Ну вот вполне же реальная ситуация - есть 2 организации, внутри каждой есть юридически значимый документооборот с применением ЭЦП и соответственно у каждой свой УЦ. Документооборот между организациями хочется перевести в электронную форму с применением ЭЦП. Зачем тут надо выделять какого-то отдельного организатора, выдавать новые или еще одни сертификаты всем сотрудникам, когда можно просто установить отношения доверия к сертификатам друг друга? Прочитав 1-ФЗ я считаю, что можно. Вот я и спрашиваю знающих - я прав, можно так?

Так в реестр надо попадать только для публичных УЦ, обслуживающих открытые ИС.

Да, все это я читал. И требования к соискателям лицензий. Ну вот неохота заморачиваться с этим, там еще и людей с опытом не менее 2 и 5 лет надо и не просто опытом работы, а подтвердить ведь попросят. А по факту - есть несколько родственных компаний (одни учредители и/или холдинговая структура), т.е. в принципе теоретически это могла быть одна компания, но вот сейчас это несколько разных. И нужен юридически значимый документооборот в виде обыкновенной электронной почты. Ну вот зачем мне лицензии? Бред какой-то.

распространение СКЗИ явно не будет, т.к. под распространением понимается передача дургим лицам, а мы собираемся использовать только внутри организации.

техническое обслуживание СКЗИ - как я должен это доказывать? главный аргумент тут, как мне кажется, такой - если на техническое обслуживание собственных (установленных на моем оборудовании) СКЗИ нужна лицензия, то тогда АБСОЛЮТНО ВСЕ, кто используют СКЗИ должны ее иметь. Мы же не собираемся делать с СКЗИ ничего, что не предусмотрено руководством пользователя.

оказание услуг в области шифрования - никаких услуг мы никому не оказываем. понятие "услуга" и "оказание услуги" достатчно четко прописано в НК РФ. что-то делать для себя - это ведь не услуга. и потом, оказание услуг включает минимум две стороны - исполнителя и заказчика, чего в нашей ситуации нет и в помине.

Вклинюсь, коллеги!

1. Почему нужно выделять организатора системы. Вы создаете корпоративную информационную систему. Согласно Федерального закона от 27 июля 2006 года N 149-ФЗ "Об информации, информационных технологиях и о защите информации" (статьи 2 и 13) у информационный системы есть оператор. Это то лицо, которое определяет "порядок создания и эксплуатации информационных систем" (часть 6 статьи 13). Поэтому оператора/организатора системы Вам придется определять!

2. Почему УЦ нужно получать лицензии ФСБ. В Ваше системе есть как минимум 2 лица (две организации). Если УЦ в одной организации, то она будет осуществлять некие действия (деятельность) в интересах другой организации. Если эта деятельность подлежит обязательному лицензированию, то нужны лицензии (разрешение) от контролирующего органа (ФСБ). Например, УЦ будет формировать ключевые документы и передавать их сотрудникам другой организации. А ключевые документы, согласно "Положения о лицензировании деятельности по распространению шифровальных (криптографических) средств", утвержденного Постановлением Правительства РФ от 29 декабря 2007 г. N 957, являются шифровальным (криптографическим) средством. А распространение есть передача любым способом. Бац, и значит УЦ (т.е. первой организации) нужно лицензию ФСБ на распространение. А где одна, там и три лицензии :-)

Общее: Публичных УЦ не бывает. Бывает УЦ для корпоративных информационных систем и УЦ для информационных систем общего пользования. Но т.к. к УЦ для информационных систем общего пользования должны быть, но отсутствуют, специальные требования, устанавливаемые Правительством РФ (см. 1-ФЗ "Об ЭЦП"), то в России и УЦ для информационных систем общего пользования НЕ СУЩЕСТВУЕТ! Есть только УЦ для корпоративных информационных систем!

В ст.10 1-ФЗ везде, кроме п.1, речь идет об информационных системах общего пользования. Но в п.1 не сказано явно, что надо предоставлть сертификат уполномоченного лица только если УЦ работает с информационными системами общего пользования.
Впрочем, направить сертификат проблем нет, только что они будут с ним делать?Выкинут наверное.

Стоп. Согласно п.2 ст.10 1-ФЗ уполномоченный орган ведет реестр сертификатов ключей подписей, которыми УЦ, РАБОТАЮЩИЕ С УЧАСТНИКАМИ ИНФОРМАЦИОННЫХ СИСТЕМ ОБЩЕГО ПОЛЬЗОВАНИЯ, заверяют выдаваемые ими сертификаты,...
Т.е. бумажку могут прислать только в том случае, если мой УЦ будет работать с ИС общего пользования, не не КИС. Именно поэтому я и говорил сначала, что вроде для УЦ КИС не нужно уведомлять уполномоченный орган. А получается, что нужно, но ни в какой реестр они тебя не включат. Зачем уведомлять тогда не понятно, ну да ладно, уводомим, не вопрос.


Извините, я не понял Вашу мысль, особенно смысл фразы "У технологии электронной почты нет".
Да, я хочу добится юридической значимости. И согласно п.1 ст.4 1-ФЗ 1. для этого нужно только, чтобы:
а) сертификат ключа подписи, относящийся к этой электронной цифровой подписи, не утратил силу (действует) на момент проверки или на момент подписания электронного документа при наличии доказательств, определяющих момент подписания;
б) подтверждена подлинность электронной цифровой подписи в электронном документе;
в) электронная цифровая подпись используется в соответствии со сведениями, указанными в сертификате ключа подписи.
Больше никаких требований закон не выдвигает.

При этом п.2 ст.17 1-ФЗ содержащий "Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы." прямо разрешает не иметь единого владельца (оператора) КИС, а порядок (регламент) использования ЭЦП, согласовать на уровне участников системы. Именно это я и хочу сделать - не делать оператора, а порядок использования системы электронной почты прописать в договоре между двумя организациями.
Юрий же пытался мне сказать, что согласно 149-ФЗ у КИС должен быть оператор. Но простите, во всем мире работает электронная почта и кто является ее оператором? Очевидно, никто. Каждый субъект отвечает за свою зону, но единого оператора нет.

Так в ГЕР согласно п.2 ст.17 1-ФЗ должны включаться сертификаты только тех УЦ, которые работают с ИС общего пользования. А у нас корпоративная ИС. Соответственно, в реестр попадать мы должны, но согласно п.1 ст.17 1-ФЗ уведомить уполномоченный орагн должны. Ну и шут с ним. Уведомим или сделаем запрос с вопросом, надо ли уведомлять.

Прочитайте мой предыдущий пост еще раз. Там есть выдержка из п.2 ст.17 1-ФЗ и прямо подчеркнуто, что порядок использования ЭЦП может определяться не оператором, а соглашением участников системы.

Весь мой вопрос как раз и заключается в том, чтобы малой кровью обеспечить юридическую значимость документов, подписанных ЭЦП. Ну и соответственно избежать получения лицензий.