27 август 2020
Либертариум Либертариум

Проект федерального закона "Об электронной цифровой подписи" / Комментарии по теме

  • Проект федерального закона "Об электронной цифровой подписи"

    Четверка. Но с большим жирным минусом. Есть предположение, что в текст под конец вписали ряд параграфов, которые старательно и долго из него вычеркивали, причем еще и вляпали кучу "багов".

    [4].2 Пользователь информационной системы может быть обладателем любого количества электронных цифровых подписей,

    Правда?

    [5.]2 При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей."

    Это не юридический язык, это из устава пионерской организации: "Юный пионер должен быть верен делу Ленина, слушаться старших и собирать металлолом. Если вместе с металлоломом он прихватит стабилизатор от ракеты с секретного завода, пусть пеняет на себя".

    Если есть желание различить использование "сертифицированного" и "несертифицированного", нужно а) указать, что есть "убытки и вред" (а также "порча"?), возникающие "в связи с созданием ключей" (формулировка крайне расплывчатая), и б) показать распределение ответственности как в одном ("сертифицированном"), так и в другом ("несертифицированном") варианте. Пока получается, что если "средство ЭЦП" "сертифицировано" (произнесено заклятье), то за "убытки и вред" (порчу) отвечает непонятно кто и, вроде бы, никто не отвечает. Я надеюсь, законотворец не имеет это в виду?

    [8].1 [...] Указанная организация при оформлении лицензии должна представить обоснование своей способности нести гражданскую ответственность в размере, не менее чем в 1 тысячу раз превышающем максимальный предел цены сделки, который данный центр может указывать в сертификате ключа подписи.

    Правда? А если "цена сделки" (whatever it means) не указана? А если сертификаты, выдаваемые "указанной организацией" не предназначены для заверения ключей, используемых при заключении сделок?

    12. [...] Обладатель электронной цифровой подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи, если ему известно, что эти ключи где-либо используются или использовались ранее.
    Ась? А это наверняка списано с инструкции по пользованию туалетом в одном уважаемом ведомстве из пяти букв: "Пользователь туалета обязан: не использовать туалетную бумагу, если ему известно, что эта бумага кем-либо использовалась ранее". Что сие означает, понять трудно.

    [17.]1. Если корпоративная информационная система доступна для пользователей информационной системы общего пользования или корпоративная информационная система предоставляет своим пользователям доступ в информационную систему общего пользования, она должна соответствовать требованиям, установленным настоящим Федеральным законом для систем общего пользования.

    Сия сентенция в свете современных технологических реалий бессмысленна. "Корпоративная" система может быть построена поверх "публичной", не теряя своей "корпоративной" чести, а "публичная" может шлюзоваться в "корпоративную", также не лишая ее "корпоративной" невинности.

    Различие, которое законотворец пытается провести, должно определяться в юридико-организационном (регламентация отношений), а не в техническом (возможность "доступа") аспекте. А именно, если есть договор или иное частноправовое соглашение, охватывающее всех участников — система "закрытая", "корпоративная", "ассоциативная", "клубная"; если такового нет, и отношения регулируются или конфликты разрешаются исключительно на публичноправовых основаниях, систему надлежит признать "открытой", "публичной" и т.п.

    ...Поторопился. Все-таки, тройка. Хотели, как лучше, а получилось, как у Черномырдина :(

  • Проект федерального закона "Об электронной цифровой подписи"

    Вобщем, этот законопроект не представляет собой чего-то сверх нового. Интерес вызывает следующее - смогут ли государственные структуры обеспечить должное функционирование цетров доверия (Certification Authority)? Не ясно, какие технические требования должны быть соблюдены. Даже нет ссылок на гостехкомиссию. В статье N5 есть замечание, по поводу использования несертифицированных средств, и в случае каких-либо проблем с этими средствами, ответственность (естественно, материальную) несут изготовители данных средств. Возникает вопрос, а несут ли ответственность изготовители сертифицированных средств? Исходя из положений суровой Российиской действительности, есть сомнения в том, что сертифицированный изготовитель будет отвечать перед законом.
    Лицензирование и сертифицирование в сфере высоких технологий и тем более криптографических средств наталкивается на огромное количество разнобразных препонов. Следует отметить, что сертифицированием криптографических продуктов занимается ФАПСИ. Не секрет, что в этих продуктах есть "дырка" для спецслужб.
    Наилучшим выходом из этой проблемы является предоставление на всеобщее обозрение исходных кодов ПО центров сертификации и клиентской части. Только к таким продуктам может быть оказано доверие.
    А в общем и целом, закон нужный и важный.
  • Проект федерального закона "Об электронной цифровой подписи"

    В дополнение к ранее сделанным высказываниям.
    Ст. 2 Правовое регулирование отношений в области использования ЭЦП осуществляется в соответствии с настоящим Федеральным законом, Федеральным законом "Об информации, информатизации и защите информации", другими федеральными законами, принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

    К сожалению, в законе не сказано прямо, можно ли применять (предоставлять услуги) ЭЦП, не имея лизензии. А ФАПСИ сейчас, ссылаясь на действующее законодательство, выдает лицезии и на предоставление услуг в области шифрования (к которой относит и ЭЦП). В общем, ссылка на действующие законы и нормативные акты порождает ряд вопросов, на которые данный текст закона прямого ответа не дает.
    Правомерно ли будет после принятия такого закона предоставление банком услуги по системе "банк-клиент" с применением ЭЦП без соответствующей лицензии ФАПСИ (в том случае, если удостоверяющим центром будет другая организация)?

    Судя по отсутствию прямого запрета, вроде бы несертифицированные средства ЭЦП применять можно. Но об этом прямо не сказано. С другой стороны, в определении понятий написано: подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат подтверждения сертифицированным средством ЭЦП ... То есть что, несертифицированным средством и подтвердить подлинность ЭЦП нельзя? Как же тогда его применять?

    К сожалению, не прописаны требования к организациям, претендующим на получение лицензии Удостоверяющего центра. Нет список документов, предоставляемых для лицензирования, нет исчерпывающего перечня причин отказа в выдаче лицензии.
    Будет ли одна лицензия на любое количество обслуживанемых корпоративных систем и средств ЭЦП, или на каждую корпоративную систему и каждое средство ЭЦП - отдельная?
    В общем, поле для чиновного произвола остается обширным.

  • Проект федерального закона "Об электронной цифровой подписи"

    Как-то очень странно, что согласно статье 9, пункту 1 удостоверяющий центр... создает по обращению пользователей закрытые и открытые ключи ЭЦП. Если закрытый ключ создан не самим обладателем ЭЦП, то как можно гарантировать его закрытость??? Это делает бессмысленным как сам закон, так и ЭЦП вообще.

    Особенно настораживает, что статья 17, пункт 1 относит любую информационную систему с выходом в интернет (а зачем нужна абсолютно закрытая система?) к системе общего пользования, при этом статья 5, пункт 2 запрещает любой такой информационной системе использовать не сертифицированные средства ЭЦП. А это делает закон бесполезным с точки зрения свободы выбора средств ЭЦП негосударственными организациями и частными лицами.

    И, конечно, справедливы упреки относительно неконкретности определения правовых последствий использования сертифицированных и не сертифицированных средств ЭЦП.

  • Проект федерального закона "Об электронной цифровой подписи"

    Предложенный Проект гораздо опаснее, чем это может показаться на первый взгляд.

    Кажется авторы Проекта совершенно забыли про пластиковые карты.
    Задумайтесь: на основании чего совершаются банковские транзакции по пластиковым картам ? На основании электронных документов либо вообще без подписи (в случае магнитных карт), либо с использованием все тех же ЭЦП.
    После принятия этого закона, часть таких операций станет незаконной, а для оставшимся достанется титаническая процедура по сбору и сертификации открытых ключей

[email protected] Московский Либертариум, 1994-2020