В соответствии с законом об ЭЦП в целом ряде случаев средства ЭЦП должны быть сертифицированы. Более того, в соответствии со статьей 3 закона, подтверждение подлинности ЭЦП возможно лишь сертифицированным средством ЭЦП.
Сертификация средств ЭЦП, в соответствии с п.4 ст. 5, осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг. КонсультантПлюс в этом пункте делает гиперссылку на закон о Техническом регулировании (и я не вполне уверен, что Консультант в этом прав).
На практике сертификаты выдает http://www.fsb.ru/fs...contact/lsz.htm Центр по лицензированию, сертификации и защите государственной тайны ФСБ. Других сертификатов средств ЭЦП я ни на одном сайте не видел.
Объяснентий, почему у них сертификаты из ФСБ я не получил. Закону о техническом регулировании такая практика не соответствует.
Кто же должен выдавать сертификаты на средства ЭЦП и почему?
|
|
||
|
|
|
|
Сообщений в теме: 20
#2
Отправлено 03 June 2008 - 22:55
Ulpian Anibumbum
Статья 5. Использование средств электронной цифровой подписи
1. Создание ключей электронных цифровых подписей осуществляется для использования в:
информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
корпоративной информационной системе в порядке, установленном в этой системе.
2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
3. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
4. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
ФЕДЕРАЛЬНЫЙ ЗАКОН от 10.01.2002 N 1-ФЗ
(ред. от 08.11.2007)
"ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ"
(принят ГД ФС РФ 13.12.2001)
1) Сертификация средств ЭЦП требуется только для использования в информационной системе общего пользования.
2) Запрещено применение несертифицированных средств ЭЦП только в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
То есть в корпоративных информационных системах можно использовать несертифицированные средства ЭЦП.
А он прав.
Сертификаты выдаются производителям средств ЭЦП. Вы производитель?
Просмотрите эти документы:
ПОСТАНОВЛЕНИЕ Правительства РФ от 29.12.2007 N 957
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ"
(вместе с "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ РАЗРАБОТКИ, ПРОИЗВОДСТВА ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ")
ПОСТАНОВЛЕНИЕ Правительства РФ от 26.06.1995 N 608
(ред. от 17.12.2004)
"О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ"
В соответствии с законом об ЭЦП в целом ряде случаев средства ЭЦП должны быть сертифицированы. Более того, в соответствии со статьей 3 закона, подтверждение подлинности ЭЦП возможно лишь сертифицированным средством ЭЦП.
Статья 5. Использование средств электронной цифровой подписи
1. Создание ключей электронных цифровых подписей осуществляется для использования в:
информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
корпоративной информационной системе в порядке, установленном в этой системе.
2. При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи. Возмещение убытков, причиненных в связи с созданием ключей электронных цифровых подписей несертифицированными средствами электронной цифровой подписи, может быть возложено на создателей и распространителей этих средств в соответствии с законодательством Российской Федерации.
3. Использование несертифицированных средств электронной цифровой подписи и созданных ими ключей электронных цифровых подписей в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления не допускается.
4. Сертификация средств электронной цифровой подписи осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг.
ФЕДЕРАЛЬНЫЙ ЗАКОН от 10.01.2002 N 1-ФЗ
(ред. от 08.11.2007)
"ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ"
(принят ГД ФС РФ 13.12.2001)
1) Сертификация средств ЭЦП требуется только для использования в информационной системе общего пользования.
2) Запрещено применение несертифицированных средств ЭЦП только в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
То есть в корпоративных информационных системах можно использовать несертифицированные средства ЭЦП.
Сертификация средств ЭЦП, в соответствии с п.4 ст. 5, осуществляется в соответствии с законодательством Российской Федерации о сертификации продукции и услуг. КонсультантПлюс в этом пункте делает гиперссылку на закон о Техническом регулировании (и я не вполне уверен, что Консультант в этом прав).
А он прав.
Объяснентий, почему у них сертификаты из ФСБ я не получил. Закону о техническом регулировании такая практика не соответствует.
Кто же должен выдавать сертификаты на средства ЭЦП и почему?
Сертификаты выдаются производителям средств ЭЦП. Вы производитель?
Просмотрите эти документы:
ПОСТАНОВЛЕНИЕ Правительства РФ от 29.12.2007 N 957
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ"
(вместе с "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ РАЗРАБОТКИ, ПРОИЗВОДСТВА ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ")
ПОСТАНОВЛЕНИЕ Правительства РФ от 26.06.1995 N 608
(ред. от 17.12.2004)
"О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ"
#3
Отправлено 04 June 2008 - 02:00
michaelshewzov, Большое спасибо за ответ.
Полностью согласен с Вами. Вместе с тем, хочу обратить внимание на уже упомянутое определение из статьи 3 Закона об ЭЦП, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи ...
Одним из условий равнозначности ЭЦП "бумажной подписи" в соответствии со статьей 4 является то, что ЭЦП должна быть подтверждена, а подтверждение, согласно вышепроцитированному, признается в качестве такового лишь при использовании сертифицированных средств ЭЦП.
Не так ли?
Нет, но перед установкой системы документооборота (и, как вариант, приобретения удостоверяющего центра) мне необходимо убедиться в том, что приобретаемые средства ЭЦП действительно были сертифицированы надлежащим образом.
Согласно "Вопросам ФСБ", этот орган осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов безопасности в этих областях;
Во-первых, мне кажется неочевидным, что ЭЦП относится к чему-либо из перечисленного. Во-вторых, по закону о Техническом регулировании, одним из принципов техрегулирования в РФ является принцип недопустимости совмещения полномочий органа государственного контроля (надзора) и органа по сертификации. А ФСБ, в качестве лицензирующего органа, осуществляет контроль за лицензиатами - создателями и распространителями средств ЭЦП.
Ага. В первом документе написано, что средства ЭЦП - относятся к "средствам _криптографической_ защиты информации", а во втором - устанавливается порядок сертификации "средств защиты информации".
Правда, во втором документе дается свое понятие "средств защиты информации", причем одним из элементов является направленность на защиту гостайны. Думаю, это все-таки разные термины.
1) Сертификация средств ЭЦП требуется только для использования в информационной системе общего пользования.
2) Запрещено применение несертифицированных средств ЭЦП только в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления.
Полностью согласен с Вами. Вместе с тем, хочу обратить внимание на уже упомянутое определение из статьи 3 Закона об ЭЦП, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи ...
Одним из условий равнозначности ЭЦП "бумажной подписи" в соответствии со статьей 4 является то, что ЭЦП должна быть подтверждена, а подтверждение, согласно вышепроцитированному, признается в качестве такового лишь при использовании сертифицированных средств ЭЦП.
Не так ли?
Сертификаты выдаются производителям средств ЭЦП. Вы производитель?
Нет, но перед установкой системы документооборота (и, как вариант, приобретения удостоверяющего центра) мне необходимо убедиться в том, что приобретаемые средства ЭЦП действительно были сертифицированы надлежащим образом.
Согласно "Вопросам ФСБ", этот орган осуществляет и организует в соответствии с федеральным законодательством сертификацию средств защиты информации, систем и комплексов телекоммуникаций, технических средств, используемых для выявления электронных устройств, предназначенных для негласного получения информации, в помещениях и технических средствах, специальных технических средств, предназначенных для негласного получения информации, технических средств обеспечения безопасности и (или) защиты информации; определяет основные направления деятельности органов безопасности в этих областях;
Во-первых, мне кажется неочевидным, что ЭЦП относится к чему-либо из перечисленного. Во-вторых, по закону о Техническом регулировании, одним из принципов техрегулирования в РФ является принцип недопустимости совмещения полномочий органа государственного контроля (надзора) и органа по сертификации. А ФСБ, в качестве лицензирующего органа, осуществляет контроль за лицензиатами - создателями и распространителями средств ЭЦП.
ПОСТАНОВЛЕНИЕ Правительства РФ от 29.12.2007 N 957
"ОБ УТВЕРЖДЕНИИ ПОЛОЖЕНИЙ О ЛИЦЕНЗИРОВАНИИ ОТДЕЛЬНЫХ ВИДОВ ДЕЯТЕЛЬНОСТИ, СВЯЗАННЫХ С ШИФРОВАЛЬНЫМИ (КРИПТОГРАФИЧЕСКИМИ) СРЕДСТВАМИ"
(вместе с "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО РАСПРОСТРАНЕНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ДЕЯТЕЛЬНОСТИ ПО ТЕХНИЧЕСКОМУ ОБСЛУЖИВАНИЮ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ ПРЕДОСТАВЛЕНИЯ УСЛУГ В ОБЛАСТИ ШИФРОВАНИЯ ИНФОРМАЦИИ", "ПОЛОЖЕНИЕМ О ЛИЦЕНЗИРОВАНИИ РАЗРАБОТКИ, ПРОИЗВОДСТВА ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ, ЗАЩИЩЕННЫХ С ИСПОЛЬЗОВАНИЕМ ШИФРОВАЛЬНЫХ (КРИПТОГРАФИЧЕСКИХ) СРЕДСТВ ИНФОРМАЦИОННЫХ И ТЕЛЕКОММУНИКАЦИОННЫХ СИСТЕМ")
ПОСТАНОВЛЕНИЕ Правительства РФ от 26.06.1995 N 608
(ред. от 17.12.2004)
"О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ"
Ага. В первом документе написано, что средства ЭЦП - относятся к "средствам _криптографической_ защиты информации", а во втором - устанавливается порядок сертификации "средств защиты информации".
Правда, во втором документе дается свое понятие "средств защиты информации", причем одним из элементов является направленность на защиту гостайны. Думаю, это все-таки разные термины.
Сообщение отредактировал Ulpian Anibumbum: 04 June 2008 - 02:55
#4
Отправлено 04 June 2008 - 02:56
Ulpian Anibumbum
Для этого в комплекте с приобретаемыми средствами ЭЦП по идее должен идти сертификат соответствия и средство ЭЦП должно быть соответствующим образом промаркировано или обозначено. Средство ЭЦП такой же товар и проходит сертификацию по общим нормам закона о тех. регулировании, но по спец положениям о сертификации.
http://www.fstec.ru/_razd/_serto.htm - посмотрите здесь. Не исключено, что этим занимается ФСТЭК.
Нет, но перед установкой системы документооборота (и, как вариант, приобретения удостоверяющего центра) мне необходимо убедиться в том, что приобретаемые средства ЭЦП действительно были сертифицированы надлежащим образом.
Для этого в комплекте с приобретаемыми средствами ЭЦП по идее должен идти сертификат соответствия и средство ЭЦП должно быть соответствующим образом промаркировано или обозначено. Средство ЭЦП такой же товар и проходит сертификацию по общим нормам закона о тех. регулировании, но по спец положениям о сертификации.
http://www.fstec.ru/_razd/_serto.htm - посмотрите здесь. Не исключено, что этим занимается ФСТЭК.
#5
Отправлено 04 June 2008 - 16:53
Ulpian Anibumbum
: Постановление Федерального арбитражного суда Северо-Западного округа от 16 мая 2007 г. N А56-35237/2006 Иск ОАО к ЗАО о взыскании неосновательного обогащения, полученного ответчиком в качестве предоплаты по договору о проведении работ по поставке, монтажу и настройке технических средств, не удовлетворен, так как ЗАО свои обязательства по поставке и установке оборудования исполнило полностью, а ОАО не представило доказательств того, что работа выполнена ответчиком ненадлежащим образом, кроме того, требования ОАО об обязательной сертификации оборудования не соответствуют законодательству, поскольку обязательной сертификации подлежат технические средства, предназначенные для защиты государственной тайны.
А на практике - СКЗИ сертифицируется в ФСБ (раньше в ФАПСИ до его упразднения), а ПО, к примеру по сдаче отчётности в эл. виде, которое формирует отчётность и передаёт её уже в зашифрованном виде (зашифрованное посредством СКЗИ) стороне получателю сертифицируется ФГУП ГНИВЦ ФНС России.
в свете этого на мой взгляд существует один крайне интересны документ (это не об СКЗИ, но по-поводуПравда, во втором документе дается свое понятие "средств защиты информации", причем одним из элементов является направленность на защиту гостайны
)ПОСТАНОВЛЕНИЕ Правительства РФ от 26.06.1995 N 608
(ред. от 17.12.2004)
"О СЕРТИФИКАЦИИ СРЕДСТВ ЗАЩИТЫ ИНФОРМАЦИИ"
: Постановление Федерального арбитражного суда Северо-Западного округа от 16 мая 2007 г. N А56-35237/2006 Иск ОАО к ЗАО о взыскании неосновательного обогащения, полученного ответчиком в качестве предоплаты по договору о проведении работ по поставке, монтажу и настройке технических средств, не удовлетворен, так как ЗАО свои обязательства по поставке и установке оборудования исполнило полностью, а ОАО не представило доказательств того, что работа выполнена ответчиком ненадлежащим образом, кроме того, требования ОАО об обязательной сертификации оборудования не соответствуют законодательству, поскольку обязательной сертификации подлежат технические средства, предназначенные для защиты государственной тайны.
А на практике - СКЗИ сертифицируется в ФСБ (раньше в ФАПСИ до его упразднения), а ПО, к примеру по сдаче отчётности в эл. виде, которое формирует отчётность и передаёт её уже в зашифрованном виде (зашифрованное посредством СКЗИ) стороне получателю сертифицируется ФГУП ГНИВЦ ФНС России.
#6
Отправлено 04 June 2008 - 17:15
и ещё посмотрите "Система сертификации средств криптографической защиты информации (СКЗИ)
POCC RU.0001.030001
от 15.11.93" там фигурирует ФАПСИ, но в данной области полномочия ФАПСИ переданы ФСБ
POCC RU.0001.030001
от 15.11.93" там фигурирует ФАПСИ, но в данной области полномочия ФАПСИ переданы ФСБ
#7
Отправлено 04 June 2008 - 19:56
Спасибо, посмотрю. А с вот этой вот сентенцией Вы согласны?
Просто это несколько противоречит тому, что написано в статьях по теме. А момент, имхо, очень важный.
Вместе с тем, хочу обратить внимание на уже упомянутое определение из статьи 3 Закона об ЭЦП, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи ...
Одним из условий равнозначности ЭЦП "бумажной подписи" в соответствии со статьей 4 является то, что ЭЦП должна быть подтверждена, а подтверждение, согласно вышепроцитированному, признается в качестве такового лишь при использовании сертифицированных средств ЭЦП.
Не так ли?
Просто это несколько противоречит тому, что написано в статьях по теме. А момент, имхо, очень важный.
#8
Отправлено 05 June 2008 - 14:03
Ulpian Anibumbum
так. Не могу я понять, что именно Вас смущает в данном вопросе.Вместе с тем, хочу обратить внимание на уже упомянутое определение из статьи 3 Закона об ЭЦП, подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи ...
Одним из условий равнозначности ЭЦП "бумажной подписи" в соответствии со статьей 4 является то, что ЭЦП должна быть подтверждена, а подтверждение, согласно вышепроцитированному, признается в качестве такового лишь при использовании сертифицированных средств ЭЦП.
Не так ли?
#9
Отправлено 05 June 2008 - 14:23
Просто это делает малопригодными несертифицированные средства эцп, в том числе, и в корпоративных информационных системах (т.е., например, в отношениях с клиентами, давшими согласие на использование несертифицированных средств ЭЦП). Равнозначности бумажной подписи у ЭЦП, выполненной несертифицированными средствами, не будет.
Сообщение отредактировал Ulpian Anibumbum: 05 June 2008 - 14:24
#10
Отправлено 05 June 2008 - 15:52
Ulpian Anibumbum
Вообще в РФ несертифицированную продукцию, в отношении которой установлено требование об обязательной сертификации, реализовывать запрещено. И проблемы это производителя этой продукции или ее продавца. Конечный покупатель как правило приобретает уже сертифицированную продукцию.
Суть Вашей проблемы я что-то не уловлю.
Просто это делает малопригодными несертифицированные средства эцп
Вообще в РФ несертифицированную продукцию, в отношении которой установлено требование об обязательной сертификации, реализовывать запрещено. И проблемы это производителя этой продукции или ее продавца. Конечный покупатель как правило приобретает уже сертифицированную продукцию.
Суть Вашей проблемы я что-то не уловлю.
#11
Отправлено 05 June 2008 - 16:49
+1Вообще в РФ несертифицированную продукцию, в отношении которой установлено требование об обязательной сертификации, реализовывать запрещено. И проблемы это производителя этой продукции или ее продавца. Конечный покупатель как правило приобретает уже сертифицированную продукцию.
Суть Вашей проблемы я что-то не уловлю
#12
Отправлено 06 June 2008 - 00:31
В том-то и дело, что законродательством не установлено требования об обязательной сертификации средств эцп.
Установлено требование об обязательной сетрификации средств эцп, предназначенных для информационных сетей общего пользования (как Вы и сами, Михаил, чуть выше писали).
Но фактически, даже в корпоративной системе, созданная несертифицированными средствами эцп не может быть признана равнозначной по отношению к "бумажной" подписи.
Т.е. получается, что несертифицированные эцп возможны, но ими подписываться нельзя. С точки зрения техники правового регулирования - не самая совершенная конструкция.
Установлено требование об обязательной сетрификации средств эцп, предназначенных для информационных сетей общего пользования (как Вы и сами, Михаил, чуть выше писали).
Но фактически, даже в корпоративной системе, созданная несертифицированными средствами эцп не может быть признана равнозначной по отношению к "бумажной" подписи.
Т.е. получается, что несертифицированные эцп возможны, но ими подписываться нельзя. С точки зрения техники правового регулирования - не самая совершенная конструкция.
Сообщение отредактировал Ulpian Anibumbum: 06 June 2008 - 01:08
#13
Отправлено 06 June 2008 - 02:22
Ulpian Anibumbum
Вы немного неправы. Что такое средство ЭЦП? Это фактически основной компонент удостоверяющего центра. Если Вы прикупили средство ЭЦП, то у Вас появился свой мини-УДЦ. Если Ваше средство ЭЦП несертифицировано, то подписи создаваемые им Вы можете использовать только в пределах корпоративной системы и в пределах же такой системы они будут признаваться аналогами собственноручной подписи. Возмещение же убытков, причиненных в связи с созданием и использованием таких ЭЦП, будет Вашим корпоративным делом
Если же Вы используете ЭЦП, созданные сертифицированным средством ЭЦП, то соответственно Ваша ЭЦП будет признаваться аналогом собственноручной подписи не только в пределах корпоративной системы, но и за ее пределами.
В итоге все упирается в ответственность.
Но фактически, даже в корпоративной системе, созданная несертифицированными средствами эцп не может быть признана равнозначной по отношению к "бумажной" подписи.
Вы немного неправы. Что такое средство ЭЦП? Это фактически основной компонент удостоверяющего центра. Если Вы прикупили средство ЭЦП, то у Вас появился свой мини-УДЦ. Если Ваше средство ЭЦП несертифицировано, то подписи создаваемые им Вы можете использовать только в пределах корпоративной системы и в пределах же такой системы они будут признаваться аналогами собственноручной подписи. Возмещение же убытков, причиненных в связи с созданием и использованием таких ЭЦП, будет Вашим корпоративным делом
Если же Вы используете ЭЦП, созданные сертифицированным средством ЭЦП, то соответственно Ваша ЭЦП будет признаваться аналогом собственноручной подписи не только в пределах корпоративной системы, но и за ее пределами.
В итоге все упирается в ответственность.
#14
Отправлено 06 June 2008 - 02:43
если так, то получится, что у нас есть какие-то аналоги собственноручной подписи, которые неравнозначны собственноручной подписи.
С другой стороны, ничто нам не мешает обозвать такую эцп как-то иначе и применять к ней общие правила 160 статьи ГК.
С другой стороны, ничто нам не мешает обозвать такую эцп как-то иначе и применять к ней общие правила 160 статьи ГК.
#15
Отправлено 06 June 2008 - 15:00
если так, то получится, что у нас есть какие-то аналоги собственноручной подписи, которые неравнозначны собственноручной подписи
Равнозначны, как вы правильно заметили в силу ст. 160 - признание равнозначными по соглашению сторон.
#16
Отправлено 09 June 2008 - 01:10
1. На мой взгляд, 3 статья закона об ЭЦП по отношению к 160 - специальная императивная норма. Ее нельзя менять соглашением. Если написано, что подтверждение может быть выполнено только сертифицированными средствами, то подтвержденная несертифицированными средствами ЭЦП - недействительна.
А согласие всех участников системы на признание равнозначности собственноручной подписи и ЭЦП присутствует независимо от типа инфосистемы и выражается в форме соглашения с УЦ. Если у контрагентов нет соглашения с одним и тем же УЦ, то они не обязаны (и не могут физически) признавать ЭЦП друг друга.
2. как я понимаю разницу между КИС И ИСОП. Сначала - текст закона
Здесь, на мой взгляд, допустимы следующие отождествления:
"услуги информационной системы" = "услуги УЦ по предоставлению доступа к информационной системе"
"участник информационной системы" = "лицо, заключившее договор с УЦ, и получившее доступ к информационной системе" - т.е. к "совокупности содержащейся в базах данных информации и к обеспечивающим ее обработку информационным технологиям и техническим средствам" в том числе к средствам ЭЦП.
"Владелец информационной системы" = УЦ (а кто еще? на эту мысль наводит п. 2 ст. 13 закона об информации).
Исходя из изложенного, единственная разница между корпоративной ИС и ИС общего пользования в том, что в ИСОП УЦ обязуется заключить договор с каждым, а в КИС - может отказать.
На практике - разница небольшая и никак не связана с гарантиями для участников ИС - пользователей ЭЦП.
Если принять Вашу точку зрения, что эцп, выполненная несертифицированными средствами, при наличии соглашения сторон является равнозначной по отношению к собственноручной подписи, то непонятно, какой смысл вообще заниматься сертификацией.
А согласие всех участников системы на признание равнозначности собственноручной подписи и ЭЦП присутствует независимо от типа инфосистемы и выражается в форме соглашения с УЦ. Если у контрагентов нет соглашения с одним и тем же УЦ, то они не обязаны (и не могут физически) признавать ЭЦП друг друга.
2. как я понимаю разницу между КИС И ИСОП. Сначала - текст закона
информационная система общего пользования - информационная система, которая открыта для использования всеми физическими и юридическими лицами и в услугах которой этим лицам не может быть отказано;
корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы.
Здесь, на мой взгляд, допустимы следующие отождествления:
"услуги информационной системы" = "услуги УЦ по предоставлению доступа к информационной системе"
"участник информационной системы" = "лицо, заключившее договор с УЦ, и получившее доступ к информационной системе" - т.е. к "совокупности содержащейся в базах данных информации и к обеспечивающим ее обработку информационным технологиям и техническим средствам" в том числе к средствам ЭЦП.
"Владелец информационной системы" = УЦ (а кто еще? на эту мысль наводит п. 2 ст. 13 закона об информации).
Исходя из изложенного, единственная разница между корпоративной ИС и ИС общего пользования в том, что в ИСОП УЦ обязуется заключить договор с каждым, а в КИС - может отказать.
На практике - разница небольшая и никак не связана с гарантиями для участников ИС - пользователей ЭЦП.
Если принять Вашу точку зрения, что эцп, выполненная несертифицированными средствами, при наличии соглашения сторон является равнозначной по отношению к собственноручной подписи, то непонятно, какой смысл вообще заниматься сертификацией.
#17
Отправлено 10 June 2008 - 02:02
Хорошо. Соглашусь, что использование сертифицированных средств ЭЦП - единственный выход для всеобщего признания ЭЦП аналогом собственноручной подписи.
Как я уже говорил, товары, подлежащие обязательной сертификации, без сертификатов на территории РФ в оборот вводиться не могут.
Как я уже говорил, товары, подлежащие обязательной сертификации, без сертификатов на территории РФ в оборот вводиться не могут.
#18
Отправлено 10 June 2008 - 12:02
Ulpian Anibumbum
Статья 8. Статус удостоверяющего центра
1. Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.Удостоверяющий центр выступает в качестве профессионального участника рынка
услуг по изготовлению и выдаче сертификатов открытых ключей подписи и
осуществляет свою деятельность на территории Российской Федерации на
основании разрешительной документации (не больше не меньше).
тождественность не понятна"услуги информационной системы" = "услуги УЦ по предоставлению доступа к информационной системе"
необязательно "Участники Системы – государственные, муниципальные органы и хозяйствующие субъекты, в т.ч. кредитные организации, осуществляющие обмен электронными документами с ЭЦП в Системе, а также организации, предоставляющие услуги по обеспечению и обслуживанию осуществляемого обмена.""участник информационной системы" = "лицо, заключившее договор с УЦ, и получившее доступ к информационной системе"
категорически не согласна."Владелец информационной системы" = УЦ (а кто еще? на эту мысль наводит п. 2 ст. 13 закона об информации).
Статья 8. Статус удостоверяющего центра
1. Удостоверяющим центром, выдающим сертификаты ключей подписей для использования в информационных системах общего пользования, должно быть юридическое лицо, выполняющее функции, предусмотренные настоящим Федеральным законом. При этом удостоверяющий центр должен обладать необходимыми материальными и финансовыми возможностями, позволяющими ему нести гражданскую ответственность перед пользователями сертификатов ключей подписей за убытки, которые могут быть понесены ими вследствие недостоверности сведений, содержащихся в сертификатах ключей подписей.Удостоверяющий центр выступает в качестве профессионального участника рынка
услуг по изготовлению и выдаче сертификатов открытых ключей подписи и
осуществляет свою деятельность на территории Российской Федерации на
основании разрешительной документации (не больше не меньше).
#19
Отправлено 10 June 2008 - 13:41
michaelshewzov
А я все же полагаю, что средства ЭПЦ обязательной сертификации не подлежат. Но удел их использования - невелик: служебную записку заверить, на договоре визу бухгалтера проставить - и т.п. Внутренний документооборот. Т.е. использовать там, где, в принципе, и не требуется равнозначности ЭЦП и бумажной подписи.
Аlis
Мне тоже эти отождествления кажутся небезупречными. Просто я не вижу иной системной трактовки. А как понимаете эти термины Вы?
Если "Услуги информационной системы" - это вид услуг, то кто выступает в качестве заказчика и исполнителя, и в чем состоят эти услуги?
Или, на Ваш взгляд, термин "услуги" здесь следует понимать как-то иначе, чем по ГК?
Участники информационной системы. предлагаю иначе: "лица, имеющие доступ к информационной системе и обменивающиеся подписанными эцп документами а также УЦ". про договор - согласен, лишнее.
Ваше определение мне не нравится тем, что участниками становятся юрлица, обменивающиеся документами. По смыслу закона об эцп, на мой взгляд, под участниками понимаются всё же физики. Участник характеризуется законом как владелец сертификата ключа подписи.
Владелец информационной системы
Исходя из того, что "информационная система - совокупность содержащейся в базах данных информации и обеспечивающие ее обработку информационные технологии и технические средства", владельцем информационной системы, обеспечивающей функционирование ЭЦП, является владелец средств ЭЦП.
То, что ст. 8 закона об ЭЦП описывает функционирование УЦ в информационных системах общего пользования совсем не означает, что в корпоративных системах удостоверяющих центров существовать не может.
Просто в силу малозначительности документооборота в корпоративной ИС законодатель не считает нужным их описывать. Согласны?
А я все же полагаю, что средства ЭПЦ обязательной сертификации не подлежат. Но удел их использования - невелик: служебную записку заверить, на договоре визу бухгалтера проставить - и т.п. Внутренний документооборот. Т.е. использовать там, где, в принципе, и не требуется равнозначности ЭЦП и бумажной подписи.
Аlis
Мне тоже эти отождествления кажутся небезупречными. Просто я не вижу иной системной трактовки. А как понимаете эти термины Вы?
Если "Услуги информационной системы" - это вид услуг, то кто выступает в качестве заказчика и исполнителя, и в чем состоят эти услуги?
Или, на Ваш взгляд, термин "услуги" здесь следует понимать как-то иначе, чем по ГК?
Участники информационной системы. предлагаю иначе: "лица, имеющие доступ к информационной системе и обменивающиеся подписанными эцп документами а также УЦ". про договор - согласен, лишнее.
Ваше определение мне не нравится тем, что участниками становятся юрлица, обменивающиеся документами. По смыслу закона об эцп, на мой взгляд, под участниками понимаются всё же физики. Участник характеризуется законом как владелец сертификата ключа подписи.
Владелец информационной системы
Исходя из того, что "информационная система - совокупность содержащейся в базах данных информации и обеспечивающие ее обработку информационные технологии и технические средства", владельцем информационной системы, обеспечивающей функционирование ЭЦП, является владелец средств ЭЦП.
То, что ст. 8 закона об ЭЦП описывает функционирование УЦ в информационных системах общего пользования совсем не означает, что в корпоративных системах удостоверяющих центров существовать не может.
Просто в силу малозначительности документооборота в корпоративной ИС законодатель не считает нужным их описывать. Согласны?
Сообщение отредактировал Ulpian Anibumbum: 10 June 2008 - 18:32
#20
Отправлено 10 June 2008 - 19:02
Ulpian Anibumbum
1) порядок использования ЭЦП в информационной системе;
2) содержание информации в сертификатах ключей подписей;
3) порядок ведения реестра сертификатов ключей подписей;
4) случаи утраты указанными сертификатами юридической силы;
5) деятельность удостоверяющего центра, обеспечивающего функционирование КИС;
6) статус удостоверяющего центра, обеспечивающего функционирование КИС;.
7) правила приостановления действия сертификата ключа подписи (п. 1 ст. 13 Закона об ЭЦП).
Особенности правового регулирования отношений, связанных с использованием ЭЦП в системе общего пользования:
1) создание ключей ЭЦП осуществляется ее участником или по его обращению удостоверяющим центром (ч. 1 п. 2 ст. 5 Закона о ЭЦП);
2) при создании ключей ЭЦП должны приниматься только сертифицированные средства ЭЦП;
3) удостоверяющим центром могут быть только юридические лица.
Исходя из этого, имхо, вытекает, что при создании ключей ЭЦП могут применяться и не сертифицированные ЭЦП.
Рассмотрим особенности каждого вида информационной системы: решением владельца КИС или соглашением участников этой системы определяются:эцп, выполненная несертифицированными средствами, при наличии соглашения сторон является равнозначной по отношению к собственноручной подписи
1) порядок использования ЭЦП в информационной системе;
2) содержание информации в сертификатах ключей подписей;
3) порядок ведения реестра сертификатов ключей подписей;
4) случаи утраты указанными сертификатами юридической силы;
5) деятельность удостоверяющего центра, обеспечивающего функционирование КИС;
6) статус удостоверяющего центра, обеспечивающего функционирование КИС;.
7) правила приостановления действия сертификата ключа подписи (п. 1 ст. 13 Закона об ЭЦП).
Особенности правового регулирования отношений, связанных с использованием ЭЦП в системе общего пользования:
1) создание ключей ЭЦП осуществляется ее участником или по его обращению удостоверяющим центром (ч. 1 п. 2 ст. 5 Закона о ЭЦП);
2) при создании ключей ЭЦП должны приниматься только сертифицированные средства ЭЦП;
3) удостоверяющим центром могут быть только юридические лица.
Исходя из этого, имхо, вытекает, что при создании ключей ЭЦП могут применяться и не сертифицированные ЭЦП.
#21
Отправлено 10 June 2008 - 19:27
почему вы так выделили УЦ, он ведь такой же равноправный участник, как и все остальные.лица, имеющие доступ к информационной системе и обменивающиеся подписанными эцп документами а также УЦ". про договор - согласен, лишнее
имелось ввиду в КИС, а не общего пользования.
сам владелец КИС выступает в качестве УЦ.совсем не означает, что в корпоративных системах удостоверяющих центров существовать не может.
Вы считаете, что владец ИС - это физ. лицо, являющееся владельцем СКП??????????владельцем информационной системы, обеспечивающей функционирование ЭЦП, является владелец средств ЭЦП.
Количество пользователей, читающих эту тему: 0
0 пользователей, 0 гостей, 0 анонимных
