Технологии использования ЭЦП в Фонде социального страхования

Количество законодательно-нормативных актов, в которых федеральные министерства и ведомства регламентируют использование электронных документов, постоянно возрастает, и мне, к сожалению, не всегда удается вовремя их отследить. Так, лишь недавно я обнаружила приказ Фонда социального страхования «О внедрении защищенного обмена документами в электронном виде с применением электронной цифровой подписи для целей обязательного социального страхования» от 12 февраля 2010 г. № 19.

Это документ заслуживает внимания хотя бы потому, что за год в него уже дважды вносились изменения (приказы ФСС РФ от 06.04.2010 № 57 и от 24.09.2010 № 195).

Данным приказом была утверждена «Технология приема расчетов страхователей по начисленным и уплаченным страховым взносам в системе Фонда социального страхования Российской Федерации в электронном виде с применением электронной цифровой подписи».

Как всегда, порадовал раздел «Термины». Фонд социального страхования дал свою трактовку понятий «система электронного документооборота», «электронный документ», «электронный документооборот»:

1. Термины и сокращения

Система электронного документооборота Фонда - совокупность программных и технических средств, а также организационных мер, обеспечивающих функционирование процесса документооборота в виде электронных копий документов, между исполнительными органами Фонда и страхователями с использование средств вычислительной техники.

Электронный документ - электронный документ, заверенный электронной цифровой подписью уполномоченного лица.

Электронный документооборот (далее - ЭДО) - порядок обмена электронными документами в соответствии с Технологией.

Технология определяет (п.2.2):

• процедуру взаимодействия и последовательность действий сторон ЭДО в целях обмена юридически значимыми электронными документами с применением ЭЦП;
  
  
• набор требований к формату, форматно-логическому контролю и шифрованию расчета в системе ЭДО Фонда;
  
  
• порядок разбора конфликтных ситуаций, возникающих при осуществлении ЭДО.

Предусмотрено, что стороны будут вести обмен двумя видами электронных документов (п.2.3.):

• расчет;
  
  
• квитанция о получении расчета или протокол проверки.

Обмен документами в электронном виде с применением ЭЦП между страхователями и Фондом осуществляется в зашифрованном виде. Документы шифруются отправителем для получателя (п.2.4.).

В документе определено как подтверждается факт приема расчета и определяется дата его приема.

3.3. Факт приема расчета в электронном виде подтверждается соответствующей квитанцией о приеме расчета. Квитанция содержит файл расчета страхователя в электронном виде, сведения о дате и времени доставки файла расчета в Фонд и ЭЦП уполномоченного лица Фонда.

3.4. Датой и временем приема расчета считаются соответственно дата и время (по серверу приема расчетов) создания квитанции о приеме расчета, которая формируется в случае успешной проверки ЭЦП и форматно-логического контроля.

Есть и ещё один интересный пункт:

3.6. При повторной отправке расчета одного и того же страхователя за один и тот же отчетный период предыдущий расчет страхователя будет считаться недействительным.

То есть, если страхователь обнаружил в своем расчете ошибки и неточности, то ему не нужно что-либо разъяснять Фонду. Достаточно просто направить новый расчет.

Не забыты вопросы организации хранения электронных документов и сроки их хранения:

6.3. Файлы расчетов в электронном виде, квитанции о приеме расчетов и протоколы проверок сохраняются в хранилище Фонда. ….

8.3. Участники информационного обмена должны обеспечить сохранность сертификатов ключей подписи в течение всего периода хранения электронных документов в архивном хранилище не менее чем за пять лет, предшествующих текущему году.

9. Требования к хранению электронных документов принятых расчетов в электронном виде
9.1. Отправленные и принятые электронные документы подлежат хранению в хранилище электронных документов совместно с соответствующими сертификатами ключей подписи.
9.2. Срок хранения принятого расчета не менее пяти лет с момента принятия Фондом.
9.3. Срок хранения Страхователем квитанции о получении расчета не менее пяти лет по завершении процедуры представления расчетов в Фонд.

Как видим, даже для документов одной транзакции сроки различаются, т.к. момент принятия Фондом расчета и момент завершения процедуры представления расчетов это, с моей точки зрения, несколько разные вещи. А вот сертификаты ключей придется хранить еще дольше (5 лет плюс текущий).

В приложении №3 «Требования по совместимости к процедурам формирования ЭЦП, встраивания ЭЦП в документ и шифрования» к «Технологии» содержатся требования к сертификату ключа подписи:

Приложение №3 к Технологии приема расчетов страхователей по начисленным и уплаченным страховым взносам в системе Фонда социального страхования Российской Федерации в электронном виде с применением электронной цифровой подписи

Сертификат ключа подписи уполномоченного лица страхователя должен соответствовать формату X.509 версии 3, иметь дополнительные поля со сведениями об уникальном реестровом номере страхователя, присвоенном исполнительным органом Фонда страхователю при его регистрации, который совпадает с регистрационным номером страхователя для юридических лиц и индивидуальных предпринимателей, а для страхователей - обособленных подразделений юридических лиц совпадает с дополнительным кодом обособленного подразделения … и о коде исполнительного органа Фонда, в котором страхователь состоит на учете….

Целый раздел посвящен разбору конфликтных ситуаций, возникающих при электронном документообороте. Согласно документу, страхователь, не получивший от Фонда подтверждение о приеме расчета, должен самостоятельно позаботиться о своей отчетности и выяснить причины неполучения документов. Если же требуется разбираться, кто виноват в том, что отчетность не поступила, то создается экспертная комиссия.

Раздел 11 описывает порядок взаимодействия удостоверяющего центра Фонда с доверенными удостоверяющими центрами и порядок их кросс-сертификации. Уведомление о подключении УЦ к сети ДУЦ Фонда происходит через WEB-сайт Фонда ( www.fss.ru ).

Отдельным приложением утвержден «Регламент обеспечения безопасности информации при представлении страхователями расчетов в Фонд социального страхования Российской Федерации в электронном виде с применением электронной цифровой подписи по телекоммуникационным каналам связи». В документе предусмотрено, что генерация ключей шифрования и ЭЦП возможна не только самим страхователем, но и удостоверяющим центром.

3.4. Генерация (выработка) ключей шифрования и ЭЦП должна производиться страхователями самостоятельно на своих рабочих местах или УЦ, имеющими лицензии ФСБ на деятельность по техническому обслуживанию шифровальных (криптографических) средств, распространению шифровальных (криптографических) средств, предоставлению услуг в области шифрования информации.

Думаю, что создание ключевых пар удостоверяющими центрами – не лучшее решение, и использовать его рискованно. Интересно будет посмотреть, как в спорных ситуациях удостоверяющий центр будет доказывать в суде, что созданные им для страхователя ключи не были скомпрометированы...

Источник: КонсультантПлюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=105179;div=LAW;mb=LAW;opt=1;ts=49223AFEC3F50FFDF7111A0737B15E57