Условия получения облачной ЭЦП

Удостоверяющий центр

С развитием цифровой экономики растет количество интеллектуальных продуктов и предложений, которые способны упростить и ускорить деловые процессы, связанные с передачей личной информации. Этими свойствами обладает облачная электронная подпись, способ хранения и механизм использования которой отличается от привычного типа ЭП.

Электронная подпись
Пользователь ЭП освобождается от «жесткой» привязки к настроенному рабочему месту.

Понятие облачной электронной подписи

Этот IT-продукт позволяет подписывать документы и проводить деловые операции в электронном формате. Основное отличие облачной ЭП состоит в отсутствии привязки к флеш-носителю (токену) и к рабочему месту.

Удостоверяющий центр

Зашифрованный ключ ЭП находится на специальном сервере (облаке) под защитой, а управление им осуществляется пользователем через удостоверяющий центр (УД) при помощи мобильного устройства.

Для того чтобы осуществить операцию с использованием облачной ЭП, выполняются следующие действия:

  • с мобильного устройства направляется запрос в удостоверяющий центр;
  • оператор (УД) высылает СМС для подтверждения или использует иной выбранный пользователем способ идентификации личности;
  • после подтверждения удостоверяющий центр осуществляет подписание электронного документа.
Определение облачной ЭП
Теперь доступ к ключу электронной подписи можно получить с любого устройства.

Предназначение и суть

Суть этой технологии состоит в упрощении процесса использования цифровой подписи без использования флеш-накопителя и рабочего компьютера с установленным программным обеспечением.

Необходимые процессы осуществляются мобильно, с экономией времени и ресурсов.

При этом сервер, на котором хранится информация, обеспечивает защиту от незаконного использования ЭП и исключает риск физической потери токена.

Области применения

Облачная цифровая подпись будет полезна людям, большая часть рабочего времени которых проходит в деловых выездах и экспертизах, характерных для юристов, аудиторов, и других видах деятельности, связанных с электронным документооборотом и сделками в интернете.

Облачная ЭП, как и стандартная, используется для заверения документов: при участии в торгах, государственных закупках, оформлении отчетов в органы налогового и финансового учета, а также для получения государственных услуг с электронных порталов и т.д.

Преимущества

Использование облачных ЭП имеет ряд преимуществ и позволяет держателю данного типа цифровой подписи:

Преимущества ЭП
Важные преимущества.
  • сэкономить на покупке токена (usb-накопитель) и других дополнительных гаджетов, что особенно ощутимо при обеспечении оборудованием штата сотрудников;
  • не устанавливать и не обучаться программам СКЗИ, благодаря простоте и удобству использования облачной подписи;
  • осуществлять операции в любом месте, не отрываясь от рабочего процесса, при помощи мобильного телефона, планшета, компьютера и других устройств с выходом в интернет или доступом к сети;
  • защитить информацию от утечки посторонним лицам, т.к. сервер использует особую систему оповещения и несколько уровней защиты;
  • исключить возможность физической порчи или потери флеш-носителя ЭП, технология позволяет осуществить копирование данных в случае необходимости.

Вопрос «квалифицированности» облачной ЭП

Т.к. пользователь доверяет серверу конфиденциальные документы, возникает вопрос о степени надежности защиты информации и соответствии данной системы юридическим нормам цифровой сферы.

Понятие облачной ЭП закреплено в Федеральном законе «Об электронной подписи». В соответствии с ним, различают 3 вида подписей: простую, усиленную неквалифицированную и усиленную квалифицированную, при этом только последняя имеет юридическую силу и подтверждается специальными сертификатами.

Технология «КриптоПро» HSM 2.0 и DSS 2.0. прошла проверку и имеет сертификат соответствия от ФСБ, полученный в 2018 г. Технология облачной ЭП сложная, создана с учетом требований повышенной безопасности клиентов и возможных рисков. Однако регулирование данной сферы продолжает совершенствоваться, добавляя дополнительные требования.

Опыт использования

Применение и развитие облачной ЭП, как и других продуктов digital-сферы, в разных странах происходит неравномерно и во многом зависит от обеспеченности соответствующей законодательной базой, своевременности ее обновления и других формальных процедур.

В России

В России опыт использования электронной подписи в облаке небольшой, а сама технология все еще вызывает дискуссии.

В истории технологии облачных подписей в России можно выделить несколько основных фактов:

Элементы технологии облачной ЭП
Программное обеспечение ЭП.
  1. Механизм использования ЭП был регламентирован еще в 1994 г., понятие подписи, приравненное к международным стандартам, было закреплено только в 2002 г. и обновлено в 2011 г., с чего и начался активный опыт ее эксплуатации в стандартном формате.
  2. Программное обеспечение для работы с облачными ЭП – «КриптоПро myDSS» – было разработано и представлено еще в 2010 г., но ввиду отсутствия законодательных норм не могло быть применено.
  3. В 2017-2018 гг. в Федеральном законе № 63-ФЗ, регламентирующем ЭЦП, появились нормы, позволяющие создавать облачные ЭП удостоверяющим центрам.
  4. Облачные ЭП продолжают развиваться, обновленные требования от 27.12.2019 № 476-ФЗ, вступившие в силу 01.01.2021 г., предполагают разработку дополнительных средств защиты, которые, по прогнозам специалистов, появятся на рынке не ранее середины 2021 г.

В Европе

Использование облачных технологий в Европе строго регламентировано соответствующими стандартами и требованиями информационной безопасности. Основным является Cloud Standard Coordination (CSC) European Telecommunications Standards Institute, ETSI. Провайдеры обязаны пройти сертификацию по нормам менеджмента качества ISO 27001:2013.

Данный стандарт – «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» – прошел несколько этапов и дополнялся с учетом изменения требований к защите информации:

  1. В 2013 г. была выпущена техническая спецификация для определения уровня безопасности использования облачной ЭП, предоставляемого провайдером (CEN/TS 419241 «Security Requirements for Trustworthy Systems Supporting Server Signing»). Уровень безопасности при этом зависит в основном от способа аутентификации (через мобильное приложение, сервер, генератор паролей и т.п.).
  2. Первый комплекс вышел в 2014 г. и был дополнен стандартами о защите персональных данных в облаке и в 2015 г. – о средствах контроля информационной безопасности в облаке.
  3. В 2014 г. также вышло постановление Европарламента №910/2014 под названием eIDAS. В соответствии с ним, стало возможным хранение ключа квалифицированной электронной подписи на удаленном сервере доверенного провайдера.

Условия получения

В связи с динамичностью изменений норм и стандартов услугу предоставления облачной ЭП в России оказывает ограниченное число удостоверяющих центров. Услуга оказывалась сервисом СКБ «Контур», однако эта возможность временно отсутствует. Наиболее простым и популярным является сервис Sing.me. Получить подпись можно, отправив запрос на сайт. Перед получением продукта пользователю необходимо пройти очную верификацию документов (оригиналы паспорта, ИНН и СНИЛС) с представителем для заключения договора. По истечении срока соглашения потребуется обновление данных.

Компания СКБ «Контур»
Много полезной информации об облачной ЭП можно посмотреть на сайте СКБ «Контур».

Внедрение и стоимость квалифицированной электронной подписи

Внедрение технологии облачной ЭП актуально для крупных организаций, сотрудники которых нуждаются в этом продукте ввиду постоянного взаимодействия с документооборотом и клиентами, повышенной мобильности.

Для того чтобы внедрить технологию на такое предприятие (удостоверяющий центр, банк, страховая компания и т.п.), необходимо связаться с разработчиком («КриптоПро») через АО «Аналитический центр».

На площадке Sign.me пользователи могут приобрести облачную электронную подпись:

  • для физических лиц – 1500 руб. в год;
  • для ИП – 2300 руб. в год;
  • для юридических лиц – 3000 руб. в год.

Отрицательные стороны ЭЦП в облаке

Как и у любого активно развивающегося продукта, у облачной подписи есть недостатки и факторы риска:

  1. Риск взлома системы, при котором возможно хищение пользовательских ключей. Однако есть данные о том, что в случае кибератаки в технологии предусмотрен механизм защиты информации путем ее удаления.
  2. Возможно ограничение доступа к серверу по техническим причинам, например отсутствие возможности выхода в интернет и т.д. В этом случае теряется основное достоинство подписи в облаке – мобильность и скорость.
  3. Юридически сертификат будет принадлежать удостоверяющему центру, а не пользователю.
  4. Применение подписи в облаке возможно только в интегрированных с удостоверяющим центром платформах. Список поддерживаемых сервисов можно увидеть при оформлении подписи.
  5. Невозможно оформление неквалифицированной облачной подписи, т.к. она не предполагает криптошифрование, используемое в технологии.

Облачная электронная подпись – это удобный инструмент для современного мобильного пользователя. Преимущества, активное развитие и спрос на технологию дают понять, что в скором будущем подписи в облаке станут основным используемым в работе вариантом ЭП.

Ссылка на основную публикацию