Автор: Executer 
По сути вопроса:
Рассмотрим ситуацию № 1. Электронную подпись выпускает лицо, не имеющее лицензии, но по каким-то причинам аккредитованное МКС (например, лицензия аннулирована, но МКС не в курсе).
См. Приказ Минкомсвязи России от 23 ноября 2011 г. № 320 «Об аккредитации удостоверяющих центров» и п.6 ст.13 63-ФЗ "Об электронной подписи".
Прекрасно. Из Приказа прямо вытекает, что УЦ может без страховки и лицензии действовать 45 дней с момента, когда его поймают на этом!
Плюс есть еще госорганы и примкнувшие, которые ни страховки, ни чистых активов не имеют. Какая прелесть!!!
Автор: Executer Вопрос - является ли такая подпись надлежащей? Ответ очевиден? И кто в такой ситуации несет ответственность за принятие документа с такой электронной подписью?
Только не Удостоверяющий центр. Если УЦ скрыл существенную информацию о своей деятельности (о статусе) или намеренно ввёл в заблуждение обратившегося к нему клиента - см. по Кодексу об Административных Правонарушениях. Незаконная деятельность в области защиты информации. 20.000 руб.+ конфискация.
Меня не интересует, что будет с УЦ. Могут даже директора выпороть или к позорному столбу на Красной площади привязать. Не интересно.
А вот кто возместит, например, Газпрому убытки от публикации недостоверной информации? Или ответит по УК за манипулирование?
Автор: Executer Несколько усложним ситуацию.
Лицензия есть, но она явно ограничена.
См. п.1 и УЦ не получит акредитацию!
Практика - критерий истины. Ну или показатель качества работы. Пример имеется - лицензия ограничена, аккредитация есть.
Автор: Executer УЦ может выпускать подписи не для всех систем, а только для своей внутренней. Является ли такая подпись действительной для внешних систем?
Нет. И подпись не будет являться действительной, т.к. не выстроиться цепочка доверия от ГУЦ Минкомсвязи
Ну вот круг доверия и разомкнут. Если не сформировано юридическое и технологическое обеспечение доверия - грош цена любым громким заявлениям.
Автор: Executer И кто в такой ситуации несет ответственность за принятие документа с такой электронной подписью?
Принявшая сторона, как неубедившаяся в актуальности подписи. На практике: чтобы увидеть, что сертификат подписи актуальный, принявшая сторона вынуждена предварительно установить на своём компьютере сертификат корневого УЦ и сертификаты всех промежуточных УЦ. Но это совершенно осмысленное действо! И не одним случайным движением мышки. В противном случае подпись будет недействительной.
И если первая ситуация является чисто умозрительной, то вторая - реальна...
Вот и я о том же... Я должен явно убедиться, что у моего партнера все действительно примерно так, как я предполагаю. А не то, как об этом думает кто-то, кто ни за что не отвечает.
Автор: Executer Рассмотрим ситуацию с обеспечением ответственности. Ситуация № 2.
У УЦ нет обеспечения ответственности. Ни страхования, ни банковской гарантии (я молчу про вероятность оспаривания и одного, и другого). Вероятно? Как часто МКС проверяет их наличие для целей аккредитации?
Всегда. Из моей практики - я вынужден был обратиться в три компании с предлагаемым Минкомсвязи текстом (рекомендациями) по страхованию. И только в третьей мне показали текст Полиса страхования, напрямую согласованного с МКС и с резолюцией МКС: "Согласовано".
Как проверяет их действительность и условия?
Да ладно Вам... МКС в он-лайн мониторит наличие страховок? Или их соответствие чему-то непонятному и неизвестному? Какое значение имеют рекомендации в ситуации, когда убытки мне причинены явно неправомерными действиями УЦ?
Для этого нужны не рекомендации, а нормы Федерального закона о страховании ответственности УЦ...Похоже я сильно погорячился, когда отказался от требований по обеспечению ответственности перед нами...
Автор: Executer Это не Федеральный закон, а некое мнение... пусть даже рекомендация... но даже не ведомственный нормативный правовой акт.
Автор: Executer Их отсутствие приводит к тому, что УЦ делают вид, что платят страховые премии, а страховые компании - вид, что страхуют что-то.
??? Как результат - виновные действия УЦ (или сотрудника УЦ) приводят к невозможности получения страхового возмещения третьим лицом. Иное требует введения обязательного страхования с описанием в законе или в порядке им установленном страховых случаев, страхового возмещения, обстоятельств, исключающих страхвое возмещение и много другого. Всего этого нет.
Давно пора было ссылку поместить: http://minsvyaz.ru/ru/doc/?id_4=795 Ну МКС мне порекомендовал пользоваться pravo.gov.ru...
А 320 приказ ничего не меняет в сказанном мной. Только убеждает, что все именно так, как было сказано.
Автор: Executer Ситуация № 4. УЦ выдал электронную подпись бухгалтеру для сдачи отчетности в пенсионный фонд. С какого-то перепуга бухгалтер заходит к нам в систему и публикует сообщение, что директор - жулик, украл сто тысяч миллионов, обманывает государство и жену. Кто несет ответственность? УЦ?
Значит в сертификате есть один из ваших OID'ов. А иначе - зачем их вообще вводить, если не использовать для фильтрации доверенных сертификатов?
Ну так я для этого их и использую. Вы же говорите, что нельзя...
Автор: Executer Нет не УЦ, а конечный пользователь. Полная ответственность за сохранность и использование по назначению ключей подписи и шифрования лежит всегда на пользователе. УЦ не может отказать в предоставлении тех или иных заявленных прав пользователю и вводить дополнительных ограничений на использование сертификата. Если "бухгалтер" с сертификатом "зашёл к вам в систему" - в его сертификате есть доступ.
Вот я даю юридический инструментарий для ограничения.
Автор: Executer Вы мне предлагаете закрыть глаза на все эти проблемы, которые должны быть решены. Не мной, а МКС. ??? Но МКС с упорством, достойным лучшего применения, полагает, что это не их проблемы, перекладывая их решение, по существу, на меня.
Да нет, не Вы решаете эти проблемы, а перекладываете решение на третью сторону. В данном случае ИИТ и АЭТП.
А они разворачивают желающих на повторный круг по аккредитации. Им так проще. И они сами прекрасно понимают ситуацию - "Больше бумаги - попа чище"!!! --- регистрируя "кандидата" по сканам в электронной почте! И где ваша хвалёная "защита"! Государство самосвалов! И при этом не забывая "смочить кузов" - а потом соскрести то, что прилипло у себя на участке. Только без обид. Это не про Вас лично. :-)
Замечу, что мы сами тоже проводим подтверждение соответствия. Только не консультируем и не помогаем.
Компаний 7 или 8 через нас прошло, одну завернули по лицензии (см. выше).
