0 просмотров
Рейтинг статьи
1 звезда2 звезды3 звезды4 звезды5 звезд
Загрузка...

Что это такое компрометация ключа электронной подписи

Виды электронной подписи. Как учесть в бухучете электронную подпись?

Шестакова Е.В.
Генеральный директор ООО «Актуальный менеджмент»,
Кандидат юридических наук
специально для компании «Такском»

Сегодня без электронной подписи никуда, она очень упрощает жизнь: не нужно ехать в налоговую инспекцию, Пенсионный фонд, Фонд социального страхования для подачи отчетности, не нужно ехать в банк для оформления платежных документов и выплаты заработной платы через кассу. Кроме того, можно упростить взаимодействие с контрагентами путем электронного документооборота. Вместе с тем, необходимо помнить об особенностях применения и проверки достоверности электронной подписи.

Какие виды электронных подписей существуют?

Пункт 2 ст. 160 ГК РФ устанавливает возможность использования электронной подписи в качестве аналога собственноручной подписи в случаях и порядке, предусмотренных законом.

Под электронной подписью понимается информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Для того чтобы понять, какие виды электронных подписей существуют, достаточно обратиться к Федеральному закону от 06.04.2011 № 63-ФЗ (ред. от 30.12.2015) «Об электронной подписи». В данном законе поименованы следующие виды электронных подписей:

  • простая электронная подпись;
  • усиленная электронная подпись.

Усиленная подпись подразделяется на:

  • усиленную неквалифицированную электронную подпись;
  • усиленную квалифицированную электронную подпись (статья 5 Закона).

Различия в видах электронных подписей

Простая электронная подпись

Электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Неквалифицированная электронная подпись

Электронная подпись, которая:

  • получена в результате криптографического преобразования информации с использованием ключа электронной подписи;
  • позволяет определить лицо, подписавшее электронный документ;
  • позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;
  • создается с использованием средств электронной подписи.

Квалифицированная электронная подпись

Электронная подпись, которая соответствует всем признакам неквалифицированной электронной подписи и следующим дополнительным признакам:

  • ключ проверки электронной подписи указан в квалифицированном сертификате;
  • для создания и проверки электронной подписи используются средства электронной подписи, имеющие подтверждение соответствия требованиям, установленным законодательством РФ.

Следует обратить внимание

Электронный документ, подписанный усиленной квалифицированной электронной подписью, законодательством приравнивается к бумажному документу с собственноручной подписью (ч. 1 ст. 6 Федерального закона от 06.04.2011 № 63-ФЗ).

А вот информация, подписанная простой электронной подписью или неквалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, если достигнуто соглашение между участниками электронного взаимодействия.

Поэтому более безопасным вариантом является использование именно усиленной квалифицированной электронной подписи.

Кроме того, в некоторых случаях подписание ряда документов возможно только усиленной квалифицированной электронной подписью:

  • годовая бухгалтерская отчетность, сдаваемая в Росстат (п.6 приказа Росстата от 31.03.2014 №220);
  • налоговые декларации (п.1 ст.80 НК РФ);
  • отчетность в Пенсионный фонд (Постановление Правления ПФР от 16.01.2014 № 2п);
  • электронный счет-фактура (абз.2 п.6 ст.169 НК РФ).
  • табель учета рабочего времени, нарядов на работу, приходных ордеров, требований-накладных (Письмо Минфина России от 11.01.2012 № 03-02-07/1-1);
  • авансовые отчеты по итогам командировок (Письмо Минфина России от 12.04.2013 № 03-03-07/12250) и т.д.

Иные первичные документы могут быть подписаны простой электронной подписью (Письмо Минфина России от 12.04.2013 № 03-03-07/12250). Однако в другом письме Минфин высказался о том, что виды электронных подписей, используемых для подписания документов бухгалтерского учета, в том числе первичных учетных документов, устанавливаются федеральными стандартами бухгалтерского учета. Но пока данные стандарты в настоящее время не установлены (Письмо Минфина России от 02.06.2015 № 03-01-13/01/31906). До принятия соответствующего федерального стандарта бухгалтерского учета организация может в целях бухгалтерского учета и налогообложения использовать при оформлении первичных учетных документов в электронном виде любой предусмотренный Законом № 63-ФЗ вид электронной подписи.

Налоговое законодательство не содержит специальных требований закреплять используемые форматы электронных первичных учетных документов в учетной политике для целей налогообложения.

Если документ в электронной форме составлен не по формату, установленному ФНС России, то такие документы в случае истребования в рамках налоговых проверок представляются в налоговый орган на бумажном носителе в виде заверенной налогоплательщиком копии с отметкой о подписании документа электронной подписью (Письмо ФНС России от 10.11.2015 № ЕД-4-15/19671 «Об использовании самостоятельно разработанных форматов документов»).

Вместе с тем необходимо обратить внимание на Приказ ФНС России от 29.06.2012 № ММВ-7-6/465@ (ред. от 17.03.2015) «Об утверждении формата описи документов, направляемых в налоговый орган в электронном виде по телекоммуникационным каналам связи», позволяющий отправлять неформализованные формы документов. К таким документам, в частности, относятся:

  • Товарно-транспортная накладная;
  • Акт приемки-сдачи работ (услуг);
  • Грузовая таможенная декларация/транзитная декларация;
  • Спецификация (калькуляция, расчет) цены (стоимости);
  • Товарная накладная (ТОРГ-12);
  • Дополнение к договору;
  • Договор (соглашение, контракт);
  • Корректировочный счет-фактура;
  • Отчет НИОКР.

Электронный документ считается подписанным, если на нем содержится электронная подпись и если имеется ключ электронной подписи. Если же говорить о простой подписи, то должно соблюдаться одно из вышеуказанных условий. Однако простую электронную подпись возможно скомпрометировать, в связи с чем рекомендуется использовать квалифицированную электронную подпись, которая обеспечивает абсолютную надежность по части безопасности.

Что представляет собой компрометация ключей подписи?

Компрометация ключей подписи – это утрата доверия к тому, что ключи могут обеспечить безопасность информации. Компрометация может привести к следующим негативным последствиям:

  • утечке информации;
  • переводу денежных средств с банковских счетов компании;
  • предоставлению данных третьей стороне, например, контрагентов;
  • передаче инсайдерских данных третьей стороне.
Читать еще:  Путевки за счет ФСС в 2019 - 2020 году

Компрометация ключей вызывает достаточно много судебных споров. Например, в Постановлении Арбитражного суда Московского округа от 09.02.2016 № Ф05-17738/2015 по делу № А40-20848/2015 рассматривался спор между компанией и банком в отношении компрометации ключа электронной подписи и списания денежных средств. В этом споре суд встал на сторону клиента, указав, что компания своевременно известила банк о факте компрометации ключа электронной подписи доступным для него способом, в связи с чем банк должен был прибегнуть к осуществлению дополнительных мероприятий с целью установления действительного волеизъявления клиента на совершение спорных операций. Вместе с тем, денежные средства были списаны. Решением Арбитражного суда города Москвы от 22.07.2015, оставленным без изменения постановлением Девятого арбитражного апелляционного суда от 19.10.2015, с ОАО «СБЕРБАНК РОССИИ» в пользу ООО «ГОРДОРСТРОЙ» взысканы денежные средства в размере 88 404 416 руб. 67 коп., из которых 86 000 000 руб. — сумма убытков, 2 404 416 руб. 67 коп. — проценты за пользование чужими денежными средствами.

Но существует и противоположная практика. В Определении Верховного Суда РФ от 17.12.2015 № 303-ЭС15-16315 по делу № А51-35104/2014 суд отказал в возмещении убытков, поскольку на момент приема к исполнению распоряжений клиента, а также на момент списания денежных средств с его счета сообщений заявителя в банке еще не имелось.

Данные случаи показывают, насколько серьезно нужно относиться к вопросам компрометации.

Причинами компрометации могут быть совершенно различные факторы, начиная от потери ключей, увольнения сотрудников, которые передают информацию о ключах конкурентам и мошенникам, и заканчивая утечками информации, использованием специальных технических средств.

Если произошла компрометация ключей, то необходимо сразу предупредить об этом оператора удостоверяющего центра. Нужно сообщить оператору следующую информацию:

  • свои идентификационные данные;
  • серийный номер сертификата ключа подписи, соответствующего скомпрометированному ключу;
  • секретное ключевое слово, полученное при регистрации.

Кроме того, часто в случае возникновения подозрений в компрометации закрытых ключей их действие временно приостанавливается. После этого выдаются другие ключи.

Как проверить достоверность электронной подписи?

Самым сложным вопросом при использовании электронной подписи является проверка ее достоверности.

Во-первых, если компания или предприниматель впервые работают с электронной подписью, то необходимо правильно выбрать удостоверяющий центр. Работа с проверенными компаниями, зарекомендовавшими себя годами, позволит снизить риски компрометации, сбоев в работе ключей или проблем со сдачей отчетности, если говорить, например, об отчетности в налоговый орган или Пенсионный фонд.

Во-вторых, проверить подлинность электронной подписи можно на портале госуслуг. Для этого достаточно зайти по ссылке: https://www.gosuslugi.ru/pgu/eds/ и загрузить файл. На данном сайте можно подтвердить подлинность ЭП сертификата, изданного удостоверяющим центром, входящим в список аккредитованных удостоверяющих центров Министерства связи и массовых коммуникаций.

В поле «Выберите сертификат для проверки» следует выбрать сертификат, подлинность ЭП которого следует подтвердить, и нажать кнопку «Проверить». На экране будет отображена информация о результатах проверки сертификата.

В-третьих, если какие-то электронные документы вызывают сомнение, например, направлены на списание, перевод денежных средств, предусматривают открытие или установку какой-то программы, то всегда лучше связаться с исполнителем и уточнить, действительно ли был отправлен подобный файл или его отправка была инициирована мошенниками.

Некоторые компании проводят дополнительную проверку, например, при проведении электронных торгов просят прикладывать корневые сертификаты удостоверяющего центра, выдавшего ЭП. А достаточно крупные компании разрабатывают собственное программное обеспечение, которое производит проверку достоверности электронных подписей.

В удостоверяющем центре «Такском» организации, индивидуальные предприниматели и физические лица могут получить сертификат ключа подписи в течение одного часа.

Выберите нужный сертификат с помощью мастера подбора сертификатов c возможностью поиска по площадкам.

Немаловажным вопросом работы с электронной подписью является отражение электронной подписи в бухгалтерском учете.

Как учесть в бухгалтерском учете электронную подпись?

При организации электронного документооборота неизбежны расходы, в частности, связанные с приобретением ключей, сертификатов, программного обеспечения. Такие расходы отвечают требованиям бухгалтерского учета и отображаются на основании п.9 Положения по бухгалтерскому учету «Расходы организацииПБУ 10/99, утвержденного Приказом Минфина России от 06.05.1999 № 33н. Это расходы по обычным видам деятельности.

Компания или индивидуальный предприниматель заключают договор, на основании которого осуществляется как выдача ключей, так и техническое обслуживание работы электронного документооборота. Первичным документом, подтверждающим расходы, будет акт приемки-передачи.

Расходы по электронному документообороту формируются на счете 26 «Общехозяйственные расходы». В конце месяца расходы списываются на счет 20 «Основное производство».

Таким образом, расходы на пользование электронной подписью можно учесть в бухгалтерском учете.

Как учесть в налоговом учете электронную подпись?

В налоговом учете расходы на электронную подпись также можно учесть для целей налогообложения, если расходы соответствуют критериям статьи 252 НК РФ, то есть направлены на получение прибыли и документально подтверждены. На самом деле, электронная подпись и электронный документооборот экономят значительно время и сокращают расходы, например, транспортные расходы на доставку деклараций и документов в налоговый орган, ФСС, также экономят время бухгалтера на выдачу заработной платы, сокращают почтовые расходы.

Если говорить о документальном подтверждении, то необходимыми документами могут быть договор и акт приемки-передачи услуг, в котором необходимо проверить все реквизиты, указанные в статье 9 закона № 402-ФЗ «О бухгалтерском учете». Согласно пп. 25 п. 1 ст. 264 НК РФ к прочим расходам, связанным с производством и реализацией, относятся расходы налогоплательщика на почтовые, телефонные, телеграфные и другие подобные услуги, расходы на оплату услуг связи, вычислительных центров и банков, включая расходы на услуги факсимильной и спутниковой связи, электронной почты, а также информационных систем (СВИФТ, информационно-телекоммуникационная сеть Интернет и иные аналогичные системы).

Читать еще:  Срок хранение документов бухгалтерского учета в 2019 - 2020 году

Расходы на оплату услуг по изготовлению и обслуживанию сертификата ключа подписи фактически представляют собой расходы на получение права использования программы для ЭВМ (программного обеспечения) на основании лицензионного договора.

Следовательно, расходы на оплату услуг по изготовлению и обслуживанию сертификата ключа подписи учитываются в составе прочих при условии соответствия требованиям п. 1 ст. 252 НК РФ.

Расходы можно учесть и для целей обложения УСН. Согласно пп. 5 п. 1 ст. 346.16 НК РФ при определении объекта налогообложения налогоплательщик, применяющий УСНО, уменьшает полученные доходы, в частности, на величину материальных расходов. Перечень материальных расходов приведен в ст. 254 НК РФ. Данный перечень материальных расходов является открытым. Следовательно, расходы по изготовлению и обслуживанию электронной подписи можно также учесть.

В заключение необходимо отметить, что электронная подпись сегодня используется все более и более активно, из рисков основным риском можно назвать компрометацию, а вот в части налоговых и бухгалтерских рисков, у компании проблем возникнуть не должно.

Статьи и публикации

Как защитить закрытый ключ ЭЦП от компрометации

Вопреки всем недостаткам «Закона об ЭЦП» и отсутствию работающего корневого Удостоверяющего Центра УФО РФ, весьма затянувшемуся, применение электронно-цифровой подписи (ЭЦП) становится массовым. Особенно активно этот процесс идет в корпоративном сегменте экономики и ведомствах. К, примеру, одной из основных на международной научно-практической конференции «ТелеКомТранс-2005», состоявшейся в апреле 2005 г., была тема применения ЭЦП в информационных системах на транспорте. И все же, несмотря на то, что сегодня эта тема популярна и широко обсуждается, далеко не все потенциальные пользователи понимают, как происходит формирование сертификата подписи, что такое компрометация ключа цифровой подписи и как снизить риски компрометации. Рассмотрению этих вопросов посвящена данная статья.

Почему так важен вопрос хранения ключевого материала от компрометации

Рассмотрим, где реально применяется ЭЦП:

  • юридически значимый документооборот;
  • банковские системы («Интернет-банкинг» и «Клиент-банк»);
  • системы электронных госзаказов и электронной торговли (e-commerce);
  • системы контроля исполнения государственного бюджета;
  • системы обращения к органам власти (e-government);
  • обязательная отчетность (в частности, интенсивно развивающаяся безбумажная отчетность перед органами ГНС);
  • защита почтовых сообщений и др.

Во всех вышеперечисленных системах главным условием интенсивного обмена информацией является наличие доверительных отношений между пользователем (клиентом) и сервером. При обмене информацией должны соблюдаться такие общеизвестные требования, как гарантированное соблюдение конфиденциальности и целостности, а также неотказуемости автора. Даже поверхностный анализ показывает, что использование злоумышленником ЭЦП легального пользователя в любой из перечисленных систем может привести к ощутимым финансовым потерям. Представьте, если вместо вас кто-то отправит якобы подписанный вами финансовый документ и, например, снимет с вашего расчетного счета несколько миллионов долларов. Естественно, вам захочется как можно быстрее найти виновного и вернуть деньги. Вы обратитесь в финансовый институт (например, банк) и попытаетесь найти виновного там. Вам подтвердят документально, что информационная система банка построена в соответствии с существующими нормативно-правовыми актами, сеть аттестована по соответствующему классу, а для формирования и проверки подписи используются только сертифицированные средства ЭЦП. И еще напомнят, что при получении ключевого материала вам были предложены альтернативные носители, из которых вы выбрали самый дешевый. Например, дискету. И еще напомнят, что согласно статье 12 «Закона об ЭЦП» хранение закрытого ключа электронной цифровой подписи — обязанность владельца.

Круг замкнулся. Во всем виноваты вы сами. А все ли вы знали и действительно ли вас предупреждали о возможности компрометации ключа до того, как произошла материальная потеря? Но впрочем, все по порядку.

Существенная деталь механизма генерации ЭЦП

И так, в силу сложившихся обстоятельств вы решили, что вам необходима ЭЦП. Вы приходите в Удостоверяющий центр (УЦ) и подписываете договор на приобретение ЭЦП и ее обслуживание. Для формирования вашего сертификата ключа ЭЦП необходим только ваш открытый ключ. Если его у вас нет, то при вас генерируется ключевая пара (открытый и закрытый ключи). Закрытый (секретный) ключ и открытый ключ вашей ЭЦП (гарантом подлинности которого является выдавший его Удостоверяющий центр) в электронном виде передается вам на носителе. Носителем может быть дискета, смарт-карта или USB-ключ. Если в упомянутом выше договоре с Удостоверяющим центром нет пункта о депонировании и ответственном хранении вашего закрытого ключа в защищенном хранилище центра, то сотрудник центра обязан удалить его из компьютера после передачи вам. По определению закрытый ключ всегда хранится у пользователя, а сертификат ключа ЭЦП, подписанный выдавшим его Удостоверяющим центром, формируется на основе открытого ключа.

Какие угрозы компрометации ключей ЭЦП существуют?

Проведем простые аналогии ЭЦП с собственноручной подписью на бумажном носителе. При оформлении серьезных сделок идентификация производится с помощью паспорта. Вы бережно храните свой паспорт от попадания в чужие руки, поскольку даже в социалистические времена были распространены различные виды действий злоумышленников, самым безобидным из которых было взять в бюро проката бытовой техники на приличную сумму под чужой паспорт. Известно, что эту сумму в судебном порядке взыскивали с бывшего владельца паспорта, не успевшего быстрее вора заявить о пропаже в милицию.

Если у вас каким-либо образом (прямая кража, копирование) украли закрытый ключ цифровой подписи, об этом необходимо как можно быстрее (чтобы обогнать злоумышленника) известить УЦ, который выдал сертификат ключа ЭЦП. На профессиональном языке это называется компрометацией закрытого ключа ЭЦП.

Перечислим некоторые наиболее вероятные угрозы компрометации:

  • хранение ключа в открытом (незашифрованном) виде;
  • хранение ключей непосредственно на дисках ПК владельца;
  • хранение ключей на ненадежных (в техническом плане) носителях (дискетах);
  • передача ключевого носителя сторонним пользователям;
  • отсутствие контроля за использованием ключевых носителей (например, ключевая дискета, забытая в дисководе и т.д.).

Конечно, все зависит от состояния информационной системы вашего предприятия и/или вашего компьютера, если вы работаете дома. Все вероятные угрозы перечислить невозможно. Однако, одним из основных принципов гарантированного сохранения закрытого ключа в тайне (в соответствии с ФЗ-1) является минимизация риска (а лучше исключение возможности) потери ключа, доступа к нему посторонних лиц и его надежная защита от копирования. Ответ на вопрос, являетесь ли вы посторонним лицом или истинным владельцем хранилища ключевой информации (называемым персональным идентификатором), и насколько вам можно доверять, дает процесс под названием аутентификация. Под аутентификацией следует понимать процесс проверки подлинности предъявленных объектом идентификационных параметров, как правило, с применением криптографических методов. Если оба процесса проходят успешно, объект (пользователь) получает доступ в систему. Различают простую (однофакторную) и строгую (двухфакторную) аутентификацию. К факторам аутентификации относят:

  • знание пользователем пароля или PIN-кода,
  • предъявление пользователем персонального идентификатора (смарт-карты, USB-ключа класса eToken, таблетки iButton, дискеты, и т.д).

Известно, что наиболее надежным способом аутентификации на сегодня являются программно-аппаратные решения, или так называемые двухфакторные модели (пользователь должен иметь «нечто» и знать «нечто»). Другими словами, для проведения так называемой строгой аутентификации должны применяться технологии смарт-карт-логона, основанные на использовании цифровых сертификатов Х.509. Это позволяет полностью отказаться от применения парольной защиты. Такой подход обеспечивает проверку прав пользователя и истинность сервера (сервер не подменен злоумышленником) с помощью криптографических методов.

Правила хранения ключа должны зависеть от востребованности ЭЦП. Если ее приходится применять несколько раз в день, то все рабочие процессы должны быть технологичны и удобны. Идеально, если функции носителя ключевой информации и персонального идентификатора для доступа в помещения офиса, к компьютеру, корпоративной сети и защищенным ресурсам совмещены в едином устройстве. Такие устройства существуют и успешно используются.

Компрометация ключа

«. Компрометация ключа — утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. «

Постановление Правления ПФ РФ от 26.01.2001 N 15 «О введении в системе Пенсионного фонда Российской Федерации криптографической защиты информации и электронной цифровой подписи» (вместе с «Регламентом регистрации и подключения юридических и физических лиц к системе электронного документооборота Пенсионного фонда Российской Федерации»)

«. Компрометация ключа — утрата доверия к тому, что используемые закрытые ключи недоступны посторонним лицам. К событиям, связанным с компрометацией ключей, относятся, в том числе, следующие:

— утрата ключевых носителей;

— утрата ключевых носителей с последующим обнаружением;

— увольнение сотрудников, имевших доступ к ключевой информации;

— возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи;

— нарушение целостности печатей на сейфах с ключевыми носителями, если используется процедура опечатывания сейфов;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей;

— утрата ключей от сейфов в момент нахождения в них ключевых носителей с последующим обнаружением;

— доступ посторонних лиц к ключевой информации. «

Приказ ФНС РФ от 18.12.2009 N ММ-7-6/691@ «Об утверждении Порядка регистрации участников электронного документооборота для представления налоговых деклараций (расчетов) и иных документов в электронном виде и информирования налогоплательщиков по телекоммуникационным каналам связи»

Официальная терминология . Академик.ру . 2012 .

Смотреть что такое «Компрометация ключа» в других словарях:

компрометация ключа — — [http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23] Тематики защита информации EN compromise of a key … Справочник технического переводчика

Компрометация (криптография) — В этой статье не хватает ссылок на источники информации. Информация должна быть проверяема, иначе она может быть поставлена под сомнение и удалена. Вы можете отредактировать эту статью, добавив ссылки на авторитетные источники … Википедия

компрометация — компрометировать Компрометация это непреднамеренное раскрытие или обнаружение криптографического ключа или кода. [http://www.rfcmd.ru/glossword/1.8/index.php?a=index d=23] Тематики защита информации Синонимы компрометировать EN compromise … Справочник технического переводчика

Инфраструктура открытых ключей — У этого термина существуют и другие значения, см. PKI. У этого термина существуют и другие значения, см. инфраструктура. Инфраструктура открытых ключей (англ. PKI Public Key Infrastructure) набор средств (технических, материальных,… … Википедия

Управление ключами — состоит из процедур, обеспечивающих: включение пользователей в систему; выработку, распределение и введение в аппаратуру ключей; контроль использования ключей; смену и уничтожение ключей; архивирование, хранение и восстановление ключей.… … Википедия

Экономическая информационная система — (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединённых в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации, предназначенной для выполнения функций… … Википедия

ЭИС — Экономическая информационная система (ЭИС) представляет собой совокупность организационных, технических, программных и информационных средств, объединенных в единую систему с целью сбора, хранения, обработки и выдачи необходимой информации,… … Википедия

Анонимные сети — Анонимные сети компьютерные сети, созданные для достижения анонимности в Интернете и работающие поверх глобальной сети. Специфика таких сетей заключается в том, что разработчики вынуждены идти на компромисс между степенью защиты и лёгкостью … Википедия

Ссылка на основную публикацию
Adblock
detector