УКЭП в системах ДБО

Рабочая группа АКФТ по вопросам применения УКЭП в системах ДБО направила обращение в Банк России о рассмотрении возможности закрепления Банком России для всех кредитных организаций обязательности применения УКЭП наряду с другими видами электронной подписи.

Изменения предложено внести в Положение Банка России от 17.08.2023 №821-П, в котором в настоящее время не содержится обязательных требований о необходимости применения конкретного вида усиленной подписи при осуществлении переводов денежных средств. Как правило, в системах ДБО кредитных организаций применяется неквалифицированная ЭП, сертификаты которой выдаются удостоверяющими центрами кредитных организаций.

В письме отмечается:

В свою очередь, УКЭП, является регламентированным видом усиленной ЭП, обеспечивающей единые государственные стандарты России по процессу изготовления и использования средств ЭП: для создания и проверки ЭП используются средства ЭП, имеющие подтверждение соответствия требованиям, установленным Федеральным законом №63-ФЗ, ключ проверки ЭП указан в квалифицированном сертификате, выданном удостоверяющим центром, аккредитованным Министерством цифрового развития, связи и массовых коммуникаций Российской Федерации.

В нашей стране для упрощения характерен тренд на внедрение в процессы подписания НЭП Госключа, автоподписи КЭП, поэтому посмотрим будет ли поддержана данная инициатива.

🚀Об ЭП и УЦ

📣Минцифры России для общественного обсуждения размещены проекты административных регламентов:
🔹«Аккредитация удостоверяющих центров»
🔹«Аккредитация доверенной третьей стороны»

⚡️Сертификат безопасности национального удостоверяющего центра

Именно с таким названием в Законе об электронной подписи появится статья под номером 18.3 для закрепления выдачи сертификатов безопасности национальным удостоверяющим центром. Минцифры разработан соответствующий законопроект, который проходит согласование с госорганами.

📝Основные тезисы нового законопроекта:
🔹Вводятся понятия "сертификат безопасности национального удостоверяющего центра", "аутентификация информационной системы, сайта в информационно-телекоммуникационной сети «Интернет», правообладателя программы для электронных вычислительных машин, участника электронного взаимодействия в корпоративной информационной системе", "ключ идентификации", "ключ аутентификации";
🔹Операторы информационных систем, владельцы сайтов, правообладатели программ, участники электронного взаимодействия в корпоративной информационной системе обязаны обеспечивать конфиденциальность ключа идентификации, уведомлять оператора ГИС НУЦ о нарушении конфиденциальности ключа идентификации, обеспечивать незамедлительное уничтожение ключа идентификации по истечении его срока действия (что-то напоминает😃);
🔹Сертификаты безопасности НУЦ используются для защищенного взаимодействия с информационной системой, сайтом, их аутентификации и (или) подтверждения владения ими, а также подтверждения целостности и подтверждения происхождения программ для электронных вычислительных машин или для аутентификации участников электронного взаимодействия в корпоративной информационной системе и организации защищенного взаимодействия с ними.
🔹Создание, выдача и прекращение действия сертификатов безопасности осуществляется с использованием государственной информационной системы национального удостоверяющего центра (ГИС НУЦ).
🔹Положение об ГИС НУЦ утверждается Правительством по согласованию со ФСТЭК России.
🔹Оператор ГИС НУЦ определяется Правительством из числа организаций, подведомственных Минцифры (кто сказал Восход ?)
🔹ГИС НУЦ, включает две подсистемы для выдачи:
- сертификатов с применением российских криптографических алгоритмов (ГОСТ);
- сертификатов с применение иных алгоритмов (уже реализовано).
🔹Требования к сертификатам безопасности, порядку создания, выдачи и прекращения их действия устанавливаются Минцифры по согласованию с ФСБ России и ФСТЭК России.
🔹Сертификаты безопасности на безвозмездной основе выдаются для государственных органов, органов местного самоуправления, а также организаций, перечень которых вправе установить Правительство. Для остальных организаций - за плату, размер которой не должен превышать предельного размера, порядок определения которого устанавливается Правительством.
🔹Регистраторы доменных имен и провайдеры хостинга на основании соглашения о взаимодействии с оператором ГИС НУЦ наделяются полномочиями по приему запросов на создание и выдачу сертификатов безопасности информационной системы, сайта, о владении информационной системой, сайтом, а также запросов на прекращения действия таких сертификатов.
🔹Разработчика СКЗИ обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ в разработанные и/или распространяемые ими СКЗИ.
🔹Разработчики ПО, используемого для доступа к информации на сайтах, перечень которых определяется Правительством, обязаны обеспечить предварительную установку и использование действующих корневых сертификатов безопасности НУЦ.
🔹Госорганы, органы местного самоуправления, государственные и муниципальные унитарные предприятия при осуществлении взаимодействия с организациями, ИП и гражданами обязаны обеспечить применение сертификатов безопасности.
🔹Правительство Российской Федерации вправе установить случаи, при которых использование сертификата безопасности является обязательным.

Основные изменения вступят в силу c 1 сентября 2025 года, оставшиеся нормы - с 1 июня 2026 года.

🚀Об ЭП и УЦ

📣Количество аккредитованных удостоверяющих центров сократилось до 44

25 ноября истекла аккредитация УЦ Кубань Кредит.

Реестр на сайте Минцифры актуализирован вчера вечером, на портале ГУЦ изменений не было.

Количество выданных квалифицированных сертификатов данным УЦ в 2024 году составило около 400 шт.

✍️Об ЭП и УЦ

👨‍💻 Защита персональных данных: какая ответственность ждёт за утечки

Государственная Дума приняла во втором и третьем чтениях поправки, ужесточающие ответственность за утечки персональных данных. Теперь компании, которые недобросовестно относятся к защите информации, ждут оборотные штрафы, а злоумышленников, продающих украденные данные, — тюремные сроки.

Что меняется
➖ вводятся оборотные штрафы для компаний за повторные утечки — от 1 до 3% годовой выручки
➖ минимальный размер оборотных штрафов — от 20 млн рублей, максимальный — 500 млн рублей
➖ штраф могут снизить, если нет отягчающих обстоятельств, а инвестиции компании в информационную безопасность на протяжении трёх лет составляли не менее 0,1% от выручки и компания соблюдала требования к защите данных
➖ штрафы для должностных лиц при утечках персональных данных составят до 2 млн рублей
➖ за нарушение порядка обработки биометрии юридических лиц ждут штрафы до 2 млн рублей, должностных лиц — до 1 млн рублей
➖ за кражу и незаконное использование персональных данных вводится уголовная ответственность — вплоть до 10 лет лишения свободы

Почему это важно
Дополнительная ответственность подтолкнёт бизнес инвестировать в развитие инфраструктуры безопасности и защиту персональных данных пользователей. Компаниям будет проще вложить средства в кибербез, чем раз за разом платить оборотные штрафы. Угроза уголовного преследования станет дополнительным сдерживающим фактором для злоумышленников.

@mintsifry

Единый подчинённый УЦ для Цифрового рубля

Банк России поддержал предложение Ассоциации банков России проработать вопросы по созданию мобильного приложения и оптимизации архитектуры, в том числе реализацию единого подчинённого удостоверяющего центра на стороне Банка России или единого оператора.

PKI - основа инфраструктуры Цифрового рубля, без которой проект нельзя представить:
🔹Головной УЦ в Банке России для НЭП,
🔹в самих банках уже два УЦ: подчинённый для НЭП и корневой для TLS, а также TLS-шлюзы и СКЗИ класса КС3,
🔹на рабочих местах клиентов и в мобильных приложениях средства ЭП КС1, также на рабочих местах криптоплагины и браузеры с ГОСТ-TLS.

✍️Об ЭП и УЦ