ЭП, КЗ, ЭКЛЗ ....

[Exel 1 073]

5 минут назад, Gen68 сказал:

Это, конечно, любопытно. А как это скрещивается с другими хотелками, когда в одной организации 4 АИС взаимодействуют со СМЭВ (ключ ЮЛ)  и регистрируются в СМЭВ  с разными сертификатами?

Мне самому интересно, как в итоге взаимодействие изменится с учетом появления доверенностей (до согласования которых в конце марта было еще далеко, как сейчас - хз). Поживем - увидим.

5 минут назад, Gen68 сказал:

"Такая формулировка позволяет сделать вывод о возможности использования ключей ЭП другими лицами с согласия участника электронного взаимодействия. В противном случае речь идет о нарушении конфиденциальности ключа ЭП...    указывает на техническую возможность простановки ЭП другим лицом (например, техническим специалистом) с согласия и под контролем владельца сертификата ключа проверки ЭП."

 

Так я про это выше и написал - гендир дал свой ключ Васе и стоит у него над душой, пока он подпись ставит. А если гендир даст ключ Васе и пойдет по своим делам - это уже нарушение.

 

5 минут назад, Gen68 сказал:

Еще раз предлагаю перечитать определение "конфиденциальность информации" из п.7 ст. 2 149-ФЗ . Конфиденциальность информации - это не запрет на передачу вообще. Речь идет об ограниченном круге лиц, кому можно. А вот если круг лиц нарушен, то тогда - да,  это компрометация.

 

Речь там идет о некой абстрактной информации, к которой действительно может быть допущен некоторый круг лиц. А если информация исключительно для личного пользования, то к ней никто не может быть допущен; ключ ЭП генерального директора в последней редакции ФЗ как раз такой. И трактовка такая у всех УЦ и разработчиков СКЗИ, например, выдержка из регламента УЦ ООО "КриптоПро" из раздела "Пользователь обязан":

Цитата

6.2.3.3. Не применять личный закрытый ключ, если ему стало известно, что этот
ключ используется или использовался ранее другими лицами.

Заметьте, не другими лицами, не допущенными к данному ключу, а просто другими лицами.

5 минут назад, Gen68 сказал:

Банкомат видели, нет? Подсказываю: физическая защита + замкнутая программная среда + контроль целостности ПО + автоматическое подписание транзакций.

Такого типа устройство для хранения ключей (HSM) стоит порядка 1,5 млн рублей, оно крайне узкоспециализированное и требует как квалифицированного персонала, так и определенную сумму денег каждый год на условно техподдержку. Мы про СТО говорим (оборудование 1 линии которого стоит сопоставимых денег), не забыли, т.е. никаких HSM там не будет, максимум, USB-токены за пару тысяч?

[Gen68 321]

1 час назад, Exel сказал:

Мне самому интересно, как в итоге взаимодействие изменится с учетом появления доверенностей (до согласования которых в конце марта было еще далеко, как сейчас - хз). Поживем - увидим.

А тут два варианта: либо ГИС-ы изменять, либо п. 3.1.10 Регламента ФНС. У меня 50 КСКПЭП ЮЛ работат в ГИС-ах и + 4 - для автоматического подписания в СМЭВ.

1 час назад, Exel сказал:

Так я про это выше и написал - гендир дал свой ключ Васе и стоит у него над душой, пока он подпись ставит. А если гендир даст ключ Васе и пойдет по своим делам - это уже нарушение.

Всё что по этому поводу написал юрист Гаранта - это его сугубо частное мнение. Это всего лишь один из вариантов развития событий в суде, если дойдет до суда. А судебная система у нас такая... вот такая, неприцедентная, короче. Как судье вздумается, так и будет.

1 час назад, Exel сказал:

Речь там идет о некой абстрактной информации, к которой действительно может быть допущен некоторый круг лиц. А если информация исключительно для личного пользования, то к ней никто не может быть допущен;

Не додумывайте лишнего. Всё что Вы насочиняли по этому поводу на языке юриспруденции это называется Домыслы. Читайте ФЗ, Указы, Постановления буквально, без фантазии.

1 час назад, Exel сказал:

например, выдержка из регламента УЦ ООО "КриптоПро" из раздела "Пользователь обязан"

Лучше не вспоминайте про УЦ ООО "КриптоПро" знаком не понаслышке и о 1.0 и о 2.0, ровно как и Континентах.  Без костылей эти "телеги" не едут. Все ограничения, которые идут вразрез с ФЗ - ... можно смотреть издалека в бинокль - они просто незаконны.  Что-то мне подсказывает, что и с п. 3.1.10 Регламента ФНС нечисто, но это неточно.

1 час назад, Exel сказал:

Такого типа устройство для хранения ключей (HSM) стоит порядка 1,5 млн рублей, оно крайне узкоспециализированное и требует как квалифицированного персонала,

Да ну нафиг.... намекал, намекал. Засуньте комп в железный ящик (или другую комнату), т.е физически ограничьте к нему доступ, а с помощью сертифицированных СЗИ ограничьте программную среду. Васе дайте клаву, мышь, камеру.  Комп под замком и доступа к ключевым носителям ограничен физически,  СЗИ не дадут вольностям Васи разгуляться. Профит!

 

[Exel 1 073]

15 часов назад, Gen68 сказал:

А тут два варианта: либо ГИС-ы изменять, либо п. 3.1.10 Регламента ФНС. У меня 50 КСКПЭП ЮЛ работат в ГИС-ах и + 4 - для автоматического подписания в СМЭВ.

 

Регламент УЦ ФНС, насколько я знаю, должен был согласовываться с Минюстом, так что его менять никто скорее всего не будет. Т.е. будут менять ГИСы с учетом применения доверенностей.

 

15 часов назад, Gen68 сказал:

Всё что по этому поводу написал юрист Гаранта - это его сугубо частное мнение. Это всего лишь один из вариантов развития событий в суде, если дойдет до суда. А судебная система у нас такая... вот такая, неприцедентная, короче. Как судье вздумается, так и будет.

 

Которое подкреплено здравым смыслом - вся технология применения электронной подписи как аналога собственноручной строится на том, что ключ ЭП может использоваться только его владельцем.

 

15 часов назад, Gen68 сказал:

Не додумывайте лишнего. Всё что Вы насочиняли по этому поводу на языке юриспруденции это называется Домыслы. Читайте ФЗ, Указы, Постановления буквально, без фантазии.

...

Лучше не вспоминайте про УЦ ООО "КриптоПро" знаком не понаслышке и о 1.0 и о 2.0, ровно как и Континентах.  Без костылей эти "телеги" не едут. Все ограничения, которые идут вразрез с ФЗ ... можно смотреть издалека в бинокль - они просто незаконны

 

Да я-то ничего не додумываю как раз, просто до Вас никак не дойдет, что для того, чтобы была такая сущность, как квалифицированная электронная подпись, помимо самого ключа ЭП, нужно еще как сертифицированное средство ЭП (чтобы этот самый ключ создать и подпись поставить), так и аккредитованный УЦ, использующий сертифицированные средства УЦ (чтобы выдать квалифицированный сертификат). В соответствии с пунктом 5 статьи 8 63-ФЗ, требования к средствам ЭП и средствам УЦ устанавливает ФОИВ в области обеспечения безопасности (регулятор, сами знаете какой) и проверяет соответствие средств ЭП и средств УЦ этим требованиям тоже он. А сертифицированное средство ЭП - это не только ПО, но еще талмуд согласованной с регулятором документации, описывающий правила использования этого средства и требования по безопасности для выполнения заявленного класса защиты (которые включают в себя в том числе правила обращения с ключами), которые пользователь СКЗИ обязан соблюдать (для средств УЦ картина аналогичная). Как только пользователь эти правила нарушает, ни о каком обеспечении заявленного класса защиты речь идти не может, соответственно, и об использовании сертифицированного средства ЭП - тоже. А если используется несертифицированное средство ЭП, то о какой квалифицированной подписи с точки зрения 63-ФЗ может идти речь? Так что если пользователю кажется, что ФЗ ему явным образом не запрещает передавать кому-то свой ключ ЭП, а в документации на его средство ЭП написано, что так делать категорически запрещено, он свое "кажется" должен в одно место засунуть и выполнять те требования, которые согласованы с организацией, отвечающей за безопасность в соответствии с ФЗ.

 

Далее, средства УЦ. В эксплуатационной документации на сертифицированные средства УЦ, опять же, есть документ, в котором прописываются права пользователей удостоверяющего центра, реализованного с помощью этих средств. Документ этот, ясное дело, согласовывается с регулятором, и действующий Регламент УЦ (выше я давал ссылку как раз на такой регламент, на само ПО "КриптоПро УЦ" в данном случае пофиг) не может этому документу противоречить. И, получая ключ в УЦ, пользователь соглашается с требованиями этого Регламента, в том числе по части правил обращения с ключами. А если в действующем регламенте прописан запрет на передачу ключа ЭП третьим лицам, то почти наверняка аналогичное требование приведено в документации на сами средства УЦ, а значит, данное требование согласовано с регулятором, которому, как выше уже писал, 63-ФЗ фактически предоставил все полномочия по части вопросов, касающихся безопасности.

 

При этом, хочу отметить, ни о каких ограничениях, идущих вразрез с ФЗ, речи не идет - тот же запрет на передачу ключа ЭП третьим лицам ФЗ не противоречит, поскольку в самом ФЗ нет фразы о том, что так делать можно, а то, что пункт 1 статьи 10 это разрешает - как раз и есть самые настоящие домыслы.

 

15 часов назад, Gen68 сказал:

Да ну нафиг.... намекал, намекал. Засуньте комп в железный ящик (или другую комнату), т.е физически ограничьте к нему доступ, а с помощью сертифицированных СЗИ ограничьте программную среду. Васе дайте клаву, мышь, камеру.  Комп под замком и доступа к ключевым носителям ограничен физически,  СЗИ не дадут вольностям Васи разгуляться. Профит!

 

Вот только запрещено оставлять без контроля ЭВМ с загруженной ключевой информацией (тоже требование регулятора). А обеспечивает ли закрытие комнаты на замок или засовывание его в ящик контроль над ЭВМ? Вопросы-вопросики