Бытует мнение, что в общем порядке в соответствии с законодательством при работе с неквалифицированной электронной подписью всегда можно использовать несертифицированные средства электронной подписи и удостоверяющего центра.
Однако это не совсем корректно. На практике зачастую можно встретить несертифицированные «облачные» средства ЭП с подписанием согласия по СМС (в частности, в кадровом ЭДО и других системах). Но использование несертифицированных средств электронной подписи в ряде случаев ставит под сомнение легитимность работы с неквалифицированными сертификатами, вопреки расхожему мнению. Разбираемся, почему.
Основным регулирующим нормативным документом в сфере электронной подписи является Федеральный закон «Об электронной подписи» №63-ФЗ. Существует множество иных нормативных документов, которые детализируют требования к использованию электронной подписи в различных сферах и иногда они используются отраслью при формировании позиции относительно сертифицированных средств при работе с НЭП, но обратимся именно к основному федеральному закону, на который отрасль смотрит в первую очередь. Согласно документу, статья 15 63-ФЗ устанавливает требования к работе аккредитованных удостоверяющих центров, а статья 13 63-ФЗ — к работе удостоверяющих центров в общем порядке (в том числе неаккредитованных).
В подпункте 1 пункта 2.2 статьи 15 63-ФЗ (об аккредитованных УЦ) в явном виде прописана необходимость использования сертифицированных средств при создании сертификатов:
«1) хранение ключа электронной подписи ключ проверки которой содержится в квалифицированном сертификате, с обеспечением его защиты от компрометации и (или) несанкционированного использования, в том числе создание при помощи указанного ключа подписи по поручению владельца квалифицированного сертификата с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего Федерального закона».
Однако в пункте 1.1 статьи 13 63-ФЗ (об удостоверяющих центрах в общем), в котором описан порядок первичного выпуска сертификатов и способы идентификации при выпуске неквалифицированных сертификатов, такого требования в явном виде не указано. В результате чего создается впечатление, что требование об использовании сертифицированных средств электронной подписи и удостоверяющего центра касается только квалифицированной электронной подписи. Но стоит читать закон дальше.
После того, как пользователю впервые выпустили неквалифицированный сертификат, каждый последующий год ему будут «перевыпускать» сертификат на основе ранее выданного в том же удостоверяющем центре. И данный способ, и порядок определения лица при «перевыпуске» описаны в следующем пункте 1.2 той же статьи 13 63-ФЗ.
В соответствии с требованиями пункта 1.2 статьи 13 63-ФЗ удостоверяющий центр:
«1.2) создает сертификаты ключей проверки электронной подписи и выдает такие сертификаты заявителям в отношении усиленной неквалифицированной электронной подписи, что может осуществляться при определении лица, подающего заявление в электронной форме без личного присутствия, с использованием неквалифицированной электронной подписи, при создании и проверке которой применяются средства электронной подписи и средства удостоверяющего центра, прошедшие в установленном порядке процедуру соответствия требованиям, установленным в соответствии с частью 5 статьи 8 настоящего Федерального закона».
Таким образом, если читать закон напрямую, то получается, что если УЦ создает каждый раз сертификат «первично» в соответствии с пунктом 1.1 статьи 13 63-ФЗ, то может не использовать сертифицированные средства электронной подписи и удостоверяющего центра. Однако если он «перевыпускает», то это может быть реализовано только с использованием сертифицированных средств. При этом практика, безусловно, такова, что со второго года ни один УЦ не использует «первичный» выпуск сертификата для уже существующего пользователя (пункт 1.1), поскольку это становится неудобно и затратно с точки зрения работы пользователя, и, соответственно, попадает под требования пункта 1.2 и сертифицированных средств.
Почему получилась некая законодательная коллизия? Здесь есть два влияющих аспекта:
Во-первых, пункт 1.2 о «перевыпуске» был написан позднее, чем пункт 1.1, с целью упростить пользователям работу с «повторными» сертификатами и их выпусками. Поскольку процесс идентификации является наиболее уязвимым при создании сертификата, требования именно к «перевыпуску» были дополнительно конкретизированы с целью повышения безопасности процесса.
Во-вторых, поскольку пункт 1.2 был написан позднее, то в пункт 1.1 аналогичные изменения могли в явном виде не вноситься, так как были описаны в самом частом процессе «перевыпуска» в пункте 1.2.
Независимо от причин возникновения данной нормативной коллизии, в законе, если упростить, явно прописано: «если вы не хотите заставлять пользователя выпускать сертификаты каждый год заново, а планируете их "перевыпускать" на основе ранее выданных — вам обязательно нужно использовать сертифицированные средства электронной подписи и удостоверяющего центра». Использование любых несертифицированных средств при «перевыпуске» является прямым нарушением 63-ФЗ «Об электронной подписи».
.jpg)
- Стоимость медиауслуг (открыть PDF) -
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных
.jpg)