Журнал о системах электронного документооборота (СЭД)

Последние комментарии :

Исхаков Роберт 21 февраля 2017 г. 22:05  
Причем при экспорте данные подтягиваются из нескольких разных таблиц, так что не очень понятно, что в данном случае, применительно к ИС, называть документом.

Совокупность данных и метаданных уже не может считаться документом?

Исхаков Роберт 21 февраля 2017 г. 20:54  
Ой-вей! Все забываю, что подписываю закрытым ключом :)

Вот Вы "все забываете", а наши граждане (например, руководители) ВЕРЯТ, что они получают электронные подписи)))) и подписывают сертификатами))) 

Вообще интересно, а откуда это пошло: "Получить электронную подпись и подписывать сертификатом"?

 Вы возьмите, например, регламент аккредитованного удостоверяющего центра (я нашел в сети). Там же все нормально и с подписями и с сертификатами)

Про "Ой-вей" хотел написать, но не буду.

Сергей Бушмелев 21 февраля 2017 г. 13:32  
Не уверен, что подобные системы именно хранят сами документы.

Да, часто там хранятся именно данные. Данные могут экспортироваться из системы в виде документов (человеко- или машиночитаемых), Например, для печати или обмена через сервис ЭДО. Но в самой системе это данные (записи в таблицах БД, файлах данных и т.п.). Причем при экспорте данные подтягиваются из нескольких разных таблиц, так что не очень понятно, что в данном случае, применительно к ИС, называть документом.

То же относится и с другим учетным (ERP, биллинг и т.п.) системам.

Сергей Бушмелев 21 февраля 2017 г. 13:24  
И все-таки можно посмотреть структуру Вашего "криптопрошнего сертификата",  которым Вы подписываете документы.? Он же соответствует X.509? И чем Вы там подписываете мне все-таки не понятно.

Ой-вей! Все забываю, что подписываю закрытым ключом :)

Вадим Майшев 17 февраля 2017 г. 10:30  
А что для Вас есть документ?

ГОСТ Р ИСО 15489-1-2007: 3.3 с 7.2.2, 7.2.3 и 7.2.4.

Если гражданин даже только формы заполняет, то документ создается.

Конечно, при условии обеспечения 7.2.2, 7.2.3 и 7.2.4.

Пример - системы автоматизации кадрового делопроизводства.

Не уверен, что подобные системы именно хранят сами документы.

Исхаков Роберт 16 февраля 2017 г. 21:26  
У меня "криптопрошный сертификат", я его использую для подписания тестовых документов в нашем ЭДО-сервисе в рамках тестирования отдельных решений

И все-таки можно посмотреть структуру Вашего "криптопрошнего сертификата",  которым Вы подписываете документы.? Он же соответствует X.509?

И чем Вы там подписываете мне все-таки не понятно.

Исхаков Роберт 16 февраля 2017 г. 20:58  
Сервисами ЭДО сейчас тоже пользуются <10% организаций в России. Некоторые считают, что, тем не менее, у этого рынка большое будущее.

У этого рынка очень большое будущее) И не только потому, что электронные счет-фактуры обязывают отправлять через оператора ЭДО, и отчетность в НО предоставлять только в электронном виде))) Был у меня дипломник (ца), с которым мы сравнили расходы по пересылке бумажных и электронных документов) Почта России - это чудовищные расходы)

Исхаков Роберт 10 февраля 2017 г. 16:33  
Еще раз. Если создаются документы, то это документооборот с подписью, если нет - подпись не нужна!

Что то я Вас не пойму. А что для Вас есть документ? 

Для меня. Электронный документ: Документ, информация которого представлена в электронной форме. ГОСТ Р 7.0.8-2013. 

Если гражданин даже только формы заполняет, то документ создается. 

Документы в ИС могут храниться в виде записей таблиц. Пример - системы автоматизации кадрового делопроизводства. И вообщем-то любая учетная система.

Сергей Бушмелев 10 февраля 2017 г. 13:45  
 Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами.

Тут ничего не скажу - сижу очень далеко от УЦ.

 

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является.

Не, этот тезис я не оспаривал, я только выразил свое несогласие с тем, что ПЭП существует :)

 

Это доли процента.

В организации не так много лиц, подписывающих внешние документы с контрагентами, поэтому отношение количества сертификатов к численности сотрудников всегда будут доли процента. Еще вопрос, кто идет получать второе юридическое высшее. Руководителей в этом потоке не так много. По крайней мере, в нашем потоке их было немного :)

Сервисами ЭДО сейчас тоже пользуются <10% организаций в России. Некоторые считают, что, тем не менее, у этого рынка большое будущее.

Вадим Майшев 10 февраля 2017 г. 13:39  
В рамках этого электронного взаимодействия электронные документы создаются.

Еще раз. Если создаются документы, то это документооборот с подписью, если нет - подпись не нужна!

Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Еще раз. В новости про это и говорится! Нет документа - идентификация/аутентификация (не имеющая (пока) под собой технологии ПЭП), есть документ - подпись (УКЭП).

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является.

Еще раз. А кто спорит? Вот появятся "массовые" информационные системы, тогда и будет "массово". Но в погоне за "указанной 70% массовостью" за налоговые деньги граждан насоздавали всяческие "многофункциональные и/или порталы", а как поняли, что это никому не надо в созданном виде, начали сокращать количество "услуг", не требовать подпись (ведь документов и нет), систему защищенного документооборота трансформировать в беззащитную (ведь у пользователя нет "платных и поэтому дорогих" средств защиты) систему заявок на прием (да, и это тоже надо делать, но не так, и не за такие деньги) и отображения персональных данных из защищенного контура в "наружный личный кабинет", находящуюся в коммерческой организации. Идея была хорошая, но для ее реализации нужны защищенные сервисы с документами, а их почти нет, т.к. за некачественную административную реформу не накажут, а за необеспеченную "указанную 70% массовость" запросто. Вот и запускаются марафоны и соревнования по массовой "регистрации" под разным соусом оСНИЛСованных граждан , ведь не важно качество, а нужно количество граждан в системе.

Еще раз. И тут дело вообще не в подписи и ее массовости. Там, где она нужна и экономически целесообразна, она работает и давно. И не надо манипулировать, что цена СКЗИ и услуг УЦ сдерживает "массовость", и поэтому наша "бесплатная преемственная ПЭП" - наше все, в технических требованиях к рабочему месту пользователя массового сервиса это лишь одна из статьей расходов. А для записи на прием не надо раздеваться отдавать ВСЕ свои персональные данные, а для просмотра ВСЕХ своих персональных данных в личном кабинете не надо подключаться к третьей стороне по логину/паролю в незащищенном канале.

Сергей Бушмелев 10 февраля 2017 г. 13:27  
Просто Ваш тон сообщений показался мне нравоучительным.

Да, есть за мной такой грешок. Приношу ответные извинения :) Впредь буду стараться избегать нравоучительного тона.

Но какой сертификат все-таки Вы используете для подписания документов?

У нас свой УЦ, выпускает сертификаты клиентам и сотрудникам. У меня "криптопрошный сертификат", я его использую для подписания тестовых документов в нашем ЭДО-сервисе в рамках тестирования отдельных решений. Мои должностные обязанности не включают подписание внешних документов (бумажных и электронных).

Исхаков Роберт 10 февраля 2017 г. 11:28  
АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

Но электронное взаимодействие и электронный документооборот это разные вещи! 

В рамках этого электронного взаимодействия электронные документы создаются.

Исхаков Роберт 10 февраля 2017 г. 11:28  
АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Я не зря написал про преемственность. Обращаясь в "министерство" я бумажку-жалобу подписываю. Так же должно быть и в рамках "электронного" взаимодействия. И в рамках этого взаимодействия у гражданина должен быть выбор, какую подпись ставить ПЭП (если это возможно) или УКЭП.

Что бы Вы не писали про "массовое использование УКЭП гражданами", массовым это использование не является. Я регулярно студентам юристам заочникам задаю вопрос "Используется ли вами или в организации ЭП?". Единицы из многих сотен отвечают "да". Это доли процента. Понимаю, что КЭП в организациях ставят не они, но они как граждане этой технологией не пользуются.  Интересна статистика от вас Вадим и Сергей. Сколько граждан (не ИП) у вас купили ключи с сертификатами. И интересно для решения каких задач? Можно просто порядок цифр.

Но электронное взаимодействие и электронный документооборот это разные вещи! 

В рамках этого электронного взаимодействия электронные документы создаются.

Исхаков Роберт 10 февраля 2017 г. 10:57  
Надеюсь, что это не изменится и в будущем :)

Я извиняюсь, если Вас обидел. Просто Ваш тон сообщений показался мне нравоучительным. Потом моя провокация удалась и сколько интересного Вы написали. Еще раз извиняюсь.

 

Резюмируя вышесказанное, замечу:

Во многом соглашусь.

И действительно ПЭП не заменяет УКЭП для электронного документа и рукописную подпись для бумажного.

 

ИМХО, стоило бы процитировать определение ЭЦП до конца:

Я же написал "Но я, конечно, понимаю, что Вы имеете ввиду"

Интересно, а почему Вы только говорите про компрометацию закрытого ключа? Или компрометировать логин/пароль к СЭД сложнее?

Нет, не сложнее. Я к тому, что все указывают на уязвимости ПЭП, не замечая проблем технологии КЭП/УКЭП.

Ок, тут я напутал, я имел в виду просто закрытый ключ.

С этим разобрались. Но какой сертификат все-таки Вы используете для подписания документов?

Сергей Бушмелев 10 февраля 2017 г. 00:52  
Вы забыли про "Алису и Боба")))

 

Для начала давайте закончим с популярной криптографией для чайников)

 

мы вас в нашу организационную систему не приглашаем)))

 

Предлагаю носитель с ключом вшить в задницу ЛПР

Я понимаю, что снисходительно-насмешливый тон в комментариях сейчас в тренде, а усилиями г-на Конашенкова (Начальник Управления пресс-службы и информации Министерства обороны Российской Федерации) и г-жи Захаровой (директор Департамента информации и печати Министерства иностранных дел РФ) даже выведен на международный уровень. Но мы с вами, надеюсь, умные люди и прекрасно понимаем, что понтами часто пытаются компенсировать недостаток интеллекта или аргументов. Так что давайте не будем опускаться до этих простых и совершенно неэффективных в приличном обществе приемов, хорошо? То, что до Вас никто не использовал столько обсценной лексики и "иронии" в комментариях было не потому, что никто до этого не додумался, просто здесь было принято уважать не только собеседников, но и себя. Надеюсь, что это не изменится и в будущем :)

А теперь к делу.

 

"Ключ электронной подписи" / "закрытый ключ" НЕ МОЖЕТ содержаться "в сертификате ключа проверки электронной подписи" / "сертификате открытого ключа". Смотрите: статья 14 закон об ЭП, X.509, RFC 5280. 

Ок, тут я напутал, я имел в виду просто закрытый ключ. Он действительно не может содержаться в сертификате ключа проверки электронной подписи.

 

Например, алгоритм формирования традиционной рукописной подписи не предполагает использование математики (криптографии).

Для рукописных подписей за многие века накопилось очень много криминалистических методик проверки авторства рукописной подписи. Тем более, что физическая природа пишущего состава (пасты, чернил, крови) и бумаги позволяет получить множество данных, в том числе авторства, времени подписания и т.п. Даже если человек пишет другой рукой или ногой, можно определить его по особенностям написания отдельных букв. Так что для рукописных физических подписей асимметричное криптопреобразование не нужно.

 

в "старом" законе "об эцп" эцп была определена как "реквизит электронного документа...")))

ИМХО, стоило бы процитировать определение ЭЦП до конца: электронная цифровая подпись - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе. Если дочитать определение до конца, то можно сделать три вывода: 1. ЭЦП может быть получена только путем криптопреобразования с использованием закрытого ключа. 2. ЭЦП гарантирует авторство и неизменность документа. 3. ЭЦП является просто реквизитом электронного документа, а не электронного документа в информационной системе. Таким образом, по старому закону ваши галочки, кнопочки, надписи в СЭД не являются электронной цифровой подписью. Думаю, что Вы этого и не собираетесь утверждать.

  

Что у меня есть?

Локальные правовые акты (это я про регламенты и соглашения про использование СЭД и "ПЭП" в организации) могут (при отсутствии противоречий с законами и подзаконными актами) регулировать максимум трудовые правоотношения. И электронные документы в корпоративных СЭД составляются в рамках преимущественно трудовых правоотношений. Скажу более, в электронном виде в СЭД остаются только те документы, которые не требуется хранить длительное время. Кадровые документы будут распечатаны и  подписаны собственноручной подписью, а потом будут храниться десятки лет. Тут даже КЭП не выглядит альтернативой теплой ламповой собственноручной подписи, не говоря уже про какие-то кнопочки в СЭД.

Разумеется, в СЭД можно создать документ, участвующих в гражданско-правовых отношениях (проект договора, доп. соглашение, счет и т.п.) или административных правоотношениях (ответ на запрос ФНС), но для отправки контрагенту документ надо будет или перевести в бумажный вид и подписать собственноручной подписью или отправлен через ЮЗЭДО-оператора. Разумеется, в рамках предварительно заключенных соглашений документ может быть отправлен и без всякой подписи через email, но либо гарантией его неизменности будет отправка через независимого от пользователей- отправителей и получателей провайдера, либо изменять документ сторонам нет смысла или экономической необходимости. Очень давно, около 5 лет назад Наталья Храмцовская упоминала одно арбитражное дело, где суд в качестве доказательства принял обычный документ (что-то типа Word или Excel), запросив у email-провайдера логи. Размер предоставленных документов соответствовал данным логов, поэтому суд посчитал, что именно эти документы и участвовали в обмене. Точно не помню, возможно, в своих блогах я ссылался на этот кейс. Но и в этом случае гарантией неизменности документа была не "ПЭП" в СЭД, а его передача через независимого и предоставившего логи оператора.

Резюмируя вышесказанное, замечу:

1. В локальных актах вы можете простой электронной подписью называть что угодно, никто с вами спорить не будет, проверять не придет. Вы можете этой "ПЭП" подписывать внутренние документы, относящиеся к некоторым (скорее всего, не к кадровым) трудовым правоотношениям.

2. Фактически, под "ПЭП" будут подразумеваться авторизация пользователей в СЭД и разные записи в служебных областях данных.

3. В рамках СЭД можно декларировать "авторство" и "неизменность" электронных документов. Участники СЭД с этим могут согласиться, так как даже подделка документа после подписания "ПЭП" не приведет к каким-либо юридическим последствиям. Скорее всего, никому не будет нужно изменять документы после "подписания" также из-за отсутствия интереса и юридических последствий.

А вот Вы идите в суд и доказывайте своими математическими алгоритмами факт некомпрометации ключа, и что ключ ЭП физически существуют только на одном носителе, с которым ЛПР не расстается ни днем ни ночью)))

Интересно, а почему Вы только говорите про компрометацию закрытого ключа? Или компрометировать логин/пароль к СЭД сложнее? И доказывать некомпрометацию логина/пароля будет не проще, чем закрытого ключа. Думаю, что споры по поводу авторства и неизменности документов в СЭД будут гораздо реже доходить до суда именно в силу малозначительности (если не сказать отсутствия) юридических последствий этих действий.

Все сказанное выше не является рекламой или попыткой навязать усиленную подпись там, где она не нужна и (или) избыточна.

Но по роду деятельности в последнее время все чаще сталкиваюсь со случаями, когда организации плюсом к авторизации в системе пол логину/паролю/сертификату КЭП хотят подписывать квалифицированной электронной подписью документы, которые раньше вполне себе свободно ходили без подписи. Видимо, в их кейсах гарантия авторства и неизменности важнее затрат, в том числе на изменение собственных бизнес-процессов.

Вадим Майшев 09 февраля 2017 г. 12:56  
P.S. Почему я хочу, чтобы использовался именно термин ПЭП, а не АСП? Электронный документооборот - преемник традиционного бумажного. И чтобы этот электронный документооборот, "электронное взаимодействие гражданина" и на уровне государства, в том числе стали массовым явлением необходима преемственность, в том числе и терминологии.

Вот в этом и проблема. Сочинятели закона 63-ФЗ это тоже хотели. Но электронное взаимодействие и электронный документооборот это разные вещи! Для взаимодействия достаточно идентификации/аутентификации участников (в т.ч. по логину/паролю в надежно защищенном канале), а для документооборота нужна, кроме этого, еще защита документа от подделки, реализуемая электронной подписью. А ПЭП по закону не защищает документ от модификации, поэтому не может служить его подписью (ну невозможно быть автором документа, который можно бесконтрольно редактировать!). Поэтому и нет преемственности, и сплошная путаница в терминологии, и разруха в головах. АСП - фундаментальное понятие с ясным смыслом и договорными взаимоотношениями относительно ее сущности, нежели ПЭП, которую хотят выдать "терминологически и преемственно" за электронную подпись.

Исхаков Роберт 08 февраля 2017 г. 19:38  

P.S. Почему я хочу, чтобы использовался именно термин ПЭП, а не АСП? Электронный документооборот - преемник традиционного бумажного. И чтобы этот электронный документооборот, "электронное взаимодействие гражданина" и на уровне государства, в том числе стали массовым явлением необходима преемственность, в том числе и терминологии.

Исхаков Роберт 08 февраля 2017 г. 19:16  

Для начала давайте закончим с популярной криптографией для чайников) Мне она знакома достаточно давно) 

Мои комментарии.

Закрытый ключ может содержаться в сертификате ключа проверки электронной подписи.

"Ключ электронной подписи" / "закрытый ключ" НЕ МОЖЕТ содержаться "в сертификате ключа проверки электронной подписи" / "сертификате открытого ключа". Смотрите: статья 14 закон об ЭП, X.509, RFC 5280. 

Если же у Вас "ключ электронной подписи содержится в сертификате ключа проверки электронной подписи", то эта уже другая сущность, это уже какой-то другой "сертификат", мне неведомый). В законе об эп такой сущности НЕТ) Чем Вы там подписываете мне действительно не понятно) Объясните пжл, с обязательной отсылкой к ДОКУМЕНТАМ) 

А какой алгоритм используется для получения "ПЭП" в вашей СЭД? 

А почему Вы считаете, что алгоритм формирования подписи - это только "математический (криптографический) алгоритм"? Например, алгоритм формирования традиционной рукописной подписи не предполагает использование математики (криптографии).

 

Подозреваю, что то, что Вы называете ПЭП, является просто реквизитами документа в вашей СЭД.

Вы себе не представляете, но в "старом" законе "об эцп" эцп была определена как "реквизит электронного документа..."))) Но я, конечно, понимаю, что Вы имеете ввиду. 

А давайте отталкиваться от определения ЭП в законе "Об ЭП". Меня оно полностью устраивает и с точки зрения "присоединения"   и с точки зрения "определения лица, подписывающего информацию". А также от статьи 9 "Использование ПЭП"

Что у меня есть?

1. СЭД (система электронного документооборота). В ней понятие ПЭП закреплено в руководствах пользователя и администратора, в справочной системе, в глоссарии СЭД. Технология ПЭП в СЭД настраивается: Администратор СЭД  определяет, кто может подписывать документы, и какие виды документов могу подписываться ПЭП. Технологические операции по формированию, проверки ПЭП для пользователя схожи с операциями по формированию КЭП. Есть, конечно, разница) При подписании документа не запрашивается ключ ЭП (он фактически вводился при входе пользователя в СЭД) , а на этапе проверки ПЭП нет возможности просмотра сертификата ключа проверки ЭП (его просто нет в технологии ПЭП)

2. У меня есть регламент использования ПЭП в моей организационной системе. И ни одному нормативному документу этот документ противоречить не будет. 

3. У меня есть соглашение использования ПЭП участниками информационного взаимодействия. И все участники с ним согласились.

Могу и дальше продолжить. 

Вы, конечно, можете сказать, что это не технология вовсе и что ПЭП в ней не создается. Это Ваше право, мы вас в нашу организационную систему не приглашаем)))

Это кто сказал, что нельзя! Используют, и очень широко. И вот усиленная цифровая подпись позволяет проверить документ как раз вне системы, в которой он был подписан - нужны только криптосредства и инфраструктура PKI.

Так это элементы одной, по сути, системы) У вас же "единое пространство доверия")

А вот с вашей "простой" электронной подписью такой номер уже не пройдет! Вы не сможете "приклеить" вашу "ПЭП" к документу так, что при помощи какого-нибудь математического алгоритма можно будет доказать факт внесения изменений в документ или его неизменности.

У нас все приклеивается в рамках СЭД))) А вот Вы идите в суд и доказывайте своими математическими алгоритмами факт некомпрометации ключа, и что ключ ЭП физически существуют только на одном носителе, с которым ЛПР не расстается ни днем ни ночью))) Предлагаю носитель с ключом вшить в задницу ЛПР и каждый год его менять))

Не забудьте пжл дать Ваши пояснения, каким сертификатом Вы подписываете документы? В суде пригодится)))