Банки как доверенные лица УЦ ФНС России
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк
Алексей Дегтярев, руководитель единой цифровой платформы, Тинькофф Банк
Об ЭП и УЦ
Сегодня в рамках конференции «Информационная безопасность банков» будут рассмотрены вопросы применения электронной подписи сторонами банковского взаимодействия
Об идентификации, аутентификации и авторизации
Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.
Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.
Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.
Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.
Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.
Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).
Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.
Вчера на конференции в ходе 8 сессии по вопросам идентификации, аутентификации и применении ЭП между представителем одного из банков и одного из вендоров произошел небольшой спор по терминологии - что считать идентификацией и аутентификацией.
Представитель банка говорил об идентификации заявителя в контексте пункта 1 статьи 18 63-ФЗ, а представитель вендора в контексте сущности данных терминов.
Наш канал считает, что термин "идентификация" в 63-ФЗ используется некорректно, т.к. по факту осуществляется аутентификация заявителей.
Небольшая матчасть. В 149-ФЗ термины введены Федеральным законом от 29.12.2020 № 479-ФЗ:
21) идентификация - совокупность мероприятий по установлению сведений о лице и их проверке, осуществляемых в соответствии с федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, и сопоставлению данных сведений с уникальным обозначением (уникальными обозначениями) сведений о лице, необходимым для определения такого лица (далее - идентификатор);
22) аутентификация - совокупность мероприятий по проверке лица на принадлежность ему идентификатора (идентификаторов) посредством сопоставления его (их) со сведениями о лице, которыми располагает лицо, проводящее аутентификацию, и установлению правомерности владения лицом идентификатором (идентификаторами) посредством использования аутентифицирующего (аутентифицирующих) признака (признаков) в рамках процедуры аутентификации, в результате чего лицо считается установленным.
А в 63-ФЗ термин идентификации введен на год раньше - Федеральным законом от 27.12.2019 № 476-ФЗ.
Далее обратимся к ГОСТ Р 58833-2020 "Защита информации. Идентификация и аутентификация. Общие положения":
Идентификация: Действия по присвоению субъектам и объектам доступа идентификаторов и/или по сравнению предъявляемого идентификатора с перечнем присвоенных идентификаторов.
Аутентификация: Действия по проверке подлинности субъекта доступа и/или объекта доступа, а также по проверке принадлежности субъекту доступа и/или объекту доступа предъявленного идентификатора доступа и аутентификационной информации.
Таким образом, идентификацией можно считать предположение о том, кем является заявитель, а аутентификация позволяет понять является ли истинной данное предположение.
Примеры из жизни, когда вы прикладываете свою банковскую карту к терминалу, вы как бы утверждаете, что являетесь тем человеком, чьё имя указано на карте (проходите идентификацию). Аутентификация же будет пройдена после ввода запрошенного системой pin-кода, этим вы доказываете, что являетесь действительно тем человеком, чьё имя указано на карте.
Когда в жизни мы показываем паспорт для проверки личности (например, когда едем в поезде) мы как-бы говорим, что паспорт подлинный и данные в нём верны. Контролер просто не может аутентифицировать документ не имея доступа к системам, позволяющим проверить его подлинность (УЦ такой доступ имеют, посредством сервиса МВД в СМЭВ). Для прохождения аутентификации (проверки истинности заявления об идентичности) всегда требуется предоставить фактор аутентификации - pin-код (что вы знаете), биометрию (кем вы являетесь), ключ электронной подписи (что у вас есть). Ещё аутентификацию называют многофакторной, если используется два и более факторов (например, биометрия и пароль от ЕСИА).
Аутентификация не определяет, что разрешено делать прошедшему её пользователю, за это отвечает - авторизация (санкционирование доступа): Предоставление субъекту доступа прав доступа, а также предоставление доступа в соответствии с установленными правилами управления доступом.
Об ЭП и УЦ
Photo
Опубликованы презентации конференции «Информационная безопасность банков»
Об ЭП и УЦ
Новый корневой (самоподписанный) сертификат головного УЦ сроком действия с 08.01.2022 по 08.01.2040.
Удостоверяющий центр ФНС России сегодня получил подчиненный сертификат на новом ПАК Головного УЦ - Минцифры России.
Серийный номер сертификата: 00ABBB15E6000000000648
Действует: с 19.04.2022 по 19.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС2
Серийный номер сертификата: 00ABBB15E6000000000648
Действует: с 19.04.2022 по 19.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС2
Forwarded from УЦ ФК
Представители Федерального казначейства Бражко В.С. и Нагдаев А.Ю. 20.04.2022 приняли участие в совещании, проводимом Минцифры России, по реализации сервиса аккредитованными удостоверяющими центрами в части обеспечения выдачи квалифицированных сертификатов ключей проверки электронных подписей без личного присутствия заявителя путем предоставления сведений из ГИС ЕБС.
Удостоверяющий центр Федерального казначейства заинтересован в пилотировании сервиса для обеспечения возможности идентификации своих клиентов с использованием ФГИС ЕСИА и ГИС ЕБС. Для окончательного принятия решения необходимо ознакомиться с документацией по работе ГИС ЕБС, ее функциональными возможностями и документацией по информационной безопасности.
Итоги совещания будут отражены в протоколе, согласованном всеми участниками, который будет включать перечень рассмотренных вопросов по данному тематике.
Удостоверяющий центр Федерального казначейства заинтересован в пилотировании сервиса для обеспечения возможности идентификации своих клиентов с использованием ФГИС ЕСИА и ГИС ЕБС. Для окончательного принятия решения необходимо ознакомиться с документацией по работе ГИС ЕБС, ее функциональными возможностями и документацией по информационной безопасности.
Итоги совещания будут отражены в протоколе, согласованном всеми участниками, который будет включать перечень рассмотренных вопросов по данному тематике.
Об ЭП и УЦ
Согласно информации с сайта Минцифры России аккредитация удостоверяющего центра ФГБУ «Информационно-аналитический центр поддержки ГАС «Правосудие» (ФГБУ ИАЦ Судебного департамента) закончилась около года назад - 26.11.2020 (строка 106). При этом данная организация…
Некоторые судьи и в 2022 году продолжает использовать сертификаты [1, 2]:
а) выданные в 2021 году удостоверяющим центром без аккредитации;
б) даже если бы УЦ ФГБУ ИАЦ Судебного департамента в 2021 году имел аккредитацию, то сертификаты действовали до 01.01.2022 в силу в силу изменений, внесенных 476-ФЗ (квалифицированные сертификаты, выданные аккредитованными до дня вступления в силу настоящего Федерального закона (01.07.2020) удостоверяющими центрами, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года).
а) выданные в 2021 году удостоверяющим центром без аккредитации;
б) даже если бы УЦ ФГБУ ИАЦ Судебного департамента в 2021 году имел аккредитацию, то сертификаты действовали до 01.01.2022 в силу в силу изменений, внесенных 476-ФЗ (квалифицированные сертификаты, выданные аккредитованными до дня вступления в силу настоящего Федерального закона (01.07.2020) удостоверяющими центрами, действуют до истечения срока, на который они выданы, но не более срока действия аккредитации выдавших их удостоверяющих центров либо не более чем до 1 января 2022 года).
Об ЭП и УЦ
trebovaniyautsunepesia.pdf
В КонсультантПлюс размещены требования Минцифры России к удостоверяющим центрам, обеспечивающим создание и выдачу сертификатов ключей проверки усиленных неквалифицированных электронных подписей
Об ЭП и УЦ
Наблюдается массовая DDOS-атака на сайты УЦ и операторов ЭДО Time to block electronic signature services in Russia. Find below: https://iecp.ru/ep/ep-verification https://iecp.ru/ep/uc-list https://uc-osnovanie.ru/ http://www.nucrf.ru http://www.belinfonalog.ru…
Наблюдается DDOS-атака на следующие ресурсы сдачи отчетности, а также вендоров средств защиты:
https://1c.ru/
https://downloads.v8.1c.ru
https://login.1c.ru/login
https://reputils.1c.ru
https://invitations.1c-edo.keydisk.ru/
http://online.1c.ru/catalog/products/
https://1csoft.ru/wherebuy
https://www.cryptopro.ru/downloads
https://regservice.keydisk.ru
http://regservice.keydisk.ru:8092
https://service.fsrar.ru
http://frap.fsrar.ru
http://gibdd.fsrar.ru/
https://service.alcolicenziat.ru/auth/login
http://f4.fss.ru
http://docs.fss.ru
https://lk.fss.ru
https://websbor.gks.ru/online
https://online.gks.ru/online
https://updateids2.infotecs.ru
https://1c.ru/
https://downloads.v8.1c.ru
https://login.1c.ru/login
https://reputils.1c.ru
https://invitations.1c-edo.keydisk.ru/
http://online.1c.ru/catalog/products/
https://1csoft.ru/wherebuy
https://www.cryptopro.ru/downloads
https://regservice.keydisk.ru
http://regservice.keydisk.ru:8092
https://service.fsrar.ru
http://frap.fsrar.ru
http://gibdd.fsrar.ru/
https://service.alcolicenziat.ru/auth/login
http://f4.fss.ru
http://docs.fss.ru
https://lk.fss.ru
https://websbor.gks.ru/online
https://online.gks.ru/online
https://updateids2.infotecs.ru
Об ЭП и УЦ
Удостоверяющий центр ФНС России сегодня получил подчиненный сертификат на новом ПАК Головного УЦ - Минцифры России. Серийный номер сертификата: 00ABBB15E6000000000648 Действует: с 19.04.2022 по 19.04.2037 Средства УЦ: КриптоПро УЦ 2.0 Класс средств ЭП: КС2
Удостоверяющим центром ФНС России получен ещё один подчиненный сертификат на новом ПАК Головного УЦ - Минцифры России.
Серийный номер сертификата: 6ED5B64E000000000649
Действует: с 21.04.2022 по 21.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС3
Отличие от сертификата от 19.04.2022 - более высокий класс защиты.
Серийный номер сертификата: 6ED5B64E000000000649
Действует: с 21.04.2022 по 21.04.2037
Средства УЦ: КриптоПро УЦ 2.0
Класс средств ЭП: КС3
Отличие от сертификата от 19.04.2022 - более высокий класс защиты.
Письмо ФНС России от 4 апреля 2022 г. N ЕА-3-26/3068@ с ответами на вопросы о порядке представления документов в налоговый орган, хранении документов бухгалтерского учета и применении электронной подписи
Запись выступления Н.А. Храмцовской "Новые нормы закона «Об электронной подписи»: Мы накануне грандиозного шухера" на 18-й Международном форуме «MedSoft-2022»
YouTube
Храмцовская Н.А "Новые нормы закона «Об электронной подписи»: Мы накануне грандиозного шухера"
Запись выступления Натальи Александровны Храмцовской, ведущего эксперта по управлению документацией ООО «Электронные офисные системы», к.и.н., на 18-й Международном форуме «MedSoft-2022», 8 апреля 2022 года