Универсальность и безопасность применения электронной подписи в кредитно-финансовой сфере
Владимир Иванов, директор по развитию компании «Актив»
Владимир Иванов, директор по развитию компании «Актив»
Банки как доверенные лица УЦ ФНС России
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк
Об ЭП и УЦ
Сегодня в рамках конференции «Информационная безопасность банков» будут рассмотрены вопросы применения электронной подписи сторонами банковского взаимодействия
Об идентификации, аутентификации и авторизации
Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.
Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.
Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.
Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.
Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.
Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).
Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.
Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.
Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.
Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.
Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.
Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.
Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).
Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.
Об ЭП и УЦ
Photo
Опубликованы презентации конференции «Информационная безопасность банков»
Об ЭП и УЦ
Новый корневой (самоподписанный) сертификат головного УЦ сроком действия с 08.01.2022 по 08.01.2040.
Удостоверяющий центр ФНС России сегодня получил подчиненный сертификат на новом ПАК Головного УЦ - Минцифры России.
Серийный номер сертификата: 00ABBB15E6000000000648
Действует: с 19.04.2022 по 19.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС2
Серийный номер сертификата: 00ABBB15E6000000000648
Действует: с 19.04.2022 по 19.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС2
Forwarded from УЦ ФК
Представители Федерального казначейства Бражко В.С. и Нагдаев А.Ю. 20.04.2022 приняли участие в совещании, проводимом Минцифры России, по реализации сервиса аккредитованными удостоверяющими центрами в части обеспечения выдачи квалифицированных сертификатов ключей проверки электронных подписей без личного присутствия заявителя путем предоставления сведений из ГИС ЕБС.
Удостоверяющий центр Федерального казначейства заинтересован в пилотировании сервиса для обеспечения возможности идентификации своих клиентов с использованием ФГИС ЕСИА и ГИС ЕБС. Для окончательного принятия решения необходимо ознакомиться с документацией по работе ГИС ЕБС, ее функциональными возможностями и документацией по информационной безопасности.
Итоги совещания будут отражены в протоколе, согласованном всеми участниками, который будет включать перечень рассмотренных вопросов по данному тематике.
Удостоверяющий центр Федерального казначейства заинтересован в пилотировании сервиса для обеспечения возможности идентификации своих клиентов с использованием ФГИС ЕСИА и ГИС ЕБС. Для окончательного принятия решения необходимо ознакомиться с документацией по работе ГИС ЕБС, ее функциональными возможностями и документацией по информационной безопасности.
Итоги совещания будут отражены в протоколе, согласованном всеми участниками, который будет включать перечень рассмотренных вопросов по данному тематике.
Об ЭП и УЦ
Согласно информации с сайта Минцифры России аккредитация удостоверяющего центра ФГБУ «Информационно-аналитический центр поддержки ГАС «Правосудие» (ФГБУ ИАЦ Судебного департамента) закончилась около года назад - 26.11.2020 (строка 106). При этом данная организация…
Некоторые судьи и в 2022 году продолжает использовать сертификаты [1, 2]:
а) выданные в 2021 году удостоверяющим центром без аккредитации;
б) даже если бы УЦ ФГБУ ИАЦ Судебного департамента в 2021 году имел аккредитацию, то сертификаты действовали до 01.01.2022 в силу в силу изменений, внесенных 476-ФЗ (квалифицированные сертификаты, выданные аккредитованными до дня вступления в силу настоящего Федерального закона (01.07.2020) удостоверяющими центрами, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года).
а) выданные в 2021 году удостоверяющим центром без аккредитации;
б) даже если бы УЦ ФГБУ ИАЦ Судебного департамента в 2021 году имел аккредитацию, то сертификаты действовали до 01.01.2022 в силу в силу изменений, внесенных 476-ФЗ (квалифицированные сертификаты, выданные аккредитованными до дня вступления в силу настоящего Федерального закона (01.07.2020) удостоверяющими центрами, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года).