Эксперимент по безвозмездному предоставлению пользователям Удостоверяющего центра ФНС России средств электронной подписи» завершен

3 года условно за хищение 912 тыс. руб. бухгалтером школы

В период с февраля 2020 года по август 2021 года бухгалтер, имея доступ к ключам электронной подписи директора школы, каждый месяц необоснованно завышала себе зарплату. За 1,5 года она таким образом получила 912 тысяч рублей.

Что делать, если аутсорсинговая компания не отдает гендиректору электронный ключ, оформленный на его имя?

Можно подать в суд на аутсорсинговую компанию, выиграть его, а потом наблюдать, как судебные приставы будут исполнять судебное решение по возврату токена.
А правильно - не пытаться узнать ответ на бухгалтерских порталах, на которых могут написать только глупость (Сертификат аннулируется Межрегиональной инспекцией ФНС России по централизованной обработке данных).
С чего был сделан вывод, что сертификат был получен именно в УЦ ФНС России? Возможно он был получен в 2021 году в коммерческом АУЦ. Приведенное в ответе письмо ФНС России от 16.03.2021 № ПА-19-24/151@, касалось представления отчетности в налоговые органы от имени ООО с применением квалифицированной ЭП. Приказ ФНС России от 20.08.2015 № СА-7-6/364@ про порядок формирования усиленной неквалифицированной ЭП налогоплательщика.

В продолжение прошлого поста. На этот раз редактор журнала "Учет учреждений" рассказывает, "как составить журнал выдачи электронной подписи".
В самом начале видео говорится, что "в действующем законодательстве нет чётких правил, как и где хранить электронные подписи, это отдано на усмотрение владельцу подписи или учреждению".
Не читает бухгалтерия 152-ФАПСИ: п. 30, "Пользователи СКЗИ хранят инсталлирующие СКЗИ носители, эксплуатационную и техническую документацию к СКЗИ, ключевые документы в шкафах (ящиках, хранилищах) индивидуального пользования в условиях, исключающих бесконтрольный доступ к ним, а также их непреднамеренное уничтожение".
Что про тубус не забыли - хорошо, только как быть уверенным, что в тубусе нужный ключевой носитель, перед опечатыванием требуется проверка по серийному номеру.
На практике так "выдают электронные подписи", например, в МФЦ Москвы, только без тубуса, просто в начале каждого рабочего дня выдают каждому свой токен с биркой.

Мифы об электронной подписи

Миф 2. В 2020 году граждане, которые в период пандемии были лишены возможности посетить удостоверяющий центр, были бесплатно обеспечены трехмесячными квалифицированными сертификатами

Непросто писать, что написанное в федеральном законе - миф, но не в первый раз.
Речь про Федеральный закон от 08.06.2020 № 166-ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в целях принятия неотложных мер, направленных на обеспечение устойчивого развития экономики и предотвращение последствий распространения новой коронавирусной инфекции», а более конкретно про его норму в части продления сроков действия ключей ЭП, соответствующих ключам проверки ЭП, указанным во вновь созданных квалифицированных сертификатах, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами, а также создание квалифицированных сертификатов, имеющих аналогичное содержание с прекратившими действие квалифицированными сертификатами.

Сертифицированные средства УЦ, предназначенные для реализации функций аккредитованного удостоверяющего центра, в соответствии с Федеральным законом от 06.04.2011 № 63-ФЗ «Об электронной подписи» должны соответствовать требованиям к средствам удостоверяющего центра, утверждённым приказом ФСБ России от 27.12.2011 № 796. Поэтому с помощью средств УЦ невозможно было создать новый квалифицированный сертификат с использованием ключа проверки ЭП, для которого ранее выдавался квалифицированный сертификат, т.к. такой открытый ключ не пройдет обязательную проверку на уникальность. Согласно пункту 2 части 6.1 статьи 14 63-ФЗ удостоверяющий центр аннулирует сертификат ключа проверки ЭП, если установлено, что содержащийся в таком сертификате ключ проверки ЭП уже содержится в ином, ранее созданном сертификате ключа проверки ЭП. Таким образом, данная норма противоречит статье 19.3 166-ФЗ, согласно которой аккредитованные удостоверяющие центры должны были создавать квалифицированные сертификаты с использованием ключа проверки ЭП, указанного ранее в прекратившем действие квалифицированном сертификате.

Сертифицированные СКЗИ контролируют срок действия ключей ЭП. В случае использования ключевых носителей без ФКН - максимальный срок действия ключа ЭП составляет 1 год и 3 месяца. Таким образом, если сертификат ключа проверки ЭП и соответствующий ему ключ подписи создавались со сроком действия 15 месяцев, то "продление" ключа подписи на 3 месяца приведет к несоответствию максимально установленного срока действия для СКЗИ, что, в свою очередь, при штатной эксплуатации СКЗИ обеспечит блокировку формирования ЭП по истечении срока действия ключа подписи.

Ни один аккредитованный УЦ технически не был готов выполнить норму 166-ФЗ, поэтому её выполнение - миф.

01.11.2022 вступил в силу приказ ФНС России от 21.10.2022 № ЕД-7-26/967@, утверждающий рекомендуемые форматы перечней документов, которые могут требовать к предоставлению у операторов электронного документооборота налоговые органы, в том числе:

Копии документов связанных с выдачей сертификатов (СКПЭП):
- заявления на оформление (получение) сертификата ключа ЭП,
- доверенности на оформление (получение) сертификата ключа ЭП,
- сведения о лицах, обратившихся от имени проверяемого налогоплательщика за оформлением (получением) сертификата ключа ЭП (ФИО, номера телефонов, паспортные данные),
- листы ознакомления с информацией, содержащейся в сертификате ключа ЭП,
- заявления об отзыве сертификата ключа ЭП,
- места получения сертификата (адрес места выдачи сертификата),
- информация по оплате услуг).

Сведения о сертификатах (СвСертиф):
- серийный номер сертификата,
- признак компрометации СКЭП,
- причина компрометации СКЭП,
- признак владельца ЭП,
- ИНН организации, владельца ЭП,
- ИНН физического лица (индивидуального предпринимателя), владельца ЭП.

При этом не все операторы ЭДО являются аккредитованными УЦ.

УЦ ФК в текущей реализации может выпускать сертификаты с максимальным сроком действия равным сроку действия подчиненного сертификата УЦ ФК (сроком действия от 13 лет и 9 месяцев до 15 лет, т.к. их срок будет устанавливаться равным сроку действия сертификата УЦ ФК на момент выпуска сертификата). Клиентам сертификаты выдаются на срок, не превышающий срок действия закрытого ключа (как правило 1 год 3 месяца). Для обеспечения возможности проверки ЭП после окончания срока действия такого сертификата в информационных системах Казначейства России используются усовершенствованные форматы ЭП, в частности XAdES-C/CAdES-С.

ЭП сформированные на основе XAdES-C/CAdES-С содержат метку времени, сертификат которой имеет срок действия, равный сроку действия сертификата УЦ ФК и информацию о действительности сертификата на момент подписания.

Таким образом Казначейство России не располагает фактами, что используемые подходы не обеспечивают юридически значимого хранения электронных документов.

Приглашаем на вебинар "Все о квалифицированной электронной подписи на основе технологий КриптоПро и Рутокен"

Приглашаем всех 10 ноября 2022 г. в 12-00 (МСК) принять участие в вебинаре "Все о квалифицированной электронной подписи на основе технологий КриптоПро и Рутокен"

В программе вебинара:


🔹 Какие ключи могут храниться на устройствах Рутокен. В чем различия извлекаемых/неизвлекаемых, экспортируемых/неэкспортируемых ключей;
🔹 Режимы работы криптопровайдера КриптоПро CSP;
🔹 Функциональные возможности токенов и смарт-карт Рутокен;
🔹 Обзор совместного решения, задействующего КриптоПро DSS, приложения myDSS 2.0 и устройства Рутокен ЭЦП 3.0 NFC;
🔹 Особенности новой линейки токенов и смарт-карт Рутокен ЭЦП 3.0.

Участие в мероприятии бесплатное, необходима регистрация.

Заместитель генерального директора КриптоПро Станислав Смышляев поделился с BIS Journal своим мнением относительно планов Минцифры России по созданию Национального технологического центра по цифровой криптографии (НТЦ ЦК) и высказал намерение КриптоПро принять участие в работе такого центра.

«Сейчас – как в России, так и за рубежом – разрабатывается и внедряется большое количество систем электронного взаимодействия (между гражданами, организациями, государством), которым критически необходимо обеспечение информационной безопасности криптографическими средствами. Однако при этом защита должна обеспечиваться с учётом всех аспектов этих систем: требуются новые криптографические протоколы, новые подходы к интеграции криптографических средств в информационные системы. Говоря другими словами, просто хорошего программно-аппаратного шифратора недостаточно для того, чтобы обеспечить защиту системы, в которой предполагается взаимодействие с массовым пользователем, который будет использовать свой ноутбук или мобильный телефон для получения доступа к тем или иным услугам через интернет», – комментирует ситуацию Станислав Смышляев.

Сами криптографические протоколы в России разрабатываются и стандартизируются в России в рамках Технического комитета «Криптографическая защита информации» (ТК 26), объясняет эксперт. Но при этом крайне важно, чтобы и реализации этих протоколов создавались и внедрялись с наиболее точным выполнением требований (как функциональных, так и требований информационной безопасности) конечных систем, где они будут применяться. Именно для координации такого взаимодействия, с целью появления площадки, на которой архитекторы и потребители конечных систем смогут взаимодействовать с криптографами, разработчиками, представителями регуляторов и научного сообщества для выбора оптимальных путей решения сложных задач, и является крайне важным создание такого центра.

«На наш взгляд, заинтересованы в создании такого центра архитекторы, разработчики и владельцы информационных систем (как существующих, так и перспективных), – говорит Станислав Смышляев. – Это можно объяснить тем, что разрабатываемые в рамках центра решения и оказываемые консультации позволят внедрять современные и соответствующие всем требованиям законодательства средства криптографической защиты более оперативно и слаженно, а главное, учитывая аспекты каждой конкретной системы».

В создании центра заинтересованы также разработчики криптосредств, так как более плотное взаимодействие с заказчиками (при этом сразу вместе с представителями государства и науки) позволит расширить область применения разрабатываемых криптосредств, повышая при этом защищённость государственных и негосударственных ИС, а также массового пользователя, добавляет эксперт.

ФСБ России для общественного обсуждения размещен проект нового Административного регламента по лицензированию деятельности в области шифровальных (криптографических) средств

Опубликована запись вебинара "Машиночитаемые доверенности: как от теории перейти к практике", который прошёл 2 ноября 2022 г.

Если переформулировать данный вопрос на "Можно ли удалённо получить квалифицированный сертификат и зарегистрировать организацию", то ответ на него не будет отрицательным

Непростое определение Конституционного Суда о простой ЭП

Суть дела - для обеспечения доступа к информационным сервисам Банка между Банком и гражданином было заключено Соглашение о дистанционном банковском обслуживании. Банк и гражданин заключили кредитный договор, договор подписан смс-кодом, пришедшим на номер телефона заемщика.
Денежные средства сначала были зачислены Банком на счет гражданина, открытый по ранее заключенному договору, после чего на основании распоряжения гражданина перечислены на счет карты по номеру карты клиента, указанному при заключении договора в другом банке.
Процедура заключения кредитного договора посредством информационных сервисов проведена в полном соответствии с действующим законодательством. Мобильный телефон истец не теряла, никому не передавала, значит, самостоятельно передала смс-коды третьим лицам.
Истец просит суд признать сделку недействительной.

Из решения суда первой инстанции: согласно соглашению о дистанционном банковском обслуживании, заключенному между истцом и ответчиком, стороны договорились о том, что простой электронной подписью при подписании электронного документа в информационном сервисе является CMC-код, представляющий из себя уникальную последовательность цифр, которую Банка направляет Клиенту посредством CMC-сообщения на номер его мобильного телефона. В случае идентичности СМС-кода, направленного Банком, и CMC-кода, проставленного в электронном документе, такая электронная подпись считается подлинной и проставленной Клиентом. Клиент и Банк обязаны соблюдать конфиденциальность в отношении СМС-кода.

Указанное соглашение отвечает требованиям Федерального закона от 06.04.2011 № 63-ФЗ «Об электронной подписи», в частности, согласно п. 2 ст. 5, простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

В соответствии с п. 2 ст. 6 указанного Закона информация в электронной форме, подписанная простой электронной подписью или неквалифицированной электронной подписью, признаётся электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, в случаях, установленных федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия.

Таким образом, проставление электронной подписи в заявлении о предоставление кредита и иных документах банка, включая непосредственно кредитный договор, по смыслу приведённой нормы расценивается как проставление собственноручной подписи, в связи с чем, довод ответчика о незаключении ей договора является необоснованным.

Суд приходит к убеждению, что истец выразила согласие на заключение кредитного договора, введя соответствующий смс-код, пришедший на её номер телефона. Указанный номер телефона соответствует тому, что был указан истцов при заключении кредитного договора {Дата изъята}. Кроме того, сама истец поясняла, что собственноручно вводила со своего мобильного телефона поступавшие ей коды.

Решение суда первой инстанции оставлено без изменения судами апелляционной и кассационной инстанций.

К чему пришел Конституционный Суд? В момент заключения договора и перевода денежных средств мобильный телефон из владения истца не выбывал, указанные операции совершены ею лично. При этом суд отметил, что совокупность исследованных доказательств не позволяет установить, что в отношении истца были совершены действия, которые она трактует как мошеннические, а само по себе обращение в правоохранительные органы и возбуждение уголовного дела не свидетельствуют о том, что в отношении лица было совершено уголовно наказуемое деяние.
В принятии к рассмотрению жалобы гражданки отказано, поскольку она не отвечает требованиям Федерального конституционного закона «О Конституционном Суде Российской Федерации».

Давно не было таких новостей "Мошенники через электронную подпись «увели» у жителей округа квартиру" - целых 3 года.

В ГУ МВД России по г. Москве расследовано уникальное в своём роде преступление — дело о хищении объектов недвижимости с помощью электронной подписи, сейчас оно передано в суд.

Житель Лобни втирался в доверие москвичам, выставляя себя крутым бизнесменом, опытным коммерсантом. Потом предлагал своим новым знакомым стать совладельцами одной из фирм. Некоторые из них соглашались, и тогда он предлагал этим людям оформить так называемые «электронные подписи», позволяющие подтвердить авторство электронного документа. Говорил, что тем самым будет ускорен процесс работы фирмы и поэтому облегчит руководство ею. И вообще, это современно — за «электронной подписью» будущее.
Получив доступ к «электронной подписи», он проводил различные преступные манипуляции: подделывал документы, подписи на них и в конце концов становился владельцем недвижимости, о чём её хозяева даже не подозревали.

Ключ ЭП это не CVV, последствия передачи другие. Источник новости "Газета Петровка, 38"

Рабочий вариант дорожной карты перехода на использование машиночитаемых доверенностей включает три типа мероприятий - информационные, организационные и технологические: 7 мероприятий в 2022 г. и 16 в 2023 г.

Срок готовности сервиса СМЭВ для передачи сведений МЧД в ЕСНСИ - 30.06.2023 (такой же, как срок доработки информационных систем ведомств для использования единого формата МЧД).

С такими сроками "переходный период" нужно продлевать не на 8, а на 18 месяцев.