Об ЭП и УЦ
ARB-letter-A23-01-5-501 27.10.2023.pdf
Внедрение МЧД в Росфинмониторинге (часть 3)
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
🚀 Об ЭП и УЦ
Круг замкнулся.
Письмо Банка России от 24.08.2023 № 46-4-4/3170:
В связи с вышеизложенным по вопросам оформления МЧД для целей взаимодействия с информационными ресурсами Росфинмониторинга, включаю возможность использования формы Единого формата МЧД и срок публикации в классификаторе полномочий справочника полномочий для взаимодействия с Росфинмониторингом, необходимо обратиться в Росфинмониторинг.
Письмо Росфинмониторинга от 17.11.2023 № 01-01-39/28763:
В соответствии с пунктом 2 части 2 статьи 17.2 Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи» порядок представления машиночитаемой доверенности, подтверждающей полномочия физического лица действовать от имени кредитной организации, устанавливается Банком России.
На основании изложенного считаем, что вопросы порядка применения машиночитаемой доверенности при представлении сообщений находится в компетенции Банка России.
Также из ответа Росфинмониторинга можно узнать, что данное ведомство:
🔹принимает МЧД, сформированные по Единой форме доверенности в версии формата 003 с актуальными полномочиями
🔹действующий перечень полномочий ведомства опубликован в Единой системе нормативной справочной информации. К использованию рекомендуются полномочия с кодами 1_RFM01, 1_RFM04, 1_RFM05, 1_RFM06, 1_RFM14
🔹формализованные электронные сообщения могут быть подписаны КЭП кредитной организации (прим. @ep_uc - автоподпись?), ее руководителя или работника, уполномоченного направлять сведения, у которого сертификат выдан на юрлицо с указанием физлица (до окончания срока его действия, но не позднее 31 августа 2024 г.)
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Минцифры в 2017 году - Установление личности дистанционно в настоящее время, на наш взгляд, не представляется возможным и требует значительной проработки. Минцифры в 2020 году - Рекомендуем аккредитованным удостоверяющим центрам использовать способы идентификации…
Онлайн смена сертификатов
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Продолжаем обсуждение темы онлайн смены сертификатов. Как по логике Минцифры (тогда ещё Минкомсвязи) функционал онлайн смены сертификатов должен был появиться, если был под запретом?
Минюстом России 17.12.2018 № 53026 был зарегистрирован приказ Минкомсвязи от 13.08.2018 № 397 "Об утверждении требований к порядку реализации функций аккредитованного удостоверяющего центра и исполнения его обязанностей", в котором появляется норма, что
заявление на смену ключа электронной подписи владельца квалифицированного сертификата может быть создано в форме электронного документа, подписанного усиленной квалифицированной электронной подписью владельца квалифицированного сертификата, при этом в случае, если смена ключа электронной подписи владельца квалифицированного сертификата связана с нарушением его конфиденциальности или угрозой нарушения конфиденциальности, соответствующее заявление должно быть подписано иной усиленной квалифицированной электронной подписью владельца квалифицированного сертификатаи что
заявление на создание и выдачу квалифицированного сертификата может быть оформлено как на бумажном носителе, так и в форме электронного документа, подписанного усиленной квалифицированной электронной подписью(к слову, именно в 2018 году УЦ ФК предоставил своим клиентам такой функционал).
397 приказ разделяет смену ключа ЭП и смену сертификата, предполагая разные заявления (63-ФЗ такого разделения не делает).
История подписания 397 приказа непростая т.к. проект его появился ещё в мае 2016 года. Сейчас данный приказ недействующий, утратил силу согласно постановлению Правительства от 04.08.2020 № 1169, в настоящее время действует 584 приказ.
Услуга по выдаче сертификатов УЦ ФНС России в инспекциях или у доверенных лиц является бесплатной. Вам могут предложить купить дополнительно лицензию, ключевой носитель, но заявитель имеет полное право отказаться и обратиться со своим токеном.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Портал "Мой бизнес 33" считает по-другому, потому что бездумно копипастит из иного ресурса: свидетельство о постановке на учёт не требуется, на втором шаге откуда-то берется личный сертификат, только к третьему шагу вопросов нет - остальные написаны неправильно.
Ряд госорганов столкнулись с проблемой, когда Минфин не согласовывает выделение дополнительных средств для развития своих информационных систем в части поддержки машиночитаемых доверенностей и иных доработок. Ответ Минфина простой - финансово-экономическое обоснование закона (476-ФЗ) не предполагало выделение дополнительных средств.
Госдума и Правительство перейдут на электронный документооборот
Проекты федеральных законов будут поступать от Правительства только в электронном виде (на дворе окончание 2023 года)
МЧД не забудут прикрепить, какие сейчас в классификаторе полномочия для внесения в Госдуму федеральных законов?
🤔💭
Проекты федеральных законов будут поступать от Правительства только в электронном виде (на дворе окончание 2023 года)
МЧД не забудут прикрепить, какие сейчас в классификаторе полномочия для внесения в Госдуму федеральных законов?
🤔💭
Государственная Дума
Государственная Дума и Правительство РФ перейдут на электронный документооборот
Новости. Государственная Дума и Правительство РФ перейдут на электронный документооборот.
Forwarded from УЦ ФК
Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации в соответствии с частью 5.1 статьи 16 Федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» для членов Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, подготовлены материалы для рассмотрения вопроса об аккредитации удостоверяющего центра публично-правовой компании «Роскадастр».
Изменения в Положение о порядке ведения службой обеспечения деятельности финансового уполномоченного личного кабинета финансовой организации и личного кабинета потребителя финансовых услуг (утв. решением Совета Службы финансового уполномоченного от 21 сентября 2023 г. , протокол № 28):
🔹Если электронный документ подписан КЭП представителя финансовой организации по доверенности, то одновременно нужно представить доверенность в электронной форме в машиночитаемом виде и файл КЭП лица, подписавшего доверенность.
🔹МЧД должна содержать наименование полномочия "Направление электронного документа финансовому уполномоченному либо в АНО "СОДФУ" и не должна быть отозвана на момент подписания.
🔹До 31.08.2024 допустимо подписание электронного документа КЭП представителя финансовой организации с использованием сертификата ЮЛ без представления МЧД.
🔹Если электронный документ подписан КЭП представителя финансовой организации по доверенности, то одновременно нужно представить доверенность в электронной форме в машиночитаемом виде и файл КЭП лица, подписавшего доверенность.
🔹МЧД должна содержать наименование полномочия "Направление электронного документа финансовому уполномоченному либо в АНО "СОДФУ" и не должна быть отозвана на момент подписания.
🔹До 31.08.2024 допустимо подписание электронного документа КЭП представителя финансовой организации с использованием сертификата ЮЛ без представления МЧД.
Об ЭП и УЦ
Минцифры 3 ноября сообщило о запуске на Госуслугах сервиса проверки паспортов, может ли анонсированный сервис быть альтернативой сервису проверки по списку недействительных паспортов, который ранее был доступен на сайте МВД России? Да, сервис на сайте МВД…
Письмо Минцифры с напоминанием об альтернативах сервису МВД СМЭВ2 SID0003418 в СМЭВ4.
Например, "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя"
Например, "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя"
Forwarded from Пост Лукацкого
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠
ЗЫ. Спасибо подписчику, что обратил внимание
ЗЫ. Спасибо подписчику, что обратил внимание
Please open Telegram to view this post
VIEW IN TELEGRAM
Пост Лукацкого
И потом не говорите, что это была недокументированная возможность 😎 Вас же заранее предупредили 🛠 ЗЫ. Спасибо подписчику, что обратил внимание
А ведь это заразно... Обратите внимание на срок действия TLS-сертификата сайта. А когда ему ещё истечь, как не в Международный день защиты информации😜
Губернатор Петербурга рассказал о введении электронной подписи на выборах
На выборах в Петербурге в 2024 году будет впервые использована технология электронной подписи для избирателей, а также внедрены электронные списки избирателей. Об этом губернатор Александр Беглов рассказал в Таврическом дворце в ходе научно-практической конференции, посвященной 30-летию современной избирательной системы России.
Что тут можно сказать - стилусом в планшете будут расписываться? Какая будет значимость у этих наборов пикселей? Это не креатив, это называется другим словом.
На выборах в Петербурге в 2024 году будет впервые использована технология электронной подписи для избирателей, а также внедрены электронные списки избирателей. Об этом губернатор Александр Беглов рассказал в Таврическом дворце в ходе научно-практической конференции, посвященной 30-летию современной избирательной системы России.
«Мы впервые в Санкт-Петербурге вводим электронную подпись. Это тоже очень важно. Информационную систему, списки избирателей. Чтобы не ходить там по книжкам, а избиратель пришел, нашел себя, электронно подписал документ. Все комфортно. Как для пожилых людей, так и для молодежи. Она любит какие-то креативные вещи — и мы всячески предоставим»
Что тут можно сказать - стилусом в планшете будут расписываться? Какая будет значимость у этих наборов пикселей? Это не креатив, это называется другим словом.
Сенаторы предложили резко поднять штрафы в сфере безопасности переводов (РБК)
Их не устраивает, что банки ограничиваются кодами в СМС и push-уведомлениях.
Согласно указанию Банка России от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи.
Получаем 3 варианта - СКЗИ с имитозащитой, НЭП и КЭП. Про имитозащиту ранее была информация - см. 1, 2.
НЭП - может быть "облачная", мобильная, сертификат может быть выдан банком в мобильном приложении, проще КЭП.
КЭП - здесь сложнее, "облаков" быть не может, поэтому либо мобильная, либо токен (c NFC). Но далеко не каждый банк является АУЦ (в стране 324 банка на 01.11.2023, аккредитованными УЦ являются 9), поэтому не сможет выдать своему клиенту квалифицированный сертификатов.
Кажется предпочтительной именно "облачная" НЭП по примеру реализации, как в личном кабинете налогоплательщика. Мнение автора канала может не совпадать с мнением сенаторов или банков😄
Их не устраивает, что банки ограничиваются кодами в СМС и push-уведомлениях.
Согласно указанию Банка России от 18 февраля 2022 года (6071-У), которое вносит изменение в положение ЦБ о требованиях в целях защиты информации для борьбы с денежными переводами без согласия клиента, банки должны обеспечить целостность онлайн-операций и подтвердить их составление клиентом с помощью средств криптографической защиты либо усиленной квалифицированной или неквалифицированной подписи.
Получаем 3 варианта - СКЗИ с имитозащитой, НЭП и КЭП. Про имитозащиту ранее была информация - см. 1, 2.
НЭП - может быть "облачная", мобильная, сертификат может быть выдан банком в мобильном приложении, проще КЭП.
КЭП - здесь сложнее, "облаков" быть не может, поэтому либо мобильная, либо токен (c NFC). Но далеко не каждый банк является АУЦ (в стране 324 банка на 01.11.2023, аккредитованными УЦ являются 9), поэтому не сможет выдать своему клиенту квалифицированный сертификатов.
Кажется предпочтительной именно "облачная" НЭП по примеру реализации, как в личном кабинете налогоплательщика. Мнение автора канала может не совпадать с мнением сенаторов или банков😄
Об ЭП и УЦ
Мобильная электронная подпись Хочется напомнить, что 1 декабря в 11.00 состоится онлайн-конференция на тему мобильной электронной подписи. Спикеры определены, общение обещает быть интересным. Участие бесплатное, регистрация по ссылке
Мобильная электронная подпись
📣 Ссылка на сегодняшнюю трансляцию https://live.anti-malware.ru/transliatsii/lkopo90/
Please open Telegram to view this post
VIEW IN TELEGRAM
AM Live
Мобильная электронная подпись - AM Live
Previous Next
Бюджет Москвы подписан неквалифицированным сертификатом
Акцент на электронной подписи сделан такой, будто всех москвичей обеспечили квалифицированными сертификатами.
Файл с электронной подписью не мог пройти мимо проверки нашим каналом. По факту подписей там две - CAdES-BES с кодировкой Base64, присоединенная
и встроенная PAdES.
Для подписания использован сертификат автоподписи информационный системы, выданный на ДИТ Москвы (это отдельное ЮЛ)
Что только в этот сертификат не включили...
Но вопрос не к сертификату, а к ключу ЭП, который при созданием запроса был сформирован с использованием несертифицированной промежуточной сборки КриптоПро 5.0 R3
Самой новой сертифицированной сборкой на данный момент является 5.0 R2 с номером 5.0.12000, для R3 сертифицированной сборки ещё нет (предположительно это будет 5.0.13000)
▫️подписан закон о бюджете Москвы на 2024 год и плановый период 2025-2026 годов. Документ, подписанный электронной подписью, опубликован на
официальном сайте мэра и правительства города
Акцент на электронной подписи сделан такой, будто всех москвичей обеспечили квалифицированными сертификатами.
Файл с электронной подписью не мог пройти мимо проверки нашим каналом. По факту подписей там две - CAdES-BES с кодировкой Base64, присоединенная
и встроенная PAdES.
Для подписания использован сертификат автоподписи информационный системы, выданный на ДИТ Москвы (это отдельное ЮЛ)
CN = ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ
E =
lagodenkoay@it.mos.ru
ИНН ЮЛ = 7710878000
ОГРН = 1107746943347
O = ДЕПАРТАМЕНТ ИНФОРМАЦИОННЫХ ТЕХНОЛОГИЙ ГОРОДА МОСКВЫ
L = Москва
STREET = 1-Красногвардейский проезд, д. 21, стр. 1
S = г. Москва
C = RU
Что только в этот сертификат не включили...
Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)
Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Подписывание кода (1.3.6.1.5.5.7.3.3)
Установка отметки времени (1.3.6.1.5.5.7.3.8)
Неизвестное использование ключа (1.2.643.3.251.5.1)
Но вопрос не к сертификату, а к ключу ЭП, который при созданием запроса был сформирован с использованием несертифицированной промежуточной сборки КриптоПро 5.0 R3
Средство электронной подписи: КриптоПро CSP (5.0.12330)
Самой новой сертифицированной сборкой на данный момент является 5.0 R2 с номером 5.0.12000, для R3 сертифицированной сборки ещё нет (предположительно это будет 5.0.13000)
За Токен "Да"
Немного юмора, а то прошлый пост оказался слишком серьёзным.
Со своими ключами ЭП
Делаю что хочу
Нужно отправить отчетность
С токена извлечу
Кто Госключ не любит
Я вас не слышу
Решаю проблемы сама
И в чат не пишу
Этот телефон мне муж купил,
этот загран мне муж купил,
учетку Госуслуг мне муж купил,
муж купил и Госключ установил
Я сертификат не получу,
но за токен да
Я счёт не открою, но за токен да
Я подумаю про Госключ и скажу токену да
За токен да, за токен да, за токен да
Немного юмора, а то прошлый пост оказался слишком серьёзным.
Со своими ключами ЭП
Делаю что хочу
Нужно отправить отчетность
С токена извлечу
Кто Госключ не любит
Я вас не слышу
Решаю проблемы сама
И в чат не пишу
Этот телефон мне муж купил,
этот загран мне муж купил,
учетку Госуслуг мне муж купил,
муж купил и Госключ установил
Я сертификат не получу,
но за токен да
Я счёт не открою, но за токен да
Я подумаю про Госключ и скажу токену да
За токен да, за токен да, за токен да
Кузьминский районный суд опубликовал приговор по делу хакера, взломавшего медицинскую лабораторию «Гемотест» и выложившего в открытом доступе персональные данные клиентов и результаты их анализов. Согласно тексту приговора доступ к данным был получен с помощью скомпрометированной учетной записи gms-admin@gemotest.ru в сервисе corptv.gemotest.ru. Признанный судом виновный может быть причастным и к другим взломам.
Что судом не было проанализировано - обвиняемый 11 марта 2022 г. был зарегистрирован ИП Межрайонной инспекцией ФНС России №15 по Санкт-Петербургу. Основной вид деятельности «Торговля розничная по почте или по информационно-коммуникационной сети Интернет». Реестр сертификатов говорит, что у него есть действующий сертификат для ИП.
Что судом не было проанализировано - обвиняемый 11 марта 2022 г. был зарегистрирован ИП Межрайонной инспекцией ФНС России №15 по Санкт-Петербургу. Основной вид деятельности «Торговля розничная по почте или по информационно-коммуникационной сети Интернет». Реестр сертификатов говорит, что у него есть действующий сертификат для ИП.
1️⃣48 аккредитованных УЦ (подтверждена аккредитация УЦ Модум)
2️⃣Утверждена итоговая декларация XXI-й международной конференции PKI-Форум Россия 2023
3️⃣Ратифицирован протокол о взаимном признании электронной подписи государствами ЕАЭС
4️⃣УЦ ФНС России 11.11.2023 перешел на новый подчиненный сертификат
5️⃣Заработал Реестр сертификатов, выданных УЦ ФНС России
6️⃣Банк России разработал проекты указаний о порядке создания и выдачи УЦ ЦБ квалифицированных сертификатов, о порядке представления доверенности в электронной форме, подтверждающей полномочия ФЛ, ИП или иного ЮЛ действовать от имени участников финансового рынка
7️⃣На Госуслугах запущен сервис проверки паспортов
8️⃣Рассмотрено решение ошибок при входе в личный кабинет ЮЛ и систему "Честный знак"
9️⃣Минцифры разработан проект изменений Технических требований к взаимодействию информационных систем в СМЭВ
🔟В личных кабинетах юрлица и индивидуального предпринимателя появился раздел с доверенностями, обновлен портал ЦПРР
1️⃣1️⃣Добавлены первые записи в справочник ограничений полномочий
1️⃣2️⃣Ответ Росфинмониторинга о внедрении МЧД
1️⃣3️⃣Судебная практика: Суд критически оценил результаты проведенной банком проверки электронной подписи, попытка признать недействительной электронную подпись и квалифицированный сертификат
1️⃣4️⃣Подмосковным предпринимателям рассказали о новых правилах в применении электронной подписи для участия в торгах, но лучше бы этого не делали.
1️⃣5️⃣Аналитика от нашего канала: сравнение государственных УЦ, анализ средств УЦ
Please open Telegram to view this post
VIEW IN TELEGRAM