среда, 30 апреля 2014 г.

Регулирование электронного документооборота органов государственной власти Республики Башкортостан, часть 3


(Продолжение, предыдущую часть см. http://rusrim.blogspot.ru/2014/04/2.html )

Использование электронных подписей в межведомственном документообороте республики Башкортостан

Одним из показателей зрелости электронного документооборота в организации является качество нормативного регулирования использования электронных подписей. Отмечу, что «Положение о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц исполнительных органов государственной власти Республики Башкортостан» (утв. Постановлением Правительства Республики Башкортостан от 25 января 2008 г. № 11), изменения в который вносились последний раз в 2009 году – уже частично устаревший документ. Так, федеральный закон «Об электронной цифровой подписи» уже как девять месяцев не действует, однако данный документ до сих пор не приведен в соответствие с действующим федеральным законодательством.

В «Регламенте работы системы межведомственного электронного документооборота исполнительных органов государственной власти Республики Башкортостан с использованием электронной подписи» (утв. приказом Министерства связи и массовых коммуникаций Республики Башкортостан 10 мая 2011 года № 262-ОД, см. http://base.consultant.ru/regbase/cgi/online.cgi?req=doc;base=RLAW140;n=73010 ) используется термин «электронная подпись», однако при этом организации должны руководствоваться в своей деятельности:
  • Постановлением Правительства Республики Башкортостан от 12 марта 2007 года № 57 «Об организации использования электронной цифровой подписи в электронных документах, хранимых, обрабатываемых и передаваемых в автоматизированных информационных и телекоммуникационных сетях и системах исполнительных органов государственной власти Республики Башкортостан»;

  • Постановлением Правительства Республики Башкортостан от 25 января 2008 года № 11 «Об организации электронного документооборота исполнительных органов государственной власти Республики Башкортостан с использованием электронной цифровой подписи».
«Положение о порядке организации выдачи и отзыва сертификатов ключей электронных цифровых подписей уполномоченных лиц исполнительных органов государственной власти Республики Башкортостан»

Данный документ утвержден Постановлением Правительства Республики Башкортостан от 25 января 2008 г. № 11. Обращает на себя внимание то, что ряд его положений противоречат как требованиям законодательства, так и хорошей практике обеспечения информационной безопасности:
  • В число функций удостоверяющего центра (п. 7.1.), помимо изготовления сертификатов ключей подписи, включено «создание ключей ЭЦП»;

  • Организация после подачи заявления об исключении уполномоченного лица из реестра уполномоченных лиц организаций должна передать в течение 5 рабочих дней ключевой носитель (с закрытым ключом) в удостоверяющий центр для уничтожения (п. 6.2.3.). Таким же образом уничтожаются и закрытые ключи при досрочном отзыве сертификатов (п. 9.4.) и при окончания срока действия сертификата ключа подписи владелец сертификата ключа (п. 10.6.).
Уполномоченный орган на основании данных реестра уполномоченных лиц организаций в течение двух рабочих дней формирует и направляет в удостоверяющий центр поручение (п.8.1.):
  • на создание ключей ЭЦП, проверку их подлинности, отзыв;

  • на изготовление сертификатов.
Удостоверяющий центр на основании поручения уполномоченного органа изготавливает ключи ЭЦП и сертификаты уполномоченных лиц в электронном виде и в двух экземплярах в форме документа на бумажном носителе (п.8.2.).

Способ получения ключей ЭЦП и сертификата также предусматривает вариант, когда закрытый ключ ЭЦП, сформированный неизвестно кем, может по доверенности получить человек, не являющимся владельцем ключа (п. 8.3.):
  • Получение осуществляется уполномоченным лицом лично с предъявлением паспорта или иного документа, удостоверяющего личность;

  • Получение осуществляется доверенным лицом уполномоченного лица с предъявлением оформленной доверенности.
Уполномоченное лицо или доверенное лицо (в зависимости от способа получения) расписывается в соответствующем журнале выдачи ключей ЭЦП и сертификатов о получении:
  • электронного носителя с ключами ЭЦП;

  • сертификата в форме документа на бумажном носителе.
Мой комментарий: С точки зрения информационной безопасности подобный вариант формирования ключей оправдан лишь при условии использовании дорогостоящих высокозащищённых носителей ключевой информации, обеспечивающих неизвлекаемость ключа электронной подписи, который создается, хранится и используется исключительно внутри такого устройства. В случае использования менее защищённых носителей возникают существенные риски.

4 апреля 2014 года на вебинаре еженедельника PCWeek «Как эффективно организовать межведомственное электронное взаимодействие органов государственной власти: пример Башкортостана» (см.: http://www.pcweek.ru/webinars/detail.php?ID=160612  ) руководитель Агентства по ИТ Республики Башкортостан Ильдар Ямалов сообщил о том, что сейчас в органах исполнительной власти республики используется усиленная квалифицированная электронная подпись, которую всем участникам межведомственного взаимодействия выдает единственный удостоверяющий центр, ежегодно выпускающий 6-7 тысяч сертификатов.

(Окончание следует, см. http://rusrim.blogspot.ru/2014/05/4.html )

Источники: PCWeek, Консультант Плюс
http://www.pcweek.ru/webinars/detail.php?ID=160612 

Комментариев нет:

Отправить комментарий