Одним из самых распространенных видов информации, которые требуют особых условий хранения является электронная цифровая подпись (ЭЦП).
ЭЦП регламентируются Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Закон «Об ЭП»). На данный момент Закон «Об ЭП» действует в редакции от 08.06.2020.
Выделяют три вида ЭЦП:
· Простые подписи создаются с помощью кодов, паролей и других инструментов, которые позволяют идентифицировать автора документа, но не позволяют проверить его на предмет наличия изменений с момента подписания.
· Усиленная неквалифицированная подпись создана с использованием криптографических средств и позволяет определить не только автора документа, но проверить его на наличие изменений. Для создания таких подписей может использоваться сертификат неаккредитованного центра, можно также вообще обойтись без сертификата, если технические средства позволяют выполнить требования закона.
· Усиленная квалифцифированная подпись является разновидностью усиленных, она имеет сертификат от аккредитованного центра и создана с помощью подтвержденных ФСБ средств.
ЭЦП на предприятиях используются в документообороте с банками, на торговых площадках, при сдаче электронной отчетности. Также ЭЦП могут использоваться и во внутреннем документообороте, при найме дистанционных работников, в других случаях.
Использование ЭЦП в работе требует определенных организационных мер, соблюдения которых требуют банки и другие организации, выдающие ключи. Например, Удостоверяющий центр «Контур» при работе в системе передачи и приема информации в электронном виде с использованием ЭЦП рекомендует придерживаться следующих правил:
· Должен быть определен и утвержден список лиц, имеющих доступ к ключевой информации.
· К работе на компьютере с установленным СКЗИ (средство криптографической защиты) допускаются только определенные для эксплуатации лица, прошедшие соответствующую подготовку и ознакомленные с пользовательской документацией на СКЗИ, а также другими нормативными документами по использованию электронной подписи.
· Должностные инструкции пользователей АРМ (автоматизированное рабочее место) и администратора безопасности должны учитывать требования настоящих Правил.
· В случае увольнения или перевода в другое подразделение (на другую должность), изменения функциональных обязанностей сотрудника, имевшего доступ к ключевым носителям (ЭП и шифрования), должна быть проведена смена ключей, к которым он имел доступ.
· Должно быть исключено бесконтрольное проникновение и пребывание в помещениях, в которых размещаются технические средства АРМ, посторонних лиц, по роду своей деятельности не являющихся персоналом, допущенным к работе в указанных помещениях. В случае необходимости присутствия таких лиц в указанных помещениях должен быть обеспечен контроль за их действиями.
И это далеко не полный перечень требований и рекомендаций, которые в целом повторяются всеми организациями, выдающими ЭЦП, токены, рутокены и проч. Важно, что при несоблюдении этих требований и рекомендаций ответственность за несанкционированное использование ЭЦП полностью ложится на организацию.
Вполне типичный пример:
Предприятие использует интернет-банк, платежные поручения подтверждаются с использованием токена. Одним прекрасным утром выясняется, что со счета предприятия накануне ночью снято более 2 000 000 рублей для исполнения платежного поручения по оплате услуг некоему лицу, которого никто не знает.
В ходе разбирательств выясняется, что доступ в интернет-банк осуществлялся с компьютера, который не был защищен антивирусом, на компьютере активно использовалась электронная почта, токен хранился в ящике стола в открытой коробке, которая систематически стояла в открытом доступе. В такой ситуации банк отказался возмещать ущерб, так как предприятие не смогло подтвердить соблюдение требований и рекомендаций по хранению и использованию ЭЦП. Привлечь к какой-либо ответственности бухгалтера, в результате действий которой произошло хищение ключа, также оказалось невозможно, так как никаких локальных нормативных актов о хранении ЭЦП она не нарушила (их просто нет), в должностной инструкции порядок использования и хранения токена не предусмотрен, равно как и ответственность.
Такая ситуация достаточно часто встречается на производственных предприятиях и в небольших компаниях.
Для предотвращения случаев подобной «безответственности» необходим целый комплекс мер, в том числе кадровых. Специалисту по кадрам необходимо проконтролировать следующие моменты:
1. Перечень лиц, которые работают с ЭЦП
2. Форму хранения каждой квалифицированной ЭЦП (токен, в Персональном компьютере, в облачном хранилище и т.д.)
3. Проверить в должностных инструкциях наличие обязанности по обеспечению сохранности ЭЦП и недопущению к информации третьих лиц
4. Проверить наличие локальных нормативных актов, регламентирующих хранение и использование ЭЦП
5. Проверить ознакомление лиц, использующих ЭЦП с соответствующими локальными актами
6. Проверить наличие приказов о закреплении использования ЭЦП конкретными лицами
7. Проверить соответствие лиц, фактически использующих ЭЦП, перечню лиц, у которых есть такое право
Также желательно убедиться в том, что хранение и использование ЭЦП производится в порядке, установленном локальными актами. Этот комплекс мер позволит выявить недостатки по обращению с ЭЦП на предприятии и подстраховаться на случай непредвиденных ситуаций.
В наших дальнейших публикациях мы рассмотрим как включать требование об обращении с ЭЦП в должностные инструкции и локальные акты.