Хранение ЭЦП в СЭД

Alexey_Degtev · 12.11.2021 11:20:12

Добрый день,
В нашей компании используется подписание документов ЭЦП в СЭД. Сейчас от всех коллег часто поступают жалобы на счет подписания с ЭЦП в СЭД, связано это с тем, что пользователю нужно каждый раз искать свой ЭЦП и главное не забывать пароль, также часто слетает модуль подписания на клиенте или терминальном сервере.
Сейчас в СЭД появилась возможность подписывать документы с ЭЦП GOST на стороне сервера, для этого ключ и пароль сохраняются на сервере в базе данных в зашифрованном виде и позволяют потом пользователю в СЭД при подписании не указывать ключ и вводить пароль, это будет делаться только 1 раз. Если мы это реализуем, то на много облегчим сотрудникам пользование системой, что снимет основной негатив к системе.
Единственный риск тут есть только в том, что если за компьютер пользователя сядет другой сотрудник, то он сможет подписать в СЭД какой-нибудь документ.
Вопрос, можем ли мы хранить ЭЦП сотрудников и не будет ли это нарушать законодательство.

mst.pki · 12.11.2021 10:53:32

Добрый день.
Указанный вами механизм при котором закрытые ключи ЭЦП будут храниться на сервере является нарушением пункта 2 статьи 10 Закона Об электронном документе и электронной цифровой подписи, согласно которому закрытые ключи электронной цифровой подписи не могут быть переданы другим лицам.

Alexey_Degtev · 12.11.2021 11:19:56

Добрый день,

Спасибо за ответ, но так или иначе пользователи хранят свои ЭЦП на наших серверах в своих профилях или на рабочих компьютерах в своих профилях, все они принадлежат компании. Или это тоже попадает под указанный вам пункт Закона? По сути передачи ЭЦП не будет, т.к. пользователь сам загрузит свою ЭЦП в СЭД, которая будет храниться в зашифрованном виде и доступ к ней будет только под УЗ работника. Третьи лица не получат к ней доступ, только если не завладеют УЗ пользователя, да и то, только смогут подписать документ в СЭД.
Мы так же рассматриваем вариант с HSM или его мы тоже не можем использовать?

Pablo · 16.11.2021 07:00:28

в данном случае нет передачи ключей ЭЦП другим лицам. Речь идет о хранении ключей на аппаратном обеспечении юридического лица. Если ключи получать в виде файлов и хранить их (защищенными на пароле) на рабочей станции, то чем это отличается от хранения на серверной платформе? И там, и там администраторы юрлица могут получить доступ к файлу с ключами. Или же закон запрещает также хранить ключи на рабочей станции организации?
В безопасности ключей сотрудников больше всего заинтересовано само юридическое лицо, т.к. неправомерное использование их может причинить вред именно этому юрлицу.

Сотрудник не передает ключи другому лицу, не просит и не разрешает другим лицам использовать его ключи. Он хранит свои ключи на свое усмотрение на флешке/компьютере/облаке, при этом он несет ответственность за безопасность своих ключей

mst.pki · 16.11.2021 06:42:31

По данному вопросу Вам необходимо будет обратиться в официальном порядке в уполномоченный орган в лице Комитета по информационной безопасности Республики Казахстан.