Как организовать безопасную и законную работу с ЭЦП на нескольких рабочих местах без выделенного сервера?

Программист 1С v8.3 (Управляемые формы) 1С:Управление торговлей Торговля и дистрибуция
← К списку

Приветствуем вас! Сегодня мы разберем одну из актуальных проблем, с которой сталкиваются многие компании: как эффективно и, главное, законно использовать электронную цифровую подпись (ЭЦП) на нескольких рабочих местах, когда нет возможности или необходимости разворачивать полноценный сервер. Мы рассмотрим различные подходы, проанализируем их преимущества и недостатки, а также выясним, какие методы соответствуют текущему законодательству.

Многие пользователи ищут быстрые решения, такие как копирование подписи руководителя, но мы сразу хотим отметить, что этот путь сопряжен с серьезными рисками и является незаконным. Вместе мы найдем оптимальные и безопасные варианты, опираясь на лучшие практики и нормативные требования.

Применение личных ЭЦП сотрудников в связке с машиночитаемыми доверенностями (МЧД)

Начнем с наиболее правильного и современного подхода, который активно продвигается государственными органами и соответствует действующему законодательству. Этот метод предполагает использование личных электронных подписей сотрудников в паре с машиночитаемыми доверенностями.

Рассмотрим подробнее, почему этот способ является предпочтительным:

  1. Законодательное соответствие: С 1 сентября 2023 года (а с 1 сентября 2024 года — окончательно) сотрудники организаций обязаны использовать личную электронную подпись физического лица, а не сертификаты, содержащие данные организации. Это требование закреплено в законодательстве об электронной подписи.
  2. Безопасность: Каждый сотрудник несет персональную ответственность за свою подпись. Это значительно снижает риски компрометации ключа и позволяет четко отслеживать, кто и когда подписал тот или иной документ.
  3. Гибкость управления полномочиями: Руководитель может точно определить объем полномочий для каждого сотрудника через МЧД, что обеспечивает строгий контроль над документооборотом.

Разберем по шагам, как это работает:

  1. Выпуск ЭЦП для сотрудника: Каждый сотрудник, которому необходимо подписывать документы от имени организации, получает свою личную квалифицированную электронную подпись (КЭП) физического лица в аккредитованном удостоверяющем центре. Эта подпись выдается на имя сотрудника и содержит его личные данные.
  2. Формирование машиночитаемой доверенности (МЧД): Руководитель юридического лица или индивидуальный предприниматель формирует МЧД. В этой доверенности указываются:
    • Данные организации (доверителя).
    • Данные сотрудника (поверенного), который будет использовать свою личную ЭЦП.
    • Конкретный объем полномочий, которыми наделяется сотрудник. Например, "право подписывать договоры поставки", "право работать в системе маркировки", "право сдавать налоговую отчетность".
    • Срок действия доверенности.

    Одну МЧД можно выпустить на одного сотрудника, указав все необходимые полномочия, или же выпустить несколько МЧД на одного сотрудника для разных целей. Также МЧД можно выпустить на любое юридическое или физическое лицо, включая аутсорсеров.

  3. Использование связки ЭЦП + МЧД: При подписании документа сотрудник использует свою личную КЭП, а к подписанному документу автоматически прикрепляется или указывается уникальный номер соответствующей МЧД. Информационная система (например, 1С:Документооборот, 1С:Бухгалтерия с модулем ЭДО) проверяет подпись сотрудника и затем по номеру МЧД обращается к государственному реестру МЧД, чтобы удостовериться в наличии и объеме полномочий.

Посмотрим на примеры работы с МЧД:

Важный нюанс по "коллективным" МЧД: Существует концепция "коллективной" или "групповой" МЧД, которая предоставляет права нескольким лицам. Она может быть полезна для филиалов или взаимодействия с партнерами. Однако следует учитывать, что не все государственные органы (например, для налоговой отчетности) принимают групповые МЧД; в таких случаях часто требуется индивидуальная МЧД для каждого представителя. Если в групповой МЧД указаны совместные полномочия и один из сотрудников увольняется, доверенность может быть отменена полностью, что потребует создания новой МЧД.

Современные конфигурации 1С, такие как 1С:Бухгалтерия, 1С:Зарплата и управление персоналом, 1С:Документооборот и другие, уже имеют встроенные механизмы для работы с МЧД, позволяя создавать, регистрировать и использовать их непосредственно из программы.

Почему НЕ следует копировать ЭЦП руководителя: риски и законодательство

На форумах часто можно встретить предложения скопировать ЭЦП руководителя, в том числе с носителя типа Рутокен Лайт, "в обход КриптоПро". Мы настоятельно не рекомендуем использовать этот метод, поскольку он является крайне рискованным, незаконным и, более того, технически невозможным для современных квалифицированных электронных подписей.

Проанализируем ситуацию подробнее:

  1. Незаконность: Передача закрытого ключа ЭЦП другому лицу, равно как и его несанкционированное копирование, считается компрометацией ключа. С юридической точки зрения, копирование сертификата и подписание им документов от имени директора приравнивается к подделке подписи на бумаге. Это может повлечь за собой серьезные юридические последствия как для организации, так и для лиц, осуществивших такое копирование и использование.
  2. Техническая невозможность для КЭП ФНС: С 2022 года квалифицированные электронные подписи для руководителей юридических лиц и индивидуальных предпринимателей выдаются Федеральной налоговой службой (ФНС) и ее доверенными лицами. Эти подписи являются неэкспортируемыми. Это означает, что их невозможно скопировать с носителя (токена, такого как Рутокен ЭЦП 2.0 или JaCarta-2 ГОСТ) на другие компьютеры или носители. Использование такой ЭЦП возможно только с того физического носителя, на котором она записана.
  3. Риски компрометации: Даже если бы копирование было технически возможно (что не так для КЭП ФНС), создание множества копий ключа руководителя и их распространение по разным рабочим местам многократно увеличивает риск его компрометации. Злоумышленники могут получить доступ к ключу, что приведет к несанкционированному подписанию документов от имени вашей организации.
  4. Серьезные последствия: Компрометация ключа ЭЦП может привести к оформлению кредитов, потере имущества, регистрации в качестве номинального руководителя фирм, занимающихся незаконной деятельностью, и другим крайне нежелательным событиям.
  5. Запрет для Удостоверяющих центров: Удостоверяющим центрам законодательно запрещено производить копирование или дублирование закрытых ключей.

Таким образом, попытки "извлечь" подпись с токена или скопировать ее являются не только нарушением законодательства, но и бесполезной тратой времени, а также создают огромные риски для безопасности вашей компании.

Особенности работы с ЭЦП для системы "Честный ЗНАК" и понятие "Обезличенная ЭЦП"

Вопрос "пробиваем честный знак" вызывает много недопониманий. Давайте разберем, как ЭЦП используется в системе маркировки и что такое "обезличенная" ЭЦП.

ЭЦП для системы "Честный ЗНАК"

Для полноценной работы в системе маркировки "Честный ЗНАК" (ИС МП) требуется квалифицированная электронная подпись. Однако ее применение отличается в зависимости от выполняемых операций:

  1. Регистрация и основные операции: Для первичной регистрации в личном кабинете "Честного ЗНАКа", заказа кодов маркировки, ввода и вывода товаров из оборота, а также для электронного документооборота с контрагентами (например, при приемке маркированного товара по УПД) используется ЭЦП руководителя юридического лица или ИП, полученная в ФНС.
  2. "Разрешительный режим" ККТ: Как было верно замечено на форуме, для так называемого "Разрешительного режима" (проверка марок перед продажей на контрольно-кассовой технике) сам сертификат ЭЦП не требуется при каждом "пробитии честного знака" (то есть при каждой продаже). Для этого режима формируется специальный токен в системе "Честный ЗНАК". ЭЦП руководителя нужна для первоначальной настройки и генерации этого токена. После генерации токен может использоваться кассовым программным обеспечением без непосредственного участия ЭЦП.
  3. Доступ сотрудников: Если доступ в "Честный ЗНАК" нужен многим сотрудникам для выполнения различных операций (например, приемка товара, отгрузка), им следует использовать свои личные ЭЦП в паре с МЧД, как мы рассмотрели выше.
  4. Организация без установки на каждое рабочее место: Существуют способы организации работы с маркировкой без установки сертификата ЭЦП на каждое рабочее место, например, путем установки криптографического средства и сертификата ЭЦП на выделенном компьютере/сервере, а на рабочих местах используются сохраненные токены авторизации в ИС МП или другие механизмы взаимодействия с системой.

Понятие "Обезличенная ЭЦП"

"Обезличенная" электронная подпись (иногда называемая автоматической подписью) — это специфический тип сертификата. Выясним его особенности:

  1. Что это такое: Это сертификат, который содержит только информацию о юридическом лице или индивидуальном предпринимателе, без указания персональных данных владельца. Он выполняет функцию, схожую с печатью организации, но в электронном виде.
  2. Назначение: Обезличенная подпись предназначена для автоматизации процессов подписания в информационных системах. Она может использоваться операторами информационных систем (например, операторами ЭДО) для подписания технологических документов, автоматической проверки ЭП или для межведомственного электронного взаимодействия (СМЭВ). Также ее активно продвигает система "Честный ЗНАК" для определенных видов взаимодействия по API.
  3. Ограничения: Пользователи не могут подписывать документы обезличенной подписью в сервисах электронного документооборота от имени конкретного сотрудника. Её нельзя использовать для налоговой отчетности, участия в госзакупках или для документов, направляемых вне специализированных информационных систем. Таким образом, обезличенная ЭЦП не является заменой личной подписи сотрудника с МЧД для повседневного документооборота и решения проблемы работы на нескольких точках.

Как мы видим, обезличенная ЭЦП имеет очень узкую область применения и не решает задачу организации массовой работы сотрудников с документами.

Применение ЭЦП в Электронном Документообороте (ЭДО)

Для обмена юридически значимыми документами (например, УПД, договоры, акты) через ЭДО с контрагентами или государственными органами необходима квалифицированная электронная подпись (КЭП).

В этом случае, как и для "Честного ЗНАКа", для сотрудников, которые подписывают документы в рамках своих полномочий, рекомендуется использовать их личные ЭЦП в связке с МЧД. Это обеспечивает юридическую значимость документов, безопасность и прозрачность документооборота, а также позволяет избежать рисков, связанных с копированием ЭЦП руководителя.

Подведем итоги: оптимальное решение для многоточечной работы с ЭЦП

Мы рассмотрели основные подходы к организации работы с ЭЦП на нескольких точках без сервера. Выяснили, что самый надежный, законный и рекомендуемый путь — это использование личных квалифицированных электронных подписей сотрудников в сочетании с машиночитаемыми доверенностями (МЧД). Этот подход соответствует всем требованиям законодательства, обеспечивает высокий уровень безопасности и гибкость в управлении полномочиями.

Мы настоятельно призываем вас отказаться от любых попыток копирования ЭЦП руководителя. Это не только незаконно и технически невозможно для современных подписей ФНС, но и сопряжено с огромными рисками для вашей компании.

Для специфических задач, таких как работа с "Честным ЗНАКом" (в части "Разрешительного режима") или автоматизированных процессов в информационных системах, могут использоваться токены авторизации или обезличенные сертификаты, но их применение строго ограничено и не является заменой личной подписи сотрудника с МЧД для обычного документооборота.

Надеемся, что этот подробный разбор поможет вам организовать работу с ЭЦП эффективно, безопасно и в полном соответствии с законодательством!

← К списку