Наверх

Электронная подпись по-новому. Чего ждать от поправок ФЗ № 63

Архив
Время чтения: 11 минут
4
Электронная подпись по-новому. Чего ждать от поправок ФЗ № 63

В декабре Президент РФ подписал закон, который должен изменить многое на рынке электронного документооборота. Во всяком случае в этом уверены эксперты. Чего они опасаются и чему рады, рассказываем далее.

В декабре Президент РФ подписал закон, который должен изменить многое на рынке электронного документооборота. Во всяком случае в этом уверены эксперты. Чего они опасаются и чему рады, рассказываем далее.

Спасибо, что другой

Федеральный закон № 476, который вносит поправки в ФЗ «Об электронной подписи», мы уже обсуждали в ноябре. Тогда речь шла о проекте документа – его впервые вынесли на рассмотрение в Госдуму. Поправки вызвали много вопросов. Причём как у независимых юристов, так и представителей бизнеса.

Позже законопроект не пришелся по душе Кремлю – после первого чтения с критикой на него обрушилось Государственно-правовое управление Президента РФ. Отрицательный отзыв поступил 7 декабря. Многие облегченно выдохнули – появился шанс, что законопроект станут детально и тщательно дорабатывать, а поспешных изменений, которые казались выгодными только государству, не будет.

Однако всё пошло не так. Никто не ожидал, что скорость законодателей будет молниеносной – проект ФЗ № 476 не только исправили, но и отправили на второе и третье чтения, а затем в Совет Федерации. Всё закончилось под Новый год, когда многие уже не обращали внимание на новости, – 27 декабря 2019 года изменения закона «Об электронной подписи» подписал Президент РФ.

«С одной стороны, настораживает, что закон явно торопились принять, – комментирует бизнес-аналитик, эксперт по законодательству Synerdocs Татьяна Жигалова.  – С другой – не всё так плохо, как могло бы быть. Последняя редакция документа оказалась менее «жесткой» по отношению к бизнесу и коммерческим удостоверяющим центрам в частности».

Версия 2.0. Кто выиграл? 

Чем отличается окончательный документ от того, что рассматривали в ноябре 2019-го? Законодатели «очистили карму» перед Кремлем. Они убрали положения, согласно которым в России могли бы ввести явную монополию на выдачу электронной подписи (ЭП).

Напомним, прежняя версия жестко ограничивала круг организаций, которые могут предоставлять такие услуги населению и бизнесу. К их числу относились ФНС, Центробанк и Казначейство РФ. А коммерческие удостоверяющие центры (УЦ), которые есть сейчас, могли уйти в прошлое.

Подписанный закон оказался «мягче» – монополии не случилось. Хотя передела на рынке всё-таки не избежать, уверены эксперты. Основная причина – государство ужесточило требования к УЦ в целом.

«Теперь если вы планируете выдавать квалифицированную электронную подпись, то минимальный размер собственных средств (капитала) должен составлять не менее чем 1 млрд либо 500 млн рублей – при наличии не менее чем в 3/4 субъектов РФ одного или более филиала, представительства удостоверяющего центра, – поясняет Родион Железнов, управляющий партнёр компании МПЦ «Защита», член Ассоциации международного права при РАН. – Ранее суммы были значительно ниже – 30 и 500 млн».

При этом увеличился размер финансового обеспечения ответственности за убытки, причиненные третьим лицам, – с 30 до 100 млн, со 100 млн до 200 млн рублей. А срок аккредитации УЦ уменьшился до 3 лет.

«Стоит отметить, что удостоверяющие центры ФНС России, Федерального казначейства и Центробанка «по умолчанию» будут являться аккредитованными УЦ. И даже если по результатам проверок будут выявлены несоответствия, в отношении них не могут быть осуществлены приостановка или прекращение аккредитации, – уточняет Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.».Особенно выделено право УЦ ФНС России наделять доверенных лиц полномочиями на выдачу квалифицированных сертификатов собственного имени. При первом приближении такая организация напоминает систему доверенных удостоверяющих центров ФНС России, которая практиковалась в недавнем прошлом».

Таким образом государство может легко избавиться от небольших удостоверяющих центров. И пусть не монополия, но её «мягкая» версия всё-таки прослеживается в законе.

Но это ещё не все преимущества изменений для государства. «В первую очередь оно (в лице ФНС и Центробанка) получает потенциальный рычаг «мгновенного отключения» для бизнесов, – поясняет Елисей Иодковский, главный специалист отдела информационной безопасности компании ЭОС. – Поскольку теперь можно будет получить квалифицированный сертификат «на юрлицо» только на владельцев бизнеса и только в государственных УЦ, а все остальные электронные подписи организации будут иерархичны и зависимы через электронные доверенности от этого «главного сертификата», то его блокировка по любым причинам означает мгновенную невозможность легитимно использовать ЭП всем, имеющим право подписи в иерархии организации».

Эксперты добавляют, что закон также выгоден криптографам – производителям сертифицированного ПО. Уже скоро потребуются новые версии решений, умеющие обрабатывать утвержденную логику работы «ЭП+доверенность(и)» и учитывающие другие новые сущности, появившиеся в законе. В числе последних: «облачная» ЭП, ДТС (доверенная третья сторона), метка доверенного времени.

О новинках по порядку

«Значимая норма, существенно влияющая на рынок ЭП, – легализация «облачной подписи», или возможность удостоверяющим центрам хранить ключи подписи пользователей и создавать ЭП по поручению владельца сертификата», – отмечает Алексей Сабанов, заместитель генерального директора компании «Аладдин Р.Д.».

При такой схеме, по словам эксперта, остро встают вопросы идентификации и аутентификации владельцев подписей. Их необходимо отразить в регламентах и зафиксировать в требованиях к средствам УЦ. Причем тиражирование систем, использующих «облачную подпись», в скором будущем вынудит разработчиков и государство организовать роуминг между ними. Иначе формирование ЭП пользователями в разных системах будет бессмысленным и станет огромной проблемой.

«Введение облачной ЭП в закон как сущности и передача роли «провайдеров облачной ЭП» аккредитованным УЦ приведут к тому, что бизнес будет строиться не на выдаче сертификата, а на каждом подписании документа, – добавляет Елисей Иодковский. – Еще одно последствие этого нововведения связано с терминологией: используется термин «хранимые ключи ЭП» (облако не упоминается). Конечные пользователи почувствуют это изменение на себе, ведь главное удобство облачной ЭП – не нужно иметь «инфраструктуру ЭП» (криптография, токен) на каждом рабочем месте. Вместо этого достаточно телефона с доступом в интернет».

Какие важные изменения ещё вводит новый закон?  

Во-первых, появится ДТС – доверенная третья сторона.  Её роль – проверка ЭП для «обеспечения доверия». Это юрлицо, то есть частный бизнес, который предоставляет услуги OCSP (онлайн-проверки валидности сертификатов) и TSP (метки доверенного времени, которые тоже ввели в закон).

«Сейчас у удостоверяющего центра есть «средства УЦ». Так и у ДТС будут свои «средства ДТС», то есть специальное сертифицированное программное обеспечение, – уточняют эксперты. – Возможно, это приведёт к тому, что ДТСы отделятся от УЦ, а возможно, и от операторов ЭДО. Фактически потребность в таких компаниях может означать появление нового бизнеса». Аккредитация ДТС будет строиться по общей модели – «как для УЦ».

Во-вторых, иностранные ЭП будут полностью признаваться российской стороной после её проверки аккредитованной ДТС – этого давно ждали многие российские компании-экспортеры.

В-третьих, законом закрепляется универсализация КЭП. «Вводится прямой запрет делить электронные подписи на «наши» и «не наши». Все торговые площадки, участники обмена и другие организации должны принимать все КЭП от всех аккредитованных УЦ, вне зависимости от прописанных OID (убивается предыдущая схема монетизации – «ЭП для площадок, ЭП для казны, ЭП для…»)», – поясняет представитель ЭОС.

В-четвертых, не введено двойное подписание документов от юрлица, которое обсуждалось в предыдущих версиях закона. «Однако появилась доверенность для физических лиц, которые действуют от имени компании, – рассказывает Татьяна Жигалова. – Доверенность потребуется, когда электронный документ подписывает физическое лицо, не являющееся единоличным исполнительным органом в организации».

Электронная подпись теперь невыгодна?

Когда закон только начали рассматривать в Госдуме, российские пользователи заговорили о возможном росте цен на ЭП. Некоторые компании стали сообщать прямо, что из-за этого готовы отказаться от электронного документооборота совсем.

Дальше громких заявлений дело не пошло и не пойдёт. Российский бизнес уже не сможет отказаться от ЭДО, уверены эксперты. Во-первых, компании уже давно представляют отчетность в ФНС в электронном виде. Во-вторых, бумажный документооборот по-прежнему приносит больше хлопот, нежели ЭДО.

 «Полагаю, будет как обычно – сначала придется сколько-то заплатить за возможность работать «по-новому», а дальше цены стабилизируются примерно на том же уровне, что и сегодня, – комментирует Елисей Иодковский. – В то же время переход на сервисную модель ЭП (облачная ЭП) предполагает меньшие или вовсе нулевые начальные инвестиции, а оплату – совсем небольшую – только за каждый факт подписи. Так что в этом отношении можно говорить о снижении затрат на использование ЭП, что выгодно для бизнеса».

Что дальше

Большинство изменений ФЗ «Об электронной подписи» вступают в силу уже 1 июля 2020 года. Принятый закон № 476 обязывает государство максимально быстро разработать новые положения Правительства РФ, приказы ФНС и т.д., а также скорректировать множество действующих нормативных правовых актов, регламентирующих применение ЭП в России.

«Справятся ли в Кремле с этой задачей за полгода – уже другая история», – резюмируют эксперты.

***

О прочих знаковых новеллах федерального закона

Федеральный закон от 27.12.2019 № 476-ФЗ кардинально реформирует рынок электронной подписи. Кроме перечисленных выше инициатив вводится информирование граждан о выпущенных на них сертификатах. Принимая во внимание участившиеся случаи мошенничества с электронной подписью, активно освещаемые в СМИ в прошлом году, подобное нововведение как никогда кстати.

«Одной из наиболее значимых и ожидаемых для пользователей электронной подписи инициатив стало информирование граждан о выпущенных на их имя квалифицированных сертификатах, которое планируется реализовать через портал «Госуслуги». Сроки запуска нового сервиса пока уточняются», – сообщает коммерческий директор АО «Аналитический Центр» (Единого портала Электронной подписи iEcp.ru) Алексей Сенченков.

Эксперт отметил, что принятый закон во многом рамочный. Так, требуется принятие обширной подзаконной нормативной базы, которая разъяснит в том числе порядок:

  • предоставления данных о выпущенных сертификатах через портал «Госуслуги»;
  • хранения, использования и отмены электронных машиночитаемых доверенностей, которые будут использоваться при подписании документов сотрудниками компаний и индивидуальных предпринимателей;
  • определения максимальной стоимости квалифицированных сертификатов ключей проверки электронной подписи, которые будут выпускать аккредитованные удостоверяющие центры;
  • и других новелл.

В противовес положительной инициативе по запрету введения объектных идентификаторов (OID) сверх тех, что предусмотрены законодательно, в структуру сертификата решено внести отметку о способе прохождения заявителем идентификации при получении квалифицированного сертификата. Федеральный закон от 27.12.2019 № 476-ФЗ допускает не только идентификацию при личной явке, но и дистанционные способы: при помощи КЭП, загранпаспорта нового образца, ЕСИА (Единая система идентификации и аутентификации), ЕБС (Единая биометрическая система).
 

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 4

В случае с облачной ЭП отсутствие криптографии на рабочем месте означает, что для подписания документ необходимо передать оператору ЭП - перспектива из разряда "так  себе".

Так же новая версия закона содержит отсылки к пока несуществующим методическим рекомендациям регуляторов, по которым должна осуществляться работа с метками доверенного времени - какие требования туда будут включены, ещё не ясно.

Соответствующие вопросы и к ДТС - какой артефакт будет являться результатом проверки, как выглядит формат такого документа.

Вадим Майшев 3 февраля 2020
«В первую очередь оно (в лице ФНС и Центробанка) получает потенциальный рычаг «мгновенного отключения» для бизнесов, – поясняет Елисей Иодковский, главный специалист отдела информационной безопасности компании ЭОС. – Поскольку теперь можно будет получить квалифицированный сертификат «на юрлицо» только на владельцев бизнеса и только в государственных УЦ, а все остальные электронные подписи организации будут иерархичны и зависимы через электронные доверенности от этого «главного сертификата», то его блокировка по любым причинам означает мгновенную невозможность легитимно использовать ЭП всем, имеющим право подписи в иерархии организации».

Квалифицированный сертификат получает не "владелец бизнеса", а единоличный исполнительный орган юрлица. Нет тут никакой иерархичности ни подписей, ни сертификатов. Вместо весьма спорной и трудоемкой (и поэтому нереальной) двойной подписи (сертификатом ФЛ-сотрудника + сертификатом ЮЛ-руководителя) на скорую руку придумана некая связь/трансляция полномочий через подписанную доверенность, но она в большинстве случаев не может являться альтернативой, т.к. весь фокус из криптографии (с проверки действительности подписи в момент проверки подписи) перемещается в отсутствующие сегодня реестры доверенностей=пылесосы_ПДн (в проверку действительности доверенности в отдельных сервисах). 

Уже скоро потребуются новые версии решений, умеющие обрабатывать утвержденную логику работы «ЭП+доверенность(и)» и учитывающие другие новые сущности, появившиеся в законе.

Криптография не может "обрабатывать логику" доверенности, т.к. доверенность - юридическая сущность, а не техническая.

Квалифицированный сертификат получает не "владелец бизнеса", а единоличный исполнительный орган юрлица.

Ну, и "единоличный исполнительный орган" в законе тоже не фигурирует, есть "...лицо, имеющее право подписи без доверенности...". Если ООО\АО не меняет каждый раз Устав, вписывая в него каждого нового Генерального\Исполнительного директора, то, обычно, владелец и есть то самое "лицо, имеющее право без доверенности".  А директор(а) и дальше вниз - по  доверенности.

Нет тут никакой иерархичности ни подписей, ни сертификатов.

Тут две возможности - и в законе об этом ни "гу-гу", увы! - или "лицо имеющее право без доверенности" должно подписывать ВСЕ доверенности  в организации (представьте какой-нибудь ритейл с десятками тысяч магазинов), или подписывает доверенность Генерального(ых) с правом передоверия, ad infinitum. В любом случае иерархичность - либо два уровня, либо до бесконечности. 

Вместо весьма спорной и трудоемкой (и поэтому нереальной) двойной подписи (сертификатом ФЛ-сотрудника + сертификатом ЮЛ-руководителя)

Вот это-то (в проекте закона) было просто и ясно. Технически, подпись двумя ключами (параллельная или соподпись) - простое дело, даже СЭДы перепрограммировать не надо. Да и в "быту" было бы просто - закинул на токен два ключа и пользуйся. Схема с доверенностями - гораздо гораздее :)

на скорую руку придумана некая связь/трансляция полномочий через подписанную доверенность, но она в большинстве случаев не может являться альтернативой, т.к. весь фокус из криптографии (с проверки действительности подписи в момент проверки подписи) перемещается в отсутствующие сегодня реестры доверенностей=пылесосы_ПДн (в проверку действительности доверенности в отдельных сервисах)

Нет в законе никаких "реестров доверенностей" с ПДНами. Для логики работы они не нужны. Доверенность - это такой же электронный документ, подписанный ЭП, и задача проверки доверенности сводится к двум вещам -  1."обычной" проверке ЭП (сходится математика и есть доказательства валидности сертификата (цепочки их) на момент подписания и\или проверки).  2. проверке полномочий по данной доверенности - хватает или нет для подписи конкретного документа.... И это может быть оооочень "развесисто". Закон предполагает введение "реестров полномочий" - некого списка всех возможных полномочий, часть (или даже все) из которых  могут быть указаны в доверенности. Если это "право подписи документов" - просто и понятно, ОК. Но, например, в бумажной доверенности сейчас может быть "право подписи договоров не более 1 000 000 р." - такая формулировка уложится ли в "реестр полномочий"?  

Про доверенности вообще ничего не известно - ни формат (хорошо, если это будут аттрибутные сертификаты, но всерьез (sic!) рассматривался даже вариант "DOC-файл, подписанный ЭП"); ни механизм отзыва  - если доверенность будет выдаваться на конкретный ключ\сертификат физлица, которому доверяют, то, конечно, доверки будут протухать вместе с сертификатом, так сказать автоматически. Но это "естественная смерть", не отзыв в середине срока... Впрочем, для бумажных доверок тоже нет гарантированного "механизма отзыва"

Криптография не может "обрабатывать логику" доверенности, т.к. доверенность - юридическая сущность, а не техническая.

Я вас умоляю!  МАШИНОЧИТАЕМАЯ доверенность - вполне техническая сущность. Будут ли её обрабатывать "средства подписи" (сиречь криптография) или следующий слой ПО - точно, конечно, не ведомо. Но что-то мне подсказывает, что будет нужен сертифицированный софт, ближе всего к нему - вот сюрприз! - криптографы... 

Кирилл Соколов 29 февраля 2020
Поскольку теперь можно будет получить квалифицированный сертификат «на юрлицо» только на владельцев бизнеса и только в государственных УЦ, а все остальные электронные подписи организации будут иерархичны и зависимы через электронные доверенности от этого «главного сертификата», то его блокировка по любым причинам означает мгновенную невозможность легитимно использовать ЭП всем, имеющим право подписи в иерархии организации».

В комментарии неявно подразумевается, что подписание любого документа организации (например, счет-фактуры), требует электронной подписи, выданной на юрлицо. Но это никак из закона об электронной подписи не следует. Сотрудник может получить сертификат ключа электронной подписи на своё имя и подписывать этим ключом документы организации, главное, чтобы у него была доверенность (хоть бумажная, хоть электронная) на эти действия.

Чтобы прокомментировать, или зарегистрируйтесь