Согласно паспорту федерального проекта «Информационная безопасность» до конца 2021 года запланирована разработка проекта федерального закона о регулировании криптографической деятельности в Российской Федерации.

Есть основания полагать, что один из нормативных правовых актов, который будет принят во исполнение данного закона, заменит знаменитую "розовую инструкцию" - 152 приказ ФАПСИ.

Интересный вид сведений зарегистрирован Минцифры России в продуктивной среде СМЭВ 3.0 "Проверка усиленной неквалифицированной электронной подписи" версии 2.2.0.

Подробные данные о ВС доступны по ссылке и в перечне Видов сведений ЛК УВ.

При этом в руководстве пользователя схема отчетов описана с использованием хэш-функции ГОСТ Р 34.11-94.

Эталонный запрос «Проверка неквалифицированной ЭП штампа времени» подписан с использованием следующего сертификата.

Действительно - неквалифицированная подпись.

Нейросеть, которая рисует картинки по описанию на русском языке, изобразила электронную подпись следующим образом.

Представитель Федерального казначейства отчитывается об успехах работы удостоверяющего центра для госсектора — смотрите видеозапись доклада на PKI-Форуме Россия 2021.

https://youtu.be/nyOP1DJNdTs

#pkiforum

1 марта 2022 года вступают в силу не только приказы Минцифры России, но и ряд приказов ФСБ России - один из них от 20.04.2021 № 154 "Об утверждении Правил подтверждения владения ключом электронной подписи".
Полномочие ФСБ России по утверждению правил подтверждения владения ключом ЭП было внесено в 63-ФЗ ещё Федеральным законом от 30.12.2015 № 445-ФЗ, но приказ был издан и зарегистрирован Минюстом России только весной 2021 года.
Одна из причин - долгое утверждение Минцифры России формата ЭП, обязательного для реализации всеми средствами ЭП (приказ от 14.09.2020 № 472), в 154 приказе ФСБ России 5 раз даётся ссылка на 472 приказ Минцифры России. Что характерно, полномочие Минцифры России по утверждению формата ЭП также было внесено в 63-ФЗ Федеральным законом от 30.12.2015 № 445-ФЗ.

Тезисно - о чем 154 приказ ФСБ России:
1. Правила устанавливают порядок получения не только УЦ, но и головным УЦ, доказательств того, что лицо, обратившееся за получением сертификата (заявитель), владеет ключом ЭП, который соответствует ключу проверки ЭП, указанному им для получения сертификата. Правила не распространяются на случаи, когда ключ ЭП был создан в УЦ при личном обращении заявителя.

2. В целях получения доказательств того, что заявитель владеет ключом ЭП, УЦ устанавливает соответствие заявления на выдачу сертификата виду структуры CertificationRequest (PKCS10), а также использование для подписания заявления сертифицированных средств ЭП. Владение ключом ЭП не подтверждается, если два данных условия не соблюдаются.

3. УЦ идентифицирует заявителя одним из способов, предусмотренных 63-ФЗ, с учетом следующих особенностей.
3.1. В случае представления заявления на выдачу сертификата с использованием информационно-телекоммуникационных сетей, в том "Интернет", УЦ устанавливает:
при идентификации заявителя посредством использования квалифицированной ЭП - подписание заявления на выдачу сертификата квалифицированной ЭП с применением принадлежащего заявителю ключа ЭП.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдается условие по подписанию заявления квалифицированной ЭП;
квалифицированная ЭП недействительна.
3.2. При идентификации заявителя по загранпаспорту:
Использование для защиты канала сертифицированных СКЗИ;
использование для подписания заявления на выдачу сертификата сертифицированных средств ЭП.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдаются условия по использованию сертифицированных СКЗИ и средств ЭП.
3.3. При идентификации заявителя через ЕСИА+ЕБС - использование для предоставления биометрических персональных данных шифровальных (криптографических) средств.
Владение ключом ЭП не подтверждается, если:
заявитель не идентифицирован;
не соблюдаются условия по использованию шифровальных (криптографических) средств.
3.4. При идентификации заявителя, представляющего заявление на выдачу сертификата усиленной неквалифицированной ЭП с использованием простой ЭП, ключ которой получен при личной явке - условие организации взаимодействия УЦ с ЕСИА с применением сертифицированных средств защиты информации.

4. Если в результате действий, осуществленных УЦ согласно п. 3, отсутствуют основания утверждать, что заявитель не владеет ключом ЭП, или заявление на выдачу сертификата представлено при личной явке, УЦ проверяет действительность ЭП, которой подписано заявление. Владение ключом ЭП не подтверждается, если ЭП недействительна. УЦ подтверждает владение заявителем ключом ЭП, если действительность ЭП установлена.

Очень большая и актуальная тема про машиночитаемые доверенности. Прошел месяц после регистрации 3-х приказов Минцифры, но постановления Правительства до сих пор не утверждены (по плану Правительства и приказы Минцифры и постановления Правительства должны были быть приняты до конца июля 2021 года).

Базовым элементом системы МЧД является классификатор полномочий. Путаница с классификатором началась ещё с момента размещения проекта приказа для общественного обсуждения в карточке проекта постановления Правительства РФ. Неудивительно, что при таком количестве подзаконных актов запутались и сотрудники Минцифры России.

В 63-ФЗ классификатор полномочий встречается 3 раза ("В документе о полномочиях полномочия определяются на основании классификатора полномочий", "Уполномоченный федеральный орган формирует, актуализирует классификатор полномочий и обеспечивает доступ к нему в соответствии с установленным им порядком", "Полномочия, удостоверенные такими доверенностями, определяются в соответствии с классификатором полномочий"), но ни в законе ни в подзаконных актах нет определения, а что такое классификатор полномочий?

Дадим своё определение, классификатор полномочий – систематизированный перечень на основании которого определяются полномочия лица, которому выдана доверенность.

Как должен заполняться классификатор полномочий? Данный вопрос в очень активной проработке рабочих групп. Полагаем, что также стоит ждать новостей и от регулятора. В любом случае классификатор полномочий должен стать универсальным и понятным ресурсом, ведь его будут использовать операторы информационных систем в том числе и государственных. Видится, что на первом этапе в него должны "мигрировать" полномочия, oid которых отдельные ведомства ранее требовали указывать в структуре квалифицированных сертификатов.

Комитет Государственной Думы по финансовому рынку ранее неоднократно назначался ответственным комитетом по законопроектам о внесении изменений в 63-ФЗ (самые значимые изменения были внесены в 2015 году 445-ФЗ и 2019 году 476-ФЗ).
В связи с тем, что в настоящее время на рассмотрении в Государственной Думе отсутствуют законопроекты, которые бы предусматривали внесение изменений в 63-ФЗ или схожие федеральные законы, ждем внесения отдельного законопроекта по установлению до конца 2022 года переходного периода при применении машиночитаемой доверенности, а также назначении Комитета Государственной Думы по финансовому рынку в очередной раз ответственным комитетом.
Ну а пока данный Комитет планирует 10.11.2021 рассмотреть вопрос о создании Подкомитета по цифровой трансформации финансового рынка и новым финансовым технологиям.

Ссылка на чат данного канала, в котором размещаются все посты и комментарии к ним.

Бот обратной связи - @Ep_Uc_bot

Казначейством России согласована структура сертификата должностного лица, выдаваемого с 01 января 2022 года
https://roskazna.ru/novosti-i-soobshheniya/novosti/1520391/

Казначейством России согласована структура сертификата должностного лица, выдаваемого с 1 января 2022 года, в соответствии с изменениями в Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» и Приказом ФСБ РФ от 27.12.2011 № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (с изменениями, внесенными приказом ФСБ РФ от 29.01.2021 № 31).

Проект формы сертификата должностного лица был представлен Федеральным казначейством на PKI-Форуме в сентябре 2021 года (презентация, видео выступления).

2 ноября был размещен пост, что в руководстве пользователя вида сведений "Проверка усиленной неквалифицированной электронной подписи" схема отчетов описана с использованием хэш-функции ГОСТ Р 34.11-94.
Уже спустя сутки было создана создана новая версия руководства, где ГОСТ был исправлен на Р 34.11-2012. Сейчас данная версия уже размещена на странице сервиса.
ГОСТ в руководстве поменяли, хорошо, но ни тестовые сценарии, ни эталонные запросы не актуализированы - там по-прежнему ЭП, созданные по старому ГОСТ.

Поменять ГОСТ - это вам не декларацию безопасности гидротехнического сооружения в орган надзора представить.
P.S. Олды поймут.

На официальном сайте ФСБ России опубликовано Извещение об использовании дополнительных атрибутов имени поля «subject» INN (ИНН физического лица) и INNLE (ИНН юридического лица) в структуре квалифицированного сертификата ключа проверки электронной подписи.

Казначейством России согласована с ФСБ России структура сертификата должностного лица, выдаваемого с 1 января 2022 года, в соответствии с изменениями в Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» и приказом ФСБ России от 27.12.2011 № 795 «Об утверждении Требований к форме квалифицированного сертификата ключа проверки электронной подписи» (с изменениями, внесенными приказом ФСБ России от 29.01.2021 № 31).

Информация официального сайта Федерального казначейства: https://roskazna.gov.ru/novosti-i-soobshheniya/novosti/1520391/
Операторам информационных систем необходимо учитывать формат сертификата должностного лица, если их владельцы работают в соответствующих информационных системах. Это связано с тем, что реквизиты организации (ИНН, ОГРН) берутся из состава сертификата, а в сертификате должного лица они будут отсутствовать.
Согласовано статистики УЦ ФК действующих сертификатов физлица – 832 тыс., юрлица – 185 тыс., что составляет около 18% от общего количества действующих сертификатов (без учета ИП и КФХ).