Юбилей - 30 лет на рынке кибербезопасности👍
Сегодняшний первый пост с картой российского рынка ПО не был случаен. В 2024 году исполняется 30 лет компании, которая присутствует на данной карте, и без которой рынок средств защиты информации и электронной подписи в нашей стране просто невозможно представить. Я говорю про компанию "Актив".
Моё знакомство с их продукцией состоялось в 2007 году, когда на 4 курсе учёбы в университете я, как и многие студенты, начал работать. Занимался автоматизацией ресторанов, фуд-кортов, и для защиты лицензионных прав использовался Guardant. Через 3 года познакомился с Рутокен - флагманским решением на рынке ключевых носителей. Миллионам пользователей электронной подписи в нашей стране известно данное название, оно даже более известно, чем компания, которая их разработала.
За прошлый год компанией "Актив" произведено более 3 млн. Рутокенов и так получилось, что количество ваших просмотров всех постов в канале также превысило 3 млн. Только представьте, за время просмотра одного поста в течение нескольких секунд производится один токен.
Поздравляю коллектив компании "Актив" с юбилеем и желаю дальнейшей продуктивной работы, новых решений, высоких целей и достижений🏆 !
Сегодняшний первый пост с картой российского рынка ПО не был случаен. В 2024 году исполняется 30 лет компании, которая присутствует на данной карте, и без которой рынок средств защиты информации и электронной подписи в нашей стране просто невозможно представить. Я говорю про компанию "Актив".
Моё знакомство с их продукцией состоялось в 2007 году, когда на 4 курсе учёбы в университете я, как и многие студенты, начал работать. Занимался автоматизацией ресторанов, фуд-кортов, и для защиты лицензионных прав использовался Guardant. Через 3 года познакомился с Рутокен - флагманским решением на рынке ключевых носителей. Миллионам пользователей электронной подписи в нашей стране известно данное название, оно даже более известно, чем компания, которая их разработала.
За прошлый год компанией "Актив" произведено более 3 млн. Рутокенов и так получилось, что количество ваших просмотров всех постов в канале также превысило 3 млн. Только представьте, за время просмотра одного поста в течение нескольких секунд производится один токен.
Поздравляю коллектив компании "Актив" с юбилеем и желаю дальнейшей продуктивной работы, новых решений, высоких целей и достижений
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Privacy Advocates
👮♂️ Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных. Перечень выявленных нарушений:
🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и парольные фразы средств криптографической защиты информации, а также файлы закрытой части ключа электронно-цифровой подписи;
🔸одно из АРМ не оборудовано средствами контроля на предмет его вскрытия;
🔸отсутствует журнал поэкземплярного учета средств криптографической защиты информации.
⚠️ В отношении курирующего заместителя директора ГАУ СО «МФЦ» дело об административном правонарушении по ч. 6 ст. 13.12 КоАП РФ.
🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и парольные фразы средств криптографической защиты информации, а также файлы закрытой части ключа электронно-цифровой подписи;
🔸одно из АРМ не оборудовано средствами контроля на предмет его вскрытия;
🔸отсутствует журнал поэкземплярного учета средств криптографической защиты информации.
⚠️ В отношении курирующего заместителя директора ГАУ СО «МФЦ» дело об административном правонарушении по ч. 6 ст. 13.12 КоАП РФ.
Privacy Advocates
👮♂️ Прокуратура Саратовской области в ГАУ СО «МФЦ» выявила нарушения законодательства о защите информации и персональных данных. Перечень выявленных нарушений: 🔸на жестких дисках автоматизированных рабочих мест (АРМ) обнаружены файлы, содержащие пароли и…
Решил отдельно прокомментировать данную проверку. У подписчиков может возникнуть вопрос, а причём тут прокуратура и проверка использования СКЗИ? Ещё и журнал поэкземплярного учёта СКЗИ по 152-ФАПСИ включили.
Прокуратура в нашей стране👮♂️ - это единая федеральная система государственного надзора за исполнением законов. Каких законов? Любых. При этом Закон о прокуратуре детально не регламентирует процедуру проведения прокурорских проверок, описывает проверки только в общем виде, предмет и пределы проверки законом не ограничены. Что было основанием для проведения проверки из размещённой информации не ясно, в плане проверок такой проверки нет. Поэтому скорее всего проверка была внеплановой.
Что нашли прокуроры:
🔹 компьютеры, имеющие выход в сеть «Интернет»;
🔹на компьютерах хранились пароли, в том числе от средств криптографической защиты информации;
🔹закрытый ключ ЭП на жёстком диске (в реестре или файлы в папке?) - был ли он или сертификат от данного ключа ещё действующими, история умалчивает, а то могли нарушение нормы про немедленное уничтожение ключа ЭП приписать;
🔹 отсутствие журналаучёта журналов поэкземплярного учёта СКЗИ.
🔨 Итог проверки - директору представление, курирующему заместителю директора административку по ч. 6 ст. 13.12 КоАП (нарушение требований о защите информации, от 1000 до 2000 руб.).
На счастье данного МФЦ они не осуществляют сбор биометрии через криптобиокабины. А применительно самой прокуратуры есть следующая деталь, несмотря на окончание аккредитации УЦ Генпрокуратуры и вывод из эксплуатации ПАК, и в 2024 году они продолжают регистрировать сертификаты в ЕСИА.
Прокуратура в нашей стране
Что нашли прокуроры:
🔹 компьютеры, имеющие выход в сеть «Интернет»;
🔹на компьютерах хранились пароли, в том числе от средств криптографической защиты информации;
🔹закрытый ключ ЭП на жёстком диске (в реестре или файлы в папке?) - был ли он или сертификат от данного ключа ещё действующими, история умалчивает, а то могли нарушение нормы про немедленное уничтожение ключа ЭП приписать;
🔹 отсутствие журнала
На счастье данного МФЦ они не осуществляют сбор биометрии через криптобиокабины. А применительно самой прокуратуры есть следующая деталь, несмотря на окончание аккредитации УЦ Генпрокуратуры и вывод из эксплуатации ПАК, и в 2024 году они продолжают регистрировать сертификаты в ЕСИА.
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Answer-П15-13439 15.02.2024.pdf
Проверка МЧД в блокчейн ФНС России через ЕСИА⚡️
Доступ пользователей портала ФНС России к файлам МЧД, хранящимся в блокчейн ФНС России, во втором квартале 2024 году будет реализован через ЕСИА. Доработка предусмотрена Дорожной картой развития проекта ФНС России «Единое блокчейн-хранилище машиночитаемых доверенностей (МЧД)», что повысит безопасность данной процедуры.
Ассоциацией российских банков 19.01.2024 направлены 3 письма: в Минцифры, ФНС России и Росреестр по вопросу, связанному с отображением и размещением в открытом доступе персональных данных доверителей и представителей при проверке МЧД и при скачивании в формате PDF. Первым ответ пришел от Росреестра, затем от Минцифры, и вот получен третий ответ от ФНС России.
Ранее из ответа Минцифры мы узнали, что в проработке находится вопрос внесения изменений в приказ Минцифры России 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи».
Доступ пользователей портала ФНС России к файлам МЧД, хранящимся в блокчейн ФНС России, во втором квартале 2024 году будет реализован через ЕСИА. Доработка предусмотрена Дорожной картой развития проекта ФНС России «Единое блокчейн-хранилище машиночитаемых доверенностей (МЧД)», что повысит безопасность данной процедуры.
Ассоциацией российских банков 19.01.2024 направлены 3 письма: в Минцифры, ФНС России и Росреестр по вопросу, связанному с отображением и размещением в открытом доступе персональных данных доверителей и представителей при проверке МЧД и при скачивании в формате PDF. Первым ответ пришел от Росреестра, затем от Минцифры, и вот получен третий ответ от ФНС России.
Распределенный реестр ФНС России обеспечивает выполнение всех требований текущего законодательства и нормативных правовых актов Российской Федерации в части отмены, хранения, использования и предоставления машиночитаемых доверенностей.
Ранее из ответа Минцифры мы узнали, что в проработке находится вопрос внесения изменений в приказ Минцифры России 18.08.2021 № 857 «Об утверждении единых требований к формам доверенностей, необходимых для использования квалифицированной электронной подписи».
Please open Telegram to view this post
VIEW IN TELEGRAM
1️⃣Вступила в силу с 1 марта норма об обязательной передаче операторами систем хранения МЧД сведений об МЧД в ЕСИА, на практике техническая возможность передачи не обеспечена
2️⃣Стартовал эксперимент "Старт бизнеса онлайн", позволяющий зарегистрировать бизнес, получить с использованием биометрии квалифицированный сертификат в УЦ ФНС России и открыть счет в банке
3️⃣Новый формат доверенности для налоговой 5.02 и заявления об отзыве электронной доверенности
4️⃣Скорректированы Правила использования КЭП при формировании и ведении федерального регистра сведений населении
5️⃣Социальный фонд с 11 марта прекратил возможность загрузки документов для подтверждения полномочий отличными от МЧД способами
6️⃣Блокировка продуктов КриптоПро компанией Apple, опубликована промежуточная версия КриптоПро CSP 5.0.12998
7️⃣Опубликован доклад Минцифры России о виде государственного контроля в сфере электронной подписи за 2023 год
8️⃣АРБ на письма, связанные с отображением и размещением в открытом доступе персональных данных доверителей и представителей при проверке МЧД и при скачивании в формате PDF, получены ответы Минцифры и ФНС России
9️⃣Банком России актуализированы требования к порядку представления МЧД, подтверждающей полномочия лица действовать от имени финансовой организации
🔟Судебная практика: за необеспечение конфиденциальности ключа электронной подписи вынесено частное постановление, проверка прокураты в части СКЗИ
1️⃣1️⃣Количество установок расширения плагина КриптоПро ЭЦП Browser plug-in превысило 10 млн.
1️⃣2️⃣УЦ Банка России провел работы по обновлению личного кабинета
1️⃣3️⃣Нестабильная работа сервиса МВД в СМЭВ по проверке паспортов
1️⃣4️⃣30-летний юбилей в 2024 году компании "Актив" - разработчика Рутокен
1️⃣5️⃣Актуализирован Перечень НПА, регулирующих отношения в области использования электронных подписей
Please open Telegram to view this post
VIEW IN TELEGRAM
Хороший рассказ про использование электронной подписи в ОАЭ с Хабра
В части Госключа есть небольшие неточности, всё-таки технология позиционирует себя, как мобильная подпись (по факту это гибрид мобильной и облачной).
Перепутали большой и маленький Инфотекс...
Зато в ОАЭ нет чата поддержки в телеграм, как у Госключа.
В части Госключа есть небольшие неточности, всё-таки технология позиционирует себя, как мобильная подпись (по факту это гибрид мобильной и облачной).
Эта же компания делает сертифицированное СКЗИ ViPNet, с помощью которого выпускаются сертификаты и производится подпись.
Перепутали большой и маленький Инфотекс...
Зато в ОАЭ нет чата поддержки в телеграм, как у Госключа.
Хабр
Электронная подпись документов в ОАЭ
Большинство читателей Хабр знакомы с электронной подписью в России и облачной электронной подписью «Госключ». Кто-то пользуется этим иногда или часто для личных нужд, кто-то знает, как всё устроено...
Справа таблицы отражена динамика по сравнению с прошлым месяцем
🔹УЦ ФНС России как и в прошлом году по итогам первого квартала выдал более 1 млн. сертификатов, количество выданный сертификатов в марте также значительное, более 500 тыс., и это второй показатель за деятельность УЦ после декабря 2022 года (именно на март пришлось окончание сертификатов, выданных в декабре 2022 г.)
🔹 Отмечается рост ИИТ (выдаёт сертификаты КЭП Госключа) и Банка Тинькофф на фоне падения Такском.
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Поправки в 63-ФЗ в рамках приведения законодательных актов в соответствие с 572-ФЗ В Госдуму внесён соответствующий законопроект N 559494-8. Также вносятся изменения в Закон о банках и банковской деятельности, которыми предлагается закрепить возможность…
Банкам предложат использовать НЭП Госключа при удаленном обслуживании физлиц
Из заключения Комитета Госдумы по финансовому рынку:
Из заключения Комитета Госдумы по финансовому рынку:
В настоящее время при взаимодействии кредитных организаций с клиентами после проведения мероприятий, связанных с их идентификацией, документы и соглашения между этими лицами могут быть подписаны простой электронной подписью, ключ проверки которой получен при личной явке в соответствии с правилами использования простой электронной подписи при обращении за получением государственных и муниципальных услуг в электронной форме, установленными Правительством Российской Федерации.
С целью расширения способов взаимодействия банков с клиентами проектом федерального закона также предлагается предусмотреть, что документы и соглашения могут быть также подписаны с использованием усиленной неквалифицированной электронной подписи, сертификат ключа проверки которой создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг в электронной форме (далее - УНЭП «Госключ»).
Никогда такого не было и вот опять
Установлено, что женщина была бухгалтером в коммерческой организации, занимающейся розничной торговлей. Имея доступ к электронной подписи руководителя, она заказала за счет фирмы продукты, сигареты, кондитерские изделия и другие товары. Их она передала своему мужу, который тот продал в своем магазине. Областная прокуратура уточняет, что о замысле жены мужчина не знал.
vladimir.kp.ru -
В Александровском районе бухгалтер украла у фирмы почти 2,2 миллиона рублей
Во Владимирской области бухгалтер оформила покупку товаров, которые ее муж продал в своем магазине
Подписчики в чате со вчерашнего вечера стали сообщать об ошибках при подписании документов с использованием сертификатов от УЦ ФНС России. Причина - в 22.22 истек срок действия списка отозванных сертификатов (CRL), всё снова заработает, когда файл будет обновлен.
Please open Telegram to view this post
VIEW IN TELEGRAM
О проблеме раскрытия персональных данных представителей кредитных организаций при оформлении МЧД (часть 2)
Ассоциацией российских банков в январе были направлены письма в Минцифры, ФНС России и Росреестр по вопросу, связанному с размещением в открытом доступе в доверенностях персональных данных доверителей и представителей. На все письма были получены ответы - Росреестр, Минцифры и ФНС России.
Не получив ответы на интересующие вопросы АРБ направлено новое письмо в Минцифры России от 03.04.2024 № А24-01/5-150
🚀 Об ЭП и УЦ
Ассоциацией российских банков в январе были направлены письма в Минцифры, ФНС России и Росреестр по вопросу, связанному с размещением в открытом доступе в доверенностях персональных данных доверителей и представителей. На все письма были получены ответы - Росреестр, Минцифры и ФНС России.
Не получив ответы на интересующие вопросы АРБ направлено новое письмо в Минцифры России от 03.04.2024 № А24-01/5-150
В ответ на указанный запрос АРБ ФНС России сообщила о том, что «в случае наличия предложений по внесению изменений в перечень сведений (в том числе и персональные данные), указываемых в доверенности, ФНС России рекомендует обратиться в Минцифры России»
В силу этого повторно обращаемся к Вам с просьбой рассмотреть ранее представленные нами предложения по решению обозначенной проблемы, а именно:
1) скрытие персональных данных доверителя и представителя в реестре ФНС при полной проверке МЧД (в разделе «Посмотреть доверенность») с сохранением в открытом доступе только информации о номере, дате и сроке действия МЧД, ФИО представителя, ИНН представителя и составе его полномочий;
2) при скачивании МЧД из реестра ФНС в формате PDF скрытие изображения собственноручной подписи ЕИО юридического лица и собственноручной расшифровки соответствующей подписи, а также персональных данных доверителя и представителя в соответствии с объемом, указанным в предыдущем пункте.
Также путем разрешения данной проблемы может быть рассмотрена возможность скрытия персональных данных доверителя и представителя при проверке МЧД через сервис ФНС с возможностью получения информации о скрытых персональных данных только ограниченным кругом лиц (кредитными организациями, нотариусами и т. п.).
Please open Telegram to view this post
VIEW IN TELEGRAM
Об ЭП и УЦ
Открываешь справочник полномочий, а там "Данные устарели" т.к. частота обновления данных: 20 дней. Вообще частота обновления разных справочников полномочий носит хаотический характер: МЧД АНО «СОДФУ» - 73 дня (единственное полномочие), МЧД ДИТ - 67 дней, МЧД…
Кажется, что такие вопросы относительно полномочий из федерального классификатора нужно адресовать не операторам ЭДО, а оператору классификатора т.е. Минцифры. Количество полномочий в классификаторе уже превышает 2,1 тыс.
Клерк:
Более миллиона компрометаций ключей ЭП, очень большое число.
Сегодня бухгалтерским аутсорсингом в России пользуются более 1 млн компаний и ИП. Чтобы бухгалтер-аутсорсер мог отправлять сдавать отчетность, ему нужна КЭП, которая выдается директору в единственном экземпляре. И если директор отдаст ее бухгалтеру, то передаст ему все свои полномочия, а сам останется без подписи. К тому же существует опасность, что недобросовестные аутсорсеры могут воспользоваться подписью в корыстных целях.
Более миллиона компрометаций ключей ЭП, очень большое число.
Клерк
Осторожно, КЭП! Как защитить себя и свой бизнес при передаче подписи аутсорсерам
Электронная подпись — это аналог собственноручной подписи. Передать квалифицированную электронную подпись другому лицу опасно, мошенники могут оформить с помощью подписи на директора фирму-однодневку или, наоборот, лишить владельца бизнеса. Также рассмотрим…
Об ЭП и УЦ
Закон_63_ФЗ_цветная_редакция_от_28_12_2022.pdf
Кто как не наш канал должен об этом написать - сегодня ™️ ™️ ™️ ™️ ™️ со дня подписания Федерального закона ™️ ™️ ™️ ™️ "Об электронной подписи".
За прошедший год изменения вносились один раз - 457-ФЗ.
✍️ Об ЭП и УЦ
За прошедший год изменения вносились один раз - 457-ФЗ.
Please open Telegram to view this post
VIEW IN TELEGRAM
Когда стоимость доверенности - ноль
Примером является следующая доверенность - "на получение ЭЦП". К сожалению, нотариусы продолжают выдавать такие безграмотные доверенности (что не видят разницы между "сертификатом" и "ЭЦП" даже говорит не хочется, закон причитать им слишком сложно, для них это "птичий язык").
Получатели таких доверенностей не понимают, что это нотариусы не знают закон 63-ФЗ, который не содержит норм на получение сертификатов за другое лицо на основании доверенности.
В итоге в отказах, что им не "выдают ЭЦП", обвиняют удостоверяющие центры. Как УЦ могут отказать? Им же представили целую нотариальную доверенность.
Прихожу к мнению, что нотариус может выдать доверенность на представление интересов хоть на Марсе, без разницы, что это нереализуемо, главное оплатите услугу.
Примером является следующая доверенность - "на получение ЭЦП". К сожалению, нотариусы продолжают выдавать такие безграмотные доверенности (что не видят разницы между "сертификатом" и "ЭЦП" даже говорит не хочется, закон причитать им слишком сложно, для них это "птичий язык").
Получатели таких доверенностей не понимают, что это нотариусы не знают закон 63-ФЗ, который не содержит норм на получение сертификатов за другое лицо на основании доверенности.
В итоге в отказах, что им не "выдают ЭЦП", обвиняют удостоверяющие центры. Как УЦ могут отказать? Им же представили целую нотариальную доверенность.
Прихожу к мнению, что нотариус может выдать доверенность на представление интересов хоть на Марсе, без разницы, что это нереализуемо, главное оплатите услугу.
Темп перехода сайтов госорганов на отечественные сертификаты безопасности от национального УЦ по-прежнему незначительный. Количество действующих TLS-сертификатов от национального УЦ составляет всего 0,26 %
Согласно рейтингу удостоверяющих центров количество выданных TLS сертификатов в доменной зоне .RU за 3 месяца увеличилось на 26 % - с 1 524 920 до 1 925 533 шт. (в зоне .РФ - с 199 906 до 228 637, в .SU - с 30 323 до 37 428). По сравнение с прошлым рейтингом появился новый УЦ от Google - GTS CA 1P5 (Google Trust Services) с долей 11 %:
🔹Let's Encrypt R3 - 1 531 312 шт. (79,53 %)
🔹GTS CA 1P5 - 211 982 (11,01 %)
🔹GlobalSign - 67 373 шт. (3,5 %)
🔹Let's Encrypt E1 - 64 196 шт. (3,33 %)
🔹AlphaSSL - 43 822шт. (2,28 %)
🔹Иные (в т.ч. НУЦ) - 6 848 (0,36 %)
Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") составляет 4922 шт. т.е. всего 0,26 %.
На сертификат от НУЦ перешли сайты ФСТЭК, Казначейства России, Росреестра и др. А вот Минцифры и портал законодательной деятельности Госдумы нет, сайт Минцифры использует платный сертификат от GlobalSign, а СОЗД Госдумы - бесплатный трехмесячный сертификат от Let's Encrypt.
Источники - Интернет-ресурс «Домены России», CTlog
Согласно рейтингу удостоверяющих центров количество выданных TLS сертификатов в доменной зоне .RU за 3 месяца увеличилось на 26 % - с 1 524 920 до 1 925 533 шт. (в зоне .РФ - с 199 906 до 228 637, в .SU - с 30 323 до 37 428). По сравнение с прошлым рейтингом появился новый УЦ от Google - GTS CA 1P5 (Google Trust Services) с долей 11 %:
🔹Let's Encrypt R3 - 1 531 312 шт. (79,53 %)
🔹GTS CA 1P5 - 211 982 (11,01 %)
🔹GlobalSign - 67 373 шт. (3,5 %)
🔹Let's Encrypt E1 - 64 196 шт. (3,33 %)
🔹AlphaSSL - 43 822шт. (2,28 %)
🔹Иные (в т.ч. НУЦ) - 6 848 (0,36 %)
Количество действующих TLS-сертификатов от национального УЦ ("отечественный RSA") составляет 4922 шт. т.е. всего 0,26 %.
На сертификат от НУЦ перешли сайты ФСТЭК, Казначейства России, Росреестра и др. А вот Минцифры и портал законодательной деятельности Госдумы нет, сайт Минцифры использует платный сертификат от GlobalSign, а СОЗД Госдумы - бесплатный трехмесячный сертификат от Let's Encrypt.
Источники - Интернет-ресурс «Домены России», CTlog
Об ЭП и УЦ
48 аккредитованных УЦ В соответствии с протоколом Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, от 15.02.2024 № 3пр аккредитован Совкомбанк (аккредитация данного УЦ ранее заканчивалась 18.12.2023) …
49 аккредитованных УЦ
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, аккредитацию впервые получил УЦ ООО "Сибирская интернет компания" (протокол от 01.04.2024 № 4пр)
В соответствии с решением Правительственной комиссии, уполномоченной на принятие решения об аккредитации удостоверяющих центров, аккредитацию впервые получил УЦ ООО "Сибирская интернет компания" (протокол от 01.04.2024 № 4пр)
Уровни доверия идентификации и аутентификации клиентов банков
Не мог пройти мимо Стандарта Банка России СТО БР БФБО-1.8-2024, которым установлен состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном банковском обслуживании (ДБО), всё-таки он затрагивает вопросы применения средств электронной подписи.
Итак, для финансовых организаций устанавливаются три уровня доверия идентификации (УДИ), определяющих уверенность в результатах идентификации:
🔹низкий (УДИ 1) - может использоваться для предоставления информационных сервисов физлицам,
🔹средний (УДИ 2) - предоставление информационных сервисов юрлицам, не самые рисковые финансовые операции физлиц,
🔹высокий (УДИ 3) - высокорисковые финансовые операции физлиц, финансовые операции ЮЛ.
Примеры реализации процесса верификации в разрезе УДИ:
🔹УДИ 1 - подтверждение сведений через СМС; проверка паспорта по видеосвязи; проверка сведений о получателе поставщиком услуг; неподтвержденная УЗ ЕСИА.
🔹УДИ 2 - подтверждение сведений с использованием квалифицированного сертификата.
🔹УДИ 3 - подтвержденная УЗ ЕСИА+второй фактор аутентификации (например, СМС); подтверждение сведений посредством сервисов СМЭВ; подтверждение сведений с использованием загранпаспорта нового поколения; подтверждение с использованием ЕБС.
Не согласен с данным примером, что подтвержденная УЗ ЕСИА с СМС (второй фактор включили у всех по-умолчанию прошлой осенью) соответствует более высокому уровню, чем использование квалифицированного сертификата. Это даже 63-ФЗ противоречит, например, для удаленной идентификации с целью получения квалифицированного сертификата можно использовать: загранпаспорт нового поколения (да, технология доступна только для одного УЦ), связку ЕСИА+ЕБС, либо действующий квалифицированный сертификат. УЗ ЕСИА со вторым фактором использовать нельзя для получения сертификата, однако данный способ подтверждения личности отнесен к самому высокому уровню- УДИ 3.
Стандарт носит рекомендательный характер, вступает в силу с 01.07.2024.
Не мог пройти мимо Стандарта Банка России СТО БР БФБО-1.8-2024, которым установлен состав и содержание мер для обеспечения доверия к результатам идентификации и аутентификации клиентов при дистанционном банковском обслуживании (ДБО), всё-таки он затрагивает вопросы применения средств электронной подписи.
Использование СКЗИ и (или) средств электронной подписи при проведении идентификации и аутентификации должно осуществляться в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» [4], приказом ФСБ России от 09.02.2005 № 66 «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)» [10] и технической документацией на СКЗИ и (или) средство электронной подписи
Итак, для финансовых организаций устанавливаются три уровня доверия идентификации (УДИ), определяющих уверенность в результатах идентификации:
🔹низкий (УДИ 1) - может использоваться для предоставления информационных сервисов физлицам,
🔹средний (УДИ 2) - предоставление информационных сервисов юрлицам, не самые рисковые финансовые операции физлиц,
🔹высокий (УДИ 3) - высокорисковые финансовые операции физлиц, финансовые операции ЮЛ.
Примеры реализации процесса верификации в разрезе УДИ:
🔹УДИ 1 - подтверждение сведений через СМС; проверка паспорта по видеосвязи; проверка сведений о получателе поставщиком услуг; неподтвержденная УЗ ЕСИА.
🔹УДИ 2 - подтверждение сведений с использованием квалифицированного сертификата.
🔹УДИ 3 - подтвержденная УЗ ЕСИА+второй фактор аутентификации (например, СМС); подтверждение сведений посредством сервисов СМЭВ; подтверждение сведений с использованием загранпаспорта нового поколения; подтверждение с использованием ЕБС.
Не согласен с данным примером, что подтвержденная УЗ ЕСИА с СМС (второй фактор включили у всех по-умолчанию прошлой осенью) соответствует более высокому уровню, чем использование квалифицированного сертификата. Это даже 63-ФЗ противоречит, например, для удаленной идентификации с целью получения квалифицированного сертификата можно использовать: загранпаспорт нового поколения (да, технология доступна только для одного УЦ), связку ЕСИА+ЕБС, либо действующий квалифицированный сертификат. УЗ ЕСИА со вторым фактором использовать нельзя для получения сертификата, однако данный способ подтверждения личности отнесен к самому высокому уровню- УДИ 3.
Стандарт носит рекомендательный характер, вступает в силу с 01.07.2024.