Контакты
Подписка 2024
Статьи по информационной безопасности

Электронная цифровая подпись: правила защиты

Станислав Жураковский, 23/11/21

С 1 июля 2021 г. для ИП и ООО можно оформить квалифицированную электронную подпись, чтобы пользоваться всеми порталами, включая Госуслуги, сайт налоговой службы и др. Обозреватель международного разработчика программ безопасности ESET Станислав Жураковский на личном опыте изучил процесс выдачи токена и подготовил регламент ИБ при работе с ЭЦП для предпринимателей.

Для того чтобы получить ЭЦП, вам понадобятся:

  • паспорт;
  • СНИЛС (оригинал или распечатка скан-копии);
  • номер ИНН;
  • защищенный носитель;
  • лицензия на программу CryptoPro.

Если с документами все понятно, то с защищенным носителем необходимо разобраться. Он выглядит как обычная флешка и нужен для того, чтобы никто не смог скопировать файл ЭЦП. Но из соображений безопасности система не может передать электронную подпись на вашу личную флешку или персональный ноутбук. Подходящие защищенные носители по цене от 1 до 2 тыс. руб. продаются в аккредитованных центрах, список которых есть на сайте налоговой службы. После покупки необходимо в обязательном порядке заменить стандартный пароль изделия на собственный – длинный и сложный.

При выборе криптографического токена следует быть особенно осмотрительным. Рядом с налоговыми инспекциями, как, например, в той, где я оформлял ЭЦП, работают многочисленные фирмы, оказывающие вспомогательные услуги: распечатку и копирование документов, консультирование и пр. Предлагаемые ими USB-ключи для электронной подписи могут оказаться небезопасными. Есть риск, что вместо гарантии сохранности они станут источником утечки данных ЭЦП к злоумышленникам.

Следующий требующий внимания пункт – лицензия на CryptoPro CSP. Это программное обеспечение, криптоконтейнер, который позволяет хранить файл ЭЦП, проверять ее подлинность, настраивать защищенный туннель до сервера и т.д. Без этой программы ничего работать не будет. Для оформления нужно зарегистрироваться на сайте cryptopro.ru и загрузить актуальную сертифицированную версию продукта для своей операционной системы. Пользователи macOS, обратите внимание, что если у вас 11-я версия операционной системы (Big Sur), то вам подходит только CryptoPro CSP версии 5! Стоимость колеблется от 1350 руб. за годовую лицензию на человека до 2700 руб. за бессрочную лицензию. Техническая поддержка платная: от 800 до 4000 руб. в год, в зависимости от сложности оборудования.

Неожиданный сюрприз при регистрации ЭЦП может преподнести несовместимость браузера. Например, на сайте налоговой службы невозможно работать с последней версии Safari. Я рекомендую использовать Mozilla Firefox и установить его специально и исключительно для работы с электронной подписью. Это снизит риск утечки данных через какое-либо несертифицированное дополнение для браузера, сканирующее ваш трафик.

На сегодняшний день оформить ЭЦП могут индивидуальные предприниматели, нотариусы и ООО (в этом случае выдается одна подпись на генерального директора). Однако с 1 января 2022 г. можно будет использовать и подписи физического лица для подписания документов от имени юридического лица. То есть сотрудники компании станут подписывать корпоративные документы собственной квалифицированной ЭЦП, она будет подтверждаться электронной (машиночитаемой) доверенностью. Такая практика покажется удобной большому количеству малых и средних предприятий, поэтому лучше подготовиться к внедрению ЭЦП заранее.

Регламенты безопасности

Правило 1. Никому не отдавайте свою ЭЦП

Вообще никому. Это не просто ключ, а доступ к вашему бизнесу. Токен должен быть у вас всегда при себе – вместе с телефоном, ключами, кошельком. Но что делать, если постоянно носить его с собой не хочется? Тогда поставьте дома или в офисе сервер для хранения данных (NAS) с источниками бесперебойного питания или отдельный ноутбук, на котором настроен защищенный удаленный доступ. Однако если отключится Интернет или зависнет компьютер, подписать документы не получится.

Правило 2. Регулярно меняйте пароли

Не реже чем раз в квартал меняйте коды доступа, желательно абсолютно на всех аккаунтах.

Правило 3. Не прописывайте ключ в реестр

В Windows и macOS есть возможность для сохранения ключей с токена прямо на компьютер. На первый взгляд, удобно: не придется носить с собой токен. Но так делать определенно не стоит, ведь вредоносных программ, которые ищут подобные ключи в реестре, очень много. Более безопасная практика – работать с токеном и ЭЦП только по необходимости и разово, а не круглосуточно.

Правило 4. Сделайте отдельные ЭЦП для бухгалтера и сотрудников в 2022 году

Сейчас некоторые предприниматели передают токен с квалифицированной подписью бухгалтеру или другим коллегам для удобства и быстроты работы, но делать так небезопасно. Бухгалтера могут взломать, сотрудник может случайно потерять токен, и главное – подобная практика запрещена законодательством. Поэтому лучше дождаться 2022 г., когда можно будет оформить квалифицированную электронную подпись на каждое физлицо в компании и даже сделать общую подпись организации. Это, кроме прочего, поможет выполнить первое правило безопасности.

Правило 5. Защищайте все компьютеры в организации

Допустим, у руководителя все устройства должным образом защищены, но если компьютеры других сотрудников не оснащены программами ИБ и их никто не обслуживает, то эта огромная дыра в безопасности принесет множество проблем. Достаточно любому из коллег зайти на вредоносный ресурс, чтобы вирусы, трояны, вымогатели, программы для кражи электронных ключей и прочие зловреды начали расползаться по внутренней сети компании.

Надежной защитой станут продукты ESET для бизнеса. Почему удобнее пользоваться именно бизнес-версией, а не приобретать антивирусы отдельно? Во-первых, это дешевле. А при переходе с других решений предоставляется скидка 40%. У пользователей таких продуктов, как ESET Small Office Pack или NOD32 Smart Security Business Edition, есть консоль централизованного управления: видны версии ПО на всех компьютерах, статус защиты, состояние всех типов устройств на Windows, macOS, Linux, Android или iOS. Централизованная защита не будет влиять на производительность компьютеров, поэтому минимальных системных требований достаточно для продуктивной работы без дополнительных затрат на антивирусы, файрволы и другие программы. Бизнес-версии ESET усилены алгоритмами машинного обучения и классификацией угроз: подозрительная активность между компьютерами в сети не останется незамеченной, а механизмы песочницы позволят проверить потенциальные угрозы в безопасном пространстве.

ESET Small Office Pack

Специальное антивирусное решение для безопасности малого бизнеса и стартапа. Включает продукты для расширенной защиты рабочих станций, мобильных устройств и файловых серверов.

  • Расширенная защита рабочих станций на Windows и macOS, мобильных устройств на Android и файловых серверов
  • Оптимальные для небольшой компании комплекты на 3, 5, 10, 15 или 20 рабочих станций по выгодной цене
  • Простая установка и использование без штатного системного администратора
  • Специальные условия расширения лицензии и перехода на старшее решение
  • Бесплатная техническая поддержка 24/7
Темы:ЭЦПЖурнал "Информационная безопасность" №4, 2021

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024
Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
23 мая. Инструменты миграции на защищенный Linux
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать
 
КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2023
 
 

ПОСЕТИТЬ МЕРОПРИЯТИЯ

Подписка

Мы в соцсетях

Copyright © 2024, ООО "ГРОТЕК"