Как проверить ЭЦП?

Интеграция

29 Ноября 2021 14:3829 Ноя 2021 14:38 |
Поделиться

Согласно законодательству, электронная подпись имеет полную юридическую силу. Преимущества ее очевидны: оформлять, предоставлять и хранить документы стало намного проще. Как же корректно интегрировать средства электронной подписи в прикладные системы?

Доля ЭЦП растет

В настоящее время растет число государственных услуг для юридических и физических лиц с использованием электронной подписи. По данным Единой электронной торговой площадки («Росэлторг»), в прошлом году россияне начали чаще использовать электронные подписи для сделок с недвижимостью, регистрации бизнеса и сдачи отчетности. Доля электронных подписей для торгов составила 57%, доля для других сфер применения — 43%. Также электронные подписи применялись для пользования системами электронного документооборота, регистрации бизнеса, сдачи других отчетностей в Пенсионный фонд, для личного пользования и подписания любых документов в электронном виде. Ежегодно растет доля самозанятых граждан, использующих ЭП.

Новые требования к ЭЦП — уже с января

С 1 января 2022 года владельцам электронных подписей придется осваивать новые правила: в 63-ФЗ «Об электронной подписи» внесли поправки. Уже с июля 2021 года удостоверяющие центры (УЦ) проходят аккредитацию по обновленным правилам. Ранее выданные УЦ подписи действуют до 1 января 2022 года.

С 2022 года сотрудники организаций и уполномоченные лица будут получать в аккредитованных УЦ новый тип электронной подписи — «электронную подпись физического лица». В ней указаны только ФИО сотрудника и нет данных о юрлице, в котором он работает. Эту подпись они смогут использовать и для рабочих, и для личных документов.

Использовать подпись физлица для документов организации можно будет только вместе с электронной доверенностью (доверенностью в машиночитаемом виде). Прикладные системы должны уметь принимать их. В 2022 году планируется переходный период для электронных доверенностей: можно использовать их, либо работать по старым правилам.

Интеграция в прикладные системы

Функции формирования и проверки электронной подписи реализованы с помощью средств, сертифицированных ФСБ России, и, как правило, встраиваются в прикладные системы. При этом, чтобы электронные документы с электронной подписью были юридически значимыми, требуется выполнить ряд требований. Они определяются в эксплуатационной документации применяемых средств электронной подписи (СЭП). В частности, должна проверяться корректность работы функций создания и верификации электронной подписи, выполнение рекомендаций по встраиванию СЭП в прикладные системы.

Отвечающие этим требованиям документы с валидной электронной подписью документы имеют тот же статус, что обычные. Более того, некоторые госструктуры обязывают юрлица представлять документы в электронном виде. Это делает юридически значимый документооборот незаменимым решением.

Электронный документооборот, юридическая сила которого подтверждена ЭП, используется для создания и отправки различных актов и документов; финансовой отчетности; участия в торгах и проведения закупок; кадрового учета; регистрации онлайн-касс и др.

Это неотъемлемая часть процессов цифровизации, помогающей, в частности, увеличить скорость работы и качество решений, снизить издержки на содержание аппарата, повысить уровень лояльности и доверия населения при обращении в госорганизации, уменьшить административную нагрузку на бизнес. Все это способствует росту эффективности экономики государства в целом.

«Госсектор отличается повышенными требованиями к безопасности, надежности и производительности, а также нацеленностью на импортозамещающие технологии. Кроме того, с позиции многолетнего опыта можно отметить наличие большого количества межведомственных интеграций и регламентаций различными нормативными актами, что приводит к необходимости учитывать множество нюансов и находить компромиссные решения», — говорит Александр Глыбин, руководитель направления аналитики Группы компаний ОТР.

Формирование и проверка электронной подписи

Группа компаний ОТР предложила свой подход к формированию и проверке электронной подписи в прикладных системах органов государственной власти, встраивания СЭП в прикладные системы и выполнения требований эксплуатационной документации. В нем используется единая точка формирования и проверки ЭП.

Государственные услуги предоставляются, как правило, на основе взаимодействия информационных систем (ИС) различных министерств и ведомств. В их прикладном ПО с помощью встроенных сертифицированных СЭП реализованы функции формирования и проверки ЭП. При этом прикладное ПО для разных ИС разрабатывается разными вендорами. В результате реализации таких криптографических функций неоднородны и не всегда совместимы.

«ВТБ Лизинг» внедряет управление данными как ценным бизнес-активом

ИТ в банках

Чтобы электронный документооборот был юридически значимым, а государственные услуги — легитимными, требуется оценка влияния среды функционирования, в том числе и прикладного ПО, на применяемые СЭП.

«Наша практика по реализации систем юридически значимого электронного документооборота показывает, что одним из наиболее эффективных является подход к встраиванию сертифицированных СЭП, реализованный в разработанном нами программном продукте «Криптосервер», — отмечают в ОТР.

Что умеет «Криптосервер»?

«Криптосервер» предусматривает:

  • Использование централизованных сервисов ЭП для формирования, проверки, усиление электронной подписи.
  • Конфигурирование сервисов, в том числе параметров обработки запросов от прикладных систем.
  • Отображение подписываемых данных, результатов формирования и проверки ЭП.
  • Функционирование сервисов ЭП в режиме «черного ящика» для прикладных систем.
  • Реализацию взаимодействия прикладных систем с сервисами ЭП посредством брокера очередей (общесистемного ПО), адаптеров, входящих в состав сервисов ЭП, визуальных компонентов сервисов ЭП, встраиваемых в интерфейс прикладных систем.

Универсальная криптозащита

Криптосервер — универсальный сервер криптографической защиты информации — можно использовать как решение по реализации централизованного, универсального и простого механизма обеспечения авторства, целостности, безотказности и юридической значимости электронного документооборота в прикладных системах на базе электронной подписи, в том числе и для систем межведомственного электронного взаимодействия (СМЭВ). Это средство формирования и проверки ЭП, контроля валидности сертификата поддерживает следующие форматы ЭП: CMS, CAdES, XAdES, PAdES.

«Криптосервер» позволяет автоматизировать ряд задач:

  • Загрузку TSL, сертификатов удостоверяющих центров и списков отозванных сертификатов.
  • Масштабирование основных сервисов, подверженных наибольшей нагрузке.
  • Уведомление администратора и пользователей об истечении срока действия сертификатов.
  • Проверку АРМ пользователей на наличие необходимых средств ЭП.

Преимущества решения

Ключевые преимущества предлагаемого решения — соответствие требованиям эксплуатационной документации СЭП и законодательству в сфере применения электронной подписи, удобство пользования сервисами ЭП и их администрирования, снижение совокупной стоимости владения: сокращение трудозатрат на администрирование.

Кроме того, отпадает необходимость оценки влияния прикладной системы при обновлении ПО. Снижается стоимость внедрения новой прикладной системы, нет необходимости реализовывать в ней функции ЭП, а имеющиеся сервисы ЭП можно масштабировать. Также отсутствуют ограничения по развитию и обновлению прикладной системы.

«Сегодня повысить эффективность бизнеса и госуправления без цифровизации и автоматизации почти невозможно. Но осуществить их самостоятельно под силу не всем. Проектирование системы, подбор специализированного ПО и технических решений, создание инфраструктуры — нетривиальные задачи, помочь с которыми могут системные интеграторы», — утверждают в ОТР.

Сервер криптографической защиты можно использовать в составе этой платформы для выработки и проверки электронной подписи в форматах, используемых банковскими и государственными системами. Отсюда — альтернативные названия «Криптосервера»: ОПОРА.Крипто, ОТР. Универсальный сервер криптографической защиты информации (ОТР.УСКЗИ), ОТР. В 2016 году он был включен в «Реестр российского ПО».

Полный текст статьи читайте на CNews