А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым.У нас это плохо проходит: они выкатят три "неаффилированные" между собой лавки (ТИК, КриптоПро и гальванизируют МО ПНИИЧАГО), а кто там с кем спит - мы же свечку не держали, хотя понятно, что грех свальный, и та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :)
Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов.
Строго говоря, это не так. Стандартов достаточно.
Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема.
А я думаю, очень нравится - ведь она таакаая криваая. :)
Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем.
Почему же? Как раз в Законе "Об ЭЦП" можно перекрыть коррупционные схемы, заложенные в других законах, применительно к этому конкретному кейсу. Вариант:
- Стандартизация отделяется от сертификации. От узлов, которыми оперируют госорганы (+господрядчики), требуется использование сертифицированных решений. От их контрагентов требуются данные, соответствующие стандарту, и все.
- По каждой категории решений, используемых в "публичных" системах перво-наперво сертифицируется эталонная реализация - та, которой будут поверять совместимость других решений. Эталонная реализация предоставляется под двойной лицензией - 1) GPL-modelled для профессионалов, конечных пользователей и госпользователей и 2) коммерческой для разработчиков поп-софта (которые, затем, могут сертифицировать свои производные - понятно, что это дешевле, чем сертивикации from scratch-реализации). Сертификация проприетарных решений, не имеющих сертифицированного свободной модельной реализации, запрещается. (По сути, это просто требование опубликовать и отдать народу эталон, который все равно всегда есть (вектора чем-то считают контрольные?), и который все равно разработан на народный налогоплательщиковы деньги.)
- Сертификация вводится как ответственный институт. Эта почетная функция возлагается на ГТК, которая может кросс-лицензироваться с правительственными (ФАПСИ), военными (НИИ-27), частными или зарубежными сертификаторами, но - под свою ответственность.
- Использование вводится как ответственный институт. Пользователь отвечает за "прорывы", деля ответственность с поставщиком/сертификатором (если средство сертифицировано) или страхуя ее (если кто-то возьмется).
Я утверждаю, что это единственный подход (применимый, конечно, очень широко - ЦП просто очевидный пример), который придает сертификации решений хоть какой-то смысл.
Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70).
...Которые покроют гораздо большую площадь тучных пастбищ, чем существующие 492. :)
Например: 1. А - Автомобили, производство, заправка, обслуживание и переработка в металлолом, 2. Б - Банки, все услуги. ... 21. Ф - Фсе остальное. :)
