Telegram Web Link
На фоне продолжающихся взломов компаний в общем и удостоверяющих центров в частности подобные кейсы с публикацией ключей для удаленного доступа отдельным УЦ выглядит полным пренебрежением к информационной безопасности
Откуда на автономном сервере оказалось вредоносное ПО - спрашивает Алексей Лукацкий?

⁉️ В сфере электронной подписи тоже есть загадки:

🔹Как в Госключе создать подпись формата CAdES-X Long, если УЦ ИИТ в сертификаты вписывает нерабочий адрес OCSP-службы

🔹Как разработчикам средств электронной подписи вести разработку, если Минцифры в 472 приказе о Формате электронной подписи вписало нерабочие oid

🔹Как УЦ должны были первый раз проводить ознакомление заявителей с их сертификатами, если форма на бумаге не была предусмотрена законом. Перечень можно продолжать...
✍️Аттестация ФСТЭК для рабочего места УЦ

Согласно пункта 6 приказа Минцифры от 13 ноября 2020 N 584 "Об утверждении Требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей" прописана необходимость выполнения требований, установленных постановлением Правительства Российской Федерации от 3 февраля 2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" в отношении автоматизированного рабочего места Удостоверяющего центра, используемого для создания ключа электронной подписи и ключа проверки электронной подписи для заявителя.

Положение о лицензировании определяет порядок лицензирования деятельности по технической защите конфиденциальной информации, осуществляемой юридическими лицами и индивидуальными предпринимателями. Лицензирование осуществляет ФСТЭК России (появление в приказе Минцифры ссылки на постановление о лицензировании со ФСТЭК России не согласовывалось). Положение о лицензировании не предъявляет и не может предъявлять никаких требований к автоматизированному рабочему месту Удостоверяющего центра, используемого для создания ключа ЭП и ключа проверки ЭП для заявителя.

Каким же требованиям АРМ УЦ должен соответствовать, что имел в виду регулятор? А непонятно, какие требования имело в виду Минцифры т.к. запрос по итогу перенаправлен во ФСТЭК и ответ был получен. ФСТЭК считает целесообразным проводить аттестацию АРМ УЦ.

✍️"Об ЭП и УЦ"
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
🪙4 руб. 94 коп. за запрос в СМЭВ. Минцифры предложило ввести плату за использование данных электронного правительства  📌 Коммерческим компаниям, которые активно пользуются инфраструктурой электронного правительства, а проще говоря работают с сервисами СМЭВ…
СМЭВ - тариф за запрос стал дешевле

Есть две новости:
🔹Минцифры разместило доработанный проект постановление о плате за запросы в СМЭВ, плата уменьшилась.
🔹на 1 (одну) копейку - до 4 руб. 93 коп.

Наличие необоснованных и излишних запросов к инфраструктуре СМЭВ приводит к необходимости выделения дополнительных бюджетных средств на развитие и эксплуатацию. Проект направлен на оптимизацию использования государственной информационной инфраструктуры путем введения платы за её использование, что снизит нагрузку на бюджет и повысит эффективность работы системы. Это включает:
🔹определение случаев взимания платы.
🔹порядок её взимания.
🔹размер платы.

Целевые группы регулирования:
🔹Банки.
🔹Кредитные организации.
🔹Профессиональные участники рынка ценных бумаг.
🔹Аккредитованные удостоверяющие центры.
🔹Операторы связи
🔹Страховые компании.
🔹Иные юридические лица, использующие инфраструктуру СМЭВ.

Из сводного отчета:
Количество юридических лиц, подключенных к СМЭВ в 2024 г. составляет 1708

Затраты субъектов регулирования за 6 лет - более 3 млрд руб.

Монетарная оценка доходов - 22,8 млн. руб., вообще не о чем.
По моей оценке к СМЭВ подключены 4,2 тыс. организаций, ежемесячное количество запросов на уровне 4,3 млрд., НО здесь все организации, в т.ч. бюджетные.
🤣Мем в действии - сколько должно пройти веков, чтобы Мосводоканал начал принимать электронные документы с электронной подписью?
Как выдумаете, причем тут тахограф
Об ЭП и УЦ
СМЭВ - тариф за запрос стал дешевле Есть две новости: 🔹Минцифры разместило доработанный проект постановление о плате за запросы в СМЭВ, плата уменьшилась. 🔹на 1 (одну) копейку - до 4 руб. 93 коп. Наличие необоснованных и излишних запросов к инфраструктуре…
"Минцифры предлагает освободить от платы за СМЭВ (система межведомственного электронного взаимодействия, часть ИЭП - ИФ.) бизнес, если он обязан делать эти запросы по закону. Если бизнес делает запросы в СМЭВ на основании законов, то такие запросы будут освобождены от взимания платы",
- сказал Министр Шадаев.

Только пока текст проекта постановления расходится со словами Министра. Мониторим на примере УЦ, предложение направлю в рамках regulations для получения обратной связи.
46 аккредитованных УЦ

В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров (протокол от 19.06.2025 № 4пр) аккредитацию вновь получило АО НИИАС.
Ранее аккредитация данного удостоверяющего центра была прекращена 02.10.2024.
Электронные договоры можно подписать на сайте ФНС России

ФНС России расширен функционал сервиса создания машиночитаемых документов – теперь в нём можно не только формировать договоры в формате PDF/A-3, но и подписывать их мобильной подписью.

Что изменилось? 
Раньше документы нужно было скачивать и подписывать в сторонних сервисах. 
Теперь всё в одном месте: создали → подписали → отправили контрагенту. 
Приложение «Моя подпись» полностью бесплатное. 

Как это работает? 
📲 Установите «Моя подпись» (доступно для Android). 
🔐 Получите квалифицированный сертификат для мобильной подписи в Удостоверяющем центре ФНС России (для ИП и руководителей юрлиц). 
📑 Подписывайте договоры в сервисе.

Что будет дальше? 
В III квартале 2025 года добавят подписание: 
• счетов-фактур, 
• универсальных передаточных документов (УПД).

‼️УЦ ФНС России не выдает второй сертификат без отзыва первого, если только заявитель не получает второй сертификат с использованием иного типа носителя.
Итого, можно получить первый сертификат с использованием сертифицированного токена, второй - "обезличенный" для информационной системы, третий для мобильного приложения ФНС, четвертый - для Госключа.

🚀Об ЭП и УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM
А вот кому 400 презентаций с RSA Conference 2025? Их есть у меня. С любовью выкачаны с сайта и сложены в облаке, доступом к которому я с вами и делюсь 🥳 Ну а если у кого-то вдруг завалялись презентации с последнего Gartner Security & Risk Management Summit, то с удовольствием приму в дар 😊
Please open Telegram to view this post
VIEW IN TELEGRAM
😂НЭП Госключа и МЧД

То, что вы не могли представить - произошло. Мне кажется, что это первое и пока единственное постановление Правительства, которое говорит, что с НЭП Госключа должна применяться машиночитаемая доверенность.

Название документа замысловатое, сама система ещё не определена.
Постановление Правительства от 22 мая 2025 г. № 702 “Об утверждении Правил проверки соответствия пользователей государственной информационной системы, определенной в соответствии с частью 2 статьи 13.1 Федерального закона "О персональных данных", требованиям, указанным в части 7 статьи 13.1 Федерального закона "О персональных данных"

Статья 13.1, как и данное постановление, вступает в силу с 01.09.2025. Система не определена, а правила проверки соответствия пользователей уже есть.

Заявитель направляет в уполномоченный орган запрос о проведении проверки соответствия, который должен быть подписан: 
- гражданином РФ (физлицом), 
- руководителем юрлица, 
- уполномоченным представителем юрлица (с доверенностью). 

Способы подачи запроса
🔹на бумажном носителе – лично или почтой. 
🔹в электронной форме (при технической возможности) – через личный кабинет на портале Госуслуг. 

Требования к электронной подаче 
Электронный запрос должен быть подписан: 
🔹КЭП 
- гражданина РФ, 
- юрлица, 
- представителя юрлица (при наличии машиночитаемой доверенности, подписанной КЭП в соответствии с п. 2 ч. 1 ст. 17.2 63-ФЗ).
🔹НЭП Госключа
- гражданина РФ, 
- представителя юрлица (также требуется машиночитаемая доверенность с КЭП)👍
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
📣Реальная история с нереальной доверенностью 🔹Началась история с QR-кода на подъезде для "замены ключей домофона" и звонка из "управляющей компании" для подтверждения очереди через направленный код... это был код подтверждения входа на Госуслуги 🔹Далее,…
Мошенники перестали себя утруждать и рисовать картинки "отметка об электронной подписи", но граждане всё равно верят таким "доверенностям".
Для чего мошенники заказывают справку о выплатах, а она уже реальная, думаю всем понятно. В очередной истории с Пикабу им попался студент первого курса.
🚨 Электронные подписи в охране труда: риски превыше удобства? 

В Госдуме снова обсуждают законопроект об эксперименте с электронными документами для инструктажей по охране труда. Профсоюзы снова против электронной подписи, предупреждают: цифровизация не должна ставить под угрозу безопасность работников.

🔹 Позиция профсоюзов, почему "живая" подпись — это важно? 
Собственноручная подпись в журнале — не просто формальность. Это подтверждение, что работник осознал риски и правила безопасности. Использование ЭП может снизить ответственность и привести к росту травматизма. 

⚠️ Основные риски электронного формата по мнению профсоюза: 
- Угроза подделки: Ключ ЭП можно украсть, скопировать или использовать без ведома работника. 
- Технические проблемы: Не у всех есть стабильный интернет, особенно на производствах, где телефоны под запретом. 
- Сложности для проверок: Инспекторы не смогут эффективно контролировать подлинность подписей. 
- Проблемы при расследованиях: Доказать факт инструктажа с ЭП сложнее — это ущемит права пострадавших. 

💬 Алексей Безюков, ФНПР
«Профсоюзы  в целом выступают против такого эксперимента. Тем более против принятия ради эксперимента отдельного федерального закона. Никто не запрещает проводить по согласованию с профсоюзом пилотные проекты. Но уже проведенные в крупных компаниях такие "пилоты" показали свою экономическую не эффективность»

📢 А тем временем выбрано название стратегической сессии PKI-Форума 2025: Доверие к отечественной инфраструктуре открытых ключей. Профсоюзы не пригласили.
Об ЭП и УЦ
🚀 Изменение требований к машиночитаемым доверенностям Минцифры России разработан проект приказа, который уточняет требования к формату доверенностей при использовании квалифицированной электронной подписи.  Что меняется?  🔹 Паспортные данные теперь будут…
Исключение паспортных данных из МЧД. Дубль 2.

Минцифры неожиданно выяснило, что для внесения изменений в приказ по требованиям к МЧД требуется процедура оценки регулирующего воздействия и повторно разместило проект приказа на regulations.

Действующей редакцией требований к форме машиночитаемой доверенности (далее - МЧД), утвержденных приказом Минцифры России от 18 августа 2021 г. № 857, установлено в качестве обязательного указание в МЧД паспортных данных.
Вместе с тем, учитывая объем иных идентификаторов (ФИО, дата рождения, ИНН, СНИЛС), а также отсутствие паспортных данных в квалифицированном сертификате ключа проверки электронной подписи (в соответствие с действующей редакции Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи") наличие паспортных данных в МЧД избыточно.


Отсутствие паспортных данных в квалифицированном сертификате ключа проверки электронной подписи (в соответствие с действующей редакции Федерального закона от 06.04.2011 № 63-ФЗ "Об электронной подписи") - можно подумать, что прошлая редакция 63-ФЗ предусматривала включение паспортных данных в сертификат.
2025/07/09 01:37:03
Back to Top
HTML Embed Code: