В подавляющем большинстве случаев у юрлиц директор поручает получить сертификат кому-то из подчиненых, стряпается доверка, подчиненный получает ЭП и пользуется им (например, в бухгалтерии для подписания отчетов в органы). А директор этот ключ ни разу и не держал. Какая там криптография? О чём вы?
Это идиотизм наших проверяющих и контролирующих органов на мой взгляд. большая часть отчетных документов (если не все) должна быть за подписью директора. Зачем?! для чего?! Почему в тот же ФНС нельзя завести доверенное лицо для сдачи отчетности в электронном виде, например главбуха? Казначейство тоже туда же… В результате, если директор все будет подписывать ЭП, он только этим и будет заниматься, поэтому и передают ЭП кому ни попадя, типа юриста/главбуха… но это трэш угар и содомия, я согласен…
К сожалению, специалисты везде разные… и достаточно много вопросов допускают разную трактовку. Самый простой вариант обсудить с самими ФСБшниками. именно обсудить, т.к. на письма они имеют обычай отвечать «в соответствии с действующим законодательством». Хотя можно попытаться, но обсуждать уже надо, само собой, очень предметно со ссылками на пункты законов, с описанием процессов и т.д., а не в плане — мы тут не знаем, подскажите как сделать хорошо…
повторюсь, пост очень старый… Большую часть постов по криптухе, персональным данным защите информации старше 2016 года можете даже не читать. По некоторым вопросам, например критические информационные системы информация от декабря 2018 года уже устарела…
С 2008 года всю нормативку по криптухе и персоналке очень знатно перетрясли, очень много всего нового выпущено, а отменено старого еще больше.
Цитата из консультанта:
Документ фактически утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119, признавшего Постановление Правительства РФ от 17.11.2007 N 781 утратившим силу и утвердившего новые Требования к защите персональных данных при их обработке в информационных системах персональных данных. Документ утратил актуальность (Информация ФСБ России от 21.06.2016). а там такого предопределения уже нет…
при наличии штампа времени в подписи привязки к срокам действия сертификата гражданина нет к сертификату УЦ — практически нет (написал ниже). CRL и OCSP-ответ подписывается сертификатом УЦ — по крайней мере в российском сертифицированном сфоте. В минимуме для формированич электронной подписи нужен только сертификат пользователя ;) все остальное нужно для валидации этого самого сертификата пользователя на момент создания подписи. Сроки действия сертификатов УЦ делают большими, т.к. это удобно ибо может получиться так, что подпись пользователя выдана в последний день действия сертификата УЦ, и фактически валидна еще год, а сертификат УЦ стух и цепочка больше не строится, что, вы безусловно правы, несет некие ммм… неудобства :D
С документальными так себе… был документик №149/54-144 от 21 февраля 2008 года там было определение встраивания, но уже протух. Да и ответик 2009 года, с тех пор очень много чего утекло :D Мы в свое время с представителями ФСБ обсуждали, а вообще по логике — есть у вас криптопровайдер CSP(сертифицированный), и есть веб сервер. У криптопровайдера есть правила пользования и написано что и как надо сделать, что бы им пользоваться. На сервер вы ставите непосредственно софт веб-сервера, например апач, и криптопровайдер. При этом вебсервер штатными средствами работает с криптопровайдером. Никакого встраивания тут нет, а иначе бы любая установка криптопровайдера на винду была бы встраиванием. Может потребоваться лицензия на работы по установке СКЗИ, если не для себя делаете. А вот если вы взяли библиотеку криптопровайдера(библиотеки тоже есть сертифицированные, для разрабов — например, у криптоПРО), или просто поставляете СКЗИ в своем продукте, а не отдельным комплектом, которой на вход, условно подается инфа, открытый ключ, закрытый ключ и получаете ЭП. то тут надо, конечно, смотреть на сколько корректно вы все это делаете…
Зависит от пунктов перечня;) Для аттестации и т.д.:
руководитель с вышкой или переподготовкой и стажем от 3 лет
и инженерно-технический работник (минимум 1 человек), с вышкой или переподготовкой и стажем от 3 лет.
Для УЦ — Руководитель с вышкой или переподготовкой и стажем 5 лет + 2 инженегра со стажем от 3 лет… И там еще помещение аттестованное, АРМ аттестованные, Средства СКЗИ сертифицированные, а если разработкой хотите заниматься, то и 3) наличие у соискателя лицензии и лицензиата необходимой для осуществления лицензируемого вида деятельности системы производственного контроля…
поправлю, КрипотоПРО CSP 3.9+ и VipNet CSP 4+ дружат нормально. Но контейнеры закрытого ключа у криптоПРО хитровывернутые, поэтому не читаются (полагаю специально — коммерческая выгода), хотя не исключаю и разную трактовку одного и того же стандарта у разных вендоров…
этот штамп, кстати говоря, ни черта не значит, и вообще считаю его порочной практикой — только в заблуждение вводит. Я таких в фотошопе с 10 нарисую на полчаса
товарищ чуток попутал. Если вы берете готовый криптопровайдер, например КриптоПРО CSP и из вашего софта или веб-системы обращаетесь к нему штатным образом, никакой лицензии не надо. А вот если вы хотите использовать напрямую криптографические библиотеки, вот тут будьте добры получить лицензию… где-то полгода времени, 2 человека, и от 1,5млн рублей…
в законе четко указано, что вы можете сами создать закрытый ключ, а УЦ это может сделать за вас в исключительных случаях. Технически выдать сертификат по запросу (файл req) без предоставления закрытого ключа в УЦ реально. БОльшая часть УЦ работают, как я полагаю, на ПО КриптоПРО, но и у ПО КриптоПРО и Vipnet есть возможность загрузить и обработать файл запроса, выдав вам только сертификат, хоть на флешке (т.к. это открытая информация). Но техников по этому вопросу пытать бесполезно, это должно быть:
1 — прописано в их внутренних инструкциях, т.е. они должны знать как это делать
2 — об этом точно должен знать Администратор УЦ, но вы до не го не факт, что доберетесь, т.к. в представительствах сидят просто техники, а Админ — там, где непосредственно развернут УЦ, и обычно он один.
А по факту техники либо об этом не знают, либо забыли. Возможно это не доводится специально т.к. меньше геморроя безопасникам.
ЗЫ читаю и понимаю, а у нас то не так все и плохо было в УЦ… и пинкод меняли, и в конвертах все отдавали типа банковских (чтоб затруднить прочтение пинкода).
Хм, в целом механизм понятен и интересен, но как я понимаю, все это должно быть водружено на ФНС т.к. разделение на физик/юрик нужно в первую очередь им, а потом уже банкам, другим юрикам и т.д. а потому, боюсь, это будет очень нескоро. В первом приближении, создается впечатление, что это решит кучу проблем с ЭП… Правда, есть и технические моменты: В настоящий момент подпись физлица содержит СНИЛС, по которому, в теории, можно много чего узнать, а вот в подписи юр лица СНИЛСа директора нет (и еще немного по мелочи, типа почты и т.д.), что не всегда желательно светить всем подряд. А изъять эту информацию из сертификата после его выдачи уже не выйдет. Хотя это уже детали.
Физлиц мы так обеспечим, согласен. Но как быть с юриками, там ведь все гораздо тоньше. Сегодня я Иванов Иван Иванович — обыватель и подписываю запрос в прокуратуру на мое ТСЖ, о том, что они ухи объелись. А завтра, я Иванов Иван Иванович, член партии Едiна Русь, член президиума городской думы г. Малые куличи подписываю распоряжение, или генеральный директор ОАО Прорывные технологии, подписываю контракт на поставку государству чапельников в объемах доселе немыслимых.
Хоть закорючка (если проводить аналогию с подписью ручкой) то одна, но юридически это все разные подписи, точнее разные сертификаты с разной информацией, и выдачей при рождении тут так просто не отделаться. А еще у нас есть ИП… которые вроде физики, а с другого бока глянешь — уже юрик…
Немного упали цены на «полноценные токены», хотя если брать с сертификатом, то 1740р, но в целом не принципиально. Рутокен S на закупках при партии свыше 3000 штук около 500р был, но это пару лет назад. Сейчас с НДС 20% около 600 вышел бы. Хотя мы же говорим про единичный товар, тогда моя информация о ценах не совсем корректна.
ноги растут, похоже, из ФСБ, в открытом доступе почему выше 15 месяцев нельзя на закрытый ключ — нет. Хотя не помню в сертификате атрибутов, устанавливающих срок действия закрытого ключа, а вот сертификат можно выдать и на 10 лет, но без закрытого ключа в этом нет большого смысла…
А можете поделиться? А то ответы автора превратились в "НЛО прилетело и опубликовало эту надпись здесь", вдруг там что интересное было:(
Это идиотизм наших проверяющих и контролирующих органов на мой взгляд. большая часть отчетных документов (если не все) должна быть за подписью директора. Зачем?! для чего?! Почему в тот же ФНС нельзя завести доверенное лицо для сдачи отчетности в электронном виде, например главбуха? Казначейство тоже туда же… В результате, если директор все будет подписывать ЭП, он только этим и будет заниматься, поэтому и передают ЭП кому ни попадя, типа юриста/главбуха… но это трэш угар и содомия, я согласен…
Цитата из консультанта:
Документ фактически утратил силу в связи с изданием Постановления Правительства РФ от 01.11.2012 N 1119, признавшего Постановление Правительства РФ от 17.11.2007 N 781 утратившим силу и утвердившего новые Требования к защите персональных данных при их обработке в информационных системах персональных данных. Документ утратил актуальность (Информация ФСБ России от 21.06.2016). а там такого предопределения уже нет…
руководитель с вышкой или переподготовкой и стажем от 3 лет
и инженерно-технический работник (минимум 1 человек), с вышкой или переподготовкой и стажем от 3 лет.
Для УЦ — Руководитель с вышкой или переподготовкой и стажем 5 лет + 2 инженегра со стажем от 3 лет… И там еще помещение аттестованное, АРМ аттестованные, Средства СКЗИ сертифицированные, а если разработкой хотите заниматься, то и 3) наличие у соискателя лицензии и лицензиата необходимой для осуществления лицензируемого вида деятельности системы производственного контроля…
Постановление Правительства РФ от 16.04.2012 N 313
ну и
Федеральный закон от 04.05.2011 N 99-ФЗ (ред. от 17.06.2019) «О лицензировании отдельных видов деятельности»
А также регламент оказания услуг на сайте ФСБ… там все достаточно просто… но не совсем
1 — прописано в их внутренних инструкциях, т.е. они должны знать как это делать
2 — об этом точно должен знать Администратор УЦ, но вы до не го не факт, что доберетесь, т.к. в представительствах сидят просто техники, а Админ — там, где непосредственно развернут УЦ, и обычно он один.
А по факту техники либо об этом не знают, либо забыли. Возможно это не доводится специально т.к. меньше геморроя безопасникам.
ЗЫ читаю и понимаю, а у нас то не так все и плохо было в УЦ… и пинкод меняли, и в конвертах все отдавали типа банковских (чтоб затруднить прочтение пинкода).
Хоть закорючка (если проводить аналогию с подписью ручкой) то одна, но юридически это все разные подписи, точнее разные сертификаты с разной информацией, и выдачей при рождении тут так просто не отделаться. А еще у нас есть ИП… которые вроде физики, а с другого бока глянешь — уже юрик…