Обновлено руководство пользователя вида сведений "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА". Подробные данные о ВС доступны по ссылке и в перечне Видов сведений ЛК УВ (ссылка на ВС в ЛК УВ).

Октябрь 2021 года насыщен событиями в плане пороговых значений в 1 млн. сертификатов. Сегодня количество действующих сертификатов, созданных Федеральным казначейством, преодолело рубеж в 1 млн. штук. Благодарим коллег из территориальных органов Федерального казначейства и владельцев сертификатов за совместный труд и использование Портала заявителя информационной системы "Удостоверяющий центр Федерального казначейства" (https://fzs.roskazna.ru/). Совместными усилиями ожидаем количество выданных сертификатов в 2021 году - более 1 млн.

На проект приказа Минцифры России ‎«Об утверждении Порядка формирования и ведения реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров» по результатам оценки регулирующего воздействия получено отрицательное заключение Минэкономразвития России № 35750-АХ/Д26и от 18.10.2021.

Представлено замечание - в соответствии с пунктом 7 проекта акта, аккредитованный УЦ должен обеспечить защиту информации, содержащейся в реестре квалифицированных сертификатов, от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий в течение всего срока своей деятельности. При этом формирование и ведение реестра квалифицированных сертификатов осуществляется в условиях, обеспечивающих предотвращение несанкционированного доступа к нему.
Однако открытым остается вопрос, какие конкретно требования необходимо выполнять для достижения таких целей. Не представляется возможным определить, являются ли эти требования схожими с требованиями, установленными для осуществления УЦ своей деятельности, или могут предъявляться дополнительные требования. В указанном случае контролирующий орган фактически может предъявлять любые требования к защите информации, что представляется избыточным.

Отметим, что в ходе общественного обсуждения предложений и замечаний к проекту акта не поступало.

На проект приказа Минцифры России ‌‎«Об утверждении Порядка передачи реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, в случае прекращения деятельности аккредитованного удостоверяющего центра» по результатам оценки регулирующего воздействия получено положительное заключение Минэкономразвития России № 35749-АХ/Д26и от 18.10.2021.

Минцифры России поручено до 01.04.2022 обеспечить разработку и функционирование типового технического решения, интегрированного с ЕПГУ, которое будет использоваться МФЦ в случае отсутствия технической возможности передачи электронных дубликатов документов из информационной системы МФЦ в личный кабинет заявителя на ЕПГУ. Доступ к техническому решению предоставляется на основании запроса МФЦ, направленного с использованием ФГИС «Федеральный ситуационный центр электронного правительства».

В целевой схеме электронные дубликаты документов размещаются уполномоченным должностным лицом МФЦ в личном кабинете заявителя на ЕПГУ из информационной системы МФЦ с использованием СМЭВ.

При размещении электронного дубликата документа в личном кабинете на ЕПГУ в целях хранения обеспечивается его подписание и повторное подписание квалифицированной ЭП оператора ЕПГУ.

Повторное подписание обеспечивается с использованием вновь созданных ключа ЭП и сертификата оператора ЕПГУ исключительно в следующих случаях:
- не позднее чем за 3 месяца до истечения срока действия последнего выданного сертификата оператора;
- при смене лица, ответственного за создание последнего выданного ключа ЭП и последнего выданного сертификата оператора;
- при установленном факте компрометации или возникновении угрозы компрометации последнего выданного ключа ЭП оператора;
- после аннулирования последнего выданного сертификата оператора.

Отметим следующее, механизм "повторного подписания" - это механизм создания меток доверенного времени, расписанный таким образом в постановлении.
Одним из случаев повторного подписания является "не позднее чем за 3 месяца до истечения срока действия последнего выданного сертификата оператора".
Обратим внимание, что срок действия сертификатов служб TSP как правило не менее 15 лет, а так как срок действия ключа ЭП и сертификата применительно к TSP не равны друг другу, фраза должна звучать примерно так: "не позднее чем за 3 месяца до истечения срока действия ключа ЭП последнего выданного сертификата оператора".

Распоряжением Коллегии Евразийской экономической комиссии от 11.10.2021 № 169 утвержден План мероприятий по взаимному признанию электронной подписи странами ЕАЭС при госзакупках.

Распоряжение коллегии ЕЭК вступает в силу с даты его опубликования на официальном сайте Евразийского экономического союза.
Отметим, что по состоянию на 31.10.2021 распоряжение не опубликовано.

Всего в Плане 6 мероприятий. До конца 2021 года должны быть выполнены первые 3:
1. Информирование Комиссии об уполномоченных органах по вопросам признания иностранной ЭП, ДТС, осуществляющих проверку подлинности иностранной ЭП, и УЦ.
2. Информирование Комиссии о сертифицированных средствах ЭП, СКЗИ, используемых для обеспечения участия потенциальных поставщиков и поставщиков государств-членов в госзакупках.
3. Информирование Комиссией уполномоченных органов по вопросам признания иностранных ЭП, о ДТС и УЦ, о СКЗИ, используемых для обеспечения участия потенциальных поставщиков и поставщиков государств-членов в госзакупках.

До конца 2022 года запланировано наделение Совета Комиссии полномочиями по утверждению правил взаимного признания ЭП, изготовленной в соответствии с законодательством одного государства-члена, другим государством-членом для целей госзакупок, путем внесения изменений в Договор о Евразийском экономическом союзе от 29 мая 2014 года и Регламент работы Евразийской экономической комиссии.

Утверждение правил взаимного признания ЭП планируется в течение года после наделения Совета Комиссии полномочиями по утверждению данных правил.

Техническая реализация требований по взаимному признанию ЭП путем проверки ее подлинности, установленных правилами, а также информирование Комиссии о результатах технической реализации, планируется в течение года с даты утверждения правил взаимного признания ЭП.

Утвержденный План мероприятий по взаимному признанию ЭП - очередная попытка обеспечения юридической силы электронных документов при взаимодействии стран ЕАЭС.

Ранее уже принимались:
- Решение Коллегии ЕЭК от 23 августа 2012 № 144 "Об утверждении Плана мероприятий по вопросу взаимного признания электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Таможенного союза и Единого экономического пространства (Республики Беларусь или Российской Федерации), другим государством - членом Таможенного союза и Единого экономического пространства (Республикой Беларусь или Российской Федерацией) в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Решение Совета ЕЭК от 24 августа 2012 № 70 "О взаимном признании электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Таможенного союза и Единого экономического пространства (Республики Беларусь или Российской Федерации), другим государством - членом Таможенного союза и Единого экономического пространства (Республикой Беларусь или Российской Федерацией) в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Решение Совета ЕЭК от 23 ноября 2012 № 95 "О мероприятиях, направленных на обеспечение взаимного признания электронной цифровой подписи в рамках Таможенного союза и Единого экономического пространства в целях исполнения Соглашения о государственных (муниципальных) закупках".
- Распоряжение Совета ЕЭК от 13 июля 2018 № 19 "О взаимном признании электронной цифровой подписи для беспрепятственного доступа потенциальных поставщиков и поставщиков государств - членов Евразийского экономического союза к участию в государственных (муниципальных) закупках, проводимых в электронном формате".
- Распоряжение Коллегии Евразийской экономической комиссии
от 2 октября 2018 № 153 "О плане мероприятий по реализации второго этапа Стратегии развития трансграничного пространства доверия".
- Состав межведомственной рабочей группы по взаимному признанию электронной цифровой подписи, изготовленной в соответствии с законодательством одного государства - члена Евразийского экономического союза, другим государством-членом в целях исполнения раздела XXII Договора о Евразийском экономическом союзе от 29 мая 2014 года (в редакции распоряжения Коллегии ЕЭК от 17 августа 2021 № 120).

Постановлением Правительства РФ от 26.02.2021 № 270 были утверждены Правила функционирования государственной интегрированной информационной системы в сфере контроля за оборотом драгоценных металлов, драгоценных камней и изделий из них на всех этапах этого оборота (ГИИС ДМДК). Согласно пункту 63 Правил при формировании и обмене сведениями в ГИИС ДМДК используется усиленная квалифицированная электронная подпись.

ГИИС ДМДК не привлекла бы внимание, если бы не странное требование, что срок действия квалифицированного сертификата должен быть не менее 10 лет после окончания срока действия закрытого ключа ЭП. Наличие требования объясняется тем, что связано с необходимостью обеспечения возможности проверки цепочки сертификатов в течение срока хранения электронных документов, составляющего 10 лет. Наверное это единственная ГИС, оператор которой предпочел выдвинуть такое требование к сертификатам, а не к архитектуре системы в части использования службы меток доверенного времени, как в остальных ГИС.

На портале данной системы указано, что одной из таких уполномоченных организаций по предоставлению юридическим лицам и индивидуальным предпринимателям услуг, связанных с созданием и выдачей удостоверяющим центром сертификатов ключей проверки электронной подписи, является АО «Гознак». При этом сам Гознак в роли УЦ не выступает (возможно ранее являлся доверенным лицом). Согласно форме договора удостоверяющим центром является ООО «АНК». Но данное ООО не прошло аккредитацию после 01.07.2021 по новым требованиям 63-ФЗ, а значит не может сейчас осуществлять выдачу квалифицированных сертификатов.

Согласно паспорту федерального проекта «Информационная безопасность» до конца 2021 года запланирована разработка проекта федерального закона о регулировании криптографической деятельности в Российской Федерации.

Есть основания полагать, что один из нормативных правовых актов, который будет принят во исполнение данного закона, заменит знаменитую "розовую инструкцию" - 152 приказ ФАПСИ.

Интересный вид сведений зарегистрирован Минцифры России в продуктивной среде СМЭВ 3.0 "Проверка усиленной неквалифицированной электронной подписи" версии 2.2.0.

Подробные данные о ВС доступны по ссылке и в перечне Видов сведений ЛК УВ.

При этом в руководстве пользователя схема отчетов описана с использованием хэш-функции ГОСТ Р 34.11-94.

Эталонный запрос «Проверка неквалифицированной ЭП штампа времени» подписан с использованием следующего сертификата.

Действительно - неквалифицированная подпись.

Нейросеть, которая рисует картинки по описанию на русском языке, изобразила электронную подпись следующим образом.

Представитель Федерального казначейства отчитывается об успехах работы удостоверяющего центра для госсектора — смотрите видеозапись доклада на PKI-Форуме Россия 2021.

https://youtu.be/nyOP1DJNdTs

#pkiforum

1 марта 2022 года вступают в силу не только приказы Минцифры России, но и ряд приказов ФСБ России - один из них от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи".
Полномочие ФСБ России по утверждению правил подтверждения владения ключом ЭП было внесено в 63-ФЗ ещё Федеральным законом от 30.12.2015 № 445-ФЗ, но приказ был издан и зарегистрирован Минюстом России только весной 2021 года.
Одна из причин - долгое утверждение Минцифры России формата ЭП, обязательного для реализации всеми средствами ЭП (приказ от 14.09.2020 № 472), в 154 приказе ФСБ России 5 раз даётся ссылка на 472 приказ Минцифры России. Что характерно, полномочие Минцифры России по утверждению формата ЭП также было внесено в 63-ФЗ Федеральным законом от 30.12.2015 № 445-ФЗ.

Тезисно - о чем 154 приказ ФСБ России:
1. Правила устанавливают порядок получения не только УЦ, но и головным УЦ, доказательств того, что лицо, обратившееся за получением сертификата (заявитель), владеет ключом ЭП, который соответствует ключу проверки ЭП, указанному им для получения сертификата. Правила не распространяются на случаи, когда ключ ЭП был создан в УЦ при личном обращении заявителя.

2. В целях получения доказательств того, что заявитель владеет ключом ЭП, УЦ устанавливает соответствие заявления на выдачу сертификата виду структуры CertificationRequest (PKCS10), а также использование для подписания заявления сертифицированных средств ЭП. Владение ключом ЭП не подтверждается, если два данных условия не соблюдаются.

3. УЦ идентифицирует заявителя одним из способов, предусмотренных 63-ФЗ, с учетом следующих особенностей.
3.1. В случае представления заявления на выдачу сертификата с использованием информационно-телекоммуникационных сетей, в том "Интернет", УЦ устанавливает:
при идентификации заявителя посредством использования квалифицированной ЭП - подписание заявления на выдачу сертификата квалифицированной ЭП с применением принадлежащего заявителю ключа ЭП.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдается условие по подписанию заявления квалифицированной ЭП;
квалифицированная ЭП недействительна.
3.2. При идентификации заявителя по загранпаспорту:
Использование для защиты канала сертифицированных СКЗИ;
использование для подписания заявления на выдачу сертификата сертифицированных средств ЭП.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдаются условия по использованию сертифицированных СКЗИ и средств ЭП.
3.3. При идентификации заявителя через ЕСИА+ЕБС - использование для предоставления биометрических персональных данных шифровальных (криптографических) средств.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдаются условия по использованию шифровальных (криптографических) средств.
3.4. При идентификации заявителя, представляющего заявление на выдачу сертификата усиленной неквалифицированной ЭП с использованием простой ЭП, ключ которой получен при личной явке - условие организации взаимодействия УЦ с ЕСИА с применением сертифицированных средств защиты информации.

4. Если в результате действий, осуществленных УЦ согласно п. 3, отсутствуют основания утверждать, что заявитель не владеет ключом ЭП, или заявление на выдачу сертификата представлено при личной явке, УЦ проверяет действительность ЭП, которой подписано заявление. Владение ключом ЭП не подтверждается, если ЭП недействительна. УЦ подтверждает владение заявителем ключом ЭП, если действительность ЭП установлена.

Очень большая и актуальная тема про машиночитаемые доверенности. Прошел месяц после регистрации 3-х приказов Минцифры, но постановления Правительства до сих пор не утверждены (по плану Правительства и приказы Минцифры и постановления Правительства должны были быть приняты до конца июля 2021 года).

Базовым элементом системы МЧД является классификатор полномочий. Путаница с классификатором началась ещё с момента размещения проекта приказа для общественного обсуждения в карточке проекта постановления Правительства РФ. Неудивительно, что при таком количестве подзаконных актов запутались и сотрудники Минцифры России.

В 63-ФЗ классификатор полномочий встречается 3 раза ("В документе о полномочиях полномочия определяются на основании классификатора полномочий", "Уполномоченный федеральный орган формирует, актуализирует классификатор полномочий и обеспечивает доступ к нему в соответствии с установленным им порядком", "Полномочия, удостоверенные такими доверенностями, определяются в соответствии с классификатором полномочий"), но ни в законе ни в подзаконных актах нет определения, а что такое классификатор полномочий?

Дадим своё определение, классификатор полномочий – систематизированный перечень на основании которого определяются полномочия лица, которому выдана доверенность.

Как должен заполняться классификатор полномочий? Данный вопрос в очень активной проработке рабочих групп. Полагаем, что также стоит ждать новостей и от регулятора. В любом случае классификатор полномочий должен стать универсальным и понятным ресурсом, ведь его будут использовать операторы информационных систем в том числе и государственных. Видится, что на первом этапе в него должны "мигрировать" полномочия, oid которых отдельные ведомства ранее требовали указывать в структуре квалифицированных сертификатов.

Комитет Государственной Думы по финансовому рынку ранее неоднократно назначался ответственным комитетом по законопроектам о внесении изменений в 63-ФЗ (самые значимые изменения были внесены в 2015 году 445-ФЗ и 2019 году 476-ФЗ).
В связи с тем, что в настоящее время на рассмотрении в Государственной Думе отсутствуют законопроекты, которые бы предусматривали внесение изменений в 63-ФЗ или схожие федеральные законы, ждем внесения отдельного законопроекта по установлению до конца 2022 года переходного периода при применении машиночитаемой доверенности, а также назначении Комитета Государственной Думы по финансовому рынку в очередной раз ответственным комитетом.
Ну а пока данный Комитет планирует 10.11.2021 рассмотреть вопрос о создании Подкомитета по цифровой трансформации финансового рынка и новым финансовым технологиям.