Электронная подпись (ЭЦП) для юридического лица и ИП: что это такое, виды и как её получить

Электронно-цифровая подпись (ЭЦП) становится общераспространенным инструментом в управлении бизнесом. Ознакомимся с ее назначением, принципами работы и критериями выбора — если речь идет о применении ЭЦП юридическим лицом или индивидуальным предпринимателем.

Электронная подпись: что это такое, как она устроена и как работает

Термин «электронно-цифровая подпись» (его аналог — «электронная подпись») — очень емкий по существу. Можно выделить его интерпретации:

• официальные (закрепленные в нормативно-правовых актах);
• неофициальные (сложившиеся на практике на IT-рынке и в электронном документообороте с участием российских предприятий).

При этом, полезно будет начать изучение специфики ЭЦП именно с неофициальной трактовки: так проще понять основные принципы применения электронной подписи.

Одна из распространенных интерпретаций привязана к тезису о том, что ЭЦП — это специальный файл, прикрепляемый к другому файлу (который выступает носителем информации — например, текстовой или графической) в целях удостоверения факта совершения с данным носителем тех или иных действий, которые могут быть произведены человеком (представляющим самого себя или организацию).

Это могут быть самые разные действия. Например — заверение подлинности файла (если это текстовый документ — то его содержания). Аналог такого действия, производимый с бумажным документом — его подписывание ручкой (в предусмотренных законом или договором случаях — заверение печатью).

Таким образом, соответствующий «специальный файл» выступает по сути аналогом подписи ручкой: он «наклеивается» на заверяемый файл (подобно тому, как подпись ручкой «нарисовывается» на бумажном документе). Такое «наклеивание» может быть осуществлено разными способами. Например:

1. Способами, адаптированными к приему-передаче электронных документов, которые размещены на жестком диске ПК:

• созданием общего файла в установленном формате — содержащего и «специальный файл» и заверяемый документ (по аналогии с архивом);
• созданием логической связки из документа и «специального файла» (которые, таким образом, отделены друг от друга, но могут размещаться при этом в одной папке).

Общий файл («специальный файл» и подписанный документ) или логическая связка из «специального файла» и документа могут быть:

• скопированы на флешку и переданы другому пользователю;
• отправлены по почте;
• отправлены по Скайпу или иным способом.

То есть — переданы от одного пользователя (который «заверяет» файл своей подписью) к другому способом, относимым к каким-либо из классических, давно используемых в сфере информационных технологий.

2. Способами, адаптированными к приему-передаче документов, размещенных на внешних сетевых носителях данных (например, в облаке).

В этом случае исходный (не подписанный файл) загружается одним пользователем в облако, там к нему прикрепляется «специальный файл», а затем общий файл (на самом деле, устроенный сложнее — но можно условиться, что он будет примерно таким) направляется другому пользователю.

Итак, «специальный файл» — это «подпись ручкой», но только электронная. При этом, очевидно, где-то должна быть «сама ручка» — с помощью которой эта подпись ставится.

Статус соответствующей «ручки» имеет особый программный алгоритм — закрытый ключ электронной подписи. С помощью него (точнее, с помощью программы, которая данный алгоритм способна воспроизводить) пользователь, собственно, «подписывает» документ — вследствие чего к нему «приклеивается» электронная подпись.

В свою очередь, есть еще получатель документа — другой пользователь. Когда он получает какой-либо бумажный документ, заверенный подписью ручкой, то ему нужно удостовериться, что данная подпись принадлежит именно тому лицу, чьи ФИО указаны на документе. Для этого ему нужен надежный образец такой подписи — например, тот, что приведен на паспорте человека, подписавшегося на документе (конечно, это не всегда паспорт на практике — но условимся, что он в распоряжении у получателя документа есть).

По аналогии, получателю электронного документа также нужно удостовериться в том, что «приклеенная» к нему подпись принадлежит именно тому лицу, который объявил себя составителем (отправителем) документа. В этих целях, опять же, применяется фактический аналог «паспортного образца» — специальный алгоритм, именуемый открытым ключом электронной подписи. С помощью него (а точнее, с помощью программы, которая воспроизводит данный алгоритм) получатель документа проверяет, тому ли человеку, который объявил себя отправителем документа, принадлежит «приклеенная» к соответствующему файлу электронно-цифровая подпись.

Принято считать, что подпись человека ручкой не может быть достоверно воспроизведена кем-либо другим — и в этом заключается ее защищенность. «Алгоритмом» воспроизведения такой защиты будет некая последовательность движений данного человека рукой — которую он будет всякий раз осуществлять, подписывая бумажные документы. И никто такую последовательность точно повторить не сможет. Но в чем заключается защищенность электронной подписи?

Опять же, здесь будет уместна аналогия. Дело в том, что в случае с «приклеиванием» электронной подписи также осуществляется «последовательность движений» — но только не руки пользователя, а операций, совершаемых в рамках алгоритмов закрытого ключа — инструмента «в руках» пользователя. И эту «последовательность» не может достоверно воспроизвести никакой другой закрытый ключ — как не может человек воспроизвести движения руки для подписывания за другого человека.

На практике «последовательность действий» закрытого ключа ЭЦП представляет собой сложный вычислительный процесс, в результате которого формируется уникальное сочетание букв, цифр и других компьютерных символов — которые относятся к числу тех, что образуют «специальный файл». При этом, в это сочетание обязательно «вклеивается» и информация о самом подписанном файле. Соответствующее «вклеивание» именуется хэшем (от английского hash — «смесь», «мешанина»).

Хэш представляет собой что-то вроде «конспекта» файла, который подписывается с помощью ЭЦП. Данный конспект — как правило, несоизмеримо меньше по объему, чем сам файл, но при этом в достаточной мере «подробен», чтобы можно было достоверно соотнести их — то есть, определить, что вот этому файлу точно соответствует этот хэш. И если попытаться «подсунуть» в данное соотнесение файл, который хотя бы на байт отличается от оригинала — хэш не распознает подменный файл как «своего». Таким образом, один и тот же хэш не может быть привязан к нескольким файлам (и наоборот, один и тот же файл не может иметь разные хэши — если они, конечно, составляются по одним и тем же алгоритмам — которые будут, фактически, одними и теми же при применении одного и того же закрытого ключа).

В свою очередь, «уникальное сочетание букв и цифр» — другая часть «специального файла», также подбирается под конкретный хэш. Одному такому сочетанию может соответствовать только один хэш. При этом, если выяснится, что хэш «не узнал» тот файл, который был им «законспектирован» (то есть, если произошла попытка подменить документ), то и «уникальное сочетание букв и цифр» считается «недействительным» — как и «специальный файл» в целом.

Таким образом, «специальный файл» — даже при условии его отделения от документа, может быть соотнесен только с этим документом, и ничем более. Если подставить вместо соответствующего документа какой-либо другой, то, хэш не «узнает» его и «специальный файл» не будет считаться действительной электронной подписью.

Несложно догадаться, что проверка «совместимости» файла, хэша и «уникального сочетания» осуществляется открытым ключом (точнее, программой, в которой реализован алгоритм открытого ключа). При этом, выявление такой совместимости — это лишь часть «работы» открытого ключа. Ему также нужно произвести «сверку» электронной подписи с ее «образцом» (подобно тому, как читатель бумажного документа сверяет проставленную на нем подпись с паспортной) — чтобы убедиться, что документ подписан именно тем человеком, который его отправил.

В этих целях используется еще один компонент специального файла — сертификат открытого ключа. Он содержит персональные данные (и иные необходимые идентификаторы — например, ИНН) отправителя документа. Они могут быть в любой момент отображены на экране получателя данного документа — с помощью тех же программных средств, в которых реализованы алгоритмы открытого ключа. Если выяснится, что сертификат содержит персональные данные не отправителя, а другого человека — значит документ подписан не отправителем.

Также с помощью открытого ключа устанавливается факт действительности сертификата. Он обычно выдается владельцу электронной подписи на год (иногда — на большее количество времени), и по истечении срока действия считается недействительным. Как следствие — автоматически становятся недействительными и другие составляющие специального файла (поскольку их применение теряет смысл).

Сделать сертификат недействительным также может тот человек, на которого он выписан. Например — в ситуации, когда аппаратно-программное средство применения закрытого ключа (с особенностями таких средств мы ознакомимся чуть позже) оказалось утеряно или попало не в те руки. Чтобы не дать постороннему человеку «подписаться» за себя, владелец сертификата может отозвать его у издателя ЭЦП (о том, кто этот издатель, мы также поговорим далее). Как следствие — исчезнет возможность применения всех компонентов «специального файла».

Легальная расшифровка «специального файла», разумеется, возможна — но только с помощью знакомого нам инструмента — открытого ключа. При этом он устроен так, чтобы расшифрованные данные представлялись глазу пользователя только в необходимой части. Как правило, визуализации подлежат только персональные данные сертификата. Хэш, «уникальная последовательность» и та область сертификата, которую необязательно отображать наглядно, обрабатываются «тайно» (настолько «тайно», что перехватить обрабатываемые данные даже с помощью специальных программ — крайне сложно).

Таким образом, электронная подпись — это прикрепленный к подписываемому документу «специальный файл», который — по аналогии с обычной подписью на бумажном документе, используется для удостоверения того факта, что документ был составлен (отправлен) именно тем лицом, которое объявил себя его составителем (отправителем). «Проставляется» электронная подпись закрытым ключом (который находится у составителя (отправителя) документа, «проверяется» — открытым, который находится у получателя (и может, в принципе, находиться у кого угодно — на то он и открытый). Сам «специальный файл» будет надежно зашифрован.

Итак, основной технологический компонент ЭЦП — это закрытый ключ. Он создает «специальный файл» со всеми необходимыми составляющими, шифрует его, «приклеивает» к подписываемому документу. Полезно будет ознакомиться с основными принципами (и практическими механизмами) работы данного компонента электронной подписи.

Как работает закрытый ключ ЭЦП

Итак, главная задача закрытого ключа — сформировать «специальный файл» для подписываемого документа. Для этого соответствующий документ должен быть в установленном порядке обработан закрытым ключом.

Такая обработка на практике осуществляется на специальном сервере в интернете — куда документ определенным образом загружается (например, через браузер или отдельную программу, разработанную издателем ключа). Необходимые компетенции на обеспечение работы таких серверов (как и на издание открытых и закрытых ключей и на оформление сертификатов) имеют специальные организации — Удостоверяющие центры. С одним из них составитель (отправитель) документов заключает специальный договор (обычно на коммерческой основе), после чего получает право пользоваться закрытым ключом (и, как следствие, сервером, на котором обрабатываются подписываемые файлы). Условно составителя (отправителя) документов, у которого есть контракт с УЦ, можно считать «владельцем» электронно-цифровой подписи.

Перед тем, как обратиться в удостоверяющий центр (УЦ) желательно проверить, что на момент вашего обращения он состоит в списке аккредитованных удостоверяющих центров на сайте  Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации — ССЫЛКА.

Подписываемый файл загружается на сервер УЦ, обрабатывается там с помощью алгоритма закрытого ключа, после — возвращается обратно на компьютер владельца ЭЦП либо размещается на другом выбранном им носителе (например, на облачном), но уже дополненный «специальным файлом». То есть — подписанный с помощью ЭЦП, которая впоследствии может быть проверена открытым ключом любым заинтересованным лицом.

Удостоверяющему центру важно убедиться, что файл на обработку загружен именно владельцем ЭЦП, а не другим человеком — который желает подписаться за владельца подписи. Для этого применяются различные механизмы идентификации владельца ЭЦП. Например, могут использоваться:

1. Идентификация с помощью аппаратных криптографических устройств (типа eToken – часто именуемые просто «токенами»).

На эти устройства записываются различные идентификаторы составителя документа — в соответствии со стандартами защиты информации. Затем они считываются сервером УЦ, к которому подключен компьютер, куда криптографическое устройство до того вставляется (обычно в USB-порт). Если считывание происходит успешно, то устанавливается факт применения закрытого ключа именно тем человеком, на который данный ключ (и сертификат) оформлен.

Главная особенность криптографических устройств типа «токен» — в том, что они могут записывать на себя информацию, которую потом нельзя куда-либо скопировать (подобно копированию файлов с одной флешки на другую). Таким образом, если у составителя документа есть на руках собственный «токен», то он практически может быть уверен, что записанные на нем идентификаторы не могут быть скопированы и перезаписаны на другой «токен» — даже если оригинал попадет не в те руки.

Таким образом, подписывание документа сторонним лицом в случае, если идентификаторы реального владельца электронной подписи записаны на «токен» (или аналог данного устройства), возможно, только если сам реальный владелец ЭЦП даст стороннему лицу свой «токен». Либо — если стороннее лицо возьмет «токен» без ведома владельца ЭЦП — но это уже незаконный сценарий.

2. Идентификация с помощью SMS.

Она становится все более популярной: аппаратные решения типа «токен» стоят достаточно дорого (чуть позже мы ознакомимся с расценками на них), а сотовые телефоны общераспространены (и кроме них для идентификации, как правило, не надо что-либо дополнительно приобретать).

Перед загрузкой файла на сервер УЦ, где будет осуществляться его обработка и подписание с помощью ЭЦП (либо при получении доступа на этот сервер — что еще раньше) владелец ЭЦП получает на свой телефон (прописанный в договоре с УЦ) SMS-код, который нужно ввести в специальную форму подтверждения идентификации. Если код будет правильным, то личность владельца ЭЦП считается подтвержденной.

Как и в случае с «токенами» — которые у конкретного человека будут в единственном экземпляре, «подписаться» телефоном может только тот человек, у которого в распоряжении есть SIM-карта с номером владельца ЭЦП. Предполагается, что ее — как и «токен», нельзя скопировать — по крайней мере, без доступа к программно-аппаратным средствам сотового оператора. В этом и заключается защищенность SMS-проверки личности владельца ЭЦП.

3. Различные инновационные виды идентификации — например, по биометрическим считывателям.

Собственно, два указанных выше способа идентификации владельца ЭЦП — самые распространенные, и кроме них мало, что применяется на практике. Однако, различные инновационные решения в потенциале могут получить заметную востребованность.  Многие эксперты говорят о хорошем потенциале биометрических систем распознавания: их надежность предполагается еще более высокой в сравнении с применением «токенов» и SMS-авторизации.

Можно отметить, что на практике УЦ вполне может применять различные смешанные варианты идентификации — дополняя их прочими инструментами. Например — вводом пароля владельца ЭЦП (и это, к слову, очень распространено. Обеспечивается, таким образом, двойная, и, возможно даже тройная идентификация пользователя). В свою очередь, следует иметь в виду, что применение пароля в чистом виде для идентификации владельца ЭЦП — явление крайне редкое и в России и в мире.

Можно сказать и пару слов об особенностях использования открытых ключей ЭЦП.

Как применяются открытые ключи

Итак, мы знаем, что открытый ключ — это инструмент, который позволяет получателю документа удостовериться в том, что «приклеенная» к нему ЭЦП — подлинная. По существу открытый ключ — это «обратная сторона» закрытого, и потому совершенно логично, что для создания первого необходим полный доступ к программным алгоритмам второго. Соответственно, открытый ключ ЭЦП — также издается тем Удостоверяющим центром, который оформлял закрытый ключ для владельца электронной подписи.

При этом, если закрытый ключ — объект крайне персонифицированный (оформляется только на владельца ЭЦП), то закрытый, наоборот — крайне публичный. В большинстве случаев им может воспользоваться любой желающий. Все, что нужно сделать для этого — скачать специальную программу от УЦ, в которой внедрены алгоритмы применения открытого ключа (либо получить доступ на облачный сервер, если открытый ключ реализован там). Как правило, программа или доступ к северу в целях прочтения документов бесплатны и не требуют от читателей подписания каких-либо соглашений с создателем открытого ключа.

Вместе с тем, если получателю документа нужно отправить исходному отправителю какую-либо информацию от себя (неважно, связана ли она с ответом на «входящий» подписанный документ или нет), то получателю необходимо будет оформить ЭЦП — то есть, подписать договор с Удостоверяющей компанией (как и обзавестись предусмотренным данным договором средством идентификации — купить «токен» или завести новый электронный ящик).

Итак, мы поговорили о самой распространенной технологической разновидности ЭЦП — со «специальным файлом». Однако, мы условились рассмотреть специфику подписи в таком виде только лишь для наглядности — для понимания общих принципов ее работы.

Официальная классификация ЭЦП — несколько иная. Но понять ее нам помогут уже освоенные нами сведения о подписи со «специальным файлом».

Виды ЭЦП: официальная классификация

Главный нормативный акт, на который можно опираться в целях ознакомления с официальной классификацией ЭЦП — Закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ — ССЫЛКА. Он же регулирует основные моменты в части ее использования, определяет, что можно делать с ней, а что — нельзя с точки зрения юридических последствий применения или неприменения электронной подписи.

В соответствии с Законом № 63-ФЗ, электронная подпись может быть:

1. Простая

Строго говоря, это не даже не электронная подпись, а лишь отдельно взятый механизм идентификации (причем, далеко не бесспорный с точки зрения информационной безопасности) отправителя документа. Подписанным простой ЭЦП считается документ, который отправлен человеком с его личного e-mail (либо мессенджера). Для доступа к e-mail (мессенджеру) человек использует пароль — и именно он в совокупности с различными программно-аппаратными средствами, с помощью которых используется электронный ящик, и образует простую ЭЦП.

Совершенно очевидно, что «простая» разновидность ЭЦП существует очень давно — e-mail изобретен даже еще раньше, собственно, интернета. И закон, по существу, лишь «кодифицирует» — то есть, номинально придает официальный вид — данный способ идентификации пользователя.

Но для юридически значимого документооборота (с участием двух и более хозяйствующих субъектов) e-mail и мессенджеры практически никогда не применяются. Уж больно прост механизм идентификации пользователя с помощью пароля: его можно элементарно подобрать или подглядеть, и, таким образом сразу получить доступ к «простой» электронной подписи человека (чтобы потом воспроизводить в корыстных целях).

Безусловно, внутри организации электронный документооборот по e-mail и мессенджера возможен. В этом случае применение таких средств коммуникаций может быть регламентировано на уровне локальных нормативов (которые в отдельных случаях могут быть признаны официальными структурами — например, судами при рассмотрении трудовых споров), имеющими юридическую значимость. Но это — исключение из правил. Простая ЭЦП в общем случае — всегда неофициальна.

2. Неквалифицированная

В законе сказано, что к такой ЭЦП относится подпись, которая получена «в результате криптографического преобразования» данных с применением «ключа электронной подписи».

«Криптографическое преобразование» в рассматриваемом случае — это и есть то самое шифрование «специального файла» (его компонентов — «уникальной последовательности», хэша и сертификата). А то, что оно осуществляется «ключом» — мы это и так уже знаем.

3. Квалифицированная

В законе сказано, что квалифицированная ЭЦП — это та же неквалифицированная, дополненная следующими признаками:

• применяемый с данной подписью ключ проверки (мы знаем, что это открытый ключ) указан в квалифицированном сертификате;
• для создания и проверки данной ЭЦП (мы знаем, что это, соответственно, закрытые и открытые ключи) применяются средства, которые соответствуют требованиям, установленным Законом № 63-ФЗ.

В свою очередь, под «квалифицированным сертификатом» в законе понимается сертификат (назначение его мы также уже знаем), который:

• как и средства проверки — издан в соответствии с требованиями Закона № 63-ФЗ;
• издан специальным УЦ, у которого есть аккредитация, выдаваемая компетентными государственными органами.

Таким образом, технически разница между неквалифицированной и квалифицированной ЭЦП — лишь в том, что вторая соответствует формальным требованиям, определенным законом. В потенциале любая неквалифицированная ЭЦП может этим требованиям априори соответствовать (поскольку они довольно универсальные — поскольку стандарты информационной безопасности во всем мире, в целом, очень схожи). Теоретически ее может быть даже не нужно дорабатывать — если есть желание объявить ЭЦП «официальной». Но это соответствие требует подтверждения — в порядке, предусмотренном Законом № 63-ФЗ и другими нормативными актами.

Так, только с применением квалифицированной — официальной по закону, ЭЦП, возможен электронный документооборот хозяйствующих субъектов с органами власти — в целях:

• сдачи отчетности (налоговой, бухгалтерской, статистической и иной);
• обмена документами, дополняющими отчетность;
• обмена иными юридически значимыми источниками (запросами, заявлениями, письмами).

Предполагается, что стороны официального документооборота будут иметь контракты с одними и теми же аккредитованными УЦ. При этом, сам факт наличия контрактов у каждой из сторон освобождает эти стороны от необходимости заключать какие-либо дополнительные соглашения между собой на применение ЭЦП в документообороте. Любой, документ, подписанный квалифицированной ЭЦП (подходящей для такого документа), автоматически считается приравненным к тому, который подписан ручкой.

Неквалифицированная же подпись может применяться только там, где стороны правоотношений прямо договорились о признании такой подписи в качестве аналога бумажной. Она считается такой же надежной, как и квалифицированная технологически: однако, сторонам лишь нужно подтвердить согласие на то, что эта надежность — приемлема для них, де-юре. В этих целях две стороны документооборота — например, фирма и ее контрагент, заключают между собой специальный договор о документообороте. Как правило, в соответствии с данным договором каждая из сторон заключает договор с одним и тем же УЦ (который выдает сторонам однотипные неквалифицированные ЭЦП).

Итак, есть простая ЭЦП — e-mail или мессенджер, есть неквалифицированная или квалифицированная — та самая со «специальным файлом».

Все более распространенной — причем, не только во взаимодействии предприятий с государственными органами, но и в межкорпоративном документообороте, становится применение именно квалифицированно подписи. Во-первых, это связано с тем, что, как мы уже отметили выше, ее использование безусловно приравнивает документы к бумажным, которые подписываются ручкой. Не будет никаких вопросов от проверяющих органов по легитимности документооборота с применением квалифицированных подписей. Во-вторых, квалифицированные ЭЦП становятся все более простыми в установке и использовании (при сохранении своей технологичности), и при этом все более доступными — даже для малых предприятий со скромным бюджетом.

При этом, следует иметь в виду, что, в отличие от подписи ручкой — которая имеет одинаковую юридическую силу на всех подписанных с помощью нее документов, квалифицированная электронная подпись в соответствии с российским законодательством не может быть единой для всех правоотношений. Как мы уже отметили выше, квалифицированная ЭЦП должна подходить к конкретному типу электронных документов.

Сейчас перед нами нет задачи разобраться, с чем связана невозможность применения универсальной ЭЦП: скорее, это вопрос к законодателю (и можно лишь догадываться о его реальных мотивах). Но можно предположить, к примеру, что это связано с тем, что квалифицированная электронная подпись при всей ее надежности — все же не защищена настолько, чтобы человеку можно было, условно говоря, подписать любые соглашения «одним токеном». Всегда есть вероятность, что этот «один токен» случайно попадет не в те руки. И потому имеет смысл «распределить» правомочие по заверению документов ЭЦП по разным электронным подписям, на «несколько токенов».

Но это только догадки. Так или иначе, российскому пользователю ЭЦП — в частности, коммерческому предприятию, на практике приходится иметь дело с необходимостью оформления нескольких подписей для разных правоотношений. Ознакомимся с типичными перечнями таких подписей (и условиями их оформления) подробнее.

Какие ЭЦП оформляют юридические лица и ИП: как подобрать нужные

Типичное российское коммерческое предприятие — условимся, что оно относится к сегменту малых и средних предприятий, может с различной регулярностью иметь потребность в ЭЦП для следующих правоотношений:

1. Документооборот с ФНС (в части сдачи налоговой и бухгалтерской отчетности, обмена сторон согласованиями, заявлениями)

В этих целях оформляется квалифицированная электронная подпись, совместимая со специализированным порталом ФНС (nalog.ru). Документы могут отправляться как через него, так и через программу от УЦ, который выдает соответствующую квалифицированную электронную подпись.

Видео — как оформить ЭЦП для юридического лица и ИП для налоговой и отчетности в сервисе Моё Дело:

Средняя стоимость электронной подписи для документооборота ФНС — порядка 2500 рублей в год. Встречаются разновидности ЭЦП вида «только для отчетности» — они могут быть на 500-1000 рублей дешевле.

Отметим, что в каталогах большинства УЦ стоимость ЭЦП обозначается как «стоимость сертификата электронной подписи». Это продиктовано как раз тем обстоятельством, что без действительного сертификата ЭЦП полноценно применена быть не может — и потому УЦ рассматривают его даже не столько как главный компонент электронной подписи, но и, фактически, приравнивают сертификат электронной подписи к как таковой ЭЦП. Особой ошибки по существу здесь нет.

Во многих случаях электронные подписи для сдачи налоговой отчетности выдают совершенно бесплатно банки, в которых предприятия открывают расчетные счета. Однако, с помощью таких ЭЦП предусмотрено подписание, как правило, небольшого количества разновидностей документа: обычно это только декларации.

2. Документооборот с государственными фондами — ПФР и ФСС

Наряду с налогами, платежи в эти фонды занимают огромную долю в финансовой нагрузке предприятий. При этом, многие из этих платежей администрирует ФНС (и вопросы, связанные с данными платежами, затрагиваются в рамках документооборота с налоговой службой).

Но есть много отчетов, отправляемых именно в указанные фонды, например:

• формы СЗВ-М, СЗВ-СТАЖ — в ПФР;
• форма 4-ФСС (в части взносов «на травматизм») — в ФСС.

В предусмотренных законом случаях данные отчеты (например, при большом штате компании-работодателя) сдаются в электронном виде в обязательном порядке — с применением специальной квалифицированной электронной подписи. Но даже если у предприятия есть выбор — сдавать бумажную или электронную отчетность в фонды, то с самой высокой вероятностью фирма выберет второй вариант: он характеризуется значительно более скоростным обменом документами, часто — более рентабелен экономически.

Стоимость подписи для документооборота с фондами — порядка 2000 рублей в год.

3. Предоставление отчетов в ЕГАИС алкогольной продукции

Нужно отметить, что в России применяется несколько ЕГАИС (Единых государственных автоматизированных информационных систем). Общераспространенна ЕГАИС для учета алкоголя. Ее должны применять все продавцы алкогольных товаров — в целях информирования регулирующих органов об обороте реализуемой продукции. Каждая сделка должна быть отражена в ЕГАИС: в этих целях составляются специальные отчетные документы, подлежащие заверению совместимой квалифицированной электронной подписью.

Цена ЭЦП для ЕГАИС — порядка 1800-2500 рублей в год.

4. Взаимодействие с Операторами фискальных данных (или ОФД)

Каждый розничный продавец (если законом не установлено иного — но перечень исключений здесь не слишком обширен) обязан применять онлайн-кассы, с помощью которых в ФНС — при посредничестве ОФД, передаются электронные копии каждого кассового чека, выданного покупателю.

Стоимость ЭЦП, собственно, для ОФД, обычно входит в цену контракта магазина и Оператора (порядка 2500-3000 рублей в год).

При этом, в рассматриваемом случае также заверению с помощью ЭЦП подлежат исходные документы на регистрацию онлайн-касс магазина в ФНС — в частности, заявление на регистрацию устройства. В этих целях может быть применена имеющаяся ЭЦП на документооборот с ФНС.

5. Подключение к информационной системе «Маркировка»

С 2019 года обязательной маркировке («наклеиванию» специальных штрих-кодов, удостоверяющих оригинальное происхождение товара — то есть, показывающих, что он не контрафактный) подлежит несколько десятков наименований розничной продукции. В их числе — табачные изделия, различные виды одежды, обуви. К 2024 году ожидается введение маркировки для всех розничных товаров.

Для того, чтобы продавец мог осуществлять необходимый информационный обмен с информационной системой, которая «отслеживает» товар на пути от производителя к прилавку, используется специальная квалифицированная электронная подпись.

Стоимость подписи для ИС «Маркировка» — порядка 2000-2500 рублей в год.

6. Для торгов на электронных площадках (ЭТП)

Есть очень много разных ЭТП — и общефедеральных, и региональных. Есть те, которые созданы частными ассоциациями. Для каждой из торговых площадок применяется специальная квалифицированная подпись.

Стоимость таких подписей может значительно разниться в зависимости от конкретной площадки. При этом, сфера ЭТП — относится к числу тех, в рамках которых возможно применение одной ЭЦП для нескольких десятков, а то и сотен правоотношений (имеющих отношение к данной сфере, разумеется). Так, за 5900 рублей можно купить универсальную подпись от «Контура» (ССЫЛКА) для более чем 300 торговых площадок.

7. Подключение к электронным ресурсам в области госзакупок (в соответствии с 44-ФЗ и 223-ФЗ)

Госзакупки могут осуществляться в различных сферах экономики — в банковской, промышленной, транспортной. Но их проведение осуществляется, как правило, на универсальных торговых площадках — например, Сбербанк АСТ или ТЭК-Торг.

Стоимость электронной подписи для торгов на электронных площадках в области госзакупок — порядка 4500-5000 рублей в год.

8. Для документооборота с контрагентами

В этих целях, как мы уже отметили выше, могут быть применены различные виды неквалифицированных ЭЦП — применение которых осуществляется в соответствии с частными соглашениями между хозяйствующими субъектами, которые участвуют в электронном документообороте. Стоимость подобных ЭЦП — порядка 500 рублей в год.

Но есть и «квалифицированные» решения для такого документооборота. Правда, в большинстве случаев функционал обмена документами между контрагентами включается в общий функционал квалифицированной ЭЦП — приспособленной к сфере информационного обмена с государственными органами. Цена таких решений может быть разной, но ориентироваться можно на 2000-3000 рублей.

Следует отметить, что Удостоверяющие центры могут комбинировать доступ к закрытым ключам ЭЦП для указанных правоотношений самыми разными способами — размещая идентификаторы для них по отдельности (или группируя) на одном или нескольких «токенах».

Так, распространено обеспечение одновременного применения следующих нескольких ЭЦП в формате «одного токена»:

• для документооборота с ФНС и государственными фондами;
• для ЕГАИС;
• для различных информационных порталов систем электронных торгов.

Комбинированная электронная подпись при этом стоит, как правило, дешевле, чем суммарная цена каждой из ЭЦП по отдельности. Типичная цена подобного комплекта — порядка 3000 рублей в год.

Общие расходы на применение ЭЦП складываются, вместе с тем, не только из стоимости сертификата, но также и из:

• стоимости «токена» (1000-1500 рублей);
• стоимости услуг УЦ по установке и настройке ЭЦП (от 2000 рублей);
• дополнительных программ — например, для защиты доступа к файлам, подписанным с помощью ЭЦП (на примере популярной программы «Криптекс» — порядка 1500 рублей).

В зависимости от политики «комбинирования» Удостоверяющим центром разных ЭЦП, владельцу подписи может потребоваться закупить один или несколько «токенов». Иногда большее их количество может быть обусловлено соображениями безопасности (именно тот случай, когда доступ к закрытому ключу ЭЦП для разных правоотношений следует распределять по разным «токенам»). В случае, если идентификация владельца электронной подписи на доступ к закрытому ключу осуществляется через SMS, то подписи могут «привязываться» к одному телефонному номеру или нескольким разных номеров — по тем же причинам.

Следует отметить, что общепринятые критерии выбора нужной электронной подписи выделить довольно сложно. Но можно определить типичные, сложившиеся на практике ориентиры для решения подобных задач. Например:

1. В части установления необходимости оформлять ЭЦП для ФНС и Фондов:

• общий объем отчетности (если он большой, то отчетность в ФНС и Фонды в любом случае имеет смысл отправлять в электронном виде);
• наличие или отсутствие у фирмы работников (если они есть, то всегда сдается отчетность для ПФР и ФСС);
• наличие или отсутствие у фирмы статуса плательщика НДС (декларации по НДС — всегда электронные).

2. В части установления необходимости оформлять электронную подпись для торгов и госзакупок, ОФД, ЕГАИС — очевидно, наличие или отсутствие у предприятия статуса участника правоотношений в указанных сферах.

3. В части установления необходимости оформлять ЭЦП для документооборота с контрагентами:

• пожелания (сложившаяся практика) у самих контрагентов;
• собственные технические возможности предприятия;
• себестоимость бумажного документооборота.

Фирме необходимо подсчитать годовые расходы на бумажный документооборот — и сравнить их с теми, что характеризуют применение ЭЦП. Как правило, сравнение не в пользу традиционного формата документооборота (исключение — деятельность очень небольших предприятий, самостоятельно работающих ИП — у которых может быть минимум документов для контрагентов).

Так или иначе, электронные подписи для документооборота — как с государственными органами, так и с хозяйствующими субъектами, становятся все более востребованными. Есть, безусловно, много сфер правоотношений, где подписи, опять же, из соображений безопасности, пока не применяются активно — например, кредитные отношения, договоры купли-продажи недвижимости, нотариальные правоотношения. Но в тех сферах, где подобные вопросы не стоят — выгода от применения электронной подписи в большинстве случаев очевидна. Она может быть как прямой материальной (когда электронный документооборот выходит дешевле бумажного), так и косвенной — которая будет заключаться в экономии личного времени работников. Используя электронный документооборот, они смогут высвобождать больше времени на решение ключевых задач на производстве — уделяя минимум трудозатрат на формальности, связанные с оформлением различных документов.

Резюме

Электронно-цифровая подпись — это аналог подписи ручкой: он подлежит сверке на предмет принадлежности человеку, составившему (отправившему) документ. Типичная ЭЦП (квалифицированная, неквалифицированная) «наклеивается» на файл закрытым ключом, проверяется — открытым.

Квалифицированная электронная подпись КЭП соответствует требованиям Закона № 63-ФЗ (и потому она может заменять подпись ручкой во всех правоотношениях, в которых применима). Неквалифицированная может быть точно такой же по технологическим признакам — но не прошедшей проверки такого соответствия (и потому замена подписи ручкой неквалифицированной подписью возможна, только если стороны документооборота договорились ее использовать, заключив отдельное соглашение).

Закон также выделяет простую ЭЦП — представленная интерфейсом электронного ящика или мессенджера отправителя документов (который вводит пароль для входа в ящик или мессенджер). Юридический силы такая подпись в общем случае не имеет.

Закрытый ключ ЭЦП функционирует на сервере Удостоверяющего центра — выдающего такие ключи (а также открытые ключи, сертификаты) и разрабатывающего программы для подписывания документов с помощью электронной подписи . Доступ к такому ключу осуществляется с помощью идентификации по «токену» или SMS (в перспективе — с использованием биометрических и иных данных).

Электронную подпись, общую для всех правоотношений, российское законодательство не устанавливает. Поэтому, для каждого правоотношения (группы правоотношений) оформляются отдельные ЭЦП. Доступ к ним при этом может осуществляться с помощью одного или нескольких «токенов» либо альтернативных им средств идентификации владельца подписи.

Видео — как получить электронную подпись для торгов на электронных площадках, соответствующую современным требованиям: