Законопроект об электронной подписи: поправки ко 2 чтению, октябрь 2010 - Форум по вопросам информационной безопасности

msm,
вы оказываете медвежью услугу компании Top cross. Если вы взяли на себя смелость ассоциировать себя с компанией, постарайтесь не допускать явных противоречий с нормативными документами в той области, в которой эта компания якобы специализируется.

> ЭЦП ДОЛЖНЫ приниматься везде по-умолчанию

Да что вы говорите? И в какой статье вы это вычитали?

В части 4 статьи 7 говориться, что подлинная усиленая ЭЦП признается равнозначной собственоручной подписси только в том случае, если иное не установлено нормативным актом или соглашением сорон. Не нравится использовть в рамках ТС сертификаты ностраных УЦ? Пропишите в нормативных документах использование только собственого УЦ или предъявите дополнительные требования к УЦ, при выполнении которых вы готовы признавать действительные ЭЦП равнозначными собственоручным подписям.

Для квалифицированных ЭЦП отдельно оговорено, что порядок использования ЭЦП в государественных системах государственые органы сами вправе решать, какие ЭЦП использовать и каким образом (п. 5 статьи 11).

malotavr ,
"вы оказываете медвежью услугу компании Top cross." - поздно, я уже оказал эту услугу, я гендиректор этой компании :-)
Есть такое выдуманное в этом году понятие называется "Единое пространство доверия" (ЕПД) по нему даже пытались ПП выпустить, и это вписано в мероприятия ГП ИО, так вот это ЕПД и будет строиться на квалифицированных подписях и сертификатах - также как и в Европе. Поэтому я написал всё правильно.
На тему: "Пропишите в нормативных документах ... " я к сожалению или радости не Комиссия Таможенного Союза поэтому я ничего не могу прописать, если бы была моя воля, то я вообще не трогал бы ФЗ-1 ввел бы то чего специально "отломили" от ФЗ-1 и всё, а именно, если кто помнить сначала было лицензирование УЦ (с тем расчётом что это будет некий рычаг всех построить по технике и нормативке) а потом его хоп и отменили, в результате полная анархия (поскольку аккредитации нет и нет лицензирования) а также кто читал ФЗ-1 за Правительством - родить требования к публичным системам - это тоже не сделали. И получается, не доделав одно, взяли критиковать и вбросили вытащенный из-под сукна заготовку пятилетней давности, изначально морально устаревшую, мне не верите спросите первоисточник - автора этого законопроекта.
Ну и ещё несколько штрихов к ФЗ-1 добавить - и был бы прекрасный нормативный инструмент.

malotavr,
Вот почему я пишу про "признается по-умолчанию", так что прежде чем наезжать на меня или Топ Кросс лучше матчасть почитайте.
--------------
Статья 6. Условия признания электронных документов, подписанных электронной подписью, равнозначными документам на бумажном носителе, подписанным собственноручной подписью
1. Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, за исключением случаев, когда федеральными законами или иными нормативными правовыми актами установлен запрет составления такого документа в электронной форме.
========================
Тут не написано что требуется какое либо предварительное согласование - просто выдал ЭД с ЭЦП и уже твоя забота будет проверять квалифицированную ЭЦП.

malotavr, Вы пишите:
"а вы сумеете предметно, без "просрали полимеры", рассказать, какие именно дополнительные угрозы несет в себе участие иностранных УЦ в оказании государственых услуг?"

Отвечаю: госуслуги - критический аспект общественной жизни. Если они встанут "колом" это может вызвать серьезные социальные и политические последствия. Сейчас для того, чтобы блокировать работу личных кабинетов на сайте gosuslugi.ru достаточно отозвать сертификат, выданный американским провайдером сертификационных услуг (далее ПСУ или СА). Ростлеком оправдывается по этому поводу, что это пока опытная эксплуатация. Но когда-то наступит и промышленная, до 2015 года п РП № 1555 у нас 74 вида госуслуг должны будут оказываться интерактивно. Давайте представим себе, что за вопрос ДОВЕРИЯ к Госуслугам в электронном виде по прежнему продолжит отвечать американский СА... Это ровно та самая ситуация. Аккрудитованый для наших госуслуг иностранный СА... Теперь раскрыть эту угрозу в Вашей, уважаемый malotavr структуре? ОК, следующм постом....

Да, прежде чем раскладывать угрозу по предложенной структуре, дополню, что отозвать сертификат портала gosuslugi.ru легко может американский СА в любой момент времени. И тогда госуслуги "встанут колом".
А теперь к предложенной классификации:
1. Кто является агентом угрозы? - Ответ: иностранные государства, чьи государственные интересы не совпадают с государственными интересами РФ.
2. Какой ущерб способна причинить реализация угрозы? Ответ: блокирование социально-значимых государственных услуг может привести к серьезной социальной и политической нестабильности, нерабоспособности важных государственных институтов. Вы можете оценить размер ущерба в масштабх страны, если, например, все физлица разом не смогут представить налоговую декларацию? Или Таможня не сможет оформлять грузы? Или Минздрав и Пенсионный не смогут оформлять пенсии? Или не будет пиостановлена возможность регисрации прав на недвижимость, в масштабах страны? Я думаю, что как прямой материальный ущерб, так и социальные последствия таких инцидентов могут быть очень масштабными, достаточно, чтобы, с учетом масштабов, считать их работоспособность вопросом из области государственной безопасности.
3. Какая уязвимость может использоваться для реализации угрозы? Ответ: уязвимость очевидная - сервисы безопасности для критических информационных систем должны быть подконтрольны организатору системы. При испльзовании иностранных СА и иностранной криптографии РФ не контролирует ни уровень криптографической защищенности своих критическх информационных ресурсов, ни уровень их доступности.
4. Каким способом данная угроза может быть реализована? Сценариев и способов можно придумать массу. Но в открытом форуме, я считаю, излагать их нельзя.

Вы цитируете законопроект, подготовленый ко аторому чтению? По итогам первого чтения такой статьи в закронопроекте и близко не было. Но даже с ней - вы же сами цитируете: "...за исключением случаев, когда ...". Смысл этого исключения вам понятен?

Это исключение означает, что для признания равнозначности ЭЦП сперва будут приниматься во внимание существующие нормативные акты, и только потом, если в них не оговорены какие-то особености, будет приниматься во внимание процитированная вами норма.

Я вам на секунду напомню, что сейчас электронный документооборот с юридически значимой ЭЦП осуществоляется только на основании ведомственных нормативных актов или договоров. Это значит, что с принятием законопроекта для существующих систем ЭДО не изменится вообще ничего - нормативное обеспечение этих систем будет иметь наивысший приоритет.

Что касается ТС, то его деятельность регулируется исключительно межлународными договорами, пожтому ни ФЗ-1, ни данный законопроект, если он будет принят, никакм боком к его деятельности не относится.

Мне понятны ваши опасения, что "все придется переделывать", но все-таки стоит отталкиваться от фактов, а не от ощущений.

> отозвать сертификат портала gosuslugi.ru легко может американский СА в любой момент времени

Да, тяжелый случай. Вы законопроект-то читали? "Удостоверяющий центр ... аннулирует ВЫДАННЫЕ ИМ сертификаты ключа подписи".

> Но в открытом форуме, я считаю, излагать их нельзя

Конечно, конечно, секрет полишинеля. Знаете, многие известнве мне кандидаты наук защищались по секретным диссертациям только потому, что публиковать такую хрень было стыдно.

molotavr'у
Да... интересный диалог у нас получается... Кто-то кого- не понимает... Это, кстати, классика законотворчества. Эксперты лбы разбили после 1 чтения чтобы показать кучу несуразностей в законопроекте, а законодатели опять вытащили их, как будто и обсуждений не было. Вначале данного топика msm указал свое мнение об одной из главных причин. Авторы законопроекта НЕ ПОНИМАЮТ ЧТО ПИШУТ. Это так. На расширенном экспертном совете в ГД после 1 чтения присутствовало человек 30. Один из участников попросил поднят руки тех, кто в жизни хоть раз подпсывал ЭЦП электронные документы. Руки подняли человек 5... Грустно... Вот я например сейчас не понимаю, к чему Вы процетировали Законопроект "Удостоверяющий центр ... аннулирует ВЫДАННЫЕ ИМ сертификаты ключа подписи". Я это не только знаю из законопроекта (ст.15, п.1, пп.3, кстати у Вас не точная формулировка, но не суть), но и в действующем законе есть такое же положение (ст.9, п.1, пп.3). Кроме того, я каждый день практически касаюсь деятельности УЦ, в том числе и вопросов приостановки и аннулирования СКП. Можно легко перекрыть "кислород", например, "не павильному" по мнению организатора системы поставщику на госзакупках... Аналогий не видите? Так что достаточно хорошо понимаю смысл этих положений. Я утверждаю, что иностранный СА, имеющий возможность отозвать (аннулировать) эндюзеровские сертификаты в системах госуслуг (сейчас живой пример - SSL-сертификат портала gosuslugi.ru), представляет реальную угрозу безопасности страны.

molotavr'у

"Конечно, конечно, секрет полишинеля. Знаете, многие известнве мне кандидаты наук защищались по секретным диссертациям только потому, что публиковать такую хрень было стыдно."
1) мне повезло больше. Я видел много настоящих ученых, в том числе в области безопасности.
2) Я не говорю, что описание сценариев атак с использованием уязвимой PKI нигде не описаны. Если это "секрет полишинеля", Вы без труда найдете их не на этом форуме. УФО по ШС не случайно ФСБ. Поэтому правильное использование правильных ШС и технологий на базе ШС - это вопрос государственной безопасности. Это прописные истины, а попытка их "задвинуть", предпринятая в Законопректе сродни, например, деятельности по целенаправленному развалу системы военного образования в нашей стране. Надеюсь, что в обсуждаемой нами сегодня области пока еще есть шанс избежать катастрофы...