Please open Telegram to view this post
VIEW IN TELEGRAM
Отдельно указано - прилагаем электронные подписи всех ключевых сотрудников РКН, а также корневой сертификат (далее про представление о сложностях его перевыпуска и замены).
Что из себя представляют эти "электронные подписи"?
Как говорил сатирик - наберите воздуха в грудь
Это сертификаты открытых ключей и корневой сертификат 10-летней и более давности, на старом ГОСТ, давно уже выведены из эксплуатации и заменены.
Файл сертификата используется для проверки ЭП, а не для её создания, может быть извлечен из файла, подписанного ЭП, например, из любого госконтракта с закупок.
Please open Telegram to view this post
VIEW IN TELEGRAM
Аккредитацию удостоверяющего центра получила публично-правовая компания "Роскадастр",
19.01.2023 ППК "Роскадастр" получен подчиненный сертификат от головного УЦ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Банковским клиентам усилят подписи (Коммерсантъ)
Законодатели готовят поправки, согласно которым граждане смогут давать в электронном виде разрешение на обработку персональных данных банкам и страховщикам только с помощью усиленной электронной подписи. При этом в ходе соответствующего эксперимента на протяжении трех лет использовалась простая электронная подпись, которая имеется более чем у ста миллионов россиян. Изменение этой подписи на усиленную, по мнению участников рынка, снизит конверсию до 10–15%, что делает использование цифрового профиля гражданина неинтересным для коммерческих организаций.
По словам директора технического департамента RTM Group Федора Музалевского, ПЭП ЕСИА выдается фактически в МФЦ. По его словам, можно разрешить и ПЭП ЕСИА для доступа к персональным данным, как минимум, в целях популяризации такого вида подписи. «Слабее она только теоретически, практические векторы атаки на данный вид простой подписи пока не реализованы»,— уверен он.
Очень странный вывод, простая электронная подпись, это, например, логин-пароль, как можно это сравнивать с криптографией? И теоретически, и практически простая ЭП слабее усиленной.
Законодатели готовят поправки, согласно которым граждане смогут давать в электронном виде разрешение на обработку персональных данных банкам и страховщикам только с помощью усиленной электронной подписи. При этом в ходе соответствующего эксперимента на протяжении трех лет использовалась простая электронная подпись, которая имеется более чем у ста миллионов россиян. Изменение этой подписи на усиленную, по мнению участников рынка, снизит конверсию до 10–15%, что делает использование цифрового профиля гражданина неинтересным для коммерческих организаций.
По словам директора технического департамента RTM Group Федора Музалевского, ПЭП ЕСИА выдается фактически в МФЦ. По его словам, можно разрешить и ПЭП ЕСИА для доступа к персональным данным, как минимум, в целях популяризации такого вида подписи. «Слабее она только теоретически, практические векторы атаки на данный вид простой подписи пока не реализованы»,— уверен он.
Очень странный вывод, простая электронная подпись, это, например, логин-пароль, как можно это сравнивать с криптографией? И теоретически, и практически простая ЭП слабее усиленной.
Коммерсантъ
Банковским клиентам усилят подписи
Цифровой профиль гражданина приобретает сложные черты
Об ЭП и УЦ
Комитет Госдумы по финансовому рынку поддержал принятие в первом чтении законопроекта, разрешающий участникам финансового рынка передоверять подписание машиночитаемых доверенностей, Правительство РФ также поддерживает принятие законопроекта, на рассмотрение…
Срок представления поправок ко второму чтению - 22.02.2023
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Photo
Давно не было информации о сертификатах в зависимости от типов владельцев.
За полгода произошел объяснимый рост сертификатов физических лиц.
🚀 Об ЭП и УЦ
За полгода произошел объяснимый рост сертификатов физических лиц.
Please open Telegram to view this post
VIEW IN TELEGRAM
Небольшой ролик о PKI-Форуме 2022
YouTube
PKI-Форум 2022: Настоящее и будущее электронной подписи
С 13 по 15 сентября в Петербурге состоялась юбилейная, двадцатая Международная конференция по проблематике инфраструктуры открытых ключей и электронной подписи: «PKI-Форум Россия 2022».
Мероприятие в очередной раз подтвердило статус одного из самых крупных…
Мероприятие в очередной раз подтвердило статус одного из самых крупных…
Об ЭП и УЦ
Постановлением Правительства РФ от 15.10.2021 № 1754 утверждены требования к проверке простой электронной подписи, которой в соответствии с частями 5 и 23 статьи 14.1 Федерального закона "Об информации, информационных технологиях и о защите информации" подписаны…
Проверка простой электронной подписи - не самая простая процедура🤔
Переписать действующие требования, утвержденные 1754 постановлением Правительства, потребовалось в связи с подписание 572-ФЗ о Единой биометрической системе. Проект изменений разработан Минцифры России и опубликован для общественного обсуждения🗯
Федеральным законом № 572-ФЗ предусмотрена возможность подписания согласий на обработку персональных данных и биометрических персональных данных простой ЭП. При этом Правительство РФ наделено полномочием по установлению требований к проверке такой электронной подписи при хранении указанного согласия.
📖 Проектом постановления предусмотрено, что проверка подлинности простой ЭП осуществляется в соответствии с правилами ее использования, утверждаемыми соответствующими органами, Центральным банком Российской Федерации, организациями, ИП, нотариусами, обладающими правом создания (замены) и выдачи ключа такой ЭП.
Правила использования простой ЭП должны содержать:
🔹правила проверки подлинности простой ЭП;
🔹обязанность лица, создающего и (или) использующего ключ простой ЭП, соблюдать его конфиденциальность.
✅ Ключ простой электронной подписи должен храниться не менее 5 лет.
✅ Проверка подлинности простой ЭП осуществляется оператором выдачи ключа простой ЭП по запросу в соответствии с Правилами использования.
✅ Результат проверки подлинности простой ЭП должен содержать в том числе сведения о дате и времени проверки.
🚀 Об ЭП и УЦ
Переписать действующие требования, утвержденные 1754 постановлением Правительства, потребовалось в связи с подписание 572-ФЗ о Единой биометрической системе. Проект изменений разработан Минцифры России и опубликован для общественного обсуждения
Федеральным законом № 572-ФЗ предусмотрена возможность подписания согласий на обработку персональных данных и биометрических персональных данных простой ЭП. При этом Правительство РФ наделено полномочием по установлению требований к проверке такой электронной подписи при хранении указанного согласия.
Правила использования простой ЭП должны содержать:
🔹правила проверки подлинности простой ЭП;
🔹обязанность лица, создающего и (или) использующего ключ простой ЭП, соблюдать его конфиденциальность.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
⏱Тайминг:
00:00 – Начало
02:10 – О компании ELMA
04:12 – Новые форматы электронных документов. Какие форматы ожидаем в 2023
08:06 – Внедрение МЧД
14:08 – Нерешенные вопросы МЧД
15:30 – Порядок получения сертификатов ЭП
21:00 – Защита информации. Стандарт ПНСТ 799-2022
24:18 – Новые требования к операторам ЭДО
25:55 – Трансграничный ЭДО
29:30 – Хранение электронных документов
30:20 – Финансовый архив
32:40 – Долговременный архив
33:57 – Контакты
34:15 – Ответы на вопросы
Please open Telegram to view this post
VIEW IN TELEGRAM
Почта России вчера сообщила новость - "Почта начала выдавать КЭП"
Почта России получила аккредитацию УЦ согласно протоколу Правительственной комиссии от 16 августа 2021 г. № 7, в 2021 году выдано около 5 тыс. сертификатов, в 2022 - 4,2 тыс.
В оферте на оказание услуг УЦ говорится - "В случае если Абонент – юридическое лицо/индивидуальный предприниматель...". ИП - категория заявителей, которым сертификаты выдают УЦ ФНС или Банка России (если деятельность ИП относится к финсектору), не говоря уже про руководителей ЮЛ, только сотрудникам могут.
Регламент УЦ Почты России, утвержденный 21.04.2021 является неактуальным т.к. также содержит заявителей, которых сертификатами обеспечивают госУЦ.
Почта России получила аккредитацию УЦ согласно протоколу Правительственной комиссии от 16 августа 2021 г. № 7, в 2021 году выдано около 5 тыс. сертификатов, в 2022 - 4,2 тыс.
В оферте на оказание услуг УЦ говорится - "В случае если Абонент – юридическое лицо/индивидуальный предприниматель...". ИП - категория заявителей, которым сертификаты выдают УЦ ФНС или Банка России (если деятельность ИП относится к финсектору), не говоря уже про руководителей ЮЛ, только сотрудникам могут.
Регламент УЦ Почты России, утвержденный 21.04.2021 является неактуальным т.к. также содержит заявителей, которых сертификатами обеспечивают госУЦ.
Об ЭП и УЦ
Минцифры России для общественного обсуждения опубликован проект Административного регламента по предоставлению государственной услуги «Аккредитация удостоверяющих центров» Проект включает три вида аккредитации: - аккредитация "обычная" (ч.3 ст. 16) - аккредитации…
Минцифры сообщает, что госуслуга - "Аккредитация удостоверяющих центров", доступна для юридических лиц. Для получения госуслуги необходимо войти, используя учетную запись юридического лица по ссылке.
В настоящее время действует Административный регламент оказания госуслуги по аккредитации УЦ утвержден приказом от 29.10.2020 № 559, однако функционал получения госуслуги через ЕПГУ уже содержит 3 вида аккредитации, они были в проекте административного регламента, который в настоящее время не утвержден.
Услуга по аккредитации доверенной третьей стороны также размещена на ЕПГУ.
В настоящее время действует Административный регламент оказания госуслуги по аккредитации УЦ утвержден приказом от 29.10.2020 № 559, однако функционал получения госуслуги через ЕПГУ уже содержит 3 вида аккредитации, они были в проекте административного регламента, который в настоящее время не утвержден.
Услуга по аккредитации доверенной третьей стороны также размещена на ЕПГУ.
Forwarded from Компания «Актив»
Также вы узнаете:
Подробнее о СЭД «ДЕЛО» компании ЭОС.
Форм-факторы и модели линейки Рутокен ЭЦП 3.0 NFC – токены, смарт-карты, полноразмерные модели.
Смотреть вебинар
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Банковским клиентам усилят подписи (Коммерсантъ) Законодатели готовят поправки, согласно которым граждане смогут давать в электронном виде разрешение на обработку персональных данных банкам и страховщикам только с помощью усиленной электронной подписи. При…
Национальный совет финансового рынка направил в Госдуму, Банк России и Минцифры заключение на законопроект № 244043-8 о видах электронной подписи, подлежащих использованию в Цифровом профиле
Участники финансового рынка предлагают доработать Законопроект ко второму чтению, сохранив для граждан привычную и удобную возможность использовать при взаимодействии с Цифровым профилем не только предлагаемые два вида усиленной электронной подписи (КЭП и НЭП «Госключ»), но и простую электронную подпись (учётная запись ЕСИА)
В свою очередь, и предусмотренный Законопроектом способ подписания вышеуказанного согласия с использованием УНЭП в «Госключе» также существенно усложняет действующий пользовательский сценарий за счет необходимости установки на телефон гражданина специального мобильного приложения «Госключ», выпуска с его помощью сертификата УНЭП, а также дополнительных финансовых и временных затрат на стороне организаций – получателей сведений из ЦПГ и ГИС, обусловленных необходимостью интеграции с инфраструктурой взаимодействия для реализации механизма подписания согласий указанным видом электронной подписи.
Вместе с тем, применение УНЭП в «Госключе» для подписания согласия гражданина не делает процесс более надежным и безопасным, т.к. для выпуска сертификата УНЭП в «Госключе» используются те же самые что и для ПЭП ЕСИА логин и пароль ЕСИА, а, значит, не снижается риск компрометации логина и (или) пароля для доступа к учетной записи пользователя даже при использовании дополнительных факторов аутентификации, - говорится в заключении.
🚀 Об ЭП и УЦ
Участники финансового рынка предлагают доработать Законопроект ко второму чтению, сохранив для граждан привычную и удобную возможность использовать при взаимодействии с Цифровым профилем не только предлагаемые два вида усиленной электронной подписи (КЭП и НЭП «Госключ»), но и простую электронную подпись (учётная запись ЕСИА)
В свою очередь, и предусмотренный Законопроектом способ подписания вышеуказанного согласия с использованием УНЭП в «Госключе» также существенно усложняет действующий пользовательский сценарий за счет необходимости установки на телефон гражданина специального мобильного приложения «Госключ», выпуска с его помощью сертификата УНЭП, а также дополнительных финансовых и временных затрат на стороне организаций – получателей сведений из ЦПГ и ГИС, обусловленных необходимостью интеграции с инфраструктурой взаимодействия для реализации механизма подписания согласий указанным видом электронной подписи.
Вместе с тем, применение УНЭП в «Госключе» для подписания согласия гражданина не делает процесс более надежным и безопасным, т.к. для выпуска сертификата УНЭП в «Госключе» используются те же самые что и для ПЭП ЕСИА логин и пароль ЕСИА, а, значит, не снижается риск компрометации логина и (или) пароля для доступа к учетной записи пользователя даже при использовании дополнительных факторов аутентификации, - говорится в заключении.
Please open Telegram to view this post
VIEW IN TELEGRAM
НСФР - Национальный совет финансового рынка
НСФР направил в ГосДуму, Банк России и Минцифры заключение на законопроект о видах электронной подписи, подлежащих использованию…
НСФР совместно с финансовыми организациями рассмотрели проект федерального закона № 244043-8 «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защ...
В международный день защиты персональных данных порассуждаем об УЦ и персональных данных
Должны ли государственные УЦ брать с получателей сертификатов согласия на обработку персональных данных?
Условия обработки персональных данных описаны в статье 6 152-ФЗ, первый пункт - обработка ПДн осуществляется с согласия субъекта на обработку его ПДн. Смотрим четвертый пункт - обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти.
Аккредитация в силу федерального закона - полномочие ФОИВ в части реализации функций аккредитованного УЦ.
По мнению канала, согласно 152-ФЗ согласие может не браться, т.к. ФОИВ осуществляет обработку ПДн для исполнения своего полномочия. При этом объём обрабатываемых ПДн должен соответствовать 63-ФЗ.
И ещё одно рассуждение о ПДн.
1 марта 2022 г. вступил в силу приказ Минцифры России № 1138 (заменил 436 приказ).
Данный приказ говорит, что "Аккредитованный УЦ обязан предоставлять безвозмездно любому лицу по его обращению сведения, содержащиеся в реестре квалифицированных сертификатов, в том числе информацию об аннулировании сертификата". Данная норма появилась не сама по себе, она следует из части 3 статьи 15 63-ФЗ - АУЦ обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", к реестру квалифицированных сертификатов этого аккредитованного удостоверяющего центра в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
Должен ли быть данный реестр общедоступным?
Наш канал придерживается мнения, что нет, сведения в реестре сертификатов являются защищаемыми, и данную часть 63-ФЗ нужно рассматривать в совокупности с требованиями федеральных законов 152-ФЗ и 149-ФЗ, т.к. "иное" и установлено данными федеральными законами.
А какие мнения у подписчиков канала?
Должны ли государственные УЦ брать с получателей сертификатов согласия на обработку персональных данных?
Условия обработки персональных данных описаны в статье 6 152-ФЗ, первый пункт - обработка ПДн осуществляется с согласия субъекта на обработку его ПДн. Смотрим четвертый пункт - обработка ПДн необходима для исполнения полномочий федеральных органов исполнительной власти.
Аккредитация в силу федерального закона - полномочие ФОИВ в части реализации функций аккредитованного УЦ.
По мнению канала, согласно 152-ФЗ согласие может не браться, т.к. ФОИВ осуществляет обработку ПДн для исполнения своего полномочия. При этом объём обрабатываемых ПДн должен соответствовать 63-ФЗ.
И ещё одно рассуждение о ПДн.
1 марта 2022 г. вступил в силу приказ Минцифры России № 1138 (заменил 436 приказ).
Данный приказ говорит, что "Аккредитованный УЦ обязан предоставлять безвозмездно любому лицу по его обращению сведения, содержащиеся в реестре квалифицированных сертификатов, в том числе информацию об аннулировании сертификата". Данная норма появилась не сама по себе, она следует из части 3 статьи 15 63-ФЗ - АУЦ обязан обеспечить любому лицу безвозмездный доступ с использованием информационно-телекоммуникационных сетей, в том числе сети "Интернет", к реестру квалифицированных сертификатов этого аккредитованного удостоверяющего центра в любое время в течение срока деятельности этого удостоверяющего центра, если иное не установлено федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами.
Должен ли быть данный реестр общедоступным?
Наш канал придерживается мнения, что нет, сведения в реестре сертификатов являются защищаемыми, и данную часть 63-ФЗ нужно рассматривать в совокупности с требованиями федеральных законов 152-ФЗ и 149-ФЗ, т.к. "иное" и установлено данными федеральными законами.
А какие мнения у подписчиков канала?
Об ЭП и УЦ
На уходящей неделе Госдумой в первом чтении был принят законопроект о механизме передоверия участниками финансового рынка при использовании КЭП
СМИ, к сожалению, не прошли мимо этой темы.
Выпущенные статьи ужасны не только своими заголовками:
🔹Законопроект о праве участников финрынка передоверять электронную подпись прошел первое чтение
🔹Финансовым компаниям России разрешат выпускать дополнительные цифровые подписи
🔹Принят законопроект первого чтения о праве ЦБ выдавать ЭЦП финансовым организациям
🔹Финансовым компаниям России разрешат выпускать дополнительные цифровые подписи
🔹Банки смогут получить право на передоверие полномочий по электронной подписи
но и содержанием:
⚡️ «Возможность передать право электронной подписи, например, заместителю руководителя финансовой организации позволит финансовым институтам оптимизировать свою деятельность и упростить документооборот»
⚡️ "Законопроект позволит руководителю кредитной организации передавать право применять электронную подпись, к примеру, своему заместителю"
⚡️ "Руководитель организации или индивидуальный предприниматель имеют право передоверить право подписи, чтобы распределить полномочия между сотрудниками.
При этом законодательство обязывает главу организации или ИП обеспечивать конфиденциальность ключей электронных подписей и не допускать их применение без согласия. Для документального подтверждения такого права можно использовать форму, в которой определены дата и время использования подписи, веб-сайт, где допустимо ее применение, удостоверяемые действия и документы."
Кажется, уже сами авторы законопроекта не понимают сего сути, а она простая.
По действующей редакции 63-ФЗ подписать машиночитаемую доверенность сотруднику финансовой организации (даже Банку России) может только руководитель этой организации. Для всех остальных юр.лиц норма о передоверии уже действует - там руководитель организации может подписать МЧД, например, своему заместителю, указав в ней необходимый состав полномочий, а также право передоверия. После этого сотруднику организации не нужно обращаться к руководителю для получения МЧД, если в МЧД заместителя есть необходимые полномочия для данного сотрудника, то уже заместитель подпишем ему МЧД в рамках передоверия.
Именно норма о праве подписания МЧД не только руководителями организаций финансового рынка и была рассмотрена, это не "право передоверять свою электронную подпись" и тем более не право на передачу ключей ЭП.
СМИ, к сожалению, не прошли мимо этой темы.
Выпущенные статьи ужасны не только своими заголовками:
🔹Законопроект о праве участников финрынка передоверять электронную подпись прошел первое чтение
🔹Финансовым компаниям России разрешат выпускать дополнительные цифровые подписи
🔹Принят законопроект первого чтения о праве ЦБ выдавать ЭЦП финансовым организациям
🔹Финансовым компаниям России разрешат выпускать дополнительные цифровые подписи
🔹Банки смогут получить право на передоверие полномочий по электронной подписи
но и содержанием:
При этом законодательство обязывает главу организации или ИП обеспечивать конфиденциальность ключей электронных подписей и не допускать их применение без согласия. Для документального подтверждения такого права можно использовать форму, в которой определены дата и время использования подписи, веб-сайт, где допустимо ее применение, удостоверяемые действия и документы."
Кажется, уже сами авторы законопроекта не понимают сего сути, а она простая.
По действующей редакции 63-ФЗ подписать машиночитаемую доверенность сотруднику финансовой организации (даже Банку России) может только руководитель этой организации. Для всех остальных юр.лиц норма о передоверии уже действует - там руководитель организации может подписать МЧД, например, своему заместителю, указав в ней необходимый состав полномочий, а также право передоверия. После этого сотруднику организации не нужно обращаться к руководителю для получения МЧД, если в МЧД заместителя есть необходимые полномочия для данного сотрудника, то уже заместитель подпишем ему МЧД в рамках передоверия.
Именно норма о праве подписания МЧД не только руководителями организаций финансового рынка и была рассмотрена, это не "право передоверять свою электронную подпись" и тем более не право на передачу ключей ЭП.
Please open Telegram to view this post
VIEW IN TELEGRAM
Информация для операторов ЭДО - ФНС России внесены изменения в Унифицированный формат транспортного контейнера при информационном взаимодействии с приемными комплексами налоговых органов по телекоммуникационным каналам связи с использованием электронной подписи, утвержденный приказом ФНС России от 09.11.2010 № ММВ-7-6/535@
Поправки внесены приказом ФНС России от 26.01.2023 N БС-7-26/55@ в целях обеспечения унификации электронного документооборота между налогоплательщиками и налоговыми органами по телекоммуникационным каналам связи с использованием усиленной квалифицированной электронной подписи (технологический процесс 103.06.02.02.0010 "Прием и обработка документов, представленных в налоговые органы в электронной форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи")
Поправки внесены приказом ФНС России от 26.01.2023 N БС-7-26/55@ в целях обеспечения унификации электронного документооборота между налогоплательщиками и налоговыми органами по телекоммуникационным каналам связи с использованием усиленной квалифицированной электронной подписи (технологический процесс 103.06.02.02.0010 "Прием и обработка документов, представленных в налоговые органы в электронной форме по телекоммуникационным каналам связи с применением усиленной квалифицированной электронной подписи")