OFD24 | ККТ, Маркировка, ЕГАИС, Меркурий, Честный ЗНАК, ДМДК, СБП, ЦТО, ОФД, 1С
18.3K subscribers
745 photos
97 videos
233 files
2.24K links
Купить рекламу: https://telega.in/c/ofd24
Наш чат: @ofd24chat, по всем вопросам: @ad024
О чём пишем: маркировка, ККТ, ЕГАИС, налоги, проверки бизнеса и тд.

Мы в реестре РКН: https://clck.ru/3FGBxB
Download Telegram
PKI-Форум 2021, день второй (продолжение)

На круглом столе «Вопросы PKI в IoT» в рамках PKI-Форума эксперты обсудили актуальные вопросы: как развивать PKI для IoT, нужны ли новые стандарты, необходимы ли изменения в требованиях регуляторов и в НПА в целом.

Актуальность темы обусловлена тем, что только в России до 2025 года прогнозируется двукратный рост числа IoT/M2M устройств, подключенных к тем или иным облачным и корпоративным системам управления – до 50 млн. Растет необходимость обеспечения этих устройств и инфраструктур эффективными технологиями информационной безопасности. 

«Применение PKI в Интернете вещей – тема интересная. Вендоры постепенно отходят от рынка только классического PKI, ищут новые ниши. И мне кажется, что рынок Интернета вещей может стать именно такой перспективной нишей», – заметил в начале дискуссии Дмитрий Гусев, заместитель генерального директора компании «ИнфоТеКС».

«Под Интернетом вещей можно понимать многое. В таких устройствах, как смартфоны, можно применять существующие технологии. Нам же сейчас интереснее говорить о более проблемных устройствах», – начала соруководитель рабочей группы ТК26 «Криптографические механизмы для индустриальных систем», АО «ИнфоТеКС», Ольга Шемякина.

Продолжают развиваться протоколы передачи данных с низким энергопотреблением и широким радиусом действия. Этих протоколов достаточно много: LoRa, UNB, XNB, NB-Fi, NB-IoT. Помимо большого разнообразия, их особенности – небольшие объемы передачи данных, большая часть из них не основана на TCP/IP, часть из них чувствительна к задержкам. В то же времени на них распространяются традиционные требования к конфиденциальности, целостности и аутентификации. 

Криптографические алгоритмы, таким образом, должны быть быстрыми, с низким энергопотреблением, иметь минимальный набор алгоритмов и небольшое количество добавленных байтов. Протоколы их защиты должны быть независимы от протоколов транспортного и канального уровней. Среди новых разработок были названы CV-сертификаты, сертификаты платежных систем. Спикер отметила, что сегодня в России нет форматов сертификатов ЭП, подходящих для M2M и IoT/IIoT. Также практически нет протоколов защищенного взаимодействия при использовании сертификатов. 

#pkiforum #эп #форум #минцифры #фсб #уц
@ofd24
PKI-Форум 2021, день второй (продолжение)

Павел Смирнов, директор по развитию компании «КРИПТО-ПРО», поделился реальными сценариями применения IoT для получения телеметрии: это классические датчики, бортовые устройства на транспорте, различные счетчики. Такие решения характеризуются односторонней передачей данных, необходимостью обеспечения целостности, иногда – конфиденциальности. 

Проблемы в данной сфере связаны с жизненным циклом датчика (зарубежное производство, ограниченные возможности ТО, невозможность дистанционного обновления ключей) и его возможностями (ограниченные вычислительные ресурсы при потенциально большом объеме собираемой информации). Таким образом эти проблемы могут привести к невозможности применения здесь классических PKI. Предлагается несколько решений этой проблемы: распределенное формирование подписи, схема управления симметричными ключами DUKPT, хэш-код будущего ключа в сертификате. Спикер отметил реальные сценарии применения IoT-систем на транспорте: электронная пломба при перевозке груза, экстренный вызов с автомобиля, страховая телематика с автомобиля.

«В первую очередь нам нужно объединить физический датчик с неким механизмом, который будет его идентифицировать. При этом необходимо «намертво приклеить» идентификатор к объекту идентификации. И здесь мы переходим от математики в физический мир. Не стоит также забывать, что на датчики воздействует множество физических, природных процессов», – начал Владимир Иванов, директор по развитию компании «Актив». Начиная работу с сертификатами, необходимо понимать, что разработанное решение должно охватывать миллиарды субъектов IoT. Например, необходимо построить PKI, способный быстро обслуживать беспрецедентное количество запросов, загружать и поддерживать списки отозванных сертификатов. Ожидается огромная нагрузка на сети передачи данных и онлайн-сервисы. «PKI в принципе применим к Интернету вещей, но в разумных пределах. Например, если в систему включены некие граничные устройства», – резюмировал спикер.

Генеральный директор компании «Аладдин Р.Д.» Сергей Груздев в докладе «Российская элементная база и криптография для обеспечения доверия и безопасности IoT-устройств для объектов КИИ» обратил внимание на то, что требования, которые сегодня прописываются в конкурсной документации (в том числе «продвинутые», с подключением ИБ-компаний), категорически недостаточны для безопасности IoT-устройств и создаваемой инфраструктуры.  

Большинство современных IoT-устройств построены на базе микропроцессорной архитектуры ARM. Практически все ARM-процессоры и контроллеры выпускаются с закрытой TrustZone, которая может скрытно и необнаруживаемо выполнять шпионские функции. В то же время процессоры без TrustZone небезопасны и уязвимы. В качестве слагаемых безопасности IoT-устройств названы выбор правильной элементной базы, концепция Secure by Design, использование модуля доверенной загрузки, исполнение только доверенного кода, безопасность кода и возможность безопасного дистанционного обновления прошивки, встроенная Secure OS, изолирование критически важных приложений от «гостевой» ОС, «полицейский режим» для некоторых устройств, однозначная идентификация и взаимная строгая аутентификация IoT-устройств и хоста, защищенный канал передачи команд и данных, защищенное хранилище данных, безопасное дистанционное администрирование, централизованное управление жизненным циклом. Для реализации всех этих задач и нужен PKI. Без доверенной российской элементной базы выполнить все эти условия невозможно.

#pkiforum #эп #форум #минцифры #фсб #уц
@ofd24
ФСБ_ИНН.pdf
181.9 KB
Официальный ответ ФСБ России на запрос одного из УЦ по вопросу включения в сертификаты УКЭП ИНН.

Двум ИНН быть?

#укэп #фсб #инн #фсб31 #фсб795
@ofd24
УВЕДОМЛЕНИЕ ОБ УТВЕРЖДЕНИИ ТРЕБОВАНИЙ К ШИФРОВАЛЬНЫМ (КРИПТОГРАФИЧЕСКИМ) СРЕДСТВАМ ЗАЩИТЫ ФИСКАЛЬНЫХ ДАННЫХ

30 декабря 2021 года утверждены «Требования к шифровальным (криптографическим) средствам защиты фискальных данных (Требования к СКЗФД)».

Для получения указанного документа необходимо направлять заявку в 8 Центр ФСБ России, с предоставлением копии лицензии на соответствующий вид деятельности.

#фсб #офд #скзфд #фн
@ofd24
ФСБ России может получить доступ к базам данных агрегаторов такси — законопроект

ФСБ России может получить доступ к базам данных агрегаторов такси, а самозанятым, то есть физическим лицам, возможно, разрешат работать водителями такси. Соответствующий законопроект в Госдуму внесло правительство РФ.

Законопроект «Об организации перевозок пассажиров и багажа легковым такси» внесен в Государственную Думу РФ. Авторам законопроекта выступило правительство РФ, следует из данных в системе обеспечения законодательной деятельности.

Документ предполагает наделение ФСБ России правом доступа к базам данных агрегаторов такси, к которым относится, например, сервис «Яндекса».

Агрегаторы будут обязаны предоставить ФСБ доступ к базам данных обработки и передачи заказов, говорится в документе.

Кроме того, законопроектом предполагается разрешить самозанятым гражданам, то есть физическим лицам, работать водителями в агрегаторах такси. На данный момент этим могут заниматься только юридические лица, в том числе индивидуальные предприниматели.

#нпа #фсб #агрегатор #такси #яндекс #самозанятые #смз #данные
@ofd24
IMEI совесть: ФСБ предлагает создать в России базу заводских кодов телефонов

Минцифры по рекомендации ФСБ готовится к разработке единой базы кодов IMEI, присваиваемых мобильным телефонам. Спецслужбы, по данным источников “Ъ”, выступают за создание такого реестра для «повышения эффективности оперативно-разыскных мероприятий».

Подведомственный Минцифры НИИ изучал возможность создания базы IMEI, еще когда с ее помощью предлагалось бороться с незаконным ввозом техники. Теперь параллельный импорт узаконен, а новый реестр позволит силовикам связывать устройство с его конкретным владельцем, полагают эксперты.

Федеральная служба безопасности (ФСБ) порекомендовала Минцифры разработать прототип централизованной базы IMEI-кодов мобильных устройств и подготовить нормативно-правовые акты, которые позволили бы внедрить ее, рассказали “Ъ” два источника в правительстве.

По их словам, необходимость базы ФСБ объясняется желанием «повысить эффективность проведения оперативно-разыскных мероприятий», а также необходимостью «пресекать противоправные действия с использованием мобильных телефонов».

Идея регистрации телефонов в базе IMEI обсуждается в России с 2010-х годов, в разное время ее высказывали МВД, Минкомсвязь (предшественник Минцифры) и члены Совета федерации.

Последние в 2019–2020 годах обсуждали законопроект, предполагающий платную регистрацию телефонов импортерами или гражданами, купившими устройства за рубежом. Предполагалось, что базу IMEI будет вести Центральный научно-исследовательский институт связи (ЦНИИС).

ЦНИИС подчинялся расформированной в 2020 году Россвязи, позднее перешел под ведомство Минцифры и с апреля 2021 года присоединен к НИИ радио. Институт продолжает исследования в области IMEI-кодов «в инициативном порядке», сообщил “Ъ” заместитель гендиректора ЦНИИС по науке Алексей Захаров. По его словам, проведенный в 2019 году пилотный проект показал, что можно реализовать систему, при которой телефоны, чьи IMEI-коды не включены в базу, не получали бы доступа к сетям:

«Тестировались отечественные программные продукты и разработка ЦНИИС на основе базы данных перенесенных номеров, так что все готово для работы в условиях санкций».

Раньше создание базы IMEI продвигалось в том числе как средство борьбы с незаконным импортом телефонов.

В 2022 году, после остановки официальных поставок из-за военных действий на Украине, в России был узаконен параллельный импорт телефонов популярных марок. Президент АКИТ Артем Соколов уточнил “Ъ”, что инициатива 2018 года касалась гаджетов, ввезенных в обход таможни: «Параллельный импорт будет проходить через таможню, и его можно отслеживать и вносить в базу».

За годы, когда идея блокировать ворованные телефоны по IMEI обсуждалась в России, она потеряла актуальность, так как современные аппараты на iOS и Android можно блокировать через интернет, считает гендиректор Telecom Daily Денис Кусков. Впрочем, уточняет он, у кнопочных телефонов таких средств защиты нет. Интерес к идее со стороны силовых структур, по мнению эксперта, заключается в том, «чтобы четко ассоциировать телефон и сим-карту с его владельцем: как бы ни старалось правительство, сим-карты до сих пор можно приобрести с рук без паспорта».

Производители и продавцы устройств поддержат инициативу о создании базы IMEI-кодов, «если упор будет сделан на борьбу с воровством телефонов у конечных пользователей и на возможность удаленно заблокировать аппарат», сообщили в Ассоциации торговых компаний и товаропроизводителей электробытовой и компьютерной техники РАТЭК (объединяет Apple, Google, Samsung, Dell, «М.Видео»). По словам ее представителя Антона Гускова, по IMEI можно блокировать даже те телефоны, в которых не включена системная возможность удаленного управления.

#imei #телефон #фсб #минцифры
@ofd24
ФСБ требует от бухгалтеров лицензию для сдачи отчетов. Иначе – штраф

Бухгалтеры, которые сдают отчеты клиентов по ТКС и подписывают их своей электронной подписью, должны иметь лицензию ФСБ.

Об этом говорится в письме ФСБ от 23.06.2022 № С-2133.

Подробности в статье на Клерке.

#фсб #эдо #отчетность #скзи
@ofd24
КриптоПро разработала и сертифицировала платежный HSM (КриптоПро HSM 2.0 R3 с платежным модулем) - полноценную замену продуктов компании Thales, фактически, мирового монополиста ушедшего из России, чьи HSMы сейчас обеспечивают безопасность большинства безналичных платежей в России и в мире.

Теперь можно абсолютно легально использовать КриптоПро HSM 2.0 R3 для замены HSM Thales payShield 9000/10k в платежной системе "Мир".

В соответствии с Положениями Банка России (п. 2.20 382-П и п.5.5 719-П) для обеспечения безопасности и бесперебойности функционирования платежной системы "Мир" участникам ее информационной инфраструктуры (НСПК, банкам и процессинговым центрам) до 1 января 2024 года необходимо перейти на использование сертифицированных ФСБ HSMов.

#криптопро #hsm #платежи #фсб #thales
@ofd24
ФСБ предложила обязать сервисы хранить данные о геолокации пользователей

Федеральная служба безопасности предложила обязать организаторов распространения информации в интернете хранить данные о геолокации и средствах платежей пользователей, следует из проекта постановления правительства, подготовленного ФСБ.

Изменения вносятся в правила хранения данных организаторами распространения информации в интернете, которые были утверждены в 2020 году.

Реестр организаторов распространения информации существует с 2014 года, его ведет Роскомнадзор.

Как отмечает ведомство, сейчас сведения о геолокации пользователей и средствах производимых ими платежей напрямую в правила не внесены. При этом данные, относящиеся к таковым, по сути в правилах упоминаются, а также уже хранятся и обрабатываются, отметили в ФСБ.

«Отсутствие нормативно закрепленной обязанности по обеспечению хранения и предоставления органам федеральной службы безопасности указанной категории сведений формирует неоднозначную правоприменительную практику, снижает эффективность оперативно-разыскной деятельности, негативно сказывается на обеспечении безопасности Российской Федерации», — поясняют в ведомстве.

В VK и «Яндексе» отказались от комментариев. РБК направил запросы в HeadHunter и 2ГИС.
Представитель сервиса «Мамба» посоветовал подождать, «пока закон обретет окончательные формулировки» и вступит в силу.

«Но по сути, данные о геолокациях пользователей предоставляются платформами Apple и Google, при условии, что пользователь дал согласие.

Кроме того, эти данные легко подделываются даже неискушенным пользователем с помощью таких программ, как Fake GPS», — сказал он.

Платежи пользователей также регулируются на разных уровнях, в том числе банками.

«Мамба» же, как и другие сервисы, не является платежной системой и хранит лишь данные об оказании той или иной услуги. Дублирование этих данных — проблематично и нецелесообразно», — добавил представитель сервиса.

В 2018 году в России вступил в силу «закон Яровой», согласно которому компании, внесенные в реестр организаторов распространения информации, должны хранить данные о звонках и сообщениях пользователей на протяжении шести месяцев, а также по запросу предоставлять ФСБ и другим уполномоченным органам данные о действиях пользователей, включая содержание переписок. Невыполнение этих требований грозит блокировкой.

#фсб #ркн #сервис #геолокация #контроль
@ofd24
Изменены требования к форме квалифицированного сертификата электронной подписи

ФСБ России утвердила новые требования к форме квалифицированного сертификата ключа проверки электронной подписи.

Соответствующий приказ от 02.02.2024 № 50 опубликован на официальном интернет-портале правовой информации.

Действующие требования к форме квалифицированного сертификата ключа проверки электронной подписи утверждены приказом от 27.12.2011 № 795.

В минувшем году Федеральный закон от 04.08.2023 № 457-ФЗ внес изменения в ст.17 закона об электронной подписи (от 06.04.2011 № 63-ФЗ). Новые нормы дополнили перечень информации, которую должны содержать квалифицированные сертификаты, сведениями о сроке действия ключа электронной подписи, соответствующего уникальному ключу проверки электронной подписи, указанному в данном квалифицированном сертификате.

При этом реализация аккредитованными удостоверяющими центрами указанного требования без использования единого подхода к размещению дополнительной информации в квалифицированных сертификатах, по мнению ФСБ России, приведет к существенному усложнению либо невозможности электронного взаимодействия между владельцами сертификатов, выданных различными аккредитованными удостоверяющими центрами.

В связи с этим ФСБ России утвердила поправки, которые предусматривают введение дополнительного поля квалифицированного сертификата ключа проверки электронной подписи, содержащего информацию о сроке действия ключа электронной подписи.

Также Федеральный закон от 04.08.2023 № 457-ФЗ уточнил перечень сведений, необходимых к включению в квалифицированные сертификаты, содержащие указание на филиал, представительство иностранного юридического лица, и в квалифицированные сертификаты, содержащие указание на лицо, замещающее государственные должности.

Для соблюдения новых требований приказ содержит:

-общий вид квалифицированного сертификата на бумажном носителе для владельца – лица, замещающего государственные должности РФ, государственные должности субъектов РФ, должностного лица государственных органов, органов местного самоуправления, их подведомственных учреждений;

-общий вид квалифицированного сертификата на бумажном носителе для владельца – филиала (представительства) иностранного юридического лица.

Новые требования вступят в силу с 1 сентября 2024 года.

#фсб #сертификат #укэп #приказ795
@ofd24
Media is too big
VIEW IN TELEGRAM
Пресечена незаконная схема ухода от налогов с использованием ККТ

Сотрудниками УФНС России по г. Москве совместно с УФСБ по Москве и Московской области и ОЭБ и ПК УВД по ВАО ГУ МВД России по г. Москве пресечена незаконная схема ухода от налогов в потребительском секторе с использованием ККТ.

Подробности в программе "Человек и закон" от 10.05.2024.

#ккт #криминал #фсб #фнс #мвд
@ofd24