Но есть и одно очень интересное исключение из сказанного выше. В тексте третьего чтения в п.4 ст.12 была исправлена явная ошибка, на которую я указывал в своем обзоре... Однако исправленный текст вызывает дополнительные вопросы. Взгляните:
Текст в редакции второго чтения:
Средства ЭП, предназначенные для создания ЭП в ЭД, содержащих информацию ограниченного доступа (в том числе ПДн), должны обеспечивать конфиденциальность такой информации.Безусловно, даже элементарных познаний в криптографии достаточно, чтобы заметить эту ошибку. ЭП (усиленная) может обеспечить целостность информации, аутентификацию подписавшего ее лица и неотказуемость, но никак не конфиденциальность. Для обеспечения конфиденциальности требуется шифрование.
Текст в редакции третьего чтения:
Средства ЭП, предназначенные для создания ЭП в ЭД, содержащих информацию ограниченного доступа (в том числе ПДн), не должны нарушать конфиденциальность такой информации.Теперь, конечно, текст не противоречит здравому смыслу. Но вот что хотел сказать автор этого изменения? Средство ЭП может нарушить конфиденциальность информации из-за программных ошибок и недекларированных возможностей. Также причиной нарушения конфиденциальности могут стать ошибки при организации процесса использования (и встраивания) самого средства ЭП, но тут (вроде бы) речь идет исключительно о самом средстве ЭП. Возникает очень интересный вопрос - а как подтвердить, что используемое средство ЭП конфиденциальность подписываемого документа нарушить не может? Уж не сертификацией ли на отсутствие НДВ?! Причем тут нет деления по видам ЭП - это относится ко всем видам ЭП, включая простую ЭП. Похоже, это еще один пункт, трактовка которого будет зависеть от конкретных проверяющих... :-(
Комментариев нет:
Отправить комментарий