ЭП, КЗ, ЭКЛЗ ....

[Exel 1 073]

3 часа назад, Pechnik сказал:

Фигнёй страдают, уже давно бы разработали программно-аппаратные комплексы фотофиксации для СТО на базе тех же планшетов АВРОРА и защищенных накопителей по типу ФН что применяет ФНС. То есть берется планшет, открывается приложение, заполняются все поля типа анкетных, делается фото, формируется пакет, подписывается ЭЦП директора или сотрудника, тут же отправляется в соответствующую базу, приходит очет об отправки, рассмотрении, принятии, нажимается кнопка выгрузить, результат щаписывается на защищенном накопителе и копия выгружается в виде файла pdf который передается владельцу на флэшке, по эл.почте или распечатывается.

стоимость такого решения от 15 до 100 т.р.

Гладко было на бумаге, да забыли про овраги. Класс защиты СКЗИ (если не очень понятно, о чем речь, можно 796 приказ ФСБ посмотреть), которое будет использоваться для установки подписи и шифрования, какой будет? КС1 для защиты персональных данных? У меня есть некоторые сомнения, что такое решение согласуют. А КС2 и тем более КС3 в планшетах - это пока в новинку (но КС3-решения есть), но пользоваться таким устройством будет очень неудобно. Ну и в целом, ключ подписи где будет храниться? В самом устройстве? Тогда каждому оператору нужен отдельный девайс. На отчуждаемом носителе, чтобы девайс был один? Тогда у оператора скорее всего останется возможность мухлевать, поскольку в общем случае нужные данные можно и без устройства сформировать, надо только формат знать. Да и потом, если мы операторов СТО относим к потенциальным нарушителям, то класса защиты КС3 скорее всего не хватит, а ничего выше на мобильных устройствах просто технически не реализуемо.

Второй момент - чтоб файлик подписывался УКЭП директора, соответствующий ключ ЭП должен быть только у директора, передача его кому-то другому Васе равносильна назначению гендиром этого самого Васи, поскольку ЭП, установленная с использованием этого ключа, равнозначна собственноручной подписи и может применяться в том числе при распоряжении имуществом этого юрлица. Т.е. директору по сути придется быть мальчиком на побегушках при операторах СТО (видели, как в банках операционисты для подтверждения операции зовут старшего, чтоб он свою таблетку приложил? вот примерно то же самое будет,только флешку/токен надо будет вставлять каждый раз), так как ключ никому давать нельзя, и в отсутствие директора пункт СТО просто работать не сможет. А если его подписывать ЭП сотрудника, то нужна доверенность, подписанная ЭП директора (без доверенности эксперта к СТО никак не привязать, у него сертификат физического лица), и система с другой стороны, которая эти доверенности понимает и может обе подписи проверить. Кто ее будет разрабатывать и на чьи деньги?

 

[Pechnik 2 075]

Exel у ФН какой класс защиты? я обрисовал образ системы, конкретная реализация уже меня не касается. её можно реализовать по разному. Но смысл от этого в программноаппаратном комплексе не меняется, суть в том что бы лишить оператора каким либо образом вообще взаимодействоать с фото/видео материалом, сделать его неизменяемым.

 

По этому принципу построена торговля. от ФН до ЭДО с честным знаком. ФН заменяет собой сертификат организации так как идет привязка по множеству критериев с подтверждением ОФД и ФНС, далее. ЭЦП на алкоголь для работы УТМ и соответственно продажи алкоголя создается на организацию, в лице руководителя. Сертификат на ЭДО создается не на физ лицо а на сотрудника организации, для этого перед созданием ЭЦП для УД подается заявление от ЮЛ на изготовление ЭЦП и доверенность на уполномоченного сотрудника для которого будет изготавливаться ЭЦП. Кроме того имеются различные сертификаты для ЭДО, ЕГАИС, торгов и пр.

 

То есть конкретные моменты это уже задача профильных специалистов. Честный знак за год на коленке сделали, а система поболее будет чем СТО.

[Maxxixx 3 712]

Скрытый текст

Pechnik , Exel , други! Я гляжу вы о высоком рассуждает... Что, да как хорошо бы сделать.

А я тут о низменном, о насущном... можете подсказать где у меня ошибка в коде power query в MS Excel?

 

[Pechnik 2 075]

Скрытый текст

Maxxixx увы, не мой профиль, я по торговле и сопровождению.

[Exel 1 073]

32 минуты назад, Pechnik сказал:

Exel у ФН какой класс защиты?

Я без понятия - к подобного рода устройствам свои требования.

 

32 минуты назад, Pechnik сказал:

Сертификат на ЭДО создается не на физ лицо а на сотрудника организации, для этого перед созданием ЭЦП для УД подается заявление от ЮЛ на изготовление ЭЦП и доверенность на уполномоченного сотрудника для которого будет изготавливаться ЭЦП. Кроме того имеются различные сертификаты для ЭДО, ЕГАИС, торгов и пр.

 

Посмотрите последнюю редакций 63-ФЗ "Об электронной подписи" : сертификат юрлица оформляется только на руководителя юридического лица и только в УЦ ФНС(если мы не про организации финансового сектора говорим, там сертификаты выдает УЦ Банка России, но, опять же, только руководителям), никаких сертификатов сотрудников как должностных лиц юридического лица больше нет - вместо них сотрудники получают квалифицированный сертификат в любом аккредитованном УЦ как физические лица, а руководитель для них выдает электронную доверенность, которую своим ключом ЭП подписывает, соответственно, все системы, с которыми этот сотрудник взаимодействует, должны уметь эти доверенности обрабатывать.

 

32 минуты назад, Pechnik сказал:

То есть конкретные моменты это уже задача профильных специалистов. Честный знак за год на коленке сделали, а система поболее будет чем СТО.

Но там при этом нет персональных данных и своя модель угроз, от которой много чего зависит

 

Изменено 4 августа 2021 пользователем Exel

[Exel 1 073]

12 минут назад, Maxxixx сказал:

  Скрыть содержимое

можете подсказать где у меня ошибка в коде power query в MS Excel?

 

Скрытый текст

Увы, я тоже от этого далек.

 

[Gen68 321]

4 часа назад, Exel сказал:

... Второй момент - чтоб файлик подписывался УКЭП директора, соответствующий ключ ЭП должен быть только у директора, передача его кому-то другому Васе равносильна назначению гендиром этого самого Васи...

 В соответствии с пунктом 1 статьи 10 Закона N 63-ФЗ это допустимо. Главное оформить свою волю на бумаге: оформить доверенность, издать приказ " О праве использовть ключ ЭП директора ..."  и т.п.

 

[Gen68 321]

3 часа назад, Exel сказал:

Посмотрите последнюю редакций 63-ФЗ "Об электронной подписи" : сертификат юрлица оформляется только на руководителя юридического лица и только в УЦ ФНС(если мы не про организации финансового сектора говорим, там сертификаты выдает УЦ Банка России, но, опять же, только руководителям), никаких сертификатов сотрудников как должностных лиц юридического лица больше нет...

 

 часть 3 статьи 14  63-ФЗ допускает выдачу КСКПЭП работникам ЮЛ если есть доверенность. Федеральное казначейство выдает такие КСКПЭП.

[Pechnik 2 075]

Лишь бы в этой ветке расработчики системы реорганизации СТО не тусовались

[Exel 1 073]

4 часа назад, Gen68 сказал:

 часть 3 статьи 14  63-ФЗ допускает выдачу КСКПЭП работникам ЮЛ если есть доверенность.

Да ну? Меня не интересует редакция, которая последние месяцы доживает. А с 1 января она будет выглядеть так:

Цитата

В случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица без доверенности

Кто у нас имеет право действовать от имени юр.лица без доверенности? Только руководитель

5 часов назад, Gen68 сказал:

 В соответствии с пунктом 1 статьи 10 Закона N 63-ФЗ это допустимо. Главное оформить свою волю на бумаге: оформить доверенность, издать приказ " О праве использовть ключ ЭП директора ..."  и т.п.

 

От того, что это будет записано на бумаге, оно не перестанет противоречить требованиям документации СКЗИ (а их тоже надо неукоснительно соблюдать, если Вы не в курсе), в которой написано (ясное дело, не дословно), что владелец ключа ЭП обязан хранить в тайне свой ключ ЭП, а не раздавать его налево и направо своим сотрудникам.

[Gen68 321]

Exel , в новой редакции положения п. 1 ч. 1  ст. 10  убрали?  - Нет, эту "лазейку" из закона не убрали.

Значит есть законные способы передачи ключа ЭП другим лицам, что, кстати, не противоречит определению "конфиденциальность информации" из п.7 ст. 2 149-ФЗ .

А раз и есть законные способы передачи ключа ЭП, то чтобы там не написал разработчик СКЗИ - эти ограничения будут незаконны.

Также никто не ограничивает количество ключей ЭП, выдаваемых владельцу: можно получить хоть 5, хоть 10. Плюс есть ключи ЮЛ для автоматического подписания ЭД (которые  скорее всего и будут использования на станциях ТО), в которых может не указываться ФИО физлица. "Трястись" от страха за ключ ЭП владельцу СТ не придется.

Тут главное обложиться "бумажками", ограничивающими "свободу"  слесаря "Васи", чтобы он не вздумал ключ ЭП использовать там, где не должен. Но даже техническими методами легко реализовать подписание ЭД без возможности получить доступ к ключевому носителю - это никакая не проблема. Было бы желание и  средства это сделать.

Новый закон конечно наставил новых "заборов", но и старые "дыры" не закрыл. Вольностей поуменьшилось , но не смертельно.

 

[Exel 1 073]

4 часа назад, Gen68 сказал:

Exel , в новой редакции положения п. 1 ч. 1  ст. 10  убрали?  - Нет, эту "лазейку" из закона не убрали.

Так понятно, для чего она изначально была - вы знаете, как устроено дистанционное хранение ключей (в простонародье "облачная подпись"), которое, кстати, в последнюю редакцию ФЗ внесли? Ключ хранится, например, в УЦ, а владелец ключа дает УЦ поручение подписать своим ключом документ. Ни о какой раздаче ключа налево-направо тут речь не идет.

 

4 часа назад, Gen68 сказал:

А раз и есть законные способы передачи ключа ЭП, то чтобы там не написал разработчик СКЗИ - эти ограничения будут незаконны.

Спасибо, посмеялся. Разработчик СКЗИ всего лишь выполняет требования нормативных документов регулятора, например:

Цитата

3.1. Пользователи криптосредств обязаны:

— не разглашать информацию о ключевых документах;

— не допускать снятие копий с ключевых документов;

— не допускать вывод ключевых документов на дисплей (монитор) ПЭВМ или принтер;

— не допускать записи на ключевой носитель посторонней информации;

— не допускать установки ключевых документов в другие ПЭВМ.

Первый дефис означает, что ты не можешь свой ключевой носитель раздавать кому попало.

 

4 часа назад, Gen68 сказал:

Также никто не ограничивает количество ключей ЭП, выдаваемых владельцу: можно получить хоть 5, хоть 10.

Это было в то время, когда сертификаты ЮЛ могло получать в разных УЦ. Теперь это один УЦ (для СТО - УЦ ФНС), и у меня есть большие сомнения, что при почти 3 млн юрлиц в стране и чуть большем количестве ИП (т.е. общая нагрузка на УЦ - больше 6 млн сертификатов в год), будут выдавать более одного сертификата в одни руки.  И, главное, с учетом появления пункта 2 в статье 10 больше нет смысла получать более одного сертификата.

 

4 часа назад, Gen68 сказал:

Плюс есть ключи ЮЛ для автоматического подписания ЭД (которые  скорее всего и будут использования на станциях ТО), в которых может не указываться ФИО физлица. "Трястись" от страха за ключ ЭП владельцу СТ не придется.

Вы, похоже, плохо представляете, что такое автоматическое подписание документов. Да, в них можно не указывать ФИО физлица, а просто подложиться бумажкой о назначении условного Васи ответственным за ключ, но как раз использование ключей , предназначенных для автоматического подписания, достаточно легко оргтехмерами ограничить, поскольку такие ключи будут использовать прикладные сервера автоматизированных систем, в эксплуатации которых человек фактически не участвует. А на станциях СТО подписание будет ручное.

 

4 часа назад, Gen68 сказал:

Тут главное обложиться "бумажками", ограничивающими "свободу"  слесаря "Васи", чтобы он не вздумал ключ ЭП использовать там, где не должен.

А как бумажка слесаря Васю ограничит? Он использует ключ там, где не должен, а потом уйдет в отказ. И, если он грамотно это сделает (что, в общем-то, не проблема), то владельцу ключа потом крайне сложно будет доказать, что он тут не при делах.

 

4 часа назад, Gen68 сказал:

Но даже техническими методами легко реализовать подписание ЭД без возможности получить доступ к ключевому носителю - это никакая не проблема.

 

Например?

[Gen68 321]

50 минут назад, Exel сказал:

Спасибо, посмеялся.

Можете смеяться и дальше, а я в этом "варюсь" 2 десяток, начиная с 1-ФЗ, а также  пишу протоколы разногласий на всякие хотелки проверяющих (знаете каких). Правда, зачастую одного намека  на написание обычно хватает, чтобы хотелки отпали - не любят они протоколы разногласий.

54 минуты назад, Exel сказал:

Первый дефис означает,

Означает ровно то, что написано, и не более. Или Вы толкователь снов (не опечатка)?

59 минут назад, Exel сказал:

Это было в то время, когда сертификаты ЮЛ могло получать в разных УЦ.

Было, есть и будет, пока законом не ограничено.

1 час назад, Exel сказал:

Вы, похоже, плохо представляете.... А на станциях СТО подписание будет ручное.

Представляю (давно живу). Откуда такая уверенность про ручное подписание, уже есть регламенты?

1 час назад, Exel сказал:

А как бумажка слесаря Васю ограничит?

Правильно составленная.

1 час назад, Exel сказал:

Например?

Что, серьезно не знаете?

[Exel 1 073]

9 минут назад, Gen68 сказал:

Можете смеяться и дальше, а я в этом "варюсь" 2 десяток, начиная с 1-ФЗ, а также  пишу протоколы разногласий на всякие хотелки проверяющих (знаете каких).

Вы хотелки каких проверяющих имеете в виду? Проверяющие на местах - отдельная тема, а тем, которых знаю я, писать протоколы разногласий смысла мало - они лучше разбираются в требованиях, которые сами и устанавливают.

 

9 минут назад, Gen68 сказал:

Означает ровно то, что написано, и не более.

А там написано достаточно: передача личного ключа ЭП другому лицу - это именно что разглашение ключевой информации и, соответственно, нарушение конфиденциальности С этим можно пытаться спорить, но нас тут рассудить может только официальное письмо от сами знаете кого (по ФЗ - ФОИВ в области обеспечения безопасности), но я и так знаю, что в нем будет написано, так как в силу специфики своей деятельности (второй десяток лет занимаюсь разработкой и сертификацией СКЗИ) много с ним взаимодействую.

9 минут назад, Gen68 сказал:

Было, есть и будет, пока законом не ограничено.

Регламент УЦ ФНС посмотрите, он, оказывается, уже опубликован. Там открытым текстом написано:

Цитата

3.1.10. Отказать в создании КСКПЭП, если УЦ ФНС России установлено наличие у владельца действующего КСКПЭП за исключением случаев, когда заявителем одновременно подается заявление на прекращение данного действующего КСКПЭП.

т.е. в каждый конкретный момент времени у ЮЛ может быть не более одного сертификата.

 

9 минут назад, Gen68 сказал:

Откуда такая уверенность про ручное подписание, уже есть регламенты?

Регламент взаимодействия с ЕАИСТО ГИБДД, вообще говоря, есть в сети, а что касается автоматического/ручного подписания - это и так понятно при знании даже в общих чертах, как функционирует система. Если данные заполняет человек и команду "подписать" дает человек (оператор СТО) - это ручное подписание.

 

9 минут назад, Gen68 сказал:

Правильно составленная.

Ой ли?

Во-первых, есть разъяснения на эту тему - никакой передачи ключа другому лицу "по доверенности" ФЗ не предусматривает. А указанное там техническое использование - это тот самый Вася, который вставляет ключ в USB-порт и нажимает кнопку "подписать", пока гендир-владелец стоит у него над душой и смотрит, как бы он чего не натворил.

А во-вторых, как доказывать собираетесь, что это Вася ключ использовал не по назначению, а не какой-нибудь Петя, который тоже имел к нему доступ (операторов-то много)? Вася скажет - это не я, я действовал строго по "правильно составленной" бумажке, это все Петя. А Петя, в свою очередь, будет все на Васю валить. А по факту они вообще договориться могут друг с другом

9 минут назад, Gen68 сказал:

Что, серьезно не знаете?

Хочется понять, что Вы имеете в виду.

[Gen68 321]

14 минут назад, Exel сказал:

Регламент УЦ ФНС посмотрите, он, оказывается, уже опубликован. Там открытым текстом написано:

Это, конечно, любопытно. А как это скрещивается с другими хотелками, когда в одной организации 4 АИС взаимодействуют со СМЭВ (ключ ЮЛ)  и регистрируются в СМЭВ  с разными сертификатами? Угадайте, где я возьму 3 других ключа? Это так, к примеру.

20 минут назад, Exel сказал:

 Если данные заполняет человек и команду "подписать" дает человек (оператор СТО) - это ручное подписание.

Пока не понятно как это будет практически. Может как сейчас: каждый отдельный ЭД в АИС подписывается ключом должностного лица (на каждом этапе свой), а весь пакет при передаче в ЕАИСТО автоматом подписывается ключом ЮЛ. Тут фантазировать можно долго.

25 минут назад, Exel сказал:

Во-первых, есть разъяснения на эту тему - никакой передачи ключа другому лицу "по доверенности" ФЗ не предусматривает.

Не предусматривает, но и не запрещает. Сами то до конца дочитали эти разъяснения?

"Такая формулировка позволяет сделать вывод о возможности использования ключей ЭП другими лицами с согласия участника электронного взаимодействия. В противном случае речь идет о нарушении конфиденциальности ключа ЭП...    указывает на техническую возможность простановки ЭП другим лицом (например, техническим специалистом) с согласия и под контролем владельца сертификата ключа проверки ЭП."

 

Еще раз предлагаю перечитать определение "конфиденциальность информации" из п.7 ст. 2 149-ФЗ . Конфиденциальность информации - это не запрет на передачу вообще. Речь идет об ограниченном круге лиц, кому можно. А вот если круг лиц нарушен, то тогда - да,  это компрометация.

31 минуту назад, Exel сказал:

Хочется понять, что Вы имеете в виду.

Банкомат видели, нет? Подсказываю: физическая защита + замкнутая программная среда + контроль целостности ПО + автоматическое подписание транзакций.