Не секрет, что ключи частенько выпускаются на ответственных лиц (директор, фин. директор) а пользуются им обычные сотрудники, отправляющие всякие отчеты через СБИС, работающие на госзакупках и т.п.

Как у вас организован регламент работы с такими ключами, т.е. как это оформляется документально?

90% контор никак не организовано до первой проблемы

Как правило один чел пользуется ключом. Чего там регламентировать

(0) в том то и вопрос, что документальное оформление этого факта - есть документальное оформление компроментации ключа.

Сотрудников надо наделять полномочиями приказом или доверенностью и выпускать ключи на их имя

(3)Достаточной мерой будет делать акты свободной формы о использовании ключей + должностные обязанности.Тогда не получится бардака

(4) ключ нельзя передавать третьему лицу, и дело тут не в бардаке

(5) А если передать, то будет что?

Можно сделать акт передачи что-то типа:

Я Иванов Иван Иванович получил ключ ЭЦП № 123455667878 для работы от имени ООО "Рога и копыта".

Причем не указывать на кого именно выпущен ключ и акты хранить только в одном экземпляре только для внутреннего использования?

(2) не правда

(4) А приказ то все равно нужен, а то пользователи будут отказываться от подписания акта

(7) почему не следовать букве закона?

(6) Если передать - то это означает что ключ перестает быть валидным, так как он скомпрометирован.
Т.е. грубо говоря после передачи ключа третьему лицу деюра ключ  становится недействительным

(3) Для работы на каких-нибудь площадках и в личном кабинете налоговой нужен ключ лица имеющего право действовать от имени конторы без доверенности - а это директор

(7) В чем тайный смысл этого акта?

(11) Т.е. кто-то увидев эту бумажку может сказать, что все сделанное ключем не имеет силы - ОК.

Но по факту ключ уже скомпрометирован и любое расследование, если оно будет инициировано выявит факт компрометации ключа.

Бумажка же нужна только для того, чтобы прикрыть одно место ИТ отделу

(14) хочешь прикрыть это место сразу приговором?

(13) В том, что когда пойдет разборка, то ИТ отдел скажет что установил ключ такому-то человеку и он им и пользовался.

При этом в акте должна быть и подпись руководителя, что он разрешает пользоваться ключом

(14) какое место? Что и от кого вы собрались преркрывать этой бумажкой? Кто у вас и что будет спрашивать?

(15) А какая уголовная ответственность грозит за это?

(16) разборка чего??

(17) Руководство будет спрашивать

(19) Разборка того, что кто-то отправил какой-то отчет в какую-нибудь инстанцию подписав его. При этом отчет неверный и за это на контору будет, например, приличный штраф.

Руководству же надо будет найти крайнего

(18) Как минимум уголовное дело на того кто пользовался ЭЦП за незаконное использование

(20) если у вас там такая крупная фирма, то это дело службы безопасности или ответственного за ИТ безопасность. Так вот пусть у них голова и болит

(21) А ИТ тут причем* Отдайте ключ законному владельцу и пусть что хочет то и делает с ним. Хочет в штанах носит, хочет Марьи Ивановне подарит

(22) Ну это меня волнует мало, ибо я не пользуюсь. Меня волнует вопрос ответственности установщика ключа

(23) вот у меня и болит, ибо это наша ответственность

(24) А при том, что ключ сам по себе не работает - его нужно устанавливать - ну там крипто-про и т.п. - это делает ИТ отдел

ст 10 федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» участники электронного взаимодействия при использовании усиленных электронных подписей обязаны обеспечивать конфиденциальность ключей подписи, в частности, не допускать использования принадлежащих им ключей без их согласия, а также не использовать ключ при наличии оснований полагать, что его конфиденциальность нарушена.  Подробнее: https://iecp.ru/news/item/397963

(27) А причем тут ключ? Ну поставте крипто про и всё остальное

(24) Т.е. вариант такой - выпускаем несколько ключей на руководителя (столько, сколько нужно) и выдаем их директору.

Настраиваем рабочие места у пользователей.

А остальное не наша проблема (даже если ключи физически выдадим мы)

хм, интересно

(30) Это как вы собрались ключи выпускать?

(0) Внутренний приказ с описанием всех ЭЦП кто имеет доступ и так же кто имеет право ими пользоваться. Также описание хранение , использование и бла бла бла.

(31) Я пока теоретизирую. А что несколько ключей на одного человека нельзя выпустить?

(32) Тут уже обсуждается, что такой приказ сразу компрометирует ключ

(34) Да ладно. Тогда при выпуске ключа обычно форма заполняется и  там отмечается на кого выпущено и кто будет  работать , тоже считается компрометацией по вашему ?

(35) При выпуске ключа не отмечается кто будет пользоваться

(33) Самостоятельно вы сможете выпустить простую ЭЦП, но не сможете ей подписывать отчеты, госсзакупки
Для подписи нужна усиленная подпись, а её уже самостоятельно вы не сможете выпустить, такое под силу только специальным удостоверяющим центрам

В любом случае ЭЦП это аналог собственоручной подписи. Представь себе чистый лист, на котором стоит подпись директора, и в который ты можешь вписать что угодно.

А теперь вопрос, какую бумажку ты хочешь, чтобы в случае разбора, освободить отдел ИТ от ответственности за то что бухгалтер вписала что-то из-за чего на контору штраф наложил

Хотя

Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей

При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

Не говорит о невозможности передачи другим лицам, а говорит о том, что такая передача не может осуществляться без согласия владельца ключа

(37) блин, понятно, что выпускать будет удост. центр

(37) директор идет в отказ - я не выдавал ЭЦП этому бухгалтеру и ... неожиданно выясняется, что ЭЦП передал ИТ отдел без согласия директора

(40) Поэтому отдаем ключи директору и он уже отвечает за то кому передал.
Проблема решена

Отдел ИТ подготавливает рабочее место (ставит крипто-про и прочее) и не несет отвественности за использования ключа директора главным бухгалтером

(41) вот я и говорю, что вариант из (30)

Я одного не могу понять, почему вы не хотите делегировать полномочия по передачу ключей непосредственно директору (владельцу ЭЦП). Почему вы хотите на себя взять ответственность по хранению и использованию ключа?

(40) А откуда ИТ-отдел ключ то взял?

(45) он его получает в удостоверяющем центре по доверенности от директора

(44) Так мы и не хотим. Просто нужно предложить директору нормально работающий вариант без извратов. Вариант в (30) кажется нормальным

(46) Ну а что мешает отдать его директору? Он отказывается его брать чтоли?

(47) не для параноиков

А еще ключи можно хзранить в реестре и они будут доступны всем. Или скопировать на неограниченное количество флешек и тогда можно использовать одну ЭЦП на разных компах одновременно

(46) Получил - отдай владельцу. Владеть чужим без разрешения плохо. Тем более распоряжаться и отдавать третьим лицам

(47) Вы на пустом месте выдумали себе проблему, и героически ее решаете...

(48) Да ничего не мешает

Еще раз повторяю:

нужно, чтобы несколько человек пользовались ключом.
для этого нужен наименее гемморный вариант со всех сторон

(51) Не мы одни, в любой большой конторе как-то эту проблему решают

(53) У них нет проблем с отделом ИТ и с дурным директором который возложит ответственность на админа, за то что бухгалтер подписал отчетность подписью директора

(54) да никто не возложил ничего :-)

(55) тогда о чем ветка?

(54) Я же спрашиваю как организовано: ты мне скажи как сделать

(56) О том, что нужно правильно оформить работу с ключами, чтобы и работа работалась и проблем потом не было ни у кого

(58) как правильно оформить работу с чистым листом на котором стоит подпись директора?

По закону - никак, ибо если директор раздает чистые подписанные листы, то он ССЗБ.

По понятием - делайте как вам удобно

Что то так все усложнили до не хочу.

(60) Ест простые варианты?

(58) ключ получает бухгалтер. IT вообще не причем.

(61) Да я просто не пойму вы  чего боитесь ответственности ? или возложение ответственности на других ?

Четкого регламента в законе нет на предоставление прав на  использование ЭЦП. Хотя передавать физически запрещен.

(64) запрещено*

(65) Можешь строку из закона процитировать, где указано, что запрещено?

(62) ты правда думаешь, что бухгалтер бежит к директору и берет у него физически ключ? Ключ либо серверный, либо в реестре, либо на флэшку копируется.

(66) А можно строку где разрешено?

P.S. в законе об ЭЦП вообще не предусмотрен порядок передачи кому-либо ключа (сертификата) ЭЦП. Собственноручная подпись физического лица, как и ее аналог, не подлежит передаче иным физическим (юридическим) лицам.

Более того у нас в законах не предусмотрена возможность подписания документа физическим лицом не своей подписью, а подписью другого физического лица. Возможно лишь подписание документа одним лицом за другое лицо, но только своей подписью и только при условии наличия соответствующей доверенности.

(68) Все, что не запрещено - разрешено. У нас пока еще презумпция невиновности.

Единственный "запрет" я озвучил в (38)

+
В статье 10 написано "не допускать использование принадлежащих им ключей электронных подписей без их согласия" т.е. ключи могут использоваться не владельцами, иначе зачем этот пункт

(69) ЭЦП обладает "силой" обычной подписи, но ЭЦП и живая подпись не одно и тоже

(66) Из п. 1 ст. 2 закона № 63-ФЗ

(71) Если дали согласие в "письменной форме" на предоставление прав использование ЭЦП ,это не является нарушением.

(71) а ты не думал что ключи могут быть не только на физическое лицо, но и на организацию?
Так что пункт по согласию это для ключей на организацию. Там можно передавать ибо ключ "не привязан" к конкретному физ.лицу

(74) Смотря какая ЭЦП.
закон № 63-ФЗ принципиально не запрещает оформлять ЭЦП непосредственно на юрлицо как самостоятельный субъект правоотношений. В этом смысле электронно-цифровая подпись для юридического лица может быть аналогом печати организации. Но на практике соответствующий механизм, когда ЭЦП оформляется только на юрлицо, пока что не выработан в России. Фактическим пользователем электронной подписи так или иначе становится человек, и в случае с юрлицом — имеющий определенные полномочия, которые связаны с последующим использованием оформленной ЭЦП. Чаще всего таким человеком является руководитель организации.

(75) согласен

(72) Нюанс в том, что есть госконторы, где просто не предусмотрено понятие "доверенности". То есть, ЭП должна быть руководителя (производится проверка в ЕГРЮЛ), и никого больше. По закону руководитель может выписать доверенность и прикладывать её заверенную копию к документам, подписываемым третьим лицом. Но вот в электронном виде понятие "доверенности" отсутствует.. и если отчеты безальтернативно должны быть в электронном виде - то руководителю приходится доверять свою подпись, что незаконно и нелогично - но деваться некуда, ибо руководитель иногда не может чисто физически подписать все документы в конторе..

(78) И как это документально оформляется?

(79) А никак. Так же, как чистые листы с подписью руководителя.

(80) Я думал у них в госконторах без бумажки не чихнуть

(81) Госконтора в смысле получателя отчетности, а не отчитывающейся организации.

(80) Что мешает подписать Соглашение об использовании ЭЦП между Юр лицом (владельцем ЭЦП) и сотрудником ?

(83) Мешает то, что в онлайн-сервисе происходит тупо проверка на соответствие руководителя из ЕГРЮЛа и владельца подписи.

(83) Владелц ЭЦП, внезапно, физ.лицо - директор фирмы

(84) Я так понимаю это в №"некоторых госконторах", а если брать отправку отчетность

+(84) Вот недавно совсем сталкивался с подобным. В личном кабинете организации на сайте ФСС требуется авторизация через КЭП руководителя. Можно сделать доступ к ЛК и прочих лиц, через профиль руководителя - но они не могут подписывать документы, могут только создавать.

Судя по всему проблема есть и решения нормального пока не найдено - печально

(88)Если следовать букве этого закона , решения и не будет.

(86) Например кассу зарегеить в ЛК может только директор, и никаких тебе доверенностей на руководителя филиала

(90) Это все понятно, но я же в (86) уточнил что отчетность.

(91) если вы никому ничего не скажите, то делайте как хотите.

Лично у меня ЭЦП по отчетности на директора получает бухалтер самостоятельно через интернет. При этом ЭЦП хранится на сервере и доступно только бухгатеру.
Т.е. физически скопировать ЭЦП он не может, использовать ЭЦП в другом месте, кроме как отправки отчетности он тоже не может. Всех устраивает и все довольны.

В общем и целом, в отрасли бардак. А всё из-за того, что изначально была сделана ставка на децентрализованную сеть удостоверяющих центров, вместо единого государственного регистра. Если бы функции УЦ выполнял ЕГРЮЛ - было бы крайне просто обеспечить "электронные доверенности", а сейчас это нереально в принципе. А то насоздавали коммерческих прокладок - УЦ, ОФД, ОЭД и т.п., без чего легко можно было бы обойтись, если бы эти функции были за государством.

(93) Да ладно, это обычный аутсорс :) С Платоном также ведь...

(94) Так как в случае аутсорса обеспечить централизованность списков отзыва сертификатов, например? Или те же доверенности?

(95) А это уже проблемы индейцев, и шерифа-государство они не волнуют...

(93) согласен, государство многое отдает каким-то коммерсантам и УЦ и ОФД и даже ОСАГО ... ,зато если что, виноваты вот эти вот прослойки, а правительство - молодцы

(95) Список отзыва каждый УЦ должен иметь свой.
Доверенность без права отзыва досрочно, это просто XML-файлик с фиксированным набором полей, подписанный тем кто выдаёт доверенность, и с меткой времени.