Найти в Дзене
Saby про Бизнес — твоя автоматизация
370 подписчиков

Как защитить электронную подпись: рекомендации для бизнеса и пользователя

32
5 мин
Надежность электронной подписи обеспечивается правовым полем, техническими стандартами и организационными мерами. Однако финальное звено в этой системе безопасности — владелец, чья ответственность прямо закреплена в законе. Федеральный закон № 63‑ФЗ не только уравнивает квалифицированную ЭП с собственноручной подписью (ст. 6), но и возлагает на владельца обязанность сохранять конфиденциальность ключа (ст. 10). Если ключ попадет к другому человеку, он сможет подписывать документы от вашего имени, и оспорить такие документы будет крайне сложно. Храните ключ КЭП так же бережно, как ключ от квартиры или машины. ГОСТ Р 34.10‑2018 определяет алгоритмы российской криптографии. Квалифицированная электронная подпись защищена сложной математикой, которую практически невозможно взломать. Аккредитованные удостоверяющие центры обязаны использовать сертифицированные средства криптографической защиты информации (СКЗИ), обеспечивать безопасность при выпуске ключей и соблюдать требования к хранению дан
Оглавление

Юридическая база и зоны ответственности

Надежность электронной подписи обеспечивается правовым полем, техническими стандартами и организационными мерами. Однако финальное звено в этой системе безопасности — владелец, чья ответственность прямо закреплена в законе.

Правовая основа

Федеральный закон № 63‑ФЗ не только уравнивает квалифицированную ЭП с собственноручной подписью (ст. 6), но и возлагает на владельца обязанность сохранять конфиденциальность ключа (ст. 10). Если ключ попадет к другому человеку, он сможет подписывать документы от вашего имени, и оспорить такие документы будет крайне сложно. Храните ключ КЭП так же бережно, как ключ от квартиры или машины.

Технические стандарты

ГОСТ Р 34.10‑2018 определяет алгоритмы российской криптографии. Квалифицированная электронная подпись защищена сложной математикой, которую практически невозможно взломать.

Требования к инфраструктуре

Аккредитованные удостоверяющие центры обязаны использовать сертифицированные средства криптографической защиты информации (СКЗИ), обеспечивать безопасность при выпуске ключей и соблюдать требования к хранению данных.

Даже при соблюдении всех стандартов, юридические и финансовые риски от утери ключа полностью ложатся на владельца.

Подключите электронную подпись в Saby

Какие риски существуют: чем грозит недостаточная защита ЭП

Недостаточная защита электронной подписи создает в первую очередь юридическую и финансовую уязвимость. Получив доступ к ключу ЭП, злоумышленник может:

  • Подписать договоры от вашего имени или от имени компании, которые могут быть оспорены только через суд с доказыванием факта кражи ключа.
  • Подать документы в госорганы, например, на регистрацию изменений в ЕГРЮЛ, на получение кредита.
  • Совершить действия на электронных торговых площадках, создав финансовые обязательства.

Разберем типичные ошибки на примерах.

Организационные меры: как выстроить систему управления электронными подписями в компании

Главная цель — выстроить не просто список правил, а создать единый и непрерывный процесс. В этом процессе каждый шаг в жизни ключа — от его создания до списания — четко прописан, выполняется по инструкции и фиксируется в документах.

Стратегический уровень: разработайте правила

Определите, кто и что имеет право подписывать. Четким внутренним приказом закрепите, каким сотрудникам и для каких конкретно документов (договоры, платежки, отчетность) выдается ЭП и МЧД. Это основа контроля.

Закрепите ответственность за подпись. Дополните приказ соглашением о материальной ответственности. Это не формальность, а механизм, который дает право требовать компенсацию при нарушении правил и делает сотрудника лично заинтересованным в безопасном хранении и использовании ключа.

Операционный уровень: контролируйте жизненный цикл ключа

Организуйте получение сертификата. Убедитесь, что сотрудники получают сертификаты только в аккредитованных Минцифры удостоверяющих центрах (УЦ). Закрепите это внутренним регламентом. Факт получения сертификата сотрудник должен подтвердить, например, записью в электронном журнале.

Обеспечьте безопасное хранение токена. Храните токен с ключом так же бережно, как ключ от служебного кабинета или печать: в сейфе, запираемом ящике или у ответственного лица. Не оставляйте его в компьютере без присмотра.

Немедленно отзывайте доступ при уходе сотрудника. Если сотрудник увольняется или меняет должность, первым делом отзовите его сертификат ЭП через УЦ. И только после этого примите от него физический токен. Это правило должно быть прописано в процедуре увольнения.

Человеческий уровень: прививайте культуру безопасности


Объясняйте правила просто. Проведите обязательный инструктаж. Объясните на реальных примерах, чем грозит передача токена коллеге «на пять минут» или клик по ссылке в письме якобы от «банка».

Создайте понятный алгоритм действий. Каждый сотрудник должен знать, что делать, если токен потерян или есть подозрение, что пароль стал известен другим: немедленно сообщить ответственному лицу для отзыва сертификата.

Технические меры: конкретные шаги для IT‑отдела и сотрудников

Техническая безопасность ЭП строится на простых, но строгих правилах. Вот что нужно сделать на практике.

Правильный носитель и его защита. Ключ ЭП должен храниться только на сертифицированном аппаратном токене (например, Рутокен).

Смена пароля — сразу. Первое действие при получении токена — обязательная замена стандартного PIN-кода на уникальный сложный пароль. Этот пароль нельзя никому сообщать, включая IT-специалистов.

Эти правила — технический минимум, который закрывает 90% рисков. Их реализация зависит не от бюджета, а от четкого распределения задач между руководством, IT-отделом и сотрудником.

-2

Подключите электронную подпись в Saby

Что делать при компрометации ключа ЭП


Шаг 1. Немедленно отзовите сертификат


Если вы или кто-то из сотрудников потеряли токен или подозреваете, что мошенники могли получить к нему доступ, то вы должны связаться с удостоверяющим центром. В срочном порядке позвоните или оформите онлайн-обращение с просьбой отозвать сертификат.

Шаг 2. Проинформируйте ответственных лиц


Оповестите руководителя, IT-специалистов. Они отвечают за информационную безопасность и предпримут необходимые меры и со своей стороны.

Шаг 3. Проведите расследование


Нужно выяснить обстоятельства случившегося, подписаны ли какие-то документы, к каким последствиям это приведет. Как правило, потеря ключа в общественном транспорте не так быстро приводит к юридическим проблемам, как целенаправленный взлом со стороны мошенников. Проверьте ЭДО и операции в личном кабинете на портале Госуслуг.

Шаг 4. Подготовьте отчет и проанализируйте процессы


Меры должны соответствовать причинам инцидента. При невнимательности конкретного сотрудника достаточно провести беседы и дополнительный инструктаж. Если вы столкнулись с действиями мошенников, потребуется усиление защиты. Например, пересмотр политик безопасности, проверка систем шифрования силами IT-специалистов.

Вывод

Защита электронной подписи — это непрерывный процесс, в котором важна постоянная работа: надежный носитель, строгие пароли, четкие процедуры и регулярный аудит.

Рекомендуем:

  • утвердить внутренние правила и регламенты работы с ЭП;
  • использовать только сертифицированные токены;
  • обучить сотрудников;
  • контролировать процесс использования и хранения ключей.

Чтобы усилить защиту уже сегодня, проведите аудит всех электронных подписей и ключей, которые есть в вашей организации, пересмотрите процедуры подписания. Эти действия точно снизят основные риски и создадут фундамент для полноценной безопасности в будущем.