⚡️Сертификат безопасности национального удостоверяющего центра

Именно с таким названием в Законе об электронной подписи появится статья под номером 18.3 для закрепления выдачи сертификатов безопасности национальным удостоверяющим центром. Минцифры разработан соответствующий законопроект, который проходит согласование с госорганами.

📝Основные тезисы нового законопроекта:
🔹Вводятся понятия "сертификат безопасности национального удостоверяющего центра", "аутентификация информационной системы, сайта в информационно-телекоммуникационной сети «Интернет», правообладателя программы для электронных вычислительных машин, участника электронного взаимодействия в корпоративной информационной системе", "ключ идентификации", "ключ аутентификации";
🔹Операторы информационных систем, владельцы сайтов, правообладатели программ, участники электронного взаимодействия в корпоративной информационной системе обязаны обеспечивать конфиденциальность ключа идентификации, уведомлять оператора ГИС НУЦ о нарушении конфиденциальности ключа идентификации, обеспечивать незамедлительное уничтожение ключа идентификации по истечении его срока действия (что-то напоминает😃);
🔹Сертификаты безопасности НУЦ используются для защищенного взаимодействия с информационной системой, сайтом, их аутентификации и (или) подтверждения владения ими, а также подтверждения целостности и подтверждения происхождения программ для электронных вычислительных машин или для аутентификации участников электронного взаимодействия в корпоративной информационной системе и организации защищенного взаимодействия с ними.
🔹Создание, выдача и прекращение действия сертификатов безопасности осуществляется с использованием государственной информационной системы национального удостоверяющего центра (ГИС НУЦ).
🔹Положение об ГИС НУЦ утверждается Правительством по согласованию со ФСТЭК России.
🔹Оператор ГИС НУЦ определяется Правительством из числа организаций, подведомственных Минцифры (кто сказал Восход ?)
🔹ГИС НУЦ, включает две подсистемы для выдачи:
- сертификатов с применением российских криптографических алгоритмов (ГОСТ);
- сертификатов с применение иных алгоритмов (уже реализовано).
🔹Требования к сертификатам безопасности, порядку создания, выдачи и прекращения их действия устанавливаются Минцифры по согласованию с ФСБ России и ФСТЭК России.
🔹Сертификаты безопасности на безвозмездной основе выдаются для государственных органов, органов местного самоуправления, а также организаций, перечень которых вправе установить Правительство. Для остальных организаций - за плату, размер которой не должен превышать предельного размера, порядок определения которого устанавливается Правительством.
🔹Регистраторы доменных имен и провайдеры хостинга на основании соглашения о взаимодействии с оператором ГИС НУЦ наделяются полномочиями по приему запросов на создание и выдачу сертификатов безопасности информационной системы, сайта, о владении информационной системой, сайтом, а также запросов на прекращения действия таких сертификатов.
🔹Разработчика СКЗИ обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ в разработанные и/или распространяемые ими СКЗИ.
🔹Разработчики ПО, используемого для доступа к информации на сайтах, перечень которых определяется Правительством, обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ.
🔹Госорганы, органы местного самоуправления, государственные и муниципальные унитарные предприятия при осуществлении взаимодействия с организациями, ИП и гражданами обязаны обеспечить применение сертификатов безопасности.
🔹Правительство Российской Федерации вправе установить случаи, при которых использование сертификата безопасности является обязательным.

Основные изменения вступят в силу c 1 сентября 2025 года, оставшиеся нормы - с 1 июня 2026 года.

🚀Об ЭП и УЦ

📣Количество аккредитованных удостоверяющих центров сократилось до 44

25 ноября истекла аккредитация УЦ Кубань Кредит.

Реестр на сайте Минцифры актуализирован вчера вечером, на портале ГУЦ изменений не было.

Количество выданных квалифицированных сертификатов данным УЦ в 2024 году составило около 400 шт.

✍️Об ЭП и УЦ

👨‍💻 Защита персональных данных: какая ответственность ждёт за утечки

Государственная Дума приняла во втором и третьем чтениях поправки, ужесточающие ответственность за утечки персональных данных. Теперь компании, которые недобросовестно относятся к защите информации, ждут оборотные штрафы, а злоумышленников, продающих украденные данные, — тюремные сроки.

Что меняется
➖ вводятся оборотные штрафы для компаний за повторные утечки — от 1 до 3% годовой выручки
➖ минимальный размер оборотных штрафов — от 20 млн рублей, максимальный — 500 млн рублей
➖ штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трёх лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных
➖ штрафы для должностных лиц при утечках персональных данных составят до 2 млн рублей
➖ за нарушение порядка обработки биометрии юридических лиц ждут штрафы до 2 млн рублей, должностных лиц — до 1 млн рублей
➖ за кражу и незаконное использование персональных данных вводится уголовная ответственность — вплоть до 10 лет лишения свободы

Почему это важно
Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников.

@mintsifry

Единый подчинённый УЦ для Цифрового рубля

Банк России поддержал предложение Ассоциации банков России проработать вопросы по созданию мобильного приложения и оптимизации архитектуры, в том числе реализацию единого подчинённого удостоверяющего центра на стороне Банка России или единого оператора.

PKI - основа инфраструктуры Цифрового рубля, без которой проект нельзя представить:
🔹Головной УЦ в Банке России для НЭП,
🔹в самих банках уже два УЦ: подчинённый для НЭП и корневой для TLS, а также TLS-шлюзы и СКЗИ класса КС3,
🔹на рабочих местах клиентов и в мобильных приложениях средства ЭП КС1, также на рабочих местах криптоплагины и браузеры с ГОСТ-TLS.

✍️Об ЭП и УЦ

⚡️Приглашаем на дискуссионную онлайн-встречу «Как изменятся технологии, продукты и пользователь в сегментах электронной подписи и многофакторной аутентификации в России», которая состоится 29 ноября в 11:00. Организаторы мероприятия — Компания «Актив» и портал Anti-Malware.

На специальном эфире AM Live выступят руководители Компании «Актив», а также наши друзья и партнеры — представители ведущих российских организаций по информационной безопасности и эксперты отрасли. Модератор мероприятия — Илья Шабанов, генеральный директор АМ Медиа.
🔥

Главной темой встречи станут современные технологии и продукты, которые в ближайшем будущем изменят сегменты электронной подписи и многофакторной аутентификации, а также:

➡️интеграция этих решений в глобальные ИТ-проекты;

➡️развитие технологий и изменение законодательства, которые окажут влияние на сегменты ЭП и МФА в ближайшие годы;

➡️новые и перспективные решения, к которым стоит присмотреться уже сейчас, на стадии планирования инвестиций на 2025 год.


Онлайн-встреча будет интересна всем, кто сегодня активно работает с технологиями ЭП и ЭДО в России или же только собирается погрузиться в данную тематику, изучая лучшие практики информационной безопасности.

Не пропустите!

⤵️
Узнать подробности и зарегистрироваться

📣📣📣📣📣Ужесточение ответственности за нарушения законодательства в сфере ПДн

Официально опубликованы изменения в Кодекс Российской Федерации от административных правонарушений и Уголовный кодекс Российской Федерации, существенно ужесточающие ответственность в сфере персональных данных:

• Федеральный закон от 30.11.2024 № 420-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях».

• Федеральный закон от 30.11.2024 № 421-ФЗ «О внесении изменений в Уголовный кодекс Российской Федерации».

📎 Ознакомиться с тем, что планировали законодатели в плане административной ответственности можно здесь.

📣Подписан Федеральный закон от 30.11.2024 № 424-ФЗ "О ратификации Соглашения между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии"

📣Подборка самых важных новостей от нашего канала по итогам ноября 2024 года

1️⃣Количество АУЦ составило 44 шт. - истекла аккредитация у УЦ Кубань Кредит, подтверждена аккредитация УЦ Мегафон и Айти Мониторинг.

2️⃣ Подписан Федеральный закон от 30.11.2024 № 424-ФЗ "О ратификации Соглашения между Правительством Российской Федерации и Правительством Республики Беларусь о порядке признания электронной подписи (электронной цифровой подписи) в электронном документе при трансграничном электронном взаимодействии".

3️⃣Первое чтение в Госдуме прошел законопроект, согласно которому создание и выдачу квалифицированных сертификатов госорганам, не включенных в ЕГРЮЛ, будет осуществлять УЦ Федерального казначейства.

4️⃣Минцифры разработан законопроект, регламентирующий выдачу сертификатов безопасности национальным удостоверяющим центром.

5️⃣Минцифры России для общественного обсуждения размещены проекты административных регламентов: «Аккредитация удостоверяющих центров», «Аккредитация доверенной третьей стороны».

6️⃣Арбитражные суды Москвы и Калужской области отказали в удовлетворении заявлений Минцифры России о привлечении ИИТ и АО «Калуга Астрал» к административной ответственности.

7️⃣Минцифры разработан План-график проведения эксперимента по использованию электронных документов в кадровой работе отдельных ФОИВ.

8️⃣Темп перехода сайтов на отечественные сертификаты безопасности от национального УЦ за полгода увеличился с 0,26 до 0,32 %.

9️⃣ФНС России предоставлено для скачивания мобильное приложение «Моя подпись».

🔟Рабочая группа АКФТ по вопросам применения УКЭП в системах ДБО направила обращение в Банк России о рассмотрении возможности закрепления Банком России для всех кредитных организаций обязательности применения УКЭП наряду с другими видами электронной подписи.

1️⃣1️⃣🎬Запись конференции Сайн.Конф.

1️⃣2️⃣Телеграм-канал "Об ЭП и УЦ" зарегистрирован в реестре Роскомнадзора✅

🚀Об ЭП и УЦ

🆕Статистика по выдаче квалифицированных сертификатов крупнейшими удостоверяющими центрами за 11 месяцев 2024 года  (статистика за аналогичный период прошлого года)

🔹по итогам ноября объем выдачи сертификатов превысил цифры прошлого года
🔹УЦ ФНС России приближается к 5 млн. сертификатов по итогам года!
🔹в топ-10 одно изменение - ИИТ (по факту "четвёртый госУЦ") поднялся на 4 место
🔹УЦ МТС 3 место, снова большие значения, для примера, УЦ 1С бьет все рекорды, но там "DDoS" в сторону ЕСИА - около 2,5 млн. запросов в ноябре и 7,8 млн по итогам года. Может и УЦ МТС также "DDoSит".

🚀Об ЭП и УЦ