Добавить в корзинуПозвонить
Найти в Дзене
Пилигрим: путь в HRTech
18 подписчиков

Заметки на полях: ЭЦП

11
9 мин
Материал подготовлен на основе сведений из открытых источников, не претендует на уникальность или абсолютную точность. Используйте как конспект или отправную точку для собственного изучения темы. В России электронная цифровая подпись (ЭЦП), официально называемая электронной подписью (ЭП), регулируется Федеральным законом №63-ФЗ "Об электронной подписи". Закон выделяет три основных вида электронной подписи: Что хранится: Запись в базе данных (например, ID пользователя, отметка о согласии, время и суть действия).
Лог действий — кем и когда выполнено определённое действие (например, клик на кнопку “Подписать”, ввод пароля, подтверждение по SMS и т.п.).
В некоторых случаях — интеграция с системами авторизации (ФИО, e-mail, IP-адрес, результат проверки кода). Пример: UserID | Документ | Время | Подтверждение (например, результат входа по логину/паролю или SMS-коду) Особенности:
Проверка ПЭП — это проверка факта, что действие совершил определённый пользователь, по правилам, оговорённым сторо
Оглавление

Материал подготовлен на основе сведений из открытых источников, не претендует на уникальность или абсолютную точность. Используйте как конспект или отправную точку для собственного изучения темы.

Определение

В России электронная цифровая подпись (ЭЦП), официально называемая электронной подписью (ЭП), регулируется Федеральным законом №63-ФЗ "Об электронной подписи". Закон выделяет три основных вида электронной подписи:

1. Простая электронная подпись (ПЭП)

  • Что это: Это самая базовая форма ЭП, которая подтверждает факт формирования подписи определенным лицом, но не гарантирует неизменность данных.
  • Примеры использования: SMS-коды, PIN-коды, логин/пароль, кнопки "Подписать" в личных кабинетах.
  • Правовой статус: Может использоваться в электронном документообороте между физическими и юридическими лицами, если стороны согласовали правила ее использования. Не подходит для взаимодействия с госорганами.

2. Неквалифицированная электронная подпись (НЭП)

  • Что это: Создается с использованием сертификата, выданного удостоверяющим центром (но не обязательно аккредитованным). НЭП позволяет установить факт внесения изменений в документ после его подписания.
  • Применение: Используется для внутренних бизнес-процессов, может применяться в некоторых электронных торговых и коммерческих системах.
  • Правовой статус: Может использоваться для взаимодействия между юридическими лицами, но для большинства документов, подаваемых в государственные органы, недостаточно.

3. Квалифицированная электронная подпись (КЭП)

  • Что это: Самый защищенный и юридически значимый вид ЭП. Создается с использованием сертифицированного средства электронной подписи и квалифицированного сертификата, выданного аккредитованным удостоверяющим центром.
  • Где применяется: Для подачи отчетности, подписания документов в государственные органы (ФНС, Росреестр, ФСС, ПФР и другие), участия в государственных закупках, электронных аукционах, бизнес-операциях между компаниями, требующих максимального уровня защиты.
  • Юридический статус: Приравнена к собственноручной подписи на бумажном документе.

Информационное представление электронной подписи

1. Простая электронная подпись (ПЭП)

Что хранится:

  • ПЭП — по сути не криптографическая, а процедурная подпись.
  • Это может быть:

Запись в базе данных (например, ID пользователя, отметка о согласии, время и суть действия).
Лог действий — кем и когда выполнено определённое действие (например, клик на кнопку “Подписать”, ввод пароля, подтверждение по SMS и т.п.).
В некоторых случаях — интеграция с системами авторизации (ФИО, e-mail, IP-адрес, результат проверки кода).

Пример:

  • Внутри HR-системы ПЭП — это запись вида:
UserID | Документ | Время | Подтверждение (например, результат входа по логину/паролю или SMS-коду)

Особенности:
Проверка ПЭП — это проверка факта, что действие совершил определённый пользователь, по правилам, оговорённым сторонами.

2. Неквалифицированная электронная подпись (НЭП)

Что хранится:

Набор информации усложняется:

  • Сам документ, на который наложена подпись.
  • Хэш документа (результат криптографической хеш-функции).
  • Цифровая подпись (алгоритмом ключа, обычно в base64).
    Публичный сертификат подписанта (используется для проверки подписи).

Типовой набор:

  • Хэш-сумма данных.
  • Шифрованная подпись (результат шифрования хэша закрытым ключом подписанта).
  • Открытый ключ подписанта или ссылка на сертификат.

Форматы хранения:
Подпись может быть отдельным файлом (.sig, .sgn и др.), вложением в xml/pdf, либо добавляется к базовой структуре документа (например, XMLDSig).

3. Квалифицированная электронная подпись (КЭП)

Что хранится:

Всё, как у НЭП, только есть дополнительные юридические требования к формату:

  • Хэш-функция от всего документа.
  • Цифровая подпись (шифрование хэша закрытым ключом КЭП).
  • Квалифицированный сертификат подписанта (подтверждает легитимность и владельца ключа).
  • Иногда: вспомогательная информация — время создания, данные удостоверяющего центра.

Технически:

  • Хранятся как:
документ: <оригинальные данные или файл>,
подпись: <электронная подпись (множественные байты или base64)>,
сертификат: <данные удостоверяющего центра>
  • Для формата PDF, XML, DOCX — эта информация “вшивается” в структуру файла или его метаданные.

Проверка:

  1. Получатель извлекает хеш документа.
  2. Расшифровывает подпись открытым ключом из сертификата подписанта.
  3. Сравнивает полученный хеш с заново рассчитанным — если совпадает, документ не менялся, КЭП подлинна.

Резюме

  • ПЭП: Запись о факте действия: ID пользователя, событие, время, подтверждение (пароль, SMS и др.)
  • НЭП: Документ, хеш, электронная подпись (шифр. хеш закрытым ключом), сертификат (открытый/ссылка)
  • КЭП: Всё то же, но дополнительно: квалифицированный сертификат, информация удостоверяющего центра, время

Электронная подпись глазами пользователя

1. Простая электронная подпись (ПЭП)

До нажатия “Подписать”:

  • Пользователь проходит авторизацию в системе (логин-пароль, СМС-код или иное).
  • Открывает для согласования/подтверждения документ или форму.

Во время нажатия “Подписать”:

  • Система фиксирует: кто, когда и по отношению к какому документу выполнил действие.
  • В ряде случаев происходит дополнительное подтверждение (например, повторный ввод пароля, подтверждение по СМС или e-mail-коду).
  • Создается запись в базе данных (лог): ID пользователя, дата и время, идентификатор документа, способ подтверждения.

После:

  • Статус документа меняется на «подписан (ПЭП)», фиксируется история изменения статуса.
  • Можно посмотреть журнал кто и когда подписывал документ.
  • Сам документ при этом не фиксируется.

Пример:
В HR-системе сотрудник соглашается с локальным нормативным актом — кликает кнопку, система фиксирует время, логин, IP и оставляет это в журнале действий.

Важно для пользователя

  • Не фиксируется состав подписанного документа (отсутствует хэш-сумма или копия файла).
  • Проверить, изменялся ли документ после подписи — нельзя.
  • Подделать факт подписания или его отсутствие может любой, кто имеет доступ к базе данных (например, изменить/удалить запись).

2. Неквалифицированная электронная подпись (НЭП)

До нажатия “Подписать”:

  • Пользователь устанавливает или приобретает сертификат своей ЭП.
  • Система интегрирует программное обеспечение для работы с электронной подписью.
  • Пользователь выбирает документ для подписания.

Во время нажатия “Подписать”:

  • Программное обеспечение генерирует хэш (отпечаток) документа.
  • Этот хэш шифруется закрытым ключом пользователя, хранящимся в системе/устройства.
  • Получается электронная подпись (цифровой файл).
  • К документу прикрепляются: Электронная (цифровая) подпись (обычно — строка в base64). Сертификат (открытый ключ) пользователя.

После:

  • Статус документа меняется на «подписан (НЭП)».
  • Документ и подпись могут быть отправлены адресату, партнеру либо сохранены в системе.
  • Проверка подписи возможна при помощи открытого ключа — получатель может убедиться в подлинности и целостности документа.

Пример:
Внутрикорпоративный документооборот. Сотрудник подписывает заявку электронной подписью: на сервере формируется хэш, шифруется, подпись и сертификат сохраняются рядом с документом.

Важно для пользователя

  • Фиксируется хэш документа, а не просто факт действия.
  • Целостность всегда проверяема (любые изменения документа становятся заметны).
  • Подделать подпись или факт подписания можно только, обладая закрытым ключом, получить который значительно сложнее, чем просто изменить запись в базе данных.
  • Безопасность подписи напрямую зависит от сохранности закрытого ключа: ключ никогда не должен передаваться третьим лицам, храните его в защищённом паролем виде и используйте только на доверенных устройствах.

3. Квалифицированная электронная подпись (КЭП)

До нажатия “Подписать”:

  • Пользователь получает квалифицированный сертификат и токен в аккредитованном удостоверяющем центре.
  • Устанавливает сертифицированное ПО для работы с КЭП (например, КриптоПро CSP).
  • В системе загружен документ для подписания.

Во время нажатия “Подписать”:

  • Запускается модуль подписи, запрашивается доступ к токену (может потребоваться ввести PIN-код).
  • Формируется хэш документа.
  • Хэш подписывается (шифруется) закрытым ключом на защищённом носителе (токене).
  • Формируется контейнер электронной подписи: хэш, данные подписи, сертификат, иногда временная метка.
  • Всё это внедряется в документ или добавляется отдельным файлом.

После:

  • Документ получает статус «подписан КЭП».
  • Можно проверить подлинность, целостность и легитимность подписи с помощью публичного ключа и проверки сертификата через УЦ.
  • В HRTech — документ может быть отправлен в контролирующий орган (ФНС, ПФР и т.д.) или сохранен в личном деле.

Пример:
Сотрудник подписывает трудовой договор КЭП: система автоматом инициирует модуль подписи, пользователь вводит PIN, подпись проставляется, договор поступает в архив и передается в ГИС ЭДО.

Важно для пользователя

  • Фиксируется хэш документа, а не просто факт действия.
  • Целостность всегда проверяема (любые изменения документа становятся заметны).
  • Подделать подпись или факт подписания можно только, обладая закрытым ключом, получить который гораздо сложнее, чем просто изменить запись в базе данных.
  • Безопасность подписи напрямую зависит от сохранности закрытого ключа. Квалифицированный ключ хранится на специальном токене или смарт-карте, не должен передаваться третьим лицам и должен быть защищён пин-кодом. Используйте только на доверенных устройствах и храните отдельно от рабочих компьютеров.

Ключевые отличия видов ЭП

  • ПЭП: фиксирует только сам факт подписания документа; никто не гарантирует подлинность подписи.
  • НЭП: фиксирует факт подписания и состав (содержание) документа; достоверность подписи гарантирует тот, кто выдал ключ (сам подписант или организация).
  • КЭП: фиксирует факт подписания и состав документа; достоверность подписи гарантирует аккредитованный удостоверяющий центр.

ЭП и HR

1. Простая электронная подпись (ПЭП)

  • Применение:
    Используется для подписания внутренних уведомлений, ознакомлений, заявлений, других документов, не требующих высокой юридической силы.
  • Пример:
    Ознакомление с локальными нормативными актами через систему кадрового документооборота.
  • Ограничения:
    Не применяется для трудовых договоров, приказов о приёме/увольнении и прочих юридически значимых документов.

2. Неквалифицированная электронная подпись (НЭП)

  • Применение:
    Может использоваться для подписания кадровых документов, если это предусмотрено внутренними документами организации и с согласия обеих сторон.
  • Пример:
    Дополнительные соглашения, изменения графика, отдельные внутренние документы.
  • Ограничения:
    Для трудовых договоров, приказов о приёме/увольнении и других юридически важных документов НЭП не рекомендуется и зачастую не принимается при трудовых спорах или для госорганов.

3. Квалифицированная электронная подпись (КЭП)

  • Применение:
    Обязательна для подписания большинства юридически значимых кадровых документов — трудовых договоров, приказов о приёме, переводе, увольнении, электронных трудовых книжек и др.
  • Пример:
    Подписание трудового договора между работодателем и работником в электронном виде.
  • Преимущества:
    Приравнивается к “живой” подписи, признаётся всеми госорганами и в суде.

4. Собственноручная (“живая”) подпись

  • Применение:
    Требуется для документов, которые по закону нельзя подписать электронной подписью.
  • Пример:
    Акты о несчастных случаях на производстве, отдельные виды инструктажей по охране труда, очень ограниченный перечень документов, утвержаемый Минтрудом.
  • Ограничения:
    Без бумажной подписи и оригинала такие документы в 2026 году не считаются оформленными.

Важное уточнение:

Для подписания трудового договора и ключевых кадровых документов в электронном виде по закону требуется КЭП. Использование для этого НЭП или ПЭП возможно только при особом внутреннем регламенте и соглашении сторон, однако это не гарантирует признание такого документа со стороны государства или в судебных спорах.