1. Saby
  2. Журнал Saby
  3.  Электронная подпись

Как защитить электронную подпись: рекомендации для бизнеса и пользователя

специалист по госзакупкам

Усиленная квалифицированная электронная подпись (КЭП) по закону полностью приравнивается к собственноручной подписи. Однако именно эта юридическая сила делает ее привлекательной целью для мошенников. Кража ключа ЭП может привести к подписанию договоров, финансовых документов или даже регистрации компаний от вашего имени.

Что в статье

Юридическая база и зоны ответственности

Надежность электронной подписи обеспечивается правовым полем, техническими стандартами и организационными мерами. Однако финальное звено в этой системе безопасности — владелец, чья ответственность прямо закреплена в законе.

Правовая основа

Федеральный закон № 63‑ФЗ не только уравнивает квалифицированную ЭП с собственноручной подписью (ст. 6), но и возлагает на владельца обязанность сохранять конфиденциальность ключа (ст. 10). Если ключ попадет к другому человеку, он сможет подписывать документы от вашего имени, и оспорить такие документы будет крайне сложно. Храните ключ КЭП так же бережно, как ключ от квартиры или машины.

Технические стандарты

ГОСТ Р 34.10‑2018 определяет алгоритмы российской криптографии. Квалифицированная электронная подпись защищена сложной математикой, которую практически невозможно взломать.

Требования к инфраструктуре

Аккредитованные удостоверяющие центры обязаны использовать сертифицированные средства криптографической защиты информации (СКЗИ), обеспечивать безопасность при выпуске ключей и соблюдать требования к хранению данных.

Даже при соблюдении всех стандартов, юридические и финансовые риски от утери ключа полностью ложатся на владельца.

Получите электронную подпись для любых задач в надежном удостоверяющем центре Тензор

Узнать больше

Какие риски существуют: чем грозит недостаточная защита ЭП

Недостаточная защита электронной подписи создает в первую очередь юридическую и финансовую уязвимость. Получив доступ к ключу ЭП, злоумышленник может:

  • Подписать договоры от вашего имени или от имени компании, которые могут быть оспорены только через суд с доказыванием факта кражи ключа.
  • Подать документы в госорганы, например, на регистрацию изменений в ЕГРЮЛ, на получение кредита.
  • Совершить действия на электронных торговых площадках, создав финансовые обязательства.

Разберем типичные ошибки на примерах.

Категория рискаСценарий потериПрямое последствие
Кража носителя (токена) или файла ключа

Сотрудник оставляет токен с ЭП подключенным к своему рабочему компьютеру на ночь.

Уборщица или коллега копирует файл закрытого ключа

Риски для компании: инсайдер подписывает дополнительное соглашение к действующему контракту о существенном снижении цены или односторонний акт об оказании несуществующих услуг на сумму 5 млн ₽. Оспаривание требует доказательства кражи ключа.

Риски для физлица: злоумышленник оформляет кредит онлайн в микрофинансовой организации или регистрирует ИП, чтобы обналичивать деньги, делая вас фиктивным предпринимателем

Компрометация через социальную инженериюМошенник, представляясь сотрудником «аккредитованного УЦ», сообщает об «истечении срока сертификата» и просит установить «обновление» (вредоносную программу) или сообщить одноразовый пароль (PIN) от токена для «продления».

Вредоносная программа майнит криптовалюту на компьютере или ищет файлы ключей.

Получив PIN, злоумышленник дистанционно подписывает заявление о переходе на другого оператора связи, получая доступ к вашим SMS, включая коды подтверждения для банков.

Под угрозой оказывается не только ЭП, но и вся цифровая идентичность

Ненадлежащее хранение и использованиеРуководитель передает свою усиленную ЭП подчиненному для ежедневного подписания счетов и отчетов, не оформляя МЧД. Ключ хранится в общем доступе. Сотрудник использует ЭП в публичной Wi-Fi-сети кафе

Налоговые риски: подпись используется для подачи заведомо ложной налоговой декларации, что ведет к штрафам и проверкам. Доказать, что это сделал не руководитель, крайне сложно.

Внутреннее мошенничество: Нелояльный сотрудник подписывает договор с аффилированным поставщиком с последующим «откатом»

Организационные меры: как выстроить систему управления электронными подписями в компании

Главная цель — выстроить не просто список правил, а создать единый и непрерывный процесс. В этом процессе каждый шаг в жизни ключа — от его создания до списания — четко прописан, выполняется по инструкции и фиксируется в документах.

Стратегический уровень: разработайте правила

Определите, кто и что имеет право подписывать. Четким внутренним приказом закрепите, каким сотрудникам и для каких конкретно документов (договоры, платежки, отчетность) выдается ЭП и МЧД. Это основа контроля.

Закрепите ответственность за подпись. Дополните приказ соглашением о материальной ответственности. Это не формальность, а механизм, который дает право требовать компенсацию при нарушении правил и делает сотрудника лично заинтересованным в безопасном хранении и использовании ключа.

Операционный уровень: контролируйте жизненный цикл ключа

Организуйте получение сертификата. Убедитесь, что сотрудники получают сертификаты только в аккредитованных Минцифры удостоверяющих центрах (УЦ). Закрепите это внутренним регламентом. Факт получения сертификата сотрудник должен подтвердить, например, записью в электронном журнале.

Обеспечьте безопасное хранение токена. Храните токен с ключом так же бережно, как ключ от служебного кабинета или печать: в сейфе, запираемом ящике или у ответственного лица. Не оставляйте его в компьютере без присмотра.

Немедленно отзывайте доступ при уходе сотрудника. Если сотрудник увольняется или меняет должность, первым делом отзовите его сертификат ЭП через УЦ. И только после этого примите от него физический токен. Это правило должно быть прописано в процедуре увольнения.

Организуйте собственный корпоративный удостоверяющий центр (КУЦ), если сотрудников или филиалов много. Так вы сможете самостоятельно оперативно выдавать и отзывать сертификаты электронной подписи и машиночитаемые доверенности.

👉 Узнайте больше про КУЦ

Человеческий уровень: прививайте культуру безопасности

Объясняйте правила просто. Проведите обязательный инструктаж. Объясните на реальных примерах, чем грозит передача токена коллеге «на пять минут» или клик по ссылке в письме якобы от «банка».

Создайте понятный алгоритм действий. Каждый сотрудник должен знать, что делать, если токен потерян или есть подозрение, что пароль стал известен другим: немедленно сообщить ответственному лицу для отзыва сертификата.

Технические меры: конкретные шаги для IT‑отдела и сотрудников

Техническая безопасность ЭП строится на простых, но строгих правилах. Вот что нужно сделать на практике.

Правильный носитель и его защита. Ключ ЭП должен храниться только на сертифицированном аппаратном токене (например, Рутокен).

Смена пароля — сразу. Первое действие при получении токена — обязательная замена стандартного PIN-кода на уникальный сложный пароль. Этот пароль нельзя никому сообщать, включая IT-специалистов.

Эти правила — технический минимум, который закрывает 90% рисков. Их реализация зависит не от бюджета, а от четкого распределения задач между руководством, IT-отделом и сотрудником.

Чем вам поможет УЦ «Тензор»

  • ✅ Выпустим сертификат ЭП для любых бизнес‑задач — руководителям и сотрудникам

  • ✅ Выдадим подпись удаленно — по биометрии

  • ✅ За один день развернем корпоративный УЦ — выпускайте сертификаты и МЧД сотрудникам самостоятельно

Чем вам поможет УЦ «Тензор»

Что делать при компрометации ключа ЭП

Шаг 1. Немедленно отзовите сертификат

Если вы или кто-то из сотрудников потеряли токен или подозреваете, что мошенники могли получить к нему доступ, то вы должны связаться с удостоверяющим центром. В срочном порядке позвоните или оформите онлайн-обращение с просьбой отозвать сертификат.

Шаг 2. Проинформируйте ответственных лиц

Оповестите руководителя, IT-специалистов. Они отвечают за информационную безопасность и предпримут необходимые меры и со своей стороны.

Шаг 3. Проведите расследование

Нужно выяснить обстоятельства случившегося, подписаны ли какие-то документы, к каким последствиям это приведет. Как правило, потеря ключа в общественном транспорте не так быстро приводит к юридическим проблемам, как целенаправленный взлом со стороны мошенников. Проверьте ЭДО и операции в личном кабинете на портале Госуслуг.

Шаг 4. Подготовьте отчет и проанализируйте процессы

Меры должны соответствовать причинам инцидента. При невнимательности конкретного сотрудника достаточно провести беседы и дополнительный инструктаж. Если вы столкнулись с действиями мошенников, потребуется усиление защиты. Например, пересмотр политик безопасности, проверка систем шифрования силами IT-специалистов.

Вопросы и ответы

Отвечаем на самые популярные вопросы специалистов, которые сталкиваются с электронной подписью впервые.

  • Как защитить электронную подпись от кражи?

    Используйте сертифицированный токен, например, типа Рутокен, никогда не храните ключ на обычной флешке или в открытом доступе. Поменяйте заводской PIN‑код на персональный не менее 8 символов и не передавайте токен ключ посторонним лицам.

    Что еще нельзя делать:

    • Хранить ключ ЭП на обычной флешке, жестком диске компьютера, в облачных хранилищах (Яндекс.Диск, Google Диск) или пересылать по почте.

    • Подписывать документы на личных ноутбуках, компьютерах в коворкингах или на любых устройствах без базовой антивирусной защиты.

  • Где безопасно хранить ключ ЭП?

    Самое безопасное — на сертифицированном токене с пин‑кодом. Никогда не храните ключ в незащищенных облачных сервисах.

  • Что делать, если потерял токен с ЭП?

    Немедленно свяжитесь с удостоверяющим центром и отзовите ЭП. А также проинформируйте руководителя и сотрудников, которые отвечают за информационную безопасность.

  • Какие носители для ЭП наиболее безопасны?

    Аппаратные токены с СКЗИ (например, Рутокен). Они защищены от копирования ключа, блокируются при многократном введении некорректного PIN‑кода. Обычные флешки не соответствуют требованиям безопасности.

  • Обязательно ли менять PIN у токена?

    Да, нельзя оставлять первоначальный PIN‑код. Используйте минимум 8 символов.

  • Как проверить, не был ли выпущен сертификат ЭП на мое имя без моего ведома?

    Информацию можно проверить в личном кабинете портала Госуслуг.

Вывод

Защита электронной подписи — это непрерывный процесс, в котором важна постоянная работа: надежный носитель, строгие пароли, четкие процедуры и регулярный аудит.

Рекомендуем:

  • утвердить внутренние правила и регламенты работы с ЭП;
  • использовать только сертифицированные токены;
  • обучить сотрудников;
  • контролировать процесс использования и хранения ключей.

Чтобы усилить защиту уже сегодня, проведите аудит всех электронных подписей и ключей, которые есть в вашей организации, пересмотрите процедуры подписания. Эти действия точно снизят основные риски и создадут фундамент для полноценной безопасности в будущем.

Поделиться

Видеоматериалы по теме

Смотрите также

Как подписать документы со смартфона: мобильная подпись и еще 4 способа

В чем особенность каждого способа, какие преимущества у мобильной электронной подписи и где ее можно получить

Удостоверяющий центр: что это такое

По каким критериям выбирать УЦ и каких ошибок избежать при получении подписи

МЧД в закупках: кому нужна и как оформить в 2025

Как применять на разных ЭТП.

Сервисы

Оборудование

Полезное

О компании

г. Москва
г. Москва, м. Проспект Мира, пр-кт Мира, 33, стр. 1, БЦ Олимпик плаза
+7 495 123-34-06
App StoreGoogle Play
ВКонтактеMaxTelegramZenОдноклассникиYoutube
© 2003-2026 Тензор, Saby
Используя официальный сайт saby.ru, вы даете согласие на работу с cookie и Яндекс.Метрикой для сбора технических данных. Подробнее