Форум ''Интернет и Право''

http://www.internet-law.ru/intlaw/laws/ecp.htm (http://www.internet-law.ru/intlaw/laws/ecp.htm)

Господа юристы требуется ваша точка зрения:
В статье 5 закона определено, что в системах общего пользования и корпоративных информационных системах государственных органиазций (органов власти и т.п.) должны использоваться только сертифицированные системы ЭЦП.
Но про УЦ КИС коммерческих предприятий ничего не сказано. Можно ли в этом случае считать что коммерческие организации для ЭЦП могут выбирать любое средство?

Это зависит от того, какое значение коммерческая организация хочет придавать данной ЭЦП. Если она используется только для целей внутрифирменного документооборота, то коммерческая организация имеет свободу выбора.

Естественно признание ЭЦП ранозначной собственноручной подписи.
Меня в данном случае больше всего интересует когда есть например Банк-Клиент, то есть клиент становится участником КИС на основании договора обслуживания. Клиент не является государственным предприятием (и т.п.).
Как я понимаю тут повоторяется та же ситуация что и для внутреннего документооборота - раз он участник КИС, то для общения с ним мы можем выбирать любое средство.

Виталий, я правильно понимаю, что в данном случае правило "что не запрещено, то разрешено" действует? :)

Я думаю, что да, с двумя уточнениями:
1) клиент (или заинтересованное третье лицо) может оспаривать факт подписания (т.е. здесь будет применяться известная формула: "если можно достоверно установить");
2) банки все таки ограничены в выборе - будет действовать и положение 17-п и др.

Виталий, а можно поподробней?

Виталий, в 17-П я не нашел ничего, что ограничивало бы выбор средств, но общая идея ясна.

Я имел в виду, что отсутствие сертификации увеличивает возможности оспаривать надежность системы. Вот клиент и заявит, что он документ не подписывал, а надежность системы еще надо доказать. Статья 434 ГК требует необходимость достоверного удостоверения, что документ исходит от данной стороны, а достоверность будет презюмироваться (презюмироваться, но не обязательно существовать в действительности) только в отношении сертифицированных систем. Для остальных это нужно доказывать.


17-п обобщенно устанавливает порядок документооборота. Соответственно, если банк выбирает определенные средства, нужно чтобы они позволяли реализовывать предписанные банку правила. Насколько я помню, в отношении банков в этой области действует достаточно много актов.

Да это создает некоторые затруднения. Виталий как вы думаете, если в договоре с участником упомянуть что используется несертифицированное средство, и что участники признают его надежным и к средству притензий не имеют - это может помочь при разборе в суде?

Это естественно :) Когда я имел ввиду несертифицированное средство - я имел ввиду не самоделку, а западное средство, которое ФАПСИ не сертифицировало в свое время.
На сколько я успел просмотреть документы ЦБ особых ограничений не вводило, но все может быть - еще посмотрю.

Я думаю, может помочь, особенно если указать что клиент самостоятельно провел консультацию(и) с соответствующими специалистами, которые подтвердили ему в удовлетворяющей его форме надежность системы.

Виталий, а в чем разница? Если клиент подписывается под тем, что он полностью согласен с принимаемыми правилами? Зачем указывать, что он с кем то консультировался? Это что то может дать? Или просто выработанная практикой формулировка?

Поскольку использование несертифицированного средства дает дополнительные возможности по оспариванию, то нужно постараться переложить на клиента ответственность за выбор средства, а для этого нужно, чтобы он сознавал плюсы и минусы своего выбора и чтобы это было зафиксированно.

Согласен. Правда боюсь что и в отношении сертифицированных средств прийдется делать в договоре оговорку, что стороны признают ЭЦП проставляемые при помощи этих средств в качестве АСП. Чтобы совсем вопросов не было. :)

Не совсем понятный пункт ФЗ:

Честно говоря прочитал несколько раз и к однозначному мнению не пришел. Или речь идет о том, что УЦ при выпуске(по обращению клиента желающего получить себе СКП) сертификата в электронной форме делает это безвозмедно, или о том, что если мне нужен чей то СКП для работы (например я хочу проверить чью то подпись)- я могу получить его из УЦ бесплатно.
Ваша точка зрения?

Речь идет об уже зарегистрированных СКП, поэтому, на мой взгляд, имеется ввиду выдача "чьих-то СКП при необходимости"

Да, это я как то упустил.
Действительно речь идет о выдаче сертификатов и информации о его состоянии, а не выпуске о сертификатов.  :)
Вопрос снимается.

Надеюсь, мне кто-нибудь ответит )))

Я вот одного не понимаю: согласно ч.2 ст. 5 ФЗ об "ЭЦП"  "При создании ключей электронных цифровых подписей для использования в информационной системе общего пользования должны применяться только сертифицированные средства электронной цифровой подписи."

Речь ведь ведеться только об использовании сертифицированных СКЗИ при создании ключей, но больше я нигде не нашел о применении сертифицированных СКЗИ (ч.3 той же статьи касательно органов государственной власти  в расчет не берем).

То есть получаеться, что если тебе сторонний центр сертификации выдал сертификат с ключами а потом ты используешь ПО совместимое с ПО УЦ (которое сертифицированно), но не сертифицированное, то все в ажуре?????

или я чего-то не понимаю????

и паралельно еще один вопрос: можно ли в корпоративной информационной системе при использовании несертифицированных СКЗИ применять криптографические алгоритмы отличные от ГОСТ????  будут ли ЭЦП тогда иметь юр. силу????

Полагаю, что если уважаемый собеседник поставит свою подпись при помощи несертифицированного ПО, то эту подпись признают.

Другое дело, что при возникновении любых заморочек пользователь несертифицированного ПО будет автоматически виноват за всех.

На основании какой нормы права????

Насколько я понимаю, ФЗ об "ЭЦП" "входит" в отрасль гражданского права, носящего диспозититвный характер (все что не запрещено - разрешено), а императивного правила на использование сертифицированных средств при ПОДПИСИ нет!!!

Вы правы. Запрета такого нет.

Но предположим, что УЦ сгенерировал вам пару ключей, а потом их проворонил. Утекли ваши ключики. Из сертифицированной и аттестованной системы УЦ утекли. В результате ваши деньги украли. Кто виноват? Тот, кто не сертифицирован.

мда, как ни крути, останешься виноватым ))))