Запомнить
Регистрация Забыли пароль?
 

Блог экспертов

SIEM ОТ MCAFEE УСПЕШНО ПРОШЛА СЕРТИФИКАЦИЮ ФСТЭК РОССИИ

01/04/2015

McAfee Security Information and Event Management (версия 9.3) успешно прошла сертификационные испытания, результатом которых стал сертификат соответствия №3353 (от 18 февраля 2015), выданный ФСТЭК России.

Реклама

Партнеры

Форум

Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти  
Страницы: 1 2 След.
Ответить
RSS
Кто имеет право на ЭЦП в СЭД УФК
В системе электронного документооборота Федерального казначейства со стороны организации финансовые электронные документы подписываются первой и второй подписью уполномоченных лиц. Правом первой ЭЦП наделен руководитель, правом второй ЭЦП - главный бухгалтер.
Существует возможность подписывать электронные документы одной ЭЦП. Разъясните, каких должностных лиц можно уполномочить правом единственной подписи финансовых электронных документов от имени организации в системе электронного документооборота Федерального казначейства.
1) Не хочется трогать руководителя – чтобы он бегал к компьютеру с СЭД и вставлял дискетку каждый раз при отправке платежки.
2) Понятно, что уборщице полномочия не дашь.
3) Кому можно дать право подписи? (главбуху, заместителю главбуха, кассиру, расчетчице, любому сотруднику бухгалтерии, заместителю руководителя)
4) Очень желательны ссылки на нормативно-правовые акты.
Правом ЭП обладают лица, имеющие аналогичные права на бумаге. Если на ПП стоят подписи 2-х лиц, то и на электронном ПП - так же. А вот с пакетами ПП - на бумаге такого понятия не существует, значит по соглашению с УФК можно подписывать пакеты единственной подписью (причем никто не мешает выгружать как пакет и одну платежку). А вот чья подпись - у меня было руководителя или зама (у обоих первая подпись).
Хотелось бы аргументированного ответа на вопрос кого можно уполномочить?
Руководитель может приказом или довереностью уполномочить того то и того то, потому то.
Или руководитель не может никого уполномочить и обязан сам подписывать потому то и потому-то.
Чтобы можно было на основании этого ответа прочитать необходимые НПА. :)
есть закон об электронной цифровой подписи, который ссылается на нормы гражданского права.

И как сказал Сергей С. ЭЦП ничем не отличается от подписи на бумаге, действуют те-же самые нормы.
Почитайте ст. 6 закона Об электронной подписи. Насчет пакета я накосячил. Пакет так же двумя подписями.
Вы же не зря сдаете в казначейство карточки с образцами подписей. Юридическая значимость документа, подписанного ЭП, только в случае его соответствия с бумажным.
А вот с правом 1 и 2 подписи - почитайте п.7 Инструкции ЦБР № 28-И. Правом 1 и 2 подписи руководитель может наделить любых работников (нельзя только обе подписи у одного).
Цитата
Август пишет:
Руководитель может приказом или довереностью уполномочить того то и того то, потому то.
Да. Ст.185 ГК РФ. В приказе, который вы предоставляете в УФК, есть пункт о назначении операторов СЭД.
Цитата
Август пишет:
В системе электронного документооборота Федерального казначейства со стороны организации финансовые электронные документы подписываются первой и второй подписью уполномоченных лиц. Правом первой ЭЦП наделен руководитель, правом второй ЭЦП - главный бухгалтер.

Существует возможность подписывать электронные документы одной ЭЦП. Разъясните, каких должностных лиц можно уполномочить правом единственной подписи финансовых электронных документов от имени организации в системе электронного документооборота Федерального казначейства.

1) Не хочется трогать руководителя – чтобы он бегал к компьютеру с СЭД и вставлял дискетку каждый раз при отправке платежки.

2) Понятно, что уборщице полномочия не дашь.

3) Кому можно дать право подписи? (главбуху, заместителю главбуха, кассиру, расчетчице, любому сотруднику бухгалтерии, заместителю руководителя)

4) Очень желательны ссылки на нормативно-правовые акты.
Я считаю, что ЭЦП делается на руководителя или на главбуха, именно они обладают правом рукописной подписи и несут ответственность. Если вы не хотите "напрягать" руководителя, то внутренним документом можете назначит ответственного за доставку токена от руководителя до АРМ с СЭДом. Только предупредите руководителя, что за документы(действия), подписанные ЭЦП будет отвечать ОН.
Спасибо за ваши ответы.

Ст. 185 ГК РФ п.5. Доверенность от имени юридического лица выдается за подписью его руководителя или иного лица, уполномоченного на это его учредительными документами, с приложением печати этой организации.
Доверенность от имени юридического лица, основанного на государственной или муниципальной собственности, на получение или выдачу денег и других имущественных ценностей должна быть подписана также главным (старшим) бухгалтером этой организации.

Подытоживая - доверенность подписывают руководитель и главбух на любого сотрудника бухгалтерии, который включается в приказ о операторах СЭД, оформляем на него карточку с ролью, если потребуются карточку с образцом подписи. Получаем ЭЦП на данного сотрудника. В этом случае, ответственность за правильность документооборота и подписанные ЭД будет нести сотрудник - владелец ЭЦП (он же оператор СЭД).

Если я где-то ошибаюсь, прошу поправить.
Не обязательно доверенность - любой нормативно-распорядительный акт (приказ например)
Цитата
Гость пишет:

Я считаю, что ЭЦП делается на руководителя или на главбуха, именно они обладают правом рукописной подписи и несут ответственность. Если вы не хотите "напрягать" руководителя, то внутренним документом можете назначит ответственного за доставку токена от руководителя до АРМ с СЭДом. Только предупредите руководителя, что за документы(действия), подписанные ЭЦП будет отвечать ОН.

ЭЦП создаётся на конкретное лицо, так же как и подпись ручкой на бумаге принадлежит конкретному лицу.
Приказ о назначении директором, как и доверенность наделяет владельца определёнными правами.

Передать токен с ЭЦП кому-то третьему - всё равно что разрешить поделывать подпись директора.

если сотрудник обладает правом первой или второй подписи на каком либо основании, и на этом основании имеет право подписывать эти электронные документы, то он создаёт свою собственную ЭЦП, которая по всем правилам регистрируется в системе этого электронного документооборота.

ЭЦП, чисто теоретически, даже из токена можно достать, особенно, зная PIN.
Передача третьему лицу - это компрометацией ключа.
Поясню, свою позицию, а также почему задан вопрос.
Для подписи ЭД используются две ЭЦП (первая и вторая),это неудобно. Как пояснили в УФК можно изменить роли и подписывать единственной подписью.
Реально обе ЭЦП (первой и второй подписи) использует сотрудник бухгалтерии не владелец ЭЦП.
Ответственность, как правильно заметили выше, он не несет, вся ответственность на руководителе и главбухе. Так как на той стороне не знают, что подписывают не они.

Чтобы исправить эту ситуацию - варианты:
1) изъять ЭЦП и отдать владельцам - пусть ходят и подписывают (к сожалению нереализуем)
2) уполномочить оператора СЭД правом единственной подписи, ответственость ложится на плечи оператора (наиболее подходящий)
3) доверить право использования чужих ЭЦП (первой и второй) оператору СЭД (скользкий)

В 3 варианте есть скользкий момент, многие посчитают этот вариант компрометацией.

Цитата
Гость пишет:

Передать токен с ЭЦП кому-то третьему - всё равно что разрешить поделывать подпись директора.
Передача третьему лицу - это компрометацией ключа.

Но в новом законе о ЭЦП есть вот такой пункт:

Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:
1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия;

Согласно данного пункта ФЗ о ЭЦП, если владелец согласен на использование его ЭЦП, то конфиденциальность обеспечивается.

С уважением, Август 11-го :)
В идеале ( по закону) - ЭЦП оформлятся на таво, кто есть в карточке подписей - это директор .. но на практике подписывает тот, кто занимается платежками .. это конечно происходит происходит с согласия руководителя ..
Цитата
vavit пишет:
В идеале ( по закону) - ЭЦП оформлятся на таво, кто есть в карточке подписей - это директор .. но на практике подписывает тот, кто занимается платежками .. это конечно происходит происходит с согласия руководителя ..

На практике руководитель даже не вникает в эти тонкости! А при каком нибудь ЧП сделает круглые глаза.
Если вы ему объясните все тонкости и ответственность, то вполне возможно он отберет у вас свою ЭЦП и заставит все привести в соответствие.
4) владелец сертификата ключа проверки электронной подписи - лицо, которому в установленном настоящим Федеральным законом порядке выдан сертификат ключа проверки электронной подписи;
Может ли быть владельцем юрлицо? Получается, что да. Вот тогда все вопросы отпадают, хотя при платежах действует куча приказов-инструкций, которые под новый закон еще не переделали.
Сергей С., какие именно вопросы отпадают?
На мой взгяд вопросов становится больше... владелец ЭЦП вся организация, кто подписывает и хранит такую ЭЦП, как учесть ее в журнале учета СКЗИ, и т.д.
Это определяется нормативкой организации.
Если уж с ЭЦП конкретных владельцев возникают вопросы, то уж с ЭЦП юрлица.
На данный момент вопросов явно больше чем ответов.
Ситуация:
Есть ЭЦП юрлица, если произойдет рейдерский захват организации, хотя бы на один день, и
к ЭЦП юрлица получит доступ захватчик... Все ваши денежки со счетов на законных основаниях перетекут на другие счета, в счет выполненых работ по договорам =) Даже если вы выдворите захватчиков, денег по подписанным вашей ЭЦП юрлица бумагам никто не вернет!
Как то так.
Храните ЭЦП в сейфе. Посмотрите ФЗ о Национальной платежной системе. Банк обязан вас информировать о платежах и у вас есть сутки на откат неправомерных.
Цитата
Август пишет:
3) доверить право использования чужих ЭЦП (первой и второй) оператору СЭД (скользкий)
Нет, нормальный вариант.
Оператор ЭЦП не имеет своего сертификата ключа подписи (СКП) и использует СКП руководителя и бухгалтера на основании доверенности и приказа, в соответствии с приказом он же несет ответственность за сохранность и конфиденциальность закрытых ключей. доверенность и копии приказов предоставляются в ту организацию, с которой производится документооборот.
С форума криптопро
Цитата
Ситуация: организация N выступает как пользователь СКЗИ по нескольким системам электронного документооборота. Сертификаты ключа по всем системам зарегестрированы на одного владельца, а пользуются ключами те, кто непосредственно работает с конкретной системой. Что, в соответствии со статьями №3 (владелец сертификата ключа подписи...), №12 (владелец обязан:...хранить в тайне закрытый ключ...) ФЗ от 10.01.02 №1 "О электронной цифровой подписи" неправомерно и ведет к возложению всей ответственности при компрометации на владельца.
Верна ли логическая цепочка? И как правильно должно быть?
Вот что писал по этому поводу Юрий Маслов (КриптоПро)
Цитата
Согласно пункту 1 статьи 5 Федерального закона от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее – Федеральный закон об ЭЦП) создание ключей электронных цифровых подписей осуществляется в корпоративной информационной системе в порядке, установленном в этой системе.
Федеральный закон об ЭЦП (статьи 3, 4, пункт 1 статьи 6, пункт 2 статьи 9 и др.) определяет принадлежность электронной цифровой подписи конкретному физическому лицу, являющегося владельцем соответствующего закрытого ключа подписи и сертификата открытого ключа подписи.
Федеральный закон об ЭЦП не запрещает юридическому лицу получить закрытый ключ подписи и сертификат открытого ключа подписи для своего уполномоченного представителя (физическое лицо), для использования электронной цифровой подписи при совершении гражданско-правовых действий от имени юридического лица. В соответствии с нормами Гражданского кодекса Российской Федерации право собственности на закрытый ключ подписи и сертификат открытого ключа подписи закрепляется за юридическим лицом.
Юридическое лицо (собственник) вправе по своему усмотрению совершать в отношении принадлежащего ему имущества (закрытый ключ подписи и сертификат открытого ключа подписи) любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе передавать своим сотрудникам права владения, пользования и распоряжения имуществом.
Таким образом, в случае если собственником закрытого ключа подписи и сертификата открытого ключа подписи является юридическое лицо и соответствии с нормами статьи 17 (части 2 и 3) Федерального закона об ЭЦП, использование ключа электронной цифровой подписи несколькими физическими лицами является правомерным.
Вместе с тем рекомендуется разработать и закрепить в локальных нормативных актах порядок обеспечения сохранности в тайне закрытого ключа подписи при использовании ключа электронной цифровой подписи несколькими физическими лицами.
При этом рекомендуется передачу ключей во владение или доверительное управление осуществлять по распорядительным локальным нормативным актам (приказам).
Правда сейчас надо руководствоваться 63-ФЗ, но и 1-ФЗ действует до 1 июля 2012 г.
Цитата
Сергей С. пишет:
Храните ЭЦП в сейфе. Посмотрите ФЗ о Национальной платежной системе. Банк обязан вас информировать о платежах и у вас есть сутки на откат неправомерных.
В том то и дело что правомерных - при смене владельца организации ЭЦП юрлица менять не надо!Все проплаты будут законно оформлены - попробуйте доказать что это подстава!
Вот если бы ЭЦП было на руководителя.
Страницы: 1 2 След.
Ответить
Читают тему (гостей: 1, пользователей: 0, из них скрытых: 0)
Форма ответов
Текст сообщения*
Защита от автоматических сообщений. Введите символы, изображенные на этой картинке в поле ввода &quote;Код подтверждения&quote;.
Прикрепить картинку