Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline DmiLian  
#1 Оставлено : 4 мая 2009 г. 23:19:31(UTC)
DmiLian

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 11

Добрый день! Нам необходимо, чтобы все документы, которые посылает нам заказчик в электронном виде были подписаны.
1) Каким образом все клиенты могут получать (создавать) закрытый и открытый ключи?
2) После того, как клиент получил (создал) ключи, каким образом он может подписывать свои письма, то есть какие для этого нужны программы?
3) Как мы сможем проверить подлинность письма после того, как оно придет к нам?
Нам обязательно необходимо следовать ГОСТ Р 34.10-2001. Может быть у КриптоПро есть соответствующие продукты?
Offline Юрий Маслов  
#2 Оставлено : 5 мая 2009 г. 15:33:12(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Для общего понимания технологии обеспечения юридической силы электронных документов, удостоверенных ЭЦП:

Термины и определения
Для понимания технологии ЭЦП необходимо привести ряд основных терминов и их определений.
Ключ подписи (эквивалентные термины: закрытый ключ, секретный ключ) – число, записанное в машинном коде на магнитном носителе (дискета, флешка, токен и т.д.), с помощью которого создается ЭЦП.
Сертификат ключа подписи (эквивалентный термин: сертификат открытого ключа) – это своего рода электронное удостоверение, изготавливаемое и выдаваемое удостоверяющим центром, которое закрепляет факт владения физическим лицом (сотрудником организации) своим ключом подписи. С помощью сертификата ключа подписи проверяется созданная в документе ЭЦП.
Удостоверяющий центр – это организация, которая изготавливает, выдает и управляет сертификатами ключей подписи пользователей.
Средство электронной цифровой подписи (эквивалентные термины: средство криптографической защиты информации, шифровальное (криптографическое) средство) – это средство криптографической защиты информации (чаще всего выполнено в виде программы для ЭЦМ), с помощью которого создается и проверяется ЭЦП. Средства ЭЦП сертифицируются ФСБ России.

Цели применения ЭЦП
Основной целью применения ЭЦП является переход с бумажной на безбумажную технологию. Т.е. подлинники (оригиналы) документов оформляются не в традиционной форме на бумажных носителях, а в виде электронных документов.
Такой переход приводит к тому, что:
• значительно сокращаются сроки передачи документов между сотрудниками или организациями. А это, например, исключит ошибки в оформлении налоговых или бухгалтерских отчетов, когда отчетный период надо закрывать, а оригиналы подтверждающих документов по хозяйственной операции ещё не поступили по почте. Почта у нас в стране приходит очень не быстро.
• сокращаются накладные расходы на документирование: бумага, почтовые расходы и т.д.


Типы систем документооборота
Прежде всего, нужно определиться, для чего вы хотите использовать возможности системы документооборота, в которой применяется ЭЦП. От выбранной цели будет зависеть как техническая, так и организационная сторона реализации проекта.
Следует различать две цели использования ЭЦП:
– для обеспечения корпоративной неотрекаемости;
– для применения ЭЦП в условиях равнозначности собственноручной подписи.

Система с корпоративной неотрекаемостью – это система обмена электронными сообщениями (документами), в которой конфликтные ситуации, связанные с использованием цифровой подписи, разрешаются на уровне администрации предприятия/организации, без рассмотрения в судебном порядке. Как правило, такие системы используются для построения внутрикорпоративной системы делопроизводства и документооборота.
В этой ситуации владелец системы (т.е. предприятие) сам определяет правила использования цифровой подписи, ему не требуется соблюдать нормы Федерального закона «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ). Получается, что он не ставит перед собой задачу построения юридически значимой системы электронного документооборота.

Система с применением ЭЦП в условиях равнозначности собственноручной подписи гарантирует, что ее электронные документы, подписанные ЭЦП, можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. Они будут признаны судом как полноценные документы, имеющие юридическую силу. Поэтому про такие системы говорят, что в них реализован юридически значимый документооборот.
При построении подобной системы, ее организатор должен привести свои правила использования ЭЦП в соответствие с нормами действующего законодательства РФ, включая нормы закона «Об электронной цифровой подписи».

Система документооборота с применением ЭЦП основывается на следующих основных элементах:
• сертифицированное средство ЭЦП – используется участниками системы для создания и проверки ЭЦП электронных документов;
• ключ подписи и сертификат ключа подписи – изготавливается и выдается удостоверяющим центром;
• удостоверяющий центр;
• соглашение о применении ЭЦП.
Эти элементы определены действующим законодательством и без них невозможно построение юридически значимого электронного документооборота в России.

Далее в настоящей статья мы будем говорить именно о системах с применением ЭЦП в условиях равнозначности собственноручной подписи и называть их просто системами.

Соглашение о применении ЭЦП
Участники системы документооборота должны договориться об условиях, при выполнении которых они будут принимать к исполнению документы, удостоверенные ЭЦП. Для этого они должны заключить между собой соглашение. Данный документ является основным организационным моментом в применении ЭЦП. Это определяется нормами действующего законодательства РФ (Гражданский кодекс, ФЗ «Об ЭЦП» и т.д.). Без такого соглашения ни один суд не примет электронный документ, удостоверенный ЭЦП, в качестве письменного доказательства.
Соглашение должно регламентировать все аспекты применения ЭЦП для удостоверения документов, в том числе технические. К основным аспектам, раскрываемым в соглашении, относятся:
• детализированные условия равнозначности ЭЦП собственноручной подписи;
• кто выступает в системе в качестве удостоверяющего центра;
• какие средства ЭЦП используются в системе;
• какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению;
• порядок разрешения конфликтов/споров, связанных с применением ЭЦП.
Примеры таких соглашений можно найти как в Интернете, так и получить, обратившись к профессиональным разработчикам средств ЭЦП, например, в ООО «КРИПТО-ПРО».

Удостоверяющие центры
Удостоверяющие центры являются еще одним обязательным компонентом в применении ЭЦП.
Теоретически удостоверяющим центром может быть как юридическое, так и физическое лицо. Хотя конечно, в реальности услуги удостоверяющего центра предоставляют только юридические лица. Различают удостоверяющие центры, которые:
• оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными);
• обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).
Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности связанные с шифровальными (криптографическими) средствами.
Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически целесообразно заключить договор с внешней организацией, предоставляющей подобные услуги. В настоящий момент в России действуют свыше 300 удостоверяющих центров. Остается только выбрать среди них наиболее подходящий для вас.

Как применить ЭЦП во внутрикорпоративной системе делопроизводства и документооборота?

Здесь мы предполагаем, что все участники системы являются сотрудниками одной организации.
В таких системах указанное выше соглашение оформляется в виде локального нормативного акта организации (например, положения или регламента о порядке применения ЭЦП). Он вводится в действие приказом руководителя организации.
Применение ЭЦП во внутрикорпоративной системе как правило осуществляется в специализированных программных системах, автоматизирующих электронное делопроизводство и документооборот. Поэтому и средства применения ЭЦП внедряются вместе с программной системой автоматизации делопроизводства и документооборота.

Как применить ЭЦП в финансово-хозяйственной деятельности между предприятиями?

Система, в которой участвуют различные организации (физические или юридические лица), должна опираться на соглашение о применении ЭЦП оформленное в форме договора между участниками системы. Естественно, что не должно оформляться в виде двухстороннего договора. При большом количестве участников системы очень трудно заключить такое количество договоров и сложно вносить в них изменения в случае необходимости. Наиболее удобной формой оформления и заключения такого рода соглашения является договор присоединения в соответствии со ст. 428 ГК РФ.
В такой системе настойчиво рекомендуется заключить договор со сторонней организацией, предоставляющей услуги удостоверяющего центра, и не являющейся участником системы. Это поможет использовать эту организацию и в качестве экспертной организации при разрешении спорных ситуаций, связанных с применением ЭЦП.
При обмене электронных документов между организациями, как правило, не используется специализированных программных систем. Документы готовятся в виде файлов с помощью офисных приложений (Word, Excel) или экспортируются из учетных систем (1С, Парус и т.д.). После этого подписываются как файлы и пересылаются с помощью средств электронной почты контрагенту. Также можно воспользоваться специальными средствами предоставляемыми «Порталом доверенных услуг» (http://www.trustportal.ru/)

Предлагаем Вам следующее готовое решение с применением сертифицированного средства криптографической защиты информации (СКЗИ) "КриптоПроCSP".

Каждое рабочее место участника обмена электронными документами с ЭЦП потребуется оснастить следующими средствами:
1. СКЗИ КриптоПро CSP (версия 3.0 или 3.6) (http://www.cryptopro.ru/CryptoPro/products/csp/default.htm) - стоимость лицензии на одно рабочее место - 1800 руб. Это то средство, которое реализует отечественные криптографические алгоритмы формирования/проверки ЭЦП, шифрования информации.
2. Приложение "КриптоАРМ СТАНДАРТ" версии 4 (http://www.cryptopro.ru/CryptoPro/products/crypto-arm/default.htm) - стоимость лицензии на одно рабочее место - 1200 руб. Это, то средство, которое предоставляет удобный пользовательский интерфейс выполнения криптографических операций конечным пользователем (по нажатии правой кнопки мыши на файле/группе файлов в контекстном меню появляются пункты - подписать/зашифровать; аналогично - проверить подпись/расшифровать)

Для формирования ключей и изготовления сертификатов ключей подписей предлагаем Вам воспользоваться услугами нашего Удостоверяющего центра - http://www.cryptopro.ru/...services/ca-service.htm. Есть несколько форм предоставления услуг - на приведенной странице Вы можете с ними ознакомиться.

Обмен подписанными файлами между участниками информационного обмена осуществляется с помощью почтовых сообщений, путем приаттачивания подписанных файлов. Все это в стандартных ЛЮБЫХ почтовых клиентах.

Указанное программное обеспечение и документация к нему доступна для скачивания и в течение одного месяца предоставляется встроенная временная лицензия (без ограничения функциональности ПО). Сформировать ключи изготовить тестовый сертификат вы сможете в тестовом Центре сертификации - http://www.cryptopro.ru/certsrv/.
С уважением,
КРИПТО-ПРО
Offline DmiLian  
#3 Оставлено : 6 мая 2009 г. 15:24:37(UTC)
DmiLian

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 11

Нам необходим вариант применения ЭЦП в условиях равнозначности собственноручной подписи. Получается, что каждому нашему заказчику нужно купить одну из программ СКЗИ КриптоПро CSP или КриптоАРМ СТАНДАРТ, после чего получить себе у Вашего удостоверяющего центра ключи?
Сколько это будет стоить каждому нашему заказчику?
Offline Юрий Маслов  
#4 Оставлено : 6 мая 2009 г. 16:05:17(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Вашему заказчику нужно купить ОБЕ программы. И СКЗИ КриптоПро CSP по 1800 рублей и КриптоАРМ СТАНДАРТ по 1200 рублей. Услуга удостовряющего центра зависит от схемы обслуживания.
С уважением,
КРИПТО-ПРО
Offline DmiLian  
#5 Оставлено : 6 мая 2009 г. 16:35:51(UTC)
DmiLian

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 11

У многих заказчиков стоят разлличные операционные системы. КриптоПро CSP работает под различные платформы (http://www.cryptopro.ru/CryptoPro/products/csp/default.htm), но КриптоАРМ СТАНДАРТ работает только под Windows, что можно учидеть на сайте разработчика (http://www.digt.ru/products/cryptoarm/). Каким образом заказчики с другими операционными системами смогут работать с системой ЭЦП? На сайте указан продукт КриптоПро JCP. Можно ли с помощью КриптоПро JCP написать на java программу, которая будет подписывать документы, проверять подписи и при этом все будет соответствовать ГОСТ Р 34.10-2001?
Offline Юрий Маслов  
#6 Оставлено : 6 мая 2009 г. 18:52:46(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Можете написать и java программу, которой будете вызывать функции КриптоПро JCP, реализующие, в том числе, ГОСТ Р 34.10-2001.
С уважением,
КРИПТО-ПРО
Offline DmiLian  
#7 Оставлено : 11 мая 2009 г. 15:01:48(UTC)
DmiLian

Статус: Участник

Группы: Участники
Зарегистрирован: 30.04.2009(UTC)
Сообщений: 11

А кто и как в этом случае должен будет оплачивать продукт КриптоПро JCP?
Offline Юрий Маслов  
#8 Оставлено : 12 мая 2009 г. 13:03:39(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Для того, что бы КриптоПро JCP работал, нужно приобрести лицензию на право его использования. Вот эти лицензии Ваши заказчики могут покупать у нас либо через Вашу организацию (Вы купили и перепродали своему заказчику) либо напрямую.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.