Кто отвечает за ЭЦП, если ею пользуются многие

Читать на узбекском языке
preview

Что будет, если кто-то из имеющих доступ к ЭЦП организации случайно или намеренно подпишет ею ненадлежащий документ? Или – произведет с ней другие юридически значимые действия? Последствия для бизнеса могут быть катастрофическими. Как обезопасить предприятие, разграничив ответственность по ЭЦП?

Что это такое и как работает

Электронная цифровая подпись позволяет получать госуслуги и защищать электронные документы от подделок. У каждой ЭЦП есть открытый и закрытый ключи, а также сертификат. В технические подробности вникать не будем: все, что нужно для работы с ЭЦП сотруднику, на чье имя она оформляется, Центр государственных услуг (ЦГУ) выдает  на флешке – в одном файле, пароль  высылается в виде СМС-сообщения, модуль или браузер для работы с ЭЦП можно скачать тут.  

Электронная подпись выдается на 2 года. После чего вы можете продлить ее дважды на этот же срок или получить новую. Это можно сделать через сайт e-imzo.uz или обратившись в ЦГУ. Если хотите решить вопрос дистанционно, об этом нужно позаботиться минимум за неделю до истечения текущего срока действия ЭЦП.

Сотрудник, на чье имя выдана ЭЦП юридического лица, лично отвечает за правовые последствия ее применения.

Вариант 1: у юрлица ЭЦП – одна, ее используют несколько сотрудников

Во многих организациях предпочитают не заморачиваться. Руководитель получает на свое имя одну ЭЦП юрлица, а уполномоченные сотрудники с разными целями используют ее на разных компьютерах.

Плюсы

Минусы

Самая простая схема

- Высокий риск несанкционированного использования ЭЦП;

- Определить виновного в несанкционированном использовании ЭЦП и доказать его вину очень сложно


Чтобы усилить безопасность, руководитель должен свести к минимуму число людей, имеющих доступ к цифровой подписи, и компьютеров, на которых она используется.

Регламентируйте доступ, разграничьте ответственность, прямо возложите ее на сотрудников локальными актами.

См. образец приказа.

Вариант 2: у юрлица несколько ЭЦП

За разъяснениями мы обратились в  НИЦ «Янги технологиялар» при ГНК – головное учреждение системы ЭЦП. По словам его директора Хаета НАСРУЛЛАЕВА, юрлицо может иметь неограниченное количество ЭЦП.  

При получении каждой последующей ЭЦП никому ничего объяснять не нужно. Главное – в заявлении на регистрацию ключей ЭЦП юридического лица указать владельца ЭЦП – представителя юридического лица, на чье имя будет выдана ЭЦП. И приложить к заявлению:

  • копию удостоверения личности представителя юридического лица (паспорт владельца ЭЦП);
  • заверенную копию приказа или доверенность на владельца ЭЦП – представителя юридического лица. 

На практике могут использоваться две модели:

А) все ЭЦП юрлица получены на имя руководителя организации. В этом случае в приказе руководителя об использовании ЭЦП можно указать номер сертификата ЭЦП, закрепленного за конкретным сотрудником. См. образец приказа

Б) каждая ЭЦП юрлица выдана на имя конкретного сотрудника. См. образец приказа

Следует иметь в виду, что в некоторых информационных системах, например, в МПАК «Единая национальная система труда» (ЕНСТ), можно использовать исключительно ЭЦП юрлица, выданную на имя руководителя.

Плюсы

Минусы

За каждой ЭЦП закреплен конкретный сотрудник.  Определить ответственного за несанкционированное использование ЭЦП уже проще

- В случае конфликта с ответственным сотрудником у него остается техническая возможность какое-то время оперировать ЭЦП юридического лица. И компании может быть нанесен урон

Итого.

При любом  раскладе у руководителя организации нет технических инструментов разграничить или  ограничить полномочия применения ЭЦП юрлица сотрудниками, имеющими к ней доступ. Хает НАСРУЛЛАЕВ подчеркнул, что  эту задачу могут решить только операторы – организации, обеспечивающие функционирование информационных систем.

Успешные примеры уже есть. Например, операторы ЭСФ предлагают возможность ограничить доступ сотрудников к ЭСФ путем определения роли и полномочий каждого. В этом случае сотруднику уже не нужна ЭЦП работодателя – юрлица. Достаточно иметь личную ЭЦП физлица или пароль. Однако такие возможности операторы ЭСФ пока создают не в целом для всей системы, а только по просьбе вашей организации – для вас.

Чтобы обеспечить надежную защиту юридических лиц от несанкционированного использования их ЭЦП, нужно усовершенствовать как законодательство, так и технологии доступа к информационным системам. В этой работе за основополагающие принципы целесообразно взять следующие положения:

  1. У юрлица может быть только одна ЭЦП, и она должна выдаваться только на имя руководителя.
  2. Во всех информационных системах, где применяется ЭЦП юрлица (ЭСФ, ЕНСТ и прочие), у руководителя  должна быть техническая возможность определять конкретных сотрудников, имеющих право работать от его имени, и четко разграничивать их полномочия в системе.
  3. Сотрудникам не нужна ЭЦП юрлица, чтобы выполнять свои обязанности в информационной системе, – достаточно персональной ЭЦП физлица или пароля. Можно применить и другие средства идентификации (сканирование отпечатка пальца,  сетчатки глаза и т.д.).

Надеемся, что этот важный момент будет учтен Мининфокомом при выполнении поручения Президента о разработке системы единого ЭЦП, а также альтернативных  безопасных и простых способов подтверждения личности при пользовании электронными услугами.

Как быть руководителю уже сейчас?

Прежде всего в любом случае:

  • минимизируйте число сотрудников, имеющих доступ к флешке с  ЭЦП юрлица и паролю, закрепите ответственность в локальных актах;
  • меняйте пароли ЭЦП – регулярно! Обязательно это нужно сделать при увольнении или смене полномочий сотрудника. Поменять пароль ЭЦП можно при помощи специальной кнопки в персональном кабинете налогоплательщика;
  • ограничьте количество компьютеров, где применяется ЭЦП, и доступ к ним. Периодически меняйте пароли этих компьютеров, установите лицензионный антивирус.

 Олег ГАЕВОЙ