Сегодня в издании РБК вышла статья под названием «MAX стал обязательным для получения документов на электронную подпись», которая вызвала реакцию регулятора сферы электронной подписи - Минцифры.

Все замечания Минцифры сводятся к заголовку статьи, которое кстати было изменено на "Мах стал обязательным для подписи через «Госключ» для части документов". Но нужно читать статью полностью. Ошибки конечно есть, но они в комментариях опрошенных респондентов при минимальных комментариев представителя Минцифры:

При этом по закону требование об обязательном подписании документов с помощью УКЭП и УНЭП через Max не применимо «для реализации полномочий госорганов».
Представитель Минцифры не пояснил, что значит эта формулировка. В то же время он сообщил РБК, что визирование документов электронной подписью будет, как и раньше, проводиться в приложении «Госключ». «В законе речь идет об эксклюзивном бесшовном взаимодействии «Госключа» с национальным мессенджером, что позволит упростить направление и получение на подпись документов», — сказал он, объяснив, что документы можно будет просто направить в чат мессенджера. От других комментариев представитель ведомства отказался.

Уже на комментарий ведомства РБК опубликована ещё одна статья "Минцифры опровергло обязательность Max для электронной подписи".

А заголовок новости от Минцифры "Для подписания электронных документов действует приложение «Госключ»" разве корректный, если уже придираться к заголовкам? Госключ не единственная технология, которую можно использовать для подписания.

Минцифры пишет:

В законе идёт речь только про подпись документов в «Госключе». Он не затрагивает другие сервисы для подписания документов электронной подписью.

Но ведь в законе некорректно написано, часть 10 статьи 1:
... сертификат ключа проверки которых создан и используется в инфраструктуре - здесь отсылка на постановление 2152, но данное постановление только про НЭП, применительно к КЭП такая инфраструктура не существует.

Если Минцифры так оперативно опровергает новости, которые и внимания ведомства то не стоят, то как оперативно будут опровержения:
🔹ни одно сертифицированное средство электронной подписи в стране не выполняет требования приказа Минцифры от 14 сентября 2020 года N 472 о формате электронной подписи.
🔹ни один удостоверяющий центр в стране не выполняет норму части 3 статьи 18 63-ФЗ, как она сейчас написана, в части ознакомления с информацией о квалифицированном сертификате.
🔹в 2020 году граждане, которые в период пандемии были лишены возможности посетить удостоверяющий центр, не были обеспечены трехмесячными квалифицированными сертификатами. Ни один аккредитованный УЦ технически не был готов выполнить норму 166-ФЗ.
🔹более года Минцифры использовало несертифицированное средство электронной подписи (в том числе для подписания XML-представления аккредитованных УЦ) в инфраструктуре электронного правительства.
🔹Госуслуги не оповещают о приближении окончания срока квалифицированных сертификатов от УЦ ИИТ, полученных через Госключ.

P.S. «Я думаю, что летом коллеги сделают большую презентацию публичную, как поэтапно функционал будет создаваться и реализовываться», — министр М.И. Шадаев (цитата с ТАСС).
Остался последний месяц лета.

А нужна ли вообще отметка об электронной подписи?

В комментариях ко вчерашней новости о новом ГОСТ по требованиям к оформлению документов подписчиками высказаны две противоположные точки зрения:

❌Отметка не нужна:

Наличие штампа на электронном документе вводит в заблуждение рядовых пользователей а за ними и всю судебную  систему.
Многие начинают (как минимум) требовать его наличие на документе перед подписанием второй стороной, например.
Или вовсе не понимают, что штамп - это не электронная подпись.
Вместо автоматизации проверки подписи и пересмотра инструментов визуализации dsig (например), мы только усугубляем ситуацию, потому как теперь (по логике) надо хранить:
Исходный документ
Файл подписи (если откреплëнная)
И документ со штампом, что есть электронная подпись

✅Отметка нужна:

для человека... пока он есть в процессе эдо, эти  человекочитаемые артефакты нужны.

Моё мнение, что отметка нужна, но с дополнительными пояснениями, что в системе ЭДО присутствует документ подписанный настоящей ЭП, и с дополнительными реквизитами (например, сведения об УЦ).

Какая отметка точно не нужна - которую ставят суды. Она неправильная начиная с места нахождения в документе, а также реквизитов: дата - чего дата? Подписи, выдачи сертификата? Зато есть сведения об УЦ... такой вот симбиоз.

При подозрительных действиях с учётной записью ЕСИА блокируется вход на "чувствительные ресурсы" (к которым относится Госключ). Норма введена законом о борьбе с кибермошенничеством. Блокировка действует в течение 72 часов. Разблокировка через личное посещение МФЦ, при этом не все МФЦ знают как проводить разблокировку.

Госключ до начала работы стал выводить соответствующую информацию.

Какие именно "чувствительные" ресурсы и какие конкретные подозрительные действия приводят к блокировке учётной записи не раскрывается.

📃 Счетная палата проверила исполнение бюджетов в Минцифры России и Роскомнадзоре.

Проверка Минцифры России выявила:
Недостаточный контроль за достижением юридическими лицами результатов предоставления им бюджетных инвестиций
Нарушение порядка и условий предоставления субсидий
Нарушение порядка формирования государственных заданий
Нарушение требований законодательства в сфере закупок

Также, проверка показала, что АО «Почта России» не обеспечило в установленный срок (31 декабря 2024 года) модернизацию 773 отделений почтовой связи. Фактически на 1 января 2025 года было модернизировано только 680 отделений.

Проверка: https://ach.gov.ru/checks/grbs-2024-mintsifry

Проверка Роскомнадзора выявила ряд нарушений и недостатков, допущенных Службой при:
Проведении инвентаризации активов и обязательств
Утверждении госзадания и ведомственной программы цифровой трансформации

Также обнаружены недостатки организации ведомственного контроля за соблюдением законодательства о контрактной системе в отношении подведомственных заказчиков – территориальных органов Роскомнадзора.

Проверка: https://ach.gov.ru/checks/grbs-2024-roskomnadzor

О ГИС Доверенная третья сторона

Постановлением Правительства от 31.07.2025 № 1139 утверждено положение о государственной информационной системе "Доверенная третья сторона национального сегмента Российской Федерации интегрированной информационной системы Евразийского экономического союза"

Национальный мессенджер не самостоятельное средство электронной подписи, а замена страницы Госуслуг

Взглянем ещё раз, что написано в статье 1 "Многофункциональный сервис обмена информацией" 156-ФЗ про функционал электронной подписи:

3. При реализации функций многофункционального сервиса обмена информацией по обмену информацией при взаимодействии с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, с использованием многофункционального сервиса обмена информацией может осуществляться в том числе:
....

2) подписание документов с использованием усиленной квалифицированной электронной подписи или усиленной неквалифицированной электронной подписи, сертификат ключа проверки которых создан и используется в инфраструктуре, указанной в настоящей части, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки таких электронных подписей, и при условии организации взаимодействия физического лица с указанной в настоящей части инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

10. Возможность подписания документов с использованием усиленной квалифицированной электронной подписи или усиленной неквалифицированной электронной подписи, сертификат ключа проверки которых создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки таких электронных подписей, и при условии организации взаимодействия физического лица с указанной инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, юридическими лицами, индивидуальными предпринимателями, физическими лицами реализуется только с применением многофункционального сервиса обмена информацией, за исключением случаев, если такое подписание необходимо для реализации полномочий государственных органов.

Что из этого важно - интеграция с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, т.е. со СМЭВ. Как быстро компания, которая самостоятельно не может купить межсетевой экран и ноутбуки закупит криптошлюзы и подключится к СМЭВ?
Интегрироваться с Госключом можно через СМЭВ или API, API отпадает, закон говорит про СМЭВ. Как быстро можно пройти данный путь интеграции?

Далее, "может осуществляться" и "только с применением". Не кажется ли это уже противоречием?
Далее выражения - "с использованием", "с применением" т.е. по факту это не сам функционал электронной подписи, а всего лишь прослойка, замена точки входа, например, страницы Госуслуг.
Уже сейчас по закону, т.к. норма выступила в силу, отлагательного характера не было, эту точку входа должны использовать юридические лица, индивидуальные предприниматели, физические лица, за исключением случаев, если такое подписание необходимо для реализации полномочий государственных органов.

Как ответили мне коллеги - рискованно что-то прогнозировать, а вдруг сбудется.
Но я попробую, в 2025 году:
- минимум 3 ФЗ внесут изменения в 63-ФЗ
- количество УЦ увеличится, но не более, чем на 2 шт.
- обновится Единый формат МЧД
- произойдёт интеграция Единого реестра и ЦПРР
- госы начнут переход на КриптоПро 5.0
- по итогам 2025 года квалифицированных сертификатов будет выдано меньше, чем в 2024
- требования к "облачной подписи" утверждены не будут
- проект Цифрового кодекса будет разработан, но до Госдумы не дойдёт

31 декабря 2024 я дал свой небольшой прогноз на 2025 год, какие промежуточные итоги можно сейчас подвести:
✅ два федеральных закона 94-ФЗ, 304-ФЗ уже внесли изменения в 63-ФЗ, на очереди антифрод-пакет и НУЦ
✅ аккредитованных УЦ уже +2 - 46 шт., в начале года было 44 шт.
✅ проект приказа, требующий внесение изменений в Единый формат МЧД прошел общественное обсуждение
❌ по интеграции информация есть, работы нет, Минцифры не видит необходимости
✅ процесс перехода госов на 5.0 запущен, первый этап пройден, подробнее в отдельном посте
✅ по итогам 6 месяцев количество выданных сертификатов меньше прошлого года
❌ "что мертво умереть не может"
❌ Цифровой кодекс покрылся пылью

Прогноз на 2022 ещё не весь выполнен...

Доверие камень точит

Статья в Коммерсантъ о том, как идет цифровизация информационного обмена в ЕАЭС по результатам утверждения положений о ДТС и интеграционном шлюзе национального сегмента Российской Федерации интегрированной информационной системы Евразийского экономического союза.

Что хочется отметить, признание электронной подписи в рамках Евразийского экономического союза и в рамках соглашения с Республикой Беларусь, два параллельных процесса.

Кто-нибудь видит электронную подпись? А она есть.
Источник

Сдача отчётности в Росстат с МЧД

🔹Росстат с 1 августа 2025 года включил проверку на наличие машиночитаемых доверенностей при предоставлении первичных статистических данных для всех респондентов, если конечно подписант не руководитель организации.
🔹 в Системе сбора отчетности используется единая форма машиночитаемой доверенности в формате 003 (EMCHD_1)
🔹 необходимо использовать полномочие «Предоставление статистической отчетности в органы государственной статистики». CODE: ROSSTAT_STAT_001, MNEMONIC STAT_001
🔹МЧД должна быть предварительно загружена в Единое блокчейн хранилище машиночитаемых доверенностей (распределенный реестр) ФНС России

А есть ли жизнь после ГОСТ 28147-89?

7 лет назад на РусКрипто ещё не было сессий с гостайной, но был доклад насчёт ГОСТов шифрования, старых и новых.

В презентации было отмечено,

объявлен 5-летний переходный период, по истечении которого использование криптографических механизмов, удовлетворяющих ГОСТ 28147-89, на которые не распространяется действие заключения, в случаях, подлежащих регулированию со стороны ФСБ России, не допускается

данный срок прошел прошлым летом.

Вопрос этот поднял, т.к. в чате канала переодически поднимаются вопросы перехода со старого ГОСТ, а официальной информации нет. Товарищ полтора года назад ещё спрашивал, откуда дата 1 июня 2024 года. Переход на ГОСТы 2012 года электронной подписи и хэширования помнят все УЦ, но с шифрованием переход получается в "тихом" режиме.