Минцифры России в адрес субъектов Российской Федерации направлена информация о завершении в 4 квартале 2021 г. работ по созданию Национального удостоверяющего центра (НУЦ).

Согласно письму получить сертификат безопасности НУЦ будет возможно с использованием вида сведений НУЦ ОГВ/ОМСУ (обратим внимание, что в настоящее время данный сервис не зарегистрирован в тестовой среде).

Информация о завершении работ по созданию НУЦ и его готовности к выпуску сертификатов безопасности будет направлена дополнительно.

В тестовой среде СМЭВ 3.0 зарегистрирована новая версия 1.2.0 вида сведений МВД России "Сведения о действительности паспорта гражданина Российской Федерации, предъявленного на определённое имя". Только добавлена причина недействительности паспорта: 609 – Утрачен.

Таким образом все коды причин недействительности паспорта:
601 Истёк срок действия
602 Заменен на новый
603 Выдан с нарушением
604 Числится в розыске
605 Изъят, уничтожен
606 В связи со смертью владельца
607 Технический брак
609 Утрачен

Версия - новая, а вот руководство пользователя - старое, с уволенными сотрудниками в контактных данных и отсутствием УЦ в потребителях.

Минцифры России в целях повышения надежности и отказоустойчивости СМЭВ 3 с 29 ноября 2021 года по 29 декабря 2021 года планирует проведение работ по модернизации транспортной подсистемы.

В период проведения работ с 09:00 до 13:00 в Личном кабинете участника взаимодействия по ряду видов сведений будет отсутствовать возможность пройти процедуру подтверждения технической готовности (ПТГ). Пройти процедуру ПТГ можно будет только через Ситуационный центр в установленном методическими рекомендациями порядке.

Модернизация СМЭВ 3 будет осуществлена в соответствии с требованиями документа «Методические рекомендации по работе с Единой системой межведомственного электронного взаимодействия» и документа «Требования к XML-схемам, регистрируемым в СМЭВ версия 1.3.8», размещенными на информационном ресурсе «Технологический портал системы межведомственного электронного взаимодействия».

В случае если при осуществлении информационного взаимодействия посредством СМЭВ 3 в информационных системах участников взаимодействия (далее – ИС) были использованы приемы, игнорирующие требования стандартов HTTP/1.1, SOAP (Simple Object Access Protocol (SOAP) 1.1 ), xml (http://www.w3.org/TR/2008/REC-xml-20081126/), например, применен посимвольный разбор (парсинг) синхронных ответов от СМЭВ3, то существует риск полной или частичной утраты ИС технической готовности для участия в обменах в СМЭВ3.

Ещё одна история мошенничества с использованием электронной подписи произошла летом на Урале.

Схема обмана следующая: при первом собеседовании студентку направили подписать трудовой договор… в удостоверяющий центр. При этом накануне мошенник приходил в офис УЦ, чтобы оплатить услугу по выдаче квалифицированного сертификата, сказав, что сам «заявитель» задерживается и подойдет позже. Студентка действительно подошла позже. Оператор УЦ принял от неё заявление, вернул на подпись пакет документов для получения сертификата. Подписанные документы она передала мошеннику, будучи уверенной, что это договор о трудоустройстве.
Далее мошенники с использованием ключа ЭП и полученного сертификата зарегистрировали на имя девушки ИП.

В статье указан адрес - г. Екатеринбург, ул. Первомайская, 15, по которому действительно находится точка выдачи сертификатов УЦ "Мостинфо".

Напомним, что УЦ обязан информировать в письменной форме заявителей об условиях и о порядке использования электронных подписей и средств электронной подписи, о рисках, связанных с использованием электронных подписей, и о мерах, необходимых для обеспечения безопасности электронных подписей и их проверки.

Что тут можно ещё добавить - внимательно нужно читать документы при подписании и понимать последствия от их подписания.

Из судебной практики в сфере электронной подписи:

- Заявления от гр. Шарипова И.Т. в Аккредитованный удостоверяющий центр ООО « Электронный город+» об аннулировании СКПЭП поступило после ДД.ММ.ГГГГ, на тот момент СКПЭП на имя гр. Шарипова И.Т. уже был аннулирован ДД.ММ.ГГГГ по заявлению, поступившему в УЦ ООО « Электронный город+» от ООО «Информационные технологии и коммуникации» на основании п.п. 1 п. 6.1 ст. 14 ФЗ №63 «Об электронной подписи» (решение от 25 января 2019 г. по делу № 2-5301/2018)

- Обращаясь в суд с названным выше иском, ФИО1 нарушение своих прав обосновала тем, что ни заявление о досрочном переходе из Пенсионного фонда РФ в негосударственный пенсионный фонд от ДД.ММ.ГГГГ, ни договор об обязательном пенсионном страховании от ДД.ММ.ГГГГ № не подписывала , следовательно, пенсионные накопления неправомерно переведены из ПФР в негосударственный пенсионный фонд (решение от 6 февраля 2019 г. по делу № 2-15/2019)

- На момент совершения регистрационных действий основания для отказа в их совершении, а именно решения суда о недействительности электронно -цифровой подписи Киро А.В. и аннулировании сертификата ключа ЭПЦ, у налогового органа не имелось. Не представлено такое решение и на момент рассмотрения настоящего иска (решение от 13 марта 2019 г. по делу № 2-970/2019)

- На момент совершения регистрационных действий ответчиком основание - решение суда о недействительности ЭЦП и аннулировании сертификата ключа ЭЦП как основание для отказа в их совершении отсутствовали (решение от 5 августа 2019 г. по делу № 2-1626/2019)

- Оценив представленные доказательства по правилам ст. 67 ГПК РФ, учитывая, что в заявлениях на изготовление сертификатов ключа проверки электронной подписи от дд.мм.гггг., листах ознакомления с информацией, содержащейся в квалифицированном сертификате , проставлены подписи Бикмуллина Р.Т., которые не оспорены надлежащим образом, суд приходит к выводу о том, что доказательств отсутствия волезъявления истца на изготовление сертификатов ключа проверки электронной подписи последним не представлено, а потому в удовлетворении исковых требований Бикмуллина Р.Т. о признании недействительным заявления на изготовление сертификата ключа проверки усиленной электронной подписи , усиленной квалифицированной подписи и сертификата ключа проверки усиленной подписи , должно быть отказано в полном объеме (решение от 26 мая 2020 г. по делу № 2-203/2020)

- На момент совершения регистрационных действий основания (решение суда о недействительности электронно -цифровой подписи и аннулировании сертификата ключа электронно -цифровой подписи ) для отказа в их совершении отсутствовали. Таким образом, сертификат ключа проверки электронной подписи исполненной ФИО6, является действительным на момент совершения оспариваемого действия по смыслу ст. 11 ФЗ № 63-ФЗ.
В связи с чем, довод представителя административного истца о том, что данное административное дело следует рассматривать с обязательным участием в качестве заинтересованного лица общества «Тензор» (правообладателя программы ЭВМ СБиС), суд признает несостоятельным (решение от 23 января 2019 г. по делу № 2А-2-12204/2018)

Ни одного решения суда об аннулировании сертификата ЭП. Таким образом, если на гражданина какой-либо УЦ незаконно, без его согласия, по подложным документам выдал сертификат - доказать это суду не представляется возможным. Возможно, если бы исковые заявления были поданы на УЦ, решения судов были бы другими.

3 карточки, размещенные на портале общественного обсуждения с проектами постановлений Правительства РФ, с 10.11.2021 имеют статус: На этом этапе документы направляются на рассмотрение в Правительство Российской Федерации.

О порядке предоставления документа, подтверждающего полномочия, при участии в правоотношениях физического лица в электронной форме

О порядке предоставления доверенности, подтверждающей полномочия физического лица действовать от имени индивидуального предпринимателя или юридического лица, при участии в правоотношениях индивидуальных предпринимателей и юридических лиц в электронной форме

Об утверждении организационно-технических требований к порядку хранения, использования и отмены машиночитаемых доверенностей, используемых для подтверждения полномочий в электронной форме

Прикладываем направленные в Правительство редакции проектов, которые вероятно ещё уточняются.

Проект постановления Правительства «Об утверждении требований к машиночитаемым формам документов, подтверждающих полномочия физического лица, не предусмотренные статьями 17.2 и 17.3 Федерального закона от 6 апреля 2011 года № 63-ФЗ «Об электронной подписи» - не проходил оценку регулирующего воздействия и был забыт.

Продолжаем анализ случаев мошенничества.

На основании материалов Роскомнадзора МВД России проведены проверки по факту незаконного использования персональных данных при регистрации юридических лиц, новость от 16 марта 2020
В Роскомнадзор поступил ряд жалоб от граждан на то, что в отсутствие их согласия и участия неустановленными лицами на их имя была оформлена электронная подпись, а также осуществлена регистрация юридических лиц.

Мошенники зарегистрировали юрлица с помощью ЭЦП без ведома граждан, новость от 17 марта 2020
Рос­комнад­зор по­лучил жа­лобы от граж­дан на то, что неус­та­нов­ленные ли­ца без их ве­дома за­регис­три­рова­ли на них юри­дичес­кие ли­ца с ис­поль­зо­ванием элек­трон­ной циф­ро­вой под­пи­си (ЭЦП). МВД Рос­сии уже воз­бу­дило уголов­ные де­ла.

В Москве пресечена противоправная деятельность по созданию фиктивных фирм, новость от 23 апреля 2021
Оперативники установили, что работники нескольких удостоверяющих центров незаконно изготавливали цифровые подписи, используя персональные данные физических лиц.
Созданные электронные подписи без ведома граждан использовались для регистрации и реорганизации в налоговых органах юридических фирм, реквизиты которых в дальнейшем могли участвовать в различных противоправных схемах.
Незаконная деятельность была организована на территории Москвы и Свердловской области.

Хозяин, он же директор, якобы заявляет о собственной недостоверности. Коммерция встает. В новом бизнес-кошмаре подозревают конкурентов, хулиганов и даже налоговиков, новость от 13 октября 2021.
"Электронная подпись на имя Ковалевой, с использованием которой представлены документы на регистрацию по форме [...], внесение в ЕГРЮЛ сведений о недостоверности сведений в отношении ООО "Техновуд" [...], изготовлена ООО "Солар", адрес местонахождения удостоверяющего центра: ул. Вилонова, д. 6, кв. 49, город Екатеринбург, Свердловская область", - прочитала героиня в письме из МИФНС-15.

А вот этой статье с Хабра стоит уделить отдельный пост.

Её автору удалась выиграть суд, который признал неправомерными действия Федерального государственного бюджетного образовательного учреждения высшего образования “Томский государственный университет систем управления и радиоэлектроники” по обработке персональных данных, а также признал недействительной регистрацию электронно-цифровой подписи, выданной Федеральным государственным бюджетным образовательным учреждением высшего образования “Томский государственный университет систем управления и радиоэлектроники”.

Удивительное решение, суд по факту принял решение об аннулировании сертификата без единой ссылки на нормы 63-ФЗ, в тексте Федеральный закон "Об электронной подписи" вообще не упоминается.

P.S. Аккредитация данного удостоверяющего центра была приостановлена в соответствии с актом проверки от 07.05.2021

Ещё один "солидный" УЦ или для чего «Национальный Центр Информатизации» из Республики Татарстан проводит закупку на оказание услуг по созданию удостоверяющего центра?

Из технического задания, "Подготовительные мероприятия к аккредитации УЦ:
- Комплексный анализ действующего законодательства, составление на его основе перечня документов, необходимых для получения ООО «НЦИ» государственной аккредитации (Минцифра).
- Экспертиза имеющихся у ООО «НЦИ» корпоративных документов, документов по основной деятельности, кадровых и бухгалтерских документов, при необходимости подготовка предложений по их доработке в целях обеспечения соответствия требованиям законодательства в части получения государственной аккредитации (Минцифра).
Комплексный анализ действующего законодательства должен показать, что решения об аккредитации УЦ принимает соответствующая Правительственная комиссия, а не Минцифры России.

ООО с уставным капиталом 600 млн. руб может рассчитывать на государственную аккредитацию, только при наличии не менее чем в 3/4 субъектов РФ одного или более филиала или представительства.

ФГБУ «НМИЦ им. В.А. Алмазова» Минздрава России был заключен контракт на оказание услуг УЦ по изготовлению квалифицированных сертификатов для работы в медицинской информационно-аналитической системе.

Для обеспечения криптографических преобразований на рабочем месте пользователя должно использоваться свободно распространяемое на территории РФ сертифицированное СКЗИ, реализующее функции средства ЭП.

Информационная система УЦ должна предоставлять веб-интерфейс для взаимодействия ответственного сотрудника Заказчика с УЦ в процессе выполнения операций по управлению жизненным циклом СКПЭП.

Данная схема может быть рабочей только в том случае, если ФГБУ «НМИЦ им. В.А. Алмазова» Минздрава России будет наделено полномочиями по приему заявлений на выдачу сертификатов, а также вручению сертификатов от имени этого УЦ, т.е. полномочиями доверенного лица УЦ.

Новая редакция изменений в 476-ФЗ.

Также рассматривается внесение нормы, согласно которой к НПА, устанавливающим требования и предусмотренным Федеральным законом "Об электронной подписи" (в редакции настоящего Федерального закона), не применяются положения части 1 статьи 3 Федерального закона от 31.07.2020 № 247-ФЗ "Об обязательных требованиях в Российской Федерации" - положения НПА, устанавливающих обязательные требования, должны вступать в силу либо с 1 марта, либо с 1 сентября соответствующего года, но не ранее чем по истечении девяноста дней после дня официального опубликования соответствующего нормативного правового акта, если иное не установлено федеральным законом, Указом Президента РФ или международным договором РФ, предусматривающими установление обязательных требований.

КРИПТО-ПРО размещена запись вебинара "Эволюция электронной подписи на смартфоне. Варианты реализации в соответствии с законодательством", и файл с вопросами и ответами, звучавшими на вебинаре.

В Международный день защиты информации наш канал хотел бы напомнить всем участникам электронного взаимодействия, осуществляющих подписание усиленной ЭП, про их основные обязанности:

- обеспечивать конфиденциальность ключей ЭП

- уведомлять УЦ и иных участников электронного взаимодействия о нарушении конфиденциальности ключа ЭП в течение не более чем одного рабочего дня со дня получения информации о таком нарушении

- не использовать ключ ЭП при наличии оснований полагать, что конфиденциальность данного ключа нарушена

- использовать сертифицированные средства ЭП

#минцифры #ауц #аккредитация #реестр #укэп #всёпроэдо

Подписан и опубликован приказ Минцифры от 02.11.2021 № 1134 «Об утверждении Порядка передачи реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи и иной информации в федеральный орган исполнительной власти, уполномоченный в сфере использования электронной подписи, в случае прекращения деятельности аккредитованного удостоверяющего центра».

Он заменяет аналогичный приказ от 14.08.2017 № 416.

Приказ вступает в силу с 1 марта 2022 года и действует до 1 марта 2028 года.

Приказ № 416 с 1 марта признается утратившим силу.

Приказ Минцифры России от 08.11.2021 № 1138 "Об утверждении Порядка формирования и ведения реестров выданных аккредитованными удостоверяющими центрами квалифицированных сертификатов ключей проверки электронной подписи, а также предоставления информации из таких реестров, включая требования к формату предоставления такой информации"
(Зарегистрирован 30.11.2021 № 66117)

Федеральным казначейством согласован проект федерального закона «О внесении изменений в статью 3 Федерального закона № 476-ФЗ «О внесение изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля», который предусматривает перенос норм в части необходимости применения доверенностей в электронной форме в машиночитаемом виде с 01.01.2022 на 01.03.2022, и который будет рассмотрен во втором чтении. Касаемо государственных и муниципальный органов это абзац двадцать первый пункта 14 статьи 1 Федерального закона от 27.12.2019 № 476-ФЗ. Таким образом, в случае его принятия, два первых месяца 2022 года подписание электронных документов электронной подписью лицами организаций, которые не являются их руководителями, будет осуществляться в прежнем режиме.

Подарок от Минцифры для безопасников на вчерашний праздник. «Для служебного пользования» - не пометка, а гриф ограничения доступа

Именно данное ведомство подготовило и разместило для общественного обсуждения проект постановления Правительства РФ "Об утверждении Положения о порядке обращения с документами для служебного пользования", отменяющее знаменитое ПП 1233 от 3 ноября 1994 г.

Несмотря на то, что документ для служебного пользования может быть представлен как в форме электронного документа, про использование электронной подписи не говорится ничего (1994 год похоже продолжается, до появления 1-ФЗ "Об ЭЦП" тогда оставалось ещё 6 лет 2 мес).