Контакты
Подписка
МЕНЮ
Контакты
Подписка

Генерация закрытого ключа на компьютере фирмы без лицензии ФСБ - Форум по вопросам информационной безопасности

Генерация закрытого ключа на компьютере фирмы без лицензии ФСБ - Форум по вопросам информационной безопасности

К списку тем | Добавить сообщение


Страницы: 1 2 >

Автор: Новичок@ | 107671 17.12.2019 10:01
Здравствуйте!

Фирма является партнером УЦ без лицензии ФСБ (то есть генерировать должен САМ клиент, а не сотрудники ОКЗ).

Ситуация такая: клиенту подпись нужна была только для регистрации кассы, он ее отдал в АСЦ, и всё.
Так как клиент не имел своего компьютера, мы ему выделили компьютер фирмы, он САМ всё сделал (мы только объясняли, что и как). Таких клиентов было пару человек.

Сейчас пришел штраф из УЦ в несколько сотен тысяч (!) за нарушение технологии генерации.

Подскажите, пожалуйста, как этого штрафа избежать?
Где в законодательстве указано, что мы не можем предоставить компьютер?
В 152-ФАПСИ написано, что генерировать должен обладатель конфиденциальной информации, он сам и генерировал.

Автор: Практик | 107672 17.12.2019 13:21
2 Новичок@

Начните с простого: процитируйте сюда, как они обосновывают штраф, то есть какой нормативный документ вы нарушили.
Поскольку нарушение только двустороннего договора (без ссылок на НМД) обычно штрафом не наказывают, там другие меры, не относящиеся к ТЗИ. Это будет проблема вашего юриста (хотя если в договоре было прописано, то и вам достанется)
И второй вопрос: Что такое "штраф от УЦ", они же не орган власти, чтобы штрафовать

Автор: Новичок@ | 107678 17.12.2019 14:21
2 Практик

Формулировка следующая: Нарушение технологии генерации ключа и запроса клиента.

Якобы мы нарушили регламент УЦ. По Регламенту в случае его нарушения предусматривается штраф в зависимости от вида нарушения ("За нарушение требований Регламента предусмотрены штрафы и санкции").
Прямого запрета на генерацию клиентом на наших компьютерах нет , штрафа тоже не предусмотрено, поэтому они подвели это под следующий пункт "Прочие нарушения инструкций по выпуску ЭП", где штраф несколько десятков тысяч рублей. Так как за несколько месяцев было несколько таких клиентов, суммарно штраф вытянули на миллион с лишним.

Автор: Константин | 107679 17.12.2019 16:30
Вроде нарушения ФАПСИ нет. А точно они только на ФАПСИ в этом пункте ссылаются? Может быть вы еще подписывали какие-то документы об ознакомлении и там были какие-то другие инструкции.

Автор: Новичок@ | 107681 17.12.2019 17:15
to Константин

Они ссылаются не на ФАПСИ, а на 63-ФЗ ("в соответствии с п.3 ст.2 Федерального закона 63-ФЗ"), а этот пункт - вообще определение квалифицированного сертификата ключа проверки электронной подписи. Комментариев они не дают, говорят: "ждём от Вас объяснений, почему вы законодательство нарушаете. И вообще УЦ могут из-за Вас прикрыть в связи с ужесточением требований".

Автор: WORM, MK | 107682 17.12.2019 18:28
Пусть лучше напишут, кто им дал полномочия накладывать штрафы.
А в тюрьму они не садят часом?

Автор: Практик | 107686 17.12.2019 23:59
"Это будет проблема вашего юриста (хотя если в договоре было прописано, то и вам достанется)"
Именно так. Фактически, они сослались на свой регламент, выполнять который вы подписались, Остальное силы не имеет.
ИМХО:
Письменно посылаете их требовать через суд, с формулировкой типа наблюдается попытка с их стороны нарушить статью 286 УК (превышение должностных полномочий в виде официального толкования ФЗ и нормативки ФСБ - это и есть их письмо; плюс попытка выполнения полномочий органа исполнительной власти - наложить штраф за нарушение работы с криптой), плюс попытка незаконного извлечения прибыли из этого (штрафы за такие нарушения должны идти в бюджет). Тут нужен чисто юрист для точного набора букета статей.
В суд они с этим не полезут, если только их куратор от ФСБ не инициировал это, т.к. по таким вопросам "восьмёрка" ФСБ будет привлечена третьей стороной и экспертом. А этой конторе такие суды совершенно не нужны, им по криптографии проще было бы самим выявить адм.нарушение и отчитаться

Автор: nekto | 107704 23.12.2019 16:31
to Новичок@

"...мы ему выделили компьютер фирмы, он САМ всё сделал..."

На всякий случай, уточните, а что сталось с закрытым ключём? Он где его сохранял?

Автор: oko | 107705 23.12.2019 20:20
*в сторону*
Только меня смущает вот это: <Фирма является партнером УЦ без лицензии ФСБ (то есть генерировать должен САМ клиент, а не сотрудники ОКЗ)> - УЦ без лицензии или фирма? Фирме, собственно, лицензия не нужна, если ОКЗ УЦ осуществляет генерацию. Но тогда нарушается логика повествования, сокрытая в скобках, не так ли?
И еще. Модуль экстрасенсорики подсказывает, что страшным словом "штраф" называется "неустойка за невыполнение договорных обязательств между предприятиями-партнерами в части ЗИ (обращения с СКЗИ и ключевой информацией)". Сиречь, смотреть надо партнерское соглашение - в нем может быть всякое предусмотрено, ибо "партнер" - это не контора, покупающая услуги УЦ, ага...

Автор: Новичок@ | 107715 25.12.2019 19:49
to nekto

Генерировал клиент закрытый ключ на свой носитель, соответственно, ключ только у него

Страницы: 1 2 >

Просмотров темы: 1891

К списку тем | Добавить сообщение



Добавить сообщение

Автор*
Компания
E-mail
Присылать уведомления да
нет
Текст сообщения*
Введите код*