Как затранёт пользователей переход на новый ГОСТ?
Введение новых стандартов на криптографические алгоритмы –
это неизбежный процесс, связанный со многими факторами, в частности, с
повышением производительности компьютеров и исследованиями уязвимостей
имеющихся алгоритмов. Новые криптографические стандарты вводились неоднократно
и в мировой практике.
В России уже имеется опыт перехода на новые алгоритмы
электронной цифровой подписи, когда ГОСТ Р 34.10-94 заменялся на новый ГОСТ Р
34.10-2001. В 2012 году были приняты новые стандарты на алгоритм электронной
подписи ГОСТ Р 34.10-2012 и алгоритм хэширования ГОСТ Р 34.11-2012.
https://www.youtube.com/watch?v=ytpress
Электронная подпись широко используется во множестве
информационных систем и приложений, поэтому простое «переключение» с одного
стандарта на другой попросту невозможно и необходимо длительное время как на
технические работы по переходу на новые алгоритмы, так и на организационные
процессы.
За переходный период должны быть внесены изменения и в
программный код систем, использующих алгоритмы подписи, разработаны и
сертифицированы новые средства криптографической защиты информации (СКЗИ),
запущены в эксплуатацию новые средства удостоверяющих центров.
Параметры этого переходного периода были определены в
документе ФСБ России «О порядке перехода к использованию новых стандартов ЭЦП и
функции хэширования». В соответствии с ним, использование старых алгоритмов
допускается вплоть до 31 декабря 2018 года.
На первый взгляд, времени много, однако на начало 2017 года
заметных внедрений новых стандартов нет и времени на переход осталось очень
мало. Поскольку типичный срок действия квалифицированного сертификата
составляет 1 год, то с 1 января 2018 года пользователи уже должны иметь все
возможности для использования новых алгоритмов. То есть на переход осталось
меньше года.
Второй этап, в течении которого конечным пользователям
(клиентам банков, юридическим лицам, сдающим отчетность и участвующим в
электронных торгах и т.п.) должны быть заменены СКЗИ, ключи подписи,
сертификаты и прикладное ПО представляется еще более интересным. Если
количество УЦ, включая аккредитованные и банковские, не превышает 1000, то
количество конечных пользователей средств электронной подписи исчисляется
миллионами.
Следует учитывать, что ключи и сертификаты электронной
подписи не существуют сами по себе. Чтобы их использовать, нужны средства ЭП и
носители ключевой информации. К средствам электронной подписи и ключевым
носителям относятся, например, USB-токены.
В связи с предстоящим переходом на ГОСТ Р 34.10-2012 некоторые Удостоверяющие Центры начали записывать своим пользователям два сертификата Электронной подписи (ЭП) по ГОСТ-2001 и ГОСТ-2012.
Соответственно для многих появился вопрос, как различить эти Сертификаты? Мы предлагаем следующий простой вариант различать сертификаты.
в ГОСТ–2001 года указан «Головной удостоверяющий центр»
в ГОСТ–2012 года указан «Минкомсвязи России»
Чтобы просмотреть корневые сертификаты, воспользуйтесь следующей инструкцией:
- Откройте Крипто Про CSP:
Перейдите на вкладку “Сервис” и нажмите на кнопку “Просмотреть сертификаты в контейнере.
- Нажмите “Обзор” и выберите сертификат. Запомните имя сертификата
- Нажмите на кнопку “Свойства” и перейдите на вкладку “Путь сертификации”.
https://www.youtube.com/watch?v=ytadvertise
Если у вас указан корневой сертификат «Головной удостоверяющий центр» – это ГОСТ-2001.Если у вас указан корневой сертификат «Минкомсвязи России» – это ГОСТ-2012.
Согласно письму ФСБ России №149/7/6-363 от 07.09.2018, которое указано в «Уведомлении об организации перехода на использование схемы электронной подписи по ГОСТ Р 34.10-2012» Минкомсвязи России, процесс формирования и проверки ЭП по ГОСТ Р 34.10-2001 был продлен до 31.12.2019.
По причине технических ограничений в средствах криптографической защиты информации «КриптоПро CSP» (далее – СКЗИ), ЭП, соответствующие ГОСТ Р 34.10-2001, будут блокироваться после 31.12.2018.
Поэтому до 01.01.2019 необходимо внести изменения в настройки СКЗИ для обеспечения их корректной работы с помощью специальной утилиты.
Для удобства пользователей предыдущих версий КриптоПро CSP (до новейшей 4.0 R4), которые планируют продолжать работать в 2019 году с ключами ГОСТ Р 34.10-2001, был сделан инструмент для Windows, позволяющий за один вызов снять технические запреты.
УЦ и банки под прицелом
Давайте попробуем разобраться и оценить объемы работ,
которые должны быть завершены к концу 2017 года.
Переход на новые стандарты коснется, в первую очередь,
аккредитованных удостоверяющих центров, банков, операторов систем электронного
документооборота, электронных торговых площадок, но что гораздо более масштабно
– миллионов их пользователей, которым надо будет заменить СКЗИ, ключи и
сертификаты.
Чтобы выдавать абонентам соответствующие новым требованиям
СКЗИ, поставщикам услуг и разработчикам информационных систем необходимо
заранее задуматься о покупке оборудования и приведении прикладного программного
обеспечения в соответствие новым стандартам.
Процесс перехода на новые стандарты можно разделить на два
больших этапа: обновление средств удостоверяющего центра (УЦ) и замена ключей
ЭП. Весь этот процесс необходимо правильно спланировать, чтобы не попасть в
авральный режим замены ЭП и не подвергнуть непрерывность бизнес-процессов
клиентов риску остановки.
Этап, связанный с переходом УЦ на новые стандарты, по оценке
компании «Крипто-ПРО», ориентировочно займет 7 месяцев (см. рисунок). Его нужно
завершить до 31 декабря 2017 года, соответственно стартовать он должен не
позднее июня 2017 года. Примерно 2 месяца потребуется на закупку нового
программно-аппаратного комплекса УЦ, еще 2 месяца – на его развертывание и
тестирование.
https://www.youtube.com/watch?v=https:accounts.google.comServiceLogin
31 декабря 2017 года получается «красным днем календаря»,
чтобы с начала 2018 года УЦ уже могли выпускать сертификаты в том виде, в каком
они смогут быть использованы в 2019 году в соответствии с новым стандартом. По
сути остается один год, а не два, как может показаться, для перехода на новые
правила.
Этот график описывает, если можно так сказать, идеальный
случай, когда нет конкуренции за ресурсы поставщиков программно-аппаратных
комплексов УЦ, например, когда требуются услуги команды внедренцев. Учитывая,
что на начало 2017 года количество аккредитованных при Минкомсвязи
удостоверяющих центров приближается к 450, «идеальный» случай маловероятен.
Если в компании один участник (учредитель) тогда Решение о крупной сделке оформляется Решением Единственного участника Общества. Такой вариант оформления проще чем решение нескольких учредителей, поскольку вместо собрания участников общества, решение о крупной сделки принимает один единственный учредитель.
В Решении единственного учредителя об одобрении крупной сделки следует указать паспортные данные единственного участника общества, и озвучить принятое решение придерживаясь формулировки:«Одобрить и совершать по результатам открытых аукционов в электронной форме сделки от имени Общества с ограниченной ответственностью “Ромашка”».
Также рекомендуется вторым решением прописать, что учредитель подтверждает полномочия своего Генерального директора на участие в электронных торгах. Даже если сам Учредитель является Директором рекомендуется данный пункт прописывать в Решении о максимальной сумме сделки.
В конце Решения единственного участника должна быть его подпись, печать компании и дата принятия решения.
Если в Вашей компании несколько учредителей, то Решение об одобрении крупной сделки должно приниматься учредителями на общем собрании. По результатам собрания должен быть оформлен Протокол, в котором будут зафиксированы все вопросы, которые обсуждались на собрании и Решения, принятые по результатам проведенного общего собрания.
С 01.09.2014 в Гражданский Кодекс РФ были внесены поправки касательно способа подтверждения решений, принятых на общих собраниях акционерных общества.
пункт 3 статьи 67.1 ГК РФ
Конечно, никому не хочется заверять решение о максимальной сумме сделки нотариально, поэтому при проведении общего собрания участников по вопросу одобрения максимальной суммы сделок, нужно не забыть и внести в повестку дня ещё один важный вопрос: «Выбор способа подтверждения принятого решения и состава участников общества согласно п. 3 ст. 67.1 ГК РФ».
Наличие в повестке собрания данного вопроса лишает нас необходимости нотариального заверения Протокола Общего собрания.
Для ТОП-50 банков
https://www.youtube.com/watch?v=ytcreators
Количество пользователей систем ДБО – 830 тыс. организаций и
ИП.
Давайте оценим количество токенов для ДБО, подлежащих
замене, в масштабе банковской системы РФ. Учитывая, что на ТОП-50 банков
приходится более половины от числа всех активных юридических лиц в стране, то
количество пользователей систем ДБО – около 1,5 млн юридических лиц и ИП.
Количество носителей ЭП, находящихся в обращении – около 3–3,2 млн ед. из
расчета по 2 подписи на каждое юридическое лицо.
Для плавного перехода на новые стандарты нужно решение,
которое потребует минимальных затрат и будет поддерживать новые российские
криптографические стандарты. Это аппаратное средство электронной подписи
Рутокен ЭЦП 2.0 с реализацией ГОСТ Р 34.10-2012 и ГОСТ Р 34.11-2012. Рутокен
ЭЦП 2.0 сертифицирован ФСБ России в качестве СКЗИ с аппаратной реализацией
алгоритмов ЭП, хэширования и шифрования и средства ЭП, соответствующего
требованиям 63-ФЗ «Об электронной подписи».
С учетом таких впечатляющих цифр время на внедрение ЭП по новому
ГОСТ не кажется таким уж большим. Поэтому часть банков заранее начала переход
на новый стандарт. Уже более 200 российских банков используют Рутокен ЭЦП 2.0
для защиты платежных операций своих клиентов.
Кроме времени, не последним фактором является финансовый.
Проще говоря, каждый выдаваемый сейчас пользователю ДБО токен, не
соответствующий новому ГОСТ, придется заменять, а это неизбежно потребует
затрат. Поэтому чем позже начать проект, тем дороже он в итоге получится.
Уважаемые господа банкиры могут произвести эти несложные расчеты
самостоятельно.
Таким образом, оперативный перевод в ближайшее время
конечных пользователей на Рутокен ЭЦП 2.0 гарантирует банкам существенную
экономию средств при замене старых СКЗИ. При проектировании новых
информационных систем и при реализации долгосрочных проектов необходимо
использовать СКЗИ, соответствующие новым стандартам, замена которых в ближайшем
будущем не потребуется.
Какие формулировки должны быть в Решении об одобрении максимальной суммы сделки?
У нас должно быть два вопроса:
- Выбор способа подтверждения принятого решения и состава участников общества согласно п. 3 ст. 67.1 ГК РФ;
- Одобрение и совершение по результатам электронных аукционов сделок.
Теперь нужно определиться какие формулировки должны быть у принятых решений по вышеназванным вопросам.
По первому вопросу решение должно звучать так:В соответствии с пунктом 3 статьи 67.1 Гражданского кодекса РФ принятие общим собранием участников Общества решения и состав участников Общества, присутствовавших при его принятии, подтверждается путем подписания протокола всеми участниками общества.
По второму вопросу решение должно звучать так:Одобрить и совершать по результатам электронных аукционов сделки от имени Общества с ограниченной ответственностью “Ромашка”. Максимальная сумма одной такой сделки не должна превышать 500 000 000 ( пятьсот миллионов ) рублей.
Что такое Российский аукционный дом?
https://www.youtube.com/watch?v=ytcopyright
Торговая площадка Российский аукционный дом (сокращенно РАД) была основана в 2009 году, одним из учредителей является Сбербанк. Начиная с 2010 года РАД являлся официальным продавцом Федерального имущества Российской Федерации, что определённо способствовало получению статуса Федеральной торговой площадке.
