Pages - Menu

Страницы

21.12.11

Какой вид электронной подписи использовать?

Для меня (я в тему электронной подписи не сильно лезу) всегда существовал вопрос. Вот есть у нас ФЗ "Об электронной подписи", устанавливающий общие требования к ЭП. И есть проекты документов ФСБ, устанавливающие требования к конкретным видам ЭП - простой и усиленной. Но какой вид и когда использовать для меня всегда оставалось вопросом. И вот тут наткнулся на проект "Методики определения минимальных требований к электронной подписи, используемой для заверения документов, предоставляемых при обращении за получением государственных и муниципальных услуг", подготовленной Минэкономразвития. Да, он только для госуслуг, но и это уже нмало. На ее основе можно и свое что-то сделать и не требовать во всех случаях применять только усиленную квалифицированную ЭП.

15 комментариев:

  1. ого, любопытный док, спасибо)

    кстати во всех случаях и так не требуют применять только усиленную квалифицированную ;)

    ОтветитьУдалить
  2. ИМХО выбор вида ЭП зависит от аппетита к юридическим рискам.

    Прямые финансовые риски напрямую не предусмотрены нашим бухучетом, только через суд.

    ОтветитьУдалить
  3. Насколько я понимаю, вид использования подписей зависит от того где она используется. Например, если есть возможность обеспечить "согласование сторон" и закрепить на бумаге риски и допущения, то запросто можно использовать простую или усиленную. Маленькое НО (если требования к используемому где либо ещё не прописаны). Если нет возможности заранее договорится (как это происходит в е-услугах) то придётся использовать квалифицированную подпись, которая даёт презумпцию действительности, но и требует в замен всё сертифицированное использовать.

    ОтветитьУдалить
  4. Для получения госуслуг через "единую точку входа" gosuslugi.ru как минимум необходимо иметь там учетку, верифицированную через бумажное подтверждение по почте. Те в этом случае пара логин-пароль используется как "простая неквалифицированная" в терминологии 63-ФЗ электронная подпись.
    Но можно использовать и "усиленную (как бы квалифицированную)" подпись УЦ ЭП РТК (на eTocken ГОСТ), если есть техническая возможность ее получить. Цена вопроса сейчас 660 рублей (цена токена). Получал себе 2 недели назад.

    ОтветитьУдалить
  5. привязываться к возможному ущербу, как в предложенной методике, все-таки несколько тупиковый способ имхо.
    если взять к примеру, ДБО, там ущерб может быть довольно существенный, но это не повод использовать там КЭП, потому что сама по себе она ничего не гарантирует и ущерб предотвратить не может.

    ОтветитьУдалить
  6. Евгений, я попытался вчера получить себе усиленную квалифицированную ЭП. Когда увидел, что мне нужно куда-то отдать мой паспорт, послал все подальше.

    ОтветитьУдалить
  7. А как без паспорта, если это, по сути, цифровой аналог бумажного паспорта?

    ОтветитьУдалить
  8. А нотариально заверенную копию свидетельства о постановке на учет в налоговом органе зачем?

    ОтветитьУдалить
  9. Вот нашёл в одной европейской бумажке вот такую строчку:
    Signature quality = {eID quality, hash quality, public key quality}
    = {(certificate quality, independent assurance), hash quality, public key quality}

    Так что, на мой взгляд, отвечая на вопрос какой вид подписи использовать, следует соотнести это с конкретной информационной системой и чтобы она внутри себя определила не ниже какого качества она хочет использовать подписи, чтобы это было допустимо по рискам.

    ОтветитьУдалить
  10. Алексей, это в РТ?
    было бы интересно почитать отдельный пост "как я получал электронную подпись" или хотя бы развернутый комментарий ;)

    2msm:
    электронная подпись может быть и без хэш-функции и без сертификата, следовательно ссылаться на доки, в которых качество подписи является функцией от этих параметров - некорректно.
    по поводу рисков: давайте определимся о каких рисках идет речь? риски чего и чьи предлагается рассматривать при выборе вида подписи?
    про связь подписи с ущербом я уже чуть выше коментил.

    ОтветитьУдалить
  11. 2pushkinist:
    1. Простой подписи без крипта в Европе нет как минимум в части электронных документов с подписями которые предполагают трансграничный обмен, насколько припоминаю 25 февраля 2011 года был выпущен специальный документ закрепляющий данный факт (насколько помню там остались Cades, Xades и Pades), т.е. технической нейтральностью уже наелись.
    2. На тему рисков - это проблема прикладного уровня определить чего она боится и совершенно очевидно, что разные системы потребуют разного качества.

    ОтветитьУдалить
  12. 1. ну а зачем тогда на европу ссылаться, если у нас другие порядки и другие подписи? :)
    2. это ответ не на те вопросы, что я спрашивал, а какие-то общие слова, увы

    ОтветитьУдалить
  13. Алексей,
    у меня паспорт и СНИЛС взяли, сверили и сразу же вернули. Учетка на госуслугах у меня уже была.
    НО! Заверенную копию сертификата на токен по требованию моему не дали и Регламент УЦ ЭП РТК показать не смогли..

    ОтветитьУдалить
  14. Кстати, есть мнение, что квалифицированных подписей сейчас в принципе быть не может, ибо нет аккредитованных УЦ! Но есть подписи приравненные к квалифицированным.

    ОтветитьУдалить
  15. "Нотариально заверенную копию свидетельства о постановке на учет в налоговом органе" с меня не требовали при выдаче ЭП.

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.