📃 Счетная палата проверила исполнение бюджетов в Минцифры России и Роскомнадзоре.

Проверка Минцифры России выявила:
Недостаточный контроль за достижением юридическими лицами результатов предоставления им бюджетных инвестиций
Нарушение порядка и условий предоставления субсидий
Нарушение порядка формирования государственных заданий
Нарушение требований законодательства в сфере закупок

Также, проверка показала, что АО «Почта России» не обеспечило в установленный срок (31 декабря 2024 года) модернизацию 773 отделений почтовой связи. Фактически на 1 января 2025 года было модернизировано только 680 отделений.

Проверка: https://ach.gov.ru/checks/grbs-2024-mintsifry

Проверка Роскомнадзора выявила ряд нарушений и недостатков, допущенных Службой при:
Проведении инвентаризации активов и обязательств
Утверждении госзадания и ведомственной программы цифровой трансформации

Также обнаружены недостатки организации ведомственного контроля за соблюдением законодательства о контрактной системе в отношении подведомственных заказчиков – территориальных органов Роскомнадзора.

Проверка: https://ach.gov.ru/checks/grbs-2024-roskomnadzor

О ГИС Доверенная третья сторона

Постановлением Правительства от 31.07.2025 № 1139 утверждено положение о государственной информационной системе "Доверенная третья сторона национального сегмента Российской Федерации интегрированной информационной системы Евразийского экономического союза"

Национальный мессенджер не самостоятельное средство электронной подписи, а замена страницы Госуслуг

Взглянем ещё раз, что написано в статье 1 "Многофункциональный сервис обмена информацией" 156-ФЗ про функционал электронной подписи:

3. При реализации функций многофункционального сервиса обмена информацией по обмену информацией при взаимодействии с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, с использованием многофункционального сервиса обмена информацией может осуществляться в том числе:
....

2) подписание документов с использованием усиленной квалифицированной электронной подписи или усиленной неквалифицированной электронной подписи, сертификат ключа проверки которых создан и используется в инфраструктуре, указанной в настоящей части, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки таких электронных подписей, и при условии организации взаимодействия физического лица с указанной в настоящей части инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;

10. Возможность подписания документов с использованием усиленной квалифицированной электронной подписи или усиленной неквалифицированной электронной подписи, сертификат ключа проверки которых создан и используется в инфраструктуре, обеспечивающей информационно-технологическое взаимодействие информационных систем, используемых для предоставления государственных и муниципальных услуг и исполнения государственных и муниципальных функций в электронной форме, в установленном Правительством Российской Федерации порядке, предусматривающем в том числе порядок проверки таких электронных подписей, и при условии организации взаимодействия физического лица с указанной инфраструктурой с применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации, юридическими лицами, индивидуальными предпринимателями, физическими лицами реализуется только с применением многофункционального сервиса обмена информацией, за исключением случаев, если такое подписание необходимо для реализации полномочий государственных органов.

Что из этого важно - интеграция с инфраструктурой, обеспечивающей информационно-технологическое взаимодействие информационных систем, т.е. со СМЭВ. Как быстро компания, которая самостоятельно не может купить межсетевой экран и ноутбуки закупит криптошлюзы и подключится к СМЭВ?
Интегрироваться с Госключом можно через СМЭВ или API, API отпадает, закон говорит про СМЭВ. Как быстро можно пройти данный путь интеграции?

Далее, "может осуществляться" и "только с применением". Не кажется ли это уже противоречием?
Далее выражения - "с использованием", "с применением" т.е. по факту это не сам функционал электронной подписи, а всего лишь прослойка, замена точки входа, например, страницы Госуслуг.
Уже сейчас по закону, т.к. норма выступила в силу, отлагательного характера не было, эту точку входа должны использовать юридические лица, индивидуальные предприниматели, физические лица, за исключением случаев, если такое подписание необходимо для реализации полномочий государственных органов.

Как ответили мне коллеги - рискованно что-то прогнозировать, а вдруг сбудется.
Но я попробую, в 2025 году:
- минимум 3 ФЗ внесут изменения в 63-ФЗ
- количество УЦ увеличится, но не более, чем на 2 шт.
- обновится Единый формат МЧД
- произойдёт интеграция Единого реестра и ЦПРР
- госы начнут переход на КриптоПро 5.0
- по итогам 2025 года квалифицированных сертификатов будет выдано меньше, чем в 2024
- требования к "облачной подписи" утверждены не будут
- проект Цифрового кодекса будет разработан, но до Госдумы не дойдёт

31 декабря 2024 я дал свой небольшой прогноз на 2025 год, какие промежуточные итоги можно сейчас подвести:
✅ два федеральных закона 94-ФЗ, 304-ФЗ уже внесли изменения в 63-ФЗ, на очереди антифрод-пакет и НУЦ
✅ аккредитованных УЦ уже +2 - 46 шт., в начале года было 44 шт.
✅ проект приказа, требующий внесение изменений в Единый формат МЧД прошел общественное обсуждение
❌ по интеграции информация есть, работы нет, Минцифры не видит необходимости
✅ процесс перехода госов на 5.0 запущен, первый этап пройден, подробнее в отдельном посте
✅ по итогам 6 месяцев количество выданных сертификатов меньше прошлого года
❌ "что мертво умереть не может"
❌ Цифровой кодекс покрылся пылью

Прогноз на 2022 ещё не весь выполнен...

Доверие камень точит

Статья в Коммерсантъ о том, как идет цифровизация информационного обмена в ЕАЭС по результатам утверждения положений о ДТС и интеграционном шлюзе национального сегмента Российской Федерации интегрированной информационной системы Евразийского экономического союза.

Что хочется отметить, признание электронной подписи в рамках Евразийского экономического союза и в рамках соглашения с Республикой Беларусь, два параллельных процесса.

Кто-нибудь видит электронную подпись? А она есть.
Источник

Сдача отчётности в Росстат с МЧД

🔹Росстат с 1 августа 2025 года включил проверку на наличие машиночитаемых доверенностей при предоставлении первичных статистических данных для всех респондентов, если конечно подписант не руководитель организации.
🔹 в Системе сбора отчетности используется единая форма машиночитаемой доверенности в формате 003 (EMCHD_1)
🔹 необходимо использовать полномочие «Предоставление статистической отчетности в органы государственной статистики». CODE: ROSSTAT_STAT_001, MNEMONIC STAT_001
🔹МЧД должна быть предварительно загружена в Единое блокчейн хранилище машиночитаемых доверенностей (распределенный реестр) ФНС России

А есть ли жизнь после ГОСТ 28147-89?

7 лет назад на РусКрипто ещё не было сессий с гостайной, но был доклад насчёт ГОСТов шифрования, старых и новых.

В презентации было отмечено,

объявлен 5-летний переходный период, по истечении которого использование криптографических механизмов, удовлетворяющих ГОСТ 28147-89, на которые не распространяется действие заключения, в случаях, подлежащих регулированию со стороны ФСБ России, не допускается

данный срок прошел прошлым летом.

Вопрос этот поднял, т.к. в чате канала переодически поднимаются вопросы перехода со старого ГОСТ, а официальной информации нет. Товарищ полтора года назад ещё спрашивал, откуда дата 1 июня 2024 года. Переход на ГОСТы 2012 года электронной подписи и хэширования помнят все УЦ, но с шифрованием переход получается в "тихом" режиме.

👀 ФСБ выдвинула VK список претензий к мессенджеру MAX — пока их не устранят, его не подключат к госуслугам

Российский национальный мессенджер MAX, который, по замыслу властей, должен заменить россиянам WhatsApp, не готов заработать на полную. По мнению ФСБ, MAX пока нельзя подключить к госуслугам из-за риска утечек персональных данных россиян.

На одном из последних заседаний президиума Правительственной комиссии по цифровому развитию обсуждалось подключение мессенджера MAX к Единой системе идентификации и аутентификации (ЕСИА) — сервису, через который граждане авторизуются на порталах госуслуг и ряда других органов власти. Об этом говорится в сопроводительных документах к совещанию, с которыми мы ознакомились.

❗️По итогам заседания ФСБ представила обширный список замечаний и требований, из-за которых MAX пока не может получить доступ к промышленной версии ЕСИА, рассказали два источника на российском IT-рынке, знакомых с документом, и подтвердил собеседник, близкий к VK.

По словам одного из собеседников, претензии ФСБ расписаны на несколько страниц и включают требования о создании модели угроз, обеспечивающей защищённость персональных данных пользователей, а также о заключении договоров с лицензиатами Федеральной службы по техническому и экспортному контролю и ФСБ для проведения аудита.

Кроме того, мессенджеру необходимо обеспечить внедрение средств криптографической защиты информации определённого класса, сертифицированных ФСБ, для организации защищенного канала связи с ЕСИА.

Другой источник отметил, что сам факт формирования требований ему известен, и он считает их логичными — они касаются большинства интегрированных систем, подключаемых к ЕСИА. «Например, если в какую-то систему передаются персональные данные из ЕСИА — в случае, если они утекут, это станет проблемой госуслуг. Поэтому, в зависимости от того, куда и к каким данным [в ЕСИА] подключаешься — есть свои требования по информационной безопасности. MAX смотрится суперчувствительно, поэтому там запрос вплоть до анализа и предоставления исходных кодов на проверку», — пояснил он.

Источник, близкий к VK, подтвердил, что заседание правкомиссии прошло недавно, и что «большую часть претензий удастся закрыть». По его словам, претензии силовиков разделяет и профильный вице-премьер Дмитрий Григоренко, курирующий проект нацмессенджера: он тревожится о возможных утечках информации из Госуслуг, если в MAX обнаружатся «дыры», и возможном росте мошенничества с использованием Госуслуг после подключения MAX.

🪲Тем временем, данные портала по поиску уязвимостей в ПО Bug Bounty свидетельствуют, что только за последний месяц в MAX нашли несколько критических уязвимостей. 1 июля мессенджер объявил о подключении к публичной программе VK по поиску багов. За это время компания выплатила 223 410 рублей по двум отчетам багхантеров. В описании программы сказано, что вознаграждения выплачиваются только за ранее неизвестные «дыры», а в шкале вознаграждений указано, что оплачиваются только уязвимости критического уровня.

Ранее сенатор Ольга Епифанова сообщила, что MAX интегрируют с Госуслугами только в октябре-ноябре. В пресс-службе MAX от официальных комментариев отказались.
_____

О планах создать в России национальный мессенджер, интегрированный с госуслугами, стало известно лишь в июне. Тогда же в срочном порядке был принят специальный закон. Власти хотят «пересадить» россиян с иностранных сервисов на госмессенджер и сделать из MAX аналог многофункционального китайского сервиса WeChat. Поэтому подключение MAX к госуслугам – ключевая для него функция. Неготовность MAX стать более привлекательной заменой WhatsApp в теории может отсрочить его вероятную блокировку в России.

Этот пост написан в коллаборации с одной из лучших российских политических журналисток, Фаридой Рустамовой @faridaily24 – подписывайтесь на ее канал.

Приглашаем в новый экспертный канал: Подписано КриптоКлючом

У нас появился новый Telegram-канал. Здесь мы вместе с коллегами из STCrypt будем рассказывать о нашем совместном продукте — мобильном приложении КриптоКлюч, а также делиться полезной информацией из мира электронной подписи.

Подписывайтесь, чтобы быть в курсе: Подписано КриптоКлючом.

❌Вирус в ЭДО

В настоящее время ряд клиентов одного оператора ЭДО
получили следующее сообщение:

Добрый вечер!

Сейчас в *** архивом распространяется червь (экзешник с вирусом). Называется "архив. zip" или "июль 2025 - копия.rtf. zip"
Как работает вирус:
Пользователь отправляет архив своим контрагентам, те его открывают и запускается экзешник. Сразу после открытия экзешник начинает распространяться также архивом по контрагентам получателя и так до бесконечности.
Мы заблокировали отправку неформализованных документов у наших клиентов.

Рекомендуем проверить свои системы на возникновение подобных проблем.

Получение сертификатов только онлайн по биометрии - сертификаты ЭЦП в Казахстане

С 11 августа 2025 года в Казахстане изменится порядок получения сертификатов.
Получить новые сертификаты можно будет только онлайн через порталы egov.kz или pki.gov.kz — без визита в МФЦ ЦОН. 

🔹 Как получить дистанционно? 
1. Подайть заявку на egov.kz или pki.gov.kz. 
2. Пройте биометрическую идентификацию — система распознает через камеру. 
3. Получите сертификат ЭЦП, если верификация прошла успешно. 

🔹Если биометрия не сработала? 
Есть 5 попыток для онлайн-идентификации. Если все неудачны — система откроет возможность подачи заявки через ЦОН, но только при личном визите с документами. 

❌ Без попыток онлайн-идентификации подать заявку в ЦОН не получится. 
💻 Для тех, у кого нет интернета, доступны зоны самообслуживания в ЦОН — там можно пройти биометрию и получить сертификат ЭЦП без оператора. 

🔹 Для чего это реализовано?   Исключение получения сертификатов третьими лицами.

📊 Сначала 2025 года 92,25% сертификатов ЭЦП получены онлайн, и лишь 7,75% — через ЦОН.

https://www.gov.kz/memleket/entities/mdai/press/news/details/1046382

Казахстан последовательно формирует правила использования электронной подписи в своей стране.