не вижу тут принципиальных проблем

1. для дружбы двух иерархий используется или головной центр сертификации или Certificate Trust List, в нашем случае надо использовать последнее

2. Согласно действующего в Росии закона об ЭЦП сертификат выдается физическому лицу, а не юридическому. Кончено закон на корпоративные системы не распространяется, и с его применением много других проблем, но тем не менее ...

3. Что мешает автоматически перешифровать документы? Сертификатом обычно шифруют не весь документ, а ключик симметричного алгоритма, которым зашифрован документ, это не так накладно. При соответствующей автоматизации все должно просто получиться :)

1. Организовать можно, но это дополнительные проблемы. Надо заинтересовать уже гораздо большее число сторон к объединению.

2. При подписании договорных документов нужно, чтобы человек выступал не как физическое лицо, а как представитель именно этой компании. Ну и возникает еще вопрос процедуры выдачи сертификата, например, через уполномоченного сотрудника организации (конкретной организации заметьте!).

3. Вопрос шифрования, скорее всего, из всех перечисленных проблем действительно проше всего решается, т.к. решается технически, а не организационно и не юридически.

Принципиальных проблем и правда нет. Работать можно. Только ведь хочется, чтобы новые технологии жизнь облегчали, а не усложняли.

1 и 2. Это естественно, поскольку ЭЦП еще и печать. Один УЦ может выдавать сертификаты для нескольких СЭД.

3. Это тоже нормально - используется перешифрование на новых ключах. Срок действия ключей определяется используемым СКЗИ.

Как облегчить? А в чем собственно проблемы? Надо использовать надежные устройства для хранения криптографических ключей и удобные информационные системы (в плане работы с криптографическими функциями).

"Как облегчить? А в чем собственно проблемы?"

Проблемы, как обычно, не технические, а человеческие. Вы,  Вадим, как я понимаю с компьютером на "ты". А вот для руководителя высшего звена, который с ПК работает не так плотно, необходимость выбора нужной ЭЦП даже в самой удобной системе может вызвать как минимум некоторое неудобство, а следовательно - повысить вероятность ошибки. И это при том, что доверие к ЭЦП и так пока не высокое.

2 Елена Истомина

"А вот для руководителя высшего звена, который с ПК работает не так плотно, необходимость выбора нужной ЭЦП даже в самой удобной системе может вызвать как минимум некоторое неудобство, а следовательно - повысить вероятность ошибки."

Не соглашусь с Вами, т.к. если у человека несколько сертификатов ключей подписи, то он худо-бедно должен уметь работать, не столько с компьютером, сколько с СКЗИ и прикладными СЭД, в которых применяются СКЗИ (его лицензиат ФСБ должен был научить это делать).

Другое дело, если эти разные СКЗИ/СЭД находятся на разных "уровнях развития" :-)

А в удобной системе, которая "знает" какой сертифкат требуется для этой операции и запрашивает лишь носитель криптографических ключей (который у пользователя опять-таки для удобства один) под этот сертификат - вообще нет проблем.

"И это при том, что доверие к ЭЦП и так пока не высокое."

Исходя из чего Вы так решили? IMHO, доверие как раз есть, даже появляются и эксплуатируются удобные защищенные информационно-телекоммуникационные системы. Нет обеспеченной финансированием потребности в использовании таких систем. Но это временно, т.к. преимущества защищенной электронной обработки и передачи информации видны невооруженным взглядом.

2 Вадим Майшев

Пожалуй вы правы, самый простой вариант - если СЭД сама будет выбирать за пользователя, какой именно сертификат ЭЦП нужно использовать в данной ситуации. А для этого при получении сертификата достаточно наверно регистрировать открытый ключ в СЭД, с указанием области его применения.

Проблема доверия постепенно решается, но пока все-таки значимость электронных документов, подписанных ЭЦП, вызывает вопросы. Во многом это связано с непроработанностью законодательства в данном вопросе и отсутствием достаточной практики. Подробнее обсуждение этой темы велось здесь: http://www.directum-journal.ru/card.aspx?ContentID=1977441

IMHO, практика уже имеется. Ну а если Вы про информационные системы общего пользования, то их нет и в ближайшее время не предвидится (т.к. слишком много надо разработать/согласовать на уровне "Единой e-России")

2 Вадим Майшев

"А какие могут быть проблемы с доверием и "значимостью электронных документов"? Если Вы делаете все по закону (используете сертифицированные СКЗИ, УЦ зарегистрирован в ЕГР, сертификаты содержат "сведения об отношениях"), формируете Регламент документооборота - то у Вас есть все необходимое для использования юридически значимого электронного документооборота."

Насколько я помню "Закон об ЭЦП" распространяется как раз на "системы общего пользования", а не на корпоративные системы. Видимо с этим имогут быть проблемы, даже если все делеть по этому закону.

Закон об ЭЦП распространяется на информационные системы общего пользования и на корпоративные. Разница в том, что статус УЦ, содержание и порядок использования СКП и т.п. в первом случае определяет государство, а во втором - владелец системы.

"Видимо с этим имогут быть проблемы, даже если все делеть по этому закону" - сорри,не понял высказывания.

2 Вадим Майшев:

Если Вы делаете все по закону (используете сертифицированные СКЗИ, УЦ зарегистрирован в ЕГР...

1. Ст.5 Закона об ЭЦП устанавливает требование использование только сертифицированных средства цифровой подписи:

а) п.2 ст.5 - в информационных системах общего пользования;

б) п.3 ст.5 - "в корпоративных информационных системах федеральных органов государственной власти, органов государственной власти субъектов Российской Федерации и органов местного самоуправления".

Для остальных корпоративных систем, следуя логике закона, это требование не является обязательным.

2. Насчет обязательной регистрации УЦ - статья 10 того же Закона об ЭЦП содержит, на мой взгляд, достаточно противоречивые нормы: п.1 ст.10 требует от УЦ предоставить в уполномоченный федеральный орган (УФО) сертификат уполномоченного лица УЦ, в не зависимости от того, работают ли УЦ с участниками информационных систем общего пользования или только с участниками корпоративных информационных систем. В то время как п.2 ст. 10 гласит, что УФО ведет реестр сертификатов уполномоченных лиц только тех УЦ, что работают с информационными системами общего пользования.

2 Сергей Бушмелев

1. "Для остальных корпоративных систем, следуя логике закона, это требование не является обязательным."

Формально да, но практика показывает обратное! А конечная инстанция в части "юридической значимости" -суд. Спросите у них, примут ли они в качестве доказательства электронный документ с ЭЦП не по ГОСТу (т.е. без гарантии надежности. Я бы не принял).

2. "...в не зависимости от того, работают ли УЦ с участниками информационных систем общего пользования или только с участниками корпоративных информационных систем..."

В том-то и дело!

P.S. Повторяю, закон регулирует "любые" информационные системы, причем (обращаю внимание) систем "общего пользования" в стране не создано, да и не предвидится.

P.S.2 Коллеги, как вы думаете, нужны ли кому-нибудь (G, B, C и т.п.) решения CЭД с ЭЦП, пусть даже и внутри корпоративных систем, которые в конечном счете не обеспечивают юридической значимости? IMHO: если внедрять/тратиться, то тогда нужно делать по уму, а иначе гораздо проще продолжать "по старинке" работать (подготовил сведения в информационной системе, а документом будет распечатанный из этой системы массив сведений с необходимыми реквизитами и оформлением, подписанный собственноручной подписью и заверенный печатью).

Про то, нужна ли ЭЦП в СЭД, лучше почитать и обсудить здесь http://www.DIRECTUM-Journal.ru/docs/1982650.html (будет ближе к теме).

Но вообще-то иногда не стоит делать сразу "по уму", можно двигаться небольшими шагами. Пусть люди привыкнут пока к самому понятию ЭЦП, пусть привыкнут видеть ЭЦП директора вместо росчерка. А с юридической значимостью постепенно разберемся.

2 Елена Истомина

"Но вообще-то иногда не стоит делать сразу "по уму", можно двигаться небольшими шагами. Пусть люди привыкнут пока к самому понятию ЭЦП, пусть привыкнут видеть ЭЦП директора вместо росчерка. А с юридической значимостью постепенно разберемся."

1. А Вы видели "ЭЦП директора вместо росчерка"? Вообще-то ЭЦП - это набор битов (шифр), понятный лишь средству электронной цифровой подписи.

2. "Постепенно разберемся" - т.е. вложите деньги сейчас, а потом (когда поймете, что искомая функция отсутвует) пойдете покупать "правильное решение".

3. А "привыкнувших" (я видел таких бедняг) видеть "ЭЦП вместо росчерка" придется трудно переучивать, т.к. оказывается, что для ЭЦП нужно еще и средство ЭЦП, а некой "штатной функции СЭД" недостаточно, и все до этого момента было лишь подготовительной тренировкой к волшебной ЭЦП.

2 Вадим Майшев:

ЭЦП может применяться как:

1) как одно из средств придания электронному документу юридической значимости в обмене документами между двумя и более отдельными юридическими или физическими лицами (сдача налоговой отчетности, системы банк-клиент и т.д.)

2) как одно из средств для целей неотрекаемости и обеспечения  авторства и неизменности электронного документа при обмене таковыми в рамках СЭД отдельно взятого за горло юридического лица.
Хорошо об этом сказано в статье Юрия Маслова (коммерческого директора КРИПТО-ПРО), опубликованной в журнале "Делопроизводсто", № 10 за этот год. Правда, г-н Маслов слегка лукавит, когда говорит, что  для подписания документа цифровой подписью всегда должно применяться только сертифицированное ПО, но что еще можно было ожидать от производителя сертифицированного ПО :)
Задачи придания электронному документу "юридической значимости" внутри предприятия, как таковой, не ставится - если возникает какой-то спор внутри организации, то он решается максимум на уровне "генерального" (как вариант, собственников компании). В арбитражный суд обращаются, как правило, с денежными требованиями и платят пошлину за рассмотрение дела. Кто (стороны) и с какими вопросами (подведомственность) обращается в суд, читайте в Арбитражном процессуальном кодексе.

А что бы не гадать, что примет арбитражный суд в качестве письменных доказательств, в случае спора, скажем, двух хозяйствующих субъектов, обратимся к АПК.

Статья 75. Письменные доказательства (п.1-4)

1. Письменными доказательствами являются содержащие сведения об обстоятельствах, имеющих значение для дела, договоры, акты, справки, деловая корреспонденция, иные документы, выполненные в форме цифровой, графической записи или иным способом, позволяющим установить достоверность документа.
2. К письменным доказательствам относятся также протоколы судебных заседаний, протоколы совершения отдельных процессуальных действий и приложения к ним.
3. Документы, полученные посредством факсимильной, электронной или иной связи, а также документы, подписанные электронной цифровой подписью или иным аналогом собственноручной подписи, допускаются в качестве письменных доказательств в случаях и в порядке, которые установлены федеральным законом, иным нормативным правовым актом или договором.
4. Документы, представляемые в арбитражный суд и подтверждающие совершение юридически значимых действий, должны соответствовать требованиям, установленным для данного вида документов.

2 Сергей Бушмелев:

1. Юрий Геннадьевич говорит про необходимость использования сертифицированных (читай проверенных, т.е. надежных) средств ЭЦП. А как иначе обеспечить требование закона?
2. "Задачи придания электронному документу "юридической значимости" внутри предприятия, как таковой, не ставится - если возникает какой-то спор внутри организации, то он решается максимум на уровне "генерального" (как вариант, собственников компании)."
В этом случае и не нужны электронные ДОКУМЕНТЫ, соответственно не нужны ЭЦП!
3. А приведенная Вами Статья 75 АПК как раз и ссылается на дополнительные установленные случаи и порядки.
Поэтому суд должен посмотреть вначале эти устанавливающие документы, в первую очередь закон, а потом договор. Но даже если Вы сумеете записать в договор, что в Вашей системе в качестве средства ЭЦП используется некий модуль в операционной системе или в СЭД. Да, это на усмотрение хозяйствующих субъектов. Но имейте в виду, что любой может заявить, что дескать я не виноват я ничего не делал - это злобный хакер что-то подделал и т.п.
Что сделает суд? Вероятно обратится к эксперту. И где Вы найдете эксперта, например по RSA/MD5/DSS/SHA-1(2)? ...тупик!
И тут решение IMHO может быть одно - "сами виноваты", наказывать не за что, только потратились на госпошлину.
И скажите мне, кому нужны такие "тренировочные решения СЭД с ЭЦП"?
А в случае использования сертифицированного средства ЭЦП есть гарантирующий в соответствии с российскими условиями технического регулирования надежность выполняемых функций сертификат соответствия!
И не забывайте, есть еще и требования к УЦ...

2 Вадим Майшев:

>1. "надежный" не всегда равно "сертифицированный" , обратное выражение более справедливо, но тоже твердый знак равенства ставить не стоит.

>2. не понял, о чем Вы...ЭЦП в электронных документах внутри компании используется для целей неотрекаемости. Неотрекаемость и "юридическая значимость" - не одно и тоже. Вам Ваш начальник указания всегда отправляет в виде документа, подписанного ЭЦП, и никогда просто по электронной почте или даже устно? ;) И если это устный приказ, он что, не "юридически значим"??? Просто ЭЦП в данном случае теоретически простой способ доказать, что документ подписан именно этим человеком. Как альтернатива свидетельским показаниям ;)

>3. Хозяйствующие субъекты - не малые дети, и руководствуются принципом  "разумной достаточности". Серьезность документов, тяжесть последствий в случае неблагоприятного развития событий определяет меры безопасности, в том числе при обмене электронными документами. Где нужен документ, подписанный сертифицированным средством ЭЦП, а где достаточно "несертифицированного" средства ЭЦП, письма по электронной почте или факсовой копии, стороны (или владелец СЭД) решают сами, исходя из вышеобозначенного принципа.  И наличие в поле досягаемости эксперта по тем или иным технологиям тоже будет принято сторонами во внимание :) Если стоимость системы безопасности больше, чем возможный урон в случае отсутствии таковой, то это, как говорят наши заокеанские коллеги, makes no sense.

Что касается надежности сертифицированных систем, обладающих сертификатами соответствия, то тут тоже не все так просто - в ветке форума (по ссылке, что привела Наталья), есть пост где Наталья как раз приводит слова Юрия Маслова. С вашего позволения процитирую здесь:

"Мы проводили компьютерно-технические экспертизы, - рассказал Юрий Маслов, заместитель коммерческого директора компании "Крипто-Про", - участвовали вместе с юристами в различных судебных практиках, когда в доказательство вины использовались документы с ЭЦП. И столкнулись с такой проблемой: факт подписи доказать невозможно. Это приводит к тому, что арбитр или дознаватель не принимают электронный документ в качестве доказательства в судебных и досудебных процедурах".

2 Вадим Майшев

>1. Да, именно поэтому обязательность применения сертифицированных СКЗИ установлена для ИС общего пользования и КИС государственных и муниципальных органов власти. Закон разумно устанавливает для владельцев остальных, "негосударственных" КИС право выбирать СКЗИ, в том числе среди несертифицированных. Владелец такой КИС при выборе СКЗИ будет руководствоваться ценой, поддержкой, наличием в будущем проблем, опять же наличием cертификата :) Ну, и выберет, что ему покажется оптимальным...

>2. Проблема тут вот в чем... Действие Закона об ЭЦП распространяется только на гражданско-правовые и прочие, специально установленные законом отношения. Я об этом писал в своем блоге "ЭЦП вне закона". Не сочтите за рекламу, просто что-бы не приводить здесь все обнаруженные мной правоотношения, на которые распространяется Закон об ЭЦП. Получается, что на отношения внутри компании данный закон не распространяется, что подразумевает, что порядок применения ЭЦП, а равно и иных аналогов собственноручной подписи мы должны устанавливать сами, в локальных нормативно-правовых актах . Далее, способов организации неотрекаемости, кроме как при помощи ЭЦП, существует масса. Например, аутентификация при входе в СЭД, разграничение прав доступа и одновременное возложение ответственности на пользователя за разглашение пароля. Понятно, что вне пределов СЭД гарантий авторства и неизменности в данном случае будет меньше (или не будет вообще), но этого и не планировалось :) Вообще, организация таких сложных вещей, как юридическая значимость, неотрекаемость, это комплексное мероприятие, где воедино сливаются технология, организация, право, и одно без другого рассматривать, как мы сошлись во мнении, не стоит.

3. Насколько мне известно, все половозрелые СЭД позволяют использовать не только "тренировочную" ЭЦП, оганизованную средствами Центра сертификации Windows, но и сертифицированные криптопровайдеры. Но опять же повторяюсь, "лигитимность" ЭЦП и во внутрифирменной СЭД, и при обмене между организациями придается только локальным нормативно-правовым актом и соглашением сторон.

4. Я тоже считаю, что в случаях, о которых рассказывал Юрий Геннадьевич, проблемы возникали в том числе из-за "косяков" в организации применения ЭЦП. Штамп времени штука хорошая, но и она только гарантирует, что документ был подписан в такое-то время. Возможно, проблема была как раз в том, что доказать однозначное тождества лица, обладавшего да момент подписи закрытым ключом, авторизовавшегося в СЭД или ином ПО для подписания документа, знавшего все пароли и пин-коды, и непосредсвенно некого г-на А. Т.е. доказать, что именно А это все провернул, а А, я так полагаю, ушел в глухой "отказ", в этих случаях не представлялось возможным. Самым простым вариантом, в данном случае, правда, не знаю, насколько законным, было бы возложение на лица (в регламентах обмена электронными документами) как раз обратной обязанности, т.е. обязанности доказывать, что документ подписал кто-то другой, а не он :)

2 Сергей Бушмелев
1. Да, на свой страх и риск, который при несертифицированных решениях на порядки выше.
2. Да, комплексное мероприятие.
Но, "аутентификация при входе в СЭД, разграничение прав доступа и одновременное возложение ответственности на пользователя за разглашение пароля" IMHO это, в принципе бездоказательное направление, разве что если аутентификация криптографическая двусторонняя с применением, опять же ЭЦП (конечно, при наличии комплекса мер). Тем более, никаким образом Вы не докажете, что пользователь разгласил пароль, т.к. при отсутствии сертифицированных средств/технологий/механизмов аутентификации с паролями любой сошлется на злобных хакеров и Вы не докажете обратное!
3. Да, половозрелые имеют некоторые возможности использования СКЗИ.
Но, из них далеко немногие работают с сертификатами ключей подписи (хотя многие с сертификатами открытых ключей - почувствуйте разницу), и тем более с УЦ (в смысле закона об ЭЦП). Начнешь сравнивать решения - ~95% имеет функции "ЭЦП и шифрование", а копнешь глубже - оказывается производители имеют при этом ввиду лишь наличие в их СЭД этих криптографических преобразований с использованием "каких-то" криптомодулей, а закон никто в глаза не видел (я уже не говорю про шифрование в соответствии с российскими нормативными документами). И что делать потребителю?
4. +, may be.