Сервис для аккредитации ДТС

В сентябре в промышленную эксплуатацию введен сервис Минцифры России «Прием заявлений с ЕПГУ по форме «ПГС_Аккредитация доверенной третьей стороны». Возможно, это как-то ускорит появление аккредитованных ДТС (организаций, осуществляющих проверку ЭП в конкретный момент времени). Аккредитованные доверенные третьи стороны до настоящего времени отсутствуют (при этом действующему административному регламенту по аккредитации ДТС скоро 2 года).

Срок подготовки обоих законопроектов к рассмотрению Государственной Думой в первом чтении – ноябрь 2022 года

Сервис ФНС России «Личный кабинет налогоплательщика-юрлица» будет доработан для входа с использованием квалифицированного сертификата должностного лица, выданного удостоверяющим центром Федерального казначейства

О доработке говорится в письме ФНС России от 13 октября 2022 г. N ПА-3-24/11177@

Обращение от 14.09.2022 по вопросу авторизации в интерактивном сервисе ФНС России «Личный кабинет налогоплательщика — юридического лица» (далее — Сервис) с использованием квалифицированного сертификата, полученного в удостоверяющем центре Федерального казначейства, рассмотрено.

Сообщаю, что в соответствии с Регламентом эксплуатации подсистемы «Личный кабинет налогоплательщика — юридического лица», утвержденным приказом ФНС России от 14.01.2014 N ММВ-7-6/8@, доступ к указанной подсистеме осуществляется только с использованием квалифицированного сертификата юридического лица.

Вместе с тем с учетом вступления в силу положений части 3 статьи 17.2 Федерального закона от 06.04.2011 N 63-ФЗ «Об электронной подписи» в настоящее время ведутся доработки Сервиса в части реализации возможности авторизации с использованием квалифицированного сертификата должностного лица, выданного удостоверяющим центром Федерального казначейства.
Запуск указанного функционала в промышленную эксплуатацию запланирован с 1 января 2023 года.

Отмечаю, что предоставление доступа пользователю, в том числе с использованием квалифицированного сертификата должностного лица, и назначение полномочий будут доступны в разделе «Администрирование» лицу, действующему без доверенности от имени организации, при его авторизации в Сервисе с использованием квалифицированного сертификата юридического лица.

Когда не успеваешь внедрить применение ЭП, то лучше перенести до 2025 года. Именно так сделал Минсельхоз в части внесения изменений в Положение о системе государственного информационного обеспечения в сфере сельского хозяйства.

Мифы об электронной подписи
Наш канал начинает серию постов про всевозможные мифы, связанные с использованием электронной подписи

Миф 1. Квалифицированные сертификаты юридических лиц и индивидуальных предпринимателей, полученные в коммерческих удостоверяющих центрах до 31.12.2021, прекратят своё действие с 01.01.2023

Данный миф особенно часто стал появляться в новостях. В нем говорится про сертификаты руководителей ЮЛ и ИП, которые были получены до 31.12.2021 в коммерческих УЦ, когда данные УЦ ещё могли выдавать такие сертификаты.

Истоки данного мифа исходят из интерпретации пункта 2.7 статьи 3 476-ФЗ, которая говорит, что квалифицированные сертификаты, выданные в соответствии с частями 2.3 - 2.6 данной статьи, должны иметь срок действия не позднее 31 декабря 2022 года. В случае, если такие квалифицированные сертификаты имеют срок действия после 31 декабря 2022 года, такие квалифицированные сертификаты действуют до 31 декабря 2022 года.

Далеко не все УЦ ограничивали сроки действия сертификатов, это очень хорошо видно по графику - сертификаты, выданные в декабре 2021, истекают в марте 2023 т.е. срок действия 15 месяцев. Требование об ограничении сроков действия сертификатов изначально было ошибочное т.к. создаёт ситуацию, когда в один день 31.12.2022 должны истечь миллионы сертификатов.
Внесенный законопроект о продлении "переходного периода" урегулирует данную ситуацию, "продлит" установленный срок истечения до 31.08.2023, только для сертификатов руководителей ЮЛ и ИП было достаточно 31.03.2023.

Квалифицированные сертификаты юридических лиц и индивидуальных предпринимателей, полученные в коммерческих удостоверяющих центрах до 31.12.2021, и срок действия которых истекает в 2023 году, НЕ прекратят своё действие с 01.01.2023

Мобильное приложение по самостоятельной регистрации в единой биометрической системе будет доступно с марта 2023 года, об этом 26.10.2022 на брифинге в Минспорте, посвященному внедрению системы идентификации болельщиков, сообщил директор Департамента развития технологий цифровой идентификации Минцифры Дмитрий Дубынин.

"Гражданин с использованием заграничного паспорта с чипом сможет зарегистрироваться в единой биометрической системе и с помощью такой биометрии дистанционно оформить карту болельщика, — сказал Д. Дубынин во время заседания.
Будет ли возможность зарегистрироваться через мобильное приложение в ЕБС и дистанционно получить квалифицированный сертификат вопрос открытый.

По мнению ФНС России, которое изложено в письме от 21.10.2022 № ЕА-3-26/11606@, в случае отсутствия между Российской Федерацией и иностранными государствами международных договоров в соответствии с положениями статьи 7 закона 63-ФЗ иностранная электронная подпись может быть признана только простой.

Хозяйствующий субъект вправе при взаимодействии с иностранными резидентами применять для оформления первичных учетных документов простую электронную подпись, созданную в соответствии с нормами права иностранного государства и международными стандартами.

Минцифры планирует создать Национальный технологический центр по цифровой криптографии (НТЦ ЦК)

Структура должна обеспечить «частно-государственное взаимодействие» для создания средств криптографической защиты информации (СКЗИ), заявил 27 октября замминистра цифрового развития Александр Шойтов на пленарной сессии конференции «Пространство безопасности»

Представляем пример обращений граждан по вопросам деятельности удостоверяющего центра.

К ЭЦП мы уже привыкли, но термин «закрытью полностью ЭЦП» для нас является новинкой.

В части прекращения действия сертификатов, в соответствии с п. 30 Порядка реализации Федеральным казначейством функций аккредитованного удостоверяющего центра и исполнения его обязанностей, утвержденного приказом Федерального казначейства от 15.06.2021 № 21н, прекращение действия сертификата по инициативе владельца сертификата осуществляется на основании заявления, которое может быть подано как на бумажном носителе в ТОФК, так и в форме электронного документа посредством ИС УЦ.

Действие сертификата прекращается при условии идентификации владельца сертификата с использованием КЭП или при личном присутствии с представлением документа, удостоверяющего личность владельца сертификата, а также при подтверждении достоверности сведений, указанных в заявлении на прекращение действия сертификата.

Минцифры России для общественного обсуждения опубликован проект Административного регламента предоставления Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации государственной услуги по государственной аккредитации организаций, осуществляющих деятельность в области информационных технологий

Эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России средств электронной подписи» завершен

3 года условно за хищение 912 тыс. руб. бухгалтером школы

В период с февраля 2020 года по август 2021 года бухгалтер, имея доступ к ключам электронной подписи директора школы, каждый месяц необоснованно завышала себе зарплату. За 1,5 года она таким образом получила 912 тысяч рублей.

Что делать, если аутсорсинговая компания не отдает гендиректору электронный ключ, оформленный на его имя?

Можно подать в суд на аутсорсинговую компанию, выиграть его, а потом наблюдать, как судебные приставы будут исполнять судебное решение по возврату токена.
А правильно - не пытаться узнать ответ на бухгалтерских порталах, на которых могут написать только глупость (Сертификат аннулируется Межрегиональной инспекцией ФНС России по централизованной обработке данных).
С чего был сделан вывод, что сертификат был получен именно в УЦ ФНС России? Возможно он был получен в 2021 году в коммерческом АУЦ. Приведенное в ответе письмо ФНС России от 16.03.2021 № ПА-19-24/151@, касалось представления отчетности в налоговые органы от имени ООО с применением квалифицированной ЭП. Приказ ФНС России от 20.08.2015 № СА-7-6/364@ про порядок формирования усиленной неквалифицированной ЭП налогоплательщика.

В продолжение прошлого поста. На этот раз редактор журнала "Учет учреждений" рассказывает, "как составить журнал выдачи электронной подписи".
В самом начале видео говорится, что "в действующем законодательстве нет чётких правил, как и где хранить электронные подписи, это отдано на усмотрение владельцу подписи или учреждению".
Не читает бухгалтерия 152-ФАПСИ: п. 30, "Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение".
Что про тубус не забыли - хорошо, только как быть уверенным, что в тубусе нужный ключевой носитель, перед опечатыванием требуется проверка по серийному номеру.
На практике так "выдают электронные подписи", например, в МФЦ Москвы, только без тубуса, просто в начале каждого рабочего дня выдают каждому свой токен с биркой.

Мифы об электронной подписи

Миф 2. В 2020 году граждане, которые в период пандемии были лишены возможности посетить удостоверяющий центр, были бесплатно обеспечены трехмесячными квалифицированными сертификатами

Непросто писать, что написанное в федеральном законе - миф, но не в первый раз.
Речь про Федеральный закон от 08.06.2020 № 166-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в целях принятия неотложных мер, направленных на обеспечение устойчивого развития экономики и предотвращение последствий распространения новой коронавирусной инфекции», а более конкретно про его норму в части продления сроков действия ключей ЭП, соответствующих ключам проверки ЭП, указанным во вновь созданных квалифицированных сертификатах, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами, а также создание квалифицированных сертификатов, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами.

Сертифицированные средства УЦ, предназначенные для реализации функций аккредитованного удостоверяющего центра, в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» должны соответствовать требованиям к средствам удостоверяющего центра, утверждённым приказом ФСБ России от 27.12.2011 № 796. Поэтому с помощью средств УЦ невозможно было создать новый квалифицированный сертификат с использованием ключа проверки ЭП, для которого ранее выдавался квалифицированный сертификат, т.к. такой открытый ключ не пройдет обязательную проверку на уникальность. Согласно пункту 2 части 6.1 статьи 14 63-ФЗ удостоверяющий центр аннулирует сертификат ключа проверки ЭП, если установлено, что содержащийся в таком сертификате ключ проверки ЭП уже содержится в ином, ранее созданном сертификате ключа проверки ЭП. Таким образом, данная норма противоречит статье 19.3 166-ФЗ, согласно которой аккредитованные удостоверяющие центры должны были создавать квалифицированные сертификаты с использованием ключа проверки ЭП, указанного ранее в прекратившем действие квалифицированном сертификате.

Сертифицированные СКЗИ контролируют срок действия ключей ЭП. В случае использования ключевых носителей без ФКН - максимальный срок действия ключа ЭП составляет 1 год и 3 месяца. Таким образом, если сертификат ключа проверки ЭП и соответствующий ему ключ подписи создавались со сроком действия 15 месяцев, то "продление" ключа подписи на 3 месяца приведет к несоответствию максимально установленного срока действия для СКЗИ, что, в свою очередь, при штатной эксплуатации СКЗИ обеспечит блокировку формирования ЭП по истечении срока действия ключа подписи.

Ни один аккредитованный УЦ технически не был готов выполнить норму 166-ФЗ, поэтому её выполнение - миф.

01.11.2022 вступил в силу приказ ФНС России от 21.10.2022 № ЕД-7-26/967@, утверждающий рекомендуемые форматы перечней документов, которые могут требовать к предоставлению у операторов электронного документооборота налоговые органы, в том числе:

Копии документов связанных с выдачей сертификатов (СКПЭП):
- заявления на оформление (получение) сертификата ключа ЭП,
- доверенности на оформление (получение) сертификата ключа ЭП,
- сведения о лицах, обратившихся от имени проверяемого налогоплательщика за оформлением (получением) сертификата ключа ЭП (ФИО, номера телефонов, паспортные данные),
- листы ознакомления с информацией, содержащейся в сертификате ключа ЭП,
- заявления об отзыве сертификата ключа ЭП,
- места получения сертификата (адрес места выдачи сертификата),
- информация по оплате услуг).

Сведения о сертификатах (СвСертиф):
- серийный номер сертификата,
- признак компрометации СКЭП,
- причина компрометации СКЭП,
- признак владельца ЭП,
- ИНН организации, владельца ЭП,
- ИНН физического лица (индивидуального предпринимателя), владельца ЭП.

При этом не все операторы ЭДО являются аккредитованными УЦ.

УЦ ФК в текущей реализации может выпускать сертификаты с максимальным сроком действия равным сроку действия подчиненного сертификата УЦ ФК (сроком действия от 13 лет и 9 месяцев до 15 лет, т.к. их срок будет устанавливаться равным сроку действия сертификата УЦ ФК на момент выпуска сертификата). Клиентам сертификаты выдаются на срок, не превышающий срок действия закрытого ключа (как правило 1 год 3 месяца). Для обеспечения возможности проверки ЭП после окончания срока действия такого сертификата в информационных системах Казначейства России используются усовершенствованные форматы ЭП, в частности XAdES-C/CAdES-С.

ЭП сформированные на основе XAdES-C/CAdES-С содержат метку времени, сертификат которой имеет срок действия, равный сроку действия сертификата УЦ ФК и информацию о действительности сертификата на момент подписания.

Таким образом Казначейство России не располагает фактами, что используемые подходы не обеспечивают юридически значимого хранения электронных документов.

Приглашаем на вебинар "Все о квалифицированной электронной подписи на основе технологий КриптоПро и Рутокен"

Приглашаем всех 10 ноября 2022 г. в 12-00 (МСК) принять участие в вебинаре "Все о квалифицированной электронной подписи на основе технологий КриптоПро и Рутокен"

В программе вебинара:


🔹 Какие ключи могут храниться на устройствах Рутокен. В чем различия извлекаемых/неизвлекаемых, экспортируемых/неэкспортируемых ключей;
🔹 Режимы работы криптопровайдера КриптоПро CSP;
🔹 Функциональные возможности токенов и смарт-карт Рутокен;
🔹 Обзор совместного решения, задействующего КриптоПро DSS, приложения myDSS 2.0 и устройства Рутокен ЭЦП 3.0 NFC;
🔹 Особенности новой линейки токенов и смарт-карт Рутокен ЭЦП 3.0.

Участие в мероприятии бесплатное, необходима регистрация.

Заместитель генерального директора КриптоПро Станислав Смышляев поделился с BIS Journal своим мнением относительно планов Минцифры России по созданию Национального технологического центра по цифровой криптографии (НТЦ ЦК) и высказал намерение КриптоПро принять участие в работе такого центра.

«Сейчас – как в России, так и за рубежом – разрабатывается и внедряется большое количество систем электронного взаимодействия (между гражданами, организациями, государством), которым критически необходимо обеспечение информационной безопасности криптографическими средствами. Однако при этом защита должна обеспечиваться с учётом всех аспектов этих систем: требуются новые криптографические протоколы, новые подходы к интеграции криптографических средств в информационные системы. Говоря другими словами, просто хорошего программно-аппаратного шифратора недостаточно для того, чтобы обеспечить защиту системы, в которой предполагается взаимодействие с массовым пользователем, который будет использовать свой ноутбук или мобильный телефон для получения доступа к тем или иным услугам через интернет», – комментирует ситуацию Станислав Смышляев.

Сами криптографические протоколы в России разрабатываются и стандартизируются в России в рамках Технического комитета «Криптографическая защита информации» (ТК 26), объясняет эксперт. Но при этом крайне важно, чтобы и реализации этих протоколов создавались и внедрялись с наиболее точным выполнением требований (как функциональных, так и требований информационной безопасности) конечных систем, где они будут применяться. Именно для координации такого взаимодействия, с целью появления площадки, на которой архитекторы и потребители конечных систем смогут взаимодействовать с криптографами, разработчиками, представителями регуляторов и научного сообщества для выбора оптимальных путей решения сложных задач, и является крайне важным создание такого центра.

«На наш взгляд, заинтересованы в создании такого центра архитекторы, разработчики и владельцы информационных систем (как существующих, так и перспективных), – говорит Станислав Смышляев. – Это можно объяснить тем, что разрабатываемые в рамках центра решения и оказываемые консультации позволят внедрять современные и соответствующие всем требованиям законодательства средства криптографической защиты более оперативно и слаженно, а главное, учитывая аспекты каждой конкретной системы».

В создании центра заинтересованы также разработчики криптосредств, так как более плотное взаимодействие с заказчиками (при этом сразу вместе с представителями государства и науки) позволит расширить область применения разрабатываемых криптосредств, повышая при этом защищённость государственных и негосударственных ИС, а также массового пользователя, добавляет эксперт.

ФСБ России для общественного обсуждения размещен проект нового Административного регламента по лицензированию деятельности в области шифровальных (криптографических) средств