Внедрение машиночитаемой доверенности — самая масштабная реформа в области электронной подписи за 20 лет
Все происходящее сегодня в этой сфере беспрецедентно. Это самая масштабная реформа в области электронной подписи (ЭП) в стране, начиная с 2002 года, когда был принят первый федеральный закон об электронной цифровой подписи. Даже пришедший ему на смену 63-ФЗ «Об электронной подписи», принятый в 2011 году, не спровоцировал таких кардинальных изменений.
Дело в том, что реформа затрагивает и самый массовый сектор, в котором используется электронная подпись — это электронное взаимодействие с участием юридических лиц и индивидуальных предпринимателей. На их долю приходится по разным оценкам от 80 до 95% всего электронного юридически значимого документооборота.
Поэтому, размышляя о переносе сроков внедрения МЧД, в первую очередь нужно говорить не о том, что бизнес был не готов, а о том, что заранее, в плановые сроки, не было готово нормативное правовое обеспечение, так только 21 февраля 2022 года были подписаны три постановления правительства, которые определяют нормы в отношении МЧД при взаимодействии с участием физических лиц, юридических лиц и индивидуальных предпринимателей (ИП). Эти нормы, содержащие порядок, технические требования, теперь должны реализовать операторы электронного документооборота (ЭДО), удостоверяющие центры (УЦ) и организаторы информационных систем — площадки Госзакупок, Единый портал госуслуг, ЕГАИС и другие информационные системы.
На реализацию этих новелл, по оценке экспертов Российской ассоциации разработчиков и операторов систем электронных услуг (РОСЭУ), даже по самым скромным подсчетам, нужно полгода.
Отвечу на примере гораздо менее масштабном: «Газинформсервис» сейчас участвует в российско-белорусском проекте по трансграничным товаросопроводительным электронным документам, который курируют ФНС России и МНС Беларуси. Активная фаза в 2019-2021 годах принесла хорошие результаты, и мы надеемся, что этот пилот станет основой для масштабирования этого формата на всю трансграничную торговлю. В нем участвовало всего несколько операторов ЭДО. Пилотный проект длился три года. А здесь речь идет о том, что по-новому начнут обрабатывать проверку электронной подписи все информационные системы страны. Выводы можете сделать сами.
Другая технология управления полномочиями — атрибутные сертификаты. Это так же, как и МЧД, — отдельный документ, содержащий полномочия и привязанный к сертификату электронной подписи. Они описаны в международных стандартах, но практику их использования нельзя назвать обширной. Хотя положительный опыт применения атрибутных сертификатов есть в Беларуси. Главное преимущество этого решения — многолетняя работа международного экспертного сообщества над стандартизацией атрибутных сертификатов.
Понятия МЧД за границей не существует. Россия ни за кем не повторяет, а идет своим путем. В Европе, например, считается, что, если сотрудник предприятия получил сертификат электронной подписи, он имеет право действовать от его имени и его полномочия урегулированы этим документом.
В России сейчас, как и во многих других странах, полномочия сотрудников подписывать те или иные документы подтверждаются фактом выдачи самого сертификата ключа проверки электронной подписи. Его содержимое формализовано, есть международные стандарты, которым оно должно соответствовать. И в сертификате можно указывать назначение, которое, по сути, и есть полномочие — то, для чего вам выдали сертификат. Например, чтобы вы сдавали налоговую отчетность от имени предприятия. И во всем мире эту информацию прописывают в полях сертификата, которые называются «Политика сертификата» и «Расширенное назначение ключа». Так, проверяя сертификат, доверяющая сторона, может проверить полномочия подписанта документа.
По мнению регуляторов, старая технология была не оптимальна. Если полномочия указывать непосредственно в сертификате электронной подписи, то для каждой задачи или совокупности задач сотрудникам нужно выдавать отдельный сертификат: один для госзакупок, второй для отчетности, третий для ЭДО с контрагентами и так далее. Регулятор решил, что это неправильно и неудобно, и предложил концепцию, в которой сертификат будет всего один и для всего, а полномочия будут регулироваться отдельно.
Еще один важный нюанс. Сегодня мы получаем электронный документ, подписанный ЭП и проверяем ее. Но ответственного и корректного анализа — имел ли человек право подписывать такой документ — зачастую не проводится. Специальные решения по управлению полномочиями, которые основаны на специальных нормативах, позволяют реализовать это в обязательном порядке и с необходимой определенностью.
Комплексное введение изменений должно не только упростить эту работу, но и сделать ее более прозрачной и защищенной, однако, пока не будет подготовлена четкая законодательная база и реализованы механизмы функционирования этого процесса следует, наоборот, ожидать значительного усложнения процесса работы с ЭД (электронными документами).
И уж точно упрощения не будет в переходный период, который официально продлится до конца 2022 года. В это время УЦ будут выдавать сертификаты на сотрудников юридических лиц и ИП, применение которых не требует МЧД. Согласно текущей редакции федерального законодательства такие сертификаты можно получить в аккредитованных УЦ и использовать до 31 декабря 2022 года.
Cамо изменение порядка аккредитации — мера уже значительно повысившая качество и безопасность услуг, ведь вновь аккредитованные УЦ смогли подтвердить свой статус в соответствии с новыми требованиями, которые стали значительно жестче. МЧД и институт доверенной третьей стороны, если они будут эффективно реализованы, потенциально могут развить эту тенденцию.
В 2019-2020 годах в СМИ прокатилась волна негатива, связанная с работой УЦ, которые обвиняли в некачественной идентификации заявителей при получении сертификатов. Собственно, на этой волне и были приняты поправки в законах, результатом применения которых стало сокращение аккредитованных УЦ с 500 до порядка 40 организаций. Компания «Газинформсервис» тоже прошла аккредитацию по новым правилам и вошла в состав аккредитованных УЦ.
Cамо изменение порядка аккредитации — мера уже значительно повысившая качество и безопасность услуг, ведь вновь аккредитованные УЦ смогли подтвердить свой статус в соответствии с новыми требованиями, которые стали значительно жестче. МЧД и институт доверенной третьей стороны, если они будут эффективно реализованы, потенциально могут развить эту тенденцию. Однако, есть элементы, которых все-таки еще не хватает для полного соответствия мировым стандартам качества в области электронной подписи. И один из отсутствующих элементов – система комплексного аудита поставщиков услуг доверия.
Сегодня надежность УЦ определяет Минцифры России — путем государственной двухэтапной аккредитации. УЦ, у которых есть аккредитация, с точки зрения государства, надежны. Ознакомиться со списком аккредитованных УЦ и найти ближайший к вам можно на портале Министерства цифрового развития.
Также стоит обращать пристальное внимание на то, как представители УЦ соблюдают процедуры, связанные с идентификацией заявителя. Так, например, для получения ЭП в настоящее время заявитель должен, как правило, либо лично прибыть с подтверждающими заявку документами в УЦ, либо подать заявку в электронном виде, используя действующий квалифицированный сертификат. Все это описано в публично доступном «Порядке реализации функций…» (по сути – Регламенте работы) каждого УЦ. Если в УЦ готовы нарушать эти процедуры это должно насторожить клиента и заставить задуматься о надежности такого оператора.
В законе «Об электронной подписи» последними поправками введено понятие доверенной третьей стороны (ДТС). ДТС по сути — это специализированный оператор, осуществляющий проверку ЭП в электронных документах по состоянию на конкретный момент времени и подтверждающий результаты проверки документально. Это единственный на сегодня эффективный механизм проверки ЭП. Раньше этот аспект не был урегулирован.
Создание института доверенной третьей стороны позволит обеспечивать безопасный доверенный электронный документооборот и работу с ЭП, увеличивает безопасность ЭДО и существенно снижает риск мошеннических действий с электронной подписью.
Компания «Газинформсервис» активно ведет работу по аккредитации в качестве ДТС.