27 август 2020
Либертариум Либертариум

Комментарии (0)

  • Проект (версия 1.1) Федерального закона

    Проект интересен, но очень сырой. Абсолютно не проработаны требования к системам ЭДО как среде ЭДО. Было бы интересно обменяться некоторыми соображениями от имени украинских разработчиков соответствующих документов.
    Если есть интерес к сотрудничеству - пишите...
  • Проект (версия 1.1) Федерального закона

    Maxim E. Smirnoff, 01.07.1999
    в ответ на: комментарий (Alexander Kolpakov, 28.06.1999)
    Уважаемый, Alexander Kolpakov!

    А на Украине существует аналогичный закон (проект закона)? Расскажите, пожалуйста, по подробнее или приведите соответствующие ссылки.

    Спасибо.

    --

    Maxim E. Smirnoff

  • ВНУТРЕННИЙ РЕГЛАМЕНТ И ПЛАНЫ РАБОЧЕЙ ГРУППЫ

    Уважаемые господа в настоящее время, я занимаюсь структурным анализом и проектированием законопроектов и перереложением их в стандарты IDIF, с вашего позволения я мог бы расчитывать на получение разработанных вами моделей данного законопроекта для продолжения Вашей дискусии.
    С уважением , Алексей К.
    Еmail [email protected]
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    1. Похоже на выдержки из Законопроекта, разрабатываемого сотрудниками МИФИ, которые одновременно являются и сотрудниками ФАПСИ. (С другой командой разработчиков <Гос. дума, комитет по информационной безопасности> никак не общаются, не считая их достаточно компитентными.)

    2. Определение ЭЦП в п.2 допускает расширенное толкование, в том числе ЭЦП может считаться и точка в конце текста.

    3. Серьезным недостатком является отнесение ЭЦП к средствам защиты информации. Это совпадает с желанием ФАПСИ определить ЭЦП как шифровальное средство и монополизировать ее разработку, внедрение, сопровождение и т.д. Именно с подачи ФАПСИ в Основных юридических "блоках" проекта закона Об ЭЦП появляются некие "сертифицированные" средства (п.4.1):

    Электронный документ приобретает юридическую силу при ... наличии в средстве электронной вычислительной техники или ином электронном средстве обработки, хранения и передачи информации, в памяти которого хранится электронный документ, сертифицированных средств защиты информации.

    4. Непонятно почему в п.4.2 упомянут только автор документа. Необходимость формирования ЭЦП должна возникать при внесении в документ изменения любым лицом.

    5. Сертификация ключей проверки подписи (п.4.4) -- лишь одна из технологий функционирующих в системах ЭЦП и ее появление в Законопроекте на первый взгляд кажется странным, однако следующим шагом контролирующих органов станет создание "уполномоченных" государством сертификационных центров.

    6. П.5 те же яйца (что и п.4) только в профиль. Например, одно из условий юридической силы ЭЦП: она должна быть выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.

    7. П.8 (Порядок выработки закрытых ключей электронной цифровой подписи) и п.9 (Лицензирование деятельности по подтверждению подлинности электронной цифровой подписи) говорят сами за себя.

    П. 8 открывает дорогу к созданию подконтрольных государству центров выработки и распределения ключей, а п.9 -- к созданию центров, в которых будут разрешаться спорные вопросы. Со временем обе эти задачи благородно возьмется выполнять ФАПСИ (см. п.12.2). Да, вот беда не нужен никому ключ от чужого дяди, а споры может разбирать и суд на основе процедуры, установленной законом. Кстати, об этой процедуре не сказано ни одного слова.


    Вообще-то все уже прописано в ГК, Положении ЦБ об ЭЦП, Законе об информатизации, Письмах арбитражного суда, что и нужно свести в Законе. Не хватает только стандартов на оформление электронных документов, позволяющих использовать определенные стандартом процедуры формирования ЭЦП так, чтобы разные реализации стандартов ЭЦП были совместимы (т.е. есть процедура формирования, но нет процедуры проставления ЭЦП в документ).

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    цифровая подпись выработана средством электронной цифровой подписи, сертифицированным в установленном порядке.
    Действительно очень смешно :-D Интересно, кто-нибудь сможет определить при помощи какого средства я выработал вот такую цифровую подпись mEQL4QgCgyyBgzS7et2u8uryk. Более простой пример: цифра "5" выработана при помощи сертифицированного средства или нет?

    А вот еще:
    Документ в электронной форме отображения (электронный документ) -- сведения, представленные в форме, воспринимаемой средствами электронной вычислительной техники
    -- просто классическое, по своей бессмысленности определение. Интересно, а документ на бумаге воспринимается средствами электронной ВT? Нет? А если его отсканировать?

    В общем, в чем нельзя упрекнуть авторов законопроекта, так это в компетентности. Что же, давайте и дальше делать вид, что законотворец что-то понимает в тех вещах которые пытается регулировать. А мы будем делать вид, что никто и не занят разводом лохов среди лиц, находящихся под юрисдикцией Российской Федерации.

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 23.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 20.11.1999)
    Увы, вопрос гораздо сложнее: большинство формулировок закона пишутся не для программистов, а для суда. Согласно данной формулировке, суд примет или не примет подпись к рассмотрению в зависимости от того, "сертифицированным средством электронной подписи" или чем иным эта подпись была сделана. Тексты законов нужно читать так же, как программы -- пословно, причем важна каждая запятая. Обычно законы пишут не дураки, а люди с различными интересами. Поэтому нужно критиковать не формулировки (держу пари, что в этих формулировках больше смысла, чем непосвященный видит с первого взгляда), а заложенные в эти формулировки принципы. А вот принципы очень даже стоит покритиковать -- по содержанию, а не по форме.
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Maxim E. Smirnoff, 23.11.1999
    в ответ на: комментарий (Левенчук Анатолий, 23.11.1999)
    Анатолий! К сожалению, я не обладают достаточными знаниями и навыками, для анализа формулировок законопроекта и тем более "тайных смыслов", скрывающихся за ними. Я высказал свое, если угодно, дилетантское в юридическом смысле мнение, суть которого в следующем.
    По-моему, отличие хорошего закона от плохого определяется не тем насколько жестко или либерально он регулирует те или иные действия. Хороший закон " более полно, более адекватно отражает действительность, которую он пытается регулировать. Плохой закон строится на заблуждениях, неверном восприятии действительности каким-либо человеком или группой лиц. Такой закон просто не будет работать, или приведет к непредсказуемым последствиям. Предлагаемый законопроект, как раз и строится на каких-то диких легендах и мифах о цифровой подписи. Можно считать цифру неотчуждаемой от ее носителя, или программы, которой она создана. Можно разделять какие угодно другие заблуждения, но все это вряд ли это повлияет на объективные закономерности развития информационных технологий.
    Авторы либо просто не понимают сути цифровой информации, либо делают вид, что не понимают. Возможно, они и преследуют некоторые неочевидные цели, но с большой вероятностью они не сумеют их достигнуть, как это уже не раз случалось, потому как такие цели тоже, как правило, иллюзорны. Imho, проблема не в том, что какие-либо группы людей не анонсируют свои цели. Наоборот, скорее всего, они просто не могут их грамотно сформулировать (хотя бы для себя), не могут предложить реальных путей их достижения, в результате: "Хочется чего-то большого, а чего именно не понятно, наверное, закона о цифровой подписи." :-)
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 24.11.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 23.11.1999)
    Авторы законов о цифровой подписи рассматривают не программистскую, а реальную жизненную (и окрашенную в юридические цвета) ситуацию. Когда они пишут "сертифицированное средство", то имеют ввиду и сертификационный орган, и средство (вовсе необязательно программное!). Замечу, что реальная жизнь компьютерной тусовки совсем не похожа на жизнь юристов и (сильно отличающихся от юристов) судей и адвокатов. Разный слэнг, разные ТИПЫ МЫШЛЕНИЯ. Поэтому законы обычно касаются ПРОЦЕДУР -- и, как правило, точно описывают свою область применения. Скажем, ежели Вы пишете на бумажке цифру "5", то суд вас потом по этому закону не защитит. А ежели на моей бумажке сертифицированными средствами (необязательно компьютерными!) написано 2345673456789 -- то суд меня защищать будет. И так далее: программисты отдыхают. Смею заверить, что в рядах любых команд писателей законов достаточное количество людей, понимающих про цифровую подпись. Но некоторые люди пытаются подтащить под это СИЛЬНУЮ КРИПТОГРАФИЮ, а другие -- любые пароли из трех букв. Первые аппелируют к разуму, а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Maxim E. Smirnoff, 29.11.1999
    в ответ на: комментарий (Левенчук Анатолий, 24.11.1999)
    ...
    а вторые -- к необходимости закрыть новым законом (то есть обеспечить разбирательства в суде по сделкам) существующие банкоматные сети и СВИФТ. Тоже, между прочим, логика. Вот на этом уровне и идут баталии...
    А Вы не преувеличиваете? То что SWIFT не откажется от процедуры разбирательства спорных ситуаций в суде это возможно. Но сколько у него сейчас клиентов в стране? Полторы две тысячи не больше. И нужна ли им такая услуга? Думаю, вряд ли, учитывая, что значительная часть банков используют еще телексно-телетайпную связь, при которой вообще нельзя серьезно говорить безопасности, какая уж там цифровая подпись. А вот то что платежные системы с использованием пластиковых карт могут быть заинтересованы в таком законе, мне вообще кажется невероятным.
    Одним словом, возможно, что пока программисты отдыхают кто-то действительно пытается продвинуть свои интересы при помощи закона. Но главный вопрос, лично у меня, все равно остался: А насколько адекватно этот кто-то понимает в чем состоят его интересы? Не нафантазировал ли он опять себе молочных рек с кисельными берегами?
  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Левенчук Анатолий, 01.12.1999
    в ответ на: комментарий (Maxim E. Smirnoff, 29.11.1999)
    У меня есть большой опыт участия в рабочих группах Госдумы РФ. Смею заверить, что большинство участников рабочей группы очень хорошо понимают и отстаивают свои интересы. Так же они очень хорошо понимают и предотвращают отстаивания чужих интересов. До 50% времени в рабочих группах уходит именно на прояснение вопроса, чьи (часто ведомственные--госорганов, или групп населения, или отраслевые) интересы затрагивает тот или иной пункт Закона. И всегда находятся пара-тройка "экспертов" типа Вас, которые протаскивают "интересы" какой-либо технологической сферы. Это обсуждается далее так: интересы компаний, имеющие финансовые интересы в данной сфере. Скажем, если требовать сильного крипто в Законе, то обязательно вслух будут проговорены интересы тех компаний, которые этим крипто потом будут торговать, программистов, которые это крипто будут ставить и т.д. Далее эти интересы (и объемы рынка) будут сравнивать с интересами (и объемами рынка -- то бишь объемами транзакций) полутора тысяч свифтовцев, и вовсе необязательно после этого выиграют программисты. Если будут сидеть смарткарточники, то в дискуссии программисты будут отдыхать, и будет обсуждаться наезд карточников на свифтовский бизнес и бизнес карточек с магнитной полосой -- и так далее. Все это медленно и с расстановкой. Кроме того, сам Закон потом не будет даже отражать достигнутых содержательных договоренностей, а будет отражать интересы некоторых депутатов или глав ведомств, заинтересованных в усилении регулирования. Законописание -- удел гуманитариев, программисты отдыхают. Именно поэтому кто-то из шифропанков писал: "Не пиши Законы, пиши код." Это надежнее. После этого интересы программистов-технологов будет защищать код, а не суд. Иногда это лучше, иногда хуже. И т.д. и т.п. -- законописание (особенно в области крипто) довольно сложная тема, и кавалерийским "технократическим" наскоком ее не возьмешь.

  • Основные юридические "блоки" проекта закона "Об электронной цифровой подписи"

    Во время работы Форума РИФ'99 Гутабанк и Автобанк объявили о создании рабочей группы по продвижению технологий Электронной Цифровой Подписи ЭЦП в России.
  • Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)

    Интересно как будет решаться вопрос с лицензированием? Если центр обязан любому лицу дать возможность удостовериться в принадлежности открытого ключа ЭЦП, (в том числе) с использованием общедоступных информационных каналов - то это практически попадает под статью лицензии телематических служб - обеспечение доступа к справочно-информационным ресурсам. Эту лицензию выдает Минсвязи (Гостелеком).
    Кто установит границу между лицензией на телематику и ЭЦП? Или придется получать обе?
  • Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)

    Keng, 17.06.2000
    в ответ на: комментарий (анонимный, 16.06.2000)
    > Интересно как будет решаться вопрос с лицензированием?
    И опять это лицензирование!
    См. реплику cmw:18842
    По-моему, есть шанс обратившись в Конституционный суд закончить эту тему навсегда. Или нет?
  • Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)

    Лицензирование в условиях России - это монополизация рынка, переделы сфер влияния и денежных потоков заведомо нерыночными и некорректными способом. Россия к собственному бизнесу относится по схеме "умного" зятя - вырву себе глаз, пускай у тещи будет зять кривой. Как это в "Кин-дза-дза" Гедеван Александрович сказал: "Вы самые умные, да? Вы сами догадались, или Вам кто-то сказал?". Это к тому, что институт лицензирования далеко не гарантирует качества и новизны продукта, а насчет доверия государству в России сейчас при ходится очень сильно сомневаться. Тогда какую задачу решает введение института лицензирования?
  • Проект Закона"Об электронной цифровой подписи" (Версия от 15.05.2000г.)

    Keng, 21.06.2000
    в ответ на: комментарий (анонимный, 20.06.2000)
    > Тогда какую задачу решает
    > введение института лицензирования?
    Я с упорством Катона старшего буду повторять: Ceterum censeo licentium esse delendam :)
    И отсылать на http://www.libertarium.ru/libertarium/18842
    Государственные мужи привыкли, что все управляется государством. Они и в бреду не могут помыслить о том, что может быть как-то иначе. И непрерывно вводят лицензирование всего и вся.
    Возражения о том, что в Америках и прочих заграницах то же самое (в США водительские права тоже лицензией называются, например), -- не принимаются. У них другие конституции, у нас -- такая. Которая запрещает любые ограничения незапрещенной экономической деятельности.
    В данном случае (в проекте Закона "Об электронной цифровой подписи") нужно исключить любые упоминания о лицензировании, ввести полную свободу организации Центров. Единственная возможность для Государства -- необязательная сертификация этих Центров, с обязательной ответственностью за это. Но эта возможность отнюдь не запрещает существование независимых, не сертифицированных Центров. Решать кому доверять, а кому нет -- дело личное. В случае судебных разбирательств, к деятельности сертифицированных Центров будет просто больше доверия со стороны суда.
    А то, что институт лицензирования ничего не гарантирует...
    Так он и не должен. Это же просто платная и тягомотная передача непринадлежащих Государству прав частному лицу (и карание всех остальных), и прекрасная возможность для коррупции.
  • Проект федерального закона "Об электронной цифровой подписи"

    Сказать, что проект разработан в духе международных аналогов, это легко.
    А на самом деле, лучше их прочитать: например Немецкий проект, соответствующей Директиве http://www.kuner.com/data/sig/sig_august_16.html

  • Проект федерального закона "Об электронной цифровой подписи"

    Очень достойный законопроект - к его написанию не приложили руку люди из ФАПСИ и КГБшных компьютерных фирм!
    Однако до ЭЦП в России еще далеко как до Луны - мы не в Голландии и не в Америке ( а там тоже проблем еще масса)!!
    Люди!!! идите в www.europki.org в www.terena.nl/projects/pki и не хлебайте лаптем digital signature und PKI/CA!!!!

  • Проект федерального закона "Об электронной цифровой подписи"

    Очень нужный и важный закон. Еще в 1999 году я вывешивал на своем сайте предложения по организации сетевого нотариата и сетевого арбитража (http://www.crosswinds.net/~legaladviser/netnotariat.htm и http://www.crosswinds.net/~legaladviser/netarbitr.htm)
    В дополнение к настоящему законопроекту предлагаю внести изменения и дополнения в Основы законодательства о нотариате, поскольку они совершенно не предусматривают какой-либо возможности использования ЭЦП, а также в ФЗ "О государственной регистрации прав на недвижимое имущество и сделок с ним". В настоящее время именно учреждения по регистрации прав на недвижимое имущество, с одной стороны, наиболее подготовлены к использованию ЭЦП (в силу своей компьютеризованности), а с другой стороны, именно для них ЭЦП будет наиболее востребована, т.к. это позволит сократить штат сотрудников, занимающихся ненужной механической работой и ускорить процедуру регистрации.
    Очень прошу рассмотреть мое предложение по этому вопросу.
    При необходимости могу подготовить необходимое заключение (я работаю юристом в агентстве недвижимости СПб).
    С уважением, Р.Н.Юрьев (Егоров),
    [email protected]
  • Проект федерального закона "Об электронной цифровой подписи"

    Очень удачный проект закона, хочется выразить признательность разработчикам. Не заметил каких-либо внутренних противоречий. При этом закон открывает широкие возможности повсеместному применению ЭЦП без дополнительных тормозов в виде необходимости лицензирования и сертификации всего подряд.
    Несколько моментов:
    Стоит добавить в текст право владельца закрытого ключа получать/иметь сертификаты соответствующего открытого ключа от нескольких Центров сертификации одновременно. Возможно, это право имеется "по умолчанию"?
    Куда-то пропали совсем статьи 7, 12, 13, 14, 22. Надо бы уточнить нумерацию.
    Статья 21, пункт 3. Стоило бы обусловить ответственность владельца закрытого ключа за несанкционированный доступ к ключу тем, что а) закрытый ключ не был скомпрометирован на момент получения документа пользователем открытого ключа, и
    б) Центр сертификации выполнил свои функции в соответствии с Законом. Если же пользователь открытого ключа не убедился в его действительности, то сам и виноват. А если Центр не отработал - то владелец секретного ключа тоже невиновен.

    Андрей Язев, "Петербургский Межбанковский Финансовый Дом"
    [email protected]

  • Проект федерального закона "Об электронной цифровой подписи"

    Четверка. Но с большим жирным минусом. Есть предположение, что в текст под конец вписали ряд параграфов, которые старательно и долго из него вычеркивали, причем еще и вляпали кучу "багов".

    [4].2 Пользователь информационной системы может быть обладателем любого количества электронных цифровых подписей,

    Правда?

    [5.]2 При создании ключей ЭЦП для использования в информационной системе общего пользования должны применяться только сертифицированные средства ЭЦП. Возмещение убытков и вреда, возникших в связи с созданием ключей ЭЦП несертифицированными средствами ЭЦП, может быть возложено на создателей и распространителей таких ключей."

    Это не юридический язык, это из устава пионерской организации: "Юный пионер должен быть верен делу Ленина, слушаться старших и собирать металлолом. Если вместе с металлоломом он прихватит стабилизатор от ракеты с секретного завода, пусть пеняет на себя".

    Если есть желание различить использование "сертифицированного" и "несертифицированного", нужно а) указать, что есть "убытки и вред" (а также "порча"?), возникающие "в связи с созданием ключей" (формулировка крайне расплывчатая), и б) показать распределение ответственности как в одном ("сертифицированном"), так и в другом ("несертифицированном") варианте. Пока получается, что если "средство ЭЦП" "сертифицировано" (произнесено заклятье), то за "убытки и вред" (порчу) отвечает непонятно кто и, вроде бы, никто не отвечает. Я надеюсь, законотворец не имеет это в виду?

    [8].1 [...] Указанная организация при оформлении лицензии должна представить обоснование своей способности нести гражданскую ответственность в размере, не менее чем в 1 тысячу раз превышающем максимальный предел цены сделки, который данный центр может указывать в сертификате ключа подписи.

    Правда? А если "цена сделки" (whatever it means) не указана? А если сертификаты, выдаваемые "указанной организацией" не предназначены для заверения ключей, используемых при заключении сделок?

    12. [...] Обладатель электронной цифровой подписи обязан: не использовать для электронной цифровой подписи открытые и закрытые ключи, если ему известно, что эти ключи где-либо используются или использовались ранее.
    Ась? А это наверняка списано с инструкции по пользованию туалетом в одном уважаемом ведомстве из пяти букв: "Пользователь туалета обязан: не использовать туалетную бумагу, если ему известно, что эта бумага кем-либо использовалась ранее". Что сие означает, понять трудно.

    [17.]1. Если корпоративная информационная система доступна для пользователей информационной системы общего пользования или корпоративная информационная система предоставляет своим пользователям доступ в информационную систему общего пользования, она должна соответствовать требованиям, установленным настоящим Федеральным законом для систем общего пользования.

    Сия сентенция в свете современных технологических реалий бессмысленна. "Корпоративная" система может быть построена поверх "публичной", не теряя своей "корпоративной" чести, а "публичная" может шлюзоваться в "корпоративную", также не лишая ее "корпоративной" невинности.

    Различие, которое законотворец пытается провести, должно определяться в юридико-организационном (регламентация отношений), а не в техническом (возможность "доступа") аспекте. А именно, если есть договор или иное частноправовое соглашение, охватывающее всех участников — система "закрытая", "корпоративная", "ассоциативная", "клубная"; если такового нет, и отношения регулируются или конфликты разрешаются исключительно на публичноправовых основаниях, систему надлежит признать "открытой", "публичной" и т.п.

    ...Поторопился. Все-таки, тройка. Хотели, как лучше, а получилось, как у Черномырдина :(

  • Проект федерального закона "Об электронной цифровой подписи"

    Вобщем, этот законопроект не представляет собой чего-то сверх нового. Интерес вызывает следующее - смогут ли государственные структуры обеспечить должное функционирование цетров доверия (Certification Authority)? Не ясно, какие технические требования должны быть соблюдены. Даже нет ссылок на гостехкомиссию. В статье N5 есть замечание, по поводу использования несертифицированных средств, и в случае каких-либо проблем с этими средствами, ответственность (естественно, материальную) несут изготовители данных средств. Возникает вопрос, а несут ли ответственность изготовители сертифицированных средств? Исходя из положений суровой Российиской действительности, есть сомнения в том, что сертифицированный изготовитель будет отвечать перед законом.
    Лицензирование и сертифицирование в сфере высоких технологий и тем более криптографических средств наталкивается на огромное количество разнобразных препонов. Следует отметить, что сертифицированием криптографических продуктов занимается ФАПСИ. Не секрет, что в этих продуктах есть "дырка" для спецслужб.
    Наилучшим выходом из этой проблемы является предоставление на всеобщее обозрение исходных кодов ПО центров сертификации и клиентской части. Только к таким продуктам может быть оказано доверие.
    А в общем и целом, закон нужный и важный.
  • Проект федерального закона "Об электронной цифровой подписи"

    В дополнение к ранее сделанным высказываниям.
    Ст. 2 Правовое регулирование отношений в области использования ЭЦП осуществляется в соответствии с настоящим Федеральным законом, Федеральным законом "Об информации, информатизации и защите информации", другими федеральными законами, принимаемыми в соответствии с ними иными нормативными правовыми актами Российской Федерации.

    К сожалению, в законе не сказано прямо, можно ли применять (предоставлять услуги) ЭЦП, не имея лизензии. А ФАПСИ сейчас, ссылаясь на действующее законодательство, выдает лицезии и на предоставление услуг в области шифрования (к которой относит и ЭЦП). В общем, ссылка на действующие законы и нормативные акты порождает ряд вопросов, на которые данный текст закона прямого ответа не дает.
    Правомерно ли будет после принятия такого закона предоставление банком услуги по системе "банк-клиент" с применением ЭЦП без соответствующей лицензии ФАПСИ (в том случае, если удостоверяющим центром будет другая организация)?

    Судя по отсутствию прямого запрета, вроде бы несертифицированные средства ЭЦП применять можно. Но об этом прямо не сказано. С другой стороны, в определении понятий написано: подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат подтверждения сертифицированным средством ЭЦП ... То есть что, несертифицированным средством и подтвердить подлинность ЭЦП нельзя? Как же тогда его применять?

    К сожалению, не прописаны требования к организациям, претендующим на получение лицензии Удостоверяющего центра. Нет список документов, предоставляемых для лицензирования, нет исчерпывающего перечня причин отказа в выдаче лицензии.
    Будет ли одна лицензия на любое количество обслуживанемых корпоративных систем и средств ЭЦП, или на каждую корпоративную систему и каждое средство ЭЦП - отдельная?
    В общем, поле для чиновного произвола остается обширным.

  • Проект федерального закона "Об электронной цифровой подписи"

    Как-то очень странно, что согласно статье 9, пункту 1 удостоверяющий центр... создает по обращению пользователей закрытые и открытые ключи ЭЦП. Если закрытый ключ создан не самим обладателем ЭЦП, то как можно гарантировать его закрытость??? Это делает бессмысленным как сам закон, так и ЭЦП вообще.

    Особенно настораживает, что статья 17, пункт 1 относит любую информационную систему с выходом в интернет (а зачем нужна абсолютно закрытая система?) к системе общего пользования, при этом статья 5, пункт 2 запрещает любой такой информационной системе использовать не сертифицированные средства ЭЦП. А это делает закон бесполезным с точки зрения свободы выбора средств ЭЦП негосударственными организациями и частными лицами.

    И, конечно, справедливы упреки относительно неконкретности определения правовых последствий использования сертифицированных и не сертифицированных средств ЭЦП.

  • Проект федерального закона "Об электронной цифровой подписи"

    Предложенный Проект гораздо опаснее, чем это может показаться на первый взгляд.

    Кажется авторы Проекта совершенно забыли про пластиковые карты.
    Задумайтесь: на основании чего совершаются банковские транзакции по пластиковым картам ? На основании электронных документов либо вообще без подписи (в случае магнитных карт), либо с использованием все тех же ЭЦП.
    После принятия этого закона, часть таких операций станет незаконной, а для оставшимся достанется титаническая процедура по сбору и сертификации открытых ключей

  • Поправки к законопроекту "Об электронной цифровой подписи"

    Господа!
    Чисто конкретно: мне дано задание подготовить пакет поправок к з/проекту (вариант Правительства) <сабж>.
    Намеченный срок предоставления - понедельник-вторник.
    Если я буду иметь Ваши предложения (желательно - максимально конкретные : статья, пункт s/<криво>/<прямо>/), я постараюсь включить и их в этот пакет.
    Разумеется, окончательное решение, даже о том, что именно предлагать вниманию Думы принимаю отнюдь не я.
    Но: "Делай что должно и пусть будет. что будет" - это как раз для нас и как раз для сейчас.
    Благоволите дублировать на адрес: [email protected]

  • Поправки к законопроекту "Об электронной цифровой подписи"

    Keng, 23.06.2001
    в ответ на: комментарий (Олег Н. Каюнов, 21.06.2001)

    > Если я буду иметь Ваши предложения (желательно - максимально конкретные : статья, пункт s/<криво>/<прямо>/), я постараюсь включить и их в этот пакет. ... Делай что должно и пусть будет. что будет" - это как раз для нас и как раз для сейчас.

    Я, конечно, недостаточно наивен, чтобы думать, что мое предложение пройдет даже на этапе Вашего текста (не решитесь, даже если согласны...), но все-таки предложу, потому что я должен это сделать, так как считаю, что здесь затрагивается соответствие закона Конституции:
    Ст. 8 п. 1: убрать фразу "Деятельность удостоверяющего центра подлежит лицензированию в соответствии с законодательством Российской Федерации о лицензировании отдельных видов деятельности." а также все упоминания в Проекте о "лицензировании".

  • Новый закон о лицензировании.

    аноним, 23.08.2001
    в ответ на: текст Новый закон о лицензировании.

    Что в себя включает "деятельность по технической защите конфиденциальной информации"?
    Ведь под это понятие можно притянуть практически любые виды деятельности в области защиты информации.

  • Новый закон о лицензировании.

    Keng, 24.08.2001
    в ответ на: комментарий (анонимный, 23.08.2001)

    > Что в себя включает "деятельность по...
    Да какая разница! Неконституционный* закон, полный "глюков" и весьма далекий от права...
    Оне, видите ли, запрещают заниматься разработкой авиационной техники, шифровальных (криптографических) средств, вооружений! Разработка -- это мыслительный процесс. Мыслить запретить невозможно! Я дома у себя могу спокойно сидеть и разрабатывать что угодно, хоть ядерное оружие.
    А если, не дай Бог, конечно, при этом что-то загорится, так я что: тушить огонь не имею права? (деятельность по предупреждению и тушению пожаров подлежит лицензированию)
    Почему негосударственные (частные) охранную и сыскную деятельность нужно лицензировать, а "государственную" -- нет? (кстати, в нарушение ст. 8 ч. 2 Конституции РФ)
    Особенно меня порадовало: запрещено без наличия лицензии "воспроизведение (изготовление экземпляров) аудиовизуальных произведений и фонограмм на любых видах носителей"
    Вах!

    И этот бред принят Государственной Думой, Советом Федерации и подписан Президентом? Я еще раз глубоко разочаровался в их мыслительных способностях.

    *) -- Почему закон неконституционен? Он просто противоречит ст. 34 ч. 2 и ст. 56 ч. 3 Конституции. Ссылкой на ст. 55: "К лицензируемым видам деятельности относятся виды деятельности, осуществление которых может повлечь за собой нанесение ущерба правам, законным интересам, здоровью граждан, обороне и безопасности государства, культурному наследию народов Российской Федерации..." тут не отделаешься -- часть 3-я 56 статьи не позволяет, которая запрещает вводить любые ограничения предпринимательской деятельности даже при чрезвычайном положении.

    Дальшейший пассаж Закона тоже умилителен и характерен для современного законотворчества: "... и регулирование которых не может осуществляться иными методами, кроме как лицензированием." А доказательства? Доказывать когда-нибудь наши законодатели будут или нет?

  • Новый закон о лицензировании.

    Волчков Алексей Анатольевич, 06.09.2001
    в ответ на: комментарий (анонимный, 23.08.2001)

    Мировой опыт показывает, что существует только один способ однозначного определения объекта регулирования в области защиты информации: производится по следующей схеме:

    Деятельностью в области защиты информации является:

    1. Разработка нормативных документов по защите информации
    2. Осуществление мероприятий по защите информации
    3. Разработка систем и средств защиты информации
    4. Производство систем и средств защиты информации
    5. Распространение систем и средств защиты информации
    6. Эксплуатация систем и средств защиты информации
    7. Сопровождение и обслуживание систем и средств защиты информации
    8. Оказание услуг по защите информации
    9. Обучение в области защиты информации

    Деятельность по защите информации, содержащей сведения, составляющую государственную тайну подлежит обязательному лицензированию, за исключением деятельности по обучению в области защиты информации.

    Лицензирование деятельности по защите информации, содержащей сведения, составляющие государственную тайну, осуществляется уполномоченными, государственными органами в пределах их компетенции, определяемой законами и иными нормативными актами.

    Деятельность по защите конфиденциальной информации лицензированию не подлежит.

    При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу.

    Деятельность по защите открытой информации лицензированию не подлежит.

    Тем не менее, в новой редакции закона О лицензировании отдельных видов деятельности предусмотрено лицензирование следующих видов деятельности, связанных с защитой информации шифровальными средствами:

    • деятельность по распространению шифровальных (криптографических) средств;
    • деятельность по техническому обслуживанию шифровальных криптографических) средств;
    • предоставление услуг в области шифрования информации;
    • разработка, производство шифровальных средств, защищенных с использованием шифровальных (криптографических) средств информационных систем, систем и комплексов телекоммуникаций.

    Определения шифровальных средств в российских нормативных документах пока нет. По существу использования термина в законе О федеральных органах правительственной связи и информации он подразумевает шифровальную технику, применяемую для защиты важной информации в сетях правительственной, шифрованной, засекреченной или другой специальной связи.

    Именно в таком смысле, как легко убедиться, употребляет его в этом законе законодатель.

    Однако, это совсем не устраивает ФАПСИ. Агентство всеми силами пытается протолкнуть в нормативные документы максимально расширительное толкование термина.

    Так, в некоторых своих разъяснениях служба лицензирования ФАПСИ ссылается на то, что термин шифрование определен в примечаниях в старому стандарту шифрования данных СССР ГОСТ 28147-89. Однако, это весьма жалкая попытка.

    Определения терминов в примечаниях к стандарту ГОСТ28147-89 приводят к порочному кругу:

    Шифрование определяется через Шифр,
    Шифр - через Ключ,
    Ключ - через Криптографическое преобразование,
    Криптографическое преобразование - снова через Шифрование.

    Круг замкнулся.

    Как следует из правил логики, из порочного круга определений можно вывести любое утверждение и его отрицание.

    То есть эти определения не определяют ничего.

    Точно также, как выше СКЗИ определялись через СКЗИ.

    Таким образом, точного определения понятий шифровальные средства, равно как и , криптографические средства в настоящее время не существует.

    Во избежание в дальнейшем огромного количества злоупотреблений, которые имели место в данной области за последние 6 лет следует определить объект лицензирования строго и однозначно. И конечно же, исключить из него такие нелепости, как отнесение к шифровальным средствам электронной подписи, которая никак не изменяет исходную информацию.

    Именно от этого и попытается уклониться ФАПСИ всеми доступными средствами.

    Можно, например, отнести к шифровальным средствам все те устройства, которые реализуют стандарт ГОСТ 28147-89 или другие государственные стандарты шифрования или рекомендованные ФАПСИ агоритмы шифрования и сертифицированы ФАПСИ.

    Это полностью согласуется с типовыми требованиями ФАПСИ к лицензиатам. В этих требованиях по существу заложено отрицание возможности существования чисто программных шифровальных средств. Требуется как минимум обязательная защита от перехвата информации по электромагнитным излучениям, специальные меры по защите от съема информации по побочным каналам (электропитание и т.п.), специальные меры контроля за исправностью устройства, реализующего преобразование информации и т. д. То есть все те строгие требования, которые обычно предъявляются к шифровальной технике в системах правительственной или шифрованной связи гос. органов. Это и была на тот момент официальная позиция ФАПСИ.

    Только жгучее желание захватить рынок гражданских средств криптографической защиты информации массового применения и , особенно, средств цифровой аутентификации (подписи) электронных документов под свой контроль заставляет их юлить и изворачиваться для максимального расширения подконтрольной им области информационных технологий.

  • Новый закон о лицензировании.

    Неплохой анализ, но страдающий нелогичностью, и в самом начале.
    Сравним первое высказывание:
    > Деятельность по защите информации, содержащей сведения, составляющую государственную тайну
    подлежит обязательному лицензированию

    Со вторым:
    > При защите конфиденциальной информации собственник информации вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу.

    И теперь вопрос: прекрасно видно, что второе высказывание для случая Государства выглядит следующим образом: "При защите государственной тайны государственный орган, ответственный за ее сохранение, вправе сам вести деятельность по защите информации, совместно с иными лицами или перепоручать ее иному лицу." Логично? Тогда, скажите, зачем приплетать сюда лицензирование???
    Зачем создавать лишние сущности? Лишние бюрократические структуры и пирамиды безответственных работников госаппарата?
    Я сейчас не говорю о правовой стороне дела, а только -- о разумности и экономичности. В конечном счете -- об эффективности. Вы (вместе с Государством) предлагаете, чтобы одна организация хранила гостайны с помощью третьего лица, которое первому ничего не обещало, а заплатила и показалась третьей организации (лицензиару), которое не ответственно перед первым, как и вообще ни перед кем...
    Если лопнет эта защита, кто будет отвечать: Хранитель тайны? Нет. Он использовал лицензированный, якобы проверенный, продукт (я надеюсь, Вы не путаете сертификацию и лицензирование?). Будет отвечать Лицензиар? Ни в коей мере. Он-то тут причем? Лицензиары ни за что не отвечают, они только права передают (им не принадлежащие, кстати) и деньги получают за эту работу. Лицензиат? У него все тип-топ -- все бумаги в порядке и голограммы отсвечивают...
    Кто отвечать будет? Правильно -- некто, показавщий нестойкость защиты, а те, кто сваял эту "туфту", кто им разрешил это сделать, кто ее применял -- останутся белыми и пушистыми...
    Вот Вам и все лицензирование... Когда я слышу этот термин, моя рука тянется к револьверу... :)
    Свобода, либертарианство, если хотите, и государственное лицензирование деятельности -- несовместимы. Пора уж выбрать, господа...

  • Новый закон о лицензировании.

    Не готов с Вами согласиться во всем, уважаемый kenq. Дело в том, что государтсвенные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной.

  • Новый закон о лицензировании.

    аноним, 09.10.2001
    в ответ на: текст Новый закон о лицензировании.

    А интересно, получается, что со вступлением в силу этого закона на деятельность по предоставлению услуг связи и передачи данных лицензии получать больше не нужно. Здорово конечно, но верится с трудом.

  • Новый закон о лицензировании.

    > государственные организации, в т.ч. органы власти наделены достаточно большой самостоятельностью. Поэтому, для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования. Например лицензирование или сертификацию на соответствие стандартам или что-то еще. Суть моих комментариев, в том, что государство не должно вмешиваться с рекомендациями по защите информации в те сферы, которые не имеют отношения к информации государственной.

    С последним ("государство не должно вмешиваться") -- согласен.

    > Не готов с Вами согласиться во всем
    Так в чем же Вы со мной не соглашаетесь?
    Я говорил о том, что госудаственные органы вполне могут существовать в рамках правового поля для других, негосударственных субъектов. Единые "правила игры" для всех без изъятий -- логично? Вы же сами говорите о некоторой "самостоятельности"...

    А вот "для обеспечения "солидарности в проведении технической политики (в т.ч. и в области защиты)" имеет смысл оставить некоторые механизмы регулирования" -- очень, для органов Государства, согласен. Только вот причем здесь законодательство (единое для всех)?
    Если так необходимо обеспечить единообразие в государственных структурах -- достаточно Постановлений Правительства и ведомственных норм, не затрагивающих остальных, не относящихся к Государству... Здесь тоже все логично? Или нет?

  • Новый закон о лицензировании.

    аноним, 19.11.2001
    в ответ на: комментарий (анонимный, 09.10.2001)

    Очень странно! Но думается, что новый закон о связи восполнит эту "недопустимую" вольность.

  • Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи"

    В разделе "Основные понятия" написано:

    подтверждение подлинности электронной цифровой подписи в электронном документе - положительный результат проверки соответствующим сертифицированным средством электронной цифровой подписи с использованием сертификата ключа подписи принадлежности электронной цифровой подписи в электронном документе владельцу сертификата ключа подписи и отсутствия искажений в подписанном данной электронной цифровой подписью электронном документе;

    А если в корпоративной сети используется несертифицированное средство, то в ней что, проверить ЭЦП нельзя? Как же тогда ее использовать? Или "Вербой" можно PGP-шную подпись проверять?

  • Федеральный закон от 10 января 2002 г. N 1-ФЗ "Об электронной цифровой подписи"

    Keng, 25.01.2002
    в ответ на: комментарий (Язев Андрей Иванович, 25.01.2002)

    > А если в корпоративной сети используется несертифицированное средство, то в ней что, проверить ЭЦП нельзя?

    Все учтено могучим думским ураганом... ;)
    Там же, в определениях: корпоративная информационная система - информационная система, участниками которой может быть ограниченный круг лиц, определенный ее владельцем или соглашением участников этой информационной системы
    Далее, статья 5: Создание ключей электронных цифровых подписей осуществляется для использования в:
    информационной системе общего пользования ее участником или по его обращению удостоверяющим центром;
    корпоративной информационной системе в порядке, установленном в этой системе.
    и т.д. смотри по тексту.
    Каков будет порядок, утвержденный в корпоративной системе, так будет дело и легализовано (в том числе и для возможного последующего судебного разбирательства, если не дай бог дойдет до этого). Законодатель, таким образом, сказал, что "хозяин -- барин". Хочет -- сертифицированные ставит, хочет -- любые, какие под руку попадут... В этом, и в других межкорпоративных случаях правила могут регламентироваться "соглашением сторон", что и предусмотрено сим законом (статья 2).

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    > К январю 2001 года из рабочей группы фактически были вытеснены ЦБ РФ и
    Минсвязи, представители бизнеса и юристы были отстранены практически одновременно.

    Можно поименный список состава итоговой рабочей группы?

    > Закон не соответствует рекомендациям ВТО, ПАСЕ и UNCITRAL, из этих влиятельных организаций уже получены отрицательные отзывы.

    Можно тексты или хотя бы ссылки на эти отзывы?

    > С другой стороны, практически все на сегодняшний день существующие системы, использующие ЦП и иные АСП, являются корпоративными...

    По другому и быть не могло в рамках ГК и пр. существовавшего до принятия Закона законодательства. Закон нацелен на монополизацию поставок в сегменты G2G и G2B.

    > Тем не мене, следует отметить, что закон предусматривает обязательное лицензирование деятельности т.н. удостоверяющих центров (УЦ - в некотором смысле электронный аналог нотариуса - подписывает в электронном виде образцы подписей). И эта сфера бизнеса, интерес к которой во всем мире постепенно возрастает, оказывается жестко зарегулированной и практически недоступной для частного бизнеса.

    Что касается "публичных" УЦ, я как-то не замечаю роста интереса. На мой непросвещенный взгляд, ситуация близка к тому, когда все поймут, что это ерунда, и бизнеса там нет, одно воровство.

    > В связи с этим средства цифровой подписи (устоявшийся международный термин
    digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют российские потребители не являются системами ЭЦП, с точки зрения определения закона.

    А как можно использовать ЦП без сертификатов ключей? В смысле, доказательно для третьей стороны?

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    >> С другой стороны, практически все на сегодняшний день существующие системы, использующие ЦП и иные АСП, являются корпоративными...

    МО> По другому и быть не могло в рамках ГК и пр. существовавшего до принятия Закона законодательства. Закон нацелен на монополизацию поставок в сегменты G2G и G2B.

    А во всем мире тоже реально так. Публичные УЦ убыточны и живут на деньги инвесторов.

    >> Тем не мене, следует отметить, что закон предусматривает обязательное лицензирование деятельности т.н. удостоверяющих центров (УЦ - в некотором смысле электронный аналог нотариуса - подписывает в электронном виде образцы подписей). И эта сфера бизнеса, интерес к которой во всем мире постепенно возрастает, оказывается жестко зарегулированной и практически недоступной для частного бизнеса.

    МО> Что касается "публичных" УЦ, я как-то не замечаю роста интереса. На мой непросвещенный взгляд, ситуация близка к тому, когда все поймут, что это ерунда, и бизнеса там нет, одно воровство.

    Полнотью согласен. А также см. выше.

    >> В связи с этим средства цифровой подписи (устоявшийся международный термин digital signature), построенные без использования системы сертификатов, а именно такие системы в большинстве используют российские потребители не являются системами ЭЦП, с точки зрения определения закона.

    MO>А как можно использовать ЦП без сертификатов ключей? В смысле, доказательно для третьей стороны?

    Либо точно так же как сейчас. Либо на основе т.н. сетевой подписи, либо на основе иных технологий. Технология с сертификатами просто является одной из многих, хотя быть может наиболее интуитивно понятной.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    В связи с этим средства цифровой подписи ..., построенные без использования системы сертификатов, а именно такие системы в большинстве используют российские потребители не являются системами ЭЦП, с точки зрения определения закона.

    А чем "вербовская" карточка с образцом подписи отличается от сертификата? И можно ли привести примеры российских систем, "построенных без использования сертификатов"?

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    Собственно говоря, нужно прочитать закон, там дано понятие сертификата. Если говорить грубо сертификат - это образец подписи, заверенный удостоверяющим центром (УЦ). Если нет УЦ, то нет и сертификата. А сейчас системы ЦП работают в большинстве без УЦ. Например, все образцы подписей помещаются в список, который заверяется, а это уже не сертификат.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    > Например, все образцы подписей помещаются в список, который заверяется, а это уже не сертификат.
    Это почему же? Сертификат [фр. certificat < лат. certum верно + facere делать] -- удостоверение, т.е. заверенный документ, письменное свидетельство... Если список "заверяется", то это и есть "сертификат".

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    А мы давайте будем строго по закону действовать, так вот там есть однозначное описание сертификата. Вот если бы написали так, как Вы говорите, тогда сертификатом "не была бы" другая конструкция.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    > А мы давайте будем строго по закону действовать, так вот там есть однозначное описание сертификата
    Давайте подробнее разберем...
    Если говорить точнее, -- в Законе нет определения самого термина "сертификат", о котором я писал...
    Есть определение более узких, специальных, составных терминов: "сертификата средств электронной цифровой подписи" и "сертификата ключа подписи".
    Вы пишете: "Если говорить грубо сертификат - это образец подписи, заверенный удостоверяющим центром (УЦ)"
    Т.е. Вы, наверное, имеете ввиду "сертификат ключа подписи"?.. :)

    > Например, все образцы подписей помещаются в список, который заверяется, а это уже не сертификат.
    Речь идет об "информационной системе общего пользования" или "корпоративной информационной системе"?
    Для последней положения об "удостоверяющих центрах" не действуют, как и другие положения Закона, что и определено самим Законом.

    > А сейчас системы ЦП работают в большинстве без УЦ
    Можно уточнить характер этих, приведенных Вами в пример, центров? Мне как-то кажется, что они все как раз и подпадают под категорию "корпоративные"...

    (Note: я не защищаю Закон, он -- местами безобразен, просто хочу быть точным)

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    Ну во превых закон содержит противоречивые нормы, с одной стороны говоря о необходимости лицензировать деятельность УЦ, с другой стороны выводя за рамки корпоративные УЦ.

    Вы абсолютны правы в вопросе о "корпоративности" ситем, поскольку публичных систем не то, что в России, в мире нет.

    Тем не менее в вопросах отнесения системы к корпоративной очень много мути, именно поэтому я рекомендую уходить из под регулирования закона не на основе его мутноватости внутри, а на основе его технологической ясности - описанная технология это ЭЦП, ее закон и регулирует, все остальное - нет, а имеенно этим остальным мы и пользуемся.

    Алексей.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    > Тем не менее в вопросах отнесения системы к корпоративной очень много мути, именно поэтому я рекомендую уходить из под регулирования закона не на основе его мутноватости внутри, а на основе его технологической ясности - описанная технология это ЭЦП, ее закон и регулирует, все остальное - нет, а именно этим остальным мы и пользуемся
    Вот тут-то захотелось уточнить: А чем это мы пользуемся?
    Не означает ли принятие этого закона того, что только данная и определнная в законе технология будет считаться "законной" (т.е. "установленной законом"), а все иные конфигурации и технологии могут быть объявлены, соответственно, "незаконными", а не просто "недоказательными" для суда. Ни в УК, ни в КоАП, правда, нет статей, под которые можно было бы напрямую "подвести" эту ситуацию*, но косвенно, особенно, если дело касается денег -- возможно (статью 187 УК, к примеру).

    *) -- ubi lex, ibi poena, а без наказания закон бессмысленен.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    Давайте внимательно читать закон и ГК, закон описывает технологию, названную "ЭЛЕКТРОННАЯ ЦИФРОВАЯ ПОДПИСЬ", которая согласно закону при некторых условиях является аналогом собственноручной подписи (АСП). Ровно это и более ничего.
    В тоже время ГК, говорит о том, что документы могут заверяться любым АСП, признаваемым сторонами. То есть использование иных технологий, регулируется договорным правом на основе ГК. Закон об ЭЦП не отменяет использование иных АСП, а лишь конкретизирует правила использования одного из них.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    > В тоже время ГК, говорит о том, что документы могут заверяться любым АСП, признаваемым сторонами
    Токмо для уточнения: речь идет о части 2 ст. 166 ГК: " Использование при совешении сделки ... электронно цифровой подписи либо иного аналога собственноручной подписи допускается с случаях и в порядке, предусмотренным законом, иными правовыми актами или соглашением сторон "
    В законе "Об ЭЦП" говорится то же самое -- вариант "соглашения сторон" выносится за рамки закона самим законом (что полностью соответствует ГК).

    А теперь повторю Ваши же слова:
    > Тем не менее в вопросах отнесения системы к корпоративной очень много мути, именно поэтому я рекомендую уходить из под регулирования закона ... на основе его технологической ясности - описанная технология это ЭЦП, ее закон и регулирует, все остальное - нет, а именно этим остальным мы и пользуемся
    Вы говорили не о "корпоративной системе", Вы говорили не о "соглашении сторон", Вы говорили о том, что для публичных систем АСП для ухода из-под действия Закона об ЭЦП достаточно перейти на другую технологию.
    Так вот, ГК нам не позволяет этого сделать -- именно об этом я и толкую.
    Он позволяет использовать АСП только в двух случаях:
    1) когда есть соответствующий закон
    2) когда есть соглашение сторон
    Если нет соглашения сторон, а для публичной системы его априори нет, нужен закон (или иной правовой акт), регламентирующий "случаи и порядок" применения иной, отличной от регламентированной Законом об ЭЦП технологии. Иначе эта технология будет считаться "незаконной", в лучшем случае -- недоказательной в суде...

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    Так я с этим и не спорю, я согласен с Вами.

  • КОМУ НУЖЕН ЗАКОН «ОБ ЭЛЕКТРОННОЙ ЦИФРОВОЙ ПОДПИСИ»

    Ну и какое же резюме?
    Как писал Максим: " По другому и быть не могло в рамках ГК и пр. существовавшего до принятия Закона законодательства. Закон нацелен на монополизацию поставок в сегменты G2G и G2B "
    Итого мы получаем, что Закон об ЭЦП оказался холостым, никому не нужным "выстрелом". Ни помог, ни помешал. Публичные системы класса G2G нас, понятное дело, -- не интересуют (ну, только как приложение сил для общественного контроля за деятельностью Правительства), а в области G2B в любом случае много больше -- "G" (налоги, таможня...) и почти бесправное "B"... Для области B2B, т.е. для области нормальных гражданских отношений, а не отношений подчиненности, все системы АСП (аналогов собственноручной подписи) будут строиться на договорной основе, многосторонних и открытых к присоединению новых лиц контрактов, т.е. только не на основе рассматриваемого Закона...
    Тогда вопрос к Думцам, который давно хочу задать: а на кой он такой никому не нужный нужен?

  • Новый закон о лицензировании.

    Непонятно. Если у меня есть сервер в интернете, и некоторая информация на нем доступна только по зашифрованному протоколу(https), то получается, мне тоже надо приобретать лицензию в соответствии с этим законом - "защищенных с использованием шифровальных (криптографических) средств информационных систем, телекоммуникационных систем;"???

Первая | Предыдущая | Всего: 67, страница 1 из 2 | | Последняя
01 02
[email protected] Московский Либертариум, 1994-2020