Электронная подпись — это инструмент, подтверждающий личность владельца и обеспечивающий юридическую силу документов. Однако небрежное хранение или учет ключей ЭП может привести к утечке данных, мошенничеству и финансовым потерям.
Закрытый ключ и сертификат ЭП содержат информацию, которая требует защиты в соответствии с Федеральным законом № 152-ФЗ «О персональных данных», № 63-ФЗ «Об электронной подписи» и требованиями ФСБ России к криптографии.
В этой статье мы объясним, как безопасно работать с ЭП, кто является оператором персональных данных и какие шаги помогут защитить ваш бизнес.
Астрал Подпись — инструмент для работы на госпорталах, участия в торгах, ЭДО и сдачи отчётности. Выберите сертификат электронной подписи для ваших задач. Подробнее
Почему ЭП связана с персональными данными
Квалифицированная электронная подпись (КЭП) состоит из двух элементов:
1. Закрытый ключ — уникальная последовательность символов, доступная только владельцу. Компрометация ключа позволяет злоумышленникам действовать от вашего имени, как будто они завладели вашей рукописной подписью.
2. Сертификат ключа проверки — содержит данные владельца, такие как ФИО и СНИЛС, которые позволяют идентифицировать человека и проверить подпись.
Каждое использование КЭП для подписания документа фиксирует информацию о владельце: кто, когда и что подписал. Это считается обработкой персональных данных и требует соблюдения 152-ФЗ.
Электронная подпись в 2025 году: ответы на вопросы
Сергей Феоктистов
Оператором персональных данных считается любое лицо или организация, которые собирают, хранят или обрабатывают персональные данные. Это могут быть компании, предприниматели, самозанятые или даже частные лица. Персональные данные могут относиться как к сотрудникам внутри организации, так и к клиентам, пациентам, ученикам и другим людям извне.
Оператор обработки персональных данных: обязанности и функции в 2025 году
Дарья Алексеева
Аккредитованный удостоверяющий центр также является оператором персональных данных, так как при оформлении сертификата КЭП он собирает и обрабатывает персональные данные своих клиентов. Каждый оператор обязан защищать эти данные и соблюдать законодательство.
Кто с кем взаимодействует
- Владелец сертификата ЭП использует КЭП для подписания документов.
- Аккредитованный удостоверяющий центр, например, Калуга Астрал, выпускает сертификат КЭП и хранит информацию о выданном сертификате.
- Контрагенты и госорганы проверяют подписи через сертификаты подписи.
Какие данные хранятся
- У владельца ЭП: закрытый ключ на токене или компьютере и сертификат.
- В УЦ: информация о выпущенных сертификатах: ФИО, СНИЛС, сроки действия.
Зачем нужно соблюдать правила цифровой безопасности
Неправильное хранение ключей может привести к их краже, что позволит мошенникам подписывать документы от вашего имени, оформлять сделки или брать кредиты.
Требования законодательства
Работа с ЭП регулируется следующими нормами.
152-ФЗ «О персональных данных»:
- Обработка данных владельца ЭП должна быть законной на основании договора или согласия. Например, УЦ заключают соглашение с клиентом.
- Данные должны быть защищены от утечек и несанкционированного доступа.
- Компании, работающие с ЭП, обязаны уведомить Роскомнадзор об обработке данных, если не подпадают под исключения.
- Необходимы локальные акты: политика обработки данных, приказ о назначении ответственного, оценка вреда.
Реклама и персональные данные с 1 сентября: что изменилось
Дарья Алексеева
63-ФЗ «Об электронной подписи»:
- Устанавливает юридическую силу КЭП и ответственность владельца за конфиденциальность ключей.
- Требует немедленного отзыва скомпрометированного ключа через УЦ.
- Регулирует работу аккредитованных УЦ, выпускающих КЭП.
Требования ФСБ России:
- Использование сертифицированных средств криптографической защиты информации, например, КриптоПро CSP и сертифицированных токенов, таких как Рутокен.
- Соблюдение правил хранения и использования криптографических средств.
Переход на КриптоПро CSP 5
Сергей Феоктистов
Практические шаги для безопасного учета ЭП и СКЗИ
Правила безопасности ЭЦП: защита от мошенничества
Сергей Феоктистов
Для защиты ЭП и соответствия законодательству выполните следующие действия:
1. Инвентаризация ЭП:
- Ведите реестр: кто владеет сертификатом ЭП, каким УЦ выдан, для чего используется, когда истекает срок действия.
- Проверяйте сертификаты на Госуслугах: в разделе «Профиль» → «Электронная подпись» отображаются данные о КЭП (номер, сроки, УЦ).
2. Безопасное хранение ключей:
- Храните закрытые ключи на сертифицированных токенах с уникальным пин-кодом, отличным от заводского.
- Запретите хранение ключей на незащищенных устройствах, например, в файлах на компьютере.
- Не оставляйте токен в компьютере без присмотра. Храните его в сейфе или носите с собой.
3. Регламентация процессов:
- Разработайте документы: инструкцию по использованию ЭП, порядок выдачи, учета и возврата носителей, процедуру отзыва ключей при увольнении или компрометации.
- Назначьте ответственного за учет ЭП и СКЗИ
4. Обучение сотрудников:
- Проводите инструктажи о правилах работы с ЭП, рисках передачи ключей и фишинга.
- Подчеркните: передача КЭП (даже коллегам) запрещена по 63-ФЗ, ответственность лежит на владельце.
5. Техническая защита:
- Установите антивирус, межсетевой экран и регулярно обновляйте ПО на рабочих местах.
- Блокируйте компьютер при уходе с рабочего места, если токен подключен.
6. Работа с УЦ:
- Выбирайте аккредитованные УЦ, такие как Калуга Астрал, соответствующие 63-ФЗ.
- При подозрении на компрометацию подайте заявление в УЦ на отзыв сертификата в течение 12 часов.
7. Отзыв МЧД при увольнении:
- Если сотрудник использует КЭП физлица с машиночитаемой доверенностью, отзовите МЧД через ФНС при его увольнении, чтобы предотвратить несанкционированные действия.
Подробные инструкции и примеры вы получите на нашем вебинаре. Зарегистрируйтесь сейчас.
Риски компрометации и как их предотвратить
Кража ключей ЭП может привести к серьезным последствиям:
- Недвижимость. Злоумышленники могут оформить сделку с имуществом, если не подано заявление в Росреестр о запрете сделок с ЭП (по 286-ФЗ).
- Регистрация юрлиц. КЭП позволяет открыть компанию на ваше имя без вашего ведома.
- Финансовые потери. Мошенники могут взять кредиты, вывести деньги или подписать подложные документы.
- Госзакупки. Конкуренты могут использовать ЭП для ограничения доступа к торгам.
Как минимизировать риски?
- Никому не передавайте ключи ЭП, даже коллегам.
- Регулярно проверяйте сертификаты на Госуслугах и в личном кабинете ФНС (nalog.ru, раздел «Обращения»).
- При утере токена или подозрении на кражу:Подайте заявление в УЦ на отзыв сертификата. Используйте бланк из регламента УЦ, подпишите его и отправьте лично или удаленно.
Уведомите ФНС (форма Р38001), если есть риск регистрации юрлица.
Обратитесь в полицию при материальном ущербе, предоставив документы от УЦ. - Храните токен в сейфе или носите с собой, не оставляйте в компьютере.
Токен или персональный компьютер: что выбрать
Что делать, если украли электронную подпись
Команда Астрал
- Токен: Обеспечивает высокий уровень защиты благодаря сертифицированным СКЗИ, но требует строгого учета и безопасного хранения.
- Локальная КЭП: Хранится на компьютере, удобна, но уязвима для кражи при слабой защите устройства.
На вебинаре мы разберем плюсы и минусы каждого варианта, а также дадим рекомендации по настройке учета.
Выводы и рекомендации
Электронная подпись — это цифровая идентичность, требующая строгого учета и защиты. Работодатель или УЦ как оператор персональных данных отвечает за безопасность данных владельца ЭП, а владелец — за сохранность ключей. Соблюдение 152-ФЗ, 63-ФЗ и требований ФСБ России позволяет избежать мошенничества и финансовых потерь.
Присоединяйтесь к нашему вебинару «Токен vs локальный КЭП: как вести учет и минимизировать риски» в сентябре 2025 года, чтобы освоить практические шаги по учету ЭП и СКЗИ. Зарегистрируйтесь сейчас и обеспечьте безопасность вашего бизнеса.