Коллеги!

Как вы думаете: если, предположим, есть ЭДО с ЭЦП, но оно находится на стадии внедрения. Во всех документах идет привязка к ЭЦП в терминологии старого 1-ФЗ - все переделывать или обозвать просто ЭЦПу - квалифицированной ЭЦПой?

Написать в определениях, что под "ЭЦП" по тексту понимается "квалифицированная ЭП" с момента отмены 1-ФЗ

ОК, спасибо!

вот и верхняя палата одобрила
http://www.rbc.ru/rbcfreenews/20110330115440.shtml

Появился следующий вопрос по поводу использования простой электронной подписи.
Если в организации принять нормативный акт регулирующий использование ЭЦП внутри организации. В котором действия совершенные под учетной записью пользователя квалифицировать, как подписанные простой электронной подписью.
Насколько такие действия будут правомерны?!

Я уже об этом размышляю, думаю вполне правомерны.
Главное - внедрить соответствующую парольную политику.

Ух ты, что добавили:

"Статья 11. Признание квалифицированной электронной подписи
Квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:
"

Т.е. на суде можно крикнуть "Мамой клянусь, не подписывал!" и суд "устанавливает", что КЭП недействительна.
Потому что российский суд должен докопаться до ИСТИНЫ, и никакие КЭП не должны замыливать его неподкупный взор!

вопросы по 1-ФЗ (в одной ветке подобное писал):
как доказать юридическую значимость ЭЦП при использовании 1 и 2 типа ЭЦП:
1. есть ли в настоящее время альтернатива криптографии с открытым ключем для обеспечения технологии ЭЦП?
2. как доказать (доказательная база) свою правоту, если вы используете 1 и 2 тип ЭЦП и СКЗИ у вас не сертифицированы?
3. (с4,п.3) - как обеспечить персональную ответственность за подписанный ЭД, если он будет подписан сервером?
4. в законе используется термин ЭЦП юридического лица? что это?
5. с.5 с помощью простой подписи не возможно отследить изменение исходного ЭД, т.е. проверить его целостность, т.е. с одной стороны с.6 ЭД подписанные просто ЭЦП равнозначны собственно ручной подписью и заверенные печатью, с другой целостность она не обеспечивает? и зачем это?
6. Чем отличается усиленная и квалифицированная ЭЦП?
7. 8. УЦ могут работать не только по иерархической схеме, но и по "мосту", "кросс-сертификация", и их много и они уже работают , как их прикрутить к российскому корневому УЦ и есть ли он вообще?

Закон об электронной подписи подписан Президентом: http://top.rbc.ru/society/06/04/2011/571520.shtml

1. Для ЭЦП альтернатив нет, а вот для ЭП - полно ))

2. В соответствии с ГК. Почитайте арбитражную практику. До предъявления суду сертификатов на СКЗИ доходит очень редко. Да и когда доходит, не всегда помогает Обычно суду достаточно того, что клиент согласился на все, подписав договор (тем более, теперь об этом в явном виде говорит закон об ЭП). Это когда с юриками. Когда с физиками - все сложнее, т.к. есть ЗоЗПП, но там и суммы обычно не те. Опять же посмотрите арбитражную практику - сертифицированные СКЗИ суду не особо интересны.
Наличие сертифицированных СКЗИ и квалифицированной подписи просто чуть чуть упрощает задачу банка, но не более того.

3. точно также как сейчас

4. там все равно фигурирует физ.лицо в сертификате, читайте внимательнее

5. использование простой ЭП гораздо проще, чем усиленной. И для банка и для клиента. Так что если риски нарушения целостности не высоки - почему бы и нет? )
это ничем не отличается от современных АСП типа одноразовых паролей или например факсимиле

6. вы сам закон-то читали? или на терминах остановились? ))) ст.5 п.4 - квалифицированная ЭП = усиленная + квалифицированный сертификат (аккредитованный УЦ) + сертифицированные СКЗИ

7. да его пока нету, расслабьтесь. А так получите просто там сертификат для своего УЦ и будет вам счастье

Забудьте по 1-ФЗ, это уже история. Идите в ногу со временем ))
У нас вон почти все электронные госуслуги работают на несертифицированной криптографии, даже УЭК будет видимо без ГОСТа. А вы про какой-то Уц в коммерческой конторе... ))))))

Добрый день!!!

Вопрос следующий: В соответствии с данным законом при обмене ЭС через систему Банк-Клиент можно ли использовать неквалифицированную ЭП, применяя несертифицированные СКЗИ (средства ЭП) и без создания УЦ? Можно ли вообще отказаться от СКЗИ и использовать простую ЭП?
И еще, необходимо ли получать лицензии ФСБ по СКЗИ при использовании неквалифицированной ЭП с несертифицированными СКЗИ?

По закону об ЭП можно, почему бы и нет. См. требования подзаконных актов (то что у ФСБ, ЦБ РФ по этой теме будет, пока изменений не нашёл) и изменения.

1. Я про это и говорю - для того чтобы обеспечить 3 свойства ЭЦП - НЕТ!

2. редко, не редко или часто - суть проста - попадется вам клиент-мошенник, 10-ку лямов у себя спи...т сам, и откажется от платежа, потом возьмет на суд эксперта, который про СКЗИ и проч. понимает (такие люди есть), заплатит ему 0,5 - 1 ляма и распетрушит он ваше ЭДО нафинг и придется вам подарить клиенту 10-ку, а прицедент будет еще люди подтянутся и будете платить всем (всех случаев не расписываю - их много). Поэтому все просто - либо вы такой риск принимаете (а еще нужно понимать, что если такое случится - то на перестройку ЭДО не меньше 2-х лет потребуется и большие затраты) - либо делаете ЭДО сразу правильно и живете спокойно.

3. а как сейчас?

4. а если нет сертификата? в том то и дело, что смысла в ней нет, так как физик присутствует! зачем ЭЦП юрика придумали?

5. читайте п.2 + читайте ЦБ РФ N 17-П от по-моему 98 г.

6. в том то и дело, что одно и тоже по сути.

7. 1-ФЗ депонировать самоподписанный сертификата УЦ в УФО, но на самом деле существуют и другие схемы объединения УЦ, например, "мост", "кросс-сертификация" и таких УЦ туева хуча их не возможно иерархически завязать на корневой УЦ.
Дело в том что его нет, в начале 2000 - х эта задумка появилась, и под эту тему росинформтехнологии замутили (которые уже разогнали, кстати), т.е. уже корневым УЦ никто не занимается.

Забудьте по 1-ФЗ, это уже история. Идите в ногу со временем ))
У нас вон почти все электронные госуслуги работают на несертифицированной криптографии, даже УЭК будет видимо без ГОСТа. А вы про какой-то Уц в коммерческой конторе... ))))))

вот такие как вы и мутят сырые законы и идут со временен в ногу - только не думают о последствиях, вы настоящий рассеянен - сначала запустить чо-нить, принять закон, а уж потом смотреть, как это будет работать и что из этого выйдет.
вы правы госуслуги через ж запущены, поэтому очень надеюсь что вас и таких же как вы скоро начнут кидать по-беспределу, будут красть деньги со счетов (зарплату, кредит или другие вклады), ваши персональные данные, выписывать вас из квартиры без вашего ведома - и все это удаленно, в ногу со временем! - вот тогда я посмотрю на вас, как вы пойдете к боярам и будете восстанавливать справедливость, и вот тогда, боюсь, вы пойдете не в ногу со временем, а в др. место.

xell,
пожалуйста, объясните мне, тупому, чем вас не устраивает использование неквалифицированной ЭП?

Уважаемые, проясните ситуацию. Допустим в банке используется некое ПО для ДБО. Определяется по 1-ФЗ как корпоративная информационная система, УЦ тоже корпоративный и соответственно не аттестованный. В свете 63-ФЗ этот УЦ автоматически становится неаккредитованным УЦ и выдать он может только неквалифицированные ЭП. Так?
И еще... В требованиях по аккредитации УЦ сказано, что "стоимость чистых активов удостоверяющего центра составляет не менее чем один миллион рублей". УЦ банка, который должен аккредитоваться - это же не отдельное юр. лицо? В таком случае считается стоимость активов банка в целом?

открою страшную тайну - это и не всегда надо. термин "разумная достаточность" вам что-нибудь говорит? если риски минимальны - можно спокойно использовать простую ЭП. причем всем давным давно все так и делали (всякие интернет-банки для физиков например, электронные деньги и т.д.). теперь это конкретизировано и однозначно разрешено ФЗ - что вам не нравится?

если вы проводите платежи на 10 млн. - пользуйтесь квалифицированной ЭП, кто вам мешает? а если у вас максимальная сумма 10 тыс. - на хрена вам весь этот геморрой? и одной только сертифицированной скзи вы такие проблемы не решите. СБ у вас есть? вот пусть и проверяет клиентов. если он банк хочет кинуть - может и на бумаге поддельную платежку притащить. даже проще.
вот вам кстати, про "доказательную базу" на основе сертифицированных скзи - сберу оно не помогло. http://rusrim.blogspot.com/2011/04/2.html
индивидуально. новый ФЗ вообще разрешает не указывать в сертификате физ.лицо, если ЭП создается автоматически. ответственность несет юр.лицо, которому выдан сертификат. что правильно.

тогда этот термин к данному случаю неприменим. юр.лицо указывается как раз в сертификате

ФЗ по любому круче, чем временное положение ЦБ. видимо, ЦБ надо заняться приведением своих документов в соответствие с новым ФЗ

аккредитованный уц "одно и тоже по сути", что не аккредитованный? ну-ну... это вы с философской точки зрения чтоль?

ога таки прям апокалипсис, однако... вы когда спать ложитесь, мятые газеты по полу вокруг кровати не разрбасываете? а то, знаете, ходють всякие... мало ли...

1) 1-ФЗ действует еще до 01.07.2012. после этого вы должны либо организовать аттестованный УЦ, либо выдавать неквалифицированные ЭП.
2) конечно

Не нужно пытаться подменить организационные меры техническими. С такими вот "клиентами" должна работать служба безопасности. Причем, еще ДО того момента, когда он стал клиентом.

Никакая ЭЦП, будь она хоть тыщщей филькиных грамот обложена, не застрахована от злонамеренных действий ее непосредственных участников. И от идиотизма ЭЦП тоже, что характерно, не спасает.

Как я понял из закона, квалифицированная ЭЦП вообще предназначена для строго определенных случаев, и в деловом документообороте нецелесообразна.

потому что, как всегда не докрутили! точно также было и со старым ФЗ. если вы свой УЦ (корневой сертификат) в ФАИТ зарегистрировали - то ЭДО у вас юридически значимый, а если нет то юридической значимость иметь не будет. это ровно так же как и с лицензиями лсз считает и требует 3 лицензии, а по-идее 3 ненужно, точно также как и получение лицензии на тех обслуживание клиентам. закон не доделаный, зря не послушали разработчиков СКЗИ, которые выкатывали свои замечания - со старым худо бедно разобрались, теперь еще долго будем ковырять новый.

причем здесь организационные меры и служба безопасности? вы о чем?
если у вас 2,5 клиента, да, наверное, можно пробить каждого, но если их у вас больше 20 000 - это какую же нужно иметь СБ - дык в таком случае вааще не проблема - ставите всех клиентов на ручную обработку и все, подтверждаете по телефону все платежки. и то запись телефонного разговора в суде (если он потом откажется) вряд ли поможет.
вот как раз если при построении ЭДО предусмотрено больше вопросов, тем сложнее будет мошенничать.

про деловой документооборот я и не говорю, имелось ввиду работа с ДБО. Но даже в деловом документообороте, вы именно в суде юридическую значимость простой ЭП не докажите - базы доказательной нет!

xell, да что вы привязались к этой "доказательной базе"?! почитайте все-таки новый ФЗ повнимательней, там есть как раз условия признания неквалифицированной и простой ЭП. что вас не устраивает-то???
а СБ должна проверять всех клиентов перед заключением с ними договора. И ФинМониторинг тоже. И мошеннические конторы они должны выявлять заранее - это их работа. почитайте 115-фз - там много интересного по этой теме. Пропустить конечно могут, но вы себе представляете мошенника, который положит на свой счет 10 млн. потом переведет их куда-нить и пойдет в милицию и в суд, доказывая, что банк его обокрал???

Очень интересно, а как вы докажете юридическую значимость усиленной ЭП?

P.S. Ну вот, bot19 всю интригу разрушил.

Кстати, и ЭП - это уже не реквизит ЭД. И если вы припрётесь в суд с ЭД, подписанным квалифицированной ЭП, но с "кривым" соглашением об ЭДО, то с большой вероятностью проиграете. Об этом в ФЗ, ИМХО, и речь идёт.

Добрый день!

Может кто подскажет. Планировали использовать эцп для аутентификации удаленных пользователей. Удаленные пользователи подключаются по защищенному каналу и передают персональные данные. До принятия нового ФЗ вопроса с выбором эцп не было, сейчас же не понятно какую можно использовать в связи с ФЗ 152. С удаленными организациями можно заключить договор об использовании простой или не сертифицированной эцп, но будет ли это правильно?

имелась ввиду простая или неквалифицированная ЭП.

будет.
для использования квалифицированной эп необходим аккредитованный УЦ, а это я так понял та еще тема...

Да, простая или неквалифицированная ЭП, интересно как на это посмотрят регуляторы.
Не хочется заморочек с квалифицированной.

xell,
пожалуйста, не употребляйте словосочетание "юридическая значимость". Такого зверя в природе не существует. Применительно к ЭП/ЭЦП/АСП существует юридический факт "равнозначность собственноручной подписи", и ничего более.

Законодательством установлены условия признания равнозначности для всех трех видов ЭП.

Квалифицированная ЭП признается эквивалентной собственноручной подписи по-умолчанию . Для нее используются "кошерные" СКЗИ, подпись проверяется с помощью сертификата, выданного "кошерным" УЦ и т.п. Не вижу в принципе никакой разницы между квалифицированной ЭП и ЭЦП в терминах ФЗ-1. В случае разбора полетов, при выполнении формальных требований статьи 11 ФЗ, мение "экспертов" никого волнует - есть результаты оценки соответвия СКЗИ, которые кроют любого "эксперта". Поэтому квалифицированная ЭП однозхначно спасает отца русской демократии.

Неквалифицированная ЭП признается равнозначной собственноручной при наличии а) соглашения сторон, соответствующего требованиям статьи 10 ФЗ и б) использовании СКЗИ, соответствующих требованиям статьи 12 ФЗ. Если ваш гипотетический "терпила" использует сертифицированную криптографию или даже RSA-1024, то вы умаетесь искать "эксперта", который кого-то там "распетрушит". На СКЗИ накуладывается только два условия:
- обеспечивать неизменность документа
- практическую невозможность восстановления ключа.

Вы готовы найти "эксперта", который на практике покажет коллизию или восстановление ключа? Флаг вам в руки. Поэтому даже неквалифицированная ЭП тодже вполне себе решает поставленную задачу.

Это назвается "читал, но не угадал ни одной буквы"

+1
Подсыплю...
- Судя по нвому ФЗ, можно передавать для подписывания при наличии согласия и доверенности (кстати какой?) сертификат ключа ЭП другому лицу. Как в данном случае будут трактоваться возможные конфликтные ситуации?
- УЦ при квалифицированной ЭП, получается, должен оформляться как отдельное ЮЛ? У нас он корпоративный, соответствует 1-ФЗ. И чо теперь делать?

1) это вы где такое нашли?
2) нет не должен

------
Статья 10. Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей
При использовании усиленных электронных подписей участники электронного взаимодействия обязаны:

1) обеспечивать конфиденциальность ключей электронных подписей, в частности не допускать использование принадлежащих им ключей электронных подписей без их согласия
--------
Это как трактовать? Для автоматизированного подписания?

По пункту 2 - почему не должны? Как обеспечить УЦ уставным капиталом?