11 декабря, понедельник 12:43
Bankir.Ru

Объявление

Свернуть

Технические работы на сайте

Сегодня, 8 декабря, на сайте будет обновлена система авторизации. Новый функционал позволит объединить регистрацию на форуме с регистрацией в комментариях. После этого обновления надо будет залогиниться по новой на форуме. При возникновении проблем с регистрацией пишите мне на forum@bankir.ru. Для пользователей форума будут внесены некоторые изменения в личный кабинет пользователя. Смена E-mail и пароля переедет в единый личный кабинет.
Показать больше
Показать меньше

Где найти текст закона об ЭЦП?

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Где найти текст закона об ЭЦП?

    Уважаемые!

    Где можно почитать текст закона "Об электронной цифровой подписи"? А то Дума его уже в третьем чтении приняла, осталось недолго.

  • #2
    http://www.shubin.ru/it_zakontext/it...id/413981.html

    Комментарий


    • #3
      Ссылка, которую дал Michael, давно устарела - это текст проекта, который был принят в начале лета в первом чтении. 21 ноября Закон об ЭЦП был принят во втором чтении. Новый проект существенно отличается от того, который был принят в первом чтении. Текст - на официальном сайте Госдумы по адресу http://www.akdi.ru/gd/proekt/086086GD.SHTM
      13 декабря Закон был принят в третьем чтении. Остались формальные процедуры - утверждение на Совете Федерации и подписание Президентом. Думаю, что текст в третьем чтении практически не отличается от того, на который указывает ссылка, т.к. времени на доработку практически не было.

      Комментарий


      • #4
        to dann14

        Ссылка правильная, только у Вас точка к ссылке примкнула
        Без точки - http://www.akdi.ru/gd/proekt/086086gd.shtm

        Комментарий


        • #5
          И как вы можете прокомментировать статью 8 пункт 2, которой не было в предыдущем варианте проекта? Идет ли в ней речь и об удостоверяющих центрах корпоративных систем? Если так, то лицензии придется получать всем, кто предоставляет любые услуги удаленного обслуживания.

          Комментарий


          • #6
            Привет Михаил!
            И всей честной компании!
            Если есть интерес - я могу выслать док-файл "от производителя" текст проекта закона об ЭЦП. хотя, беглый просмотр ресурса http://www.akdi.ru/gd/proekt/086086gd.shtm позволяет сказать, что документы, практически, идентичны
            А как просьба - ваш анализ.
            Скажите мне пожалуйста, как банкиры спец-ту по защите информации - а каков экономический эффект от применения Закона об ЭЦП для конкретного центра сертификации?
            Есть ли резон потратить свои силы на создание такого центра (возможность - есть, а просчитать экон.эффект - образование, простите, не позволяет)?
            А для вас, банкиров, могу сказать, что волнение в ваших рядах - напрасное. С помощью простого включения дополнительных условий в ваши договора клиент-банк, можно избежать дорогостоящего (а вот насколько?) сертифицирования.
            Вопросы? komei@mail.ru

            Комментарий


            • #7
              Данный проект - сделан, с моей точки зрения топорно. Особенно определение ЭЦП. Речь должна идти не о ЭЦП, а об электронной подписи. А это две большие разницы!

              Комментарий


              • #8
                Что еще можно добавить.
                Многие определения Закона - весьма расплывчаты.
                Он задает только вертикаль, а вот что будет твориться на горизонтальных слоях?
                И еще раз по тексту:

                Статья 17. Использование электронной цифровой подписи в корпоративной информационной системе
                1. Корпоративная информационная система, предоставляющая участникам
                информационной системы общего пользования услуги удостоверяющего центра
                корпоративной информационной системы, должна соответствовать требованиям,
                установленным настоящим Федеральным законом для информационных систем
                общего пользования.
                2. Порядок использования электронных цифровых подписей в
                корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой
                системы.
                3. Содержание информации в сертификатах ключей подписей, порядок ведения реестра сертификатов ключей подписей, порядок хранения аннулированных сертификатов ключей подписей, случаи утраты указанными сертификатами юридической силы в корпоративной информационной системе регламентируются решением владельца этой системы или соглашением участников корпоративной информационной системы.

                Комментарий


                • #9
                  Однако

                  "подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством ЭЦП с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанного данной электронной цифровой подписью электронном документе; "

                  и

                  "Статья 4. Условия признания равнозначности электронной цифровой подписи и собственноручной подписи
                  1. Электронная цифровая подпись в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном выполнении следующих условий:
                  сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
                  подтверждена подлинность электронной цифровой подписи в электронном документе;
                  электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи. "

                  В связи с чем очевидно, что в системах любых типов ЭЦП не может считаться равнозначной собственноручной подписи (а согласно Статье 19 - и печати) без проверки сертификата, осуществляемой, согласно Статье 9, удостоверяющим центром.

                  Выводы: очередной нерабочий документ, принесущий много головной боли без какого бы то ни было намека на пользу.

                  Комментарий


                  • #10
                    Нужно ли получать лицензии для корпоративного удостоверяющего центра ? (при условии принятия Закона об ЭЦП)

                    Пункт 2 Статьи 8, на мой взгляд, однозначно отвечает на этот вопрос – нужно.
                    Более того, уже сейчас принят закон, который устанавливает такое требование. Имеется в виду закон "О лицензировании отдельных видов деятельности"
                    (принят 8 августа 2001 года, вступает в силу с 9 февраля будущего года), в котором говорится:
                    "Статья 17. Перечень видов деятельности, на осуществление которых требуются лицензии

                    деятельность по выдаче сертификатов ключей электронных цифровых подписей, регистрации владельцев электронных цифровых подписей, оказанию услуг, связанных с использованием электронных цифровых подписей, и подтверждению подлинности электронных цифровых подписей;…"

                    Правда, в законе о лицензировании есть некоторые ограничения на сферу его действия, а именно: в пункте 2 статьи 1 говорится, что "…действие настоящего Федерального закона не распространяется на следующие виды деятельности: деятельность кредитных организаций …"
                    Естественно, здесь имеется в виду основная деятельность кредитной организации (привлечение средств, предоставление кредитов и т.п.), лицензию на осуществление которой выдает ЦБ по своим правилам. Хотя формальная зацепка для юристов, наверное, есть.
                    Ссылка на текст закона - http://www.rg.ru/oficial/doc/federal_zak/128_F3.shtm

                    Кроме того, можно найти различного рода уловки, позволяющие уклониться от получения лицензий. Например, назвать свой корпоративный УЦ центром регистрации (учета, сертификации и т.п.), вместо ЭЦП употреблять термин "цифровая подпись", вместо шифрование – "кодирование" и т.п. (путь, по которому идет ЛанКрипто). Но, думаю, рано или поздно придется играть по правилам, которые устанавливает государство (в том числе ФАПСИ).

                    Комментарий


                    • #11
                      To JK

                      Проверка сертификата осуществляется локально, на основании корневого сертификата (сертификата УЦ), который каждый пользователь получает один раз и в дальнейшем им пользуется, обеспечивая самостоятельно его защиту от подмены. Таким образом, обращаться в УЦ для проверки сертификата каждый раз, когда нужно проверить корректность ЭЦП, не нужно.
                      Другое дело, если возникнет спорная ситуация. Тогда ее разрешает УЦ.

                      Могу с Вами согласиться в том смысле, что реально можно строить системы с ЭЦП и без УЦ, ведь сертификация открытого ключа - только один из способов обеспечения его защиты от подмены. Например, прекрасно работающая PGP обходится без УЦ. При этом используются самые что ни на есть настоящие ЭЦП.

                      Хотя, на мой взгляд, системы с УЦ или системы на основе инфраструктуры открытых ключей (PKI) - наиболее перспективны именно в качестве систем, которые могут обеспечить юридическую значимость цифровой подписи.

                      Комментарий


                      • #12
                        Большой Лодырь
                        Речь должна идти не о ЭЦП, а об электронной подписи. А это две большие разницы!
                        Вот именно
                        Ту сущность, о которой речь идет в законе можно считать столбиком (в принципе!), т.е. это, строго говоря, "цифровая подпись". А в понятие "электронной подписи" входит, в том числе, и отсканированное изображение. Так что корректнее термины "ЭЦП" и "ЦП", но не "ЭП", хотя в дискуссиях часто говорят просто "электронная подпись", подразумевая, все-таки ЭЦП.
                        Earl Vlad Drakula. ///

                        Комментарий


                        • #13
                          to Unregistered
                          Нужно ли получать лицензии для корпоративного удостоверяющего центра ? (при условии принятия Закона об ЭЦП)
                          На недавнем семинаре по эл. документообороту академик Фатьянов (МИФИ) пояснил, что в соответствии с законом о лицензировании отдельных видов деятельности - надо. Даже для корпоративного УЦ, как это не прискорбно.
                          Earl Vlad Drakula. ///

                          Комментарий


                          • #14
                            Фатьянов -ФАПСИшник. И к закону об ЭЦП тоже руку приложил,
                            так как он консультантом в Госдуме подрабатывает.

                            и не академик а доктор он. Дописал таки свою диссертацию ....
                            WBR
                            serg

                            Комментарий


                            • #15
                              to sharpcat

                              Фатьянов -ФАПСИшник.
                              Не знаю, спорить не буду. Я его воспринимаю, как зав. кафедрой в МИФИ Даже если он и "фапсишник" (блин, ну тут прям одни диссиденты собрались, все спецсслужбы не любят ), мне все равно нравится его взвешенная позиция по отношению к лицензированию и сертификации.

                              И к закону об ЭЦП тоже руку приложил,
                              так как он консультантом в Госдуме подрабатывает.
                              Руку он прилагал к самой первой версии, от которой мало что осталось.

                              и не академик а доктор он. Дописал таки свою диссертацию ....
                              Естественно, что "доктор" Трудно быть академиком (не считаю почетных), без докторской диссертации.

                              зы. А за что Вы до кучи с ФАПСИ еще и МИФИ так не любите?
                              Earl Vlad Drakula. ///

                              Комментарий


                              • #16
                                Коллеги !

                                Закон о лицензировании обсуждался в разделе "Юридические вопросы" - "Получение лицензии ФАПСИ".
                                Если коротко, то был сделан вывод, что лицензия для УЦ нужна, даже для корпоративного банковского. Хотя есть некоторые неточности в формулировках, позволяющие попытаться оспорить это утверждение.

                                Комментарий


                                • #17
                                  Коллеги !
                                  А что скажете по поводу
                                  1) статьи 3:эл.док-т - док-т, в котором информация представлена в электронно-цифровой форме.
                                  ЭЦП - реквизит электронного документа, предназначенный для....
                                  Это что получается, если нет ЭЦП документ уже не электронный ?

                                  2) п.1 ст. 4 ЭЦП в электронном документе равнозначна собственноручной подписи в документе на бумажном носителе при одновременном соблюдении следующих условий:
                                  сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
                                  А если сертификат на момент проверки действовал, а на момент подписи ?
                                  Что за доказательства, определяющие момент подписания ?

                                  Комментарий


                                  • #18
                                    To Punisher

                                    1) Электронный документ может иметь несколько реквизитов, в том числе ЭЦП. Нигде не сказано, что ЭЦП - обязательный реквизит электронного документа.

                                    2) Документ с ЭЦП может храниться долго, значительно дольше срока действия ключа ЭЦП (=сроку действия сертификата). Например, нормативные документы в электронном архиве могут храниться десятки лет. Срок действия сертификата, как правило, несколько лет. По истечении этого срока сертификат помещается в архив сертификатов. Сертификат также может быть отозван досрочно, в этом случае он помещается в список отозванных сертификатов.
                                    Если при выборке документа с ЭЦП обнаруживается, что срок действия сертификата истек, это не значит, что ЭЦП некорректна, т.к. на момент простановки сертификат мог действовать. Таким образом, необходимо знать, действовал ли сертификат на момент простановки подписи.
                                    Но если всю достоверную информацию по сертификату можно получить в удостоверяющем центре, то установить достоверно момент простановки ЭЦП не так просто. А это важно. Например, можно создать документ с ЭЦП, полученной при помощи выведенного из действия ключа, изменив при этом дату подписания на ту, при которой этот ключ действовал. Тогда проверка корректности ЭЦП пройдет.
                                    Для достоверного подтверждения времени подписания применяют механизм time-stamp (отметка времени), заверяя время простановки ЭЦП путем простановки еще одной ЭЦП в автоматическом режиме. При этом используется ключ, срок действия которого очень большой или даже не ограничен. При смене этого ключа необходимо "переподписывать" все заверенные ранее документы.

                                    Комментарий


                                    • #19
                                      dann14
                                      Спасибо за ответ.
                                      Для достоверного подтверждения времени подписания применяют механизм time-stamp (отметка времени)
                                      Интересно, люди "написавшие" этот закон про это знали ? А если знали, так почему в законе не описан весь порядок ? Жаль очень нужный закон и так его изувечить

                                      Комментарий


                                      • #20
                                        to Punisher
                                        Это что получается, если нет ЭЦП документ уже не электронный ?

                                        Наверное, это уже не документ.

                                        Комментарий


                                        • #21
                                          Всем!
                                          Примите мои искренние поздравления с новым годом!

                                          Касательно темы дискуссии. Закон очень сырой, и принятие его было необходимо потому, что разработчики "проели" огромное количество бюджетных денегю. Если не принять закон, то придется отчитываться.

                                          Касательно лицензирования. Во первых в корпоративных системах его создавать не нужно. Там достаточно старого доброго соглашения сторон и ГК РФ.

                                          Н.И. Соловяненко - один из основных разработчиков закона, которой надоела вся свистопляска вокруг него. будет делать на "РусКрипто 2002" доклад цель которого показать как увести все банковские системы из под регулирования этого дурацкого закона.

                                          Сам лично готов проконсультировать желающих. volchkov@mtk-mobile.ru, volchkov@gsmrus.ru

                                          Алексей.

                                          Комментарий


                                          • #22
                                            Alexei Volchkov
                                            как увести все банковские системы из под регулирования этого дурацкого закона.
                                            Т.е. Н.И. Соловяненко, понимаешь, сидел проедал наши деньги, приложил руку к ... не знаю чему, а теперь советует как уходить.Это может быть и хорошо, что от такого "злого дядя" (закона) нужно уводить, только может г-ну Н.И. Соловяненко и сотоварищам стоило сделать "дядю" нормальным. Чтоб мы пользовались нормальным законом. Закон то нужный. Я, например, хоче сдавать всю отчетность в электронном виде и не стоять очереди в ГНИ

                                            Комментарий


                                            • #23
                                              ) Да, веселая история с Соловяненко.
                                              Интересно еще посмотреть, кто как в думе голосовал за этот закон.
                                              WBR
                                              serg

                                              Комментарий


                                              • #24
                                                Punisher, sharpcat

                                                Н.И. Соловяненко прекратила работу над законопроектом примерно год назад, убедившись в невменямости ФАПСИ. Она ратовала за закон в соответствии с рекомендациями UNCITRAL и ПАСЕ. Сейчас объективно это наиболее квалифицированный специалист, который может объяснить что именно делать в сложившейся ситуации.

                                                Голосование же в думе было 2 против, остальные за. Основная причина - тотальное непонимание депутатов за что собственно они голосуют. Понимания технологии ЭЦП там нет.

                                                Комментарий


                                                • #25
                                                  всех в отставку....
                                                  WBR
                                                  serg

                                                  Комментарий


                                                  • #26
                                                    Alexei Volchkov

                                                    А Ваша ассоциация "РусКрипто" разве не принимала участия в подготовке этого закона ? Казалось бы - кому, как не вам...

                                                    А что касается "увода" банков "из под регулирования этого дурацкого закона", то, видимо, речь идет о возможности использовать в банках несертифицированные средства ЭЦП (ЛанКриптовские, например). Да, наверное, можно найти в законе лазейки и ими воспользоваться. Но это дело бесперспективное. "Буква" закона, возможно, будет соблюдена, но его "дух" или "направленность", все-таки будет нарушена. А юридические огрехи рано или поздно поправят...

                                                    Комментарий


                                                    • #27
                                                      dann14
                                                      Буква" закона, возможно, будет соблюдена, но его "дух" или "направленность", все-таки будет нарушена. А юридические огрехи рано или поздно поправят...
                                                      Строго наоборот. Будут соблюдены и дух и буква. Дух закона - "корпоративные системы вне регулирования". А вот как грамотно все сделать внутри корпоративной системы это уже отдельный разговор. Кроме того, технология, которою используют 90%-95% процентов потребителей систем ЭЦП вообще отлична от технологии, прописанной в законе. Что выгоднее потратить безумные деньги на смену технологий, или неделю работы юристов банка на оформление грамотных документов.


                                                      Алексей.

                                                      Комментарий


                                                      • #28
                                                        To Alexei Volchkov

                                                        "…корпоративные системы вне регулирования."

                                                        Да, многие вопросы функционирования корпоративных систем отданы на откуп владельца системы, но не все. И это правильно !

                                                        А что касается "духа" закона, то я полагал, что одна из основных идей должна была состоять в том, что ЭЦП признается равнозначной собственноручной подписи (в т.ч. судом !), если использовались сертифицированные средства ЭЦП. Мне кажется, что так должно быть. А как иначе разбираться в суде, не имея сертифицированного (эталонного) средства проверки ЭЦП ?
                                                        Но в законе почему-то нигде об этом явно не говорится.
                                                        Можно рассуждать и по принципу "от противного". Если бы в корпоративных системах можно было использовать несертифицированные средства ЭЦП, значит - не обязательно использовать ГОСТ, значит – можно использовать зарубежные алгоритмы, значит – можно и вообще ничего не покупать, а запрограммировать самому. А заодно и алгоритм свой изобрести, а чего мучаться с этими эллиптическими кривыми…
                                                        Но какой же суд потом примет к рассмотрению такие, с позволения сказать, подписи ?

                                                        Николай.

                                                        Комментарий


                                                        • #29
                                                          dann14
                                                          что касается "духа" закона, то я полагал, что одна из основных идей должна была состоять в том, что ЭЦП признается равнозначной собственноручной подписи (в т.ч. судом !)
                                                          Николай, абсолютно Вас поддерживаю. Главная задача закона - регулировать отношения ЭЦП-собственноручная подпись.

                                                          Комментарий


                                                          • #30
                                                            to dann14
                                                            бШ ОХЬХРЕ "дЮ, ЛМНЦХЕ БНОПНЯШ ТСМЙЖХНМХПНБЮМХЪ ЙНПОНПЮРХБМШУ ЯХЯРЕЛ НРДЮМШ МЮ НРЙСО БКЮДЕКЭЖЮ ЯХЯРЕЛШ, МН МЕ БЯЕ. х ЩРН ОПЮБХКЭМН !". гДЕЯЭ ОПНЬС ОНДПНАМЕЕ. нАЗЪЯМХРЕ ОНФЮКСИЯРЮ ГЮВЕЛ ЛМЕ Б ЛНЕИ ЙНПОНПЮРХБМНИ ЯХЯРЕЛЕ БМЕЬМХИ ПЕЦСКЪРНП, ОПЕДСЯЛНРПЕММШИ ГЮЙНМНЛ НА щжо Б БХДЕ тюоях.

                                                            дЮКЕЕ бШ ОХЬХРЕ "еЯКХ АШ Б ЙНПОНПЮРХБМШУ ЯХЯРЕЛЮУ ЛНФМН АШКН ХЯОНКЭГНБЮРЭ МЕЯЕПРХТХЖХПНБЮММШЕ ЯПЕДЯРБЮ щжо, ГМЮВХР - МЕ НАЪГЮРЕКЭМН ХЯОНКЭГНБЮРЭ цняр, ГМЮВХР √ ЛНФМН ХЯОНКЭГНБЮРЭ ГЮПСАЕФМШЕ ЮКЦНПХРЛШ, ГМЮВХР √ ЛНФМН Х БННАЫЕ МХВЕЦН МЕ ОНЙСОЮРЭ, Ю ГЮОПНЦПЮЛЛХПНБЮРЭ ЯЮЛНЛС. ю ГЮНДМН Х ЮКЦНПХРЛ ЯБНИ ХГНАПЕЯРХ, Ю ВЕЦН ЛСВЮРЭЯЪ Я ЩРХЛХ ЩККХОРХВЕЯЙХЛХ ЙПХБШЛХ┘
                                                            мН ЙЮЙНИ ФЕ ЯСД ОНРНЛ ОПХЛЕР Й ПЮЯЯЛНРПЕМХЧ РЮЙХЕ, Я ОНГБНКЕМХЪ ЯЙЮГЮРЭ, ОНДОХЯХ ?". оНЯЛНРПХРЕ ОНФЮКСИЯРЮ, ЙЮЙ ПЮАНРЮЕР БЕЯЭ ЛХП. бШ ФЕ МЮЯ ОШРЮЕРЕЯЭ САЕДХРЭ, ВРН юнмш Х тюйяш РЕКЕТНММШЕ КХМХХ ОНПРЪР, ЛНАХКЭМХЙХ РПЮТХЙ ОЕПЕЦПСФЮЧР, Ю ХЯОНКЭГНБЮРЭ ЛНФМН РНЙЛЮ РЕКЕТНМШ ГЮБНДЮ "йПЮЯМЮЪ РПСАЮ".

                                                            Le Colonel

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X