Ещё в прошлом веке многие предприятия начали массово переходить на электронный документооборот. У всех появились компьютеры с офисными программами. Документы часто набирали в Microsoft Word или других текстовых редакторах, экспортировали в PDF, отправляли по электронной почте.

Казалось, что если документооборот электронный , то мы скоро забудем о шкафах с бумажными архивами, на рабочих столах не останется ни единого бумажного листа. Если вдруг в организацию пришлют бумажный документ по обычной почте, то артефакт немедленно отсканируют и переведут в цифровой вид. В реальности вышло совсем наоборот. Оказалось, что чем больше организация использует компьютеры для цифрового документооборота - тем больше документов она печатает . Ведь каждый документ нужно завизировать. Документ без подписи - это просто черновик или информационная записка. Чтобы получить подпись, документы распечатывают, а потом зачастую сканируют обратно, храня оригиналы в архиве.

Сейчас понятно, что действительно электронный (безбумажный) документооборот никак не внедрить без цифровых подписей.

Сегодня B2B, B2C компании и государственные организации переходят к внедрению цифровых подписей за их неоспоримые преимущества:

• Безбумажный документооборот. Экономия времени, денег и ресурсов.
• Эффективные бизнес-процессы. Подписание в электронном виде делает каждую транзакцию более гладким процессом.
• Мобильные возможности. Взаимодействие внутри организации и с клиентами становится проще.

Инфраструктура открытых ключей (PKI) обеспечивает целостность и подтверждает авторство каждого документа. Метки времени удостоверяют время подписи документа, что необходимо для транзакций, привязанных к определённому времени, обеспечения невозможности отказа от авторства и сохранения данных для аудита. Разумеется, вся система документооборота с цифровыми подписями должна соответствовать необходимым требованиям, действующим в стране юрисдикции, а также в странах, где работают партнёры и клиенты.

Постепенно вырабатываются единые стандарты для электронного документооборота и инфраструктуры цифровых подписей. Например, в странах Евросоюза с 1 июля 2016 года действует стандарт eIDAS (electronic IDentification, Authentication and trust Services) для электронных сервисов идентификации, аутентификации и доверия. В США принят стандарт 21 CFR 11 .

Самые большие в мире доверенные службы для электронных документов - доверенный список Adobe (AATL) и программа Microsoft Root Trust. Удостоверяющие центры, включённые в этот список, выпускают основанные на сертификатах цифровые идентификаторы и службы отметок времени, которые соответствуют нормативным требованиям в мире, как стандарт eIDAS. Для самых популярных форматов офисных документов уже поддерживаются электронные цифровые подписи. В том числе поддерживается подпись документа несколькими лицами, с метками времени.

Что такое Digital Signing Service (Облачный сервис цифровых подписей)?

Digital Signing Service (DSS) - это масштабируемая платформа с поддержкой API для быстрого развёртывания цифровых подписей, которая обеспечивает:

Для собственного сервиса DSS требуется наладить не только рабочий процесс подписи и управление пользователями. Требуются ещё сертификаты подписи для удостоверения личности автора каждого документа. Это включает в себя криптографические элементы, такие как управление ключами, система хранения ключей уровня безопасности FIPS level 2 или выше (например, аппаратные токены или HSM), служба OCSP или CRL, а также служба меток времени. Объединение этих компонентов, особенно интеграция с аппаратным модулем безопасности (HSM) напрямую, будь то облако или локально, требует значительных усилий со стороны отдела ИТ и отдела информационной безопасности наряду с хорошими знаниями криптографии и наличием необходимых ресурсов.

Важно учитывать эти скрытые затраты и инвестиции, а также ограничения и накладные расходы при оценке решений для цифровой подписи.

Отдельно стоит упомянуть, что если служба DSS критически важна для организации, то она должна работать с высоким уровнем аптайма и обеспечивать большую пропускную способность. То есть нужно проектировать своё решение с определённой долей избыточности - с запасом на будущее. И следует предполагать, что бизнесу свойственен рост. Инфраструктура должна быть масштабируемой.

	Digital Signing Service	Традиционная реализация
Интеграция с приложениями для подписи документов	Через простой REST API	Требует внутренней криптографической экспертизы для конфигурации и поддержки
Компоненты криптографической подписи (сертификаты, OCSP, CRL, метки времени	Включены в API, не требуют продвинутых знаний криптографии или ресурсов разработки	Идут отдельно, требуют отдельных вызовов из приложений и внутренних ресурсов разработки для настройки
Масштабируемость	Высокая масштабируемость - не требуется дополнительная настройка или интеграция	Может понадобиться закупка дополнительного оборудования и конфигурация
Высокая доступность и аварийное восстановление	Поставляется через инфраструктуру GlobalSign, проверенную WebTrust, с глобальными центрами обработки данных, избыточностью и лучшим оборудованием для защиты сети	Требует дополнительных инвестиций в оборудование
Управление секретными ключами и их хранение	Через REST API, внутренние ресурсы или оборудование не используются	Клиент отвечает за управление ключами и их хранение (например, в облаке или локальном HSM)
Удостоверения подписи	Поддержка подписей двух уровней: отделов и сотрудников (например, Джон Доу, бухгалтерия)	Не все решения поддерживают оба типа удостоверений

Облачный сервис сильно упрощает развёртывание системы документооборота с поддержкой цифровых подписей. Все операции просто проходят через API.

Облачные сервисы отличаются по ценам и функциональности. Но все они гарантируют гибкость, масштабируемость и высокий уровень доступности. Хотя сервисы платные, зато избавляют компании от необходимости инвестировать в разработку собственных решений, в том числе закупать дорогостоящее криптографическое оборудование.

Кому может понадобиться облачный сервис цифровых подписей? По идее, это любые организации любого размера, которые разрабатывают или вводят в эксплуатацию специально разработанные приложения и намерены либо интегрировать туда цифровые подписи, либо использовать уже интегрированное приложение.

• Поставщики решений документооборота или приложений, желающие интегрировать цифровые подписи или печати. Другой вариант: предложить их клиентам в качестве премиальной опции как гарантированную защиту документов от подделки. Здесь поддерживается гибкая модель: цифровые подписи можно добавить в качестве дополнительного слоя или опции.
• Предприятия, которые хотят интегрировать цифровые подписи или печати в свой документооборот.
• Системные интеграторы, которые внедряют цифровые подписи в существующие и новые системы документооборота.

В конечном счёте каждая организация сама определяет, какой вариант DSS подходит лучше всего, исходя из имеющихся требований к проекту. Здесь учитываются и требования регулирующих органов, и размер организации, и другие факторы, часто уникальные в каждом конкретном случае.

Электронная подпись выполняет такую же функцию, как ваша обычная подпись, скрепленная печатью:

• Подтверждает подлинность документа: помогает убедиться, что документ не изменили, и что он дошел до получателя в первоначальном виде.
• Позволяет идентифицировать автора документа.

Электронная подпись состоит из открытого и закрытого ключей. Открытый ключ также называется публичным, он доступен всем и используется, чтобы проверить, действительна ли подпись, помогает определить владельца и подтвердить достоверность документа, под которым поставлена подпись. Закрытый ключ — секретный. С его помощью подписывают документ, он доступен только обладателю электронной подписи. С технической точки зрения электронная подпись — это набор символов, закодированных криптографическими средствами.

Ещё подпись защищает документы от несанкционированного доступа через шифрование . Документооборот с контролирующими органами обязательно происходит в зашифрованном виде.

Как работает электронная подпись?

Прежде чем отправить отчёты в налоговую при помощи криптографического средства и открытого ключа получателя, ваш отчет, подписывается, шифруется и передается по защищенным каналам связи. Расшифровать документ сможет только инспектор, получатель отчетности, если у него есть свой секретный закрытый ключ. Затем инспектор присылает вам ответные документы, они шифруются уже на рабочем месте инспектора с помощью вашего открытого ключа и криптографического средства, а расшифровываются на вашем рабочем месте с помощью вашего закрытого секретного ключа.

При расшифровке проверяется соответствие открытого ключа, на который зашифрован документ, и закрытого ключа пользователя.

Электронную подпись выпускает удостоверяющий центр — организация, которая имеет на это право и аккредитацию. После подписания договора и других документов УЦ выпускает сертификат для вашей фирмы.

Электронную подпись можно хранить на компьютере, флешке или рутокене. Рутокен — это usb-средство аутентификации с дополнительной защитой доступа к ключам. Тогда для того, чтобы электронная подпись работала, установите на компьютер криптографическое программное обеспечение.

Квалифицированная электронная подпись

1 июля 2013 года утратил силу Федеральный закон № 1-ФЗ «Об электронной цифровой подписи» от 10.01.2002. Ему на смену пришел закон № 63-ФЗ «Об электронной подписи» от 06.04.2011, который вводит понятие квалифицированной электронной подписи или КЭП.

В связи с изменениями законодательства электронная подпись для представления отчетности в КО действует до 31 декабря 2013 года, а с 1 января 2014 года её нужно заменить на квалифицированную.

С 1 июля 2013 года, все пользователи Контур.Эльбы начали получать квалифицированную электронную подпись. Если вы получали электронно-цифровую подпись до 1 июля, то сервис предложит заменить ЭЦП на КЭП. Процедуру можно пройти онлайн, без визита в сервисный центр, если на момент оформления заявки ваша подпись действительна, а реквизиты не менялись.

Чем электронная подпись отличается от квалифицированной электронной подписи?

Принципиальных отличий между ними нет. Есть несколько законодательных и технических моментов.

Например, по закону № 63-ФЗ электронный документ, подписанный КЭП равнозначен документу на бумажном носителе, подписанному собственноручной подписью. В законе №1-ФЗ равнозначными признавались подписи.

Технические преобразования электронной подписи не изменят вашу работу. Вы по-прежнему сможете отправлять отчетность с любого устройства и из любого места на карте мира.

(ЭП) в облаке. В основном, эту тему обсуждают IT-специалисты. Однако с развитием сервисов электронного документооборота (ЭДО), в тему облачной ЭП стали втягиваться и специалисты-предметники - бухгалтеры, секретари, и другие.

Поясню, облачная электронная подпись подразумевает, что ваш закрытый ЭП хранится на сервере и подписание документов происходит там же. Сопровождается это заключением соответствующих договоров и доверенностей. А фактическое подтверждение личности подписанта происходит, как правило, с использованием авторизации по SMS.

Необходимость использования облачной ЭП бухгалтером зависит от того, в каком режиме он работает. Если вы часто находитесь вне офиса, или, например, работаете в компании, которая оказывает услуги по бухучету (аутсорсинг бухгалтерии), то облачная ЭП поможет вам подписывать документы из любого места. При этом не понадобится устанавливать никакого дополнительного Однако, несмотря на простоту использования, не все компании готовы использовать эту возможность.

Чтобы вы смогли сами выбрать, нужна вам облачная электронная подпись или нет, рассмотрим все «за» и «против» её использования. А также подумаем, кому может действительно пригодиться такая подпись. Кстати, в данной статье мы будем говорить только об усиленной (далее - УКЭП).

За

Облачная электронная подпись дешевле обычной . В основном это связано с тем, что вам не нужно приобретать средство криптографической защиты информации (СКЗИ) и токен (флэшка с сертификатом). Как правило, с учетом их приобретения, цена на взлетает в 2-2.5 раза.

Удобство и простота использования . Для работы с облачной электронной подписью не нужно устанавливать как сам сертификат электронной подписи, так и специальные средства для работы с ней. Это значит, что вы не будете тратить время на то, чтобы разобраться, как всё это работает.

Мобильность . На данный момент распространенных и бесплатных решений для использования не облачной электронной подписи на мобильных устройствах ещё нет. В этом плане огромным плюсом облачной электронной подписи является то, что работать с ней можно с любого компьютера, планшета, смартфона, где есть интернет.

Против

Физически документ подписываете не вы . Нужно понимать, что в случае облачной электронной подписи закрытая часть ключа, которая является конфиденциальной и должна принадлежать только вам, будет находиться на сервере удостоверяющего центра. Конечно, это будет оформлено документально, а сами серверы надежно защищены. Но здесь всё зависит от требований компании к безопасности и от связанной с подписанием документов. Если вам важно, чтобы документы подписывали сами владельцы закрытых ключей, то облачная электронная подпись вам не подойдет. В данной ситуации только вам решать, насколько вы доверяете УЦ и серверам, на которых хранятся закрытые ключи.

Вы можете использовать облачную ЭП только в тех сервисах, с которыми есть интеграция программного обеспечения удостоверяющего центра. Это тоже связано с тем, что в случае облачной ЭП закрытый ключ хранится на сервере УЦ. Для того, чтобы нужный вам сервис мог использовать такой закрытый ключ ЭП для подписания, ему нужно уметь отправлять запрос на формирование электронной подписи на сервер УЦ. Понятно, что на данный момент сервисов много и все они не смогут предусмотреть интеграцию с программным обеспечением УЦ. Получается, что облачную ЭП вам придется использовать только с определенными сервисами. Для работы с другими сервисами придется покупать другой сертификат ЭП, и нет что эти сервисы будут поддерживать какую-либо облачную электронную подпись.

И что же?

Облачная электронная подпись - это удобный, мобильный и простой инструмент, но не самый гибкий. А с точки зрения надежности, возможно, хранить закрытый ключ на защищенном сервере будет лучше, чем на токене в ящике стола.

Кому же действительно нужна электронная подпись? В первую очередь тем, кто часто работает не из своего кабинета в офисе. Например, и аудиторы, которые часто выезжают к клиентам. Или и которым важно подписывать документы в любом месте. Для них облачная электронная подпись станет незаменимым помощником в работе.

Также, очень много зависит от политики компании. Если организация двигается в сторону облачных технологий, например, в части хранения документов, использования сервисов для внутреннего и внешнего документооборота, то и электронные подписи, скорее всего, тоже будут облачными. В остальном, бухгалтерам, делопроизводителям и другим сотрудникам, которые обычно при работе не покидают свой кабинет, облачная электронная подпись не нужна. Им можно приобрести закрытый ключ ЭП и сертификат ЭП в обычном режиме, на носителе, который можно использовать в большинстве сервисов для обмена с контрагентами и государственными учреждениями.

Как известно, задача электронной подписи состоит в том, чтобы упрос­тить документооборот. Согласно закону 2011 года «Об электронной подписи», цифровой документ, который подписан ЭП, приравнивается к бумажному с рукотворным автографом.

«“Облачная” электронная подпись обладает всеми свойствами, что и обычная, только хранится не на флешке или компьютере, а в интернете – на специальном защищенном сервере, “в облаке”», – рассказывает Игорь Чепкасов, основатель и президент Национального фонда развития криптова­лют. Там же происходит подписание и шифрование документа, потому такая ЭП не требует установки на компьютер специального ПО. Эксперт отмечает, что одно из преимуществ «облачной» подписи – возможность подписания документов (включая отчетность) и их отправки из любой точки мира и с любого устройства.

Антон Еликов (проект Мерката) отмечает, что электронная подпись «в облаке» – это то, чем многие из нас пользуются ежедневно, даже не замечая. «Самый яркий пример – это механизм авторизации в мобильных и интернет-банках, когда после ввода пароля вам присылают по СМС одноразовый пин-код. Такая двухуровневая авторизация по сути своей уже может быть электронной подписью», – рассказывает эксперт.

Зачем нужна электронная. Сергей Казаков, эксперт в области информационной безопасности компании «СКБ Контур», напоминает, что с помощью ЭП компании представляют отчетность в налоговую и другие контролирующие органы, ведут электронный документооборот. Цифровая подпись также широко применяется в сфере государственных закупок. «По нашим оценкам, общее число пользователей электронной подписи в России превышает два миллиона», – отмечает эксперт. «Технология “облачной” электронной подписи, появившаяся несколько лет назад, делает этот инструмент доступнее для бизнеса. Подтверждение этому – несколько десятков тысяч клиентов “СКБ Контур”, сделавших выбор в ее пользу», – рассказывает г-н Казаков.

Обратите внимание

Пока эксперты рассуждают о распространении «облачной» ЭП, есть одна проблема – вопросы ее применения не прописаны в нормативных актах.

Как отмечает Алексей Дашков, руководитель направления ИБ компании «Системный софт», ЭП выполняет такую же функцию, как и подпись, закрепленная печатью. «Она обеспечивает подлинность документа и состоит из закрытого и открытого ключа. Подписание документа производится с помощью закрытого ключа, который обычно хранится на специальном носителе – токене. Приобрести сервис можно у целого ряда компаний-провайдеров подобных услуг, никаких специальных требований, кроме наличия стандартного комплекта учредительных документов, не требуется», – рассказывает он.

«“Облачная” электронная подпись – это обычная электронная подпись, но с одним отличием: закрытый ключ хранится на серверах удостоверяющего центра, и подписание документов осуществляется там же. Подтверждение лич­ности подписанта происходит обычно с помощью отправки смс с кодом на мобильный телефон», – поясняет г-н Дашков.

Цена вопроса

Игорь Чепкасов рассказал, что стоимость ЭП зависит от ее функциональных возможностей и сферы применения и колеблется от 1000 до 15 000 рублей. «По крайней мере, такие цены я встречал лично, когда мне ЭП нужна была по работе. “Облачная” электронная подпись в некоторых известных мне компаниях стоит 3000 рублей», – делится эксперт.

Стоимость «облачной» подписи варьируется у разных компаний-операторов. Можно найти предложение и за 900 рублей в год. Однако не стоит безоговорочно верить рекламным обещаниям. Советуем подробно ознакомиться с прайсом на «облачную» подпись и узнать, что входит в стоимость, и только после этого принимать решение о ее приобретении.

«Стоимость “облачной” электронной подписи, как правило, включена в тариф того сервиса, который покупает клиент. Единственный сервис “СКБ Контур”, который продает ее отдельно, – это система электронного документооборота “Диадок”. В нем она составляет 900 рублей. При этом обычный сертификат на носителе с лицензией на средстве криптографической защиты информации (СКЗИ) обойдется в 3000 рублей», – рассказывает Сергей Казаков.

Как работает?

В основе работы технологии – специализированный сервер электронной подписи, находящийся «в облаке». «Если пользователю необходимо, например, отправить отчет в налоговую инспекцию, его учетная система взаимодействует с сервером электронной подписи и передает ему документ, который нужно подписать. Сервер электронной подписи обязан запросить разрешение у пользователя – это можно сделать, отправив на его мобильный телефон код подтверждения операции, как в интернет-банке», – отмечает Сергей Казаков. Вводя код подтверждения в учетной системе, пользователь санк­ционирует доступ к ключу ЭП, и для документа создается подпись. «Все ключи электронной подписи хранятся в зашиф­рованном виде на специализированном устройстве, от­вечающем самым строгим требованиям безопасности. Оператор сервера электронной подписи должен предпринимать все меры для того, чтобы минимизировать риск несанкционированного доступа к ключам», – рассказывает г-н Казаков.

Для того, чтобы использовать «классическую» электронную подпись, нужно приобрести токен и специализированное программное обеспечение – криптопровайдер. «Это немалые расходы, особенно для начинающих предпринимателей. Затем это программное обеспечение нужно установить и настроить, а если вы собираетесь использовать подпись на нескольких рабочих местах – для каждого места отдельно. “Облачная” электронная подпись не требует приобретения ПО и предварительной настройки, ее нельзя потерять или забыть», – отмечает г-н Казаков. В отличие от традиционных технологий, «облачная» подпись доступна пользователям на любой операционной системе и платформе, в том числе на мобильных устройствах.

Алексей Дашков отмечает, что «облачные» ЭП популярны у небольших компаний или индивидуальных предпринимателей, активно использующих сервисы «типа онлайн-бухгалтерий и онлайн-документооборота». В крупных организациях, не использующих «облака», применение такой подписи, по его словам, может оказаться дороже и сложнее, чем применение обычной ЭП.

Каковы перспективы?

По словам Антона Еликова, распространение применения «облачных» электронных подписей очень ждет вся транспортная отрасль России. «Стоит только представить себе ситуацию, когда водитель-экспедитор едет в рейс не с пачкой бумаг, а с планшетом. И прямо на месте отгрузки подписывает с клиентом товарно-транспортную накладную! Но основную пользу “облачная” электронная подпись могла бы принести в случае, когда документ поставки расходится с фактически отгружаемым объемом продукции (пересорт, бой в процессе транспортировки)», – отмечает он. По словам г-на Еликова, таких случаев на практике порой бывает до 40 процентов. «И все эти документы сейчас отправляются в длинный путь взаимодействия бухгалтерий со стороны поставщика и покупателя. Хотя вопрос расхождений мог бы быть урегулирован прямо в месте отгрузки, и факт изменения был бы подтвержден “облачной” подписью», – делает вывод эксперт.

Игорь Чепкасов рассказывает, что в настоящее время уже имеются совершенно новые разработки, использующие технологию Blockchain, а именно – умные контракты. «Децентрализация – фундаментальный принцип работы технологии – обеспечивает абсолютную защиту от компро­метации и несанкционированного доступа к любому документу и самой подписи, поскольку каждый такой элемент-блок (подпись, документ, архив и т. д.) находится в прочной цепочке пронумерованных блоков, защищенных сложнейшим криптографическим кодом», – рассказывает он. По словам г-на Чепкасова, внести изменения в уже введенный в обращение блок невозможно; умный контракт – это электронный алгоритм, описывающий набор условий, выполнение которых влечет за собой определенные события. «Его работа основывается на создании и применении так называемых протоколов с низким доверием, где алгоритм протокола использует только программные средства, а человеческий фактор из цепочки принятия решений максимально исключен – человек здесь выступает исключительно в ро-и одной из сторон, участву­ющей в реализации контракта. Например, при отправке платежей исполнение контракта невозможно без получения оговоренного в договоре числа электронных подписей», – отмечает он.

Тем временем, пока эксперты рассуждают о распространении практики применения «облачной» электронной подписи и говорят о возможностях развития технологий, есть одна проблема. Связана она с тем, что сегодня вопросы применения такой ЭП должным образом не прописаны в нормативных актах. Но в скором времени, а именно – в III квартале 2016 года, – россияне получат законодательную возможность использовать электронную подпись без материального носителя – USB-флешки или SIM-карты. Такая норма содержится в «дорожных картах» к программе развития интернета в России, которую Институт развития интернета подготовил для президента РФ. Так что можно ожидать, что компании в скором времени перестанут бояться «облачных» технологий и начнут более активно использовать такую электронную подпись в своей работе.