Статус: Новичок
Группы: Участники
Зарегистрирован: 16.01.2010(UTC) Сообщений: 3
|
Допустим, организация А обменивается данными с организациями Б. Организация А передаёт списки людей, организации Б возвращают информацию по этим людям. Организации Б не зависимы друг от друга, могут быть ИП, а могут и госучреждениями. Практически у всех есть Contur-Extern с КриптоПРО, для сдачи налоговой отчётности. Каким образом лучше всего организовать защищёный обмен данными между организациями? Нужно дешёвое и простое во внедрении решение.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
Если НЕ нужна юридическая значимость: настроить Outlook Express на использование имеющихся КриптоПро CSP и сертификатов (если в них разрешена защищенная электронная почта). Если нужна юридическая значимость: создать корпоративную информационную систему с регламентом и требованиями к сертификатам, создать свой УЦ (если есть лицензии) или договориться с УЦ на изготовление сертификатов для вашей системы (OID), настроить Outlook Express на использование КриптоПро CSP, а также КриптоАРМ (если требуется подпись файлов). Регламентация и обеспечение безопасности ИСПДн (при необходимости аттестация) нужны в обоих случаях. Отредактировано пользователем 17 января 2010 г. 19:43:04(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.01.2010(UTC) Сообщений: 3
|
Для начала устраивает первый вариант. Допустим, что подпись позволяет подписывать письма. Допустим, что письмо-список подписали и отправили. Что нужно противоположной стороне, чтобы они могли принять письмо? Что нужно сделать, чтобы принять мог только тот, кому письмо предназначено? Можно ли подписать вложние отдельно? Во втором варианте вопрос такой: как связать существующие корпоративные системы без необходимости создавать новую?
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
gimntut написал:Что нужно противоположной стороне, чтобы они могли принять письмо? Настроенный OE с СКЗИ. Если с шифрованием - то предварительно обменяться сертификатами и "настроить адресную книгу". gimntut написал:Что нужно сделать, чтобы принять мог только тот, кому письмо предназначено? Шифровать только "в его адрес" gimntut написал:Можно ли подписать вложние отдельно? Используйте КриптоАРМ gimntut написал:Во втором варианте вопрос такой: как связать существующие корпоративные системы без необходимости создавать новую? Т.е. в обеих КИС есть требования к работе с ЭЦП? Сложно, надо сопоставлять регламенты КИС и УЦ и, вероятно, все равно придется делать некую "единую надстройку". Отредактировано пользователем 20 января 2010 г. 11:32:52(UTC)
| Причина: Не указана
|
|
|
|
Статус: Новичок
Группы: Участники
Зарегистрирован: 16.01.2010(UTC) Сообщений: 3
|
gimntut написал:Во втором варианте вопрос такой: как связать существующие корпоративные системы без необходимости создавать новую? Т.е. в обеих КИС есть требования к работе с ЭЦП? Сложно, надо сопоставлять регламенты КИС и УЦ и, вероятно, все равно придется делать некую "единую надстройку". Практически у всех есть Контур-Экстерн для передачи пенсинной и налоговой отчётности, и ЭЦП директора. Надстройка будет в виде договоров, в которых будет указано, что обмен должен призводиться с эл.подписью директоров сторон. Будет ли правильным использование подписей выданых для одной системы для использования в другой.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
gimntut написал:Практически у всех есть Контур-Экстерн для передачи пенсинной и налоговой отчётности, и ЭЦП директора. Надстройка будет в виде договоров, в которых будет указано, что обмен должен призводиться с эл.подписью директоров сторон. Будет ли правильным использование подписей выданых для одной системы для использования в другой. По закону в сертификате должны быть "сведения об отношениях". В сертификатах СКБ Контур для КЭ эти сведения есть. Если вы договоритесь с СКБ Контур позиционировать и регламентировать ваш обмен как часть КЭ, то существующие сертификаты для КЭ можно будет использовать. Иначе, надо использовать сертификаты для "Вашей КИС" или для "КЭ+Ваша КИС".
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.03.2010(UTC) Сообщений: 10
|
А если есть две организации, у каждой из которых есть внутренний УЦ для собственных нужд (заверение сертификатов сотрудников). Для такого УЦ лицензий ФСБ вроде бы и не требуется, как я понял из разъяснений представителей КРИПТО-ПРО на форуме. Так вот, эти УЦ ведь могут установить отношение доверия к заверенным друг другом сертификатам (подписать между организациями договор) и тогда получается, что сотрудники разных организаций смогут обмениваться юридически значимыми документатми, подписанными ЭЦП, и лицензий ФСБ получать не потребуется. Я прав? Если нет, то почему.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
1234567890 написал:...и тогда получается, что сотрудники разных организаций смогут обмениваться юридически значимыми документатми, подписанными ЭЦП, и лицензий ФСБ получать не потребуется. Юридичесая значимость будет если существует общая КИС и сертификаты ключей подписи, предназначенные для нее, выдаются УЦ, включенными в госреестр ФАИТ, с применением сертифицированных СКЗИ. Лицензии ФСБ России не нужны только в случае, если сможете доказать, что не осущестляется лицензируемая ДЕЯТЕЛЬНОСТЬ.
|
|
|
|
Статус: Участник
Группы: Участники
Зарегистрирован: 06.03.2010(UTC) Сообщений: 10
|
Mayshev Vadim написал:1234567890 написал:...и тогда получается, что сотрудники разных организаций смогут обмениваться юридически значимыми документатми, подписанными ЭЦП, и лицензий ФСБ получать не потребуется. Юридичесая значимость будет если существует общая КИС и сертификаты ключей подписи, предназначенные для нее, выдаются УЦ, включенными в госреестр ФАИТ, с применением сертифицированных СКЗИ. Лицензии ФСБ России не нужны только в случае, если сможете доказать, что не осущестляется лицензируемая ДЕЯТЕЛЬНОСТЬ. Где это написано? Откуда следует? Согласно п.1 ст.4 1-ФЗ ЭЦП = собственноручной подписи, если сертификат действителен, подтверждена подлинность ЭЦП и ЭЦП используется в соответствии с ее целью (сведениями, указанными в сертификате). Других требований для признания юридической значимости закон не содержит. И мне не понятно, почему два юридических лица, каждый из которых имеет внутрикорпоративный УЦ, не могут подписать договор о признании ЭЦП лицам, сертификат которым выдал второй УЦ. Технически это означает, что технические средства и сотрудники одной организации будут признавать УЦ второй организации. В этом же договоре эти юридические лица могут оговорит и все иные существенные условия - привести сами открытые ключи УЦ, прописать порядок расследования инцидентов, порядок разрешения споров и т.д. и т.п. В такой схеме никто никому никаких услуг не оказывает и лицензий ФСБ никому получать не придется.
|
|
|
|
Статус: Активный участник
Группы: Участники
Зарегистрирован: 24.03.2008(UTC) Сообщений: 142 Сказал «Спасибо»: 18 раз Поблагодарили: 22 раз в 17 постах
|
1234567890 написал:Где это написано? Откуда следует? ФЕДЕРАЛЬНЫЙ ЗАКОН 10.01.2002 № 1-ФЗ "ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ". Принят Государственной Думой 13 декабря 2001 года Одобрен Советом Федерации 26 декабря 2001 года КИС - Статья 17. Теоретически, конечно, можно сделать общую КИС силами 2 и более субъектов (соглашение сторон) и определить в т.ч. и требования к сертификатам ключей подписи в ней. Но, обычно (посмотрите на сложившуюся за 8 лет практику), существует организатор/оператор (владелец) КИС, и он один. Сертификация СКЗИ - Статья 3. (см. определение "подтверждение подлинности электронной цифровой подписи в электронном документе"). Реестр ФАИТ - Статья 10 п.1. Лицензии - См. Постановление Правительства Российской Федерации от 29.12.2007 № 957 «Об утверждении положений о лицензировании отдельных видов деятельности, связанных с шифровальными (криптографическими) средствами»: - распространение СКЗИ - можно избежать. - техническое обслуживание СКЗИ - споры продолжаются, ФСБ России считает, что в отличие от предыдущего Положения (от 23 сентября 2002 г. № 691) сейчас явно не описано, что "для себя" - не деятельность. Докажете - лицензия не требуется. - оказание услуг в области шифрования информации - обычно это (ФСБ пишет в приложении к лицензии): а) создание системы электронного документооборота с СКЗИ и б) обеспечение пользователей ключевой информацией. Докажете, что это не делаете - лицензия не требуется.
|
|
|
|
Быстрый переход
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.
Important Information:
The Форум КриптоПро uses cookies. By continuing to browse this site, you are agreeing to our use of cookies.
More Details
Close