вторник, 28 февраля 2012 г.

ФСБ установило требования к средствам электронной подписи и удостоверяющего центра

Приказом Федеральной службы безопасности от 27 декабря 2011 г. № 796 утверждены:
  • Требования к средствам электронной подписи
  • Требования к средствам удостоверяющего центра
Разработка данных документов была предусмотрена частью 5 статьи 8 федерального закона от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи».

Требования предназначены для заказчиков и разработчиков средств электронной подписи и удостоверяющих центров при их взаимодействии между собой и с организациями, проводящими криптографические и специальные исследования таких средств, а также при их взаимодействии с ФСБ, подтверждающей соответствие таких средств установленным требованиям.

Меня в первую очередь интересовало, как в этих требованиях отражены вопросы, связанные с управлением документами. Немало соответствующих пунктов нашлось в «Требованиях к средствам электронной подписи».

При создании электронной подписи (ЭП) средства ЭП должны (п.8):
  • показывать лицу, подписывающему электронный документ, содержание информации, которую он подписывает,
  • создавать ЭП только после подтверждения лицом, подписывающим электронный документ, операции по созданию ЭП,
  • однозначно показывать, что ЭП создана.
При проверке ЭП средства ЭП должны (п.9):
  • показывать содержание электронного документа, подписанного ЭП,
  • показывать информацию о внесении изменений в подписанный ЭП электронный документ,
  • указывать на лицо, с использованием ключа ЭП которого подписаны электронные документы.
Эти требований не применяются к средствам ЭП, используемым для автоматического создания и (или) автоматической проверки ЭП в информационной системе (п.10).

В зависимости от способности противостоять угрозам, средства ЭП подразделяются на классы (п.12). В зависимости от класса, требования к фиксации событий, связанных с использованием средства ЭП, различаются:
33. Для средств ЭП классов КС1 и КС2 необходимость предъявления требований к регистрации событий и их содержание указываются в ТЗ на разработку (модернизацию) средства ЭП.

34. В состав средств ЭП классов КС3, КВ1, КВ2 и КА1 должен входить модуль, производящий фиксацию в электронном журнале регистрации событий в средстве ЭП и СФ, связанных с выполнением средством ЭП своих целевых функций.

Требования к указанному модулю и перечень регистрируемых событий определяются и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
Установлены и требования к обеспечению сохранности журнала регистрации событий:
35. Журнал регистрации событий должен быть доступен только лицам, определенным оператором информационной системы, в которой используется средство ЭП, или уполномоченными им лицами. При этом доступ к журналу регистрации событий должен осуществляться только для просмотра записей и для перемещения содержимого журнала регистрации событий на архивные носители.
Крайне спорным в документе мне показался п.36, ограничивающий срок действия открытого ключа ЭП. Сразу возникает вопрос, а что же делать тем организациям, которые будут подписывать электронной подписью документы постоянного или длительного срока хранения? Что им делать с этими документами через 15 лет - выбрасывать на электронную помойку (заодно забыв о связанных с ними правах и обязанностях)?

С моей точки зрения, либо авторы документа не в ладах с русским языком, и не смогли грамотно выразить свою мысль, какой бы она ни была, - либо они не в ладах с законодательством, которое не предусматривает такой глупости, как потеря подписью своей юридической силы.
36. Срок действия ключа проверки ЭП не должен превышать срок действия ключа ЭП более чем на 15 лет.

37. Требования к механизму контроля срока использования ключа ЭП, блокирующего работу средства ЭП в случае попытки использования ключа дольше заданного срока, определяются разработчиком средства ЭП и обосновываются организацией, проводящей исследования средства ЭП с целью оценки соответствия средства ЭП настоящим Требованиям.
Встает вопрос и о квалификации специалистов Минюста, который благополучно зарегистрировал данный документ.

Источник: Консультант Плюс
http://base.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=126209

4 комментария:

  1. Могу предположить, что пункт 36 связан с криптостойкостью ключей, однако как быть в юридическом плане - непонятно.

    ОтветитьУдалить
  2. Да, скорее всего тот, кто писал документ, хотел отразить именно эту проблему. В итоге же получился безграмотный в правовом отношении документ, прямо противоречащий закону об электронной подписи от 6 апреля 2011 года №63-ФЗ, в котором ничего подобного не говорится. В законе сказано следующее:

    Статья 11. Признание квалифицированной электронной подписи

    Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
    1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;
    2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;
    3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, получивших подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;
    4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены).


    Но автор-то, возможно, айтишник, какой с него спрос :) А вот Минюст пора бы уже наказывать за то, что пропускает такие ляпы.

    ОтветитьУдалить
  3. Вот тут некоторое время назад тоже обсуждался этот приказ http://www.gosbook.ru/node/46160

    ОтветитьУдалить
  4. Да, там тоже ряд интересных вопросов поднимается - уже с точки зрения специалистов по криптосредствам и подписям.

    Для удобства, даю ссылку в активном виде: http://www.gosbook.ru/node/46160

    ОтветитьУдалить