Forwarded from DigitalRussia (Цифровая Россия)
Для общественного обсуждения опубликован проект приказа ФСБ «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, с использованием шифровальных (криптографических) средств». Документ предлагает установить в том числе, что информация в ГИС подлежит защите с использованием СКЗИ также в случае необходимости обеспечить юридическую значимость электронных документов и защиту их от подделки.
Об ЭП и УЦ
На портале Госуслуг доступно получение TLS-сертификатов безопасности для аутентификации сайта в интернете при установлении защищенного соединения. Удостоверяющий центр - Минцифры, отечественный: CN = Russian Trusted Root CA O = The Ministry of Digital Development…
Проверить наличие RSA-сертификатов безопасности от Национального удостоверяющего центра на своём рабочем месте или телефоне можно с использованием онлайн-сервиса от Сбера
Напомним, что есть несколько способов установки TLS-сертификатов:
- установить сертификаты согласно инструкции;
- установить Яндекс-браузер или Атом;
- установить СКЗИ КриптоПро 5.0 R3 (обращаю внимание, что сборка ещё не имеет сертификата соответствия, ориентировочный срок получения - 1 квартал 2023 г.)
Напомним, что есть несколько способов установки TLS-сертификатов:
- установить сертификаты согласно инструкции;
- установить Яндекс-браузер или Атом;
- установить СКЗИ КриптоПро 5.0 R3 (обращаю внимание, что сборка ещё не имеет сертификата соответствия, ориентировочный срок получения - 1 квартал 2023 г.)
Инструкция "Настройка КриптоПро CSP для работы с Рутокен TLS" от компании Актив
https://www.rutoken.ru/download/manual/Rutoken_TLS_CryptoPro_CSP.pdf
https://www.rutoken.ru/download/manual/Rutoken_TLS_CryptoPro_CSP.pdf
Ассоциация банков России подготовила информационно-аналитическое обозрение «Банки и инфраструктура финансового рынка в условиях современных вызовов», выход которого был приурочен к XIX Международному банковскому форуму, который проходил 21-24 сентября в Казани
Отдельную часть в данном материале занимают вопросы электронной подписи (стр. 41-42):
4. Применение облачной электронной подписи.
Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов невозможно без полномасштабного задействования технологии облачной электронной подписи. В этом отношении есть некоторые детали, которые не будучи воплощены в законодательстве, не позволяют ей стать надежной основой функционирования цифровой инфраструктуры.
Так ожидания банков направлены на то, чтобы при удаленной идентификации заявителя в процедуре выпуска неквалифицированного сертификата был предусмотрен способ использования действующего неквалифицированного сертификата или действующего ключа проверки усиленной неквалифицированной подписи.
Обновленная редакция Федерального закона № 63‑ФЗ также исключила из числа сертификатов, которые могут оформляться юридическим лицам, так называемый «обезличенный» сертификат — разрешение, полученное на юридическое лицо без указания его представителя.
Такое законодательное решение несет риски перебоев в корпоративном электронном документообороте, связанные с системными сложностями при подписании электронных документов в корпоративных информационных системах. Поэтому в качестве ближайшей задачи для «тонкой настройки» работы облачных электронных подписей видится возврат права для юридических лиц на использование «обезличенных» неквалифицированных сертификатов, которые будут использоваться
исключительно в целях автоматического создания и (или) автоматической проверки электронных подписей в информационных системах [прим. канала - п. 3 ч. 2 ст. 17.2 63-ФЗ - в случае, если квалифицированная ЭП применяется только для автоматического создания электронной подписи в электронном документе и (или) автоматической проверки электронной подписи в электронном документе, используется только квалифицированная ЭП кредитной организации, оператора платежной системы, некредитной финансовой организации и др. Квалифицированный сертификат, который содержит указание только на кредитную организацию, оператора платежной системы ... создается и выдается удостоверяющим центром Центрального банка Российской Федерации в установленном Центральным банком Российской Федерации порядке].
Действующее законодательство при определении порядка использования машиночитаемых доверенностей в процедурах использования усиленной квалифицированной электронной подписи с участием финансовых организаций не предусматривает возможности оформления машиночитаемой доверенности в порядке передоверия, что создает для крупных банков серьезные сложности, поскольку замыкает процедуру передоверия исключительно на первое лицо банка (это тысячи доверенностей). Поэтому целесообразно предоставить финансовым организациям право оформлять машиночитаемые доверенности в порядке передоверия.
Наконец, в целях устранения правовой неопределенности представляется необходимым дополнить действующее законодательство положением, прямо указывающим на возможность использования усиленной неквалифицированной электронной подписи представителем юридического лица для подписания электронных документов от имени юридического лица при условии подтверждения полномочий такого представителя действовать от имени юридического лица.
Отдельную часть в данном материале занимают вопросы электронной подписи (стр. 41-42):
4. Применение облачной электронной подписи.
Формирование среды доверия при удаленном предоставлении финансовых услуг и сервисов невозможно без полномасштабного задействования технологии облачной электронной подписи. В этом отношении есть некоторые детали, которые не будучи воплощены в законодательстве, не позволяют ей стать надежной основой функционирования цифровой инфраструктуры.
Так ожидания банков направлены на то, чтобы при удаленной идентификации заявителя в процедуре выпуска неквалифицированного сертификата был предусмотрен способ использования действующего неквалифицированного сертификата или действующего ключа проверки усиленной неквалифицированной подписи.
Обновленная редакция Федерального закона № 63‑ФЗ также исключила из числа сертификатов, которые могут оформляться юридическим лицам, так называемый «обезличенный» сертификат — разрешение, полученное на юридическое лицо без указания его представителя.
Такое законодательное решение несет риски перебоев в корпоративном электронном документообороте, связанные с системными сложностями при подписании электронных документов в корпоративных информационных системах. Поэтому в качестве ближайшей задачи для «тонкой настройки» работы облачных электронных подписей видится возврат права для юридических лиц на использование «обезличенных» неквалифицированных сертификатов, которые будут использоваться
исключительно в целях автоматического создания и (или) автоматической проверки электронных подписей в информационных системах [прим. канала - п. 3 ч. 2 ст. 17.2 63-ФЗ - в случае, если квалифицированная ЭП применяется только для автоматического создания электронной подписи в электронном документе и (или) автоматической проверки электронной подписи в электронном документе, используется только квалифицированная ЭП кредитной организации, оператора платежной системы, некредитной финансовой организации и др. Квалифицированный сертификат, который содержит указание только на кредитную организацию, оператора платежной системы ... создается и выдается удостоверяющим центром Центрального банка Российской Федерации в установленном Центральным банком Российской Федерации порядке].
Действующее законодательство при определении порядка использования машиночитаемых доверенностей в процедурах использования усиленной квалифицированной электронной подписи с участием финансовых организаций не предусматривает возможности оформления машиночитаемой доверенности в порядке передоверия, что создает для крупных банков серьезные сложности, поскольку замыкает процедуру передоверия исключительно на первое лицо банка (это тысячи доверенностей). Поэтому целесообразно предоставить финансовым организациям право оформлять машиночитаемые доверенности в порядке передоверия.
Наконец, в целях устранения правовой неопределенности представляется необходимым дополнить действующее законодательство положением, прямо указывающим на возможность использования усиленной неквалифицированной электронной подписи представителем юридического лица для подписания электронных документов от имени юридического лица при условии подтверждения полномочий такого представителя действовать от имени юридического лица.
Об ЭП и УЦ
Эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России программного обеспечения для работы с электронной подписью. Ссылка в посте от 15.04.2022 - https://www.nalog.gov.ru/rn77/related_activities/ucfns/distrib/ стала активная.
До окончания эксперимента по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России программного обеспечения для работы с электронной подписью остаётся один месяц.
Напомним, что УЦ ФНС России с 12.04.2022 осуществляет выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP. Лицензия встроена в расширение сертификата "Ограниченная лицензия КРИПТО-ПРО" и предназначена для использования в рамках системы "Обеспечение пользователей УЦ ФНС России средствами электронной подписи".
Напомним, что УЦ ФНС России с 12.04.2022 осуществляет выдачу квалифицированных сертификатов со встроенной лицензией на КриптоПро CSP. Лицензия встроена в расширение сертификата "Ограниченная лицензия КРИПТО-ПРО" и предназначена для использования в рамках системы "Обеспечение пользователей УЦ ФНС России средствами электронной подписи".
Об ЭП и УЦ
В соответствии со статьей 6 63-ФЗ информация в электронной форме, подписанная квалифицированной ЭП, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, и может применяться в любых правоотношениях…
Продолжение поста - Студенты Российского технологического университета — МИРЭА (РТУ-МИРЭА) столкнулись с тем, что вуз предоставляет им справки для военкомата только в виде электронного документа. Но передать их в таком виде в военкомат невозможно. По правилам там принимают только бумажные справки с подписью и печатью (подробнее - 360tv.ru)
Минфин России предлагает ввести административную ответственность за нарушения операторов ЭДО в связи с созданием в РФ национальной системы прослеживаемости товаров.
Согласно пояснительной записке к проекту федерального закона, отсутствие меры пресечения по нарушениям законодательства о прослеживаемости влияет на чистоту и полноту данных в указанной нацсистеме.
Согласно пояснительной записке к проекту федерального закона, отсутствие меры пресечения по нарушениям законодательства о прослеживаемости влияет на чистоту и полноту данных в указанной нацсистеме.
regulation.gov.ru
Нормативные правовые акты - Официальный сайт для размещения информации о подготовке нормативных правовых актов и результатах их…
Официальный сайт для размещения информации о подготовке федеральными органами исполнительной власти проектов нормативных правовых актов и результатах их общественного обсуждения
Госключ согласно приказу Минцифры России от 13.09.2022 № 660 включен в Перечень мобильных приложений, предназначенных для использования неограниченным кругом лиц, созданных с привлечением средств бюджетов бюджетной системы РФ, в том числе созданных государственными органами, органами местного самоуправления, органами управления государственными внебюджетными фондами, подведомственными организациями
Паспорт_Цифровой_профиль_гражданина.pdf
7.9 MB
Согласно паспорту "Цифровой профиль гражданина" уже в 2022 году запланировано увеличение количества пользователей сервисом биометрической идентификации до 20 млн. (в 2021 базовое значение составляло 216 тыс.).
Иными показателями паспорта являются - увеличение доли массовых и государственных сервисов, обеспеченных возможностью их получения с использованием цифрового профиля, увеличение количества пользователей ЕПГУ, использующих облачную электронную подпись и др.
Иными показателями паспорта являются - увеличение доли массовых и государственных сервисов, обеспеченных возможностью их получения с использованием цифрового профиля, увеличение количества пользователей ЕПГУ, использующих облачную электронную подпись и др.
ФСБ России продлила до 1 июня 2024 года сертификаты соответствия блокчейн-платформы «Мастерчейн»
Приказом Минтруда России от 20.09.2022 № 578н утверждены единые требования к составу и форматам документов, связанных с работой, оформляемых в электронном виде без дублирования на бумажном носителе (зарегистрирован Минюстом России 30.09.2022 № 70317).
Электронные документы должны состоять из следующих структурных элементов:
- основная часть (файл в формате PDF/A-1A);
- приложение;
- электронная подпись основной части, приложения;
- машиночитаемая доверенность (при наличии);
- описание электронного документа в формате XML.
Приказ Минтруда России вступает в силу с 1 марта 2023 г.
Электронные документы должны состоять из следующих структурных элементов:
- основная часть (файл в формате PDF/A-1A);
- приложение;
- электронная подпись основной части, приложения;
- машиночитаемая доверенность (при наличии);
- описание электронного документа в формате XML.
Приказ Минтруда России вступает в силу с 1 марта 2023 г.
Интересная интерпретация норм 63-ФЗ от Росреестра
Для решения данной проблемы заявителю необходимо обратиться в УЦ для внесения в сертификат ключа проверки электронной подписи необходимого объектного идентификатора, определяющего полномочия пользователя в соответствии с Распоряжением Р/0083.
Вопросы выбора и внесения в сертификат ключа проверки электронной подписи OIDов, определяющих полномочия заявителя на основании предоставленных заявителем документов, находятся в компетенции Удостоверяющих центров.
В настоящее время запросы, созданные в так называемых устаревших сервиса, которые работают по схемам, которые использовались до внедрения ФГИС ЕГРН (к таким сервисам относится «Запрос посредством доступа к ФГИС ЕГРН» и сервис Росреестра зарегистрированный в СМЭВ 2), проходят проверку ФЛК непосредственно на портале. Данная проверка полномочий заявителя была реализована в соответствии с требованиями Распоряжения Росреестра от 20.05.2019 №Р/0083 «О размещении на официальном сайте Росреестра в информационно-телекоммуникационной сети «Интернет» информации о требованиях к совместимости, квалифицированному сертификату ключа проверки электронной подписи, обеспечению возможности подтверждения подлинности усиленной квалифицированной электронной подписи заявителя» и требует наличия OIDа в сертификате ключа проверки ЭП, которой подписываются запросы. С перечнем объектных идентификаторов и соответствующих им ограничений использования можно ознакомиться в Приложении к Распоряжению Росреестра от 20.05.2019 №Р/0083.
На данный момент удостоверяющие центры формируют электронные подписи в соответствии с Приказом ФСБ России от 27.12.2011 N 795 (ред. от 29.01.2021) «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи», в котором требования к составу полей квалифицированного сертификата установлены на основании Федерального закона от 06.04.2011 N 63-ФЗ (ред. от 02.07.2021) «Об электронной подписи». Согласно данному ФЗ наличие в сертификате ключа проверки ЭП объектного идентификатора, определяющего полномочия владельца сертификата ЭП, не является обязательным. Однако данный приказ и не исключает наличие таких OIDов в сертификате ключа проверки. По этой причине Удостоверяющие центры в большинстве своем вносят их по просьбе владельца ЭП.
Осталось найти это большинство УЦ. УЦ ФК, например, ещё летом исключил oid Росреестра.
Для решения данной проблемы заявителю необходимо обратиться в УЦ для внесения в сертификат ключа проверки электронной подписи необходимого объектного идентификатора, определяющего полномочия пользователя в соответствии с Распоряжением Р/0083.
Вопросы выбора и внесения в сертификат ключа проверки электронной подписи OIDов, определяющих полномочия заявителя на основании предоставленных заявителем документов, находятся в компетенции Удостоверяющих центров.
В настоящее время запросы, созданные в так называемых устаревших сервиса, которые работают по схемам, которые использовались до внедрения ФГИС ЕГРН (к таким сервисам относится «Запрос посредством доступа к ФГИС ЕГРН» и сервис Росреестра зарегистрированный в СМЭВ 2), проходят проверку ФЛК непосредственно на портале. Данная проверка полномочий заявителя была реализована в соответствии с требованиями Распоряжения Росреестра от 20.05.2019 №Р/0083 «О размещении на официальном сайте Росреестра в информационно-телекоммуникационной сети «Интернет» информации о требованиях к совместимости, квалифицированному сертификату ключа проверки электронной подписи, обеспечению возможности подтверждения подлинности усиленной квалифицированной электронной подписи заявителя» и требует наличия OIDа в сертификате ключа проверки ЭП, которой подписываются запросы. С перечнем объектных идентификаторов и соответствующих им ограничений использования можно ознакомиться в Приложении к Распоряжению Росреестра от 20.05.2019 №Р/0083.
На данный момент удостоверяющие центры формируют электронные подписи в соответствии с Приказом ФСБ России от 27.12.2011 N 795 (ред. от 29.01.2021) «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи», в котором требования к составу полей квалифицированного сертификата установлены на основании Федерального закона от 06.04.2011 N 63-ФЗ (ред. от 02.07.2021) «Об электронной подписи». Согласно данному ФЗ наличие в сертификате ключа проверки ЭП объектного идентификатора, определяющего полномочия владельца сертификата ЭП, не является обязательным. Однако данный приказ и не исключает наличие таких OIDов в сертификате ключа проверки. По этой причине Удостоверяющие центры в большинстве своем вносят их по просьбе владельца ЭП.
Осталось найти это большинство УЦ. УЦ ФК, например, ещё летом исключил oid Росреестра.
"ФНС нашла новый повод отказать в выдаче электронной подписи" - под таким названием вышла статья в электронной газете "Учет. Налоги. Право"
Стало больше причин, по которым у компании не примут декларацию или откажут директору в выдаче электронной подписи. ФНС провела внутренний аудит и поручила инспекторам устранить недочеты. В итоге работа контролеров над ошибками обернулась новыми рисками для компаний.
Чтобы получить бесплатный доступ к статье, следуйте инструкции
Стало больше причин, по которым у компании не примут декларацию или откажут директору в выдаче электронной подписи. ФНС провела внутренний аудит и поручила инспекторам устранить недочеты. В итоге работа контролеров над ошибками обернулась новыми рисками для компаний.
Чтобы получить бесплатный доступ к статье, следуйте инструкции
С нашим каналом поделился своим докладом "Сложности работы бизнеса с документами, подписанными открепленной ЭП", который был представлен на PKI-Форуме, генеральный директор «НТСсофт» Игорь Белоцерковский