| ||||
| ||||
| Здравия желаю уважаемые!! Ситуация: организация N выступает как пользователь СКЗИ по нескольким системам электронного документооборота. Сертификаты ключа по всем системам зарегестрированы на одного владельца, а пользуются ключами те, кто непосредственно работает с конкретной системой. Что, в соответствии со статьями №3 (владелец сертификата ключа подписи...), №12 (владелец обязан:...хранить в тайне закрытый ключ...) ФЗ от 10.01.02 №1 "О электронной цифровой подписи" неправомерно и ведет к возложению всей ответственности при компрометации на владельца. Верна ли логическая цепочка? И как правильно должно быть? Заранее спасибо за комментарии!! | ||||
| Ответы: | ||||
| ||||
| Согласно пункту 1 статьи 5 Федерального закона от 10.01.2002 г. № 1-ФЗ «Об электронной цифровой подписи» (далее – Федеральный закон об ЭЦП) создание ключей электронных цифровых подписей осуществляется в корпоративной информационной системе в порядке, установленном в этой системе. Федеральный закон об ЭЦП (статьи 3, 4, пункт 1 статьи 6, пункт 2 статьи 9 и др.) определяет принадлежность электронной цифровой подписи конкретному физическому лицу, являющегося владельцем соответствующего закрытого ключа подписи и сертификата открытого ключа подписи. Федеральный закон об ЭЦП не запрещает юридическому лицу получить закрытый ключ подписи и сертификат открытого ключа подписи для своего уполномоченного представителя (физическое лицо), для использования электронной цифровой подписи при совершении гражданско-правовых действий от имени юридического лица. В соответствии с нормами Гражданского кодекса Российской Федерации право собственности на закрытый ключ подписи и сертификат открытого ключа подписи закрепляется за юридическим лицом. Юридическое лицо (собственник) вправе по своему усмотрению совершать в отношении принадлежащего ему имущества (закрытый ключ подписи и сертификат открытого ключа подписи) любые действия, не противоречащие закону и иным правовым актам и не нарушающие права и охраняемые законом интересы других лиц, в том числе передавать своим сотрудникам права владения, пользования и распоряжения имуществом. Таким образом, в случае если собственником закрытого ключа подписи и сертификата открытого ключа подписи является юридическое лицо и соответствии с нормами статьи 17 (части 2 и 3) Федерального закона об ЭЦП, использование ключа электронной цифровой подписи несколькими физическими лицами является правомерным. Вместе с тем рекомендуется разработать и закрепить в локальных нормативных актах порядок обеспечения сохранности в тайне закрытого ключа подписи при использовании ключа электронной цифровой подписи несколькими физическими лицами. При этом рекомендуется передачу ключей во владение или доверительное управление осуществлять по распорядительным локальным нормативным актам (приказам). | ||||
| ||||
| Юрий спасибо за подробный ответ!!Скажите пожалуйста, как тогда можно предусмотреть идентификацию виновного при проведении несанкционированной операции, если доступ к ключу имеют несколько человек? Может журнал учета со временем передачи ключа между пользователями? | ||||
| ||||
| Естественно! :-) | ||||
| ||||
| :) | ||||
| ||||
| А лучше всего в таких случаях использовать специальные устройства типа HSM, например ПАКМ "Атликс-HSM" (http://www.cryptopro.ru/cryptopro/products/atlix-hsm/default.htm) или продукт, кторый выйдет в следующем году под названием "eToken CryptoPro". Это обеспечит, что временный владелец не сможет сделать копию ключа, что бы потом использовать ее в период невладения. Ведь именно тут главная угроза Вашей схемы. Ну а пока лучше сделать так: - ключи генерить на USB-ключи типа eToken PRO - ключи генерить с флагом "неэкспортируемые" Это обеспечить невозможность снятия копии при относительно небольших временных и финансовых затратах. | ||||
| ||||
| Мы через Вас начинаем работать с НБКИ и, видимо, не зря, что через Вас :) ... Спасибо за ликбез :) и предложенную схему!! | ||||
НИкола