Об ЭП и УЦ
Photo
Одна из причин распространения несертифицированных сборок КриптоПро CSP - вот такие инструкции и сами сборки, размещённые в общем доступе
Мифы об электронной подписи.
Миф 16. Установка средств электронной подписи для собственных нужд требует наличие лицензии ФСБ России
Может ли организация без лицензии ФСБ России установить СКЗИ для собственных нужд? Причиной данного мифа является пункт 12 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, утвержденного 313-ПП.
Но 313 проставление существует не само по себе, оно утверждено в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности". Смотрим, что же такое лицензия:
То есть юридическое лицо или ИП должен осуществлять деятельность. Обратимся к Гражданскому кодексу, т.к.
Какую деятельность вы осуществляете устанавливая на свой компьютер для собственных нужд средство электронной подписи? Никакую, соответственно как на вас влияет 99-ФЗ и 313-ПП. Ответ - никак.
Приведу пример, новость трёхлетней давности "ФСБ России требует от бухгалтеров лицензию для сдачи отчетов с использованием электронной подписи". Бухгалтер представляет отчётность с использованием СКЗИ в интересах третьих лиц, т.е. осуществляет деятельность (пункт 25 Перечня по 313-ПП).
Таким образом, лицензия по 313-ПП требуется только при осуществлении деятельности, оказании услуг одним ЮЛ/ИП в интересах третьих лиц, а не для собственных нужд.
🚀 Об ЭП и УЦ
Миф 16. Установка средств электронной подписи для собственных нужд требует наличие лицензии ФСБ России
Может ли организация без лицензии ФСБ России установить СКЗИ для собственных нужд? Причиной данного мифа является пункт 12 Перечня выполняемых работ и оказываемых услуг, составляющих лицензируемую деятельность, в отношении шифровальных (криптографических) средств, утвержденного 313-ПП.
Но 313 проставление существует не само по себе, оно утверждено в соответствии с Федеральным законом "О лицензировании отдельных видов деятельности". Смотрим, что же такое лицензия:
лицензия - специальное разрешение на право осуществления юридическим лицом или индивидуальным предпринимателем конкретного вида деятельности (выполнения работ, оказания услуг, составляющих лицензируемый вид деятельности), которое подтверждается записью в реестре лицензий
То есть юридическое лицо или ИП должен осуществлять деятельность. Обратимся к Гражданскому кодексу, т.к.
Гражданское законодательство регулирует отношения между лицами, осуществляющими предпринимательскую деятельность, или с их участием, исходя из того, что предпринимательской является самостоятельная, осуществляемая на свой риск деятельность, направленная на систематическое получение прибыли от пользования имуществом, продажи товаров, выполнения работ или оказания услуг.
Какую деятельность вы осуществляете устанавливая на свой компьютер для собственных нужд средство электронной подписи? Никакую, соответственно как на вас влияет 99-ФЗ и 313-ПП. Ответ - никак.
Приведу пример, новость трёхлетней давности "ФСБ России требует от бухгалтеров лицензию для сдачи отчетов с использованием электронной подписи". Бухгалтер представляет отчётность с использованием СКЗИ в интересах третьих лиц, т.е. осуществляет деятельность (пункт 25 Перечня по 313-ПП).
В силу подпункта 1 пункта 1 статьи 12 Федерального закона от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности» деятельность по выполнению работ, оказанию услуг в области шифрования информации подлежит лицензированию.
Таким образом, лицензия по 313-ПП требуется только при осуществлении деятельности, оказании услуг одним ЮЛ/ИП в интересах третьих лиц, а не для собственных нужд.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Видео первого чтения в Госдуме законопроекта о борьбе с кибермошенничеством Законопроект принят (всего проголосовало "За" 414 чел. - 92 %), срок для представления поправок уже завтра, 20 марта. Второе и третье чтения планируются на 25 марта и уже 26 марта…
252283431-258467253.pdf
389.4 KB
Заключение Общественной палаты на законопроект о борьбе с кибермошенничеством
На сайте Госдумы размещено заключение Общественной палаты по результатам общественной экспертизы законопроекта 842276-8.
Концепция законопроекта поддержана с рекомендацией учесть изложенные в заключении замечания:
🔹Отсутствие в законопроекте определенного перечня информации, подлежащей включению в рамках создаваемых ГИС;
🔹 Финансово-экономическое обоснование не может быть нулевым, т.к. внедрение и сопровождение ГИС связаны с затратами на оборудование, ПО, ИБ;
🔹Контроль и запись телефонных переговоров без судебного решения нарушает их тайну и может привести к вмешательству в частную жизнь граждан;
🔹 Необходимость уточнения понятия "абонентский терминал пропуска трафика", только ли это "SIM бокс" или любое пользовательское оборудование, например, мобильный телефон;
🔹 Предлагается установить, что сведения об использовании терминалов относятся к существенным условиям договора об оказании услуг связи и вместо запрета на предоставление услуг предусмотреть право оператора связи приостанавливать или прекращать их оказание в случае выявления нарушений установленных требований (не оповестил оператора о смене телефона - остался без связи?);
🔹 Уточнение состава сведений о вызовах, подлежащих передаче операторам связи;
🔹 Детализировать субъектный состав третьих лиц, уточнив допустимые случаи передачи SIM карт;
🔹 Предусмотреть отсутствие у оператора сотовой связи технической возможности либо информации о факте осуществления звонка в момент передачи SMS, уточнить условия при которых данное требование может быть реализовано на практике;
🔹 Нуждаются в доработке положения о запрете использования иностранных мессенджеров сотрудниками банков, Банка России, операторов сотовой связи и др., использовании ими только российских мессенджеров с аутентификацией через ЕСИА. Сейчас нормы носят декларативный характер, не содержат положений, регулирующих механизм контроля за их исполнением, а также устанавливающих правовые последствия за несоблюдение установленных требований;
🔹 Обеспечить единообразный подход к определению пороговых значений аудитории, при превышении которых необходимо идентифицировать пользователей через ЕБС. ЕБС - альтернатива для дополнительной идентификации клиентов и пользователей;
🔹 Установить более гибкий подход для идентификации микрофинансовыми организациями заёмщиков, ЕБС не должна быть единственным вариантом;
🔹 Отказ от получения рекламы не обеспечивает необходимый уровень защиты от нежелательной информации, поскольку не предусматривает превентивных мер в отношении распространителей посредством мессенджеров.
Рассмотрение законопроекта во втором чтении запланировано на 25.03.2025.
🚀 Об ЭП и УЦ
На сайте Госдумы размещено заключение Общественной палаты по результатам общественной экспертизы законопроекта 842276-8.
Концепция законопроекта поддержана с рекомендацией учесть изложенные в заключении замечания:
🔹Отсутствие в законопроекте определенного перечня информации, подлежащей включению в рамках создаваемых ГИС;
🔹 Финансово-экономическое обоснование не может быть нулевым, т.к. внедрение и сопровождение ГИС связаны с затратами на оборудование, ПО, ИБ;
🔹Контроль и запись телефонных переговоров без судебного решения нарушает их тайну и может привести к вмешательству в частную жизнь граждан;
🔹 Необходимость уточнения понятия "абонентский терминал пропуска трафика", только ли это "SIM бокс" или любое пользовательское оборудование, например, мобильный телефон;
🔹 Предлагается установить, что сведения об использовании терминалов относятся к существенным условиям договора об оказании услуг связи и вместо запрета на предоставление услуг предусмотреть право оператора связи приостанавливать или прекращать их оказание в случае выявления нарушений установленных требований (не оповестил оператора о смене телефона - остался без связи?);
🔹 Уточнение состава сведений о вызовах, подлежащих передаче операторам связи;
🔹 Детализировать субъектный состав третьих лиц, уточнив допустимые случаи передачи SIM карт;
🔹 Предусмотреть отсутствие у оператора сотовой связи технической возможности либо информации о факте осуществления звонка в момент передачи SMS, уточнить условия при которых данное требование может быть реализовано на практике;
🔹 Нуждаются в доработке положения о запрете использования иностранных мессенджеров сотрудниками банков, Банка России, операторов сотовой связи и др., использовании ими только российских мессенджеров с аутентификацией через ЕСИА. Сейчас нормы носят декларативный характер, не содержат положений, регулирующих механизм контроля за их исполнением, а также устанавливающих правовые последствия за несоблюдение установленных требований;
🔹 Обеспечить единообразный подход к определению пороговых значений аудитории, при превышении которых необходимо идентифицировать пользователей через ЕБС. ЕБС - альтернатива для дополнительной идентификации клиентов и пользователей;
🔹 Установить более гибкий подход для идентификации микрофинансовыми организациями заёмщиков, ЕБС не должна быть единственным вариантом;
🔹 Отказ от получения рекламы не обеспечивает необходимый уровень защиты от нежелательной информации, поскольку не предусматривает превентивных мер в отношении распространителей посредством мессенджеров.
Рассмотрение законопроекта во втором чтении запланировано на 25.03.2025.
Please open Telegram to view this post
VIEW IN TELEGRAM
Конференция Рутокен Day «Технологии доверия»⚡️
📅 4 апреля, 12:00
📍 Москва, LOFT#4
Рутокен Day — ключевая конференция по ИБ, цифровому доверию и технологиям. В этом году она будет интересна не только ИБ-специалистам, но и руководителям, продакт-менеджерам, маркетологам, интеграторам и разработчикам.
В программе — три параллельных трека:
➡️ Технологический
➡️ Продуктовый
➡️ Управленческий
Также участников ждут три круглых стола:
*️⃣ Клиентские пути электронной подписи
*️⃣ Вендорский взгляд на управление доступом
*️⃣ Будущее безопасности киберфизических систем в России
Присоединяйтесь, чтобы первыми узнать о трендах и обсудить их с лидерами отрасли!
Регистрация на сайте.
✍️ Телеграм-канал "Об ЭП и УЦ" - информационный партнер конференции Рутокен Day
📅 4 апреля, 12:00
Рутокен Day — ключевая конференция по ИБ, цифровому доверию и технологиям. В этом году она будет интересна не только ИБ-специалистам, но и руководителям, продакт-менеджерам, маркетологам, интеграторам и разработчикам.
В программе — три параллельных трека:
Также участников ждут три круглых стола:
Присоединяйтесь, чтобы первыми узнать о трендах и обсудить их с лидерами отрасли!
Регистрация на сайте.
Please open Telegram to view this post
VIEW IN TELEGRAM
day.rutoken.ru
Рутокен Day - технологии доверия
Рутокен Day «Технологии доверия» ‒ площадка для обмена опытом, знаниями и инновационными идеями в сфере технологий. Приглашаем вас присоединиться к нам, чтобы обсудить последние тенденции, вызовы и возможности в нашей отрасли.
Об ЭП и УЦ
252283431-258467253.pdf
Zakon2-2303____________.docx
82.7 KB
Второе чтение законопроекта о борьбе с кибермошенничеством
Сегодня в Госдуме состоится второе, а возможно и третье чтение законопроекта о борьбе с кибермошенничеством. Новый закон небольшой, всего 1 статья "Государственная информационная система противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий" из 7 пунктов, но много изменений в иные законы.
За прошедшую неделю законопроект изменился:
🔹 Создаётся одна ГИС для борьбы с телефонным и интернет-мошенничеством;
🔹 Перечень информации, обрабатываемой в ГИС, порядок включения и исключения информации из нее, перечень лиц, предоставляющих в ГИС информацию, порядок предоставления доступа к информации, устанавливаются Правительством по согласованию с ФСБ;
🔹Пользователи ГИС: Генеральная прокуратура, Следственный комитет, Центральный банк, кредитные организации, операторы связи, а также ФОИВ и организации, перечень которых утверждается Правительством Российской Федерации. Порядок взаимодействия также утверждается Правительством по согласованию с ФСБ;
🔹Банки до выдачи наличных денежных средств из банкоматов обязаны осуществлять проверку на наличие признаков выдачи наличных денежных средств без добровольного согласия клиента;
🔹Потребительский займ в микрофинансовой организации - только через биометрию.
Текст законопроекта ко второму чтению с учетом поправок, рекомендуемых к принятию.
🚀 Об ЭП и УЦ
Сегодня в Госдуме состоится второе, а возможно и третье чтение законопроекта о борьбе с кибермошенничеством. Новый закон небольшой, всего 1 статья "Государственная информационная система противодействия правонарушениям, совершаемым с использованием информационных и коммуникационных технологий" из 7 пунктов, но много изменений в иные законы.
За прошедшую неделю законопроект изменился:
🔹 Создаётся одна ГИС для борьбы с телефонным и интернет-мошенничеством;
🔹 Перечень информации, обрабатываемой в ГИС, порядок включения и исключения информации из нее, перечень лиц, предоставляющих в ГИС информацию, порядок предоставления доступа к информации, устанавливаются Правительством по согласованию с ФСБ;
🔹Пользователи ГИС: Генеральная прокуратура, Следственный комитет, Центральный банк, кредитные организации, операторы связи, а также ФОИВ и организации, перечень которых утверждается Правительством Российской Федерации. Порядок взаимодействия также утверждается Правительством по согласованию с ФСБ;
🔹Банки до выдачи наличных денежных средств из банкоматов обязаны осуществлять проверку на наличие признаков выдачи наличных денежных средств без добровольного согласия клиента;
🔹Потребительский займ в микрофинансовой организации - только через биометрию.
Текст законопроекта ко второму чтению с учетом поправок, рекомендуемых к принятию.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Zakon2-2303____________.docx
Zakon3_2503_____.doc
192.5 KB
Please open Telegram to view this post
VIEW IN TELEGRAM
ГОСТ-TLS для Спорта
Если попытаться с телефона зайти по прямой ссылке ФГИС «Единая цифровая платформа «Физическая культура и спорт», то получите ошибку (за одним исключением):
Причина - ГОСТовый TLS, сертификат выдан НЕ Национальным УЦ, а УЦ ФК, в самом сертификате мы в очередной раз видим несертифицированную сборку КриптоПро CSP (5.0.12600), которая применялись для создания ключевой пары. Сам личный кабинет - печальное зрелище.
Если попытаться с телефона зайти по прямой ссылке ФГИС «Единая цифровая платформа «Физическая культура и спорт», то получите ошибку (за одним исключением):
Подключение к этому сайту не защищено
sport.gov.ru использует неподдерживаемый протокол.
ERR_SSL_VERSION_OR_CIPHER_MISMATCH
Причина - ГОСТовый TLS, сертификат выдан НЕ Национальным УЦ, а УЦ ФК, в самом сертификате мы в очередной раз видим несертифицированную сборку КриптоПро CSP (5.0.12600), которая применялись для создания ключевой пары. Сам личный кабинет - печальное зрелище.
ГОСТ Р 59999-2025 «Цифровой документооборот организации. Требования к эталонной модели»
ГОСТ разработан ООО "ДокМенеджмент Консалт" при участии Союза ИТ-директоров и Финансового университета при Правительстве. Вводится в действие с 01.12.2025.
ГОСТ содержит критерии выбора вида электронной подписи для разных видов цифровых документов🧐
Разбор от Натальи Храмцовской.
ГОСТ разработан ООО "ДокМенеджмент Консалт" при участии Союза ИТ-директоров и Финансового университета при Правительстве. Вводится в действие с 01.12.2025.
ГОСТ содержит критерии выбора вида электронной подписи для разных видов цифровых документов
Разбор от Натальи Храмцовской.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Листок бюрократической защиты информации
🛡 Требования о криптографической защите информации, содержащейся в ИС госорганов и госучреждений ➤
Официально опубликован приказ ФСБ России от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств».
Официально опубликован приказ ФСБ России от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств».
Please open Telegram to view this post
VIEW IN TELEGRAM
3️⃣9️⃣4️⃣ - максимальное число одновременно аккредитованных УЦ
Идея подсчитать максимальное число одновременно аккредитованных УЦ пришла давно, но вручную обрабатывать реестры и даты по каждому УЦ слишком затратно. На помощь пришел DeepSeek, но не сразу. Так как загружаемый изначально объем был слишком большой, пришлось каждый реестр Минцифры упрощать до таблицы с интервалом, когда аккредитация была действующая (к сожалению, не по всем УЦ в реестрах Минцифры указана дата окончания аккредитации УЦ и это тоже может отразиться на точности).
По итогу была сформирована общая таблица из 518 УЦ (в первом комментарии) когда-либо имевших и имеющих на данных момент аккредитацию. DeepSeek необходимо было определить точное максимальное число одновременно аккредитованных удостоверяющих центров, учитывая пересекающиеся периоды аккредитации для всех 518 записей. Подсчет был проведен несколько раз, итоговое значение - 394.
🚀 Об ЭП и УЦ
Идея подсчитать максимальное число одновременно аккредитованных УЦ пришла давно, но вручную обрабатывать реестры и даты по каждому УЦ слишком затратно. На помощь пришел DeepSeek, но не сразу. Так как загружаемый изначально объем был слишком большой, пришлось каждый реестр Минцифры упрощать до таблицы с интервалом, когда аккредитация была действующая (к сожалению, не по всем УЦ в реестрах Минцифры указана дата окончания аккредитации УЦ и это тоже может отразиться на точности).
По итогу была сформирована общая таблица из 518 УЦ (в первом комментарии) когда-либо имевших и имеющих на данных момент аккредитацию. DeepSeek необходимо было определить точное максимальное число одновременно аккредитованных удостоверяющих центров, учитывая пересекающиеся периоды аккредитации для всех 518 записей. Подсчет был проведен несколько раз, итоговое значение - 394.
Please open Telegram to view this post
VIEW IN TELEGRAM
Продолжение темы электронной графической подписи - после Москвы эксперимент решили расширить
Электронная графическая подпись, которая ставится человеком собственноручно на специальном планшете с помощью стилуса, имеет ряд важных преимущества по сравнению с обычной подписью, пояснил "РГ" директор департамента цифрового развития и экономики данных Минэкономразвития Владимир Волошин.
Продуктовая сессия Минцифры «Использование технологии электронной подписи «Госключ» в финансовой сфере: возможности и перспективы»
Сессия прошла на площадке
Ассоциации ФинТех, Директор департамента развития технологий цифровой идентификации Минцифры Татьяна Скворцова сообщила, что сервис продолжает развиваться и в ближайшее время в нем появится:
🔹поддержка сертификатов для ИП и юрлиц (канал "ЭДО для бизнеса" ранее сообщал, что технически проблем нет, как нет и решения регулятора на этот счёт);
🔹 поддержка новых форматов документов;
🔹«Госключ» скоро будет встроен в мобильное приложение «Госуслуги».
Сессия прошла на площадке
Ассоциации ФинТех, Директор департамента развития технологий цифровой идентификации Минцифры Татьяна Скворцова сообщила, что сервис продолжает развиваться и в ближайшее время в нем появится:
🔹поддержка сертификатов для ИП и юрлиц (канал "ЭДО для бизнеса" ранее сообщал, что технически проблем нет, как нет и решения регулятора на этот счёт);
🔹 поддержка новых форматов документов;
🔹«Госключ» скоро будет встроен в мобильное приложение «Госуслуги».
Plus World
На площадке АФТ прошла продуктовая сессия Минцифры «Использование технологии электронной подписи «Госключ» в финансовой сфере:…
Открывая мероприятие, заместитель генерального директора Ассоциации ФинТех Дмитрий Ищенко подчеркнул, что это уже вторая подобная встреча на площадке АФТ. Сервис «Госключ» быстро развивается: значительно увеличился уровень проникновения и география применения…
Всё смешалось, кони, люди ключи, УТМ
Второй день наблюдаются проблемы с ЕГАИС
Второй день наблюдаются проблемы с ЕГАИС
В любой непонятной ситуации удаляй ключи RSA
В середине марта 2025 года технологии «Лаборатории Касперского» распознали волну заражений ранее неизвестным сложным вредоносным ПО. Заражение происходило сразу после того, как жертва открывала ссылку из фишингового письма в браузере Google Chrome. При этом никаких дополнительных действий от нее не требовалось.
25 марта 2025 года компания Google выпустила обновление, исправляющее уязвимость.
Сегодня опубликовано обновление Chromium ГОСТ версии 134.0.6998.178, рекомендую на него обновиться (и забыть про Яндекс Браузер, который ещё не обновлялся).
Please open Telegram to view this post
VIEW IN TELEGRAM