Pull to refresh

Электронная подпись простыми словами

Information Security *Cryptography *
imageПочти год назад (6 апреля 2011) вышел новый федеральный закон об электронной подписи (ЭП) — N 63-ФЗ «Об электронной подписи» взамен старого ФЗ №1-ФЗ от 10.01.2002. Когда старый закон отменили, многие вздохнули с облегчением, уж больно он был неподъемен для коммерческого сектора. Теория и практика обращения с ЭП в этом топике.

Итак, новый ФЗ внес вот какие новшества:

  • два уполномоченных органа;
  • добровольная аккредитация УЦ.

Но обо всем по порядку.

1. Старая ЭЦП трансформировалась в три вида ЭП, различающихся по степени надежности используемых технологий:
Простая – достаточно использовать код или пароль;
Неквалифицированная – можно использовать любые криптосредства для создания ЭП;
Квалифицированная – можно использовать криптосредства, имеющие сертификат (ФСБ) и аккредитованный УЦ, но об этом позже.

2. Новый ФЗ вводит два уполномоченных органа:

  • Орган, ответственный за политики в области применения ЭП и аккредитацию УЦ – Постановлением Правительства № 976 от 28 ноября 2011 таким органом было назначено Минкомсвязь.
  • Орган, ответственный за безопасность – ФСБ, тут все ясно.

Кроме того, двум этим органам нужно было разработать подзаконные акты, без них применение 63-ФЗ равнялось применению 1-ФЗ, но сначала про аккредитацию.

3. Аккредитация УЦ – подтверждение УЦ, что он надежный УЦ. Дает возможность генерить квалифицированную ЭП. Если вы не госорган и вам можно использовать неквалифицированную ЭП, то и аккредитоваться вам не надо. Про госорганы я не придумала, т.к. 9 февраля 2012 вышло ПП № 111, которое обязывает госорганы использовать квалифицированную ЭП, то же касается госуслуг – ПП № 861 от 24 октября 2011.
Как и прежде можно воспользоваться услугами стороннего УЦ, но тут надо следить, чтобы он был аккредитован (а иначе зачем?), а владельцам таких УЦ – спешно аккредитовываться.

Теперь, как все выглядит на практике

Если вы юзаете простую или неквалифицированную подпись, то тут все просто. Не забудьте только заключить соглашение об электронном взаимодействии, которое будет придавать юридическую значимость вашему взаимодействию.

С квалифицированной все сложнее. Чтобы ее заполучить в обиход, нужен аккредитованный УЦ и выполнение ряда условий.

Для аккредитования УЦ Минкомсвязь уже выпустила два из трех, указанных в новом ФЗ, подзаконных актов:

  • Приказ № 242 от 29 сентября 2011, утверждающий порядок передачи реестра аккредитованного УЦ на хранение в Минкомсвязь, в случае прекращения действия такого УЦ;
  • Приказ № 250 от 5 октября 2011, утверждающий порядок ведения реестра аккредитованным УЦ.

А вот самый главный документ, утверждающий собственно правила аккредитации УЦ, Минкосвязь пока не выпустила, впрочем, проект такого приказа имеется уже с 5 сентября 2011. Тем не менее, ни одного аккредитованного УЦ вы пока не встретите.

ФСБ, в свою очередь, тоже выпустила два из трех, указанных в новом ФЗ подзаконных актов:

  • Приказ ФСБ № 795 от 27 декабря 2011 – устанавливает требования к форме квалифицированных сертификатов. Я бы охарактеризовала этот документ как адаптированный перевод RFC 2459 под русскую реальность;
  • Приказ ФСБ № 796 от 27 декабря 2011 – устанавливает требования к средствам ЭП и средствам УЦ (собственно, это криптосредства и прочие средства, которыми вы УЦ делаете).

Вобщем все гладко, условиями для создания квалифицированной ЭП помимо аккредитованного УЦ, о которых я упоминала выше, как раз и является подтверждения соответствия всех используемых средств требованиям ФСБ. Но вот требования ФСБ выпустила, а порядок подтверждения соответствия средств ЭП и УЦ этим требованиям еще нет. Понятно только, что это будет аналогия сертификатов ФСБ на криптосредства.

В целом, прогноз благоприятный, если вы не гос, можно легко обходиться неквалифицированной ЭП, но вот пустят ли вас потом в какую-нибудь единую расчетную систему, пока вопрос.

И еще, расшарила подборку закладок со всеми упомянутыми документами.
Tags:
Hubs:
Total votes 25: ↑21 and ↓4 +17
Views 12K
Comments Comments 22