Как предотвратить взлом ЭЦП

Как предотвратить взлом ЭЦП

10.03.2009 распечатать

Перед отправкой в инспекцию отчетности в электронном виде ее необходимо заверить ЭЦП. Но как быть, если есть все основания полагать, что столь ценный ключ, защищающий «виртуальные» декларации, кто-то позаимствовал? Представители ФНС разработали алгоритм действий, которому нужно следовать при возникновении подобных ситуаций.

Основные положения

Как известно, налоговая декларация (расчет) представляется в «родную» инспекцию на бумажном носителе или в электронном виде (п. 3 ст. 80 НК). При этом для фирм, чья среднесписочная численность превышает 100 человек, подача «виртуальной отчетности» является обязательной. На этом акцентирует внимание Минфин в письме от 13 февраля 2008 года № 03-02-08/5.

Отметим, что в электронном виде можно сдавать не только декларации, но и бухгалтерскую отчетность. При этом документы могут передаваться на магнитном носителе (дискете) или по телекоммуникационным каналам связи (ТКС). Об этом говорится в приказе МНС от 22 декабря 2003 года № БГ-3-13/705@.

Порядок представления документов посредством ТКС описан в приказе МНС от 2 апреля 2002 года № БГ-3-32/169. Необходимо помнить о том, что подача декларации подобным образом разрешается только при обязательном использовании сертифицированных ФАПСИ средств электронной цифровой подписи (далее — ЭЦП), позволяющих идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации, содержащейся в «электронной» декларации.

Однако в данном приказе уделено внимание далеко не всем нюансам виртуального обмена данными. В частности, в нем отсутствуют упоминания о сбоях и ошибках при передаче данных, а также о путях решения возникших проблем. Желая максимально облегчить жизнь налогоплательщиков, ФНС приказом от 17 декабря 2008 года № ММ-3-6/665@ утвердила Порядок ведения единого пространства доверия сертификатам ключей ЭЦП (далее — Порядок).

Согласно пункту 2 Порядка основными участниками «дистанционного взаимодействия» являются:

  • налоговые органы;
  • хозяйствующие субъекты, осуществляющие юридически значимый электронный документооборот с инспекциями;
  • удостоверяющий центр ФНС, ее доверенные удостоверяющие центры (далее — ДУЦ) и организатор сети данных центров;
  • специализированные операторы связи.

Одной из проблемных ситуаций является компрометация ключа ЭЦП. Иными словами, речь идет о ситуациях, когда имеются основания полагать, что ключом могут несанкционированно воспользоваться. Наиболее яркий пример таких событий — это увольнение сотрудника, имевшего доступ к ключевой информации. Более того, возникновение любых подозрений на утечку информации или ее искажение в системе конфиденциальной связи квалифицируется аналогичным образом.

К нештатным ситуациям такого рода вдобавок относится утрата ключевых носителей либо ключей от сейфов в момент нахождения в них данных носителей. При этом последующее обнаружение самих носителей либо ключей от сейфов не играет никакой роли. Напомним, что чаще всего ключи с ЭЦП хранятся на переносных носителях информации («флэшка», дискета и т. д.). Следовательно, и потерять их гораздо проще, чем кажется на первый взгляд. Нетрудно догадаться, что утрата столь ценного элемента грозит фирме серьезными проблемами, как то: происки «доброжелателей» и неприятности с налоговой (если ЧП, к примеру, произошло в день сдачи отчетности).

К счастью для хозяйствующих субъектов, в пункте 9.4.2 Порядка подробно описан алгоритм действий при «форс-мажоре». Итак, в случае компрометации ключа ЭЦП фирма обязана приостановить взаимодействие с ИФНС и немедленно уведомить оператора Информационного ресурса Организатора сети ДУЦ (далее — ИРУЦ) о данном факте. Это можно сделать следующим образом: позвонив по телефону либо передав сообщение по факсу (электронной почте). При этом нужно сообщить всю требуемую информацию в соответствии с регламентом ДУЦ.

После этого оператор ИРУЦ организует отзыв сертификата ключа подписи (далее — СКП) — бланка на бумажном носителе и электронного документа с ЭЦП уполномоченного лица удостоверяющего центра. В свою очередь налогоплательщик должен оформить соответствующее заявление (на отзыв СКП) в бумажном виде и передать его в течение одного рабочего дня оператору ИРУЦ.

Впоследствии оператор публикует список отозванных сертификатов, в котором содержится «проблемный» СКП, и хозяйствующий субъект принимает решение о выпуске нового документа (СКП) взамен скомпрометированного. Таким образом, выполняя все описанные процедуры, компания гарантированно обезопасит себя от любых негативных последствий компрометации ключей ЭЦП и сможет продолжить взаимодействие с ИФНС.

Подводные камни

Помимо универсального совета при компрометации ключей ЭЦП в Порядке также уделено внимание предупреждению и разрешению конфликтных ситуаций, касающихся авторства и целостности юридически значимых электронных документов, циркулирующих при информационном взаимодействии. Условно их можно разделить на несколько групп.

В первую очередь к ним относятся ситуации, связанные с содержанием электронных документов (далее — ЭД): это может быть оспаривание содержания, идентичности экземпляров и/или подлинника и копии ЭД на бумажном носителе либо их целостности. Кроме того, потенциальный конфликт может возникнуть в случае сомнений в авторстве ЭД (подтверждение подлинности ЭЦП; полномочия лица, заверившего документ и т. п.).

Наконец, никто не застрахован от сбоев в работе программно-технических средств — это тоже является конфликтной ситуацией. Примеры проблем такого рода: оспаривание как самого факта отправления и/или получения ЭД, так и времени совершения данных действий; недоверие к используемым структурам и форматам документов.

Для разрешения конфликтных ситуаций инспекцией, в пределах компетенции которой возникла «проблема», создается комиссия (по факту или на постоянной основе). Для большей объективности в нее включаются:

  • представители УЦ ФНС (только в случае, если конфликтная ситуация связана с ЭЦП/СКП должностного лица налоговиков);
  • представители заинтересованных участников;
  • представители Организатора сети ДУЦ;
  • представители ДУЦ, выдавшего СКП, если конфликтная ситуация связана с ЭЦП/СКП.

Кроме того, дополнительно могут привлекаться и авторитетные независимые специалисты в области криптографической защиты информации. Результатом работы комиссии является акт, который заверяется всеми ее участниками (п. 8 Порядка).

А. Березин,
эксперт «Федерального агентства финансовой информации»

Выбор читателей

Составьте правильно и проверьте свой РСВ за 9 месяцев вместе с бератором.
Регистрируйтесь бесплатно.