Forwarded from BIS Journal — Информационная безопасность
В ходе первого дня «PKI-Форума Россия 2024», который проходит в Санкт-Петербурге с 17 по 19 сентября, состоялась экспертная панель «Итоги деятельности аккредитованных УЦ в 2024 году». Представители государственных ведомств, компаний и банков поделились своей точкой зрения на особенности и итоги аккредитации удостоверяющих центров в 2024 году. Речь также шла о нарушениях в деятельности УЦ глазами регуляторов и рынка.
Подробности — на ib-bank.ru
Подробности — на ib-bank.ru
Forwarded from BIS Journal — Информационная безопасность
На экспертной панели «Мобильная подпись: жёсткие вопросы и честные ответы», которая состоялась в рамках «PKI-Форума Россия 2024», руководители компаний-лидеров в области «мобильной подписи» в диалоге с отраслью обсудили самые животрепещущие вопросы в этой сфере.
Подробности — на ib-bank.ru
Подробности — на ib-bank.ru
Во второй день работы PKI-Форума пройдут:
🔹Сессия 1. Проблемные вопросы PKI в финансовом секторе
🔹Сессия 2. Трансграничное признание иностранной ЭП
🔹Сессия 3. Интеграция PKI с прикладными системами. PKI-проекты и продукты
🔹Сессия 4. Новые и перспективные сервисы отечественной PKI для государственных и корпоративных заказчиков
Please open Telegram to view this post
VIEW IN TELEGRAM
Forwarded from Пост Лукацкого
Компания Dr.Web 14 сентября подверглась целевой атаке 🖥 после чего отключила все свои ресурсы от Интернет с целью проверки. При этом больше чем на сутки был приостановлен и выпуск вирусных баз Dr.Web (у вас такое в модели угроз учтено?).
В двух новостях на сайте компании (вторая) много неясного и без детального раскрытия данных по инциденту сложно судить, что же все-таки произошло. С одной стороны "держали происходящее под контролем", а с другой "отключили серверы и запустили процесс всесторонней диагностики"🚠 С одной стороны "оперативно отключили серверы", а с другой - атака началась 14-го числа, признаки внешнего воздействия на инфраструктуру обнаружены были 16-го, тогда же отключили и сервера. С одной стороны "мы внимательно за ней [угрозой] наблюдали", а с другой "мы локализовали угрозу" 💻
Если бы меня спросили, как я трактую данные две новости, то я бы предположил, что вероятно было проникновение внутрь🥷 Но меня никто не спрашивает, а поэтому я свою предположения буду держать при себе и надеяться, что Dr.Web опубликует детальное описание инцидента и результатов проведенного компанией расследования 🔍
В двух новостях на сайте компании (вторая) много неясного и без детального раскрытия данных по инциденту сложно судить, что же все-таки произошло. С одной стороны "держали происходящее под контролем", а с другой "отключили серверы и запустили процесс всесторонней диагностики"
Если бы меня спросили, как я трактую данные две новости, то я бы предположил, что вероятно было проникновение внутрь
Please open Telegram to view this post
VIEW IN TELEGRAM
В заключительный день работы PKI-Форума пройдут:
🔹Сессия 5. Электронные архивы с ЭП. Усовершенствованные форматы ЭП
🔹Сессия 6. Системный подход в отрасли PKI: регулирование, комплексное использование, перспективные разработки
🔹Сессия 7. Судебная практика по делам с ЭП и другие правовые вопросы
🔹Экспертная панель «Управление полномочиями, МЧД, другие механизмы управления полномочиями»
Please open Telegram to view this post
VIEW IN TELEGRAM
Электронная подпись и удаленное открытие эскроу-счетов
В целях повышения доступности финансовых услуг для физических лиц, приобретающих жилье в новостройках, в Госдуме рассматривается законопроект № 625978-8 (предлагаемая дата рассмотрения в первом чтении - 24.09.2024), включающий право открывать счета эскроу для расчетов по договорам участия в долевом строительстве, при одновременном соблюдении следующих условий:
🔹Банк идентифицировал клиента - физическое лицо путем установления сведений о нем одним из следующих способов:
- с использованием информации из информационных систем органов государственной власти, СФР, ФОМС;
- с использованием надлежащим образом заверенных копий документов;
- с использованием ЕСИА;
🔹заявление об открытии счета подписано клиентом усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью (Госключ), а также простой электронной подписью с использованием систем ДБО, если клиент идентифицирован банком при личном присутствии, находится в банке на обслуживании и в отношении такого клиента обновляется информация.
В целях повышения доступности финансовых услуг для физических лиц, приобретающих жилье в новостройках, в Госдуме рассматривается законопроект № 625978-8 (предлагаемая дата рассмотрения в первом чтении - 24.09.2024), включающий право открывать счета эскроу для расчетов по договорам участия в долевом строительстве, при одновременном соблюдении следующих условий:
🔹Банк идентифицировал клиента - физическое лицо путем установления сведений о нем одним из следующих способов:
- с использованием информации из информационных систем органов государственной власти, СФР, ФОМС;
- с использованием надлежащим образом заверенных копий документов;
- с использованием ЕСИА;
🔹заявление об открытии счета подписано клиентом усиленной квалифицированной электронной подписью или усиленной неквалифицированной электронной подписью (Госключ), а также простой электронной подписью с использованием систем ДБО, если клиент идентифицирован банком при личном присутствии, находится в банке на обслуживании и в отношении такого клиента обновляется информация.
✅Организаторами PKI-Форума Россия 2024 размещены презентации секций
📝Предложения в итоговую декларацию PKI-Форум Россия 2024 можно направить по адресу
https://pki-forum.ru/declaration_2024
📝Предложения в итоговую декларацию PKI-Форум Россия 2024 можно направить по адресу
https://pki-forum.ru/declaration_2024
История канала началась с поста и насчитывает их уже более 2,6 тысяч. Канал изначально был рассчитан на небольшую аудиторию, которая общалась в тематическом чате УЦ, просто в чате твои посты быстро теряются... но канал стал пользоваться популярностью, рост подписчиков, приглашения с инфопартнерством, побудили продолжать дело дальше.
За три года ведение канала стало уже образом жизни, чтобы всё это писать сферой электронной подписи нужно действительно жить. Спасибо, что читаете, комментируете, предлагаете, был рад на PKI-Форуме лично получить обратную связь со словами благодарности! Работаю дальше!
Please open Telegram to view this post
VIEW IN TELEGRAM
6🎉120
implementation_EDO (1).pdf
1.3 MB
Методические рекомендации по внедрению ЭДО среди граждан и организаций Российской Федерации
Основанием для подготовки методических рекомендаций является пункт 63 (номер очень символичен) Плана мероприятий («дорожной карты») реализации стратегического направления в области
цифровой трансформации государственного управления, утвержденного распоряжением
Правительства Российской Федерации от 16 марта 2024 г. № 637-р. В качестве ответственных исполнителей указаны Аналитический центр при Правительстве, АНО "Цифровая экономика", иные заинтересованные организации. По факту - документ разработан ФНС России (несправедливо, что данное ведомство не указано в перечне исполнителей).
Методические рекомендации по внедрению ЭДО разработаны для популяризации его использования среди физ.лиц и организаций.
Документ содержит 10 разделов, в которых описываются направления организации и виды ЭДО, способы хранения электронных документов и популяризации ЭДО, отдельный раздел посвящен электронной подписи😊
ФНС России проведена большая работа, но думаю это не последняя редакция документа, в части электронной подписи есть что исправлять и дополнять:
КЭП уже разновидность усиленной подписи
Не только директорам, но и всем работникам госучреждений.
Утратил силу, новый приказ Минцифры и ФСО N 611/96 от 12.07.2024
Основанием для подготовки методических рекомендаций является пункт 63 (номер очень символичен) Плана мероприятий («дорожной карты») реализации стратегического направления в области
цифровой трансформации государственного управления, утвержденного распоряжением
Правительства Российской Федерации от 16 марта 2024 г. № 637-р. В качестве ответственных исполнителей указаны Аналитический центр при Правительстве, АНО "Цифровая экономика", иные заинтересованные организации. По факту - документ разработан ФНС России (несправедливо, что данное ведомство не указано в перечне исполнителей).
Методические рекомендации по внедрению ЭДО разработаны для популяризации его использования среди физ.лиц и организаций.
Документ содержит 10 разделов, в которых описываются направления организации и виды ЭДО, способы хранения электронных документов и популяризации ЭДО, отдельный раздел посвящен электронной подписи😊
ФНС России проведена большая работа, но думаю это не последняя редакция документа, в части электронной подписи есть что исправлять и дополнять:
В отличие от ПЭП и НЭП, у КЭП есть несколько видов
КЭП уже разновидность усиленной подписи
В этот момент с помощью закрытого и открытого ключей создается электронную подпись для конкретного документа.Закрытый (ключ ЭП) для создания ЭП, открытый для проверки.
Казначейство выдает сертификаты ЭП директорам госучреждений
Не только директорам, но и всем работникам госучреждений.
Совместный приказ Минцифры России и ФСО России от 04.12.2020 № 667/233
Утратил силу, новый приказ Минцифры и ФСО N 611/96 от 12.07.2024
Новый дайджест об ЭП в журнале БИТ
Продолжаю рассказывать об основных изменениях нашей сферы на страницах журнала БИТ.
Для подписчиков канала эти темы хорошо знакомы, на каждый пункт был отдельных пост, но цель данной подборки - довести новости об изменениях в сфере электронной подписи до более широкой аудитории.
Продолжаю рассказывать об основных изменениях нашей сферы на страницах журнала БИТ.
Для подписчиков канала эти темы хорошо знакомы, на каждый пункт был отдельных пост, но цель данной подборки - довести новости об изменениях в сфере электронной подписи до более широкой аудитории.
bit.samag.ru
26 изменений, о которых вы должны знать::БИТ 06.2024
Лето выдалось жарким на события в сфере электронной подписи – прекращение аккредитации УЦ, нестабильная работа сервисов, новые нормы законодательства. Про самые важные события рассказано в новом дайджесте «Всё об электронной подписи» (июнь-август 2024)
Мошенники придумывают разные схемы обмана, чтобы получить доступ к учетной записи Госуслуг. После ввода обязательного подтверждения входа вторым фактором это сделать сложнее. Заинтересовал вариант, связанный с "подтверждением активации сертификата":
«Вам создан сертификат электронной подписи на портале «Госуслуги». Чтобы активировать и скачать сертификат, подтвердите кодом из смс ...", – говорят они, представляясь поддержкой Госуслуг.
На Госуслугах уже 4 года доступна информация о выданных им квалифицированных сертификатах, но скачать сам файл сертификата никакой возможности нет, т.к. удостоверяющие центры передают не сами сертификаты, а сведения о них: серийный номер, дата начала и окончания действия, ФИО, ИНН, СНИЛС и др. в рамках сервиса "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА"
«Вам создан сертификат электронной подписи на портале «Госуслуги». Чтобы активировать и скачать сертификат, подтвердите кодом из смс ...", – говорят они, представляясь поддержкой Госуслуг.
На Госуслугах уже 4 года доступна информация о выданных им квалифицированных сертификатах, но скачать сам файл сертификата никакой возможности нет, т.к. удостоверяющие центры передают не сами сертификаты, а сведения о них: серийный номер, дата начала и окончания действия, ФИО, ИНН, СНИЛС и др. в рамках сервиса "Регистрация квалифицированного сертификата ключа проверки электронной подписи в ЕСИА"
CAdES-T - бессмысленный и беспощадный
На скриншотах представлены результаты проверки электронной подписи у МЧД с использованием 5 разных сервисов проверок:
🔹Головной УЦ✅
🔹Портал ФНС❌
🔹КриптоПро❌
🔹Роскадастр❌
🔹Портал УЦ ФК✅
Особенности - подпись в формате CAdES-T, срок действия сертификата подписанта вместе со сроком действия закрытого ключа истек неделю назад. Сертификат службы штампов времени действующий, выдан на 10 лет. Три из пяти сервисов выдали отрицательный результат проверки.
На скриншотах представлены результаты проверки электронной подписи у МЧД с использованием 5 разных сервисов проверок:
🔹Головной УЦ✅
🔹Портал ФНС❌
🔹КриптоПро❌
🔹Роскадастр❌
🔹Портал УЦ ФК✅
Особенности - подпись в формате CAdES-T, срок действия сертификата подписанта вместе со сроком действия закрытого ключа истек неделю назад. Сертификат службы штампов времени действующий, выдан на 10 лет. Три из пяти сервисов выдали отрицательный результат проверки.
Что в имени тебе моем?
Мы привыкли, что у всех есть фамилия, имя, отчество - в паспорте гражданина России присутствуют все три поля. Но отчество может отсутствовать и это предусмотрено 63-ФЗ:
Но как быть удостоверяющему центру, когда у заявителя только имя, нет ни отчества, ни фамилии? И 63-ФЗ и 795 приказ ФСБ России не предусматривают таких ситуаций, но они есть на практике. У заявителя есть паспорт гражданина России, номера ИНН и СНИЛС, но в паспорте только имя.
Есть судебная практика:
и УЦ выдают такие сертификаты (которые успешно проходят проверки ГУЦ), технически проблем нет, но есть нормативная проблема, т.к. законодательство об электронной подписи обязывает заполнять фамилию в квалифицированном сертификате. Получаем ещё одну коллизию, которая может быть решена внесением изменений в законодательство.
Мы привыкли, что у всех есть фамилия, имя, отчество - в паспорте гражданина России присутствуют все три поля. Но отчество может отсутствовать и это предусмотрено 63-ФЗ:
Квалифицированный сертификат должен содержать следующую информацию:
2) фамилия, имя, отчество (если имеется) владельца квалифицированного сертификата...
Но как быть удостоверяющему центру, когда у заявителя только имя, нет ни отчества, ни фамилии? И 63-ФЗ и 795 приказ ФСБ России не предусматривают таких ситуаций, но они есть на практике. У заявителя есть паспорт гражданина России, номера ИНН и СНИЛС, но в паспорте только имя.
Есть судебная практика:
суд в Калининграде признал, что отсутствие фамилии у гражданина не может служить основанием для отказа в выдаче ему документов, удостоверяющих личность и его гражданское состояние
и УЦ выдают такие сертификаты (которые успешно проходят проверки ГУЦ), технически проблем нет, но есть нормативная проблема, т.к. законодательство об электронной подписи обязывает заполнять фамилию в квалифицированном сертификате. Получаем ещё одну коллизию, которая может быть решена внесением изменений в законодательство.
Об ЭП и УЦ
Порядок реализации функций УЦ Банка России
Приказом Банка России от 5 сентября 2024 г. № ОД-1432 в целях обеспечения выполнения требований приказа Минцифры России от 14.07.2023 № 634 утвержден и введен в действие с 06.09.2024 Порядок реализации функций и исполнения обязанностей удостоверяющего центра Центрального банка Российской Федерации.
Приказом Банка России от 5 сентября 2024 г. № ОД-1432 в целях обеспечения выполнения требований приказа Минцифры России от 14.07.2023 № 634 утвержден и введен в действие с 06.09.2024 Порядок реализации функций и исполнения обязанностей удостоверяющего центра Центрального банка Российской Федерации.
Заявление о прекращении действия КСКПЭП в форме электронного документа, подписанного усиленной квалифицированной ЭП, подается с использованием личного кабинета на портале УЦ БР либо с использованием федеральной государственной информационной системы "Единый портал государственных и муниципальных услуг (функций)" (далее - Единый портал) при условии, что прекращение действия КСКПЭП не связано с компрометацией ключа ЭП.
Автоподпись банковских гарантий
Уточнены требования к банковской гарантии, используемой для целей 44-ФЗ - у банков появилась возможность подписания гарантии усиленной квалифицированной электронной подписью участника финансового рынка, являющегося гарантом, квалифицированный сертификат которой содержит указание только на участника финансового рынка в качестве владельца такого сертификата т.е. "обезличенный" сертификат. Соответствующие изменения внесены постановлением Правительства от 23.09.2024 № 1285.
Уточнены требования к банковской гарантии, используемой для целей 44-ФЗ - у банков появилась возможность подписания гарантии усиленной квалифицированной электронной подписью участника финансового рынка, являющегося гарантом, квалифицированный сертификат которой содержит указание только на участника финансового рынка в качестве владельца такого сертификата т.е. "обезличенный" сертификат. Соответствующие изменения внесены постановлением Правительства от 23.09.2024 № 1285.
Госключ с меткой времени
С сентября Госключ осуществляет подписании документов квалифицированной электронной подписью с меткой времени. Функциональность внедрена не ранее 11 сентября, сертификат для службы штампов времени выдан Головным УЦ, класс средства ЭП в сертификате - КВ2, никакой другой УЦ в стране такой сертификат не смог бы выдать.
С сентября Госключ осуществляет подписании документов квалифицированной электронной подписью с меткой времени. Функциональность внедрена не ранее 11 сентября, сертификат для службы штампов времени выдан Головным УЦ, класс средства ЭП в сертификате - КВ2, никакой другой УЦ в стране такой сертификат не смог бы выдать.