Приказом Федеральной службы безопасности от 27 декабря 2011 г. № 796 утверждены:
Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.
Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».
При создании электронной подписи (ЭП) средства ЭП должны (п.8):
В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:
С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством, которое не предусматривает такой глупости, как потеря подписью своей юридической силы.
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=126209
- Требования к средствам электронной подписи
- Требования к средствам удостоверяющего центра
Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.
Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».
При создании электронной подписи (ЭП) средства ЭП должны (п.8):
- показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает,
- создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП,
- однозначно показывать, что ЭП создана.
- показывать содержание электронного документа, подписанного ЭП,
- показывать информацию о внесении изменений в подписанный ЭП электронный документ,
- указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:
33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.Установлены и требования к обеспечению сохранности журнала регистрации событий:
34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.
Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.Крайне спорным в документе мне показался п.36, ограничивающий срок действия открытого ключа ЭП. Сразу возникает вопрос, а что же делать тем организациям, которые будут подписывать электронной подписью документы постоянного или длительного срока хранения? Что им делать с этими документами через 15 лет - выбрасывать на электронную помойку (заодно забыв о связанных с ними правах и обязанностях)?
С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством, которое не предусматривает такой глупости, как потеря подписью своей юридической силы.
36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет.Встает вопрос и о квалификации специалистов Минюста, который благополучно зарегистрировал данный документ.
37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=126209
Могу предположить, что пункт 36 связан с криптостойкостью ключей, однако как быть в юридическом плане - непонятно.
ОтветитьУдалитьДа, скорее всего тот, кто писал документ, хотел отразить именно эту проблему. В итоге же получился безграмотный в правовом отношении документ, прямо противоречащий закону об электронной подписи от 6 апреля 2011 года №63-ФЗ, в котором ничего подобного не говорится. В законе сказано следующее:
ОтветитьУдалитьСтатья 11. Признание квалифицированной электронной подписи
Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).
Но автор-то, возможно, айтишник, какой с него спрос :) А вот Минюст пора бы уже наказывать за то, что пропускает такие ляпы.
Вот тут некоторое время назад тоже обсуждался этот приказ http://www.gosbook.ru/node/46160
ОтветитьУдалитьДа, там тоже ряд интересных вопросов поднимается - уже с точки зрения специалистов по криптосредствам и подписям.
ОтветитьУдалитьДля удобства, даю ссылку в активном виде: http://www.gosbook.ru/node/46160