент использования ЭЦП. Причем в разработке указанного документа должны принимать участие не только разработчики программных средств, необходимых для реализации ЭЦП, но и юристы, поскольку имеется целый ряд вопросов, решение которых невозможно без согласования ­с действующим законодательством.
На что же следует обратить внимание в первую очередь при подготовке подобного регламента?

1. Регламент должен четко определять сферы применения ЭЦП и ее место в документообороте компании. Необходимо четко определить, при подписании каких именно документов будет использоваться ЭЦП. Несомненно, наибольший эффект от использования ЭЦП возможен при ее максимальном применении в компании. Однако тут стоит исходить из требований законодательства – определенные документы признаются юридически значимыми только в бумажном виде (например, счет-фактура, о чем уже говорилось).

2. Как и в случае с документами, необходимо определить круг лиц, полномочных использовать ЭЦП. Лицам, наделенным правом использования ЭЦП, следует помнить о том, что нельзя просто взять и передать свой сертификат ключа другому лицу в случае, например, своей болезни или отпуска. Во-первых, сертификат ключа содержит данные о фамилии, имени и отчест­ве своего владельца и при его использовании кем-либо другим документ все равно окажется подписанным владельцем сертификата. А, во-вторых, сертификат содержит информацию о ключах ЭЦП, что является конфиденциальной информацией. Поэтому передача полномочий по использованию ЭЦП должна быть четко прописана в регламенте. Например, необходимо предусмотреть, что сертификат ключа может быть передан определенному лицу, а сама передача должна оформляться соответствующим ­распорядительным актом.

В этой связи примечателен судебный процесс, который является лишь одним из примеров в целой череде подобных разбирательств.

Судебно-арбитражная практика

ОАО «Ростелеком» обратилось в суд с иском к ОАО «Сберегательный банк России» о взыскании убытков в сумме 29 580 850 руб. По словам истца, между сторонами заключен договор банковского счета с дополнениями к нему, а также приложение к этому договору о предоставлении услуг с использованием системы «Клиент-Сбербанк» на осуществление операций по счету в виде электронных документов и передаче выписок в виде электронных документов. 02.08.1999 г. со счета истца по электронному платежному поручению было списано 29 580 850 рублей. Однако указанное платежное поручение в виде электронного документа истец ответчику не передавал, по факту необоснованного списания денежных средств возбуждено уголовное дело.

При рассмотрении иска было доказано, что платеж был произведен с терминала компании, подключенного к системе «Клиент-банк», и при этом был использован подлинный электронный ключ заместителя генерального директора ОАО «Ростелеком». Истец не представил доказательств несанкционированного вмешательства, а также доказательств утраты или иного выбытия дискеты, содержащей ЭЦП, лицом, имеющим право на ее применение. Результаты проведенной экспертизы показали, что информационная система банка работала нормально и несанкционированного доступа к ней не было.

В итоге арбитражный суд иск компании отклонил, и попытка компенсировать ущерб за счет обслуживающего банка не удалась (постановление ФАС Московского округа от 05.11.2003 г. № КГ-А40/8531-03-П).

Что произошло на самом деле, в решении арбитражного суда не говорится, но можно лишь догадываться. Скорее всего, загруженный работой руководитель компании не успевал подписывать финансовые документы для отправки в банк и передал эту обязанность вместе со своей электронно-цифровой подписью кому-то из сотрудников. Сотрудник же в какой-то момент воспользовался ЭЦП руководителя для кражи денег компании.

3.  Оба вышеперечисленных условия (определение сферы применения и круга лиц) должны быть взаимосвязаны – необходимо определить, кто и на какие документы вправе ставить свою ЭЦП. Это также поможет избежать ситуаций с одновременным подписанием одного и того же документа с использованием ЭЦП различными лицами.

Итак, использование факсимиле и электронной цифровой подписи требует соблюдения ряда правил, игнорирование которых может повлечь ­недействительность документов с подобными реквизитами.

Правомерность использования ЭЦП на тех или иных документах на сегодняшний день остается достаточно спорным вопросом. Можно сказать, что законодатель без должного внимания отнесся к решению этого вопроса. Он ограничился лишь принятием закона, содержащего общие положения. В этой ситуации каждый орган вправе самостоятельно решать, разрешать ли использование ЭЦП в документах, касающихся его сферы деятельности, или нет. Отсутствие единой правовой позиции делает использование ЭЦП крайне проблематичным. А это не в последней степени влияет на вхождение российских компаний в мировую экономику в качестве полноправных участников.

Не секрет, что в российском, как, впрочем, и в любом другом законодательстве, доказательством проведения той или иной операции признается наличие соответствующих документов.

И если раньше речь шла исключительно о документах в бумажном виде, то в настоящее время развитие информационных технологий привело к тому, что электронные документы в своих правах уравнялись с бумажными собратьями.

В мае 2007 года Россия подписала Конвенцию ООН об использовании электронных сообщений в международных договорах, став тем самым десятой страной, признающей документы в электронной форме наравне с традиционной бумажной формой.

Электронные сообщения в международных договорах

Конвенция ООН об использовании электронных сообщений в международных договорах вступила в силу для нашей страны в декабре 2007 года (подписана в Нью-Йорке 23 ноября 2005 года). С этого момента российские компании получили право использовать электронные сообщения при работе с международными договорами.

На что стоит обратить внимание при принятии решения ­об использовании электронных сообщений в договорных правоотношениях?

Прежде всего стоит отметить, что Конвенция имеет ограниченную сферу применения. Она применяется лишь к международным договорам, то есть к договорам, стороны (коммерческие предприятия) которых находятся в разных государствах. Причем последнее должно быть подтверждено соответствующей оговоркой в самом договоре.

Только указание в самом договоре на местонахождение сторон может служить свидетельством такого местонахождения. В случае возникновения спора обязанность доказывания обратного лежит на другой стороне. Таким образом, коммерческим предприятием стороны считается место, указанное этой стороной, если только другая сторона не докажет, что сторона, сделавшая такое указание, не имеет коммерческого предприятия в этом месте.

Немаловажным обстоятельством, на которое следует обратить внимание сторонам электронного договора, является то, что простое использование какой-либо из сторон доменного имени или адреса электронной почты, связанных с конкретной страной, не свидетельствует о том, что коммерческое предприятие находится именно в этой стране. Это положение практически ставит под сомнение необходимость регистрации доменного имени ­за пределами страны, в которой зарегистрировано предприятие.

Также не является доказательством местонахождения коммерческого предприятия и тот факт, что в этом месте находятся оборудование и технические средства, поддерживающие информационную систему, ­используемую стороной в связи с заключением договора.

Единственным свидетельством местонахождения сторон является прямое указание об этом в договоре. Думается, что таким образом разработчики Конвенции попытались избежать обязательного применения Конвенции ко всем международным договорам. Стороны сами вправе решать, будут ли они в процессе заключения и исполнения договора руководствоваться положениями данной Конвенции. Принятие Конвенции не означает обязательное ее использование. Конвенция не требует от какой-либо стороны использовать или принимать электронные сообщения. Однако согласие стороны на это может быть выведено не только из условий договора, но и из поведения этой стороны.

Другими словами, фактическое принятие стороной электронных сообщений и ответ на них уже может свидетельствовать о ее согласии на применение Конвенции к договору, в рамках которого и осуществлялась эта электронная переписка. Поэтому, дабы избежать применения Конвенции в отношении своего договора, сторонам следует либо включить соответствующий пункт в договор, либо избегать обмена существенной информацией по электронной почте.

Кроме этого, в Конвенции предусмотрены случаи, когда она не применяется независимо от воли сторон. Это относится к следующим документам и действиям:

• договоры, заключенные в личных, семейных или домашних целях;
• сделка на фондовом рынке;
• сделки с иностранной валютой;
• межбанковские платежные системы и соглашения, расчетно-клиринговые системы для ценных бумаг или других финансовых инструментов;
• передача, продажа, ссуда, владение обеспечительными правами в ценных бумагах или других финансовых инструментах, хранящихся у посредника, а также соглашение об их обратной покупке;
• переводные и простые векселя;
• транспортные накладные, коносаменты, складские расписки и любые другие оборотные документы, которые дают предъявителю или бенефициару право требовать поставки товаров или платежа ­денежной суммы.

Конвенция фактически признает юридическую силу электронных сообщений, указав на возможность их использования в суде, поскольку сообщение или договор не могут быть лишены действительности или исковой силы лишь на том основании, что они составлены в форме электронного сообщения.

Но как быть с документами, в отношении которых, например, российским законодательством предусмотрена обязательная письменная форма либо в отношении которых установлены сроки хранения подлинников до 30 лет?

Согласно Конституции РФ нормы международного права имеют превалирующее значение в отношении норм внутреннего российского законодательства. Поэтому, думается, что суды при рассмотрении спорных ситуаций будут руководствоваться все-таки положениями Конвенции, в которой, кстати говоря, предусмотрены способы решения данных вопросов.

Так, в случаях, когда в соответствии с законодательством документ должен быть составлен в письменной форме, при несоблюдении которой документ признается недействительным, считается, что требование законодательства выполнено путем представления электронного сообщения, если содержащаяся в нем информация является доступной для ее последующего использования.

В случаях же, когда договор должен быть подписан стороной и только в этом случае согласно законодательству приобретает юридическую силу, требование законодательства считается выполненным в отношении электронного сообщения, если для идентификации стороны и указания намерения этой стороны в отношении информации использован способ, который является надежным. Критерий надежности в данном случае определяется целью подготовки и передачи электронного сообщения. Иными словами, чем выше значение пересылаемой информации, тем выше должен быть и уровень надежности способа идентификации пересылающей стороны.

О каких способах идет речь? К сожалению, в самой Конвенции не содержится хотя бы примерного перечня. Однако, исходя из практики, можно предположить, что речь, скорее всего, идет об электронной цифровой подписи (ЭЦП). Именно этот способ идентификации не только гарантирует неизменность передаваемого документа, но и позволяет с точностью определить лицо, подписавшее пересылаемый документ.

Простое сканирование документа не может дать стопроцентную гарантию сохранности содержания документа при его хранении, а уж тем более – при его пересылке. Поэтому применение этого способа идентификации оправдано лишь в отношении малозначительных документов. С другой стороны, могут ли быть документы, относящиеся к договору, малозначительными? Полагаем, что нет. Ведь все, что содержится в этих документах, так или иначе связано с исполнением договорных условий.

Поэтому приходится признать, что на настоящий момент единственным способом идентификации подписавшего документ человека является использование ЭЦП.

Не исключена и ситуация, когда в соответствии с законодательством документ подлежит хранению определенный период времени, причем в подлинной форме. В таком случае требование законодательства считается выполненным в отношении электронного сообщения, если оно отвечает одновременно двум условиям:

• имеются надежные доказательства целостности информации с момента создания электронного сообщения в окончательной редакции и
• существует возможность предоставления информации в случае ­соответствующего запроса от уполномоченного на то лица.

При этом степень надежности также определяется целью, для которой информация была подготовлена, а критерием оценки целостности является сохранение информации в полном и неизменном виде, без учета любых изменений, которые обычно вносятся в документ в процессе его передачи, хранения и демонстрации.

Таковы лишь основные положения Конвенции ООН об использовании электронных сообщений в международных договорах. Ее актуальность на практике будет подтверждена или опровергнута в дальнейшем.

Само собой разумеется, что Конвенции ООН носят, как правило, рекомендательный характер и редко используются на практике. Однако именно они и закрепленные в них положения являются стимулом для внесения соответствующих поправок в национальное законодательство ­и в международное право в целом.

Пока сложно говорить о значимости Конвенции для российских компаний, поскольку отсутствуют прецеденты. В любом случае российским компаниям следует быть готовыми к тому, что те или иные иностранные партнеры выступят с предложением об использовании электронных сообщений в договорных отношениях. И поэтому уже сейчас необходимо подготовиться к такому использованию, в том числе и путем решения вопроса о применении в своей деятельности электронной цифровой подписи.

Автор — ведущий юрист ОАО «Оптима иКСчейндж Сервисез» (OXS).