Оглавление
I.Введение
|
с.2 |
II.Основная часть
|
с.4 |
1.Действия организатора документооборота
|
с.6 |
2. Действия пользователей системы документооборота
III.Заключение с.7
|
с.7 |
IV.Список Литературы с.10
|
I.
Введение
Эффективная работа любой организации в настоящее время немыслима без организации электронного документооборота. Работа с документами в электронной форме позволяет быстро и удобно хранить, обрабатывать и передавать документы в информационной системе организации. Однако системы электронного документооборота могут быть потенциально подвержены следующим атакам:
нарушение конфиденциальности передаваемых документов;
несанкционированное искажение электронных документов;
отправка ложного электронного документа от имени легального пользователя системы.
Организация, имеющая сложную интегрированную, территориально-распределенную структуру, сталкивается с такими информационными проблемами, как разрозненность финансовой и управленческой информации; запаздывание поступающих из отдаленных филиалов данных с вытекающими затруднениями в принятии оперативных решений; несбалансированность информационных потоков.
В условиях территориально-распределенной структуры возникают сложные схемы организации документооборота между юридическими лицами одной организации, удаленными подразделениями одного юридического лица, центральной компании и ее филиалами и дочерними компаниями.
Основными узкими местами в документообороте между удаленными структурными единицами являются: многократная регистрация одного документа; утрата документов; невозможность осуществления контроля за исполнением документов и сроков их согласования и подписания; отсутствие единого полного реестра изданных и полученных документов с целью осуществления их оперативного поиска и сбора статистических данных; многократное копирование одного документа с целью его рассылки удаленным адресатам организации; длительные сроки согласования проектов документов и принятия управленческих решений.
Предлагаемое решение по организации юридически значимого защищенного документооборота (ЮЗЭДО) направлено на решение перечисленных проблем. В системе обмена юридически значимыми документами по телекоммуникационным каналам связи для передачи сообщений между абонентами используется открытая телекоммуникационная сеть – Интернет. Доступ к данным, проходящим через Интернет, не может быть физически ограничен. С другой стороны, информация, которой обмениваются абоненты, является конфиденциальной, составляет налоговую или коммерческую тайну. Таким образом, остро встает вопрос защиты этой информации от несанкционированного доступа третьих лиц.
Для комплексного решения задачи организации защищенного обмена юридически значимыми электронными документами между абонентами предлагаемого решения разработано решение организации юридически значимого документооборота в электронном виде по телекоммуникационным каналам связи, который обеспечивает требуемый уровень защиты информации, работая в правовом поле России.
ЮЗЭДО регулирует взаимоотношения коммерческих организаций при условии, что эти организации заранее не имеют предпосылок к тому, чтобы доверять друг другу «на слово», и любой результат их взаимодействия документируется с целью иметь в будущем доказательную базу для того, чтобы иметь возможность отстоять как свои права, так и обязанности противоположной стороны. Подобные взаимоотношения организаций предоставляют широкую сферу для применения ЭЦП в качестве аналога собственноручной подписи.
Все электронные документы, циркулирующие между организациями, требуют юридической значимости для того, чтобы каждая из сторон была уверена в исполнении другой стороной своих обязательств. Юридически значимый электронный документ – это электронный документ, обладающий такими свойствами, что права и обязательства каждой из сторон, вытекающие из этого электронного документа, защищены действующим законодательством, в нашем случае, законодательством РФ. Юридическую значимость электронного документа обеспечивается с помощью ЭЦП.
Для защиты от рассмотренных угроз компания «Цифровые технологии» совместно с партнерами предлагает комплексное организационно-техническое решение по созданию защищённого юридически значимого электронного документооборота.
Доля электронных документов в общем объёме материалов, с которыми работают организации и граждане, неуклонно растет. В связи с этим наиболее остро встает вопрос обеспечения их юридической значимости (юридической силы). Юридическая значимость документа, как бумажного, так и электронного, — это его доказательная сила, например, в арбитражных судах.
II.
Основная часть
Для того чтобы электронный документ обладал юридической силой, необходимо соблюдать определенные правила при его создании, передаче, обработке и хранении. Согласно ГОСТ Р 51141--98 “Делопроизводство и архивное дело. Термины и определения” юридическая сила документа — это “свойство официального документа, сообщаемое ему действующим законодательством, компетенцией издавшего его органа и установленным порядком оформления”.
Что же придает документу — как бумажному, так и электронному юридическую силу? Во-первых, наличие в нём обязательных реквизитов и соблюдение правил отображения этих реквизитов. Во-вторых, компетентность источника, то есть право автора создавать и подписывать документы такого рода. В-третьих, гарантия целостности и подлинности.
Требование по оформлению и составу обязательных реквизитов зависит от конкретного вида документа и устанавливается рядом нормативных и правовых актов и регламентов. Это и федеральные законы (например, № 149-ФЗ “Об информации, информационных технологиях и защите информации” от 27.07.2006; № 1-ФЗ “Об электронной цифровой подписи” от 10.01.2002), в том числе “профильные” (например такие, как № 129-ФЗ “О бухгалтерском учете”), и различные постановления (скажем, Госкомстата России от 5 января 2004 г. № 1 “Об утверждении унифицированных форм первичной учетной документации по учету труда и его оплаты”).
Требования к оформлению отдельных видов документов можно найти в Гражданском кодексе РФ и в различных ГОСТах (например, ГОСТ Р 6.30—2003 “Унифицированные системы документации. Унифицированная система организационно-распорядительной документации. Требования к оформлению документов”).
Кроме того, требования по реквизитному составу и правилам его представления могут регламентироваться внутренними документами организаций, при этом они не должны противоречить действующему законодательству страны.
Для электронных документов в настоящее время существует ГОСТ 6.10.4--84 “Унифицированные системы документации. Придание юридической силы документам на машинном носителе и машинограмме, создаваемым средствами вычислительной техники. Основные положения”. Этот стандарт устанавливает требования к составу и содержанию реквизитов, которые придают электронному документу юридическую силу, а также устанавливают порядок внесения в них изменений.
Согласно данному ГОСТ электронный документ должен содержать следующие обязательные реквизиты:
1.регистрационный номер;
2.регистрационную дату;
3.подпись (код) лица, ответственного за правильность изготовления документа или утвердившего документ;
4.содержание документа;
5.наименование организации - создателя документа;
6.местонахождение организации -создателя документа или почтовый адрес.
Допускается вводить и дополнительные реквизиты, отражающие специфику создания или использования документа. При этом обязательные реквизиты электронного документа следует размещать способом, позволяющим однозначно идентифицировать их.
Важно помнить, что даже правильно оформленный документ, но изданный некомпетентным органом (то есть не имеющим право издавать документы такого рода), а также анонимный или подписанный не уполномоченным лицом, не принимается в суде и не может служить подтверждением изложенных в нём сведений, удостоверять факты, подтверждать права или обязанности, возникающие на его основании.
Требования по реквизитному составу и правилам представления юридически значимых электронных документов могут регламентироваться внутренними документами организаций, при этом они не должны противоречить действующему законодательству страны.
Законодательство требует надежных доказательств целостности и подлинности документа с того момента, когда он был сформирован в окончательной форме.
При оценке доказательственной силы электронного документа учитывается надежность способа, с помощью которого он формировался, хранился или передавался; способа, с помощью которого обеспечивалась целостность информации; способа, посредством которого идентифицировался его инициатор, и любые другие соответствующие факторы.
При этом не следует забывать, что степень надежности оценивается с учетом цели, для которой электронный документ была сформирован. Иными словами, должна быть обеспечена доверенная среда обработки электронного документа, причём доверенная не только для непосредственных участников документооборота, но и для третьей стороны.
Доверенная среда может быть реализована следующими способами:
использование технологии ЭЦП, признаваемой (согласно законодательству) равнозначной собственноручной подписи;
создание доверенной системы обработки электронных документов/доверенного хранилища.
1.
Действия организатора документооборота
1.Организаторам (владельцам) схемы документооборота необходимо зарегистрировать список объектных идентификаторов (OID) системы документооборота. Объектные идентификаторы определяют отношения, при осуществлении которых документ с электронной цифровой подписью будет иметь юридическое значение, если он был создан внутри конкретной системы документооборота.Идентификаторы вносятся в сертификаты публичного ключа клиентов документооборота и позволяют контролировать полномочия пользователей на совершение операций с документами в конкретной системе документооборота. OID зарегистрированные в Удостоверяющем центре включаются состав следующих расширений сертификата ключа подписи: Key Usage (использование ключа), Extended Key Usage (расширенное использование ключа), Application Policy (политики применения сертификата).Остальные идентификаторы используются по усмотрению организаторов документооборота как расширения объектного идентификатора самой системы.
2. Организаторам документооборота можно использовать уже готовые решения, предлагаемые компаниями «Цифровые технологии», «Актив», «Aladdin» в части приобретения необходимого специализированного программного обеспечения и шаблонов организационно-нормативных документов.
3. Центр Регистрации при УЦ должен обеспечивать принятие, предварительную обработку внешних запросов на создание сертификатов или на изменение статуса уже действующих сертификатов. Центр Регистрации может быть территориально удаленным образованием, который должен использовать специализированное ПО чтобы обеспечить:
-
Разграничение доступа к элементам управления ЦР на основе состава представленного Администратором взаимодействия с пользователем собственного электронного сертификата, определяющего ролевую принадлежность администратора и уровня полномочий.
-Получение и обработку запроса от Администраторов взаимодействия с пользователями на выпуск сертификата или изменение статуса уже выпущенного сертификата с последующей передачей запроса в ЦС.
-Хранение заверенных запросов и журналов событий в течение установленного срока, предусмотренного регламентом работы системы, в составе которой функционирует УЦ.
-Резервное копирование на внешние носители локального архива.
Под реализацию данных функциональных возможностей разрабатывался модуль КлиентУЦ в составе ПО «КриптоТри» или «eToken КриптоАРМ». Данный модуль позволяет задавать шаблон атрибутов и расширений с предустановленными значениями, используемый в Мастере создания запроса на сертификат. Для использования защищенного канала между удаленным центром регистрации и центром сертификации можно установить ПО Trusted TLS.
4. Все материалы, которые необходимы клиентам организуемого документооборота, должны быть опубликованы на web-портале удостоверяющего центра для оказания информационной поддержки пользователей документооборота.
2. Действия пользователей системы документооборота
1. Пользователям, желающим присоединиться к существующему документообороту, требуется скачать с web-портала организатора всю необходимую документацию. В составе документации должен быть шаблон договора, форма, необходимая для получения сертификата в ЦР (первичная сертификация) и инструкции по оснащению рабочего места пользователя.
2. С сайта производителей пользователям необходимо скачать и установить дистрибутив продукта «КриптоТри» («eToken КриптоАРМ»).
3. Для обеспечения возможности формирования ЭЦП пользователю требуется иметь закрытый ключ и соответствующий ему сертификат открытого ключа подписи. Для прохождения процедуры первоначальной сертификации ему следует обратиться в удостоверяющий центр.
4. Выпуск сертификата. Он производится посредством обработки запроса на сертификат, полученного в предыдущем пункте. После генерации сертификата сотрудник УЦ записывает пользователю на токен следующие данные:
-клиентский сертификат, изданный для пользователя данным УЦ;
-корневой сертификат данного УЦ;
-сертификат Уполномоченного лица УЦ или владельца документооборота, которым подписываются Доверительные списки сертификатов (CTL).
III.
Заключение
Обобщая изложенный выше материал, можно сделать вывод о том, что на сегодняшний день в РФ существует необходимая нормативная база для функционирования юридически значимого электронного документооборота на основании ЭЦП, применимого при оформлении правовых отношений, однако для целей практического применения электронного документооборота (и следовательно, извлечения преимуществ из этого) следует иметь ввиду отсутствие законодательно закрепленной электронной формы для некоторых специфических документов. На мой взгляд, несмотря на упомянутые выше ограничения, в ряде отраслей экономики РФ текущая ситуация создает достаточно благоприятные условия для внедрения систем электронного документооборота на основе ЭЦП с целью оформления правовых отношений между экономическими субъектами.
Чтобы определить, защищены ли на сегодняшний день электронные документы, подписанные ЭЦП законодательно, а следовательно, являются ли они юридически значимыми, необходимо разобрать два аспекта этого вопроса: юридическую значимость ЭЦП и юридическую значимость электронного документа.
Как известно, ЭЦП выдается удостоверяющим центром (УЦ). Закон «Об ЭЦП» предполагает регистрацию всех УЦ в едином государственном реестре, а также функционирование «уполномоченного федерального органа (УФО)» в качестве держателя реестра всех УЦ. Только УЦ, зарегистрированный в УФО, может выдать сертификат такой ЭЦП, которая является эквивалентом собственноручной подписи. На сегодняшний день имеется реестр, держателем которого является УФО1 (в министерстве не стали придумывать ему новое название, поэтому он так и называется – Уполномоченный Федеральный Орган). Кроме того, есть корневой УЦ, созданный на базе Общероссийского Государственного Информационного Центра (ОГИЦ)2. Управление реестром и корневым УЦ осуществляется Агентством по информационным технологиям при Министерстве Связи и Массовых Коммуникаций РФ. Т.е. фактически вся необходимая техническая база для реализации положений, описанных в законе «Об ЭЦП» на сегодняшний день готова. Более того, эта техническая база закреплена нормативными актами, например, в Приказе №33 уточняется, что единый реестр сертификатов создается именно в соответствии с законом «Об ЭЦП».
Теперь любая организация, осуществляющая функции УЦ, может получить сертификат в корневом УЦ ОГИЦ (при соблюдении определенных технических требований) и зарегистрировать его в реестре УФО. При наличии такого сертификата, заверенного корневым УЦ, организация сможет создавать и выдавать собственные сертификаты, что будет соответствовать положениям закона «Об ЭЦП» в отношении реализации ЭЦП на информационной сети общего пользования. Т.е. фактически ЭЦП, поставленная под документом с использованием сертификата, выданного УЦ, зарегистрированным в ОГИЦ, должна будет расцениваться как аналог собственноручной подписи держателя сертификата.
Однако, ЭЦП сама по себе, естественно, не представляет особой ценности. Функции ЭЦП могут быть реализованы только при использовании ее в качестве реквизита электронного документа. Следовательно, следует разобраться в том, что такое электронный документ. И какими нормативными актами обеспечивается (или не обеспечивается) его юридическая значимость.
Закон «Об ЭЦП» указывает на то, что ЭЦП является эквивалентом собственноручной подписи, если поставлена на электронном документе, что представляется достаточно логичным. Тот же закон определяет электронный документ как «документ, в котором информация представлена в электронно-цифровой форме». Такая формулировка представляется достаточно свободной для того, чтобы можно было создавать и использовать электронные документы любого формата. Однако, основным нормативным актом, регулирующим использование электронных документов, является закон №149 «Об информации, информационных технологиях и о защите информации». Этот закон в первую очередь вводит понятие электронного сообщения в практику российского законодательства: электронное сообщение - это «информация, переданная или полученная пользователем информационно-телекоммуникационной сети». Таким образом, закон №149 разделяет понятия электронного документа и электронного сообщения. Отличия этих двух понятий рассматриваются в статья11. закона. В частности, п.3. указывает, что электронным документом может считаться только такое электронное сообщение, подписанное ЭЦП, электронная форма которого не исключена законодательно. Другими словами, если в нормативном акте четко указано, что какой-либо конкретный документ необходимо оформлять на бумажном носителе, то этот документ, оформленный в электронном виде и подписанный ЭЦП, будет являться лишь копией бумажного документа и никакой юридической силы иметь не будет.
В прочем, п.4 той же статьи отдельно содержит разъяснения в части «заключения гражданско-правовых договоров или оформления иных правоотношений». В соответствии с этим пунктом, электронные сообщения, подписанные ЭЦП, созданные и используемые в целях установления указанных выше отношений, признаются электронными документами. Другими словами, в случае заключения договоров, оформления накладных и актов в электронном виде таковые будут признаваться электронными документами на основании указанной выше статьи закона №149.
Таким образом, по моему мнению, на текущий момент в РФ существует необходимая нормативная база для функционирования юридически значимого электронного документооборота на основании ЭЦП, применимого при оформлении правовых отношений.
IV.
Список Литературы
1. Государственный стандарт РФ ГОСТ Р 51141-98 "Делопроизводство и архивное дело. Термины и определения" (утв. Постановлением Госстандарта РФ от 27 февраля 1998 г. N 28)
2. ФЗ № 149 “Об информации, информационных технологиях и защите информации” от 27.07.2006;
3. ФЗ № 1 “Об электронной цифровой подписи” от 10.01.2002
4. Приказ Росинформтехнологий №33 от 05.06.2006
5. Приказ МинИнформСвязи №32 от 11.03.2008
6. http://www.pcweek.ru/themes/detail.php?ID=103755
7. http://www.trusted.ru/solutions_list/2518/
|