Об ЭП и УЦ
16.3K subscribers
1.38K photos
26 videos
228 files
2K links
«Об ЭП и УЦ» - @ep_uc самый популярный телеграм-канал о сфере электронной подписи

РКН https://clck.ru/3EdKYs

🗣Чат канала https://yangx.top/joinchat/-y4FR5AKn7hiMzFi

🔄Обратная связь,инфопартнерство - @Ep_Uc_bot

Реклама в канале: https://telega.in/c/ep_uc
加入频道
Несмотря на то, что знаменитой "розовой" Инструкции 152-ФАПСИ более 20 лет и морально она уже устарела - это действующий НПА нашей сферы. Каждый год появляется информация о необходимости её актуализации/замены (даже есть проекты), но юридические нюансы не позволяют запустить процесс.
⬇️⬇️⬇️

📢📢📢
Компании КриптоПро и Spacebit 6 сентября 2022 года в 11:00 (мск) проведут вебинар "Особенности реализации требований приказа ФАПСИ №152 по учёту СКЗИ", на котором будут рассмотрены темы:
- Разбор основных требований приказа ФАПСИ №152 по учету СКЗИ;
- Демонстрация возможностей системы X-Control по реализации требований приказа ФАПСИ №152;
- Обзор возможностей СКЗИ КриптоПро CSP 5.0;
- Текущий статус по сертификации различных версий КриптоПро CSP и КриптоПро УЦ.
‼️ Законодательством Российской Федерации не установлены критерии обязательного отнесения ИС к ГИС и необходимость реализации полномочий государственных органов исключительно с использованием ГИС. Это влечет несоблюдение требований, обязательных для ГИС, операторами информационных систем, цели создания которых соответствуют законодательно установленным целям создания ГИС.

Вся совокупность полученных в рамках мероприятия сведений о составах и структурах данных ГИС является не только разрозненной, но и зачастую совершенно не связанной друг с другом. Это приводит к выводу о невозможности на текущий момент времени сопоставить и свести воедино описание составов и структур государственных данных, определить, где и какие данные находятся (какая ГИС является их источником), каким образом данные могут дополнять и (или) влиять друг на друга. Как следствие, эти данные не могут быть использованы в принятии управленческих решений, в том числе на уровне Правительства Российской Федерации в рамках его компетенций и целей.

➡️ Из отчета Счётной палаты о результатах экспертно-аналитического мероприятия «Оценка текущего состояния федеральных государственных информационных систем с точки зрения перспектив цифровизации государственного управления»

⁉️ Очень жаль, что в этом большом отчёте контролирующего органа не нашлось места тематике по реализации функционала электронной подписи в ИС ФОИВ. Много интересного можно написать, от используемых видов и форматов ЭП до реализации способов архивного хранения.
Визуализация_письмо_Минцифры_ПП_МЧД.pdf
1.4 MB
Минцифры России разработан проект постановления Правительства РФ «О внесении изменений в некоторые акты Правительства Российской Федерации в части хранения и предоставления машиночитаемых доверенностей в электронной форме», которым предусмотрено, что вместо хранения и предоставления машиночитаемых доверенностей и документов о полномочиях из информационной системы ГУЦ указанные документы хранятся и предоставляются из ЕСИА. И после этого Минцифры ещё утверждает, что вся нормативная база по МЧД принята.
КРИПТО-ПРО получены новые сертификаты соответствия ФСБ России на СКЗИ КриптоПро CSP 5.0 (сборка 5.0.11455 Fury):
1-Base: СФ/114-4304 от 13.08.2022 до 01.05.2024
2-Base: СФ/124-4305 от 13.08.2022 до 01.05.2024
3-Base: СФ/124-4306 от 13.08.2022 до 01.05.2024

Напомним, что другая сертифицированная сборка КриптоПро CSP 5.0 R2 (5.0.12000 Kraken) имеет следующие сертификаты соответствия:
1-Base: СФ/114-4064 от 20.05.2021 до 01.05.2024
2-Base: СФ/124-4065 от 20.05.2021 до 01.05.2024
3-Base: СФ/124-4066 от 20.05.2021 до 01.05.2024
Об ЭП и УЦ
‼️ Законодательством Российской Федерации не установлены критерии обязательного отнесения ИС к ГИС и необходимость реализации полномочий государственных органов исключительно с использованием ГИС. Это влечет несоблюдение требований, обязательных для ГИС, операторами…
После отчёта Счётной палаты Минцифры России уже опубликован проект федерального закона «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации», направленный на:
– конкретизацию правового режима государственных информационных систем с учетом вызовов и задач цифровой трансформации системы государственного и муниципального управления;
– развитие механизмов контроля требований к государственным информационным системам.
Telegram-каналы транслирующие новости органов государственной власти РФ

@kremlininfo Президент РФ
@governmentru Правительство РФ
@dumainfo Государственная Дума
@sovfedinfo Совет Федерации

🔹Министерства
@minzdravru Минздрав РФ
@rosmintrudru Минтруд РФ
@milrf Минобороны России
@minprosvetrf Минпросвещения РФ
@minpromtorgrf Минпромторг РФ
@MinEconomyrf Минэкономразвития РФ
@mincifry Минцифры РФ
@mintransrussia Минтранс РФ
@minprirody Минприроды РФ
@ruminfin Минфин РФ
@minkultrf Минкульт РФ
@minselhozrf Минсельхоз РФ
@rumvd МВД РФ
@minjustrf Минюст РФ
@minenergorf Минэнерго РФ
@minobrnaukirf Минобрнауки РФ
@minsportrf Минспорт РФ
@mchsru МЧС России‎
@minvrru Минвостокразвития

🔹Федеральные службы и агентства
@rospotrebnadzorru Роспотребнадзор
@favtrf Росавиация
@fas_time ФАС России
@rostrudgovru Роструд
@obrnadzorru Рособрнадзор
@rostourism Ростуризм
@roskomnadzorro Роскомнадзор
@rukazna Федеральное казначейство
@fnsru ФНС России
@customsrf ФТС России
@fedsfmru Росфинмониторинг
@roszdravnadzorru Росздравнадзор
@fmbaros ФМБА России
@rosstatinfo РосСтат
@rosreestrinfo Росреестр
@fsagovru Росаккредитация
@rosmolodezh Росмолодежь
@rosavtodorru Росавтодор
@gibddnews ГИБДД
@rosgvardrf Росгвардия
@fstecru ФСТЭК России
@rosalcohol Росалкогольрегулирование
@fsinsu ФСИН России
@fsspinfo ФССП России
@rostransnadzor Ространснадзор
@roszeldor Росжелдор
@morflotru Росморречфлот
@rpngovru Росприроднадзор
@rosleshozgovru Рослесхоз
@rosnedra Роснедра
@fishgovru Росрыболовство
@vodagovru Росводресурсы
@fsvps Россельхознадзор
@meteorf Росгидромет
@archivesru Росархив
@rosim_ru Росимущество

🔹Прочее
@PensionFondRF Пенсионный фонд РФ
@cbrrf Центральный банк РФ
@vsrf_ru Верховный суд РФ
@ksrf_ru Конституционный Суд РФ
@rusledcom Следственный комитет РФ
@genprocru Генпрокуратура РФ
@auditgovru Счетная палата РФ

ℹ️ @GovInfo Государство в Telegram
Об ЭП и УЦ
Наш канал поздравляет компании Актив и Анкад с получением сертификата соответствия ФСБ России на USB-токены и смарт-карты Рутокен ЭЦП 3.0!
Нашим каналом успешно протестирована работа смарт-карты Рутокен ЭЦП 3.0 NFC с порталом Госуслуг
Несмотря на окно, что нужный носитель не доступен для данной операции (может быть объяснено тем, что плагин Госуслуг давно не обновлялся) и отсутствием Рутокен ЭЦП 3.0 в перечне поддерживаемых токенов, удалось успешно аутентифицироваться в ЕСИА по своему ключу ЭП
1 сентября вступают в силу:
- приказ ФСБ России от 13.04.2022 № 179, вносящий изменения в Требования к средствам удостоверяющего центра, утвержденные приказом ФСБ России от 27 декабря 2011 г. № 796;
- приказ Минцифры России от 31.01.2022 № 71 о внесении изменений в пункт 1.4 перечня угроз безопасности, актуальных при идентификации заявителя - физического лица;
- пункт Правил функционирования единой цифровой платформы в сфере занятости и трудовых отношений "Работа в России", согласно которому работодатели, сотрудники и кандидаты на трудоустройство смогут обмениваться юридически значимыми документами через портал Госуслуг.
Forwarded from Всё про ЭДО
#росэу #мчд #вебинар #аис #фнс #чубаров #всёпроэдо

Как наладить работу с машиночитаемыми доверенностями: советы ФНС России

Публикуем вебинар по машиночитаемой доверенности, который в «Академии ЭДО» провел начальник отдела методологии применения электронной подписи и хранения электронных документов хозяйствующими субъектами Управления электронного документооборота ФНС России Роман Чубаров.

🔹В первой части вебинара эксперт ФНС России рассказывает про применение МЧД и нормативно-правовую базу
🔹С 15 минуты — использование МЧД на практике
🔹С 27 минуты — ответы на вопросы слушателей

21 октября Роман Чубаров также примет участие в образовательном курсе АИС по МЧД.

Следующий вебинар «Академии ЭДО» будет посвящено кадровому ЭДО. Он пройдет уже 2 сентября.
Наблюдается ошибка в работе портала проектов НПА, не открывается ни один документ.
В Югре грант губернатора до 500 тыс. и 1,5 млн рублей могут получить IT-проекты физлиц и юрлиц, в том числе за "выпуск и обслуживание электронной цифровой подписи"
Экспертная оценка нашего канала показывает, что на данный момент 34,7 % ЮЛ и ИП получили квалифицированные сертификаты в удостоверяющем центре ФНС России
Об ЭП и УЦ
10 крупнейших УЦ по количеству созданных сертификатов в 2022 году
10 крупнейших удостоверяющих центров по количеству созданных сертификатов в 2022 году
Об ЭП и УЦ
Какие-то странные предложения обсуждают сейчас на Межведомственной рабочей группе по ЭДО, наш канал даже не знает как комментировать, обсуждается продление сроков действия сертификатов с 15 месяцев до 5 лет, хотят внести в закон. "Ковидные" сертификаты ничему…
Из протокола заседания межведомственной рабочей группы, что сейчас УЦ мешает выдавать 15-летние сертификаты, не очень понятно. Или авторы данного протокола путают сроки действия ключей ЭП и сертификатов?
Информация для аккредитованных УЦ

Минцифры России актуализирована анкета УЦ, которая требуется при получении подчинённого сертификата от ГУЦ.
Прилагаемый к анкете файл запроса должен быть подписан отсоединенной ЭП, сформированной с использованием действующего квалифицированного сертификата юридического лица с указанием физического лица. В анкете написано, что владельцем сертификата юридического лица должен быть владелец ключа удостоверяющего центра, то есть обладатель ключа центра сертификации удостоверяющего центра.
booklet-cap-for-office.pdf
2.3 MB
Памятка по настройке рабочего места для использования КЭП и подключению к личному кабинету юридического лица
Небольшая вводная про ключи и сертификаты перед следующим постом

Ключ ЭП (закрытый ключ) - уникальная последовательность символов, с помощью которой формируется ЭП. Ключ ЭП - конфиденциальная информация, для безопасного хранения используются ключевые носители (токены).

С ключом ЭП однозначно связан ключ проверки ЭП, который, как следует из названия, предназначен для проверки подлинности ЭП.

Сертификат - документ, выданный УЦ, подтверждающий принадлежность ключа проверки ЭП (помним, что ключ проверки связан с ключом ЭП) владельцу сертификата.

Дата начала действия ключа ЭП всегда с даты его генерации. Срок действия ключа ЭП регламентируется эксплуатационной документацией на средства СКЗИ, которые его формируют. Если используется программный криптопровайдер, то максимальный срок действия ключа ЭП - 1 г. и 3 м., если аппаратный функционального ключевого носителя - 3 года.

Сертификат создаётся на определенный срок, дата его окончания можем быть равна дате окончания срока действия ключа ЭП. Если сертификат создан, когда с момента генерации ключа ЭП прошло несколько дней, то к концу срока действия сертификата произойдёт ситуация, что ключ ЭП уже истёк, а сертификат ещё действует, подписать ЭП таким ключём документ уже нельзя (к слову есть способы "реанимировать" такие ключи ЭП через конвертацию, но там свои особенности).

Срок действия сертификата задается настройками УЦ, которому без разницы когда был создан ключ ЭП и запрос на сертификат, сегодня или неделю назад. Срок действия сертификата начинается от момента его создания, максимальный срок действия сертификата может на 15 лет превышать срок действия ключа ЭП. Для удобства УЦ выдают сертификаты на 1 г. 3 м. поскольку это равно максимальному сроку действия ключа ЭП при использовании программного криптопровайдера (самого распространенного). Если ключ ЭП записывается на ФКН, то срок сертификата может быть 3 года. К слову, сертификаты на 1 год + "бонус 3 месяца бесплатно" это не более, чем коммерческий ход.
Об ЭП и УЦ
Из протокола заседания межведомственной рабочей группы, что сейчас УЦ мешает выдавать 15-летние сертификаты, не очень понятно. Или авторы данного протокола путают сроки действия ключей ЭП и сертификатов?
Данная вводная часть требовалась для обсуждения 5 пункта протокола МРГ, который звучит как: "Минэкономразвития России (М.Г.Решетникову), Минцифры России (М.И.Шадаеву), ФСБ России (А.В.Бортникову), ФНС России (Д.В.Егорову) совместно с Банком России (Э.С.Набиуллиной) обеспечить внесение в Правительство Российской Федерации проекта поправок Правительства Российской Федерации к законопроекту № 1173189-7 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации", при необходимости дополнительно проработав вопрос увеличения срока действия квалифицированного сертификата ключа проверки усиленной электронной подписи.
Срок - 10 октября 2022 г.

Что же имел в виду Минэк (по информации с совещания данное предложение именно этого ведомства)?

Если читать данный пункт как он написан, Минэк не устраивает короткий срок действия сертификатов, сейчас по факту это 15 месяцев и Минэк хотел бы увеличить этот срок минимум до 5 лет. Вопрос - для чего? Один из вариантов это возможность проверки ЭП в течение более длительного времени без использования механизмом меток доверенного времени. Сейчас УЦ самостоятельно устанавливают сроки действия сертификатов (п. 2 ч. 1 ст. 13) полагаю, что изменения могут затронуть данный пункт, который звучит как "УЦ устанавливает сроки действия сертификатов ключей проверки электронных подписей". Уже сейчас УЦ ничего не мешает выдавать сертификаты на 5, 10, 15 лет. Но это породит только путаницу, как было с пользователями ГИИС ДМДК, которые не понимали, "почему через год перестал работать 12-летний сертификат". Для УЦ в 63-ФЗ могут установить требование, что сроки действия сертификатов должны быть не менее 5 лет.

Но есть ещё одна легенда, что если Минэк перепутал ключ ЭП и сертификат? Чиновников Минэка (который кстати никогда не был аккредитованным УЦ) не устраивает, что владельцы сертификатов вынуждены менять их каждые 12-15 месяцев и они бы хотели, чтобы такие смены были раз в 5 лет? В таком случае мы подходим к необходимости увеличения сроков действия ключей ЭП. Сейчас 63-ФЗ никак не регулирует сроки действия ключей ЭП, это сфера технической и эксплуатационной документации на СКЗИ. Поэтому, если всё таки имелись в виде ключи ЭП одних поправок в закон будет мало, т.к. потребуется доработка/сертификация СКЗИ и ещё вопрос реально ли вообще увеличить срок использования ключа ЭП для программного криптопровайдера более 15 месяцев, т.к. данный максимальный срок далеко не случаен.

Почему именно такой срок максимальный для ключа ЭП? Срок, в течение которого можно быть уверенным, что нарушитель не сможет подобрать ключ ЭП по находящимся в открытом доступе данным: открытому ключу, сообщению и ЭП сообщения составляет 15 лет, это срок действия открытого ключа, но только при условии, что ключ ЭП использовался для подписания не дольше 15 месяцев, конечно же без нарушения требований к условиям эксплуатации.