Доска почёта ЭЦП — office.sud.kz
Рассмотрим очередной государственный сайт: Судебный кабинет. Это единое окно доступа к сервисам судов Республики Казахстан в электронном виде. Здесь было обнаружено только одно замечание жёлтого уровня [😐] (об уровнях), да и то, с оговоркой (см. ниже).
😐 Проблемы с разграничением доступа на основании полномочий, указанных в сертификате ключей ЭЦП для юридических лиц
ВНИМАНИЕ! Данное замечание указано в качестве предположения, основанного на косвенных признаках и анализе других аналогичных интернет-ресурсов. Оно не было подтверждено опытным путём по причине отсутствия доступа к ключам ЭЦП какого-либо юридического лица, принимавшего участие в судебных делах в качестве одной из сторон.
В судебном кабинете, вероятно, не реализован контроль доступа к данным юридического лица на основании полномочий, указанных в сертификате (регистрационном свидетельстве) использованном для аутентификации. В результате, с большой долей вероятности, достаточно иметь сертификат сотрудника юридического лица без каких либо полномочий (в частности, без права подписи документов) для того, чтобы пройти аутентификацию и просмотреть все размещённые на нем материалы данного юридического лица.
В соответствии с Приказом Министра по инвестициям и развитию Республики Казахстан от 9 декабря 2015 года №1187 «Об утверждении Правил проверки подлинности электронной цифровой подписи», одним из шагов проверки подлинности является проверка полномочий лица подписавшего документ (подпункт 7, пункта 6).
При выпуске ключей ЭЦП для сотрудников юридического лица можно указать, какие полномочия имеет владелец выпускаемых ключей (первый руководитель, сотрудник отдела кадров и т.д.).
Соответственно, при выполнении проверки ЭЦП необходимо также проверять и полномочия подписанта согласно данным, записанным в сертификате ключа ЭЦП. Если провести параллель с бумажным миром, вряд ли подпись рядового сотрудника, при отсутствии соответствующей доверенности, будет принята при сдаче отчётности в налоговый орган.
Отсутствие такой проверки хотя бы в одной информационной системе нашей страны ограничивает возможность выпуска организациями сертификатов для таких своих сотрудников, которым не требуется возможность подписывать документы от имени организации, но требуется подписывать документы в качестве сотрудников организации, например, внутренние наряд-задания на производстве.
Как следствие, у компаний пропадает стимул выпускать ключи ЭЦП для сотрудников, кроме как ЭЦП первого руководителя с соответствующими полномочиями и использовать только её. То есть, данная ситуация ограничивает возможности отечественных компаний в использовании ЭЦП для своих бизнес-процессов в рамках программы цифровизации.
Vladimir Turekhanov ・ December 23, 2020