Изменения в ФЗ-63 об электронной подписи - Форум по вопросам информационной безопасности

Приветствую, друзья.
Может кто поделится практикой идеями и позицией перед проверками прокуратуры по вот такому изменению в ФЗ-63.

Ст. 10 п. 5

Обязанности участников электронного взаимодействия при использовании усиленных электронных подписей

5) обеспечивать незамедлительное уничтожение принадлежащих им ключей электронных подписей по истечении сроков действия данных ключей в отношении усиленных квалифицированных электронных подписей. Для уничтожения ключей электронных подписей должны применяться прошедшие в установленном порядке процедуру оценки соответствия средства электронной подписи, в составе которых реализована функция уничтожения информации.

На владельцев подписей вешать эту задачу?
Как ее контролировать?

Может кто уже сталкивался с проверками прокуратуры по теме ЭП.

Во-первых, спасибо за информирование о статье.

Во-вторых, вопрос.
Как я понял, одним из сертифицированных средств электронной подписи, в составе которых реализована функция уничтожения информации, является КриптоПро CSP. Один нюанс. Удалить контейнер закрытого ключа можно лишь зная пароль на этот контейнер. Если пароль утерян, то как тогда реализовать п.5 ст.10 ФЗ-63?

to Влад, в ФЗ-63 есть определение кто такие участники электронного взаимодействия.

"участники электронного взаимодействия - осуществляющие обмен информацией в электронной форме государственные органы, органы местного самоуправления, организации, индивидуальные предприниматели, а также граждане"

и тут нет сотрудников... вот я и думаю кто именно должен "обеспечивать незамедлительное уничтожение принадлежащих им ключей электронных подписей"... неужели это должны делать подразделения ТЗИ и, если да, то, как Вы правильно подметили, они не знают и знать не должны пароли закрытого ключа. Остается форматирование всего ключа, но на нем с вероятностью 146% уже будет записан новый, продленный ключ.

Вообще не понятная ситуация.

to Ikebot
>>Остается форматирование всего ключа, но на нем с вероятностью 146% уже будет записан новый, продленный ключ.
И каким же сертифицированным средством электронной подписи, в составе которого реализована функция уничтожения информации Вы это сделаете? Например, КриптоПро CSP такого не умеет. Драйвер носителя (рутокена, етона и т.п.) не является сертифицированным средством ЭП.

to Влад, так вот об том и речь, мало того, что не понятно кто это должен делать и каким образом подтверждать факт уничтожения, так и с чисто технической точки зрения процесс не понятен.
Поэтому и спрашивал, что может кто уже имеет проверенную позицию по данному вопросу.

Делать должны те, кто уполномочен на работу с ЭП, на мой взгляд.

Это либо непосредственно владельцы ЭП, либо, например в случае использования ТЭП (технологической ЭП, например, для информационной системы), те, кто по локальному нормативному акту ответственны за использование ЭП.

В свою очередь, работники подразделения по ИБ должны учесть "выбитие" ЭП, сделать отметку об уничтожении ключевой информации в Журнале учета Скзи.