С 1 января 2022 года запрещено формирование электронной подписи

Новый ГОСТ для КЭП с 2022 года

31 декабря 2019 года заканчивается срок применения ГОСТ Р 34.10-2001 для генерации электронной подписи. Сертификаты ключей проверки ЭП, созданные после 31 декабря 2018 года с использованием ГОСТ Р 34.10-2001 являются неквалифицированными. Генерация КЭП с 1 января 2022 года должна осуществляться только по ГОСТ Р 34.10-2012.

О том, что ГОСТ для формирования и проверки ЭП изменится, было известно ещё в прошлом году: в сентябре 2018 года в письме № 149/7/6-363 ФСБ указала, что формирование и проверка ЭП по ГОСТ Р 34.10-2001 продлится до 31.12.2019.

С 1 января 2019 года удостоверяющие центры начали переход на ГОСТ 2012. Информационные системы в течение 2019 года начали работу с сертификатами созданными как по ГОСТ 2001, так и по ГОСТ 2012.

Сертификаты, сгенерированные до 31 декабря 2018 года по ГОСТ-2001 можно применять исключительно для проверки ЭП.

В соответствии с указанными требованиями, в системе DiState на данный момент применяются КЭП, сформированные по обоим ГОСТам, но с января 2022 года будут поддерживаться только ГОСТ-2012. Если вы используете КЭП, проверьте, по какому ГОСТу был выпущен ваш сертификат и позаботьтесь заранее о его перевыпуске.

Программные решения DiState позволяют клиентам организовать собственную площадку юридически значимого документооборота без затрат на разработку ПО для автоматизации документооборота. Продукты DiState — это тиражное программное решение, которое устанавливается на сервера заказчика и функционирует без непосредственного участия DiState в его работе.

Все продукты DiState имеют следующие преимущества:

  • быстрая установка и начало работы,
  • юридическая значимость входящих и исходящих документов,
  • квитирование УПД и счетов-фактур по стандартам ФНС,
  • полный контроль данных на стороне заказчика,
  • масштабируемость системы,
  • кастомизация интерфейса,
  • разработка дополнительных функций по желанию заказчика,
  • интеграция с внутренними и внешними информационными системами.

Решения DiState легко масштабируются и поэтому одинаково актуальны как для компаний с несколькими распределенными филиалами, так и для небольших организаций. В системе могут работать, формировать и согласовывать документы одновременно несколько подразделений и филиалов.

Электронный документооборот позволяет компаниям сократить расходы на бумагу, курьерские и почтовые услуги.

DiState позволяет обмениваться одно- и многосторонними документами внутри системы:

  • Бухгалтерские документы: акты, накладные, счета, товарно-транспортные накладные и пр.
  • Хозяйственные документы: письма, договоры, соглашения, заявки, претензии и пр.

DiState: Документооборот — это система ЮЗ ЭДО с локальным электронным архивом в частном хранилище компании с неограниченным количеством контрагентов и без тарификации подписываемых документов. Внутри системы компания может отправлять и получать формализованные документы от контрагентов, а также создавать и обмениваться неформализованными документами. Благодаря готовым модулям интеграции, все документы (УПД, счета-фактуры, акты и т.д.) могут автоматически приходить во внутреннюю систему учета, например 1С. Объем хранилища и параметры резервного копирования данных компания определяет самостоятельно, ограничения по срокам хранения у документов в системе нет.

DiState: Организатор ЭДО — это b2b решение, позволяющее компании организовать собственную систему ЮЗ ЭДО, в которой контрагенты смогут обмениваться документами не только с компанией-организатором, но и друг с другом. Это позволяет участникам системы сократить материальные и временные расходы на подписание и доставку документов, а организатору системы приносит дополнительный доход. Количество контрагентов в системе не ограничено, тарифы для подписываемых документов устанавливает организатор ЭДО.

DiState: Оператор ЭДО — b2b решение, которое включает в себя возможности DiState: Организатор ЭДО и предполагает выполнение функций Доверенного Оператора ЭДО компанией-лицензиатом.

DiState: Мультипровайдер — платформа ЮЗ ЭДО для работы с несколькими провайдерами EDI и ЮЗ ЭДО, которая позволяет снять нагрузки с учетных систем заказчика. Документы из нескольких личных кабинетов компании в других системах ЮЗ ЭДО и EDI поступают в DiState: Мультипровайдер, где с ними можно работать в режиме “одного окна”. В системе автоматически формируется единый локальный архив документов от всех операторов.

DiState: Холдинг — единая система для внутреннего и внешнего ЮЗ ЭДО холдинга. Группы компаний холдинга обмениваются документами между собой и с контрагентами в рамках одной системы. Единая база данных и архив для всех филиалов.

DiState: Кадры — это система кадрового ЭДО, которая способна интегрироваться с уже существующими программами компании либо функционировать самостоятельно. Благодаря масштабируемости и возможности кастомизации, DiState: Кадры может применяться как крупными компаниями с десятками подразделений, так и малыми предприятиями с небольшим штатом сотрудников.

Все программные продукты DiState могут бесшовно интегрироваться с корпоративными порталами и информационными системами, а также обмениваться документами с другими операторами ЮЗ ЭДО.01

С 1 января запрещено формирование электронной подписи

Слухи о том, что с 1 января 2019 года будет запрещено формирование электронной подписи являются достоверным фактом. Воспользоваться подписью, выполненной по ГОСТ Р 34.10-2001 уже невозможно, вследствие чего необходима переустановка криптопровайдеров.

Большинство организаций используют специальные программы, чтобы защитить и зашифровать некоторую информацию. При помощи этих приложений можно заверить подлинность юридических документов. Например, используя приложение КриптоПро можно выполнить следующие процедуры:

  • отправить налоговые отчеты в федеральную налоговую службу
  • сохранить информацию в 1С
  • отправить заявку на торги
  • предоставить запрос в Роскомнадзор
  • подписывать документы в программах World и Excel.

Поскольку эти приложения имеют огромную важность, не идет речь об их полном запрете, а лишь о переходе на новую версию, которая будет соответствовать ГОСТ Р 34.10-2012. В связи с, нововведениями на рабочем столе надо будет иметь один из этих криптопровайдеров:

Использование подписи старого образца уже невозможно.

Чего касаются новые требования

После того как вышел приказ федеральной службы безопасности от 27.12.2017 №796 поползли слухи о том, что утилиты полностью отменят.

Однако они оказались ложными просто введен новый государственный стандарт электронной подписи, эти требования предъявляются к следующим организациям:

  • площадки, где проходят электронные торги
  • предприятия, которые занимаются разработкой методов защиты электронных данных
  • компании, получившие аккредитацию в Министерстве связей
  • предприятия, которые при своей деятельности используют электронные подписи
  • физические лица, которые пользуются электронной подписью при передаче информации, не содержащей государственной тайны
  • организации, осуществляющие деятельность в области массовых коммуникаций с разрешения Министерства связи.

С начала года эти организации и лица обязаны перейти на новые защитные утилиты, которые соответствуют требованиям стандарта ФСБ.

Так как сертификаты старого образца признаны недействительными, то предприятиям необходимо перейти на разрешенные приложения, которые удовлетворяют требованиям нового ГОСТ. В противном случае, документы, заверенные электронной подписью старого образца, будут признаны недействительными.

Регистрация в VipNet CSP

Как перейти на новый стандарт

В связи с тем, что с 1 января 2019 года запрещено формирование электронной подписи старого образца, необходимо перейти на новый стандарт. Совершать немедленную замену сертификатов не надо, потому что, контролирующие органы еще не готовы принимать документы, подписанные по новому ГОСТу.

Чтобы перейти на новый образец, необходимо выполнить следующие действия:

  1. Можно получить новый сертификат, сформированный по ГОСТ Р 34.10-2012 или подождать, когда произойдет плановая замена сертификата.
  2. Установить приложение КриптоПро версия 4.0 или выше.
  3. Купить лицензию на данное приложение, в том случае, если применяется сертификат без встроенной лицензии. Чтобы применять приложение КриптоПро CSP на серверных, операционных системах надо купить и активировать Серверную лицензию.
  4. Установить приложение Контур Плагин версии 3.10.0.256 или выше.
Читайте также:  Какие монеты можно продать дорого: как определить стоимость?

Чтобы получить Серверную лицензию необходимо обратиться в сервисный центр. Организациям, использующим КриптоПро версию 4.0 и ниже, придется покупать новую лицензию.

Если на предприятии установлен VipNet CSP на Windows XP надо будет обновить Windows, иначе вероятность работы составит 50%.

Рекомендации ООО «КриптоПро» о прекращении использования схемы подписи ГОСТ Р 34.10-2001

В соответствии с письмом Федеральной службы безопасности Российской Федерации от 07.09.2018 №149/7/6-363 использование схемы ЭП, соответствующей ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации.

Процессы формирования и проверки электронной цифровой подписи» (далее – ГОСТ-2001), для формирования ЭП возможна до 31.12.2019.

Если у пользователей вашего УЦ после 1 января 2022 года не останется действующих сертификатов с алгоритмом ГОСТ-2001, то рекомендуется до наступления этой даты вывести все ключи ЦС с алгоритмом ГОСТ-2001 из эксплуатации с выпуском для каждого такого ключа ЦС финального СОС.

Если у пользователей вашего УЦ после 1 января 2022 года останутся действующие сертификаты с алгоритмом ГОСТ-2001, то рекомендуется обеспечить прекращение их применения для создания ЭП документов до наступления этой даты и вывести все ключи ЦС с алгоритмом ГОСТ-2001 из эксплуатации с выпуском для каждого такого ключа ЦС финального СОС.

Это действие выполняется на сервере ЦС с помощью Диспетчера УЦ: в левой части окна раскройте Сервер ЦС – Центры сертификации, выберите нужный ЦС – Администраторы – Имя администратора. В средней части окна будет список ключей ЦС. Для вывода ключа ЦС с алгоритмом ГОСТ-2001 нажмите на нём правой кнопкой мыши и выберите «Вывод из обращения»:

Далее установите отметку «Выпуск финального CRL»:

и продолжите выполнение до завершения работы мастера.

После этого на сервере ЦР проверьте количество подключений к ЦС.

Пуск – КРИПТО-ПРО – Командная строка управления УЦ (Администратор) и выполните

Если настроено несколько подключений к ЦС и для одного из них (или нескольких) в результате выполнения предыдущих действий на сервере ЦС не осталось ни одного активного ключа ЦС, то такое подключение следует деактивировать (перевести в режим Retired).

Для этого в том же окне выполните последовательно

$r = Get-CAReference -AuthorityName ‘ ‘

где скопируйте из вывода предыдущей команды

Если по техническим или организационным причинам у пользователей вашего УЦ после 1 января 2022 года останутся действующие сертификаты с алгоритмом ГОСТ-2001 и невозможно обеспечить прекращение их применения для создания ЭП документов до наступления этой даты, то следует учитывать, что в случае вывода ключей ЦС с алгоритмом ГОСТ-2001 из эксплуатации с выпуском для каждого такого ключа ЦС финального СОС будет невозможно изменить статус любого сертификата пользователя, подписанного таким ключом ЦС.

Читайте также:

Что можно сделать с электронной подписью?

Электронную подпись (ЭП) используют при оформлении различных документов и сделок, в том числе по продаже недвижимости. Подделать ее сложно, но все равно в этой области нередки случаи мошенничества. Чтобы предотвратить это, уже принят ряд законов, а несколько инициатив находится на рассмотрении Госдумы.

Информация о восстановлении отдельных функций ЕИС

Сообщение от службы поддержки ЕИС о восстановлении отдельных функций системы.

СОГЛАШЕНИЕ О ПРЕДОСТАВЛЕНИИ И ИСПОЛЬЗОВАНИИ ПЕРСОНАЛЬНЫХ ДАННЫХ

Настоящее соглашение регламентирует отношения между АО «Аналитический центр» и физическим лицом (Пользователь) и вступает в силу с момента принятия Пользователем условий настоящего соглашения. При несогласии Пользователя с хотя бы одним из пунктов соглашения, Пользователь не имеет права дальнейшей регистрации. Продолжение процедуры регистрации говорит о полном и безоговорочном согласии с настоящим соглашением.

ТЕРМИНЫ И ОПРЕДЕЛЕНИЯ

Регистрация – процедура, в ходе которой Пользователь предоставляет достоверные данные о себе по утвержденной форме регистрации (регистрационная карта). Прохождение процедуры регистрации говорит о том, что Стороны полно и безоговорочно согласились с условиями настоящего соглашения.

Персональные данные Пользователя – данные, используемые для идентификации личности, добровольно указанные Пользователем при прохождении регистрации. Данные хранятся в базе данных на сервере АО «Аналитический центр» и подлежат использованию исключительно в соответствии с настоящим соглашением и законодательством РФ.

ИСПОЛЬЗОВАНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ

Мы используем персональные данные Пользователя только для тех целей, которые указываются при их сборе. Мы не используем персональные данные для других целей без согласия Пользователя. Мы можем использовать персональные данные Пользователя для следующих целей:

  • Для организации выдачи Пользователю электронной цифровой подписи в рамках сети Аккредитованных при Некоммерческой организации «Ассоциация Электронных Торговых Площадок» Удостоверяющих центров, а также ее обслуживания и оказания сопутствующих услуг;
  • Для обратной связи с Пользователем в целях предоставления услуги или информации, в том числе посредством рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» на указанную электронную почту. Отказаться от рассылки рекламных, информационных и (или) иных материалов АО «Аналитический Центр» можно нажав на соответствующую кнопку в нижнем колонтитуле любого письма в рамках такой рассылки;
  • Для ответов на запросы Пользователя в службу поддержки;
  • Для выполнения обязательств по договорам.

Для использования персональных данных для любой иной цели мы запрашиваем подтверждение Пользователя. Пользователь соглашается, что АО «Аналитический центр» оставляет за собой право использовать его персональные данные анонимно и в обобщенном виде для статистических целей.

ОБЯЗАТЕЛЬСТВА ПОЛЬЗОВАТЕЛЯ ПО РЕГИСТРАЦИИ

Пользователь соглашается предоставить правдивую, точную и полную информацию о себе по вопросам, предлагаемым в регистрационной карте. Если Пользователь предоставляет неверную информацию, АО «Аналитический центр» имеет право приостановить либо отменить регистрацию.

ПРЕДОСТАВЛЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ ПОЛЬЗОВАТЕЛЯ ТРЕТЬИМ ЛИЦАМ

АО «Аналитический центр» не передает персональные данные третьим лицам для маркетинговых целей без разрешения Пользователя.

АО «Аналитический центр» может передавать персональные данные Пользователя компаниям, аффилированным по отношению к АО «Аналитический центр», для обработки и хранения. Пользователь соглашается с тем, что АО «Аналитический центр» передает персональные данные Пользователя уполномоченным организациям для создания и выдачи электронной подписи, выполнения требуемых услуг и операций.

АО «Аналитический центр» предоставляем третьим лицам объем персональных данных, необходимый для оказания требуемой услуги или транзакции. При необходимости АО «Аналитический центр» можем использовать персональные данные Пользователя для ответа на претензии, исковые заявления.

АО «Аналитический центр» можем собирать и, при необходимости, передавать уполномоченным органам имеющуюся в нашем распоряжении информацию для расследования, предотвращения и пресечения любых незаконных действий. АО «Аналитический центр» вправе раскрывать любые персональные данные по запросам правоохранительных органов, решению суда и в прочих случаях, предусмотренных законодательством РФ.

С целью предоставления дополнительной информации, оказания услуг, Пользователь можете быть направлен на другие ресурсы, содержащие информационные или функциональные ресурсы, предоставляемые третьими лицами.

Только в тех случаях, когда информация собирается от лица АО «Аналитический центр», использование данных Пользователя будет определяться политикой АО «Аналитический центр» в отношении конфиденциальности персональных данных. При предоставлении информации на других ресурсах будут использоваться политики в отношении конфиденциальности персональных данных, проводимые их владельцами.

АО «Аналитический центр» требует от своих партнеров использования политики в отношении конфиденциальности персональных данных, согласующихся с политикой АО «Аналитический центр».

БЕЗОПАСНОСТЬ ВАШИХ ПЕРСОНАЛЬНЫХ ДАННЫХ

АО «Аналитический центр» использует технологии безопасности, процедуры и организационные меры для защиты персональных данных Пользователя от несанкционированного доступа, использования или разглашения.

Читайте также:  Как узнать баланс социальной карты москвича: способы

АО «Аналитический центр» стремится защитить персональные данные Пользователя, но не может гарантировать безопасность передаваемых данных.

АО «Аналитический центр» рекомендует принимать все меры по защите ваших персональных данных при работе в Интернете. Часто меняйте пароли, используйте сочетание букв и цифр при создании паролей и используйте защищенный браузер.

АО «Аналитический центр» не хранит персональные данные Пользователя дольше, чем необходимо для целей их сбора, или чем требуется в соответствии с действующими законами или правилами.

Повышение требований к удостоверяющим центрам и другие поправки в закон об электронной подписи

ilfede / Depositphotos.com

В конце декабря Президент РФ подписал закон, направленный на реформирование системы выдачи электронной подписи и ее использования в подписании документов различными субъектами (Федеральный закон от 27 декабря 2019 г. № 476-ФЗ “О внесении изменений в Федеральный закон “Об электронной подписи” и статью 1 Федерального закона “О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля”).

Отметим следующие нововведения.

Уточнено понятие аккредитованного удостоверяющего центра. Согласно поправкам, аккредитованными удостоверяющими центрами будут являться удостоверяющие центры, получившие аккредитацию, а также УЦ ФНС России, УЦ Федерального казначейства, УЦ ЦБ РФ.

Изменятся требования, выполнение которых является условием для получения удостоверяющим центром (далее также УЦ) аккредитации. В частности:

  • минимальный размер собственного капитала УЦ должен будет составлять 1 млрд руб. (сейчас – не менее 7 млн руб.). Однако при наличии у удостоверяющего центра не менее чем в трех четвертях субъектов РФ одного или более филиала или представительства, достаточным будет размер собственных средств (капитала) в 500 млн руб.;
  • увеличится размер финансового обеспечения ответственности за убытки, причиненные третьим лицам.

Кроме того, вводятся требования:

  • к деловой репутации руководителей таких удостоверяющих центров и лиц, владеющих в них не менее чем 10% капитала,
  • о необходимости получения лицензии на деятельность по разработке, производству, распространению шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием таких средств и т.д.

Предусмотрены также дополнительные требования в целях аккредитации УЦ для осуществления хранения ключа электронной подписи.

Аккредитация УЦ будет осуществляться на 3 года. Сейчас по общему правилу она дается на 5 лет.

Осуществлять выдачу квалифицированных сертификатов квалифицированной электронной подписи (далее – КЭП) будут:

  • УЦ ФНС России: юридическим лицам и ИП (за исключением юрлиц и ИП кредитно-финансовой сферы), а также нотариусам;
  • УЦ Банка России: кредитным организациям, операторам платежных систем, некредитным финансовым организациям и ИП, осуществляющим указанные в ч.1 ст. 76.1 Закона о ЦБ РФ виды деятельности, должностным лицам Банка России;
  • УЦ Федерального казначейства: лицам, замещающим государственные должности РФ, государственные должности субъектов РФ, должностным лицам госорганов, органов местного самоуправления, их подведомственных учреждений и организаций;
  • удостоверяющие центры, получившие аккредитацию Минкомсвязи Российской Федерации, – только физическим лицам.

Квалифицированный сертификат КЭП, который содержит указание только на государственный орган или орган местного самоуправления в качестве его владельца, выдается УЦ Федерального казначейства и применяется только для автоматического создания и (или) автоматической проверки электронной подписи в электронном документе.

Аккредитованный УЦ на безвозмездной основе должен будет обеспечивать физлиц шифровальными (криптографическими) средствами для проведения идентификации этих физических лиц в аккредитованном УЦ на основе предоставления биометрических персональных данных без личного присутствия.

Что касается квалифицированного сертификата, то он должен выдаваться аккредитованным УЦ на безвозмездной основе или за установленную удостоверяющим центром плату при условии, что ее размер не превышает предельный размер, порядок определения которого вправе установить Правительство РФ.

Рассматриваемым законом предусмотрены особенности использования КЭП при участии в правоотношениях физлиц, ИП, юрлиц, а также государственных органов, органов местного самоуправления, лиц, замещающих государственные должности РФ, государственные должности субъектов РФ, должностных лиц госорганов, органов МСУ, их подведомственных организаций, а также нотариусов.

Нужна электронная подпись? Удостоверяющий центр ГАРАНТ поможет подобрать и приобрести сертификат электронной подписи и для юридического, и для физического лица.

Кроме того, установлен порядок оформления и представления доверенностей, необходимых для использования КЭП.

Вводится понятие доверенной третьей стороны. Это юрлицо, осуществляющее деятельность по проверке электронной подписи в электронных документах в конкретный момент времени в отношении лица, подписавшего этот электронный документ, для обеспечения доверия при обмене данными и электронными документами и иные функции, предусмотренные законом об электронной подписи;

Поправками регламентировано проведение федерального государственного надзора в сфере электронной подписи, в том числе внеплановых проверок аккредитованных удостоверяющих центров. Плановые проверки проводиться не будут.

Работники аккредитованного УЦ будут нести в том числе уголовную ответственность за неисполнение обязанностей, установленных Законом об электронной подписи и иными принимаемыми в соответствии с ним НПА, а также порядком реализации функций аккредитованного УЦ и исполнения его обязанностей (сейчас – только административную ответственность).

Предусмотрен ряд иных изменений.

Закон вступит в силу 1 июля 2022 года, за исключением отдельных положений, вступающих в силу 1 января 2022 г..

Квалифицированные сертификаты, выданные аккредитованными до дня вступления поправок в силу удостоверяющими центрами, будут действовать до истечения срока, на который они выданы (но не более срока действия аккредитации выдавших их УЦ либо не более чем до 1 января 2022 года).

Аккредитация УЦ, полученная ими до дня вступления в силу рассматриваемого закона, будет действовать до истечения срока, на который они были аккредитованы, но не более чем до 1 января 2022 года.

Каким станет электронный документооборот после вступления в силу изменений в закон об электронной подписи?

Приветствую вас, друзья!

Недавно я ознакомился с новым законом, который вносит существенные поправки в сферу электронного документооборота, а именно в 63-ФЗ «Об электронной подписи» (далее — ЭЦП). Внедрение изменений предполагается за счет использования IT-технологий, например, они коснулись способов хранения электронного ключа, теперь он будет храниться в облачном сервисе.

Мои размышления на этот счет и привели к написанию данной статьи. Хочу поделиться с вами своими мыслями о том, как изменится рынок ЭЦП после вступления закона в силу и что ждет участников электронного документооборота.

Речь идет о законе № 476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи». 28 декабря он был опубликован на официальном интернет-портале www.pravo.gov.ru, а значит прошел все стадии подписания и рассмотрения. Он вступит в законную силу 1 июля 2022 года, кроме п.14 ст.1, он начнет действовать 1 января 2022 года.

Какие изменения нас ждут?

Закон вносит много изменений, отмечу самые значимые:

  1. Изменились требования к удостоверяющим центрам: теперь срок аккредитации составляет 3 года, УЦ должен иметь 100 млн. рублей страховых средств и не меньше 1 млрд. рублей собственных средств или 500 млн. рублей для центров, имеющих представительства в 3/4 и более регионов РФ.
  2. Уполномоченные органы: ФНС, Казначейство, ЦБ получили особые права на выдачу ЭЦП. Кстати, их не касаются все финансовые требования, указанные в пункте 1.
  3. Теперь подписанные ЭЦП документы будут проверяться на достоверность с помощью IT-средств «доверенной третьей стороной». Специальное юридическое лицо будет ставить на них «метку доверенного времени».
  4. Удостоверяющий центр (УЦ), который выдаст вам ЭЦП, будет хранить ее в облаке. Подписывать ею документы за вас будет тоже УЦ по вашему поручению.
  5. Закон устанавливает методы идентификации личности заявителя, который подал заявку на получение ЭЦП. Один из таких способов — получение сведений из единой биометрической системы.
  6. Признается юридическая сила подписей, выданных иностранными государствами и соответствующих требованиям Российской Федерации к ним.
Читайте также:  Сроки рассмотрения апелляции по уголовному делу

Зачем всё это нужно?

Изначально законопроект разрабатывался для улучшения работы УЦ и повышения информационной безопасности. Сегодня ЭЦП выдают многие компании, но проверять подлинность данных заявителя они не могут. В результате участились случаи мошенничества с подписями. Злоумышленники проводили многомиллионные сделки через сайт Госуслуг.
Казалось бы, закон решит проблему информационной безопасности в сфере ЭЦП, защитит участников ЭДО от всевозможных рисков. Но, увы, не все так однозначно…

Что ждет рынок ЭЦП и ЭДО?

Теперь расскажу свои мысли насчет того, к чему приведут все эти изменения, на мой взгляд. Меня, как специалиста удостоверяющего центра, закон заинтересовал сразу, и я постоянно следил за этапами его подписания.

По сути теперь тот, кто хранит ЭЦП может подписать любой документ вместо вас, теоретически может распоряжаться ключом по своему усмотрению. Да и к самим документам теперь есть доступ как у УЦ, так и у «доверенной третьей стороны». А как же вопросы информационной безопасности? К закрытой части ключа ЭЦП доступ должен быть только у его владельца!

Я уже молчу про полномочия ФНС, которые всё больше и больше расширяются. Я сейчас веду речь не о монополизации уполномоченными органами рынка ЭЦП, а о том, что на них возрастет нагрузка.

Их сервера, сайты и так постоянно подвергаются повышенным нагрузкам. Результат — сбои, задержки в работе, как было в конце 2019 года, когда по новым правилам участники закупок начали массово регистрироваться в Единой информационной системе через сайт Госуслуг, чтобы работать на электронных торговых площадках и получить на них аккредитацию. А сбой в работе такого органа, как ФНС — это фактически остановка деятельности всех организаций, срыв госзаказов. Но дело не только в этом:

  • для облачного хранения ЭЦП потребуется мощные технические и IT-средства, нужно будет поменять работу всех порталов госуслуг. Сложно представить себе, сколько финансов на это потребуется. Разумеется, все расходы лягут на кошельки заявителей;
  • для проверок «доверенной стороной» точно также потребуются средства. Но еще на это понадобится время, появятся задержки, подписание документов займет больше времени;
  • отдельно можно отметить, что многие коммерческие удостоверяющие центры ощутят серьезный удар по их бизнесу. Мало того, что нужно соответствовать строгим требованиям, перестроить свою деятельность под новые IT-стандарты, чтобы обеспечить облачное хранение ЭЦП и подписание документов, так еще и солидная часть рынка уйдет к уполномоченным госорганам.

Подведем итоги

Итак, ключ храните не вы, документы им подписываете тоже не вы, при этом вас идентифицируют и постоянно проверяют подписанные вашей подписью документы на достоверность. А вот если что-то окажется не так, то отвечать будете вы.

Плюс выдача ЭЦП неизбежно станет намного дороже — на нее перенесут стоимость задействованной IT-инфраструктуры для облачного хранения и работы «доверенной третьей стороны». Такие дела, изменения не радуют.

Переход на ГОСТ-2012: главное о новом стандарте электронной подписи

ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» — российский криптографический стандарт, описывающий алгоритмы формирования и проверки электронной подписи, принятый и введённый в действие вместо ГОСТ Р 34.10-2001 Приказом Федерального агентства по техническому регулированию и метрологии от 7 августа 2012 года №215-ст.

Введение нового стандарта

В начале 2014 года ФСБ России известила разработчиков средств криптографической защиты информации о начале перехода на использование нового национального стандарта ГОСТ Р 34.10-2012 в средствах электронной подписи для информации, не содержащей сведений, составляющих государственную тайну.

Документ ФСБ России №149/7/1/3-58 от 31.01.2014 «О порядке перехода к использованию новых стандартов ЭЦП и функции хэширования», выписка из которого была опубликована на сайте ТК26, устанавливал следующие требования:

  • после 31 декабря 2013 года прекратить сертификацию средств электронной подписи на соответствие требованиям к средствам электронной подписи, утверждённым приказом ФСБ России от 27.12.2011 г. №796, если в этих средствах не предусматривается реализация функций в соответствии с ГОСТ Р 34.10-2012;
  • после 31 декабря 2018 года запретить использование ГОСТ Р 34.10-2001 для формирования электронной подписи.

В октябре 2017 года Министерство цифрового развития, связи и массовых коммуникаций Российской Федерации опубликовало на портале Федерального ситуационного центра электронного правительства Разъяснение по переходу на ГОСТ Р 34.10-2012, в котором подтверждалось, что использование схемы ГОСТ Р 34.10-2001 для формирования электронной подписи после 31 декабря 2018 года не допускается, в том числе и для формирования списка отзыва сертификатов, а после 31 декабря 2018 года формирование электронной подписи должно производиться по алгоритму ГОСТ Р 34.10-2012.

Также в разъяснении Минкомсвязи сообщалось о том, что выпуск сертификатов для подчиненных аккредитованных удостоверяющих центров с использованием схемы подписи, установленной стандартом ГОСТ Р 34.10-2012, планируется начать не позднее середины июля 2018 года.

Кроме того, в документе говорилось о том, что квалифицированный сертификат пользователя и квалифицированный сертификат аккредитованного удостоверяющего центра, выдавшего его пользователю, должны соответствовать одному стандарту: либо ГОСТ-2012, либо ГОСТ-2001. Если сертификаты будут сформированы в соответствии с разными стандартами, то есть будут иметь различную схему подписи, они не смогут пройти проверку на Едином портале государственных и муниципальных услуг.

В соответствии с разъяснением Минкомсвязи сценарий перевода пользователей на работу с квалифицированными сертификатами, выпущенными по ГОСТ-2012, предполагал, что все пользователи должны будут получить сертификаты, сформированные в соответствии с новым стандартом, несмотря на то, что удостоверяющие центры могли приступить к выпуску этих сертификатов только с августа 2018 года — после получения в Головном удостоверяющем центре квалифицированного сертификата подчинённого удостоверяющего центра, сформированного по ГОСТ-2012.

16 июля 2018 года Минкомсвязь опубликовала Уведомление о начале выпуска сертификатов ключей проверки электронных подписей подчинённых удостоверяющих центров на Головном удостоверяющем центре в соответствии с ГОСТ Р 34.10-2012, после чего аккредитованные удостоверяющие центры, запросившие в Головном удостоверяющем центре сертификат подчинённого удостоверяющего центра, сформированный по ГОСТ-2012, получили возможность выпускать сертификаты пользователей в соответствии с новым стандартом.

Чем вызвана необходимость перехода на новый ГОСТ?

В 2012 году было выпущено два новых стандарта — ГОСТ Р 34.10-2012 по формированию и проверке электронной подписи и ГОСТ Р 34.11-2012 по функции хэширования. Новые стандарты заменили ГОСТ по электронной подписи 2001 года и ГОСТ по функции хэширования 1994 года. В алгоритме формирования и проверки электронной подписи нового стандарта изменений не произошло, а вот функция хеширования существенно изменилась. Новая российская функция хеширования Стрибог с криптографической точки зрения существенно превосходит ту, что использовалась ранее и была описана в стандарте 1994 года.

Информационные технологии и методы криптографического анализ непрерывно развиваются, а стойкость криптографических примитивов должна поддерживаться на неизменно высоком уровне относительно доступных в настоящий момент противнику средств и методов криптоанализа. Для этого была разработана новая функция хэширования.

Ссылка на основную публикацию