26 июня 2018

Подключив специалистов юридической сферы, редакция Единого портала Электронной подписи подготовила статью, в которой разъясняется вопрос сертификации токенов. Обязательно ли использовать сертифицированные носители? Какие токены рекомендуют профессионалы рынка?

В рубрику «Вопрос эксперту» на портале iEcp.ru неоднократно поступали обращения с просьбой разъяснить: обязательно или нет использовать сертифицированные токены для записи ключей электронной подписи? В каких законодательных актах это отражено? Что подразумевают под собой процедуры сертификации, проводимые Федеральной службой безопасности и Федеральной службой по техническому и экспортному контролю?

Обязательно ли всегда использовать сертифицированные токены?

Дискуссии по этому вопросу возникали в интернете на различных тематических форумах и в живом общении специалистов сферы электронного взаимодействия. Пресекая дальнейшие споры, сообщаем, что в ФЗ-63 «Об электронной подписи» прямого указания на обязательность использования сертифицированных носителей для ключа электронной подписи нет. Казалось бы, это и есть ответ на вопрос, но не все так просто.

Что такое сертификация ФСБ и ФСТЭК?

Сертификат ФСТЭК — это документ, который подтверждает, что программное обеспечение токена не имеет «недекларированных возможностей*», а устройство может применяться в качестве средства защиты данных от несанкционированного доступа, а также для хранения информации (например, ключевых контейнеров**) и аутентификации***.

*»Недекларированные возможности» (закладки) — это функциональные возможности технических устройств и/или программного обеспечения, не описанные в документации, использование которых может повлечь негативные для пользователя последствия, связанные с утечкой или нарушением целостности и доступности данных.

**Ключевой контейнер — это директория (объект в файловой системе, упрощающий организацию элементов), в которой хранится набор файлов с ключевой информацией.

***Аутентификация — это процедура проверки подлинности, в данном случае это определение действительно ли пользователь является тем, за кого себя выдает.

Сертификат ФСБ — это документ, который подтверждает, что характеристики токена позволяют безопасно генерировать ключи, подписывать документы электронной подписью и проверять уже поставленную ЭП, а также шифровать информацию, другими словами, использовать токен в качестве СКЗИ (средства криптографической защиты информации) без приобретения дополнительного ПО.

Токен может иметь как один сертификат, который позволит ему решать одну задачу, так и оба.

Когда обязательно использовать сертифицированные токены?

На текущий момент регулирование обязательного применения токенов представлено в разных законодательных актах и никак не отражено в «главном» федеральном законе об ЭП (ФЗ-63 «Об электронной подписи» от 06.04.2011 года).

Основные правила, когда обязательно использовать сертифицированные токены:

1 — носитель будет использоваться не только в качестве места записи и хранения ключей электронной подписи, но и в качестве средства электронной подписи для создания квалифицированной ЭП (КЭП) без приобретения отдельного СКЗИ — согласно ФЗ-63 для создания и проверки КЭП необходимо использовать исключительно соответствующие требованиям, указанным в законе, средства ЭП, а подтверждение соответствия требованиям осуществляется ФСБ России (63-ФЗ, ст.8 ч.5), соответственно, необходим сертификат ФСБ,

2 — планируется участие в электронных аукционах, проводимых федеральными ЭТП — в соответствии с Регламентом получения сертификатов ключей подписей и использования электронной цифровой подписи (Приложение №1, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ,

3 — электронная подпись предназначена для участия в электронных аукционах на площадках, входящих в АЭТП — исходя из Регламента авторизации электронных торговых площадок в информационной среде НКО «Ассоциация Электронных Торговых Площадок» (Приложения №6, п. 3, пп. 3.1.) необходим сертификат ФСТЭК или ФСБ,

Справочно:

список ЭТП, авторизованных НКО «Ассоциация Электронных Торговых Площадок», доступен на Едином портале Электронной подписи в разделе «Электронные торговые площадки».

4 — ЭП планируется использовать участниками внешнеэкономической деятельности и лицами, осуществляющими деятельность в сфере таможенного дела, для информационного взаимодействия с таможенными органами Российской Федерации и при условии, что носитель предоставляется удостоверяющему центру самим заявителем — в соответствии с Приказом Федеральной таможенной службы №2187 от 25.10.2011 года (IV.15) необходим сертификат ФСТЭК или ФСБ,

5 — данное требование прописано в Регламенте информационной системы или прочих нормативных документах, регулирующих взаимодействие с ней. На текущий момент огромное количество ИС предоставляют возможность взаимодействовать с ними посредством электронной подписи. К сожалению, единых правил использования токенов в них законодательно не закреплено, и регламенты разрабатываются в индивидуальном порядке в зависимости от требований к безопасности информационного обмена, от технических и прочих особенностей каждой конкретной системы. Важно помнить, что применение сертифицированных токенов никогда не будет нарушением, в отличие от несертифицированных носителей, возможность использования которых должна быть обозначена в Регламенте. В качестве примера приводим 2 информационные системы:

5.1. — носитель планируется использовать для работы с ЕГАИС — в соответствии с Требованиями к аппаратному крипто-ключу, размещенными на сайте Федеральной службы по регулированию алкогольного рынка wiki.egais.ru, для подключения к указанной системе требуется обязательное использование ключевых носителей со встроенным СКЗИ, а значит, согласно первому правилу, необходим сертификат ФСБ,

5.2. — при взаимодействии с ФГИС Росаккредитация — в соответствии с Порядком получения доступа к информационным ресурсам Федеральной государственной информационной системы Федеральной службы по аккредитации, которые представлены на сайте fsa.gov.ru, необходим сертификат ФСТЭК или ФСБ, дополнительно рекомендован сертификат ФСБ.

Когда можно использовать несертифицированные токены?

Использование несертифицированных токенов допускается в случаях, не попадающих под правила, перечисленные выше, но владельцу электронной подписи важно понимать риски:

• несертифицированный ФСТЭК токен (или тем более «флешка») не защищен от закладок, по вине которых может быть скомпрометирована электронная подпись и потерян контроль над данными (утечка информации, нарушение ее целостности и доступности); последствия попадания электронной подписи в руки злоумышленников не нуждаются в дополнительных комментариях;
• несертифицированные токены могут быть не разрешены к использованию при взаимодействии с конкретной информационной системой (перед приобретением носителя нужно внимательно изучить Регламент и прочие требования ИС);
• через несертифицированный носитель возможно проведение атаки на информационную систему, для доступа к которой он используется.

Таким образом, в ряде случаев, не попадающих под перечисленные выше правила, владельцы электронной подписи должны самостоятельно взвесить риски и принять решение, какие носители ЭП им использовать.

Текущая ситуация на рынке электронной подписи

Разбираться в законодательных требованиях и нормативах должны специалисты удостоверяющих центров, на которых возложена ответственность за выпуск сертификатов ЭП на соответствующих требованиям носителях.

К сожалению, некоторые удостоверяющие центры (УЦ) в погоне за клиентом предлагают более дешевые несертифицированные токены даже в тех случаях, когда нормативно закреплено использование сертифицированных. Призываем получателей электронной подписи быть внимательными.

Мнение редакции iEcp.ru

Обращаем внимание читателей на то, что даже сертифицированные носители не могут обеспечить 100% защиты, но могут существенно снизить риск ее компрометации.

Редакция Единого портала Электронной подписи не настаивает на повсеместном использовании именно сертифицированных токенов, но настоятельно рекомендует не пренебрегать собственной безопасностью и финансовой состоятельностью.

Рекомендации для владельцев электронной подписи помимо использования сертифицированных токенов:

• устанавливать пользовательские пароли, которые будут известны только Вам — это обезопасит от физического хищения электронной подписи;
• поддерживать информационную грамотность (собственную и подчиненных) на должном уровне, другими словами, нужно как минимум соблюдать общеизвестные меры безопасности при использовании компьютера и интернета: не читать спам-письма, не переходить по подозрительным ссылкам и не скачивать неизвестные программы и файлы — это поможет защитить компьютер пользователя от внедрения мошенника и, как следствие, спасти подписываемые файлы от подмены.

Приобрести токены можно по .
У Вас еще остались вопросы? Задайте их нашим экспертам.

Статья подготовлена редакцией Единого портала Электронной подписи. При полном или частичном использовании материала активная, индексируемая гиперссылка на данную страницу обязательна.

Представьте, что вы решили приобрести себе новый телефон. Пусть это будет тот же iPhone. Вы открываете поисковую систему, пишите фразу для поиска и вот перед вами список онлайн-магазинов. Вы заходите в каждый и читаете описание телефона. В одном из онлайн-магазинов видите фразу «РСТ». Что она означает?

Наличие данного обозначения говорит о том, что устройство, которое вы видите на мониторе своего компьютера, прошло сертификацию качества Ростест и получило необходимую маркировку. Если говорить простым языком, то техника с маркировкой РСТ является официально ввезенной продукцией в нашу страну производителем или, как в нашем случае, поставщиком.

Означает ли наличие аббревиатуры РСТ, что этот телефон окажется лучше, чем «серая» продукция без такой маркировки? Нет. Представьте, что вы купили iPhone в Финляндии и привезли его в Россию. Теперь возьмите iPhone РСТ и сравните их между собой. Видите разницу? Ее нельзя заметить глазами, потому как сами устройство не различаются (и там, и там есть поддержка русского языка), а вот разница в гарантии есть. Так, при гарантийном случае владельцы РСТ-устройств могут рассчитывать на гарантию производителя, а владельцы «серых» устройств — на гарантию поставщика или продавца.

Тогда в чем разница, спросите вы? Во-первых, разница в стоимости, так как трубки РСТ стоят дороже, хотя с некоторыми брендами бывают ровно обратные ситуации, когда РСТ-смартфон в России стоит даже дешевле, нежели если его заказывать в зарубежном интернет-магазине. Во-вторых, если мы говорим об iPhone, то устройство может быть залочено под конкретного оператора и просто так разлочить его вряд ли удастся.

Таким образом можно смело сказать, что «серые» телефоны не хуже РСТ, однако в некоторых случаях могут иметь минусы. Например, некоторые модели имеют русификацию только в официально поставляемых на территорию России устройствах. В любом случае, выбор между «серым» телефоном и РСТ ложится на плечи покупателя.

Что такое «серый» Айфон

Чтобы офииально продавать iPhone в России или любой другой стране мира, необходимо заключить контракт с Apple, оплатить таможенный сбор, пройти сертификацию и получить все разрешительные документы. Естественно, официальные дилеры, потратившие время и средства на прохождение этих обязательных процедур, учитывают при расчете цены свои и государственные интересы (например, величину НДС, которая равна в России 20% от стоимости). Это и есть «белый» iPhone, и найти его можно лишь у официальных дилеров (коими обычно являются крупные розничные сети, например, Связной, М.видео и т.д.), а также на официальном сайте Apple. Список «белых» реселлеров своего населенного пункта можно получить, перейдя по этой ссылке.

Однако далеко не каждая партия смартфонов стоит того, чтобы проходить все круги бюрократического ада и платить таможенные сборы. Провезти несколько (или несколько десятков) iPhone через границу из близлежащих европейских или азиатских стран не составляет труда для многих желающих заработать, а конечная цена такого устройства для покупателя обычно на 20% (плюс-минус) ниже рыночной.

Важно понимать, что речь идет об абсолютно новых оригинальных смартфонах производства Apple. О том, как определить китайскую подделку мы подробно рассказывали , а о подержанных iPhone, продающихся под видом восстановленных – . Также в этой статье не будет упоминаний о мошенниках, продающих через объявления iPhone 5s под видом iPhone SE, разлоченные аппараты в запечатанной упаковке и т.д.

Другими словами,

«Серый» iPhone – это обыкновенный новый оригинальный смартфон компании Apple, но который не проходил процедуру сертификации для страны, в которую он ввезен после продажи. Обычно «серые» iPhone завозятся и продаются с нарушением налогового законодательства (контрабандно). Кроме того, при использовании iPhone в «неродном» регионе (не в стране, для которой он был выпущен), возможны некоторые ограничения, описанные ниже.

♥ ПО ТЕМЕ: Эквалайзер: добавляем басы (низкие частоты) при прослушивании музыки на iPhone и iPad.

Сертификация продукции в России: порядок сертификации качества

Сертификация продукции в России: какие сертификаты необходимо оформить для отечественной продукции и ввоза зарубежных товаров на территорию Российской Федерации.
Сертификация продукции в России проводится на соответствие установленным стандартам качества, а итоговыми документами служат: сертификат соответствия, декларации о соответствии, свидетельство о государственной регистрации и пожарный сертификат. Определить какой из документов необходимо получить можно по номенклатуре товаров, подлежащих обязательному подтверждению соответствия в РФ.
Нужно отметить, что сертификация продукции в России необходима не только для реализации, но и для целей таможенного оформления. Если продукция подлежит сертификации, декларированию или государственной регистрации, то необходимо получить соответствующий документ, который передается таможенным органам.
О порядке сертификации импортной продукции можно прочитать в разделе Импортеру
О процедуре сертификации отечественных товаров подробнее в разделе Производителю

Порядок получения

Для получения необходимо прислать по электронной почте заполненное заявление и реквизиты.

• Заявка
• Реквизиты компании заявителя
• Описание изделия (при необходимости)

В некоторых случаях дополнительно нужно предоставить описание (состав, область применения, фото изделия), чтобы корректно идентифицировать продукт, а также точного определить коды классификации.
После предоставления информации, заявителю высылается макет, только после согласования и утверждения всех данных, оформляется оригинал. Сканированная копия в электронном виде высылается сразу по готовности, а оригинал высылается почтой России, либо можно получить у нас в офисе: Москва, ул. Николоямская, дом 29, стр. 1