Обзор изменений в законодательстве ИТ и ИБ за май 2025 года / Comments / Habr

На основании Вашего огромного опыта, можете привести пример нарушения "Использование несертифицированных ИС, баз и банков данных, а также несертифицированных СрЗИ, если они подлежат обязательной сертификации (за исключением СрЗИ, составляющей государственную тайну)" именно для граждан?

USSC Jun 27 at 05:10

В настоящее время нет действующей судебной практики по данному вопросу. Для правильной квалификации деяния должны быть установлены нормативные акты, закрепляющие требование обязательной сертификации информационных систем, баз и банков данных, средств защиты информации, используемых в определенных целях.

Например, в соответствии с п.8 Порядка представления налоговой декларации в электронном виде по телекоммуникационным каналам связи представление налоговой декларации в электронном виде допускается при обязательном использовании сертифицированных средств электронной подписи. При нарушении гражданином данного требования, он может быть привлечен к административной ответственности по ч.2 ст.13.12 КоАП РФ.

Shaman_RSHU Jun 27 at 10:17

Очень некорректно составлен "Порядок" с технической точки зрения и вот почему (итого, привлечь будет невозможно):

Если я подпишу налоговую декларацию ЭП, сформированной не по крипто-алгоритмам ГОСТ, то документ автоматически не будет принят. Т.е. декларацию я не предоставил, привлекать не за что.
В самой ЭП отсутствует информация, каким средством она подписана. Вернее не так: там есть один объектный идентификатор, в который с технической точки зрения мне никто не ограничивает написать всё что угодно, хоть КРиптоПро CSP, хоть ViPNet CSP. Получается, что тут тоже ничего не доказать. Да и сформированная таким образом ЭП не примется (см. пункт 1).

А вот теперь давайте обратим внимание на "по телекоммуникационным каналам связи " - это Интернет. Мы же сдаем декларацию через www.nalog.ru. Давайте посмотрим в сертификат веб-сервера. И что же мы видим?

Ай яй яй, как же так? Налоговая сама не использует сертифицированные СКЗИ при обеспечении передачи по телекоммуникационным каналам (HTTPs соединение)?

Вот и объясните мне, почему одним можно, а другим нет? Конечно это сообщение сарказм - я прекрасно понимаю, что в этой вселенной наши гос. органы никогда не смогут внедрить везде сертифицированные СКЗИ по своим нормативным документам.