Ключевое слово в защите информации
КЛЮЧЕВОЕ СЛОВО
в защите информации
Получить ГОСТ TLS-сертификат для домена (SSL-сертификат)
Добро пожаловать, Гость! Чтобы использовать все возможности Вход или Регистрация.

Уведомление

Icon
Error

Опции
К последнему сообщению К первому непрочитанному
Offline zozo  
#1 Оставлено : 23 сентября 2008 г. 7:20:49(UTC)
zozo

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2008(UTC)
Сообщений: 5

Добрый день!

Вопрос несколько пространный, помогите, пожалуйста, разобраться.
Есть задача использовать ЭЦП во внутреннем документообороте компании.
Цель - уйти от бумажного документооборота.
Необходимо ли для этого использовать сертифицированные средства?
Необходимо ли регистрироваться как УЦ в реестре Росинформтехнологии?

И еще по лицензированию: согласно новому пложению о лицензировании отдельных видов деятельности, деятельность УЦ не подлежит лицензирования, но все равно необходимо получать 2 лицензии ФСБ - на обслуживание, распространение и предоставление услуг, ведь так?
Offline Юрий Маслов  
#2 Оставлено : 30 сентября 2008 г. 21:45:22(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Если у Вас пользователи УЦ (владельцы ключей ЭЦП) сотрудники Вашей копании (а не сотрудники дочерних обществ), то лицензии ФСБ получать не надо.
Но, согласно 1-ФЗ "Об ЭЦП":
1. Уведомлять Росинформтехнологии о сертификате ключа подписи уполномоченного лица УЦ надо (пункт 1 ст. 10 1-ФЗ)
2. Использовать сертифицированные средства ЭЦП - надо (ст. 3 1-ФЗ в части определения "подтверждение подлинности ЭЦП")
С уважением,
КРИПТО-ПРО
Offline zozo  
#3 Оставлено : 10 октября 2008 г. 8:12:24(UTC)
zozo

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2008(UTC)
Сообщений: 5

Спасибо за ответ!
Тогда такой вопрос ближе в практике:
Если стоит задача организовать юр. значимый документооборот внутри компании, то что будет более выгодно:
организовать свой УЦ или воспользоваться услугами сторонней организации (например, Крипто-про)?
Я так понимаю, что это зависит от количества необходимых сертификатов (пользователей)?
Если из будет 200, 500, 1000?

И еще один вопрос если мы заходим выдавать сертификаты сотрудникам дочерних обществ, то помимо получения лицензий ФСБ никаких трудностей не возникнет? Мы все также сможем выносить УЦ в аутсорсинг?
Offline zozo  
#4 Оставлено : 10 октября 2008 г. 8:47:46(UTC)
zozo

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2008(UTC)
Сообщений: 5

И еще вопросы:
Как будет выглядеть конечный документ (например, приказ с двумя согласованиями и последней утверждающей подписью) в системе документооборота с юр. значимой ЭЦП, если его необходимо будет распечатать и предоставить в сторонние инстанции? Ставить печать "ЭЦП такая-то верна"? Или распечатывать и подписывать реально? Как быть с архивным хранением, когда проверить подпись будет нельзя в виду прошедшей периодической смены ключа (наверное делать срок действия сертификатов равным сроку хранения документа?)

Отредактировано пользователем 10 октября 2008 г. 8:52:03(UTC)  | Причина: Не указана

Offline Юрий Маслов  
#5 Оставлено : 14 октября 2008 г. 15:13:44(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Уважаемый zozo!
Отвечаю сразу на оба Ваших поста.
1. Обычно считается так: до 500 выгодней пользоваться услугами внешнего УЦ. Свыше - экономически целесообразней создавать свой. Эти расчеты делаются исходя из общей стоимостимости создания своего УЦ на действующем предприятии - порядка 2.5 млн рублей.
2. Если Вы захотите выдавать сертификаты ключей подписе сотрудникам дочерних обществ то помимо получения лицензий ФСБ России трудностей не возникнет.
3. Когда Вы распечатываете электронный документ, то получаете незаеренную копию на бумажном носителе. Правила оформления и заверения копии определяется Вами. Нормативов тут нет. Поэтому все работают так: распечатывают без всяких "ЭЦП такая-то верна" и просто заверяют должностным лицом и оттиском печати. Получается заверенная бумажная копия электронного документа.
4. Архивное хранение: смена ключа это ещё не значит, что нельзя проверить подпись. Ведь срок действия сертификата как правило ставят 5 лет. Если Вам нужно больше 5 лет хранить документ, то используйте усовершенствованный формат подписи (посмотрите на сайте про подукт "КриптоПро ЭЦП")
С уважением,
КРИПТО-ПРО
Offline zozo  
#6 Оставлено : 23 октября 2008 г. 9:00:53(UTC)
zozo

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2008(UTC)
Сообщений: 5

Спасибо большое за ответ!
Если позволите, еще несколько вопросов:
Использовать сертифицированные СКЗИ нужно, а вот сам УЦ необходимо сертифицировать? Или можно обойтись MS CA со встроенным сертифицированным криптопровайдером? Если да, то откуда получается сумма в 2,5 млн руб.?
Если ЭЦП используется в системе ЭДО, то в терминах 1-ФЗ сертифицированным СКЗИ может быть лишь само криптоядро, которое "прикручено" к ЭДО, или вся система в целом?
Offline Юрий Маслов  
#7 Оставлено : 23 октября 2008 г. 11:47:01(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
1. Явных требований на необходимость иметь сертифицированные средства обеспечения деятельности УЦ нет. Наверное можно и MS CA обойтись. Но не знаю как :-) Примеров организации юридически значимого документооборота с MS CA мне не встречались.
2. В терминах 1-ФЗ должно быть сертифицировано средство ЭЦП, т.е. само криптоядро. Сертифицировать в ФСБ программные средства ЭДО со встроенным СКЗИ у Вас не получиться. Нет такой сертификации. Но Вы можете получить заключение о корректности встраивания СКЗИ в ЭДО. Заключение даёт ФСБ. Срок получения - от года. Сумма - от 800 тысяч рублей.
С уважением,
КРИПТО-ПРО
Offline zozo  
#8 Оставлено : 20 февраля 2009 г. 11:43:20(UTC)
zozo

Статус: Новичок

Группы: Участники
Зарегистрирован: 23.09.2008(UTC)
Сообщений: 5

Еще вопрос: если внедрять систему в ЭЦП не в терминах 1-ФЗ, а в терминах ГК (как аналог собственноручной подписи).
Естественно закрепив все это локальными нормативными актами.
Тогда можно использовать несертифицирвоанные средства ЭЦП.. точнее АСП?
Offline Юрий Маслов  
#9 Оставлено : 20 февраля 2009 г. 11:44:41(UTC)
Юрий Маслов

Статус: Активный участник

Группы: Администраторы
Зарегистрирован: 29.12.2007(UTC)
Сообщений: 1,036
Мужчина
Откуда: КРИПТО-ПРО

Поблагодарили: 36 раз в 25 постах
Да, можно. Но по АСП просьба вопросов не задавать. Это не наша тема :-)
С уважением,
КРИПТО-ПРО
RSS Лента  Atom Лента
Пользователи, просматривающие эту тему
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.