Форум ''Интернет и Право''

Основной раздел => Средства защиты информации => Тема начата: Антон Серго от 07 Июня 2004, 15:41:49



Название: Закон Об ЭЦП Республики Беларусь
Отправлено: Антон Серго от 07 Июня 2004, 15:41:49
Для удобства обсуждения "Закон Об ЭЦП Республики Беларусь" выложен в приложении к Форуму: http://www.internet-law.ru/forum/attachments/ecp-rb.txt.


Название: Re:Закон Об ЭЦП Республики Беларусь
Отправлено: Urix от 07 Июня 2004, 17:26:55
Начну по порядку. Возможно - с перерывами. Документ может получиться большой. Вызывающие сомнения места буду выделять жирным.
Цитировать
    электронный  документ - информация, зафиксированная на машинном
носителе
 и  соответствующая  требованиям,  установленным  настоящим
Законом;
Перфолента и перфокарта тоже являются по определению машинными носителями. Однако, некоторые люди могут (могли) читать их без дополнительных устройств. Определение неточное и не отражающее использование электромагнитных волн при хранении информации на документе. Электронный - значит основанный на свойствах электронов и связанных с ними электромагнитных волнах. Кроме того, нельзя в определении ссылаться на сам закон во избежание IDEM PER IDEM (замыкания). Заданные правильно понятия определяют применимость закона, его реализуемость.
Цитировать
    электронная  цифровая  подпись - набор символов, вырабатываемый
средствами  электронной  цифровой  подписи и являющийся неотъемлемой
частью электронного документа;
Должно быть "набор кодов". Символы - это изображения, которые машины без дополнительных "наворотов" обрабатывать не умеют. Коды - спокойно.
Цитировать
    средства   электронной   цифровой   подписи   -  программные  и
технические    средства,   обеспечивающие   выработку   и   проверку
электронной  цифровой  подписи и имеющие сертификат соответствия или
удостоверение  о  признании  сертификата
,  выданного  в Национальной
системе сертификации Республики Беларусь;
Напомню случай с одним сертифицированным средством защиты. Называть его не буду во избежание всяких слов в мой адрес, но это реальный программный продукт. Когда я столкнулся с необходимостью применять это средство, то я пришел к своему другу, модератору узла сети FIDO, и попросил его "сливать" для меня всю инфу по безопасности, защите и "взлому".  Где-то месяца через четыре я получил сообщение о реальной стойкости (дискредитации) этого средства и "крак" к нему. Попробовал - работает. Как и регламентировано описанием "крака", стойкость оказалась не более пяти минут. Почти через два года выходит указ Президента об обязательности применения в работе государственных органов этого сертифицированного и уже давно дискредитированного "средства защиты" информации.
Указ Президента, постановление Правительства, Федеральный закон, ведомственная инструкция (приказ), решение суда или сертификат не гарантируют сохранение средством защиты информации заявленной для него стойкости, не предохраняют от возможной дискредитации системы защиты информации и не предотвращают возможный ущерб от несанкционированного распространения защищаемой информации в случае дискредитации используемого средства защиты информации. Сертификация (исследование образца на соответствие предъявляемым к нему требованиям) подтверждает заявленную стойкость только на момент предшествующий началу  сертифицирования (исследования). Бывает, что сертификат выдается и на дискредитированное средство защиты информации. Ущерб от использования дискредитированной системы защиты информации можно предотвратить только правильным с точки зрения теории защиты информации использованием средств защиты информации. Одно из положений теории защиты информации гласит:
дискредитированное средство защиты информации не является средством защиты информации.
Что же касается ЭЦП, то это средство защиты информации от ее изменения третьими лицами.
Цитировать
    личный ключ подписи - набор символов, принадлежащий конкретному
лицу и используемый при выработке электронной цифровой подписи;
     открытый  ключ проверки подписи - набор символов, доступный для
всех  заинтересованных  лиц  и используемый при проверке электронной
цифровой подписи;
Про "набор кодов" я уже писал.
Цитировать
    карточка   открытого  ключа  проверки  подписи  -  документ  на
бумажном  носителе
,  содержащий  значение  открытого  ключа проверки
подписи и подтверждающий его принадлежность какому-либо  физическому
или юридическому лицу;
Ослабление защиты происходит из-за преобразования информации из изображения карточки в коды, когда возможны ошибки. Например, коды А-русское и A-английское различны, а визуально эти буквы выглядят одинаково. При ошибке подпись не будет подтверждена, хотя на самом деле она истинна.

При правильном использовании, ЭЦП не должна и не выполняет функций CRC (Ciclic Redundancy Check) или других сигнатурных "квитков"-подтверждений неизменности кода. Объем исходного сообщения, как правило, больше объема сигнатуры. Подтверждение неизменности кода ЭЦП в единственности его обратного преобразования, в то время как сигнатурным "укороченным" подписям может соответсвовать огромное количество различных сообщений. При ЭЦП с помощью секретного ключа исходное сообщение преобразуется в некий набор кодов (кодирование, шифрование), а обратное преобразование (декодирование, дешифрация) его возможно только при использовании открытого ключа. В этом и состоит смысл ЭЦП.
Цитировать
    собственник   информационных  систем  и  сетей -  государство,
административно-территориальная  единица, физическое или юридическое
лицо,  в  соответствии  с  законом  осуществляющие  в  полном объеме
владение,  пользование  и  распоряжение  информационными системами и
сетями;
Государство не предоставляет услуги связи - они ими пользуется. Предоставляют услуги предприятия связи. Сами же предприятия связи могут быть любой формы собственности. Кроме того, понятие "сетей" слишком расплывчатое. Сюда можно отнести и локальные, и региональные, и ведомственные, и отраслевые, и глобальные сети связи. Само Государство не является субъектом, а субъектами будут являться государственные органы (органы власти, министерства, ведомства, предприятия госсобственности и т.д). И мне очень не понравилось, как "походя" унижены органы местной власти и самоуправления. А если появится административно-территориальная двойка?
Цитировать
    машинный  носитель  - магнитный диск, магнитная лента, лазерный
диск  и  иные  материальные  носители,  используемые  для  записи  и
хранения информации с помощью электронно-вычислительной техники.
Про перфоленту и перфокарты я уже писал.

Ну вот. С определениями вроде бы все. Теперь пойдут сами тексты. Желающие могут и сами читать остальной текст с учетом сделанных замечаний.


Название: Re:Закон Об ЭЦП Республики Беларусь
Отправлено: CyberCop от 26 Августа 2004, 21:50:40
Уважаемый, Urix!

Вы просто растете в моих глазах! Достаточно квалифицированный (с точки зрения юриста) критический комментарий. :D
Действительно сделано профессионально! :D