Об ЭП и УЦ
Участвовали Вы в PKI-Форуме?
79 наших подписчиков приняли участие в PKI-Форуме (21 из них - первый раз). Свои предложения в итоговую декларацию PKI-Форум Россия 2022 вы можете направить по ссылке https://pki-forum.ru/offers
Весной 2022 года НИИ «Восход» на базе Национального удостоверяющего центра (НУЦ) реализовал технологию выдачи сертификатов безопасности (TLS-сертификатов). Кроме обеспечения выдачи самих сертификатов технология дополнительно обеспечивает их публикацию в три независимых лога – один государственный и два частных (это Яндекс и Mail.Ru). При взаимодействии с сайтом браузеры направляют запросы в эти логи и проверяют, действительно ли был выдан сертификат данному сайту.
В мае 2022 года реализована выдача TLS-сертификатов для сайтов с поддержкой технологии прозрачности (certificate transparency). Реализация данной технологии использует специализированные криптографические методы и основана на том, что все сертификаты от НУЦ, записываются в независимые журналы (логи), из которых нельзя удалить сведения после записи.
В мае 2022 года реализована выдача TLS-сертификатов для сайтов с поддержкой технологии прозрачности (certificate transparency). Реализация данной технологии использует специализированные криптографические методы и основана на том, что все сертификаты от НУЦ, записываются в независимые журналы (логи), из которых нельзя удалить сведения после записи.
Департамент информационной безопасности Банка России поддержал позицию Национального совета финансового рынка о возможности в соответствии с п. 5.1 Положения Банка России № 683-П использования при подписании электронных сообщений аналогов собственноручной подписи, кодов, паролей и других средств, в том числе простой электронной подписи, при условии использования средств криптографической защиты информации, реализующих функцию имитозащиты информации с аутентификацией отправителя сообщения
Письмо НСФР
Ответ Банка России
Письмо НСФР
Ответ Банка России
1️⃣год назад с данного поста началась история нашего канала. Создавая тематический канал о сфере электронной подписи важно было с самого начала задать нужный вектор.
За прошедшее время опубликовано более тысячи постов, канал приобрел свои фирменные черты, количество подписчиков превысило 4 тыс., создан чат. Канал дважды становился информационным партнёров форумов по ЭДО. Даже Алексей Лукацкий, который "у себя про ЭП не пишет совсем" сделал 5 репостов)
Спасибо всем подписчикам👏! Собралась очень внушительная аудитория. Продолжаю второй год рассказывать об электронной подписи и удостоверяющих центрах.
За прошедшее время опубликовано более тысячи постов, канал приобрел свои фирменные черты, количество подписчиков превысило 4 тыс., создан чат. Канал дважды становился информационным партнёров форумов по ЭДО. Даже Алексей Лукацкий, который "у себя про ЭП не пишет совсем" сделал 5 репостов)
Спасибо всем подписчикам👏! Собралась очень внушительная аудитория. Продолжаю второй год рассказывать об электронной подписи и удостоверяющих центрах.
А у Вас есть сертификат ключа проверки ЭП (выбор нескольких вариантов)?
Anonymous Poll
68%
Есть квалифицированный сертификат
16%
Есть неквалифиированный сертификат (Госключ)
26%
Есть неквалифицированный сертификат (ЛК ФНС и др.)
14%
Хватает простой ЭП (ЕСИА и др.)
11%
Почему ЭП, а не ЭЦП?
Каждой компании важно иметь качественные продукты для оптимизации и адаптации ключевых бизнес-процессов к новой реальности.
Но с чего начать цифровую оптимизацию?
📌 19 сентября — 30 сентября 2022 СберКорус приглашает на «Неделю ЭДО», в рамках которой обсудит следующие вопросы:
🔹 Сколько миллионов в год может сэкономить компания, внедрив цифровые продукты?
🔹 Как цифровизация компании позволяет ей нанимать лучших сотрудников на рынке?
🔹 Какие законы открывают бизнесу новые возможности, и как ими пользоваться?
🔹 Предубеждения, мешающие компаниям получать выгоду от цифровизации, — разбираем на практике.
🔹 Где найти отправную точку для цифровизации ключевых бизнес-процессов?
Неделя ЭДО в СберКорус — это:
🔸 5 вебинаров на актуальные темы;
🔸 более 10 экспертов, которые ответят на ваши вопросы в прямом эфире;
🔸 5 спецпредложений для бизнеса, которыми можно начать пользоваться уже сейчас;
🔸 8 бесплатных материалов, которые пригодятся на старте.
Участие бесплатное, предварительная регистрация обязательна: https://clck.ru/325WGU
Но с чего начать цифровую оптимизацию?
📌 19 сентября — 30 сентября 2022 СберКорус приглашает на «Неделю ЭДО», в рамках которой обсудит следующие вопросы:
🔹 Сколько миллионов в год может сэкономить компания, внедрив цифровые продукты?
🔹 Как цифровизация компании позволяет ей нанимать лучших сотрудников на рынке?
🔹 Какие законы открывают бизнесу новые возможности, и как ими пользоваться?
🔹 Предубеждения, мешающие компаниям получать выгоду от цифровизации, — разбираем на практике.
🔹 Где найти отправную точку для цифровизации ключевых бизнес-процессов?
Неделя ЭДО в СберКорус — это:
🔸 5 вебинаров на актуальные темы;
🔸 более 10 экспертов, которые ответят на ваши вопросы в прямом эфире;
🔸 5 спецпредложений для бизнеса, которыми можно начать пользоваться уже сейчас;
🔸 8 бесплатных материалов, которые пригодятся на старте.
Участие бесплатное, предварительная регистрация обязательна: https://clck.ru/325WGU
Опубликована запись программы "Налоги", в которой заместитель руководителя ФНС России А.С. Петрушин рассказывает о порядке получения квалифицированных сертификатов в удостоверяющем центре ФНС России
Есть такой ресурс - Онлайнинспекция.рф, который позволяет обратиться в инспекцию труда и получить бесплатную консультацию по вопросам трудовых отношений.
В сентябре опубликован ответ на вопрос: "Вправе ли работодатель обязать работника оформить его электронную подпись, если в обязанности работника входит отправка отчетов/ размещение сообщений/ информации/ работа в личных кабинетах организации и т.д. и т.п на разных сайтах."
В ответе всего лишь нужно было сослаться на норму Трудового кодекса, что работодатель несет расходы на получение работником электронной подписи (именно подписи, а не сертификата и ключа).
В сентябре опубликован ответ на вопрос: "Вправе ли работодатель обязать работника оформить его электронную подпись, если в обязанности работника входит отправка отчетов/ размещение сообщений/ информации/ работа в личных кабинетах организации и т.д. и т.п на разных сайтах."
В ответе всего лишь нужно было сослаться на норму Трудового кодекса, что работодатель несет расходы на получение работником электронной подписи (именно подписи, а не сертификата и ключа).
Об ЭП и УЦ
Визуализация_письмо_Минцифры_ПП_МЧД.pdf
Замечания на проект постановления Правительства по МЧД от Центра компетенций (Фонд Сколково)
Об ЭП и УЦ
Начал свою работу XX юбилейный PKI-Форум, выступает Председатель Программного комитета В.Г. Матюхин
YouTube
PKI-Форум 2022 — Фильм к юбилею: История и современность отрасли ЭП в России
Сегодня электронная подпись является основой для тысячи процессов, ключевых для государства, бизнеса, граждан. Как начинался этот путь, и что определило его развитие? Об этом знают те, кто стоял у истоков отрасли электронной подписи.
В рамках подготовки…
В рамках подготовки…
Ещё одно видео от экспертов PKI-Форума "Что такое электронная подпись и почему ей стоит доверять?"
В соответствии со статьей 6 63-ФЗ информация в электронной форме, подписанная квалифицированной ЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях в соответствии с законодательством Российской Федерации.
Может, но если предоставляется в электронном виде, а не на бумаге. В данном случае возможно, что наличие отметки от ЭП решило бы вопрос.
Может, но если предоставляется в электронном виде, а не на бумаге. В данном случае возможно, что наличие отметки от ЭП решило бы вопрос.
Forwarded from DigitalRussia (Цифровая Россия)
Для общественного обсуждения опубликован проект приказа ФСБ «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Документ предлагает установить в том числе, что информация в ГИС подлежит защите с использованием СКЗИ также в случае необходимости обеспечить юридическую значимость электронных документов и защиту их от подделки.
Об ЭП и УЦ
На портале Госуслуг доступно получение TLS-сертификатов безопасности для аутентификации сайта в интернете при установлении защищенного соединения. Удостоверяющий центр - Минцифры, отечественный: CN = Russian Trusted Root CA O = The Ministry of Digital Development…
Проверить наличие RSA-сертификатов безопасности от Национального удостоверяющего центра на своём рабочем месте или телефоне можно с использованием онлайн-сервиса от Сбера
Напомним, что есть несколько способов установки TLS-сертификатов:
- установить сертификаты согласно инструкции;
- установить Яндекс-браузер или Атом;
- установить СКЗИ КриптоПро 5.0 R3 (обращаю внимание, что сборка ещё не имеет сертификата соответствия, ориентировочный срок получения - 1 квартал 2023 г.)
Напомним, что есть несколько способов установки TLS-сертификатов:
- установить сертификаты согласно инструкции;
- установить Яндекс-браузер или Атом;
- установить СКЗИ КриптоПро 5.0 R3 (обращаю внимание, что сборка ещё не имеет сертификата соответствия, ориентировочный срок получения - 1 квартал 2023 г.)
Инструкция "Настройка КриптоПро CSP для работы с Рутокен TLS" от компании Актив
https://www.rutoken.ru/download/manual/Rutoken_TLS_CryptoPro_CSP.pdf
https://www.rutoken.ru/download/manual/Rutoken_TLS_CryptoPro_CSP.pdf
Ассоциация банков России подготовила информационно-аналитическое обозрение «Банки и инфраструктура финансового рынка в условиях современных вызовов», выход которого был приурочен к XIX Международному банковскому форуму, который проходил 21-24 сентября в Казани
Отдельную часть в данном материале занимают вопросы электронной подписи (стр. 41-42):
4. Применение облачной электронной подписи.
Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов невозможно без полномасштабного задействования технологии облачной электронной подписи. В этом отношении есть некоторые детали, которые не будучи воплощены в законодательстве, не позволяют ей стать надежной основой функционирования цифровой инфраструктуры.
Так ожидания банков направлены на то, чтобы при удаленной идентификации заявителя в процедуре выпуска неквалифицированного сертификата был предусмотрен способ использования действующего неквалифицированного сертификата или действующего ключа проверки усиленной неквалифицированной подписи.
Обновленная редакция Федерального закона № 63‑ФЗ также исключила из числа сертификатов, которые могут оформляться юридическим лицам, так называемый «обезличенный» сертификат — разрешение, полученное на юридическое лицо без указания его представителя.
Такое законодательное решение несет риски перебоев в корпоративном электронном документообороте, связанные с системными сложностями при подписании электронных документов в корпоративных информационных системах. Поэтому в качестве ближайшей задачи для «тонкой настройки» работы облачных электронных подписей видится возврат права для юридических лиц на использование «обезличенных» неквалифицированных сертификатов, которые будут использоваться
исключительно в целях автоматического создания и (или) автоматической проверки электронных подписей в информационных системах [прим. канала - п. 3 ч. 2 ст. 17.2 63-ФЗ - в случае, если квалифицированная ЭП применяется только для автоматического создания электронной подписи в электронном документе и (или) автоматической проверки электронной подписи в электронном документе, используется только квалифицированная ЭП кредитной организации, оператора платежной системы, некредитной финансовой организации и др. Квалифицированный сертификат, который содержит указание только на кредитную организацию, оператора платежной системы ... создается и выдается удостоверяющим центром Центрального банка Российской Федерации в установленном Центральным банком Российской Федерации порядке].
Действующее законодательство при определении порядка использования машиночитаемых доверенностей в процедурах использования усиленной квалифицированной электронной подписи с участием финансовых организаций не предусматривает возможности оформления машиночитаемой доверенности в порядке передоверия, что создает для крупных банков серьезные сложности, поскольку замыкает процедуру передоверия исключительно на первое лицо банка (это тысячи доверенностей). Поэтому целесообразно предоставить финансовым организациям право оформлять машиночитаемые доверенности в порядке передоверия.
Наконец, в целях устранения правовой неопределенности представляется необходимым дополнить действующее законодательство положением, прямо указывающим на возможность использования усиленной неквалифицированной электронной подписи представителем юридического лица для подписания электронных документов от имени юридического лица при условии подтверждения полномочий такого представителя действовать от имени юридического лица.
Отдельную часть в данном материале занимают вопросы электронной подписи (стр. 41-42):
4. Применение облачной электронной подписи.
Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов невозможно без полномасштабного задействования технологии облачной электронной подписи. В этом отношении есть некоторые детали, которые не будучи воплощены в законодательстве, не позволяют ей стать надежной основой функционирования цифровой инфраструктуры.
Так ожидания банков направлены на то, чтобы при удаленной идентификации заявителя в процедуре выпуска неквалифицированного сертификата был предусмотрен способ использования действующего неквалифицированного сертификата или действующего ключа проверки усиленной неквалифицированной подписи.
Обновленная редакция Федерального закона № 63‑ФЗ также исключила из числа сертификатов, которые могут оформляться юридическим лицам, так называемый «обезличенный» сертификат — разрешение, полученное на юридическое лицо без указания его представителя.
Такое законодательное решение несет риски перебоев в корпоративном электронном документообороте, связанные с системными сложностями при подписании электронных документов в корпоративных информационных системах. Поэтому в качестве ближайшей задачи для «тонкой настройки» работы облачных электронных подписей видится возврат права для юридических лиц на использование «обезличенных» неквалифицированных сертификатов, которые будут использоваться
исключительно в целях автоматического создания и (или) автоматической проверки электронных подписей в информационных системах [прим. канала - п. 3 ч. 2 ст. 17.2 63-ФЗ - в случае, если квалифицированная ЭП применяется только для автоматического создания электронной подписи в электронном документе и (или) автоматической проверки электронной подписи в электронном документе, используется только квалифицированная ЭП кредитной организации, оператора платежной системы, некредитной финансовой организации и др. Квалифицированный сертификат, который содержит указание только на кредитную организацию, оператора платежной системы ... создается и выдается удостоверяющим центром Центрального банка Российской Федерации в установленном Центральным банком Российской Федерации порядке].
Действующее законодательство при определении порядка использования машиночитаемых доверенностей в процедурах использования усиленной квалифицированной электронной подписи с участием финансовых организаций не предусматривает возможности оформления машиночитаемой доверенности в порядке передоверия, что создает для крупных банков серьезные сложности, поскольку замыкает процедуру передоверия исключительно на первое лицо банка (это тысячи доверенностей). Поэтому целесообразно предоставить финансовым организациям право оформлять машиночитаемые доверенности в порядке передоверия.
Наконец, в целях устранения правовой неопределенности представляется необходимым дополнить действующее законодательство положением, прямо указывающим на возможность использования усиленной неквалифицированной электронной подписи представителем юридического лица для подписания электронных документов от имени юридического лица при условии подтверждения полномочий такого представителя действовать от имени юридического лица.