Абдикаликов Р.К.
ҚР ЦДИАӨМ Ақпараттық қауіпсіздік комитетінің төрағасы
Здравствуйте! Закон Республики Казахстан от 7 января 2003 года № 370-II Об электронном документе и электронной цифровой подписи не регламентирует где и как должен хранится закрытый ключ используемый для электронной цифровой подписи, кроме пункта 2 статьи 10 где сказано что допускается хранение закрытых ключей электронной цифровой подписи в удостоверяющем центре в соответствии с правилами создания, использования и хранения закрытых ключей электронной цифровой подписи в удостоверяющем центре. Национальный удостоверяющий центр предлагает пользователю самостоятельно выбрать хранилище ключей с оговоркой “Внимание! Хранилище «Персональный компьютер» является небезопасным. Рекомендуем использовать защищенный носитель ключевой информации для снижения риска компрометации ключей ЭЦП.”. Так называемый здесь защищенный носитель представляет из себя не просто хранилище, а аппаратный комплекс по реализации цифровой подписи, при этом нет необходимости, а самое главное возможности передать кому-либо закрытый ключ, так как подписание происходит на «борту» устройства. При использовании в качестве хранилища закрытого ключа персонального компьютера, для формирования электронной цифровой подписи документов, возникает необходимость передавать закрытый ключ программе предоставленной третьей стороной. Под третьей стороной здесь понимается частная организация, предоставившая программный комплекс, по-простому именуемый система документооборота. Это нарушает пункт 2 статьи 10 закон Республики Казахстан «Об электронном документе и электронной цифровой подписи», где сказано “Закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам”. Я конечно понимаю, что программа это не другие лица, и юридически наверно закон не нарушен, но программа это как продолжение рук лиц, которые ее писали, это просто средство автоматизации. Фактически все что мы передает программе, может попадать в «руки» третьей стороны. Нет никакой гарантии что программа, предоставленная третьей стороной, не сделает копию закрытого ключа, которая может в последствии быть использована третьей стороной в своих целях. Прошу Вас пояснить почему национальный удостоверяющий центр предоставляет пользователю услугу, использование которой нарушает пункт 2 статьи 10 закона Республики Казахстан «Об электронном документе и электронной цифровой подписи». А также ведет к возможности получения доступа к закрытому ключу электронной цифровой подписи пользователя, третьими лицами, что является нарушением информационной безопасности.
- Штогрин Денис
- Ақпараттық және коммуникациялық технологиялар
- 24.06.2021
- 199
- Өтініш нөмірі 692533
Абдикаликов Р.К. 21.07.2021, 09:41
Здравствуйте, Денис! Для использования ключей электронной цифровой подписи (далее – ЭЦП), выданных как на носитель ключевой информации, так и на персональный компьютер, не требуется проведение передачи третьим лицам, включая информационные системы. Независимо от типа носителя, на котором получены ключи ЭЦП, подписание инициируется и производится пользователем с использованием средств, предоставленных информационной системой. Передача ключей ЭЦП противоречит пункту 2 статьи 10 Закона Республики Казахстан от 7 января 2003 года «Об электронном документе и электронной цифровой подписи» в котором говориться, что лицо может иметь закрытые ключи электронной цифровой подписи для различных информационных систем. Закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам. Возможность получения ключей ЭЦП, их хранение на персональном компьютере и использование для подписания в информационных системах не предполагает их передачу третьим лицам. Рекомендуем рассматривать персональный компьютер как еще один носитель, доступ к которому ограничивает сам пользователь. В свою очередь, Национальный удостоверяющий центр Республики Казахстан (далее – НУЦ РК) имеет акт по результатам испытаний на соответствие требованиям информационной безопасности и свидетельство об аккредитации удостоверяющего центра, подтверждающие соответствие НУЦ РК правовым, техническим и организационным требованиям, предусмотренным законодательством Республики Казахстан. Вместе с тем, по вопросу обращения в блог Председателя Комитета по информационной безопасности МЦРИАП РК, сообщаем, что по техническим причинам блог не был доступен. В данный момент проблема с блогом устранена, и Вы можете направлять свои обращения.