logo
Добро пожаловать, Гость! Чтобы использовать все возможности Вход. Новые регистрации запрещены.

Уведомление

Icon
Error

2 Страницы<12
Alexey Yukhnin
#21 Оставлено : 4 апреля 2014 г. 16:18:13(UTC)
Alexey Yukhnin

Статус: Administration

Группы: Registered, Administrators
Зарегистрирован: 18.12.2012(UTC)
Сообщений: 1,227
Мужчина
Российская Федерация
Откуда: Москва

Сказал «Спасибо»: 15 раз
Поблагодарили: 183 раз в 177 постах
Автор: Executer Перейти к цитате

По сути вопроса:
Рассмотрим ситуацию № 1. Электронную подпись выпускает лицо, не имеющее лицензии, но по каким-то причинам аккредитованное МКС (например, лицензия аннулирована, но МКС не в курсе).
См. Приказ Минкомсвязи России от 23 ноября 2011 г. № 320 «Об аккредитации удостоверяющих центров» и п.6 ст.13 63-ФЗ "Об электронной подписи".

Прекрасно. Из Приказа прямо вытекает, что УЦ может без страховки и лицензии действовать 45 дней с момента, когда его поймают на этом!
Плюс есть еще госорганы и примкнувшие, которые ни страховки, ни чистых активов не имеют. Какая прелесть!!!

Автор: Executer Перейти к цитате
Вопрос - является ли такая подпись надлежащей? Ответ очевиден? И кто в такой ситуации несет ответственность за принятие документа с такой электронной подписью?
Только не Удостоверяющий центр. Если УЦ скрыл существенную информацию о своей деятельности (о статусе) или намеренно ввёл в заблуждение обратившегося к нему клиента - см. по Кодексу об Административных Правонарушениях. Незаконная деятельность в области защиты информации. 20.000 руб.+ конфискация.

Меня не интересует, что будет с УЦ. Могут даже директора выпороть или к позорному столбу на Красной площади привязать. Не интересно.
А вот кто возместит, например, Газпрому убытки от публикации недостоверной информации? Или ответит по УК за манипулирование?

Автор: Executer Перейти к цитате
Несколько усложним ситуацию.
Лицензия есть, но она явно ограничена.
См. п.1 и УЦ не получит акредитацию!

Практика - критерий истины. Ну или показатель качества работы. Пример имеется - лицензия ограничена, аккредитация есть.

Автор: Executer Перейти к цитате
УЦ может выпускать подписи не для всех систем, а только для своей внутренней. Является ли такая подпись действительной для внешних систем?
Нет. И подпись не будет являться действительной, т.к. не выстроиться цепочка доверия от ГУЦ Минкомсвязи

Ну вот круг доверия и разомкнут. Если не сформировано юридическое и технологическое обеспечение доверия - грош цена любым громким заявлениям.

Автор: Executer Перейти к цитате
И кто в такой ситуации несет ответственность за принятие документа с такой электронной подписью?
Принявшая сторона, как неубедившаяся в актуальности подписи. На практике: чтобы увидеть, что сертификат подписи актуальный, принявшая сторона вынуждена предварительно установить на своём компьютере сертификат корневого УЦ и сертификаты всех промежуточных УЦ. Но это совершенно осмысленное действо! И не одним случайным движением мышки. В противном случае подпись будет недействительной.
И если первая ситуация является чисто умозрительной, то вторая - реальна...

Вот и я о том же... Я должен явно убедиться, что у моего партнера все действительно примерно так, как я предполагаю. А не то, как об этом думает кто-то, кто ни за что не отвечает.

Автор: Executer Перейти к цитате
Рассмотрим ситуацию с обеспечением ответственности. Ситуация № 2.
У УЦ нет обеспечения ответственности. Ни страхования, ни банковской гарантии (я молчу про вероятность оспаривания и одного, и другого). Вероятно? Как часто МКС проверяет их наличие для целей аккредитации?
Всегда. Из моей практики - я вынужден был обратиться в три компании с предлагаемым Минкомсвязи текстом (рекомендациями) по страхованию. И только в третьей мне показали текст Полиса страхования, напрямую согласованного с МКС и с резолюцией МКС: "Согласовано".
Как проверяет их действительность и условия?

Да ладно Вам... МКС в он-лайн мониторит наличие страховок? Или их соответствие чему-то непонятному и неизвестному? Какое значение имеют рекомендации в ситуации, когда убытки мне причинены явно неправомерными действиями УЦ? Для этого нужны не рекомендации, а нормы Федерального закона о страховании ответственности УЦ...
Похоже я сильно погорячился, когда отказался от требований по обеспечению ответственности перед нами...

Автор: Executer Перейти к цитате
Ситуация № 3. Все про обеспечение ответственности.
Покажите мне нормы закона, где описаны условия страхования.

Пожалуйста: http://minsvyaz.ru/commo..._STRAKHOVANIYA_10.12.doc
Более подробно о требованиях - http://minsvyaz.ru/ru/directions/?regulator=118


Это не Федеральный закон, а некое мнение... пусть даже рекомендация... но даже не ведомственный нормативный правовой акт.

Автор: Executer Перейти к цитате
Их отсутствие приводит к тому, что УЦ делают вид, что платят страховые премии, а страховые компании - вид, что страхуют что-то.??? Как результат - виновные действия УЦ (или сотрудника УЦ) приводят к невозможности получения страхового возмещения третьим лицом. Иное требует введения обязательного страхования с описанием в законе или в порядке им установленном страховых случаев, страхового возмещения, обстоятельств, исключающих страхвое возмещение и много другого. Всего этого нет.

Давно пора было ссылку поместить: http://minsvyaz.ru/ru/doc/?id_4=795

Ну МКС мне порекомендовал пользоваться pravo.gov.ru...
А 320 приказ ничего не меняет в сказанном мной. Только убеждает, что все именно так, как было сказано.

Автор: Executer Перейти к цитате
Ситуация № 4. УЦ выдал электронную подпись бухгалтеру для сдачи отчетности в пенсионный фонд. С какого-то перепуга бухгалтер заходит к нам в систему и публикует сообщение, что директор - жулик, украл сто тысяч миллионов, обманывает государство и жену. Кто несет ответственность? УЦ?
Значит в сертификате есть один из ваших OID'ов. А иначе - зачем их вообще вводить, если не использовать для фильтрации доверенных сертификатов?


Ну так я для этого их и использую. Вы же говорите, что нельзя...

Автор: Executer Перейти к цитате
Нет не УЦ, а конечный пользователь. Полная ответственность за сохранность и использование по назначению ключей подписи и шифрования лежит всегда на пользователе. УЦ не может отказать в предоставлении тех или иных заявленных прав пользователю и вводить дополнительных ограничений на использование сертификата. Если "бухгалтер" с сертификатом "зашёл к вам в систему" - в его сертификате есть доступ.


Вот я даю юридический инструментарий для ограничения.

Автор: Executer Перейти к цитате
Вы мне предлагаете закрыть глаза на все эти проблемы, которые должны быть решены. Не мной, а МКС. ??? Но МКС с упорством, достойным лучшего применения, полагает, что это не их проблемы, перекладывая их решение, по существу, на меня.

Да нет, не Вы решаете эти проблемы, а перекладываете решение на третью сторону. В данном случае ИИТ и АЭТП.
А они разворачивают желающих на повторный круг по аккредитации. Им так проще. И они сами прекрасно понимают ситуацию - "Больше бумаги - попа чище"!!! --- регистрируя "кандидата" по сканам в электронной почте! И где ваша хвалёная "защита"! Государство самосвалов! И при этом не забывая "смочить кузов" - а потом соскрести то, что прилипло у себя на участке. Только без обид. Это не про Вас лично. :-)



Замечу, что мы сами тоже проводим подтверждение соответствия. Только не консультируем и не помогаем.
Компаний 7 или 8 через нас прошло, одну завернули по лицензии (см. выше).
Мои сообщения (кроме размещенных в разделе "Официально) содержат исключительно мои личные позицию или мнение, которые могут не совпадать с официальной позицией группы "Интерфакс" или иных лиц, которые ассоциируются со мной.
Дмитрий Скрипичников
#22 Оставлено : 4 апреля 2014 г. 16:18:32(UTC)
Дмитрий Скрипичников

Статус: Advanced Member

Группы: Registered
Зарегистрирован: 19.12.2012(UTC)
Сообщений: 33
Мужчина

Сказал «Спасибо»: 2 раз
Поблагодарили: 3 раз в 3 постах
А что излишне в процедуре проверки УЦ?
Пользователи, просматривающие эту тему
Guest (4)
2 Страницы<12
Быстрый переход  
Вы не можете создавать новые темы в этом форуме.
Вы не можете отвечать в этом форуме.
Вы не можете удалять Ваши сообщения в этом форуме.
Вы не можете редактировать Ваши сообщения в этом форуме.
Вы не можете создавать опросы в этом форуме.
Вы не можете голосовать в этом форуме.

Форум YAF 1.9.6.1 | YAF © 2003-2024, Yet Another Forum.NET
Страница сгенерирована за 0.152 секунды.