Автор: Uatto Коллеги, как считаете, исходя из прочтения обсуждаемого документа, способ создания ключей ЭП "заявитель самостоятельно создает ключ электронной подписи с использованием автоматизированного рабочего места Удостоверяющего центра" - является обязательным для УЦ или одним из возможных? Если обязательным, то тогда ведь придется ставить дополнительный аттестованный АРМ для клиентов и аттестовывать помещение (не понятно зачем).
В проекте приказа написано:
Цитата:Данный подраздел должен содержать:
а) порядок создания заявителем ключей электронной подписи, с учетом следующих способов создания:
- заявитель самостоятельно создает ключ электронной подписи до осуществления обращения в Удостоверяющий центр;
- заявитель самостоятельно создает ключ электронной подписи с использованием автоматизированного рабочего места Удостоверяющего центра.
При реализации данного способа должно быть использовано автоматизированное рабочее место, аттестованное на соответствие требованиям законодательства Российской Федерации по технической защите конфиденциальной информации, размещенное в аттестованном помещении, доступ в которое ограничен. Ключ электронной подписи, созданный таким образом, записывается Удостоверяющим центром на ключевой носитель, который выдается заявителю либо доверенному лицу заявителя по окончании процедуры выдачи сертификата.
Т.е. данные способы должны включаться в порядок реализации функций УЦ (регламент УЦ), но не исключает другие способы создания ключей.
Имхо, 2 способ, когда "заявитель самостоятельно создает ключ электронной подписи с использованием автоматизированного рабочего места Удостоверяющего центра" на практике трудно реализовать, если д.б. аттестовано и АРМ и помещение.
Реализация данного способа противоречит требованиям ИБ. В документах по ЗИ (в т.ч. для аттестации) д.б. определен перечень сотрудников, имеющих доступ к АРМ и в помещение, д.б. разработана матрица доступа и т.д. Заявители это почти всегда неопределенный круг лиц (часто с невысокой квалификацией в сфере ИБ), доступ заявителя как к аттестованному АРМ, так и в помещение должен регламентироваться, как и использование заявителем съемных носителей информации. Можно конечно каждого пользователя записывать в различные журналы (доступа к АРМ, ознакомления с правилами работы на АРМ, СКЗИ, ИБ и т.д.), создать на АРМ изолированную пользовательскую среду, АРМ выделить в отдельный сегмент сети и т.д, но это лишние затраты и низкая эффективность по сравнению с другими способами.
Положительный момент при создании ключа ЭП заявителем - доступ к ключу (и ключевому носителю) имеет только сам заявитель.
Но данный принцип тут же опровергается -
Цитата:Ключ электронной подписи, созданный таким образом, записывается Удостоверяющим центром на ключевой носитель, который выдается заявителю либо доверенному лицу заявителя по окончании процедуры выдачи сертификата.
Т.е. получается абсурдная ситуация - заявитель создал на АРМ УЦ ключ ЭП и передал сотруднику УЦ для записи этого ключа ЭП на ключевой носитель. В УЦ Федерального казначейства, например, такой способ (когда на флешке кроме запроса на СКП содержится ключевой контейнер) считался компрометацией ключей ЭП (несмотря на то, что доступ к ключевому носителю имелся только у пользователя и сотрудника УЦ). Такая схема приводит к трудности реализации распределенной схемы выдачи СКП.
Кроме того "Ключ электронной подписи, созданный таким образом, записывается ... по окончании процедуры выдачи сертификата" - т.е. сначала УЦ выдал сертификат и только потом записал ключ ЭП на ключевой носитель! Обычно делается наоборот - формируется ключ ЭП и запрос на основе которого создается СКП и выдается заявителю. Вариант, который может подходить в данном случае - создание резервного ключевого носителя.
Было бы лучше, если вместо "Ключ электронной подписи, созданный таким образом..." заменить на
"Сертификат ключа проверки электронной подписи, созданный Удостоверяющим центром по запросу заявителя, выдается заявителю либо доверенному лицу заявителя."
Проект приказа необходимо ещё дорабатывать, иначе все эти противоречия войдут и в регламенты УЦ.