Правовые аспекты

[admt]

Добрый день!

У меня есть вопросы попробую их изложить как можно правильнее и понятнее, но для начала основа, что есть:

В моей организации имеется своя сеть ВиПнет, я являюсь ее администратором. Сеть не большая и распространяется только в нутри совей организации.

Есть другая сторонняя организация которая купила себе Випнет клиента и хочет быть членом моей сети для защищенного обмена информацией:

так вот если я подключаю эту организацию к своей сети, и в УКЦ выдаю им сертификат где коневой удостоверяющий ценр будет указа моя организация, так вот юридическую значимость в суде будет иметь такой сертификат и соответственно ЭЦП или нет???

Если НЕТ...то следовательно моей организации необходимо найти корневой Удостоверяющий ценр у которого есть лицензия и он в праве быть корневым УЦ т.е. организация типа Крипто-Про которая может выдавать соответствующиее сертификаты?

Второе, что необходимо сделать моей организации что бы наш УКЦ имел юридическую значимость как корневой УЦ и мог выдавать сертификаты?

Третье, Администратор сети ВИПНЕТ обязан проходить обучение и иметь соответствующий сертификат о том что он в праве устанавливать и конфигурировать свою сеть ВИПНЕТ???

Четвертое, клинт сети Випнет должен проходить соответсвуещее обучени и иметь сертификат?

Пятое, Если стороння организации подключилась к моей сети и имеет свой координатор, то соответственно они должны иметь сертификаты о том что прошли обучение по работе с как с клиентом так и с координатором???

Спасибо!

[PinG]

Уважаемый, admt!

Вопросов задано много и правильных, вот только не на все эти вопросы можно дать однозначный ответ... Но я попробую обрисовать ситуацию в целом.

В вопросах затронуто две принципиальных темы - УЦ и криптография. Эти темы, очевидно, сильно связаны. Но по каждой из них есть свои требования соответствующих гос.органов.

По первой теме с правовой точки зрения в нашем государстве все достаточно мутно. Есть закон об ЭЦП, который вводит понятие УЦ, ЭЦП и предъявляет к ним ряд требований. Однако всем участникам этого рынка давно понятно, что закон этот неполон и на многие вопросы не дает ответов. Сейчас на повестке дня стоит главный вопрос "Что такое электронный документ?", без ответа на который в виде соответствующего закона развитие в России темы юридически значимого документооборота будет мучительным.

В данный момент темой УЦ сильно озабочено Росинформтехнологии , пытаясь согласовать ряд регламентирующих документов по теме УЦ и того самого юридически значимого документооборота. Эта же организация имеет отношение и к деятельности федерального УЦ...

Но это все лирика и в Интернете можно найти много статей и точек зрения на эту тему. Как же действуют на практике существующие УЦ?

1) Если речь идет о корпоративной системе, т.е. в рамках одной организации, то здесь все достаточно просто: закупается сертифицированное ПО УЦ (требование закона об ЭЦП, ПО УЦ сертифицируется в ФСБ), принимаются приказами по организации распорядительные документы, описывающие деятельность этого УЦ (регламенты) и применение ЭЦП в документообороте организации, и вперед и с песней...

Если организация государственная и обрабатывается в системе конфиденциальная информация (еще одна мутная категория, на тему которой можно долго рассуждать), то строго следует придерживаться требований ПКЗ-2005.

Если организация коммерческая, то ПКЗ-2005 можно рассматривать как рекомендации, а делать все по-своему.

2) Если речь идет об открытой системе, т.е. когда предполагается осуществлять обмен информацией между несколькими организациями, то здесь все хуже:

а) в УЦ есть криптография, а раз так, то организация, содержащая УЦ, занимается как минимум тех.обслуживанием криптосредств по отношению к другой организации, а на это требуется получение лицензии ФСБ (например, такой) со всеми вытекающими (например, обученными специалистами)

б) отношения между организациями по ЮЗ документообороту должны закрепляться соответствующими договорами, при этом, если другая организация не является аффилированной с первой, то, скорее всего, потребуется поиск третьей организации - электронного нотариата, которая готова будет на себя взять функции "разбора полетов" и эксперта в случае доведения дела до суда

в) можно также все эти функции по подготовке регламентов, содержания УЦ и разбора полетов возложить на организацию-удостоверяющий центр, которая имеет регистрацию в реестре УЦ УФО (см. ссылку выше) и все необходимые лицензии. Такой организацией может выступить не только КриптоПро, но и близкий нам Инфотекс Интернет Траст

г) а уж если вы соберетесь со своим УЦ подключиться к гос.ресурсам, то здесь все рекомендации ПКЗ-2005 и ряда других документов становятся обязательными к исполнению

Вывод: просто использование сертифицированного ПО УЦ, пусть даже такого замечательного, как ViPNet не дает автоматически возможности говорить об ЮЗ документообороте - требуется решить его много юридически-административных вопросов. Соответственно, либо вы их решаете самостоятельно и тогда в России становится еще одним официальным УЦ больше, либо поручаете эту задачу уже существующему УЦ, а сами выступаете в кач-ве потребителя его услуг.

Настоятельно Вам рекомендую обратиться с Вашими вопросами в Инфотекс Интернет Траст (тел. (495) 737-9372), думаю, что они смогут пояснить все моменты более детально и предложить Вам оптимальный выбор.

[admt]

Уважаемый, admt!

Вопросов задано много и правильных, вот только не на все эти вопросы можно дать однозначный ответ... Но я попробую обрисовать ситуацию в целом.

В вопросах затронуто две принципиальных темы - УЦ и криптография. Эти темы, очевидно, сильно связаны. Но по каждой из них есть свои требования соответствующих гос.органов.

Огромное спасибо за ответ, в основном я так и думал...просто хотелось уточнить правильно ли я рассуждал ... и обязательно свяжусь с компанией Инфотекс Интернет думаю будет очень полезно и ними по этому поводу пообщаться, еще раз огромное спасибо