Доска почёта ЭЦП — zakup.nationalbank.kz
Портал закупок Национального Банка Республики Казахстан предназначен для осуществления электронных закупок Национального банка Республики Казахстан и его организаций. Оператором портала, согласно размещённой на нём информации, является АО «Банковское сервисное бюро Национального Банка Казахстана».
Было обнаружено одно замечание красного уровня [🤬] (об уровнях).
UPD 13.02.2021: 9 февраля, в группе Разговоры о цифровой гигиене, сообщили об устранении данного замечания. После соответствующих проверок могу подтвердить, что теперь всё хорошо. Спасибо нашему Национальному Банку и непосредственно разработчикам за оперативную реакцию. Надеюсь, этому примеру последуют и другие владельцы интернет-ресурсов, о которых мы говорили и ещё будем рассказывать по результатам проведённого анализа. 👍
🤬 Не выполнялась проверка статуса отзыва сертификата
Портал закупок Национального Банка Республики Казахстан позволял проходить аутентификацию по отозванному сертификату.
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка регистрационного свидетельства на отозванность (подпункт 2, пункта 6).
Для чего производится отзыв сертификата ключей ЭЦП? Например, если сотрудник юридического лица увольняется из организации. Или если владелец ключей ЭЦП подозревает, что посторонние могли получить доступ к закрытым ключам его ЭЦП.
К чему это может привести? Ключом ЭЦП может воспользоваться лицо, не уполномоченное владельцем ЭЦП на совершение действий от его имени (посторонний).
Кроме того, по моему мнению, если проверка ЭЦП совершена с нарушением законодательства РК, данная подпись не является юридически значимой, разумеется, с соответствующими юридическими последствиями.
В соответствии с пунктом 7 того же приказа, техническая реализация проверки подлинности ЭЦП и регистрационного свидетельства возлагается на информационную систему. Т.е. корректная проверка подлинности ЭЦП — обязанность собственника информационной системы.
Vladimir Turekhanov ・ February 01, 2021