Процедуру выдачи электронной подписи и требования к удостоверяющим центрам ужесточили

    image

    Несколько недель назад на Хабре публиковалась новость о том, как ни о чем не подозревающий владелец квартиры, оплачивая коммунальные платежи, увидел на счете чужую фамилию. Как оказалось, его недвижимость переоформили на другого человека, воспользовавшись уязвимостью в процедуре выдачи электронной подписи. Лишь в октябре ему удалось вернуть собственную квартиру.

    После этого случая последовал ряд разбирательств, в ходе которых выяснилось, что с выдачей электронной подписи не все в порядке — во многих случаях вместо владельца ее могут получить мошенники.

    Было зарегистрировано несколько способов мошенничества:

    • Незаконные действия через центры сертификации РФ, в том числе оформление документов без участия гражданина. Выявлены случаи массовой фальсификации ЭЦП путём повторного использования удостоверяющим центром электронной подписи клиента.
    • Дистанционный выпуск квалифицированного сертификата без личного контакта заявителя и сотрудника регистрационного отдела удостоверяющего центра. В этом случае оформление электронной подписи производится на основании документов заявителя, представленных центру сертификации через интернет. По мнению специалистов правовой системы «Гарант», в этом случае «IT-функции в деятельности УЦ преобладают над его юридической сущностью», а электронная подпись может быть использована недобросовестными третьими лицами.

    Сейчас Госдума приняла в первом чтении законопроект об ужесточении требований к удостоверяющим центрам электронной подписи.

    Выдавать такие подписи юридическим лицам теперь могут лишь ФНС и Центробанк, а государственным структурам — Федеральное казначейство. Документ разработали сенаторы и депутаты, в нем, кроме прочих предложений, есть план проведения реформы удостоверяющих центров электронной подписи.

    Что касается последней, то она не является новинкой, закон «Об электронной подписи» вступил в силу еще в 2011 году. Тогда было введено три вида подписей — простая, усиленная и квалифицированная. Простая подпись — любая технология, об использовании которой договорились стороны. Усиленная подпись — та, что выдана удостоверяющим центром. Ну а квалифицированная подпись — та, что выдана аккредитованным удостоверяющим центром. Аккредитацией при этом занимается Минкомсвязи. Эта подпись признается аналогом собственноручной.

    В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.

    Срок аккредитации удостоверяющих центров сокращен с 5 до 3 лет. За нарушения в работе таких центров предусмотрена административная ответственность. За умышленные действия сотрудников удостоверяющих центров, кроме административной, вводится еще и уголовная ответственность. Но на этом новые требования не заканчиваются. Так, юридические лица могут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федеральной налоговой службы. Дополнительно планируется использовать квалифицированные электронные подписи лиц, которые уполномочены действовать от лица соответствующих юридических лиц. Такой механизм будет задействован при заключении сделок.

    Что касается кредитных организаций, некредитных финансовых организаий и платежных систем, то в их случае планируется использовать квалифицированные электронные подписи, которые выдаются удостоверяющим центром Центробанка. Государственные организации смогут использовать лишь квалифицированные электронные подписи, которые выданы удостоверяющим центром Федерального казначейства.

    Получается, что государство ввело собственную монополию на выдачу электронных подписей юридическим лицам. В том случае, если законопроект будет принят, то он вступит в силу через два года. Правительство заявило о поддержке законопроекта.

    Вместе с ним в Государственную думу был внесен еще один законопроект об электронной подписи — автором его стала сенатор Людмила Бокова. Во втором документе многое повторялось, но вот требований для юридических лиц и кредитных организаций относительно получения электронных подписей лишь в удостоверяющих центрах ФНС и Центробанка в нем не было.

    Второй документ был более либеральным, поскольку в нем говорилось, что ФНС имеет право отзывать сертификаты электронных подписей юридических лиц, а Центробанк — отзывать сертификаты электронных подписей кредитных организаций. Но вот Комитет Госдумы по финансовым рынкам подсчитал, что он не соответствует требованиям Конституции, так что документ вернули разработчикам.

    В принятом законопроекте предлагается использовать облачную электронную подпись. С этой целью удостоверяющие центры получают возможность хранить ключи проверки электронных подписей, по поручению владельцев с их помощью будут создавать электронные подписи.

    Плюс ко всему, вводится понятие доверенной стороны, которая получит право проверять подлинность электронной подписи в электронных документах в конкретный момент и проверять подлинность электронных подписей, которые были выданы за границей. Доверенные третьи лица должны будут проходить аккредитацию в Минкомсвязи.
    Share post
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 23

      +2
      Я, пожалуй, дам ссылку на законопроект: sozd.duma.gov.ru/bill/747528-7
        +2
        ААААА-А-А-А-А! Только облачной электронной подписи нам и не хватает.
          0
          Мало нам утечек перс данных из банков, утечки подписей из облачного хранилища будут намного веселее.
            0
            На портале nalog.ru уже есть возможность физ. лицу получить облачную подпись
              0

              На портале nalog.ru уже есть возможность физ. лицу получить облачную подпись любого другого физ. лица.


              /страшилка.

              0
              Ещё она обязательно должна быть как-нибудь на блокчейне.
                0
                Облачный нано блокчейн в массы.
                  0

                  Внезапно, блокчейн в этом месте адски уместен. Не обязательно делать его распределённым, просто все транзакции по добавлению подписей публичны и ссылаются на предыдущие транзакции (как в гите), так, что подделать подпись "в середине" невозможно.

                    0
                    Да зачем это всё? Клиент должен сам сгенерить пару ключей и внести публичный в реестр. А то мало того, что приватный ключ хранится не у тебя, так придумали его ещё и в облаке хранить! А в свете последних сообщениях о банковских сливах — так вообще за эти подписи страшно становится.
                0

                Почти все существующие УЦ не пройдут через такой отсев, клиентов у них резко убавится. Юр.лица пойдут в ФНС и ЦБ.
                Что физикам остаётся, где получить ЭП если она нужна для гос.услуг и др.?

                  0

                  Когда то было в Ростелекоме.

                    0
                    МФЦ?
                    +4
                    Как всегда — через афедрон
                    Вместо того, чтоб сделать простую верификацию CSR через те-же Госуслуги — делают очередную дуристику
                      +1
                      Т.е. никакого единого реестра выданных/отозванных ЭП не будет, оповещения (допустим через госуслуги) о выпуске ЭП не будет и оперативно отследить, что на тебя выпустили 100500 ЭП опять будет невозможно?
                        0
                        Это, возможно, будет в подзаконных актах, определяющих порядок аккредитации УЦ. В законопроекте есть вот такое: «Аккредитованный удостоверяющий центр обязан осуществить присоединение информационной системы, обеспечивающей реализацию функций аккредитованного удостоверяющего центра (далее — присоединение аккредитованного удостоверяющего центра), к информационно-технологической и коммуникационной инфраструктуре в порядке, установленном в соответствии с частью 4 статьи 19 Федерального закона от 27 июля 2010 года № 210-ФЗ «Об организации предоставления государственных и
                        муниципальных услуг» (далее — инфраструктура)».
                        +1
                        В законопроекте увеличивается минимальный размер чистых активов аккредитованного удостоверяющего центра. Увеличение очень серьезное — с 7 млн руб. сумма поднята до 1 млрд. Минимальный размер финансового обеспечения поднят с 30 млн рублей до 200 млн рублей. Ну и если у удостоверяющего центра есть филиалы в минимум двух третях российских регионов, то минимальный размер чистых активов может быть сокращен до 500 млн рублей.

                        Это же приведёт к закрытию небольших УЦ в регионах и увеличению стоимости услуг.
                        Как на это смотрит ФАС?

                          +3
                          А что фас. Есть государственные функции которые нельзя возлагать на палатки с Ашотами с рынка.
                          +3
                          потому что подход кривой изначально. Правильно в идеале — когда ты сам генеришь пару ключей, и публичный, и только его, сдаешь в реестр. А когда твой приватный ключ хранится у дяди в облаке, это не твой ключ
                            0
                            Это другая проблема (и если приложить некоторые усилия, то и сейчас можно получить сертификат для самостоятельно сгенерированного приватного ключа, и эту возможность никто не отбирает).
                            Этот законопроект направлен на то, чтобы закрыть лазейку с безответственными УЦ, позволяющими мошеннику получить сертификат на чужое имя (и при этом не важно, кто будет генерировать приватный ключ, мошенник или УЦ).
                              0
                              В 2012 году именно писал об этом, тогда это только только начиналось.

                                0
                                С точки зрения безопасности в периодической смене ключа смысл есть. Так же как нет смысла в хранении приватного ключа где-либо кроме себя)
                              0

                              Как я понимаю, эта времянка будет использоваться до массового ввода электронных паспортов. Ибо дальнейшее развитие отдельных ЭЦП выглядит сомнительно.

                                0

                                Это моё предположение

                              Only users with full accounts can post comments. Log in, please.