Признание электронной подписи в ЕАЭС: разногласия и пути решения

Год назад, 20 февраля 2025 года в Москве прошло совещание высокого уровня по проекту Правил взаимного признания электронной подписи (ЭЦП) в рамках Евразийского экономического союза (ЕАЭС). Участники обсудили нерешённые вопросы, которые могут повлиять на безопасность и эффективность трансграничных закупок.

🔍 Основные дискуссионные вопросы:
1. Проверка полномочий иностранных поставщиков
🔹Российская сторона настаивает на необходимости проверки полномочий руководителя иностранного юрлица и его статуса (ликвидация/банкротство) при использовании ЭЦП. Без этого невозможно обеспечить безопасность и законность сделок.
🔹Другие страны (Армения, Беларусь, Казахстан, Кыргызстан) выразили сомнения. Многие считают, что такая проверка выходит за рамки правил и может замедлить процесс.
🔹Предложение: использовать доверенные третьи стороны (ДТС) для подтверждения полномочий, но без проверки статуса юрлица.

2. Время проверки ЭЦП
🔹Установлен лимит в 60 секунд для проверки иностранной ЭЦП, чтобы избежать неравных условий для поставщиков из разных стран.
🔹Некоторые участники (например, Беларусь) предложили более гибкий подход, особенно для аукционов, где проверку можно проводить после подачи предложения.

3. Информационная безопасность
🔹Вопросы защиты данных и криптографических средств остаются в зоне ответственности каждой страны. Единый стандарт в ЕАЭС пока невозможен.
🔹Россия предлагает создать централизованные сервисы для формирования ЭЦП или утвердить общий перечень доверенных средств защиты.

📋 Принятые решения:
1. Россия предоставит детали своего механизма проверки полномочий до 7 марта 2025 года.
2. Страны-члены ЕАЭС представят свои предложения по проверке полномочий и статуса юрлиц до 14 марта.
3. Утверждено предельное время проверки ЭЦП - 60 секунд.
4. Будут изучены варианты обеспечения информационной безопасности при трансграничном взаимодействии.

Совещание показало, что ЕАЭС движется к созданию единых правил для ЭЦП, но ключевые вопросы безопасности и практической реализации пока остаются открытыми. Дальнейшая работа будет зависеть от согласования позиций между странами-членами.

✍️протоколы: от 20.02.2025, от 14.03.2025, от 16.05.2025,  от 28.08.2025, от 16.09.2025.

🚀Об ЭП и УЦ

🟦 Информация о доработках ГИС ЕИС ЗАКУПКИ в части работы с машиночитаемыми доверенностями

Начиная с 31.01.2026 в ГИС ЕИС ЗАКУПКИ стало доступным формирование машиночитаемой доверенности (далее — МЧД) без указания данных документа, удостоверяющего личность представителя, что позволит организациям выдавать МЧД без указания этих данных.

ℹ️ В частности, необязательными стали следующие реквизиты документа, удостоверяющего личность:

🔹 вид документа
🔹 серия и номер документа
🔹 дата выдачи
🔹 наименование органа, выдавшего документ
🔹 код подразделения

📘 Доработка реализована в ГИС ЕИС ЗАКУПКИ в соответствии с приказом Минцифры России от 05.11.2025 № 1001, которым внесены изменения в единые требования к формам доверенностей, необходимых для использования квалифицированной электронной подписи, утвержденные приказом Минцифры России от 18.08.2021 № 857.

📖 Подробности работы функционала смотрите в Базе знаний → «Руководства пользователя и видеоролики» → «Администрирование пользователей и организаций».

#НОВОСТИ
#ОБНОВЛЕНИЕ

📱 Следите за новостями ГИС ЕИС ЗАКУПКИ в MAX

📣Первая подборка самых важных новостей о сфере электронной подписи от нашего канала в 2026 году, по итогам января:

1️⃣Подготовлена PKI-статистика за 2025 год (новость в Tadviser), общая статистика по выдаче и отзыву

2️⃣01.01.2026 введен в действие ГОСТ Р 34.14-2025 "Информационная технология. Криптографическая защита информации. Термины и определения"

3️⃣Головной удостоверяющий центр перешел на новый корневой сертификат от 17.12.2025

4️⃣Количество АУЦ осталось без изменений, 46 шт. - аккредитация в штатном порядке продлена УЦ РЕСО-Гарантия

5️⃣Опубликован приказ Минцифры России от 05.11.2025 № 1001 об изменениях единых требований к формам МЧД, необходимых для использования квалифицированной электронной подписи

6️⃣Признание электронной подписи между Россией и Беларусью застопорилось

7️⃣У Logitech на macOS истек срок действия сертификата подписи кода

8️⃣Истекли сертификаты соответствия ФСБ России на ПАК КриптоПро УЦ 2.0 исполнения 5, 6, 9 и 10 и КриптоПро CSP версии 4.0

9️⃣О тиражировании СКЗИ КриптоПро CSP 5.0 R3 территориальными органами Федерального казначейства

🔟Продлен до 1 марта 2027 г. срок проведения эксперимента по предоставлению комплексного сервиса "Старт бизнеса онлайн"

1️⃣1️⃣Правительство решило ужесточить надзор за аккредитованными удостоверяющими центрами

1️⃣2️⃣Внесены изменения в Инструкцию по судебному делопроизводству в кассационных судах общей юрисдикции в части использования метки доверенного времени

1️⃣3️⃣Минцифры опубликован проект приказа о внесении изменений в формат электронной подписи, обязательный для реализации всеми средствами электронной подписи

1️⃣4️⃣Ошибка ЕГИСЗ при проверке квалифицированного сертификата

1️⃣5️⃣Анонсирован III Форум «Территория безопасности 2026: все pro ИБ» 2 апреля 2026 г. в Москве

✍️Об ЭП и УЦ

⚠️ КриптоПро CSP 4.0: УЦ Федерального казначейства отклоняет запросы на сертификаты

С 2 февраля 2026 года все запросы на получение сертификатов, сгенерированные с использованием КриптоПро CSP версии 4.0, УЦ ФК отклоняются.

🔸 КриптоПро CSP версии 4.0 не имеет действующего сертификата соответствия (истек 15.01.2026).
🔸 Для работы с КЭП обязательны сертифицированные сборки версии 5.0:
✅ КриптоПро CSP 5.0.11455
✅ КриптоПро CSP 5.0.12000 (R2)
✅ КриптоПро CSP 5.0.13000 (R3)

С 15.10.2025 лицензия на право использования СКЗИ "КриптоПро CSP" включается в состав квалифицированных сертификатов на период их действия.

Смену сертификатов, полученных по запросам, созданным до 15.10.2025, необходимо произвести в течение 90 календарных дней с момента установки СКЗИ «КриптоПро CSP» версии 5.0 R3 с использованием Портала заявителя ИС УЦ https://fzs.roskazna.ru/

Дистрибутив можно получить через систему АОКЗ. Подробности и инструкции — в разделе «ГИС / Удостоверяющий центр» на сайте вашего регионального УФК.

✍️Об ЭП и УЦ

🔍📜 Минцифры утвердило перечень документов для контроля в сфере электронной подписи

Приказом Минцифры России от 02.02.2026 № 45 утверждён перечень нормативных правовых актов, содержащих обязательные требования в сфере электронной подписи.

📋 Утверждённый перечень включает:
1. Федеральный закон «Об электронной подписи» (ст. 13-15, 17, 18).
2. Постановление Правительства № 2101 - О размере финобеспечения ответственности доверенной третьей стороны.
3. Приказ Минцифры № 1138 - Порядок формирования и ведения реестров квалифицированных сертификатов.
4. Приказ Минцифры № 580 - Порядок создания и проверки метки доверенного времени.
5. Приказ Минцифры № 603 - Порядок действий УЦ при сомнениях в личности и приостановке использования ключей.
6. Приказ Минцифры № 643 - Требования к форме и хранению поручения владельца квалифицированного сертификата.
7. Приказ Минцифры № 1134 - Порядок передачи реестров при прекращении деятельности УЦ.
8. Приказ Минцифры № 584 - Требования к порядку реализации функций УЦ.
9. Приказ Минцифры № 641 - Требования к порядку реализации функций доверенной третьей стороны.
10. Приказ Минцифры № 624 - Перечень угроз безопасности при удалённой идентификации и хранении ключей.

✍️Многие приказы действуют до конца 2026 года.

Приказ касается аккредитованных удостоверяющих центров и доверенных третьих сторон, на них возложены обязанности по соблюдению перечисленных требований. За нарушения предусмотрена административная ответственность по ст. 13.33 КоАП РФ.

Полный текст Приказа с перечнем размещён на официальном сайте Минцифры России, ранее действовавший перечень с соответстветствии с приказом от 02.02.2026 № 49 признан утратившим силу.

✍️Об ЭП и УЦ

✍️Новые требования по применению КЭП для проектировщиков - правда или миф?

🚨 По каналам инженеров-проектировщиков и ГИПов активно циркулирует информация о новых требованиях к подписанию проектной документации КЭП с 1 марта 2026 года.
Давайте разберемся, где здесь факты, а где - неверное толкование.

❓О чем говорят:
В сообщениях утверждается (письмо НОПРИЗ, пост в канале, пост ГИПа про биполярное расстройство Минстроя) , что с 01.03.2026 вступает в силу новая часть 16 ст. 55.5-1 Градостроительного кодекса. Она якобы обязывает всех участников подготовки проекта подписывать документацию квалифицированной электронной подписью (КЭП), а использование информационно-удостоверяющих листов (ИУЛ) станет недопустимым.

✍️Что удалось выяснить:
1. Про дату 01.03.2026: поправки в Градостроительный кодекс действительно планируются, и эта дата упоминается в связи с некоторыми изменениями, НО в проектируемой редакции ст. 55.5-1 нет упоминания о новой части 16, которая вводит описанные требования к КЭП.
2. Про подпись всеми участниками: законодательство возлагает ответственность за утверждение проекта на главного инженера проекта (ГИПа). Прямого требования к тому, чтобы каждый раздел был подписан отдельным специалистом именно КЭП, в Градостроительном кодексе в его текущем виде - нет.
3. Про ИУЛ: информационно-удостоверяющий центр лист (название-то какое придумали) НЕ является электронной подписью, согласно приказу Минстроя должен подписываться КЭП. Приказ Минстроя от 12.05.2017 № 783/пр разрешает при невозможности получить квалифицированные сертификаты всеми исполнителями, оформить ИУЛ на бумаге, сканировать и подписывать его КЭП ГИПа. Рабочая схема, к которой все привыкли, хотя использования ИУЛ, как якобы легитимной подписи, слабое место при любой проверке.

📌 Итог разбора:
🔹Прямых законодательных оснований для срочного перевода всего коллектива на применение КЭП именно для внутреннего подписания проектов пока нет.
🔹Общий вектор движения понятен - повышение персональной ответственности и цифровизация, поэтому переход на КЭП только вопрос времени.
🔹ГИПам уже сейчас использовать КЭП. Квалифицированный сертификат необходим для работы в ЕГИС ОГР (реестр экспертиз), подачи документов в Росстандарт, ФИС АР и другие госсистемы.

Конференция, объединяющая науку, бизнес и государство для решения стратегических задач в области защиты информации, пройдет в Подмосковье с 24 по 27 марта.

С 24 по 27 марта 2026 года в Подмосковье состоится 28-я международная научно-практическая конференция «РусКрипто’2026» — ключевое отраслевое событие, определяющее векторы развития криптографии и информационной безопасности России.
Уникальность «РусКрипто» заключается в её способности не только отражать состояние отрасли, но и активно формировать её будущее. Здесь определяются приоритеты развития, происходит критическая оценка технологий и вырабатываются согласованные подходы к сложнейшим вопросам защиты информации и отечественной криптографии.

Основные тематические блоки «РусКрипто’2026»:
• Криптография и криптоанализ
• Информационная безопасность и криптография кредитно-финансовой сферы
• Информационные системы государства, кибербезопасность и криптография
• Проекты, технологии и решения
• Криптографические средства защиты информации: разработка, сертификация, внедрение и эксплуатация
• РБПО и подпись ПО, построение единого пространства доверия к российскому программному обеспечению
• Криптографические решения для киберфизических систем
• Криптография в медицине
• Аппаратная безопасность
• Перспективные исследования в области кибербезопасности

Регистрация на конференцию открыта.

Участники, готовые представить свой опыт, могут подать заявку на выступление с докладом до 10 февраля 2026 года.

✍️Телеграм-канал "Об ЭП и УЦ" - информационный партнер РусКрипто.

Электронная подпись Госзакупок не соответствует Формату ЭП Минцифры

Ни старому, ни новому, и дело не в oid. Проверка решения УФАС из РНП в очередной раз это подтвердило.

❌ Нарушения формата:
Поле encapContentInfo в структуре SignedData должно содержать документ, а не хэш.

❌Атрибуты подписи (signedAttrs):
id-contentType должен указывать тип документа;
id-messageDigest должен содержать хэш от encapContentInfo

❌ Проблема с ContentInfo:
asn1
ContentInfo ::= SEQUENCE {
    contentType ContentType,  -- должен быть id-signedData
    content [0] EXPLICIT ANY DEFINED BY contentType  -- должен быть SignedData с документом внутри}. У Госзакупое contentType указывает на подпись хэша, а не самого документа.

Итог - атрибуты электронных подписей Госзакупок ссылаются на хэш, а не на документ. По приказу проверяется целостность encapContentInfo, а в Госзакупках: сначало нужно внешнее вычисление хэша → конвертация в Base64 → проверка ЭП.

Найдёт ли этот вопрос место в повестке заседания Экспертного совета при Минцифры по электронной подписи?

✍️Об ЭП и УЦ

Замечания ИТ-комитета Госдумы к новому законопроекту о борьбе с киберпреступностью

Комитет Госдумы по информационной политике одобрил законопроект № 1110676-8, но с длинным списком замечаний.

Главные риски и противоречия:

🔹1. Противоречия внутри законопроекта.
Статья 2 даёт Банку России право устанавливать лимиты на количество платежных карт, а статья 7 уже устанавливает жёсткий лимит: не более 20 карт на человека.

🔹2. Запрет международных звонков "по-умолчанию".
Звонки с иностранных номеров на стационарные телефоны могут блокироваться автоматически. Это ударит по пожилым людям, которые могут ждать звонков от родных из-за границы. Комитет предлагает ввести механизм исключений.

🔹3. Риски для несовершеннолетних.
Родители обязаны сообщать оператору, если передают свой номер ребёнку. Но зачем? Цели неясны, ответственности за неисполнение нет, а база данных детей может стать мишенью для злоумышленников.

🔹4. Реестр "плохих" номеров: угроза для невиновных.
Если номер попал в реестр "подозрительных", его могут заблокировать. Но что, если номер потом перевыдали новому абоненту? Он унаследует проблемы предыдущего владельца. Механизм исключения из реестра не прописан.

🔹5. Информационная система как "начальник".
Государственная информационная система сможет давать обязательные указания операторам связи. Но система - не субъект права, у неё нет правоспособности, нарушение базовых принципов права.

🔹 6. Размытые критерии "запрещённой информации".
Закон позволяет блокировать информацию, которая "вводит в заблуждение". Но что под этим понимается? Чётких критериев нет.

🔹 7. Проблемы с терминологией.
В законе появляются термины вроде "мобильная версия приложения" или "вредоносный код", но их определений нет.

🔹 8. Доступ банков к данным абонентов.
Операторы связи будут передавать данные абонентов банкам без их согласия. Это прямое нарушение закона о персональных данных. Аналогичная норма уже отвергалась Госдумой ранее.

🔹9. Лишение абонента связи в непредвиденных случаях.
Если телефон сломался, нельзя будет просто вставить свою сим-карту в чужой аппарат - система может заблокировать услуги. Это лишает связи в экстренных ситуациях.

🔹10. Изменения в 63-ФЗ.
Переименовать закон "Об электронной подписи", добавив "и удостоверяющих центрах". Комитет пишет, что удостоверяющие центры уже есть в законе и обоснования для переименования нет. Также депутат критикуют идею снятия запрета на заключение договоров на услуги связи с использованием КЭП. Разбор в части 63-ФЗ будет в отдельных постах.

✅ Вывод комитета: закон нужен, но в текущем виде требует доработки с участием экспертов и учётом прав граждан.

Законопроект будет рассмотрен в первом чтении 10 февраля 2026 года (15 номер в повестке). Будем с вами следить за тем, какие замечания будут учтены.

✍️Об ЭП и УЦ

Госдума не доверяет КЭП?

А какой ещё можно сделать вывод на такое замечание из заключения на законопроект об Антифроде 2.0:

В соответствии с пунктом 72 статьи 45 Федерального закона «О связи», снятие запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи возможно только при личном обращении в МФЦ.

Проектируемыми положениями предусматривается, что снятие запрета на заключение договоров об оказании услуг подвижной радиотелефонной связи может быть осуществлено, в том числе с использованием ЕПГУ в форме электронного документа, подписанного заявителем усиленной квалифицированной электронной подписью.

Необходимо отметить, что пункт 72 статьи 45 Федерального закона «О связи» вводился как мера, максимально затрудняющая процесс снятия обозначенного запрета злоумышленниками. Установление дистанционного способа снятия указанного запрета нуждается в обосновании, поскольку только личное присутствие является максимально безопасным способом идентификации физического лица при осуществлении им юридически значимых действий.

Квалифицированная электронная подпись - аналог в силу 63-ФЗ собственноручной подписи, используется для подписания многомиллионных контактов, регистрации бизнеса, открытия счетов в банке, регистрации недвижимости, снятия самозапрета на кредит (против которого тоже раньше были) и т.д. и т.д. НЕ может использоваться для снятия самозапрета на заключение договоров связи.

Может тогда не пытаться переименовывать 63-ФЗ, а сразу отменить его?

✍️Об ЭП и УЦ