Forwarded from Всё про ЭДО
#росэу #мчд #вебинар #аис #фнс #чубаров #всёпроэдо
Как наладить работу с машиночитаемыми доверенностями: советы ФНС России
Публикуем вебинар по машиночитаемой доверенности, который в «Академии ЭДО» провел начальник отдела методологии применения электронной подписи и хранения электронных документов хозяйствующими субъектами Управления электронного документооборота ФНС России Роман Чубаров.
🔹В первой части вебинара эксперт ФНС России рассказывает про применение МЧД и нормативно-правовую базу
🔹С 15 минуты — использование МЧД на практике
🔹С 27 минуты — ответы на вопросы слушателей
21 октября Роман Чубаров также примет участие в образовательном курсе АИС по МЧД.
Следующий вебинар «Академии ЭДО» будет посвящено кадровому ЭДО. Он пройдет уже 2 сентября.
Как наладить работу с машиночитаемыми доверенностями: советы ФНС России
Публикуем вебинар по машиночитаемой доверенности, который в «Академии ЭДО» провел начальник отдела методологии применения электронной подписи и хранения электронных документов хозяйствующими субъектами Управления электронного документооборота ФНС России Роман Чубаров.
🔹В первой части вебинара эксперт ФНС России рассказывает про применение МЧД и нормативно-правовую базу
🔹С 15 минуты — использование МЧД на практике
🔹С 27 минуты — ответы на вопросы слушателей
21 октября Роман Чубаров также примет участие в образовательном курсе АИС по МЧД.
Следующий вебинар «Академии ЭДО» будет посвящено кадровому ЭДО. Он пройдет уже 2 сентября.
YouTube
Машиночитаемая доверенность. Вебинар с участием ФНС России
Представитель ФНС России Роман Чубаров рассказал слушателям "Академии ЭДО" о применении машиночитаемой доверенности (МЧД) и ответил на их вопросы.
21 октября Роман Чубаров также примет участие в образовательном курсе АИС по МЧД: https://www.infosystems.…
21 октября Роман Чубаров также примет участие в образовательном курсе АИС по МЧД: https://www.infosystems.…
Наблюдается ошибка в работе портала проектов НПА, не открывается ни один документ.
В Югре грант губернатора до 500 тыс. и 1,5 млн рублей могут получить IT-проекты физлиц и юрлиц, в том числе за "выпуск и обслуживание электронной цифровой подписи"
Экспертная оценка нашего канала показывает, что на данный момент 34,7 % ЮЛ и ИП получили квалифицированные сертификаты в удостоверяющем центре ФНС России
Об ЭП и УЦ
10 крупнейших УЦ по количеству созданных сертификатов в 2022 году
10 крупнейших удостоверяющих центров по количеству созданных сертификатов в 2022 году
Об ЭП и УЦ
Июль - период отпусков, с начала года самое наименьшее количество выданных сертификатов в данном месяце
Отпуска начинают заканчиваться, в августе был рост выдачи сертификатов
Об ЭП и УЦ
Какие-то странные предложения обсуждают сейчас на Межведомственной рабочей группе по ЭДО, наш канал даже не знает как комментировать, обсуждается продление сроков действия сертификатов с 15 месяцев до 5 лет, хотят внести в закон. "Ковидные" сертификаты ничему…
Из протокола заседания межведомственной рабочей группы, что сейчас УЦ мешает выдавать 15-летние сертификаты, не очень понятно. Или авторы данного протокола путают сроки действия ключей ЭП и сертификатов?
Информация для аккредитованных УЦ
Минцифры России актуализирована анкета УЦ, которая требуется при получении подчинённого сертификата от ГУЦ.
Прилагаемый к анкете файл запроса должен быть подписан отсоединенной ЭП, сформированной с использованием действующего квалифицированного сертификата юридического лица с указанием физического лица. В анкете написано, что владельцем сертификата юридического лица должен быть владелец ключа удостоверяющего центра, то есть обладатель ключа центра сертификации удостоверяющего центра.
Минцифры России актуализирована анкета УЦ, которая требуется при получении подчинённого сертификата от ГУЦ.
Прилагаемый к анкете файл запроса должен быть подписан отсоединенной ЭП, сформированной с использованием действующего квалифицированного сертификата юридического лица с указанием физического лица. В анкете написано, что владельцем сертификата юридического лица должен быть владелец ключа удостоверяющего центра, то есть обладатель ключа центра сертификации удостоверяющего центра.
booklet-cap-for-office.pdf
2.3 MB
Памятка по настройке рабочего места для использования КЭП и подключению к личному кабинету юридического лица
Небольшая вводная про ключи и сертификаты перед следующим постом
Ключ ЭП (закрытый ключ) - уникальная последовательность символов, с помощью которой формируется ЭП. Ключ ЭП - конфиденциальная информация, для безопасного хранения используются ключевые носители (токены).
С ключом ЭП однозначно связан ключ проверки ЭП, который, как следует из названия, предназначен для проверки подлинности ЭП.
Сертификат - документ, выданный УЦ, подтверждающий принадлежность ключа проверки ЭП (помним, что ключ проверки связан с ключом ЭП) владельцу сертификата.
Дата начала действия ключа ЭП всегда с даты его генерации. Срок действия ключа ЭП регламентируется эксплуатационной документацией на средства СКЗИ, которые его формируют. Если используется программный криптопровайдер, то максимальный срок действия ключа ЭП - 1 г. и 3 м., если аппаратный функционального ключевого носителя - 3 года.
Сертификат создаётся на определенный срок, дата его окончания можем быть равна дате окончания срока действия ключа ЭП. Если сертификат создан, когда с момента генерации ключа ЭП прошло несколько дней, то к концу срока действия сертификата произойдёт ситуация, что ключ ЭП уже истёк, а сертификат ещё действует, подписать ЭП таким ключём документ уже нельзя (к слову есть способы "реанимировать" такие ключи ЭП через конвертацию, но там свои особенности).
Срок действия сертификата задается настройками УЦ, которому без разницы когда был создан ключ ЭП и запрос на сертификат, сегодня или неделю назад. Срок действия сертификата начинается от момента его создания, максимальный срок действия сертификата может на 15 лет превышать срок действия ключа ЭП. Для удобства УЦ выдают сертификаты на 1 г. 3 м. поскольку это равно максимальному сроку действия ключа ЭП при использовании программного криптопровайдера (самого распространенного). Если ключ ЭП записывается на ФКН, то срок сертификата может быть 3 года. К слову, сертификаты на 1 год + "бонус 3 месяца бесплатно" это не более, чем коммерческий ход.
Ключ ЭП (закрытый ключ) - уникальная последовательность символов, с помощью которой формируется ЭП. Ключ ЭП - конфиденциальная информация, для безопасного хранения используются ключевые носители (токены).
С ключом ЭП однозначно связан ключ проверки ЭП, который, как следует из названия, предназначен для проверки подлинности ЭП.
Сертификат - документ, выданный УЦ, подтверждающий принадлежность ключа проверки ЭП (помним, что ключ проверки связан с ключом ЭП) владельцу сертификата.
Дата начала действия ключа ЭП всегда с даты его генерации. Срок действия ключа ЭП регламентируется эксплуатационной документацией на средства СКЗИ, которые его формируют. Если используется программный криптопровайдер, то максимальный срок действия ключа ЭП - 1 г. и 3 м., если аппаратный функционального ключевого носителя - 3 года.
Сертификат создаётся на определенный срок, дата его окончания можем быть равна дате окончания срока действия ключа ЭП. Если сертификат создан, когда с момента генерации ключа ЭП прошло несколько дней, то к концу срока действия сертификата произойдёт ситуация, что ключ ЭП уже истёк, а сертификат ещё действует, подписать ЭП таким ключём документ уже нельзя (к слову есть способы "реанимировать" такие ключи ЭП через конвертацию, но там свои особенности).
Срок действия сертификата задается настройками УЦ, которому без разницы когда был создан ключ ЭП и запрос на сертификат, сегодня или неделю назад. Срок действия сертификата начинается от момента его создания, максимальный срок действия сертификата может на 15 лет превышать срок действия ключа ЭП. Для удобства УЦ выдают сертификаты на 1 г. 3 м. поскольку это равно максимальному сроку действия ключа ЭП при использовании программного криптопровайдера (самого распространенного). Если ключ ЭП записывается на ФКН, то срок сертификата может быть 3 года. К слову, сертификаты на 1 год + "бонус 3 месяца бесплатно" это не более, чем коммерческий ход.
Об ЭП и УЦ
Из протокола заседания межведомственной рабочей группы, что сейчас УЦ мешает выдавать 15-летние сертификаты, не очень понятно. Или авторы данного протокола путают сроки действия ключей ЭП и сертификатов?
Данная вводная часть требовалась для обсуждения 5 пункта протокола МРГ, который звучит как: "Минэкономразвития России (М.Г.Решетникову), Минцифры России (М.И.Шадаеву), ФСБ России (А.В.Бортникову), ФНС России (Д.В.Егорову) совместно с Банком России (Э.С.Набиуллиной) обеспечить внесение в Правительство Российской Федерации проекта поправок Правительства Российской Федерации к законопроекту № 1173189-7 "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и отдельные законодательные акты Российской Федерации", при необходимости дополнительно проработав вопрос увеличения срока действия квалифицированного сертификата ключа проверки усиленной электронной подписи.
Срок - 10 октября 2022 г.
Что же имел в виду Минэк (по информации с совещания данное предложение именно этого ведомства)?
Если читать данный пункт как он написан, Минэк не устраивает короткий срок действия сертификатов, сейчас по факту это 15 месяцев и Минэк хотел бы увеличить этот срок минимум до 5 лет. Вопрос - для чего? Один из вариантов это возможность проверки ЭП в течение более длительного времени без использования механизмом меток доверенного времени. Сейчас УЦ самостоятельно устанавливают сроки действия сертификатов (п. 2 ч. 1 ст. 13) полагаю, что изменения могут затронуть данный пункт, который звучит как "УЦ устанавливает сроки действия сертификатов ключей проверки электронных подписей". Уже сейчас УЦ ничего не мешает выдавать сертификаты на 5, 10, 15 лет. Но это породит только путаницу, как было с пользователями ГИИС ДМДК, которые не понимали, "почему через год перестал работать 12-летний сертификат". Для УЦ в 63-ФЗ могут установить требование, что сроки действия сертификатов должны быть не менее 5 лет.
Но есть ещё одна легенда, что если Минэк перепутал ключ ЭП и сертификат? Чиновников Минэка (который кстати никогда не был аккредитованным УЦ) не устраивает, что владельцы сертификатов вынуждены менять их каждые 12-15 месяцев и они бы хотели, чтобы такие смены были раз в 5 лет? В таком случае мы подходим к необходимости увеличения сроков действия ключей ЭП. Сейчас 63-ФЗ никак не регулирует сроки действия ключей ЭП, это сфера технической и эксплуатационной документации на СКЗИ. Поэтому, если всё таки имелись в виде ключи ЭП одних поправок в закон будет мало, т.к. потребуется доработка/сертификация СКЗИ и ещё вопрос реально ли вообще увеличить срок использования ключа ЭП для программного криптопровайдера более 15 месяцев, т.к. данный максимальный срок далеко не случаен.
Почему именно такой срок максимальный для ключа ЭП? Срок, в течение которого можно быть уверенным, что нарушитель не сможет подобрать ключ ЭП по находящимся в открытом доступе данным: открытому ключу, сообщению и ЭП сообщения составляет 15 лет, это срок действия открытого ключа, но только при условии, что ключ ЭП использовался для подписания не дольше 15 месяцев, конечно же без нарушения требований к условиям эксплуатации.
Срок - 10 октября 2022 г.
Что же имел в виду Минэк (по информации с совещания данное предложение именно этого ведомства)?
Если читать данный пункт как он написан, Минэк не устраивает короткий срок действия сертификатов, сейчас по факту это 15 месяцев и Минэк хотел бы увеличить этот срок минимум до 5 лет. Вопрос - для чего? Один из вариантов это возможность проверки ЭП в течение более длительного времени без использования механизмом меток доверенного времени. Сейчас УЦ самостоятельно устанавливают сроки действия сертификатов (п. 2 ч. 1 ст. 13) полагаю, что изменения могут затронуть данный пункт, который звучит как "УЦ устанавливает сроки действия сертификатов ключей проверки электронных подписей". Уже сейчас УЦ ничего не мешает выдавать сертификаты на 5, 10, 15 лет. Но это породит только путаницу, как было с пользователями ГИИС ДМДК, которые не понимали, "почему через год перестал работать 12-летний сертификат". Для УЦ в 63-ФЗ могут установить требование, что сроки действия сертификатов должны быть не менее 5 лет.
Но есть ещё одна легенда, что если Минэк перепутал ключ ЭП и сертификат? Чиновников Минэка (который кстати никогда не был аккредитованным УЦ) не устраивает, что владельцы сертификатов вынуждены менять их каждые 12-15 месяцев и они бы хотели, чтобы такие смены были раз в 5 лет? В таком случае мы подходим к необходимости увеличения сроков действия ключей ЭП. Сейчас 63-ФЗ никак не регулирует сроки действия ключей ЭП, это сфера технической и эксплуатационной документации на СКЗИ. Поэтому, если всё таки имелись в виде ключи ЭП одних поправок в закон будет мало, т.к. потребуется доработка/сертификация СКЗИ и ещё вопрос реально ли вообще увеличить срок использования ключа ЭП для программного криптопровайдера более 15 месяцев, т.к. данный максимальный срок далеко не случаен.
Почему именно такой срок максимальный для ключа ЭП? Срок, в течение которого можно быть уверенным, что нарушитель не сможет подобрать ключ ЭП по находящимся в открытом доступе данным: открытому ключу, сообщению и ЭП сообщения составляет 15 лет, это срок действия открытого ключа, но только при условии, что ключ ЭП использовался для подписания не дольше 15 месяцев, конечно же без нарушения требований к условиям эксплуатации.
Альтернативный путь развития сферы электронной подписи
Белорусское издание "Звязда" в статье "Новая фишка ІD—карты — атрибутный сертификат в любое время" сообщает, что белорусы, получившие новые паспорта, где реализована возможность электронной цифровой подписи (да, у них ЭЦП), с недавнего времени могут подтверждать свои полномочия как владельца документа с помощью атрибутного сертификата автоматически, а не каждый раз для каждого действия.
Атрибутный сертификат — это электронный документ, который выдается в Беларуси доверенным поставщиком услуг (Республиканским центром свидетельства) и содержит информацию о полномочиях лица, обладающего личным ключом электронной цифровой подписи (ЭЦП), на подписание определенных видов электронных документов, а также иных полномочий, предоставленных ему от имени организации, в том числе индивидуального предпринимателя.
В 2015 году одним из вариантов реформы сферы электронной подписи в нашей стране обсуждалась идея внедрения атрибутных сертификатов (вместо МЧД) и в ходе совещаний в качестве примера приводился опыт белорусов.
В целях установления возможности проверки полномочий физических и юридических лиц, как в государственных информационных системах, так и в негосударственных информационных системах законопроектом вносятся изменения в федеральный закон № 63-ФЗ. В частности, устанавливается понятие сертификата атрибутов, который определяется как электронный документ, созданный центром атрибутирования, содержащий, в том числе информацию о полномочиях, а также идентификационные сведения о владельце сертификата ключа проверки электронной подписи, и непосредственно связанный с этим сертификатом ключа проверки электронной подписи.
Законопроект закрепляет положения, согласно которым сертификат атрибутов обеспечивает реализацию указанных в нем полномочий владельца сертификата ключа проверки электронной подписи, а также обеспечивает возможность получения доступа к информации, содержащейся в информационных системах, в целях, установленных в сертификате атрибутов.
Законопроектом устанавливаются функции центра атрибутирования, порядок создания и сроки действия сертификатов атрибутов. Определяется, что порядок создания, использования, обслуживания и проверки сертификатов атрибутов операторами государственных информационных систем будет устанавливаться Правительством Российской Федерации.
Законопроект о сертификатах атрибутов и пояснительная записка к нему в первом комментарии.
Белорусское издание "Звязда" в статье "Новая фишка ІD—карты — атрибутный сертификат в любое время" сообщает, что белорусы, получившие новые паспорта, где реализована возможность электронной цифровой подписи (да, у них ЭЦП), с недавнего времени могут подтверждать свои полномочия как владельца документа с помощью атрибутного сертификата автоматически, а не каждый раз для каждого действия.
Атрибутный сертификат — это электронный документ, который выдается в Беларуси доверенным поставщиком услуг (Республиканским центром свидетельства) и содержит информацию о полномочиях лица, обладающего личным ключом электронной цифровой подписи (ЭЦП), на подписание определенных видов электронных документов, а также иных полномочий, предоставленных ему от имени организации, в том числе индивидуального предпринимателя.
В 2015 году одним из вариантов реформы сферы электронной подписи в нашей стране обсуждалась идея внедрения атрибутных сертификатов (вместо МЧД) и в ходе совещаний в качестве примера приводился опыт белорусов.
В целях установления возможности проверки полномочий физических и юридических лиц, как в государственных информационных системах, так и в негосударственных информационных системах законопроектом вносятся изменения в федеральный закон № 63-ФЗ. В частности, устанавливается понятие сертификата атрибутов, который определяется как электронный документ, созданный центром атрибутирования, содержащий, в том числе информацию о полномочиях, а также идентификационные сведения о владельце сертификата ключа проверки электронной подписи, и непосредственно связанный с этим сертификатом ключа проверки электронной подписи.
Законопроект закрепляет положения, согласно которым сертификат атрибутов обеспечивает реализацию указанных в нем полномочий владельца сертификата ключа проверки электронной подписи, а также обеспечивает возможность получения доступа к информации, содержащейся в информационных системах, в целях, установленных в сертификате атрибутов.
Законопроектом устанавливаются функции центра атрибутирования, порядок создания и сроки действия сертификатов атрибутов. Определяется, что порядок создания, использования, обслуживания и проверки сертификатов атрибутов операторами государственных информационных систем будет устанавливаться Правительством Российской Федерации.
Законопроект о сертификатах атрибутов и пояснительная записка к нему в первом комментарии.
Об ЭП и УЦ
10 крупнейших удостоверяющих центров по количеству созданных сертификатов в 2022 году
Детальная статистика по выдаче и регистрации квалифицированных сертификатов в ЕСИА за 8 месяцев 2022 года
Об ЭП и УЦ
Для_сайта_109194_продл_перех_периода_ЭЦП_без_электр_доверенности.docx
Минэкономразвития подтвердило - в заключении некорректно отмечалось, что переходный период будет действовать до 31 декабря 2023 г., но данное расхождение не является существенным и не может быть основанием для изменения вывода заключения, поскольку законопроект не устанавливает новых обязательных требований для хозяйствующих субъектов, а целью законопроекта является сохранение надлежащего функционирования электронного документооборота
Наш канал обращает внимание, что распространяемые в сети подобного рода сообщения не соответствуют действительности.
Логика данного поста - информационные системы Федерального казначейства не требуют специфичные oid, поэтому сертификаты для работников государственного сектора могут выдавать любые УЦ, не поддаётся критике.
Пункт 1 части 3 статьи 17.2 63-ФЗ никто не отменял - квалифицированный сертификат, который содержит указание на физическое лицо, замещающее
- государственную должность Российской Федерации,
- государственную должность субъекта Российской Федерации,
- являющееся должностным лицом государственного органа, органа местного самоуправления,
- должностным лицом учреждения, подведомственного государственному органу или органу местного самоуправления, или иной организации,
в качестве владельца данного сертификата, создается и выдается удостоверяющим центром Федерального казначейства
Логика данного поста - информационные системы Федерального казначейства не требуют специфичные oid, поэтому сертификаты для работников государственного сектора могут выдавать любые УЦ, не поддаётся критике.
Пункт 1 части 3 статьи 17.2 63-ФЗ никто не отменял - квалифицированный сертификат, который содержит указание на физическое лицо, замещающее
- государственную должность Российской Федерации,
- государственную должность субъекта Российской Федерации,
- являющееся должностным лицом государственного органа, органа местного самоуправления,
- должностным лицом учреждения, подведомственного государственному органу или органу местного самоуправления, или иной организации,
в качестве владельца данного сертификата, создается и выдается удостоверяющим центром Федерального казначейства
Об ЭП и УЦ
Компания-двойник получила квалифицированный сертификат, после чего открыла расчетный счет в банке, участвовала в госзакупках, выигрывала тендеры и, вероятнее всего, теперь получит за них авансовый платеж
Радиостанция Business FM уже не первый раз пишет про мошеннические действия с электронной подписью (причем пишет один и тот же корреспондент) - на этот раз ситуация следующая: Кто-то от имени главы компании без его ведома оформил в одном из удостоверяющих центров цифровую подпись. А также от имени учредительницы предприятия и ее супруга. На гендиректора подпись оформили как на физлицо, благодаря этому он и узнал о произошедшем из уведомления от «Госуслуг». А дальше некто, используя подпись, обратился в ФНС, чтобы сообщить, что гендиректор компании таковым больше не является.
Странный случай, сразу 3 сертификата выдано - а УЦ в статье не раскрывается. Заявление ФЛ о недостоверности сведений о нем в ЕГРЮЛ действительно было предоставлено 09.08.2022, это подтверждает выписка из ЕГРЮЛ. Может это странно, но налоговая допускает использовать для таких действий ЭП, сертификат которой выдан на физическое лицо.
Странный случай, сразу 3 сертификата выдано - а УЦ в статье не раскрывается. Заявление ФЛ о недостоверности сведений о нем в ЕГРЮЛ действительно было предоставлено 09.08.2022, это подтверждает выписка из ЕГРЮЛ. Может это странно, но налоговая допускает использовать для таких действий ЭП, сертификат которой выдан на физическое лицо.
Об ЭП и УЦ
Несмотря на то, что знаменитой "розовой" Инструкции 152-ФАПСИ более 20 лет и морально она уже устарела - это действующий НПА нашей сферы. Каждый год появляется информация о необходимости её актуализации/замены (даже есть проекты), но юридические нюансы не…
На вебинаре КРИПТО-ПРО поделились информацией о планах по сертификации СКЗИ, так планируется сертифицировать КриптоПро УЦ под ОС Astra Linux