Поделиться
Как проверить ЭЦП?
Согласно законодательству, электронная подпись имеет полную юридическую силу. Преимущества ее очевидны: оформлять, предоставлять и хранить документы стало намного проще. Как же корректно интегрировать средства электронной подписи в прикладные системы?
Доля ЭЦП растет
В настоящее время растет число государственных услуг для юридических и физических лиц с использованием электронной подписи. По данным Единой электронной торговой площадки («Росэлторг»), в прошлом году россияне начали чаще использовать электронные подписи для сделок с недвижимостью, регистрации бизнеса и сдачи отчетности. Доля электронных подписей для торгов составила 57%, доля для других сфер применения — 43%. Также электронные подписи применялись для пользования системами электронного документооборота, регистрации бизнеса, сдачи других отчетностей в Пенсионный фонд, для личного пользования и подписания любых документов в электронном виде. Ежегодно растет доля самозанятых граждан, использующих ЭП.
Новые требования к ЭЦП — уже с января
С 1 января 2022 года владельцам электронных подписей придется осваивать новые правила: в 63-ФЗ «Об электронной подписи» внесли поправки. Уже с июля 2021 года удостоверяющие центры (УЦ) проходят аккредитацию по обновленным правилам. Ранее выданные УЦ подписи действуют до 1 января 2022 года.
С 2022 года сотрудники организаций и уполномоченные лица будут получать в аккредитованных УЦ новый тип электронной подписи - «электронную подпись физического лица». В ней указаны только ФИО сотрудника и нет данных о юрлице, в котором он работает. Эту подпись они смогут использовать и для рабочих, и для личных документов.
Использовать подпись физлица для документов организации можно будет только вместе с электронной доверенностью (доверенностью в машиночитаемом виде). Прикладные системы должны уметь принимать их. В 2022 году планируется переходный период для электронных доверенностей: можно использовать их, либо работать по старым правилам.
Интеграция в прикладные системы
Функции формирования и проверки электронной подписи реализованы с помощью средств, сертифицированных ФСБ России, и, как правило, встраиваются в прикладные системы. При этом, чтобы электронные документы с электронной подписью были юридически значимыми, требуется выполнить ряд требований. Они определяются в эксплуатационной документации применяемых средств электронной подписи (СЭП). В частности, должна проверяться корректность работы функций создания и верификации электронной подписи, выполнение рекомендаций по встраиванию СЭП в прикладные системы.
Отвечающие этим требованиям документы с валидной электронной подписью имеют тот же статус, что обычные. Более того, некоторые госструктуры обязывают юрлица использовать «электронные» формы. Это делает юридически значимый документооборот незаменимым решением.
Он используется для создания и отправки различных актов и документов; финансовой отчетности; участия в торгах и проведения закупок; кадрового учета; регистрации онлайн-касс и др.
Это неотъемлемая часть процессов цифровизации, помогающей, в частности, увеличить скорость работы и качество решений, снизить издержки на содержание аппарата, повысить уровень лояльности и доверия населения при обращении в госорганизации, уменьшить административную нагрузку на бизнес. Все это способствует росту эффективности экономики государства в целом.
«Госсектор отличается повышенными требованиями к безопасности, надежности и производительности, а также нацеленностью на импортозамещающие технологии. Кроме того, с позиции многолетнего опыта можно отметить наличие большого количества межведомственных интеграций и регламентаций различными нормативными актами, что приводит к необходимости учитывать множество нюансов и находить компромиссные решения», — говорит Александр Глыбин, руководитель направления аналитики Группы компаний ОТР.
Формирование и проверка электронной подписи
Группа компаний ОТР предложила свой подход к формированию и проверке электронной подписи в прикладных системах органов государственной власти, встраивания СЭП в прикладные системы и выполнения требований эксплуатационной документации. В нем используется единая точка формирования и проверки ЭП.
Государственные услуги предоставляются, как правило, на основе взаимодействия информационных систем (ИС) различных министерств и ведомств. В их прикладном ПО с помощью встроенных сертифицированных СЭП реализованы функции формирования и проверки ЭП. При этом прикладное ПО для разных ИС разрабатывается разными вендорами. В результате реализации таких криптографических функций неоднородны и не всегда совместимы.
Чтобы электронный документооборот был юридически значимым, а государственные услуги — легитимными, требуется оценка влияния среды функционирования, в том числе и прикладного ПО, на применяемые СЭП.
«Наша практика по реализации систем юридически значимого электронного документооборота показывает, что одним из наиболее эффективных является подход к встраиванию сертифицированных СЭП, реализованный в разработанном нами программном продукте «Криптосервер», — отмечают в ОТР.
Что умеет «Криптосервер»?
«Криптосервер» предусматривает:
- Использование централизованных сервисов ЭП для формирования, проверки, усиление электронной подписи.
- Конфигурирование сервисов, в том числе параметров обработки запросов от прикладных систем.
- Отображение подписываемых данных, результатов формирования и проверки ЭП.
- Функционирование сервисов ЭП в режиме «черного ящика» для прикладных систем.
- Реализацию взаимодействия прикладных систем с сервисами ЭП посредством брокера очередей (общесистемного ПО), адаптеров, входящих в состав сервисов ЭП, визуальных компонентов сервисов ЭП, встраиваемых в интерфейс прикладных систем.
Универсальная криптозащита
Криптосервер — универсальный сервер криптографической защиты информации — можно использовать как решение по реализации централизованного, универсального и простого механизма обеспечения авторства, целостности, безотказности и юридической значимости электронного документооборота в прикладных системах на базе электронной подписи, в том числе и для систем межведомственного электронного взаимодействия (СМЭВ). Это средство формирования и проверки ЭП, контроля валидности сертификата поддерживает следующие форматы ЭП: CMS, CAdES, XAdES, PAdES.
«Криптосервер» позволяет автоматизировать ряд задач:
- Загрузку TSL, сертификатов удостоверяющих центров и списков отозванных сертификатов.
- Масштабирование основных сервисов, подверженных наибольшей нагрузке.
- Уведомление администратора и пользователей об истечении срока действия сертификатов.
- Проверку АРМ пользователей на наличие необходимых средств ЭП.
Преимущества решения
Ключевые преимущества предлагаемого решения — соответствие требованиям эксплуатационной документации СЭП и законодательству в сфере применения электронной подписи, удобство пользования сервисами ЭП и их администрирования, снижение совокупной стоимости владения: сокращение трудозатрат на администрирование.
Кроме того, отпадает необходимость оценки влияния прикладной системы при обновлении ПО. Снижается стоимость внедрения новой прикладной системы, нет необходимости реализовывать в ней функции ЭП, а имеющиеся сервисы ЭП можно масштабировать. Также отсутствуют ограничения по развитию и обновлению прикладной системы.
«Сегодня повысить эффективность бизнеса и госуправления без цифровизации и автоматизации почти невозможно. Но осуществить их самостоятельно под силу не всем. Проектирование системы, подбор специализированного ПО и технических решений, создание инфраструктуры — нетривиальные задачи, помочь с которыми могут системные интеграторы», — утверждают в ОТР.
Сервер криптографической защиты можно использовать в составе этой платформы для выработки и проверки электронной подписи в форматах, используемых банковскими и государственными системами. Отсюда — альтернативные названия «Криптосервера»: ОПОРА.Крипто, ОТР. Универсальный сервер криптографической защиты информации (ОТР.УСКЗИ), ОТР. В 2016 году он был включен в «Реестр российского ПО».
Короткая ссылка
