Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Содержание
  1. О рисках электронной подписи
  2. Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  3. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru
  4. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru
  5. О рисках электронной подписи
  6. О рисках электронной подписи
  7. Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  8. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru
  9. О рисках электронной подписи
  10. Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  11. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru
  12. О рисках электронной подписи
  13. Источник: https://ckp.in.ua/ru/articles/16167 О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  14. О рисках электронной подписи
  15. Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru О рисках электронной подписи Нам поступил интересный вопрос о квалифицированной электронной подписи:  Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься? К примеру: С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется. Раньше можно было так подать только через нотариуса, что удорожало всю процедуру. На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов. Например, при реализации имущества организации-банкрота и т.д и т.п. На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д. Все это, несомненно очень удобно, но и существуют очень серьёзные риски. Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП). Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом. Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации. 1.     Случай получения КСЭП в УЦ КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан: 1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата; 2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата. Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами: а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??). б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций. И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п. ) паспорта или подделки доверенности, в т.ч. через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП. Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных). В описанных выше случаях факторами, снижающими вероятность их реализации, будут: — обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП; — контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы; —  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг. Аккредитованный УЦ: 1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей. 2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого) 3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей. Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться. По вопросу по поводу проверки наличия сертификата. Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку. Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300). Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д. Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП. 2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец Здесь все банально. Это возможно: 1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело. Вариантами снижения вероятности реализации такой преступной схемы будут: —     Информирование персонала об ответственности —     Стимуляция персонала —     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц) —     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами. 2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные). В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель. Все меры защиты давно известны: Организационные: —     Учет и закрепление носителей за конкретными лицами —     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей —     Исключение халатности с их обращением (не оставлять без присмотра) —     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия) —     Использование паролей для доступа к ключам. Технические: —     Использование средства защиты от НСД, антивирусов —     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.). Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/ Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  16. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru
  17. О рисках электронной подписи
  18. Источник: https://ckp.in.ua/ru/articles/16167 Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru Интернет-сервис обмена электронными документами Synerdocs На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина. 1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)? Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14. Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа. Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности. Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение). В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа. 2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде? И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ. Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами. Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота. Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ. Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления. Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер. 3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения? Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными. Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6. 30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ. Использование ксерокопий данных бланков для создания документов не допускается. На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно. Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым. Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования. В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги. Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи. Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде. 4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге? Согласно Федеральному закону от 06.04.11 г. №63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется. Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге. Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена. 5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа? Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая. Источник: https://www.audit-it.ru/articles/soft/a118/598011.html
  19. Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

О рисках электронной подписи

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Нам поступил интересный вопрос о квалифицированной электронной подписи:

 Сообщение: Где можно узнать информацию простому смертному человеку по выданным сертификатам электронной цифровой подписи на его имя?  И как с этим бороться? Куда писать? Куда податься?

К примеру:

С поправками в законодательстве о регистрации юридических лиц и ИП, а именно в ФЗ №129, абзац 5 пп. 1.2 п. 1 статьи 9, при подаче документов на регистрацию юридического лица через интернет с использованием ЭП, для удостоверения подписи заявителя нотариус не требуется.

Раньше можно было так подать только через нотариуса, что удорожало всю процедуру.
На сегодня имеются факты незаконного создания ЭЦП в УЦ на человека только ради единичной регистрации фирмы. Ну а при фиктивном банкротстве применяется ЭЦП для проведения торгов.

Например, при реализации имущества организации-банкрота и т.д и т.п.

На вопрос решили подробно ответить и разместить как отдельную заметку, т.к. электронная сейчас внедряется повсеместно и зачастую многие не до конца понимают возможности и последствия ее применения (как в законных, так и не законных целях), а это и регистрация организаций и сделок с недвижимостью и платежи и т.д.

Все это, несомненно очень удобно, но и существуют очень серьёзные риски.

Для осуществления всех юридических действий с использованием электронной подписи (ЭП), должен использоваться квалифицированный сертификат ключа проверки электронной подписи (КСЭП).

Незаконное использование технологии ЭП возможно только при наличии у злоумышленника носителя закрытого ключа электронной подписи с помощью которого она и проставляется под электронным документом.

Получить он его может непосредственно в УЦ либо завладеть позже на этапе эксплуатации.

1.     Случай получения КСЭП в УЦ

КСЭП выдаётся только аккредитованными удостоверяющими центрами (УЦ) при этом при выдаче КСЭП УЦ обязан:

1) установить личность  заявителя — физического лица, обратившегося  к нему за получением квалифицированного  сертификата;

2) получить от лица, выступающего  от имени заявителя — юридического  лица, подтверждение правомочия  обращаться за получением квалифицированного  сертификата.

Таким образом, злоумышленник может получить ключ ЭП может следующими основными способами:

а) использование поддельного или украденного документа, удостоверяющего личность (в этом случае все очень сильно зависит от специалиста УЦ, который проверяет документы (и проверяет ли вообще??).

б) подделка доверенности на право получения услуг УЦ и получения носителя ключа ЭП

в) сговор со специалистами УЦ, которые сформируют ключ ЭП и КСЭП для мошеннических махинаций.

И если в первых двух случаях, очень много будет зависеть от качества работы УЦ и его специалистов, которые могут выявить подделку, несоответствие предъявленных документов или факт предъявления чужого (украденного и т.п.

) паспорта или подделки доверенности, в т.ч.

через установление договорных отношений и контакта с истинным владельцем КСЭП (заказчиком КСЭП), то в случае сговора уже никто и ни что не поможет предотвратить незаконный выпуск КСЭП.

Условием для описанных выше действий будет обладание злоумышленником информацией о «жертве» — паспортных данных, СНИЛС и ИНН, ОГРН и т.д. (если в УЦ все хорошо организованно, эти данные проверяются через СМЭВ, т.к. все аккредитованные УЦ подключены к ней и имеют возможность проверки данных).

В описанных выше случаях факторами, снижающими вероятность их реализации, будут:

— обеспечение конфиденциальности ПДн (ФИО, номер паспорта, СНИЛС, ИНН), которые могут быть использованы для оформления КСЭП;

— контроль использования  печатей, факсимиле, личных кабинетов  портала госуслуг, налоговой службы;

—  наличие у аккредитованных УЦ ответственности за качество оказываемых услуг.

Аккредитованный УЦ:

1)     несет гражданско-правовую и (или) административную ответственность в соответствии с законодательством Российской Федерации за неисполнение обязанностей, установленных настоящим Федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей.

2)     Должен иметь стоимость чистых активов не менее чем семь миллионов рублей, иметь лицензию ФСБ (т.е. создать фиктивный УЦ очень дорого)

3)     Обеспечивает наличие финансового обеспечения ответственности за убытки, причиненные третьим лицам вследствие их доверия к информации, указанной в СКЭП, выданном УЦ, или информации, содержащейся в реестре сертификатов, который ведет такой УЦ, в сумме не менее чем 30 миллионов рублей и 500 тысяч рублей за каждое место осуществления лицензируемого вида деятельности, указанное в лицензии ФСБ, если количество таких мест превышает десять, но не более 100 миллионов рублей.

Т.е. если в результате расследования будет доказана вина УЦ, то финансовые потери будут возмещаться.

По вопросу по поводу проверки наличия сертификата.

Что касается информации о выданных СКЭП, то аккредитованные УЦ должны вести реестры выданных КСЭП и предоставлять к ним безвозмездный доступ в т.ч. по сети интернет, согласно утвержденному Минкомсвязи порядку.

Но проверить наличие выданного СКЭП на конкретного человека по всем УЦ очень тяжело, т.к. придется проверять реестр каждого УЦ (а их более 300).

Следует отметить, что аналогичные способы незаконных действий могут реализовываться и без технологии электронной подписи. Путем подкупа нотариуса, регистратора, подделки бумажных документов и т.д.

Т.е., например, незаконную регистрацию ЮЛ, или иное юридически значимое действие, получение/изменение данных в государственных реестрах можно провести и без технологии ЭП.

2.     Вариант использования в мошеннических целях легитимно полученного КСЭП. Т.е. когда за сохранность ключей отвечает их владелец

Здесь все банально.

Это возможно:

1)     Если владелец ключа – мошенник, т.е. используя свое положение хочет предпринять незаконные действия, то помешать в реализации ему крайне тяжело.

Вариантами снижения вероятности реализации такой преступной схемы будут:

—     Информирование персонала об ответственности

—     Стимуляция персонала

—     Разграничение полномочий (проведение платежа, например, только с двумя подписями разных лиц)

—     Протоколирование действий и защита журналов регистрации от изменений, анализ событий, например, использование систем анализа и корреляции событий безопасности (SIEM). Так, попытка подписи в неположенное время, сумма нестандартная, получатель платежа и т.д. – такие события могут быть триггерами.

2)     Если в организации не внедрены стандартные меры защиты (в большей части организационные).

В случае невыполнения требований по информационной безопасности при эксплуатации средств электронной подписи (а они также являются средствами криптозащиты и их использование регламентируется приказами ФАПСИ №152, ФСБ №378) – т.е. когда носителем ключа КСЭП завладевает нарушитель.

Все меры защиты давно известны:

Организационные:

—     Учет и закрепление носителей за конкретными лицами

—     Недопущение бесконтрольной (не фиксируемой) передачи носителей ключей

—     Исключение халатности с их обращением (не оставлять без присмотра)

—     Обеспечение режимов доступа в помещения и порядка хранения носителей (закрываемые боксы, шкафы и др. с контролем вскрытия)

—     Использование паролей для доступа к ключам.

Технические:

—     Использование средства защиты от НСД, антивирусов

—     Использование носителей с не извлекаемыми ключами (рутокен, етокен и т.п.).

Источник: https://svk-ugra.ru/blog/o-riskah-elektronnoj-podpisi/

Источник: https://ckp.in.ua/ru/articles/16167

Электронные документы и ЭП: что нужно знать бухгалтеру — Audit-it.ru

Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?
Куда обратиться, если в организации подделывают подписи при выпуске финансовых документов?

Интернет-сервис обмена электронными документами Synerdocs

На вопросы портала Audit-it.ru об ЭЦП отвечает эксперт Synerdocs Кассис Карина.

1. Электронная подпись, используемая фирмой – это подпись юридического лица или подпись конкретного человека (директора, бухгалтера)?

Ответ на этот вопрос можно найти в Федеральном законе от 06.04.2011 г. N  63 «Об электронной подписи» – в статье 14.

Подпись должна содержать информацию, позволяющую идентифицировать конкретную персону, подписавшую документ, то есть – владельца сертификата ключа.

Поэтому сертификат выдается на физическое лицо, действующее от своего имени или от имени юридического лица на основании Устава или доверенности.

Закон, также, допускает в некоторых случаях не указывать в качестве владельца сертификата физическое лицо, например, если подписание происходит автоматически – уведомление о получении запросов в государственные органы. Тогда владельцем такого сертификата признается юридическое лицо (государственное учреждение).

В любом другом случае, электронная подпись, прежде всего, подчеркивает персональное участие конкретного лица в подписании документа.

2. Какими бухгалтерскими документами можно сейчас обмениваться в электронном виде?

И вновь обращаемся к законодательству, а именно к Федеральному закону от 06.12.2011 г. N 402 «О бухгалтерском учете». В статье 9 указано, что создавать в электронном виде с использованием электронной подписи можно любой (!) первичный бухгалтерский документ.

Соответственно, при наличии электронной подписи и инструментов передачи/получения можно обмениваться любыми бухгалтерскими документами.

Инструменты для обмена определяют уже сами контрагенты – лучше всего прибегнуть к услугам операторов электронного документооборота.

Отдельно отметим, возможность выставлять счета-фактуры в электронном виде закреплена в гл. 21 ст. 169 Налогового кодекса РФ.

Электронные счета-фактуры составляются по взаимному согласию сторон сделки в соответствии с установленными и обязательными к применению форматами и порядком выставления.

Для товарных накладных и актов приемки-сдачи работ также утверждены форматы, которые, в отличие от электронных счетов-фактур, носят рекомендательный характер.

3. Какие документы можно использовать в электронном виде с применением электронной подписи? Есть ли исключения?

Электронный документ, подписанный электронной подписью, может применяться в любых правоотношениях, если законодательство РФ не содержит прямого запрета на их использование. Таким образом, договоры, различные счета, заявки, отчеты, заявления, а также товарные накладные, акты и даже счета-фактуры и т.д. могут быть электронными.

Запрещено составлять и использовать в электронном виде документы строгой отчетности, требования к оформлению которых, жестко закреплены в нормах законодательства РФ. Согласно п. 5.7 ГОСТа Р 6.

30-2003 типографским способом в обязательном порядке должны изготавливаться бланки документов, имеющие в качестве реквизита Государственный герб РФ или герб субъекта РФ.

Использование ксерокопий данных бланков для создания документов не допускается.

На практике, встречаются ситуации, когда законодатель не запрещает работать с документами в электронном виде, но никто не торопиться отказываться от бумаги. Ярким примером служат кадровые документы. Дело в том, что перевести все кадровые документы в электронный вид достаточно сложно.

Во-первых, часть таких документов имеет длительный или даже постоянный срок хранения, а вопрос долгосрочного хранения электронных документов пока остается открытым.

Во-вторых, кадровые документы напрямую связаны с персональными данными, что влечет за собой особый порядок обеспечения защиты информации и вытекающие из этого предъявляемые законодательством РФ требования.

В связи с этими и некоторыми другими причинами работу с кадровыми документами ведут с применением бумаги.

Что касается первичных учетных документов, то на основании ст. 9 ФЗ N 402 «О бухгалтерском учете» их разрешено составлять в электронном виде с применением электронной подписи.

Таким образом, законодательством РФ четко оговорены области правоотношений, в которых запрещено/разрешено применять документы в электронном виде.

4. Можно ли заключить договор с контрагентом удаленно, используя ЭП, без предварительного подписания каких-либо соглашений на бумаге?

Согласно Федеральному закону от 06.04.11 г.

№63-ФЗ «Об электронной подписи» при использовании в работе усиленной квалифицированной электронной подписи заключать дополнительные соглашения для начала обмена электронными документами не требуется.

Использование любого другого типа электронной подписи (простая или усиленная неквалифицированная) предполагает закрепление выбора подписи, а так же описания всех правил обмена в соглашении между контрагентами на бумаге.

Операторы электронного документооборота, используя в работе квалифицированную электронную подпись либо другой тип подписи, при заключении договора с организацией, подключающейся к их услугам, все же прописывают, какой вид подписи используется, а также уделяют большое внимание правилам обмена. При работе с оператором вам достаточно заключить всего один договор с самой организацией, предоставляющей услуги межкорпоративного электронного обмена.

5. Если все документы по сделке (договоры, счета-фактуры и др.) существуют только в электронном виде, в каком виде их можно представить по требованию налогового органа?

Представить документы в налоговые органы можно двумя способами: на бумажном носителе в виде заверенной копии или сами электронные документы. Рассмотрим оба случая.

Источник: https://www.audit-it.ru/articles/soft/a118/598011.html

Юр-решение
Добавить комментарий