А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым. Такая схема обычно смягчает указанную Максимом коррупционность (понятно, что просто тендер с победившей одной организацией тут не проходит -- ибо вынужденные платить третьи лица чихали на тот тендер, который проводят не они сами). Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Отсутствие должного разнообразия стандартных крипторешений упирается в ту же сертификацию (обязательную для госорганизаций во всех вариантах проекта закона). Поэтому все происходит, как неоднократно предупреждалось на всевозможных встречах по обсуждению законопроекта: подобные схемы порождают коррупцию таким способом, что уйти от коррупции оказывается невозможным. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). Но надежда, понятно, слабая -- ибо велики доходы от сертификационных схем...
Комментарии (5)
-
Тамбовский центр тебе сертификатор: "Заявление о подключении к системе электронного документооборота Пенсионного фонда РФ управляющему отделением по Тамбовской области"
Здесь интересен такой вариант, -- что будет, если в просьбе на подключение будет написано: "...просит подключить нас к системе электронного документооборота ПФР для представления сведений индивидуального (персонифицированного) учета в электронной форме с использованием АРМ (файлового криптоменеджера) фирмы "Куку-фифи"... А отделение ПФР откажет (кстати, на каком основании?) -- какие в данном случае возникнут судебные перспективы?
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
А вообще-то ситуация с госорганом и частной компанией, обслуживающей третьих лиц решается обычно очень просто: делается список критериев, под который сразу попадает не меньше трех неаффилированных между собой частных организаций, а список оставляется открытым.У нас это плохо проходит: они выкатят три "неаффилированные" между собой лавки (ТИК, КриптоПро и гальванизируют МО ПНИИЧАГО), а кто там с кем спит - мы же свечку не держали, хотя понятно, что грех свальный, и та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :) Правда, в данном конкретном случае все упирается в отсутствие стандарта на криптосредства, чтобы третьим лицам можно было выбирать из нескольких разных вариантов. Строго говоря, это не так. Стандартов достаточно. Я думаю, "ТехИнвестКонсалтингу" не нравится ситуация, в которую попала эта организация -- уж слишком кривая схема. А я думаю, очень нравится - ведь она таакаая криваая. :) Но нынешние и проектируемые нормативные акты просто не дают возможности уйти от коррупционных схем. Почему же? Как раз в Законе "Об ЭЦП" можно перекрыть коррупционные схемы, заложенные в других законах, применительно к этому конкретному кейсу. Вариант: - Стандартизация отделяется от сертификации. От узлов, которыми оперируют госорганы (+господрядчики), требуется использование сертифицированных решений. От их контрагентов требуются данные, соответствующие стандарту, и все.
- По каждой категории решений, используемых в "публичных" системах перво-наперво сертифицируется эталонная реализация - та, которой будут поверять совместимость других решений. Эталонная реализация предоставляется под двойной лицензией - 1) GPL-modelled для профессионалов, конечных пользователей и госпользователей и 2) коммерческой для разработчиков поп-софта (которые, затем, могут сертифицировать свои производные - понятно, что это дешевле, чем сертивикации from scratch-реализации). Сертификация проприетарных решений, не имеющих сертифицированного свободной модельной реализации, запрещается. (По сути, это просто требование опубликовать и отдать народу эталон, который все равно всегда есть (вектора чем-то считают контрольные?), и который все равно разработан на народный налогоплательщиковы деньги.)
- Сертификация вводится как ответственный институт. Эта почетная функция возлагается на ГТК, которая может кросс-лицензироваться с правительственными (ФАПСИ), военными (НИИ-27), частными или зарубежными сертификаторами, но - под свою ответственность.
- Использование вводится как ответственный институт. Пользователь отвечает за "прорывы", деля ответственность с поставщиком/сертификатором (если средство сертифицировано) или страхуя ее (если кто-то возьмется).
Я утверждаю, что это единственный подход (применимый, конечно, очень широко - ЦП просто очевидный пример), который придает сертификации решений хоть какой-то смысл. Одна надежда -- на пакет законов по дебюрократизации экономики (в этом пакете из 500 видов лицензий планируется оставить только 70). ...Которые покроют гораздо большую площадь тучных пастбищ, чем существующие 492. :) Например: 1. А - Автомобили, производство, заправка, обслуживание и переработка в металлолом, 2. Б - Банки, все услуги. ... 21. Ф - Фсе остальное. :)
-
Подключи мне, подключи...
Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро": у нее такой же сертификат, такая же заявленная функциональность, те же аттестованные алгоритмы, и никакой совместимости :)))
-
Тамбовский центр тебе друг, товарищ и серый тификатор, тайга - закон, Шерстюк - прокурор
> та же "Верба" ходит по рукам, как пьяная не пойми кто. Когда ее поломают публично, концов точно не найти будет. :)А когда ломают открытый софт, то как выглядят найденные концы? Мне кажется, примерно так же... Поломка криптософта -- это примерно то же, что и любые другие найденные баги. Далее нужно понимать про две вещи: 1) как быстро и кто именно залатает дырку, 2) кто заплатит за непосредственный ущерб Насколько я понимаю, любые проприетари и открытые решения де-факто в сегодняшней ситуации тут эквивалентны (открытое решение лучше только тем, что покупная цена меньше -- хотя не нулевая, учитывая усилия на освоение и поддержку). Поэтому ломка "Вебры" тут не при чем :) "Верба" тут как неуловимый Джо -- ее не ломают, потому что она никому не нужна, ее внедрение определяется не сущностными, а политическими причинами.
-
Подключи мне, подключи...
> Гораздо смешнее, если не "Ку-ку", а, допустим "КриптоПро"Я эту ситуацию и имел в виду. Название ведь не важно... Нет, я могу "технически" понять ребят из Фонда -- поддерживать одну систему проще, чем две, а то и сотню (а почему бы и нет?). Но если предложить нормативное требование для Фонда иметь возможность обслуживать и принимать любое, наперед не известное, количество всех этих закрытых, полузакрытых и даже открытых криптосистем -- то тоже ерунда получается... Поэтому речь может идти о первоначальной стандартизации протоколов связи и крипто-обеспечения (затрудняюсь из-за неосведомленности в деталях назвать то, что надо стандартизировать, ведь это не только алгоритмы...) Далее -- решить вопросы, связанные с сертификацией всего этого третьей стороной(сторонами), уважаемой(уважаемыми) всеми (или, хотя бы участниками "процесса"). А уж потом конкретные реализации можно рекомендовать, и строить саму систему "криптообслуживания"... А то во имя сохранения одних прав и свобод ( для сохранения тайны сведений индивидуального учета ) попирать другие -- негоже.
|