ЭЦП
Электронная цифровая подпись (далее ЭЦП) является юридически значимым инструментом и выпускается и используются в работе только определенной частью сотрудниками компании, которые имеют должностные полномочия и доверенности на подписание определенных видов документов от имени компании. При работе с ЭЦП в компании обязательно нужно отслеживать и учитывать в первую очередь сроки их действия и как используются и хранятся ЭЦП. Хорошей практикой является, когда в компании разработан и утвержден отдельно документ по обращению сотрудников с ЭЦП в своей работе, в котором прописывается, кто и где может использовать ЭЦП, как ее хранить, перевыпускать и уничтожать при завершении ее срока действия или увольнении сотрудника из компании. Для решения этих задач ниже приведены инструменты учета выпущенных ЭЦП на сотрудников и их сроков действия, а также шаблон проекта положения об использовании ЭЦП.
Учет ЭЦП сотрудников
Реестр учета ЭЦП сотрудников (далее реестр) нужен для того, чтобы зафиксировать в компании список всех выпущенных на сотрудников ЭЦП и контролировать сроки их действия, чтобы своевременно начать и произвести перевыпуск новых ЭЦП, т.к. ЭЦП действует всего 1 год от даты ее выпуска, а подписывать просроченными не получиться, и это может привести к срыву бизнес-процессов по внутреннему и внешнему электронному документообороту компании.
В реестре указывается сотрудник, на которого выпущена ЭЦП указывается по ФИО, но обязательно с должностью, т.к. должность зашивается в самой ЭЦП при ее выпуске и если сотрудник в период действия ЭЦП сменил свою должность, то обязательно нужно перевыпускать новую ЭЦП, иначе документы, подписанные текущей ЭЦП с даты смены должности сотрудника могут быть признаны не валидными и исключены из учета, что в свою очередь несет уже налоговые риски для компании.
В реестре указывается статус сотрудника, т.к. если он уволен из компании, то эту ЭЦП нельзя больше использовать от имени компании, и есть как раз столбцы, в которых можно увидеть, как и где был установлен сертификат ЭЦП, чтобы его удалить из реестра операционный системы, если он в таком формате использовался в работе.
В реестре указывается удостоверяющий центр (далее УЦ), в котором была выпущена ЭЦП и это может быть полезно при перевыпуске новой ЭЦП, т.к. в том же УЦ перевыпуск происходит достаточно проще и быстрее, но не нужно забывать и обязательно нужно проверять действующий статус УЦ, т.к. регулярно происходит отзыв или прекращение лицензий у УЦ на выпуск ЭЦП. Для этого в файле учета есть ссылка на сайт со списком всех УЦ и их статусами, чтобы можно было проверить и выбрать УЦ для выпуска ЭЦП.
Реестр является инструментом учета для ИТ-службы, а в рамках положения по обращению с ЭЦП, если оно есть, лучше прописать и закрепить в компании еще отдельный журнал выпущенных ЭЦП с подписью сотрудников, на которых выпущены ЭЦП и желательно с подписью руководителя службы безопасности и возможно руководителя ИТ-службы.
В реестре дополнительно указываются сервисы (сайты и программы), на которых сотрудник использует свою ЭЦП. А также реестр разделен на две части, действующие и истекшие ЭЦП, т.к. это может быть полезным для каких-либо выяснений или разбирательств в прошлых периодах работы компании.
Положение об использовании ЭЦП
В целях обеспечения безопасности использования электронных цифровых подписей и защиты их от несанкционированного доступа в компании д.б. разработан документ, который регламентирует порядок первичного выпуска и уничтожения ЭЦП по окончанию срока их действия или увольнения сотрудника, на которого она была выпущена. Описывает порядок хранения, приема и выдачи носителей и сертификатов ЭЦП. Обязанности и ответственность сотрудников, работающих с ЭЦП. Отдельно д.б. быть закреплены журналы выпущенных и уничтоженных ЭЦП, в котором сотрудники и ответственные лица ставят свои подписи, а также журнал приема и выдачи носителей ЭЦП, если они сдаются на хранение назначенному должностному лицу в компании.
Чтобы получить пакет всех файлов с данного сайта, необходимо нажать эту кнопку