25 Февраля 2026 12:03 25 Фев 2026 12:03 |

Поделиться

Депутаты узаконили выдачу национальных сертификатов безопасности владельцам сайтов и разработчикам ПО

Законопроект о Национальном удостоверяющем центре

В рамках второго пакета законодательных инициатив, направленных на борьбу с мошенничеством в сфере ИКТ, предполагается внести поправки в Закон «Об электронной подписи».

Данный пакет законопроекта был разработан Правительством и принят Госдумой в первом чтении. В частности, в закон вводится понятие Национального удостоверяющего центра (НУЦ).

Согласно законопроекту, Сертификат безопасности НУЦ - это структурированная информация, созданная с использованием ГИС (государственной информационной системы) НУЦ, включающая в себя сведения об информационной системе, о сайте в сети интернет, о разработчике программы для ЭВМ или об участнике электронного взаимодействий в корпоративной информационной системе (КИС), ключ аутентификации таких субъектов и иные параметры безопасности, с использованием которых обеспечиваются их аутентификация с использованием сертификата безопасности НУЦ и организация защищенного взаимодействия с ними и подтверждение владения информационной системой, сайтом или подтверждение целостности и подлинности происхождения программ разработчикам для ЭВМ.

Аутентификаця информационной системы, сайта, разработчика программы для ЭВМ и участника электронного взаимодействия в КИС, проведенная с использованием сертификата безопасности НУЦ - это совокупность мероприятий по проверке принадлежности указанным субъектам созданного для них ключа идентификации посредством использования ключа аутентификации данных субъектов, указанного в сертификате безопасности НУЦ в рамках проведения аутентификации с использованием сертификата безопасности НУЦ, в результате которых указанные субъекты считаются установленными.

Ключ идентификации информационной системы, сайта в интернете, разработчика программ для ЭВМ или участника электронного взаимодействия в КИС - это уникальная последовательность символов, идентифицирующая данные субъекты и используемая при проведении их аутентификации с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия с ними и при подтверждении владения указанных субъектами с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия.

Ключ аутентификации информационной системы, сайта в сети интернет, разработчика программы для ЭВМ и участника электронного взаимодействия в КИС - это уникальная последовательность символов, однозначно связанная с ключом идентификации указанных субъектов и предназначенная для использования при проведении аутентификации данных субъектов с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия с ними и при подтверждения владения сайтом или информационной системы или при подтверждение целостности и подлинности происхождения программ разработчика или используемая при проведении аутентификации участника электронного взаимодействия в корпоративной информационной системе с использованием сертификата безопасности НУЦ и организации защищенного взаимодействия с ним.

Государственная информационная система Национального удостоверяющего центра

Оператор информационной системы, владелец сайта в сети интернет, разработчик программ для ЭВМ, участник электронного взаимодействия в корпоративной информационной системе, получившие сертификат безопасности НУЦ, обязаны: обеспечивать конфиденциальность ключа идентификации соответствующего субъекта; уведомлять оператора ГИС НУЦ о нарушении конфиденциальности ключа идентификации соответствующего субъекта в течение не более чем одного рабочего дня; обеспечить незамедлительное уничтожение ключа идентификации соответствующего субъекта по истечении срока действия ключа.

Сертификат безопасности НУЦ используется для обеспечения устойчивого и защищенного взаимодействия с информационной системой и сайтом, их аутентификации и подтверждения владения ими, а также для подтверждения целостности и подлинности происхождения программы для ЭВМ или проведения аутентификации участника электронного взаимодействия в корпоративной информационной среде и организации защищенного взаимодействия с таким участником. Создание, выдача и прекращение действия сертификата безопасности НУЦ осуществляется с использованием ГИС НУЦ.

Положение о ГИС НУЦ утверждается Правительством по согласованию с ФСБ (Федеральная служба безопасности) и ФСТЭК (Федеральная служба технологического и экспортному контроля), оператор ГИС НУЦ назначается Правительством по согласованию с ФСБ.

Андрей Телюков, TData: Самый сложный барьер при переходе на отечественные аналитические платформы — дефицит ресурсов Цифровизация

ГИС НУЦ включает в себя две подсистемы. Одна из них используется для создания сертификатов безопасности НУЦ с применением российских криптографических алгоритмов и средств ГИС НУЦ , соответствующих требованиям ФСБ. Другая подсистема используется для создания сертификатов безопасности НУЦ с использованием иных алгоритмов и средств ГИС НУЦ., соответствующих требованиям ФСБ.

Посредством ГИС НУЦ осуществляется создание, выдача и прекращение действий сертификатов НУЦ, которые: используются для проведения аутентификации информационной системы и сайта в сети интернет и организации защищенного взаимодействия между ними; содержат информацию о владении информационной системой и сайтом в сети интернет и используемых для проведения их аутентификации и подтверждения владения ими и организации защищенного взаимодействиями с такими сайтами и системами; содержит сведения о разработчике программ для ЭВМ и используемых для подтверждения целостности и подлинности происхождения таких программ; используются для проведения аутентификации участников электронного взаимодействия в КИС и организации защищенного взаимодействия с ними. Также с помощью ГИС НУЦ можно создавать сертификаты, предназначенные для создания на их основе вышесказанных сертификатов ГИС НУЦ.

Требования к сертификатам безопасности НУЦ, используемым для проведения аутентификации участников электронного взаимодействия в КИС и организации защищенного взаимодействия с ними, порядку создания, выдачи и прекращения действий таких сертификатов. а также требования к проведению аутентификации информационной системы, сайта, разработчика программы для ЭВМ, участника электронного взаимодействия в КИС и организации защищенного взаимодействия между ними с использованием сертификатов безопасности НУЦ устанавливаются Минцифры по согласованию с ФСБ и ФСТЭК.

Аналогичным образом будут установлены требования к порядку подтверждения владения информационной системой и сайтом и к порядку подтверждения целостности и подлинности происхождения программ для ЭВМ с использованием сертификата НУЦ.

Кто будет выдавать сертификаты безопасности Национального удостоверяющего центра

Сертификаты безопасности НУЦ создаются и выдаются оператором ГИС НУЦ на безвозмездной основе по запросу государственного органа или органа местного самоуправления, Центробанка, а также организаций, перечень которых установит Правительство. За создание и выдачу сертификатов безопасности НУЦ для иных органов оператором ГИС НУЦ может взиматься плата. предельный размер которой установит Правительство.

«Сбер» перешел на российское решение для анализа кода Импортонезависимость

Правительство по согласовании с ФСБ вправе наделить НКО (некоммерческую организацию) полномочиями по приему запросов на создание и прекращение действия сертификатов НУЦ, содержащих сведения о разработчике программ для ЭВМ, создаваемых на основании выделенного для нее ГИС НУЦ сертификата безопасности, предназначенного для создания других сертификатов безопасности, а также по выдаче указанных сертификатов безопасности НУЦ она основании соглашения с оператором ГИС НУЦ, Существенные условия данного соглашения будут определяться Минцифры.

Регистраторы доменов и хостинг-провайдеры, включенные в соответствующий реестр, на основании соглашения о взаимодействии с оператором ГИС НУЦ наделяются полномочиями по приему запросов о создании и выдаче сертификатов безопасности НУЦ, предназначенных для идентификации информационных систем и сайтов и их владельцев, а также запросов о прекращении действия таких сертификатов. Существенного соглашения данного соглашения установит Минцифры.

Обязанности для разработчиков веб-браузеров и средств криптографии

Разработчики и распространители сертфиицированнъх ФСБ средств криптографической защиты информации, используемые для доступа к информации на сайтах в сети интернет, обязаны при осуществлении указанной деятельности обеспечить предварительную установку и использование действующих сертификатов безопасности НУЦ, предназначенных для создания других сертификатов НУЦ и созданных с использованием подсистемы ГИС НУЦ для российских криптографических алгоритмов, с применением разработанных ими криптографических средств защиты информации.

Разработчики программ для ЭВМ, используемых для доступа к информации на сайтах в сети интернет (веб-браузеров), обязаны при осуществлении указанной деятельности обеспечить предварительную установку и использование действующих сертификатов безопасности НУЦ, предназначенных для создания других сертификатов НУЦ, созданных с использованием подсистемы ГИС НУЦ, предназначенной для работы с иными (не российскими) криптографическими алгоритмами, созданных с применением создаваемых или модернизируемых ими программ без ущерба для проведения аутентификации и организации защищенного взаимодействия, подтверждения целостности и подлинности происхождения программ, которые осуществляются в соответствии с международными стандартами.

Общение с гражданами с помощью сертификатов безопасности Национального удостоверяющего центра

Государственные органы, органы местного самоуправления, Центробанк, государственные и муниципальные унитарные предприятия, государственные и муниципальные учреждения, государственные и муниципальные учреждения при осуществлении взаимодействия в электронной форме, в том числе с юридическими и физическими лицами и индивидуальными предпринимателями, обязаны обеспечивать возможность осуществления такого взаимодействия в соответствии с национальными стандартами РФ в области криптографической защиты информации.

Правительство вправе установить случаи, в которых использование сертификата безопасности НУЦ для обеспечения устойчивого и защищенного взаимодействия с информационной системой, сайтом в сети интернет, проведения аутентификации таких информационных систем и сайта и подтверждения владения ими, а также подтверждения целостности и подлинности происхождения программы разработчика для ЭВМ или проведения аутентификации участников электронного взаимодействия в КИС и организации защищенного взаимодействия с ними является обязательным. В банковской и финансовой сфере указанные случаи согласовываются с Центробанком.

Замены в законопроекте

По мнению Правового управления Госдумы, необходимо уточнить понятия «подтверждение целостности и подлинности происхождения программ разработчика для ЭВМ» и как оно соотносится с понятием «аутентификации разработчика программы для ЭВМ», а также что понимается под «Национальным удостоверяющим центром».

Комитет Госдумы по информационной политике, ИТ и связи также обратил внимание, что законопроект не раскрывает сущность самого Национального удостоверяющего центра, его правовой статус, функции и обязанности. В связи этим предлагаемое законопроектом регулирование, основанное на применение таких терминов, как «сертификат НУЦ», «функции НУЦ», оператор ГИС НУЦ», не может быть в полной мере реализовано. Кроме ого, ряд предлагаемых законопроектом терминов, например, «подтверждение целостности и подлинности происхождения программ разработчика для ЭВМ» не определены российским законодательством и в законопроекте не раскрываются.

Мнение эксперта

«Криптография используется не только для подписания документов человеком в ЭДО (электронный документооборот), но и для безопасной работы сайтов (чтобы браузер не "ругался" на сайт) и подписи файлов установщиков программ (exe-файлов, чтобы Windows или MacOS или iOS или Android не ругались), - объясняет главный юрист продуктовой группы «Контур.Эгида» и StaffCop («СКБ Контур») Ольга Попова. - В 2022 г., после введения санкций в отношении банков, к их сайтам и приложениям пропало доверие, так как отозвали сертификаты сайтов/приложений. После этого Минцифры создало Национальный удостоверяющий центр с отечественными сертификатами для указанных целей. Правда, работают они только в отечественных браузерах и системах». НУЦ был создан на базе НИИ «Восход», подведомственного Минцифры.

«Если смотреть шире, это часть общей тенденции, - продолжает Попова. - Требования к информационной безопасности последовательно растут: от расширения контура аттестации информационных систем и вовлечённых подрядчиков до изменений в правилах электронной подписи и требований к сертификации безопасности самой инфраструктуры доверия. Логика инициативы прикладная: у пользователя и у рынка должен быть проверяемый признак того, что сайт производителя, разработчика ПО или информационной системы действительно его, а не подмена. То же самое касается площадок, где размещаются дистрибутивы: сертификат помогает подтвердить, что файл и источник относятся к конкретному разработчику, а не к «зеркалу» или компрометированному ресурсу. В результате официальный сертификат, выданный госорганом, становится понятным маркером благонадёжности для пользователя и организаций. По сути, это ещё один слой криптографической защиты — не вместо остальных мер, а как дополнительная защита, которая снижает риск подмены и повышает предсказуемость доверия в цифровой среде».

Игорь Королев

Поделиться

Подписаться на новости Короткая ссылка