Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ «Об электронной подписи», устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП — простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект «Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных услуг», подготовленной Минэкономразвития. Да, он только для госуслуг, но и это уже нмало. На ее основе можно и свое что-то сделать и не требовать во всех случаях применять только усиленную квалифицированную ЭП.
Спецоперация спецоперацией, а нормативка по расписанию.
Что-то подзатянул я с выпуском дайджеста —
Август месяц, время отпусков, но законодатели не спят
Июль всегда запоминается каким-то нескончаемым потоком
Прошлый дайджест я опубликовал 1-го июня и вот новая
Почти месяц не публиковал дайджест новинок законодательства
Война войной, а даджест законодательных изменений по
Пока мир кибербезопасности колбасит, бешеный принтер
ого, любопытный док, спасибо)
кстати во всех случаях и так не требуют применять только усиленную квалифицированную 😉
ИМХО выбор вида ЭП зависит от аппетита к юридическим рискам.
Прямые финансовые риски напрямую не предусмотрены нашим бухучетом, только через суд.
Насколько я понимаю, вид использования подписей зависит от того где она используется. Например, если есть возможность обеспечить "согласование сторон" и закрепить на бумаге риски и допущения, то запросто можно использовать простую или усиленную. Маленькое НО (если требования к используемому где либо ещё не прописаны). Если нет возможности заранее договорится (как это происходит в е-услугах) то придётся использовать квалифицированную подпись, которая даёт презумпцию действительности, но и требует в замен всё сертифицированное использовать.
Для получения госуслуг через "единую точку входа" gosuslugi.ru как минимум необходимо иметь там учетку, верифицированную через бумажное подтверждение по почте. Те в этом случае пара логин-пароль используется как "простая неквалифицированная" в терминологии 63-ФЗ электронная подпись.
Но можно использовать и "усиленную (как бы квалифицированную)" подпись УЦ ЭП РТК (на eTocken ГОСТ), если есть техническая возможность ее получить. Цена вопроса сейчас 660 рублей (цена токена). Получал себе 2 недели назад.
привязываться к возможному ущербу, как в предложенной методике, все-таки несколько тупиковый способ имхо.
если взять к примеру, ДБО, там ущерб может быть довольно существенный, но это не повод использовать там КЭП, потому что сама по себе она ничего не гарантирует и ущерб предотвратить не может.
Евгений, я попытался вчера получить себе усиленную квалифицированную ЭП. Когда увидел, что мне нужно куда-то отдать мой паспорт, послал все подальше.
А как без паспорта, если это, по сути, цифровой аналог бумажного паспорта?
А нотариально заверенную копию свидетельства о постановке на учет в налоговом органе зачем?
Вот нашёл в одной европейской бумажке вот такую строчку:
Signature quality = {eID quality, hash quality, public key quality}
= {(certificate quality, independent assurance), hash quality, public key quality}
Так что, на мой взгляд, отвечая на вопрос какой вид подписи использовать, следует соотнести это с конкретной информационной системой и чтобы она внутри себя определила не ниже какого качества она хочет использовать подписи, чтобы это было допустимо по рискам.
Алексей, это в РТ?
было бы интересно почитать отдельный пост "как я получал электронную подпись" или хотя бы развернутый комментарий 😉
2msm:
электронная подпись может быть и без хэш-функции и без сертификата, следовательно ссылаться на доки, в которых качество подписи является функцией от этих параметров — некорректно.
по поводу рисков: давайте определимся о каких рисках идет речь? риски чего и чьи предлагается рассматривать при выборе вида подписи?
про связь подписи с ущербом я уже чуть выше коментил.
2pushkinist:
1. Простой подписи без крипта в Европе нет как минимум в части электронных документов с подписями которые предполагают трансграничный обмен, насколько припоминаю 25 февраля 2011 года был выпущен специальный документ закрепляющий данный факт (насколько помню там остались Cades, Xades и Pades), т.е. технической нейтральностью уже наелись.
2. На тему рисков — это проблема прикладного уровня определить чего она боится и совершенно очевидно, что разные системы потребуют разного качества.
1. ну а зачем тогда на европу ссылаться, если у нас другие порядки и другие подписи? 🙂
2. это ответ не на те вопросы, что я спрашивал, а какие-то общие слова, увы
Алексей,
у меня паспорт и СНИЛС взяли, сверили и сразу же вернули. Учетка на госуслугах у меня уже была.
НО! Заверенную копию сертификата на токен по требованию моему не дали и Регламент УЦ ЭП РТК показать не смогли..
Кстати, есть мнение, что квалифицированных подписей сейчас в принципе быть не может, ибо нет аккредитованных УЦ! Но есть подписи приравненные к квалифицированным.
"Нотариально заверенную копию свидетельства о постановке на учет в налоговом органе" с меня не требовали при выдаче ЭП.