Какая электронная подпись самая надёжная и как обеспечить безопасность её использования

Если соблюдать все требования к безопасному использованию электронной подписи, её подделка и несанкционированное применение невозможны. При этом изначально гарантировать самый высокий уровень доверия способна только квалифицированная электронная подпись (КЭП). Но её выбор не отменяет соблюдение правил информационной безопасности, которые касаются не только средств электронной подписи, но и оборудования, а также программного обеспечения — всего того, что связано с хранением и применением средств ЭП.

Почему квалифицированная ЭП самая надёжная

В самом делении электронной подписи на три вида — простую, неквалифицированную и квалифицированную — заложена градация по уровням надёжности и защищённости ЭП. Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определённым лицом.

К простой электронной подписи (ПЭП) закон предъявляет минимальные требования. Простая электронная подпись подтверждает авторство документа, но не гарантирует его неизменность после подписания, то есть не защищает документ от внесения изменений.

В различных информационных системах при прохождении авторизации ПЭП формируется при помощи связки «логин-пароль». Если для авторизации подключена двухфакторная аутентификация, то к связке «логин-пароль» добавляется код, отправленный пользователю в СМС-сообщении.

ПЭП применяется в финансовых организациях во взаимодействии «банк-клиент», например, в системах дистанционного банковского обслуживания или в мобильных приложениях, а также при авторизации в различных интернет-ресурсах. Например, на портале Госуслуги или в личном кабинете налогоплательщика в сервисе ФНС России.

При этом согласно законодательству, подписывать ПЭП документы, которые содержат сведения, составляющие государственную тайну, запрещено.

Неквалифицированная и квалифицированная ЭП относятся к усиленной ЭП, что подчёркивает их уровень защищённости и предъявление к ним жёстких требований:

1. Получение путём криптографического преобразования информации с использованием уникальной последовательности символов (ключа электронной подписи).
2. Создание с помощью средств электронной подписи — криптографических (шифровальных) средств, которые используются для создания, проверки ЭП, создания ключа ЭП и ключа проверки ЭП — уникальной последовательности символов, которая однозначно связана с ключом ЭП и служит для проверки подлинности ЭП.
3. Возможность определения лица, которое подписало конкретный электронный документ, а также факта внесения изменений в документ после его подписания.

Несмотря на предъявление к НЭП и КЭП примерно одинаковых требований, КЭП имеет более высокий уровень доверия, потому что:

• обязательна выдача квалифицированного сертификата, в котором указан, среди прочего, ключ проверки электронной подписи;
• средства электронной подписи, которые используются для создания и проверки КЭП, должны иметь подтверждение соответствия нормативным требованиям (быть сертифицированными).

В настоящее время сертификаты КЭП выпускают только государственные и коммерческие аккредитованные удостоверяющие центры, соответствующие определённому уровню законодательных требований. Юридические лица и ИП в зависимости от вида деятельности могут оформить квалифицированный сертификат в Удостоверяющем центре ФНС, Федерального казначейства или Банка России, а также у доверенных лиц этих УЦ. Физические лица могут оформить квалифицированный сертификат только в удостоверяющем центре, у которого есть аккредитация Правительственной комиссии, уполномоченной на принятие решения об аккредитации УЦ.

НЭП может быть сгенерирована в информационной системе, в которой и будет использоваться, при этом выпуск сертификата необязателен. Кроме этого, сертификат НЭП может выпустить любой удостоверяющий центр, независимо от наличия аккредитации Правительственной комиссией. Для использования НЭП между участниками электронного взаимодействия должно быть заключено соглашение о признании электронных документов, подписанных неквалифицированной электронной подписью. НЭП часто применяется для внутреннего электронного документооборота, подписания внутренних приказов, документов между контрагентами.

Несмотря на высокий уровень безопасности КЭП, её использование в некоторых государственных системах требует дополнительных программных средств — установки и применения специального расширения — дополнительного средства электронной подписи, работающего совместно с криптопровайдером и плагином (расширением) для браузеров. Такую комбинацию, в частности, обязывает использовать Росреестр для работы на своём официальном портале.

Получите сертификат

Пройдите идентификацию по действующему квалифицированному сертификату и получите сертификат электронной подписи удалённо.

Получить консультацию

Какие требования нужно соблюдать для безопасного использования электронной подписи

Все требования носят рекомендательный характер, но их соблюдение практически на 100% исключит угрозы информационной безопасности при использовании квалифицированной электронной подписи.

Требования можно разделить на три группы:

1. Ограничение доступа посторонних лиц в помещение и к оборудованию (рабочему месту) с установленными средствами электронной подписи.
2. Защита информации от несанкционированного доступа.
3. Защита носителя (токена), на который записана информация о квалифицированном сертификате, его владельце и ключах электронной подписи.

Защита информации от несанкционированного доступа предусматривает:

1. Использование сложных паролей (сочетание букв, цифр, символов, верхнего и нижнего регистров), периодическая смена паролей, которые предназначены для входа в операционную систему.
2. Обязательная установка программных средств защиты и безопасности, регулярное их обновление.
3. Использование одной легальной, стандартной, неизменённой версии операционной системы.
4. Исключение возможности загрузки операционной системы, отличной от штатной, а также возможности дистанционного управления рабочим устройством.
5. Выбор максимальных параметров в настройках уровня безопасности.
6. Отключение неиспользуемых сервисов, протоколов и других ресурсов рабочего устройства.
7. Максимальное ограничение доступа к отладочной, кэшируемой информации, журналам системы, системному реестру, файлам и каталогу, файлам подкачки, временным файлам.
8. Удаление после завершения рабочего сеанса с электронной подписью временных файлов и созданных или изменённых ими файлов подкачки.
9. Включение на рабочем устройстве регистрации событий информационной безопасности.

При подключении рабочего устройства к общедоступным сетям нужно исключить возможность открытия и исполнения файлов и скриптов без их проверки на содержание скрытно внедрённых программ либо фрагментов программ (вирусов и программных закладок).

Опасно:

• копировать содержимое ключевых носителей (токенов), разглашать его, передавать информацию и носитель третьим лицам, допускать отображение информации на экране рабочего устройства в присутствии третьих лиц;
• вносить любого рода изменения в программное обеспечение на носителе, предназначенное для работы с электронной подписью, удалять его или отдельные файлы, а также использовать носитель для записи другой информации;
• использовать сертификат ЭП, если он недействителен (аннулирован, просрочен);
• использовать КЭП (подписывать ею электронные документы) при наличии оснований полагать, что третьи лица получили доступ к ключам ЭП или ключевому носителю.

В целях защиты носителя (токена) от несанкционированного доступа третьих лиц необходимо обеспечить его надёжное хранение, при первом использовании сгенерировать новый пароль (ПИН-код), а не использовать предустановленный, и регулярно его менять.

В случае утраты носителя, при наличии подозрений, что кто-то несанкционированно получил доступ к ключам ЭП, и других событиях, компрометирующих применение КЭП, необходимо незамедлительно уведомить удостоверяющий центр, который выдал сертификат. Далее следует запустить процедуру аннулирования сертификата и получения нового квалифицированного сертификата.