Ключ ЭЦП безопаснее заказывать у своего спецоператора
Необходимо скопировать на другой носитель данные для ЭЦП
Конфиденциальность электронного документооборота не всегда зависит от спецоператора. Компаниям самим необходимо обеспечить {$var.external}защиту отчетности от несанкционированного доступа. Как это лучше всего сделать, советуют крупнейшие спецоператоры столицы и Подмосковья.
В какой-то мере защитить информационную безопасность можно еще до приобретения системы электронной отчетности. Выбирая программный продукт, важно знать о потенциальных угрозах, а они разнятся в зависимости от принципа построения той ли иной системы электронной отчетности. Таких принципов два, спецоператоры называют их «толстый клиент» и "тонкий клиент».
В первом случае программа электронной отчетности устанавливается на компьютер пользователя. Соответственно он составляет отчетность на своем компьютере, а в интернет выходит лишь для ее отправки в налоговую инспекцию (ПФР, Росстат и т. п.). Программные комплексы «Такском-Спринтер», {$var.external}«Баланс-2W», «Астрал Отчет» (разработчики соответственно OОО «Такском», {$var.external}ЗАО «ОВИОНТ ИНФОРМ» и ЗАО «Калуга Астрал») - это «толстые клиенты".
«Тонким клиентом» называют такую систему электронной отчетности, которая не требует установки какого-либо программного обеспечения, а вся информация хранится на сервере спецоператора связи. При составлении и отправке электронных отчетов пользователь все время находится в интернете. Система «Контур-Экстерн», разработанная ЗАО «ПФ "СКБ Контур"», - это «тонкий клиент».
Кража информации при использовании «толстого клиента» возможна или при прямом доступе к компьютеру бухгалтера, или с помощью вредоносных и шпионских программ. При «тонком клиенте» сеансы связи с интернетом более длительны, поэтому помимо прочего есть вероятность атак из сети. В каком случае проще обеспечить безопасность информации - решать финансовой службе совместно со службой безопасности и IТ-службой компании. Какой-то единой статистки краж информации из «толстых» и «тонких клиентов» на сегодняшний день нет.
Ключ электронной цифровой подписи - это подпись главбуха и печать компании в одном лице. Поэтому небрежность при изготовлении ключа ЭЦП может дорого обойтись компании.
Ключи изготавливают специализированные удостоверяющие центры. Существуют обычные и так называемые доверенные удостоверяющие центры. Статус доверенного получает центр, прошедший соответствующую аккредитацию какого-либо государственного органа ФНС, ПФР и т. п. У таких центров есть и материальные возможности, которые позволяют нести гражданскую ответственность в случае обнаружения недостоверности сведений в сертификатах ЭЦП (например, неверное наименование держателя ЭЦП, неправильная дата выдачи ключа ЭЦП и т. п.).
Доверенных центров не так много. Например, при ФНС аккредитовано всего {$var.external}49 компаний. Их список можно найти на сайте ФНС России по адресу www.nalog.ru в разделе «Налоговая отчетность». Разумеется, аккредитацию прошли крупнейшие спецоператоры связи, которые располагают собственными удостоверяющими центрами. Поэтому самым безопасным способом будет заказать ключ ЭЦП в удостоверяющем центре своего оператора связи.
Спецоператоры дают несколько советов по сохранению конфиденциальности информации. Прежде всего необходимо ограничить доступ к компьютеру, с которого отправляется отчетность (или другие электронные документы, заверенные ЭЦП).
Идеальный вариант, если его будет использовать только главбух компании.
Еще один важный момент. Вся информация, необходимая для проставления ЭЦП и шифровки отчетности, хранится на специальном носителе. Чаще всего это USB-устройство (флэшка). Эту информацию для сохранности можно переписать на другой носитель, но только не на компьютер. Копия на компьютере, конечно, удобна, потому что в таком случае не требуется каждый раз вставлять и вынимать флэшку. но это никак не соответствует правилам безопасности, ведь доступ к электронным отчетам в таком случае может получить любой человек, севший за компьютер главбуха или другого специалиста, ответственного за отправку отчетности.
Сданную отчетность, а также подтверждения спецоператора связи об отправке отчетности и протоколы входного контроля территориальных налоговых органов необходимо сохранять в электронном виде. Лучшее решение - резервное сохранение отправленных отчетов и полученных сообщений с электронными подписями и протоколами. Распечатанные на бумаге подтверждения и протоколы не имеют никакой юридической силы, ведь они не заверены электронной цифровой подписью. Если эта информация потеряется, то в случае спора с налоговиками или спецоператорами доказать, что отчеты отправлены, будет затруднительно.