Юридические основы шифрования данных в России
Ищу юридически чистое решение вопроса обмена информацией между двумя гос. учреждениями. Характер информации относится к категории, которая регулируется законом о персональных данных, поэтому данные в обязательном порядке подлежат защите. Но, как таковых, подписей, в электронных копиях документов не предусмотрено. Требуется лишь передать документ в зашифрованном виде и на стороне получателя удостоверить личность отправителя. Обмен будет производиться регулярно, несколько раз в месяц.
Какие мысли имеются: раз подпись под документом отсутствует, то и аналог собственноручной подписи (АСП) тут как бы не нужен. Значит закон об ЭЦП тоже тут не должен применяться. Однако как еще можно удостоверить личность отправителя?
Возможно ли каким-то образом составить договор об ЭДО так, чтобы при использовании PGP можно было подтвердить, что документ был отправлен именно уполномоченным лицом в одной из организаций?
С одной стороны, все тривиально. У нас не ЭЦП, так как это вообще не АСП. А значит применяем что хотим. Лишь бы в договоре четко все процедуры были описаны. С другой стороны, Мы все-таки удостоверяем личность отправителя и, получается у нас ЭЦП? Как быть в этой ситуации? Покупать и внедрять ради этого КриптоПро как-то нецелесообразно. Тем более, что направлений такого обмена в перспективе не одно, а несколько (пока предполагается 5). А внедрять эту "технологию" в нескольких чужих организациях это вообще архисложная задача.
комментариев: 11558 документов: 1036 редакций: 4118
Имитовставка (message authentication code). Либо та же ЭЦП — вам ведь требуется не юридическое признание заверенной информации, а только контроль целостности и защита от навязывания, т.е. техническое применение, не подпадающее под регулирование закона "Об ЭЦП".
Если защите подлежат сведения, относящиеся к ПД, Вы не вправе использовать PGP. То есть Вы, конечно, можете (это прямо не запрещено), но в виду того, что это несертифицированное СКЗИ, в случае утечки ответственность ляжет на Вас, а не на разработчика. Кроме того, одной только криптозащиты недостаточно: в постановлении Правительства и в приказе ФСТЭК приводятся перечни требований. Там такой список, что мало не покажется (в том числе защита от компрометирующих излучений), на уровне защиты гостайны.
комментариев: 9796 документов: 488 редакций: 5664
А придётся.
Есть конторы, которые имеют соответствующие сертификаты от соответствующей госструктуры, которые предложат вам решения и накатают цену, от которой вы не сможете отказаться. Зато у вас будет БУМАЖКА со всеми печатями, как положено и всё зарегестрировано как требуется. Это практически неконкурентный рынок. Ничего изобрести и внедрить самим, даже в соответствии с ГОСТами скорее всего вам не дадут.
МафияБюрократия бессмертна :)комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 1 документов: 1 редакций: 0
Цель в самом деле заключается именно в "прикрыть жизненно важные органы". Ибо огромные списки на бумажных носителях ежемесячно в объемах >1000 листов это нереально, а электронно нельзя. И никто не сможет потом доказать, что были получены именно такие списки с именно такими людьми с именно такими циферками от именно такой вот организации. Так получается. Но ведь страна как-то живет... И за квартплату все платят управляющим компаниям. И с пенсионном фонде получают удостоверения разных льготных категорий и пользуются этими льготами благополучно. Но что-то я не слышал о беспрецедентных мерах по защите персональных данных в этих организациях. Да что там не слышал! И не видел! Ибо в одной сфере проработал два с лишним года, а с другой вообще по работе постоянно сталкиваюсь.
Сколько раз с этим сталкивался, а все верю в сказки, получается. Хочется как лучше, а каждый раз получается... хоть как вывернись, а закон ты нарушил.
Ладно, будем думать о КриптоПро. Так начальству и скажу.
комментариев: 11558 документов: 1036 редакций: 4118