Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline Burda  
#1 Оставлено : 7 мая 2009 г. 17:55:24(UTC)
Burda

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2009(UTC)
Сообщений: 5
Откуда: SPB

Некая организация создает корпоративный электронный документооборот с использованием ЭЦП и сертифицированных средств СКЗИ. В рамках этой КАИС предполагается работа нескольких юридических лиц. Организатор Системы обращается в УЦ за получением сертификатов и ключей ЭЦП, при этом, предоставляет заявления в которых просит выпустить сертификаты на пользователей сторонних организаций (соответственно, с указанием наименований организаций, должностей).
С одной стороны, это их корпоративная система и они решают что им делать и как, согласно ФЗ №1.Whistle
А с другой стороны, УЦ не видит никаких соглашений об организации их КАИС, не имеет подтверждающей информации о существовании этих юр.лиц (кроме организатора системы), но при этом выдает сертификаты на их сотрудников. Действует УЦ только на основании своего договора с организатором системы.d'oh!
Очень бы хотелось услышать мнение Юрия Маслова по этому вопросу! Какие непредвиденные трудности могут вылиться из подобных ситуаций? Think
Если жена молчит, лучше ее не перебивать.
Offline Юрий Маслов  
#2 Оставлено : 7 мая 2009 г. 18:36:19(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Начнем с того, что Ваше утверждение "С одной стороны, это их корпоративная система и они решают что им делать и как, согласно ФЗ №1." в части УЦ не верна.
Есть УЦ. Он не бывает корпоративным или иным. По 1-ФЗ, бывают УЦ предоставляющие услуги для корпоративных систем и бывают УЦ предоставляющие услуги для информационных общего пользования. (часть 1 статьи 8 1-ФЗ).
При этом к УЦ предоставляющим услуги для информационных общего пользования согласно этой же части 1 статьи 8 1-ФЗ предъявляются требования, устанавливаемые Правительством РФ. Требований нет, а значит и нет лигитимности деятельности УЦ, предоставляющих услуги для информационных общего пользования.
Поэтому мы и говорим теперь просто об УЦ.
Согласно части 2 статьи 9 1-ФЗ, УЦ (любой, ибо тут в 1-ФЗ не говориться какой УЦ) изготавливает сертификат ключа подписи ТОЛЬКО на основании заявления, подписанного владельцем сертификата ключа подписи. Собственноручно!
На основании вышеизложенно, деятельность УЦ по изготовлению сертификата ключе подписи на основании "заявления в которых просит выпустить сертификаты на пользователей сторонних организаций (соответственно, с указанием наименований организаций, должностей)." признается не отвечающей действующему законодательству РФ, сертификаты ключей подписей признаются получеными незаконным путем. ЭЦП, сформированные с использованием таких сертификатов признаются недействительными (не имеющими юридической силы). Это 1 вариант "атаки" на ЭЦП, сертификат, УЦ. Есть второй вариант. Лицо, "обвиняемое" в том, что он владелец сертификата ключа подписи но заинтересованное в "непризнании" ЭЦП в споре и конфликте, сделаю такое завление "Данная ЭЦП сформирована не мною, так как я не являюсь владельцем данного сертификата ключа подписи". В этом случае, на УЦ падает бремя доказывания, что данный ключ подписи и сертификат ключа подписи принадледжат этому лицу. Дальше УЦ принесет какие то заявления и документы подтверждающие изготовление и выдачу сертификата ключа подпис. На это лицо, гордо встав в позу Наполеона, делает следующее заявление "Я не подавал завление на сертификат. В заявлении на изготовлении сертификата нет моей собственноручной подписи, как того требует часть 2 статьи 9 1-ФЗ "Об ЭЦП"!" И всё, пипец наступил юридической силе электронного документа, удостовренного ЭЦП...

УЦ может Организатору Системы делегировать по договору право и обязанность по сбору заявлений, оформленных надлежащим образом, от участников корпоративной информационной системы. И может делегировать по договору право и обязанность по передаче владельцам их ключей и сертификатов ключей подписи при условии сохранения закрытого ключа в тайне (например, упаковывая в спец пакеты типа SecurePack ). Но не надо заниматься профанацией! :-) Везде должна быть мера.

Кстати, о птичках... "просит выпустить сертификаты на пользователей сторонних организаций (соответственно, с указанием наименований организаций, должностей). " Тут тоже большая и вонючая собака зарыта!
УЦ по 1-ФЗ отвечает за достоверность сведений указанных в сертификате ключа подписи. Напрямую или в порядке регресса. А где у УЦ доказатьльство, что владелец сертификата ключа подписи, у которого в сертификате занесены организация и должность, действительно является сотрудником данной организации и имеет право действовать от имени этой организации? Заявлени Организатора Системы силы не имеет. Должно быть заявление от имени руководителя организации, сотрудником которой является владелец сертификата ключа подписи. Поэтому хорошей (безопасной) практикой является что заявление на изготовление сертификата подписывает не только сам владелец, но и руководитель организации и подпись руководителя заверяется оттиском печати организации.


С уважением,
КРИПТО-ПРО
Offline Burda  
#3 Оставлено : 7 мая 2009 г. 21:22:31(UTC)
Burda

Статус: Новичок

Группы: Участники
Зарегистрирован: 26.01.2009(UTC)
Сообщений: 5
Откуда: SPB

Спасибо большое за полезный и исчерпывающий ответ! Я, к сожалению, сразу не указала, что в заявке расписывается владелец сертификата. Но при этом УЦ не имеет подверждения этому, и заявку заверяет руководитель Организатора системы, т.е. абсолютно стороннее лицо и сторонние печати на заявке.
Если жена молчит, лучше ее не перебивать.
Offline Юрий Маслов  
#4 Оставлено : 12 мая 2009 г. 13:23:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Если в заявлении на изготовление сертификата есть подпись владельца сертификата и между УЦ и Организатором системы есть соглашение, по которому у последнего есть обязательство подтверждать достоверность сведения, указанных в заявке и он несет за это ответственность, то не вижу проблем. Такая схема лигитимна.
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.