Архивное хранение. Рефлексия по мотивам сессии на PKI-форуме

18 сентября на PKI-форуме состоялась сессия, посвященная хранению документов. Не только архивному, но и оперативному. Вот только с архивным хранением вопросов больше.

Попробовали объединить мысли участников сессии со своими знаниями. Вот что получилось.

Федерального закона с правилами по хранению электронных документов как не было, так и нет. Работа над ним началась в 2017 году. Через полтора года можно праздновать грустный юбилей.

В отсутствии закона бизнес ориентируется на ту нормативку и подходы, которые есть. Крупные компании при разработке своих решений изучают приказы Росархива, небольшие - пользуются сервисами, которые делают операторы ЭДО и разработчики учетных систем.

Так как PKI-форум всё-таки площадка, где обсуждаются вопросы использования ключей, то и применительно к хранению документов первый вопрос - проверка подписи с течением длительного времени. Для этого используются форматы расширенных электронных подписей. При этом простое добавление метки времени в подпись не спасает, так как фиксирует только время подписания.

Лучшим вариантом, но не панацеей, является добавление в подпись информации о статусе сертификата в момент подписания. Этого можно добиться сбором CRL, но такой подход приводит к серьезному росту размера подписи. Кроме того, информация в CRL может запаздывать.
Альтернативный вариант - использовании OCSP квитанции. Такую квитанцию даёт удостоверяющий центр, выпустивший сертификат, в момент направления запроса. Она мало весит и позволяет зафиксировать статус сертификата на конкретный момент времени.
Адрес службы OCSP ФНС есть на сайте. При подписании документа, который предполагается к долгосрочному хранению руководителем юридического лица или индивидуальным предпринимателем, можно с использованием службы создать подпись с OCSP ответом. А вот если документ подписывается физическим лицом, то начинаются проблемы. Для функционирования OCSP службы нужен специальный обезличенный сертификат, который должен быть выпущен тем УЦ, который предоставляет сервис. Но по 63-ФЗ обезличенные сертификаты выпускает ФНС. Рассинхрон законодательства, который пока никак не побеждается.

Со стороны РТЛабс (считай, Минцифры) прозвучало предложение по формированию нового подхода к проверке подписи. Основан он на технологии распределенного реестра, который должен объединить все источники знания о подписи. Какие они?

Сведения из CRL удостоверяющего центра, сведения о статусе УЦ из информационных систем ГУЦ, данные о полномочиях из МЧД на подписанта и т.д. Если подпись проходила через такой реестр, то в нем будет зафиксирована вся информация о ней. Если же нет, то взаимодействие реестров и мест хранения ключевой информации позволит оперативно получить подтверждение корректности подписания на нужный момент времени.

Описание решения должно быть согласовано осенью текущего года и после можно будет приступать к его реализации.

Когда появится более подробное описание новой технологии, мы обязательно поделимся.

А какую бы технологию для подтверждения подписи при длительном хранении предпочли бы вы?

🚀 ЭДО для бизнеса

#хранение

📱 Правительство определило случаи, в которых можно использовать Госуслуги наравне с паспортом

«ГосДоки» — сервис в приложении Госуслуг, с помощью которого сейчас можно поделиться сведениями о своих документах. Уже в ближайшем будущем в нём появится возможность создать QR-код, который в определённых ситуациях при желании можно будет предъявлять наравне с бумажным паспортом. Постановление об этом подписало Правительство.

❗️ Использование QR-кода — исключительно добровольное. Бумажные документы можно по-прежнему предъявлять без всяких ограничений.

Возможности применения QR-кода наравне с паспортом будут расширяться поэтапно в соответствии с определёнными Правительством сроками и по мере подключения организаций к сервису «ГосДоки» — предъявить QR-код можно будет только в них.

На первом этапе QR-код можно будет использовать
➖ в кино или музеях — при проходе на мероприятия с возрастным ограничением
➖ для входа в офисные центры с пропускной системой
➖ в магазинах — при покупке товаров 18+
➖ при отправке или получении посылок и заказных писем

На последующих этапах QR-код можно будет использовать
➖ в организациях финансового рынка
➖ в МФЦ — для получения некоторых госуслуг
➖ в салонах сотовых операторов
➖ в частных медицинских организациях
➖ при заселении в гостиницы

Как будет проверяться QR-код
При проверке будут отображаться только необходимые данные. Например, билетёр в кино увидит только фото и сведения о возрасте.

🏢 Подписывайтесь на Минцифры в MAX

@mintsifry #госуслуги

«Гостех» 2.0: государство собирает IT-конструктор будущего

Правительство кардинально меняет подход к единой цифровой платформе «Гостех», сообщает Коммерсантъ. Если изначально она задумывалась, как экономия на госзаказе IT, то теперь проект ждет масштабное преобразование.

Что известно о «Гостехе 2.0»?
🔹 Новая философия: платформа станет универсальным «конструктором» для сборки государственных информационных систем (ГИС) из готовых и совместимых модулей. Новые компоненты будут разрабатывать только при необходимости.

🔹 Цели: экономия, безопасность и совместимость IT-продуктов. Все заказы будут централизованы через Минцифры.

🔹 Сроки: Запуск новой версии запланирован на начало 2026 года.

✍️ Прежняя модель развития Гостеха столкнулась с сопротивлением ведомств и возросшими затратами на кибербезопасность. Новая концепция, курируемая вице-премьером Д.Н. Григоренко, должна создать экосистему, где лучшие IT-решения смогут использовать все госорганы.

Старая платформа морально устарела и не готова к интеграции с современными технологиями, такими как AI. «Гостех 2.0» призван это исправить.

📱 Паспорт в смартфоне

Утвержденные Правительством
Правила применения мобильного приложения Госуслуг в целях представления сведений, содержащихся в документах, удостоверяющих личность - ожидаемый документ, он издан во исполнение Указа Президента от 2023 года о "цифровом паспорте".

Как будет работать?
🔹Открываете приложение «Госуслуги».
🔹Показываете QR-код или передаете данные через NFC.
🔹Сотрудник организации (продавец, администратор) сканирует код и видит только необходимую информацию (например, ваши ФИО и возраст для покупки алкоголя).

Для использования необходима регистрация в ЕСИА, подойдёт упрощенная биометрическая идентификация: достаточно сделать селфи, подтвердив личность использованием NFC  загранпаспорта, либо в МФЦ.

Где можно будет использовать?
Вот лишь некоторые примеры из длинного списка:
✅Подтверждение возраста при покупке алкоголя, табака, энергетиков.
✅Посещение музеев, концертов и других зрелищных мероприятий.
✅Заселение в гостиницу.
✅Оформление доступа в офисы и на предприятия (кроме режимных объектов).
✅Получение почтовых отправлений.

Важные моменты:
🔹Это добровольно. Бумажный паспорт никто не отменяет.
🔹Поэтапный запуск. Система будет вводиться постепенно с 2025 по 2029 год. С 1 июля 2029 года телефоны должны быть только на отечественной ОС.
🔹Безопасность. Фотография и данные хранятся на вашем телефоне, а не в общей базе. Передается только минимум информации, необходимый для конкретной ситуации.
🔹Не везде сработает. Для получения паспортов, водительских прав, регистрации и других важных услуг всё равно нужно будет предъявлять оригинал документа.

🔐Основной вопрос - получение квалифицированного сертификата будет возможно по QR?

В документе два перечня случаев, когда QR приравнивается к паспорту и когда использование QR недопустимо. Получения сертификата нет ни в первом, ни во втором перечне, но анализ пункта 4 первого перечня говорит, что использование QR - допустимый вариант при получении в МФЦ квалифицированного сертификата Госключа.

🚀Об ЭП и УЦ

🆕🎬Видео с PKI-Форума 2025

Организаторами PKI-Форума очень оперативно выложены записи с конференции:
🔹Открытие PKI-Форума 2025
🔹Награждение победителей
🔹Стратегическая сессия "Доверие к отечественной инфраструктуре открытых ключей"
🔹Экспертная панель "Итоги деятельности аккредитованных УЦ в 2025 году"
🔹Сессия 1 "Мобильная электронная подпись"
🔹Сессия 2 "PKI в банковской сфере" (часть 1, часть 2)
🔹Экспертная панель 2 "Электронные архивы с ЭП. Усовершенствованные форматы ЭП. Провайдеры услуг доверенного хранения информации с ЭП"
🔹Сессия 3 "Трансграничное признание иностранной ЭП"
🔹Сессия 4 "PKI в прикладных системах. PKI-проекты и продукты в различных отраслях и регионах"
🔹Сессия 5 "Ответственность операторов доверенных сервисов"
🔹Сессия 6 "Национальное пространство доверия. Будущее сертификатов безопасности"
🔹Сессия 7 "Системный подход в отрасли PKI регулирование, стандартизация, комплексное использование, перспективные разработки"
🔹Экспертная панель 3 "Управление полномочиями, МЧД, другие механизмы управления полномочиями"
🔹Подведение итогов PKI-Форума Россия 2025

✍️Записи с прошлого года

✍️Телеграм-канал "Об ЭП и УЦ" - третий год подряд выступал информационным партнером PKI-Форума

Вот что телеграм животворящий делает😁

✅ ip-адрес, используемый Личным кабинетом налогоплательщика, удален Роскомнадзором из реестра запрещённых ресурсов.

✍️FacePay в метро и данные лиц: нарушал ли закон Московский метрополитен?

Если вы пользуетесь технологией FacePay для оплаты проезда в московском метро, ваше лицо — это биометрические персональные данные. У подписчика нашего канала возник закономерный вопрос: имеет ли право метрополитен обрабатывать такие данные, если согласие даётся всего лишь парой кликов в мобильном приложении?

Вопрос стал основанием для запроса в Роскомнадзор в прошлом году, ответом подписчик поделился в чате. Давайте разберемся в этой цепочке.

Заявитель обратился в контролирующее ведомство с требованием привлечь ГУП «Московский метрополитен» к ответственности.

Суть претензии:
🔹для обработки биометрических данных (а изображение лица к ним относится) по закону требуется письменное согласие человека.
🔹Метрополитен же получает это согласие в форме простой электронной подписи (проставление галочки в приложении при принятии оферты).
🔹По мнению заявителя, электронное согласие — не равно письменному, а значит, метрополитен нарушает закон.

Что ответил Роскомнадзор
Ведомство изучило ситуацию и пришло к выводу, что нарушения нет:
🔹Электронная подпись = письменная форма. Согласно Федеральному закону «Об электронной подписи», электронный документ, подписанный простой электронной подписью, признается равнозначным бумажному документу с собственноручной подписью. Ваша галочка в приложении — это и есть юридически значимое согласие.
🔹Согласие является конкретным и информированным. Публичная оферта метрополитена прямо указывает, на что именно вы соглашаетесь: на обработку вашего изображения для работы системы бесконтактной оплаты. Это соответствует требованию закона о том, что согласие должно быть осознанным.
🔹Метрополитен подчеркивает, что не использует ваше изображение для установления личности. Технология FacePay применяется исключительно для подтверждения оплаты проезда.

Какой итог?
🔹Производство по делу об административном правонарушении было прекращено за отсутствием состава правонарушения.
🔹Официальная позиция такова: получение согласия на обработку биометрических данных через мобильное приложение с использованием простой электронной подписи является законным.

✅А теперь как на самом деле. Познания Роскомнадзора о сфере электронной подписи всегда оставляли желать лучшего. Согласие не может считаться подписанным простой электронной подписью, т.к. не выполнены базовые требования признания равнозначности простой ЭП собственноручной подписи.

Откроем оферту метро и посмотрим, что там говорится:

5.2. Лицензиат и Лицензиар также признают документы и информацию в электронной форме, передаваемые с использованием Приложения и подписанные простой электронной подписью, электронными документами, равнозначными документам на бумажном носителе, подписанным собственноручной подписью.

Мне нравится фраза из решения Верховного Суда -

суду надлежало установить не только соответствие действий истца внутренним правилам банка, но и то, могут ли рассматриваться совершенные действия как проставление простой электронной подписи (ПЭП) от имени заемщика, и является ли ПЭП аналогом его собственноручной подписи в соответствии с требованиями Закона об электронной подписи, чего сделано не было

хоть она и относится к выдаче кредита по смс, её можно применить и к данной ситуации, т.к. Роскомнадзор не изучил саму проблематику - является ли ПЭП аналогом собственноручной подписи в соответствии с требованиями Закона об электронной подписи?

❌Не является, не может соглашение о равнозначности простой ЭП быть подписано проставлением галочки в приложении, а значит метро нарушает закон.

✍️Об ЭП и УЦ

Нецифровое правосудие

❌Система ГАС «Правосудие» временно работает с перебоями: есть задержки с проверкой электронной подписи. Из-за этого подать документы через личный кабинет проблематично.

📮Пока неполадки не устранят, рекомендовано отправлять документы обычной почтой по адресу суда.

✍️Об ЭП и УЦ