В соответствии со статьей 3 Федерального закона от 31.07.2020 № 247-ФЗ "Об обязательных требованиях в Российской Федерации" положения нормативных правовых актов, устанавливающих обязательные требования, должны вступать в силу либо с 1 марта, либо с 1 сентября соответствующего года, но не ранее чем по истечении 90 дней после дня официального опубликования, если иное не установлено федеральным законом, Указом Президента РФ или международным договором Российской Федерации, предусматривающими установление обязательных требований.

Поэтому срок вступления в силу приказов Минцифры России не 1 января, а 1 марта 2022 года.

К сожалению, Техническое задание на передачу прав и оказание услуг по обеспечению функционирования, администрирования и бесперебойной работы программного обеспечения в целях предоставления коммуникационных сервисов для ФОИВ, ЦИК и гос.внебюджетных фондов в рамках обеспечения АРМ и ПО, не содержит требований по реализации функционала электронной подписи.

Судебная практика, связанная с использование электронной подписи, не самая распространенная. Чаще всего исковые требования связаны с передачей ключей электронной подписи, когда истец оспаривает факт подписания именно им электронных документов.
Судьи в ходе таких процессов (1, 2) приходят к выводам, что:
- владельцы сертификатов не исполняют обязанности по обеспечению конфиденциальности принадлежащих им ключей ЭП,
- использование ЭП с нарушением конфиденциальности соответствующего ключа не освобождает владельца за неблагоприятные последствия наступившие в результате такого использования,
- Закон об электронной подписи не содержит положений, позволяющих осуществлять передачу права пользования электронной подписью иному лицу.

Такая судебная практика будет только расти, пока владельцы сертификатов не будут относиться к электронной подписи, как к аналогу собственноручной подписи, как к своему личному уникальному идентификатору в цифровом пространстве, а не как к "флешке", без подключения которой к компьютеру нельзя отправить документ.

Наш канал оставит это без комментариев, т.к. анекдоты комментариев не требуют (40 сек.).
"- Есть ли у тебя электронная подпись?
- Да, у меня есть электронная подпись, которая оформлена через портал Госуслуги, электронная подпись частного лица.
- Продвинутая девушка, у меня её нет."

А сами выступления с GisDays 2021 "Секция ДТС, ЭДО, PKI" просмотра стоят.

#pkiforum #pki #уц #эп #всёпроэдо

Как изменится работа УЦ и использование ЭП в ближайший год и в долгосрочной перспективе — эксперты делятся своим мнением на PKI-Форуме Россия 2021.

https://www.youtube.com/watch?v=Hip6XF4MsPs

Мобильное приложение "Госключ" было использовано при подписании Кодекса этики искусственного интеллекта.

В настоящее время Госключ позволяет сформировать ключ ЭП и получить неквалифицированный сертификат (цепочка доверия создаваемых сертификатов строится от неквалифицированного самоподписанного сертификата с CN = Госуслуги. Неквалифицированная электронная подпись), а значит Кодекс этики искусственного интеллекта был подписан неквалифицированной электронной подписью (не пришлось бы переподписывать уже квалифицированной ЭП).

Несколько моментов, на которые от технической поддержки Госключа так и не были получены комментарии:
- в созданном сертификате в поле "Расширенное использование ключа" указан oid - очная идентификация, но идентификация не могла быть очной, т.к. она была удаленная по учётной записи ЕСИА.
- печатная форма заявления на сертификат подписывается ключом, сертификат которого только ещё создается. Заявление на сертификат только подается, а оказывается, что форма подписывается уже с использованием созданного сертификата.
- в созданном неквалифицированном сертификате заполняются следующие атрибуты имени поля «subject»:
CN = ФИО
ИНН
СНИЛС
SN = Фамилия
G = Имя Отчество
C = RU.
Это соответствует общему виду квалифицированного сертификата на бумажном носителе для владельца - физического лица (795 приказ ФСБ России).
Однако атрибуты имени поля «subject» корневого (самоподписанного) сертификата:
CN = Госуслуги. Неквалифицированная электронная подпись.
C = RU
Что не соответствуют общему виду сертификата для владельца юридического лица.

В ходе данного круглого стола его участникам был задан вопрос: "Сколько будет аккредитованных УЦ через 3-5 лет?".

Эксперты ответили следующее:
Юрий Малинин - около 40.
Алексей Пауков - несколько УЦ, но большие объемы по выдаче сертификатов - единицы.
Роман Кузнецов – «чтобы ежегодно можно было проверять»*
(* - с сентября 2020 года министерство проверило деятельность 143 организаций).
Анастасия Лабуцкая - десятки, но организации будут сервисные.
Вячеслав Бражко - 4 УЦ из них 3 государственные.

Предлагаем нашим подписчикам сделать свой прогноз.

Обновлено руководство пользователя вида сведений "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА". Подробные данные о ВС доступны по ссылке и в перечне Видов сведений ЛК УВ (ссылка на ВС в ЛК УВ).

Октябрь 2021 года насыщен событиями в плане пороговых значений в 1 млн. сертификатов. Сегодня количество действующих сертификатов, созданных Федеральным казначейством, преодолело рубеж в 1 млн. штук. Благодарим коллег из территориальных органов Федерального казначейства и владельцев сертификатов за совместный труд и использование Портала заявителя информационной системы "Удостоверяющий центр Федерального казначейства" (https://fzs.roskazna.ru/). Совместными усилиями ожидаем количество выданных сертификатов в 2021 году - более 1 млн.

На проект приказа Минцифры России ‎«Об утверждении Порядка формирования и ведения реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров» по результатам оценки регулирующего воздействия получено отрицательное заключение Минэкономразвития России № 35750-АХ/Д26и от 18.10.2021.

Представлено замечание - в соответствии с пунктом 7 проекта акта, аккредитованный УЦ должен обеспечить защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности. При этом формирование и ведение реестра квалифицированных сертификатов осуществляется в условиях, обеспечивающих предотвращение несанкционированного доступа к нему.
Однако открытым остается вопрос, какие конкретно требования необходимо выполнять для достижения таких целей. Не представляется возможным определить, являются ли эти требования схожими с требованиями, установленными для осуществления УЦ своей деятельности, или могут предъявляться дополнительные требования. В указанном случае контролирующий орган фактически может предъявлять любые требования к защите информации, что представляется избыточным.

Отметим, что в ходе общественного обсуждения предложений и замечаний к проекту акта не поступало.

На проект приказа Минцифры России ‌‎«Об утверждении Порядка передачи реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, в случае прекращения деятельности аккредитованного удостоверяющего центра» по результатам оценки регулирующего воздействия получено положительное заключение Минэкономразвития России № 35749-АХ/Д26и от 18.10.2021.

Минцифры России поручено до 01.04.2022 обеспечить разработку и функционирование типового технического решения, интегрированного с ЕПГУ, которое будет использоваться МФЦ в случае отсутствия технической возможности передачи электронных дубликатов документов из информационной системы МФЦ в личный кабинет заявителя на ЕПГУ. Доступ к техническому решению предоставляется на основании запроса МФЦ, направленного с использованием ФГИС «Федеральный ситуационный центр электронного правительства».

В целевой схеме электронные дубликаты документов размещаются уполномоченным должностным лицом МФЦ в личном кабинете заявителя на ЕПГУ из информационной системы МФЦ с использованием СМЭВ.

При размещении электронного дубликата документа в личном кабинете на ЕПГУ в целях хранения обеспечивается его подписание и повторное подписание квалифицированной ЭП оператора ЕПГУ.

Повторное подписание обеспечивается с использованием вновь созданных ключа ЭП и сертификата оператора ЕПГУ исключительно в следующих случаях:
- не позднее чем за 3 месяца до истечения срока действия последнего выданного сертификата оператора;
- при смене лица, ответственного за создание последнего выданного ключа ЭП и последнего выданного сертификата оператора;
- при установленном факте компрометации или возникновении угрозы компрометации последнего выданного ключа ЭП оператора;
- после аннулирования последнего выданного сертификата оператора.

Отметим следующее, механизм "повторного подписания" - это механизм создания меток доверенного времени, расписанный таким образом в постановлении.
Одним из случаев повторного подписания является "не позднее чем за 3 месяца до истечения срока действия последнего выданного сертификата оператора".
Обратим внимание, что срок действия сертификатов служб TSP как правило не менее 15 лет, а так как срок действия ключа ЭП и сертификата применительно к TSP не равны друг другу, фраза должна звучать примерно так: "не позднее чем за 3 месяца до истечения срока действия ключа ЭП последнего выданного сертификата оператора".

Распоряжением Коллегии Евразийской экономической комиссии от 11.10.2021 № 169 утвержден План мероприятий по взаимному признанию электронной подписи странами ЕАЭС при госзакупках.

Распоряжение коллегии ЕЭК вступает в силу с даты его опубликования на официальном сайте Евразийского экономического союза.
Отметим, что по состоянию на 31.10.2021 распоряжение не опубликовано.

Всего в Плане 6 мероприятий. До конца 2021 года должны быть выполнены первые 3:
1. Информирование Комиссии об уполномоченных органах по вопросам признания иностранной ЭП, ДТС, осуществляющих проверку подлинности иностранной ЭП, и УЦ.
2. Информирование Комиссии о сертифицированных средствах ЭП, СКЗИ, используемых для обеспечения участия потенциальных поставщиков и поставщиков государств-членов в госзакупках.
3. Информирование Комиссией уполномоченных органов по вопросам признания иностранных ЭП, о ДТС и УЦ, о СКЗИ, используемых для обеспечения участия потенциальных поставщиков и поставщиков государств-членов в госзакупках.

До конца 2022 года запланировано наделение Совета Комиссии полномочиями по утверждению правил взаимного признания ЭП, изготовленной в соответствии с законодательством одного государства-члена, другим государством-членом для целей госзакупок, путем внесения изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года и Регламент работы Евразийской экономической комиссии.

Утверждение правил взаимного признания ЭП планируется в течение года после наделения Совета Комиссии полномочиями по утверждению данных правил.

Техническая реализация требований по взаимному признанию ЭП путем проверки ее подлинности, установленных правилами, а также информирование Комиссии о результатах технической реализации, планируется в течение года с даты утверждения правил взаимного признания ЭП.

Утвержденный План мероприятий по взаимному признанию ЭП - очередная попытка обеспечения юридической силы электронных документов при взаимодействии стран ЕАЭС.

Ранее уже принимались:
- Решение Коллегии ЕЭК от 23 августа 2012 № 144 "Об утверждении Плана мероприятий по вопросу взаимного признания электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Таможенного союза и Единого экономического пространства (Республики Беларусь или Российской Федерации), другим государством - членом Таможенного союза и Единого экономического пространства (Республикой Беларусь или Российской Федерацией) в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Решение Совета ЕЭК от 24 августа 2012 № 70 "О взаимном признании электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Таможенного союза и Единого экономического пространства (Республики Беларусь или Российской Федерации), другим государством - членом Таможенного союза и Единого экономического пространства (Республикой Беларусь или Российской Федерацией) в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Решение Совета ЕЭК от 23 ноября 2012 № 95 "О мероприятиях, направленных на обеспечение взаимного признания электронной цифровой подписи в рамках Таможенного союза и Единого экономического пространства в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Распоряжение Совета ЕЭК от 13 июля 2018 № 19 "О взаимном признании электронной цифровой подписи для беспрепятственного доступа потенциальных поставщиков и поставщиков государств - членов Евразийского экономического союза к участию в государственных (муниципальных) закупках, проводимых в электронном формате".
- Распоряжение Коллегии Евразийской экономической комиссии
от 2 октября 2018 № 153 "О плане мероприятий по реализации второго этапа Стратегии развития трансграничного пространства доверия".
- Состав межведомственной рабочей группы по взаимному признанию электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Евразийского экономического союза, другим государством-членом в целях исполнения раздела XXII Договора о Евразийском экономическом союзе от 29 мая 2014 года (в редакции распоряжения Коллегии ЕЭК от 17 августа 2021 № 120).

Постановлением Правительства РФ от 26.02.2021 № 270 были утверждены Правила функционирования государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота (ГИИС ДМДК). Согласно пункту 63 Правил при формировании и обмене сведениями в ГИИС ДМДК используется усиленная квалифицированная электронная подпись.

ГИИС ДМДК не привлекла бы внимание, если бы не странное требование, что срок действия квалифицированного сертификата должен быть не менее 10 лет после окончания срока действия закрытого ключа ЭП. Наличие требования объясняется тем, что связано с необходимостью обеспечения возможности проверки цепочки сертификатов в течение срока хранения электронных документов, составляющего 10 лет. Наверное это единственная ГИС, оператор которой предпочел выдвинуть такое требование к сертификатам, а не к архитектуре системы в части использования службы меток доверенного времени, как в остальных ГИС.

На портале данной системы указано, что одной из таких уполномоченных организаций по предоставлению юридическим лицам и индивидуальным предпринимателям услуг, связанных с созданием и выдачей удостоверяющим центром сертификатов ключей проверки электронной подписи, является АО «Гознак». При этом сам Гознак в роли УЦ не выступает (возможно ранее являлся доверенным лицом). Согласно форме договора удостоверяющим центром является ООО «АНК». Но данное ООО не прошло аккредитацию после 01.07.2021 по новым требованиям 63-ФЗ, а значит не может сейчас осуществлять выдачу квалифицированных сертификатов.

Согласно паспорту федерального проекта «Информационная безопасность» до конца 2021 года запланирована разработка проекта федерального закона о регулировании криптографической деятельности в Российской Федерации.

Есть основания полагать, что один из нормативных правовых актов, который будет принят во исполнение данного закона, заменит знаменитую "розовую инструкцию" - 152 приказ ФАПСИ.

Интересный вид сведений зарегистрирован Минцифры России в продуктивной среде СМЭВ 3.0 "Проверка усиленной неквалифицированной электронной подписи" версии 2.2.0.

Подробные данные о ВС доступны по ссылке и в перечне Видов сведений ЛК УВ.

При этом в руководстве пользователя схема отчетов описана с использованием хэш-функции ГОСТ Р 34.11-94.

Эталонный запрос «Проверка неквалифицированной ЭП штампа времени» подписан с использованием следующего сертификата.

Действительно - неквалифицированная подпись.