1 / 12

Правоприменительная практика ЭЦП в органах государственной власти

Правоприменительная практика ЭЦП в органах государственной власти. ООО «КРИПТО-ПРО» Коммерческий директор Маслов Юрий Геннадьевич Заместитель коммерческого директора Фураков Александр Владимирович. Общие положения. ЭЦП - как средство защиты информации

solomon-henson
Download Presentation

Правоприменительная практика ЭЦП в органах государственной власти

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Правоприменительная практика ЭЦП в органах государственной власти ООО «КРИПТО-ПРО» Коммерческий директор Маслов Юрий Геннадьевич Заместитель коммерческого директора Фураков Александр Владимирович

  2. Общие положения • ЭЦП - как средство защиты информации • Статья 14 Федерального закона 27 июля 2006 года N 149-ФЗ «Об информации, информационных технологиях и о защите информации» информационные системы: • • Системы, эксплуатирующиеся государственными органами власти, определяются как государственные системы; • Статья 16 Федерального закона от 27 июля 2006 года № 149-ФЗ «Об информации, информационных технологиях и о защите информации» • Требования о защите информации, содержащейся в государственных информационных системах, устанавливаются уполномоченными на то федеральными исполнительными органами государственной власти (ФСБ России, ФСТЭК России); • При создании и эксплуатации государственных информационных систем, используемые в целях защиты информации методы и способы ее защиты должны соответствовать указанным требованиям.

  3. УФО в области обеспечения безопасности • Статья 2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности»: • • Федеральным органом исполнительной власти в области обеспечения безопасности определена ФСБ России. • Статья 11.2 Федерального закона от 3 апреля 1995 года № 40-ФЗ «О федеральной службе безопасности»: • В компетенции ФСБ России находится обеспечение информационной безопасности с использованием криптографических средств Криптография – это дело ФСБ

  4. Средства ЭЦП и криптография Постановление Правительства Российской Федерации от 29 декабря 2007 г. N 957. Каждым из Положений о лицензировании установлено: • средства ЭЦП относятся к шифровальным (криптографическим) средствам. А значит: Государственное регулирование применения шифровальных (криптографических) средств, в том числе и средств ЭЦП (как шифровальных криптографических средств) осуществляется федеральным органом исполнительной власти в области обеспечения безопасности, т.е. ФСБ России

  5. Встраивание средств ЭЦП в прикладное программное обеспечение • Статья 17 Федерального закона от 8 августа 2001 № 128-ФЗ «О лицензировании отдельных видов деятельности» устанавливает: • деятельность по разработке, производству шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем подлежит обязательному лицензированию. • Соответственно: • К организации, которая разрабатывает информационную систему, в которой применяется ЭЦП (в частности, выполнила встраивание средства ЭЦП в прикладное программное обеспечение информационной системы), предъявляется требование наличие у неё лицензии ФСБ России на право осуществления деятельности по разработке, производству защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем.

  6. Встраивание средств ЭЦП в прикладное программное обеспечение А зачем же нужна такая норма?.. В своём основном виде средства криптографической защиты информации – это криптобиблиотеки (набор криптобиблиотек) и непосредственно сами по себе ничего не подпишут ЭЦП и не зашифруют. Должна появиться «программная оболочка», которая предоставит пользовательский интерфейс выполнения криптографических функций, реализует логику работы с криптографическими объектами (их создание, передачу, обработку, хранение). Для того, чтобы корректно реализовать все эти процессы, разработчик должен обладать определенным багажом знаний, опытом в создании такого рода систем. Порядок лицензирования определен «Положением о лицензировании разработки, производства шифровальных (криптографических) средств, защищенных с использованием шифровальных (криптографических) средств информационных и телекоммуникационных систем», утвержденного Постановлением Правительства Российской Федерации от 29 декабря 2007 г. N 957.

  7. Встраивание средств ЭЦП в прикладное программное обеспечение Непосредственный контроль со стороны ФСБ (есть или нет) • Приказ ФСБ России от 9 февраля 2005 г. N 66 (зарегистрирован в Минюсте РФ 3 марта 2005 г. N 6382) «Об утверждении Положения о разработке, производстве, реализации и эксплуатации шифровальных (криптографических) средств защиты информации (Положение ПКЗ-2005)». • Статья 4 «Положения ПКЗ-2005)»: • требования Положения ПКЗ-2005 носят рекомендательный характер при разработке, производстве, реализации и эксплуатации средств электронной цифровой подписи, предназначаемых для использования в электронном документообороте, информация которого не относится к информации конфиденциального характера.

  8. Использование средств ЭЦП Непосредственный контроль со стороны ФСБ (есть или нет) • Приказ ФСБ России от 9 февраля 2005 г. N 66 (Положение ПКЗ-2005)». • Статья 51 Положения ПКЗ-2005: • контроль за соблюдением правил пользования средств ЭЦП и условий их использования, указанных в правилах пользования на них, осуществляется ФСБ России в рамках контроля за организацией и функционированием криптографической и инженерно-технической безопасности информационно-телекоммуникационных систем, систем шифрованной, засекреченной и иных видов специальной связи; • Статья 52 Положения ПКЗ-2005: • государственный орган вправе, но не обязан, обратиться в ФСБ России с просьбой о проведении контроля за соблюдением правил пользования средств ЭЦП и условий их использования, указанных в правилах пользования средствами ЭЦП, в информационной системе.

  9. Использование ЭЦП ЭЦП - средство обеспечения юридической значимости Основной нормативно-правовой документ: Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной подписи». Основной недостаток – многовато отсылочных норм… В частности: В соответствии со статьей 3 Федерального закона от 10 января 2002 года 1-ФЗ «Об электронной подписи», информационная система государственного органа классифицируется как корпоративная информация система т.к. согласно определения из указанного закона, корпоративная информационная система – это информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы. А, следовательно, с учётом статьи 17 Федерального закона от 10 января 2002 года 1-ФЗ «Об электронной подписи», порядок использования ЭЦП устанавливается организатором системы (ОГВ)

  10. Использование ЭЦП Остаётся только определить порядок использования ЭЦП, а именно: • конкретизация условий равнозначности ЭЦП собственноручной подписи; • кто выступает в системе в качестве удостоверяющего центра; • какие средства ЭЦП используются в системе; • какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению; • порядок разрешения конфликтов/споров, связанных с применением ЭЦП.

  11. Удостоверяющий центр • Основной нормативно-правовой документ, определяющий деятельность Удостоверяющего центра: • Федеральный закон от 10 января 2002 года 1-ФЗ «Об электронной подписи». • Создать свой УЦ 2. Воспользоваться услугами стороннего

  12. Фураков Александр fav@cryptopro.ru

More Related