Журнал о системах электронного документооборота (СЭД)
Нормативные документы и правовые аспекты

Вопросы организации безбумажного документооборота

  54 комментариев Добавить в закладки

Первая половина 2011 года полна событий, касающихся юридически значимого документооборота – принят новый закон об электронной подписи, утверждены правила обмена электронными счетами фактурами. Что же будет во второй половине года? Надеюсь, как минимум утвердят формат электронной счет-фактуры.

В связи с указанными событиями развернулись бурные дискуссии, связанные с вопросом полного отказа от бумажного документооборота, например, тут. Предлагаю попунктно изложить уже затронутые вопросы и обсудить возможные пути их решения. Вероятно, в ходе обсуждения перечень вопросов дополнится.

Итак, вопросы организации безбумажного документооборота:

  1. Есть ли различие между электронным документом и электронной копией бумажного документа? Я считаю, что нет, т.к. в законе об электронной подписи «информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью…» не обозначена зависимость юридической значимости документа от способа его формирования. Позволю себе перефразировать закон следующим образом – информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, имеющим такую же юридическую силу, как и документ на бумажном носителе, подписанный собственноручной подписью. Поправьте меня, если я ошибаюсь.
  2. Какие виды электронных документов имеют юридическую силу? Один из самых острых вопросов. Если опираться на закон об электронной подписи, то можно говорить обо всех документах, появляющихся при совершении юридически значимых действий: «регулирует отношения в области использования электронных подписей при совершении гражданско-правовых сделок, оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, при совершении иных юридически значимых действий». Однако с уверенность можно сейчас говорить только о некоторых видах документов, например, первичные финансовые документы и первичные документы налогового учета, не забывая о некоторых оговорках.
  3. Как сохранить во времени юридическую значимость электронного документа, подписанного электронной подписью? Использовать усовершенствованную электронную подпись? Наиболее приемлемый вариант на текущий момент. Также есть вариант переподписания документов после обновления сертификата. Однако в этом варианте возникает ряд вопросов, например, кто должен переподписывать документ.
  4. И самый острый вопрос – архивное хранение электронных документов. В виду преобладания в документообороте компании документов, сроком хранения до 10 лет, предлагаю ограничиться в обсуждении этими документами. Документы большего срока хранения оставлять на бумаге. Имеющиеся на данный момент вопросы.
    • В каком формате хранить электронные документы?
    • Как обеспечить целостность и неизменность хранимых документов?
    • Как производить миграцию документов на другой формат при необходимости?
    • Как сохранить юридическую значимость документов при миграции документов на новый формат?

Предлагаю обсудить озвученные вопросы и, при необходимости, их дополнить. Надеюсь, что в ходе обсуждения будут определены наиболее оптимальные пути решения возникших вопросов.

Ещё материалы автора
Похожие записи
Комментарии (54)
Дамир Галимов 20 июня 2011 г. 10:50  
Как сохранить во времени юридическую значимость электронного документа, подписанного электронной подписью?

В связи с чем возник вопрос? В законе есть что-то на эту тем? Если так, то лучше прямо по тексту сослаться на это место, ибо технически сама по себе цифровая подпись никак не теряет свою достоверность со временем. Во времени ограничен сертификат, которым подпись ставится, но если подпись была поставлена сертификатом, действующим и не отозванным на момент подписания (а не на момент проверки подписи!), то подпись будет достоверной и после окончания срока действия сертификата. А проверить, был ли сертификат действителен на момент подписания можно при помощи списков отзыва сертификатов и штампа времени подписания, "зашитого" в подпись.
Дамир Галимов 20 июня 2011 г. 10:53  

В дополнение, на вопрос "как сохранить во времени юр. значимость" я бы лучше задался вопросом как хранить документ, как хранить подпись к нему, как предоставлять документы в налоговую, например, когда она попросит, если нужные документы есть только в цифровом виде. Т.е. в таком виде вопрос немного расширяет вопрос 4.

Михаил Романов 20 июня 2011 г. 11:06  
действующим и не отозванным на момент подписания
Проблема в том, что для этого нужно подтверждать время подписания, т.е. использовать расширенную подпись (со штампом времени), которая имеет свои заморочки.
Алексей Корепанов 20 июня 2011 г. 11:32  

Вообще говоря, в законе прописано следующее - "при наличии достоверной информации о моменте подписания....", при этом критерии достоверности не определены. Использование штампов времени сейчас проблематично, не все ПО поддерживает такую подпись.

Алексей Корепанов 20 июня 2011 г. 11:35  

Вопросы по архивному хранению не все озвучены с целью их последующего дополнения в ходе обсуждений.

Наталья Храмцовская 21 июня 2011 г. 14:47  

Алексей Корепанов писал: Есть ли различие между электронным документом и электронной копией бумажного документа? Я считаю, что нет

Важно, как считает законодательство. Как только Вы произнесли слово копия, Вы признали, что где-то есть оригинал. Юридическую значимость имеет оригинал или заверенная копия (в тех случаях, когда законодательство не содержит прямого требования представлять подлинник). Копия у нас не равносильна оригиналу.

Пример судебной практики: см. статью Проблемы оформления документов в смешанном документообороте: арбитражная практика  // Секретарь-референт. -  2010. - № 11. - С.34-35.
http://www.eos.ru/eos_delopr/eos_analitics/detail.php?ID=79306

Суд решил, что отсканированный документ с электронно-цифровой подписью, полученный уполномоченным органом по электронной почте, электронным документом не является.

Какие виды электронных документов имеют юридическую силу?

Для начала попробуйте-ка сказать, что такое "юридическая сила"? Законодательство чёткого ответа на этот вопрос не дает. IMHO юридическую силу имеют официальные документы, выданные/заверенные государственными органами в пределах их полномочий, а также документы, заверенные нотариусом. В отличие от них, юридически значимыми являются любые документы, которые возможно использовать для отстаивания своих интересов в государственных органах, судебных спорах и т.д.

Как сохранить во времени юридическую значимость электронного документа, подписанного электронной подписью?

1) Сохранение всех необходимых для проверки подписи программных и аппаратных средств и документации.
2) Переподписание (не поддерживается действующим законодательством, возможно в корпоративной среде)
3) Сохранение доказательств, подтверждающих успешную проверку подписи при поступлении документа в доверенный электронный архив, и отказ в дальнейшем от повторных проверок подписи (не поддерживается действующим законодательством, возможно в корпоративной среде)
4) Создание бумажного дубликата либо заверенной бумажной копии

Усовершенствованная подпись - это попытка упростить перепроверку подписи за счет сохранения вместе с подписью части необходимой для проверки документации. Отечественным законодательством не поддерживается, но может использоваться в корпоративной среде.См статьи, где эти вопросы обсуждаются более подробно:

Проблемы использования ЭЦП  в оперативной работе организации // Делопроизводство и документооборот на предприятии,  N 6, июнь 2005 г.
http://www.eos.ru/eos_delopr/eos_analitics/detail.php?ID=9752

Проблемы долговременного хранения документов,  подписанных электронно-цифровой подписью или её аналогами   //Делопроизводство и документооборот на предприятии, N 7, июль 2005 г.
http://www.eos.ru/eos_delopr/eos_analitics/detail.php?ID=9754

ЭЦП в современном делопроизводстве // Вопросы документооборота. г. Алматы, Казахстан. – 2010. -№ 1.  – С.56-65. (на казахском и русском языках). http://www.eos.ru/eos_delopr/eos_analitics/detail.php?ID=71122 

И самый острый вопрос – архивное хранение электронных документов

Выбор формата зависит от ценности документов и оттого, как и насколько часто они используются. Рекомендуются PDF (PDF/A), TIFF

Целостность:
1) ЭЦП/усиленная электронная подпись
2) независимое хранение хешей и/или контрольных сумм
3) собственные средства доверенной электронной архивной системы + организационные меры, осуществляемые её владельцем
4) хранение нескольких копий (например, эталонной копии)

Миграция:
Практически по той же схеме, как работает система менеджмента качеств т.е. написать нормативную базу, действовать в соответствии с ней, каждый шаг документировать, предпочтительно использовать автоматические средства миграции, контролировать качество миграции, проводить аудит, корректировать выявленные недостатки. В мире есть несколько хороших стандартов, описывающих как технологии, так и действия по сохранению юридической значимости. К сожалению, законодательство пока что такой процесс не поддерживает, его можно использовать только в корпоративной среде.

См. статью: Как хранить электронные документы? Советы эксперта // CNews, 10 апреля 2008 года, http://eos.ru/eos_delopr/eos_analitics/detail.php?ID=33299  
 

Алексей Корепанов 21 июня 2011 г. 16:51  
Суд решил, что отсканированный документ с электронно-цифровой подписью, полученный уполномоченным органом по электронной почте, электронным документом не является.
Правильная ссылка на статью думаю такая - http://ecm-journal.ru/blog/post/Voprosy-organizacii-bezbumazhnogo-dokumentooborota.aspx.
Во-первых, на основании одного дела я бы не стал делать каких-то выводов. Во-вторых, даже в этом деле суд кассационной инстанции говорит о недостаточности предоставленной информации для проверки действительности электронной подписи.
Какие виды электронных документов имеют юридическую силу?
Конечно же имелась в виду юридическая значимость. Думаю из контекста это понятно.
 
Сохранение всех необходимых для проверки подписи программных и аппаратных средств и документации.
Согласен, потребуется в любом случае. 
Усовершенствованная подпись - это попытка упростить перепроверку подписи за счет сохранения вместе с подписью части необходимой для проверки документации. Отечественным законодательством не поддерживается, но может использоваться в корпоративной среде.
Вот тут не соглашусь. В последнем законе об электронной подписи "квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)...". При использовании штампов времени такая информация имеется.
 
По архивному хранению документов в посте обговаривается срок хранения до 10 лет. Соответственно, подразумевается архив организации. Это немного облегчает задачу, т.к. можно задокументировать регламент хранения электронных документов.
По формату хранения - склонюсь к PDF/A.
С остальным согласен с Натальей. Спасибо!
Ольга Подолина 21 июня 2011 г. 16:56  

 

Суд решил, что отсканированный документ с электронно-цифровой подписью, полученный уполномоченным органом по электронной почте, электронным документом не является. Правильная ссылка на статью думаю такая - http://ecm-journal.ru/blog/post/Voprosy-organizacii-bezbumazhnogo-dokumentooborota.aspx.

Привильная ссылка все-таки вот такая
http://www.pk6.eos.ru/upload/analitica/Secretar_2010_11_34-35.pdf

Наталья Храмцовская 21 июня 2011 г. 17:58  

Алексей Корепанов писал: При использовании штампов времени такая информация имеется.

Скажите, а что наше законодательство говорит об использовании штампов (отметок) времени? Без опоры на законодательство - или на соглашение сторон - эти штампы не не будут служит надлежащим доказательством. Так что в корпоративной системе - можете пользоваться, а вне её, увы, нет.

Алексей Корепанов 21 июня 2011 г. 18:05  
В последнем законе об электронной подписи "квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа)..."
Считаю штамп времени вполне достоверной информацией о моменте подписания электронного документа. Хотя тут возможно придется пользоваться услугами компании, предоставляющей сервер штампов времени, чтобы можно было опереться на договор, в котором указать возможность использования указанного времени в качестве достоверной информации о моменте подписания.
Наталья Храмцовская 21 июня 2011 г. 18:22  

Алексей, вот Вы опять про своё личное мнение.... Вы бы лучше с юристом посоветовались, и он бы Вам объяснил, что Вы не можете использовать штампы времени в качестве доказательства во взаимоотношениях с другой стороной, если это прямо не предусмотрено законом, нормативным актом или соглашением. В последнем случае договариваться Вам нужно в первую очередь с контрагентами (например, в виде присоединения к соглашению об обмене электронными документами).

Алексей Корепанов 22 июня 2011 г. 09:04  

Вы предлагаете дождаться официальных комментариев или судебных решений, касающихся разъяснения фразы "наличие достоверной информации о моменте подписания электронного документа"?

Думаю стоит брать во внимание тот факт, что закон об электронной подписи по многим пунктам схож с аналогичным, действующим в ЕС. По стандарту ETSI штамп времени считается доказательством момента подписания документа.

Михаил Романов 22 июня 2011 г. 09:59  
Думаю стоит брать во внимание тот факт, что закон об электронной подписи по многим пунктам схож с аналогичным, действующим в ЕС. По стандарту ETSI штамп времени считается доказательством момента подписания документа.
Алексей, "схож" != "идентичен".
Более того, на сколько я помню, законодательство ЕС не накладывает на страны-участники обязательств автоматического принятия всех норм, принимаемых Европарламентом или иной организацией ЕС. А это значит, что даже в ЕС каждое государство имеет возможность принимать только нужные ему стандарты. Что уж говорить о России.
 
Более того, при использовании расширенной подписи существуют и чисто технические проблемы согласования стандарта (протокола) этой подписи. Если для обычной подписи таковым практически повсеместно является PKCS#7, то для расширенной - просто море вариантов: тот же PKCS, CAdES, PAdES (правда он только для PDF-документов, но зато ISO-стандарт), XAdES и еще наберется, я думаю.
Так что без технического стандарта или явного соглашения сторон все равно не обойтись.
Алексей Корепанов 22 июня 2011 г. 10:18  
Алексей, "схож" != "идентичен".
Согласен. Я и не говорил о безоговорочном принятии стандартов ЕС, а лишь говорил о большой вероятности их использования, или скорее адаптации.
 
Если для обычной подписи таковым практически повсеместно является PKCS#7
Так что без технического стандарта или явного соглашения сторон все равно не обойтись.
Вы противоречите самому себе. Насколько я знаю, сейчас нет стандарта электронной подписи. Почему Вы считаете, что для усовершенствованной ЭП он должен быть?
Михаил Романов 22 июня 2011 г. 11:18  
Вы противоречите самому себе

Отнюдь. PKCS стал стандартом де-факто. При том что в России (не знаю как в мире) стандарта на протокол обмена информацией об ЭЦП не было (был только стандарт на криптографический алгоритм).

В результате  практически любое ПО поддерживало PKCS и проблем интеграции практически не было (хот скорее всего, отсутсвие проблем интеграции было не следствием следованию стандарту, а следствием того, что когда начинался реальный обмен подписанной информацией, согласованию подлежало все - от протоколов и регламентов, до используемого ПО - так было с отправкой фин. отчетности, с клиент-банками, с провайдерами "защищенной почты" и т.д.).

Если же мы хотим обмениваться электорнными документами с произвольными контрагентами, мы должны быть уверены не только в юридической стороне вопроса, но и в технической. В случае отсутствия стандарта мы вынуждены будем все равно договариваться о технической стороне такого обмена. Чем это лучше текущего состояния?

Более того, подпись со штампом времени требует наличия независимого сервера штампов, т.е. третьей стороны. Это сторой может выступать государственный или частный, но акредитованный сервер. Кто может выступить в качестве такого на сегодняшний день?

Ну и последний момент - если нам всяко нужна третья сторона - чем это лучше, например, предложенного еще в прошлом обсуждении доверенного хранения у третьей стороны?

Алексей Корепанов 22 июня 2011 г. 13:21  
Отнюдь. PKCS стал стандартом де-факто. При том что в России (не знаю как в мире) стандарта на протокол обмена информацией об ЭЦП не было (был только стандарт на криптографический алгоритм).
Об этом я и говорю, стандарта формата электронной подписи сейчас нет, а Вы говорите, что он нужен обязательно для усовершенствованной подписи. Он не нужен, появится такой же стандарт де-факто, скорее всего основанный на стандарте, разработанном Крипто Про (практически тот же CAdES).
 
Более того, подпись со штампом времени требует наличия независимого сервера штампов, т.е. третьей стороны. Это сторой может выступать государственный или частный, но акредитованный сервер. Кто может выступить в качестве такого на сегодняшний день?
Сервер штампов времени входит в состав ПО УЦ, соответственно, поставщики "аккредитованного сервера штампов времени" есть уже сейчас.
 
Ну и последний момент - если нам всяко нужна третья сторона - чем это лучше, например, предложенного еще в прошлом обсуждении доверенного хранения у третьей стороны?
Цена вопроса.
 
Предлагаю вернуться к вопросу легитимности использования штампов времени в качестве доказательства момента подписания документа.
Михаил Романов 22 июня 2011 г. 13:41  
Он не нужен, появится такой же стандарт де-факто, скорее всего основанный на стандарте, разработанном Крипто Про (практически тот же CAdES).
Проблема какраз в том, что для PKCS альтернативы не было.
А для остальных - есть. И они используются (см. стандарты на PDF, ODF и Open XML).
 
поставщики "аккредитованного сервера штампов времени" есть уже сейчас

И каков их юридический статус? У нас даже понятия такого пока в законе нет.

Предлагаю вернуться к вопросу легитимности использования штампов времени в качестве доказательства момента подписания документа.

В этом вопросе я согласен с Наталией - они не легитимны.

Алексей Корепанов 22 июня 2011 г. 14:19  
Проблема какраз в том, что для PKCS альтернативы не было. А для остальных - есть. И они используются (см. стандарты на PDF, ODF и Open XML).
Можно привести примеры использования в России?
 
И каков их юридический статус? У нас даже понятия такого пока в законе нет.
Юридический статус получает удостоверяющий центр (УЦ), а сервер штампов времени - одна из программных единиц УЦ.
Михаил Романов 22 июня 2011 г. 14:30  
Можно привести примеры использования в России?
Чего? Форматов PDF и Open XML? 
 
Юридический статус получает удостоверяющий центр (УЦ)
Не могу сказать точно какими актами регулируется деятельность УЦ в России, но на сколько помню по состянию на несколько лет назад (когда я изучал вопрос) под УЦ всеми понимался только орган (организация) обеспечивающая выдачу и подтверждение подлинности сертификатов.
Т.е. в их обязанность входила удостоверение личности получавшего сертификат и ведение реестра выданных сертификатов.
Все. Ни о каких штампах времени речь и не шла.
Если с того момента что-то поменялось (т.е. появились нормативные акты, дополняющие функции УЦ) было бы замечательно увидеть ссылки на эти документы.
Алексей Корепанов 22 июня 2011 г. 14:46  
Чего? Форматов PDF и Open XML? 
Примеры использования форматов усовершенстованной подписи в России, кроме той, что используется Крипто Про.
 
Т.е. в их обязанность входила удостоверение личности получавшего сертификат и ведение реестра выданных сертификатов. Все. Ни о каких штампах времени речь и не шла. Если с того момента что-то поменялось (т.е. появились нормативные акты, дополняющие функции УЦ) было бы замечательно увидеть ссылки на эти документы.
Действительно, деятельность УЦ ограничена, упустил из вида.
Таким образом, усовершенствованную подпись можем использовать только в корпоративной информационной системе, под которой понимается в нашем законодательстве система, в которой работает ограниченное число лиц (физических или юридических).
Михаил Романов 22 июня 2011 г. 14:59  
Примеры использования форматов усовершенстованной подписи в России, кроме той, что используется Крипто Про
Не знаю ни одного даже с использованием Крипто Про. Скорее всего где-то внедрах предприятий (где стоит свой сервер штампов времени) это было, но для чего это использовалось - не имею ни малейшего представления (ибо во внутренней сети предприятия).
 
Кстати, тот же Крипто Про не так давно анонсировал поддержку Office 2007/2010, подробностей я не знаю, но логика подсказывает, что скорее всего это сделано через поддержку формата OpenXML, а там используется XAdES.
 
Таким образом, усовершенствованную подпись можем использовать только в корпоративной информационной системе
А тут вопрос - какой в ней смысл для предприятия? Имхо, только лишние расходы (на оборудование и ПО).
Алексей Корепанов 22 июня 2011 г. 16:01  
Не знаю ни одного даже с использованием Крипто Про.
Можно посмотреть на форуме Крипто Про, там есть примеры использования.
 
А тут вопрос - какой в ней смысл для предприятия? Имхо, только лишние расходы (на оборудование и ПО).
Складывается впечатление, что Вы невнимательно читаете комментарии. Если рассматривать обмен электронными документами между несколькими юридическими лицами, то вопрос необходимости усовершенствованной подписи просто не возникает.
Михаил Романов 22 июня 2011 г. 16:04  
Складывается впечатление, что Вы невнимательно читаете комментарии. Если рассматривать обмен электронными документами между несколькими юридическими лицами, то вопрос необходимости усовершенствованной подписи просто не возникает
Ну так я и говорю, что она не нужна.  я и говорю - я и говор
Михаил Романов 22 июня 2011 г. 16:09  
Прошу обосновать Ваш ответ
Если участники обмена заранее известны и они находятся в зависимости от общего центра (холдинг), то им проще заключить соглашение об использовании обычной ЭЦП (а то и вовсе без ЭЦП - например единой системы документооборота).
А в качестве дополнительного аргумента можно посмотреть на прайс-лист того же Крипто-Про. 
Алексей Корепанов 22 июня 2011 г. 16:18  
Если участники обмена заранее известны и они находятся в зависимости от общего центра (холдинг), то им проще заключить соглашение об использовании обычной ЭЦП (а то и вовсе без ЭЦП - например единой системы документооборота).
Системы обмена электронными документами существуют не только в рамках холдинга. 
Не всегда между участника существуют доверительные отношения.Возникают ситуации, когда момент подписания играет важную роль.
 
Данный аспект использования усовершенствованной электронной подписи не имеет ключевого значения при организации безбумажного обмена. Предлагаю обсудить другие вопросы.
Вадим Майшев 22 июня 2011 г. 21:04  
Не всегда между участника существуют доверительные отношения.Возникают ситуации, когда момент подписания играет важную роль.
Если Вы посмотрите закон об ЭЦП (и даже ЭП) и сопоставите с 9-летней практикой применения ЭЦП, то увидите, что ВСЕ применения ЭЦП относятся к Корпоративным информационным системам (КИС), а государство по сей день не сподобилось создать даже одной Информационной системы общего пользования.
Все вопросы, связанные с применением ЭЦП, в т.ч. фиксация времени создания ЭЦП в Системе, определяются Оператором/Организатором такой КИС. На самом деле сегодня Усовершенствованная ЭЦП а) применяется, б)включает в себя очень много различных компонентов, позволяющих в комплексе обеспечить "более долгосрочное" хранение, а не только собственно штампы времени. Оператор может применять и другие методы, которые он регламентирует в своей Системе (при этом также, как и при УЭЦП, не имея доступа к защищенным  данным), а участники КИС обязаны им следовать.
Не понимаю, о чем тут ломаются копья:
1. Копия (даже электронная) и подлинник - суть разные понятия.
2. Разрешены все ЭД, которые не запрещены.
3. Все зависит от технологии обработки ЭД и желаемого срока. Нет никаких технологических проблем! (кроме криптографической стойкости алгоритмов :-)).
4. 1) Хранить в актуальном на момент создания формате. 2) Обеспечить применением ЭЦП. 3) Миграцию - никак: хранить ПО или обеспечивать совместимость с предыдущими версиями ПО/форматов (при этом Word 2010 может не понимать ЭЦП Word 2003 - PKCS#7/CMS forever :-)). 4) Никак.
Алексей Корепанов 23 июня 2011 г. 08:59  

Если рассматривать КИС, то да, многие перечисленные вопросы неактуальны.

А как организовать систему, в которой могут проводиться разовые сделки? Осуществлять их на бумаге? Или все же создавать информационную систему общего пользования? Насколько реально на данный момент ее создание? Судя по всему, пока не появится пример такой системы, созданной гос структурой, она останется только в теории. 

Вадим Майшев 24 июня 2011 г. 13:33  
Или все же создавать информационную систему общего пользования? Насколько реально на данный момент ее создание?
С 2002 года не могут сделать, т.к. слишком много нюансов. Хотя, если бы были такие задачи - давно бы регламентировали.
Вы можете внятно описать цель, для чего Вам она (ИСОП) нужна (для которой не подходят существующие КИС)?
Алексей Корепанов 24 июня 2011 г. 14:30  

Например, для оптовых компаний. Много разовых сделок, а перевести в электронный вид документы хочется =) На текущий момент надо подписать соглашение, написать заявление о присоединении... В случае с ИСОП, подписываем документы и отправляем контрагенту. Все просто и удобно.

Елена Питомцева 24 июня 2011 г. 15:29  

 

Например, для оптовых компаний. Много разовых сделок,
Выход - электронные торговые площадки? 
Вадим Майшев 24 июня 2011 г. 15:50  
Выход - электронные торговые площадки? 
ЭТП - это тоже КИС!
Много разовых сделок, а перевести в электронный вид документы хочется =) На текущий момент надо подписать соглашение, написать заявление о присоединении...
Делайте это в рамках КИС (с другими ее участниками) или ждите ИСОП.
Сергей Бушмелев 30 июня 2011 г. 12:19  
4. 1) Хранить в актуальном на момент создания формате. 2) Обеспечить применением ЭЦП. 3) Миграцию - никак: хранить ПО или обеспечивать совместимость с предыдущими версиями ПО/форматов (при этом Word 2010 может не понимать ЭЦП Word 2003 - PKCS#7/CMS forever :-)). 4) Никак.
1. На мой взгляд, это более или менее справедливо  для небольших сроков хранения (5-10 лет). Если срок хранения > 20 лет, то можем столкнуться с тем, что:
- не найдем ПО, чтобы прочитать документ. Сможете сходу прочитать документ, созданный в "Лексиконе"? Так, чтобы со всем форматированием и т.п.? А если документ был создан еще на ЕС ЭВМ ;) Надуманная проблема? Кака сказать... См. мой блог Лунная пыль.
2. Как вариант. Есть утвержденный ЦБ регламент хранения документов опердня - согласно нему электронные документы записываются на однократно записываемые носители, и должен быть налажен строгий учет носителей.
3. Опять же зависит от сроков хранения. У Вас на комьютере есть дисковод? Хотя бы на 3.5", я не говорю уже про 5.25" или экзотику типа магнитной ленты? Если хранить на оригинальных носителях, придется поддерживать в рабочем состоянии хотя бы один комплект СВТ, чтобы потом прочитать носитель... Если к тому времени магнитный слой не осыпется...
4. Организационными мерами: комиссии, протоколы и т.п. Если все миграционные действия были произведены в соответствии с регламентом, и миграция подтверждена документально, то какие могут быть основания не доверять новым документам?
Андрей Подкин 30 июня 2011 г. 17:58  
- не найдем ПО, чтобы прочитать документ. Сможете сходу прочитать документ, созданный в "Лексиконе"? Так, чтобы со всем форматированием и т.п.?
Будем бить ответственного за тех. обеспечение. А то просто саботаж какой-то получается.
Например, я недавно настраивал в одной организации специальный компьютер с Windows Vista и учил не обновлять Internet Explorer. Если обновить его (или обновиться до Windows 7), то как раз все поломается.
 
У Вас на комьютере есть дисковод? Хотя бы на 3.5", я не говорю уже про 5.25" или экзотику типа магнитной ленты? Если хранить на оригинальных носителях, придется поддерживать в рабочем состоянии хотя бы один комплект СВТ, чтобы потом прочитать носитель... Если к тому времени магнитный слой не осыпется...
А это зачем? Вопрос в том, что не надо мигрировать на другие форматы файлов. А копий лучше сделать побольше. И некоторые поместить в несгораемые сейфы подальше друг от друга.
Вадим Майшев 30 июня 2011 г. 19:16  
1. На мой взгляд, это более или менее справедливо  для небольших сроков хранения (5-10 лет). Если срок хранения > 20 лет, то можем столкнуться с тем, что: - не найдем ПО, чтобы прочитать документ. Сможете сходу прочитать документ, созданный в "Лексиконе"? Так, чтобы со всем форматированием и т.п.? А если документ был создан еще на ЕС ЭВМ ;) Надуманная проблема? Кака сказать... См. мой блог Лунная пыль.
Хранить надо все: средства ЭЦП и сертификаты, и конечно средства отображения.
3. Опять же зависит от сроков хранения. У Вас на комьютере есть дисковод? Хотя бы на 3.5", я не говорю уже про 5.25" или экзотику типа магнитной ленты? Если хранить на оригинальных носителях, придется поддерживать в рабочем состоянии хотя бы один комплект СВТ, чтобы потом прочитать носитель... Если к тому времени магнитный слой не осыпется..
Это к делу не относится, т.к. это общий вопрос хранения данных. Не знаю ни одного человека, до сих пор ХРАНЯЩЕГО данные на дискетах (без резервирования).
4. Организационными мерами: комиссии, протоколы и т.п. Если все миграционные действия были произведены в соответствии с регламентом, и миграция подтверждена документально, то какие могут быть основания не доверять новым документам?
Для копий может быть.
Для подлинников - не могу это себе представить! В протокол запишем, что подписи верны? А чьи подписи будут на "мигрированных" документах?
Принцип проверки ЭЦП - здесь и сейчас (и каждый раз снова) проверка ЭД с помощью средства ЭЦП, при этом должны быть действительны сертификаты на момент проверки или формирования ЭЦП (при наличии доказательств) и соответствие указанным сведениям об отношениях.
Как это обеспечить при миграции? Протокол тоже будет "мигрировать" в будущем?
Давайте спросим у нотариуса - будет он свидетельствовать о подлинности документа на основании протокола миграции на протокол миграции на протокол миграции?
Алексей Корепанов 01 июля 2011 г. 08:44  
Будем бить ответственного за тех. обеспечение. А то просто саботаж какой-то получается.
Согласен с Алексеем, вопрос может решаться только организационными мерами.
 
Вообще говоря, обсуждение вопросов сохранения юридической значимости электронных документов длительного срока хранения (более 10 лет, т.е. когда возникает вопрос миграции) не имеет смысла до тех пор, пока на появится нормативный акт по архивному хранению электронных документов. Либо при миграции вновь подписывать документы ЭП тех лиц, чьи подписи были изначально. В этом случае могут возникнуть непреодолимые проблемы, поэтому остается только ждать.
Наталья Храмцовская 01 июля 2011 г. 09:52  
поэтому остается только ждать.

Что так трагично? В КИС можно делать очень многое - и очень желательно, чтоб организации именно так и поступали, чтобы сначала обкатать технологии, а уж потом закрепить их законодательно.
 
Миграция - это, по сути дела, создание заверенной копии первоначалього документа на правах оригинала. Самая первая миграция менее всего проблематична т.к. верность копии может заверить нотариус или иное уполномоченное лицо.
 
Со второй миграцией уже хуже, поскольку, по нашему законодательству, вообще говоря, не допускается снимать и заверять копии с копий (но в КИС опять-таки это возможно по соглашению сторон).
Сергей Бушмелев 01 июля 2011 г. 10:48  
Хранить надо все: средства ЭЦП и сертификаты, и конечно средства отображения.
Тогда по образному выражению Натальи, электронный архив превратится в музей вычислительной техники. Которую еще надо поддерживать в работоспособном состоянии. А если техника разная, а если это древние мейнфреймы. Не накладно будет?
В то же время есть и другие технологии, обеспечивающие неизменность контента во время хранения. Например, носители с однократной записью. Именно так банки хранят документы опердня согласно указаниям ЦБ. Еще есть CAS (Content Addressable Storage) устройства, те же HP RISS и EMC Centerra.
Наталья как-то в своих статьях упоминала про зарубежные архивы (если не путаю, то нидердандские), которые снимают ЭЦП перед помещением документа в систему.
 
Вообще, вопрос "юридической значимости" по большей части юридический, а не технический. Как скажет законодатель или договорятся стороны, так и будет. Например, я пользусь приложением "веб-клиентом банка". Для аутентификации используется пара логин/пароль, для подтверждения операций - однократный пароль (OTP, One Time Password), высылаемый на мобильный телефон или находящийся на специальной карточке. И никакой ЭЦП, хотя суммы операций могут быть чувствительные. Незаконно? Отнюдь. Просто мы так договрились. Поэтому, если стороны договорятся о процедуре миграции, то надлежащим образом мигрированные документы также будут юридически значимы.
Вадим Майшев 01 июля 2011 г. 11:24  
Со второй миграцией уже хуже, поскольку, по нашему законодательству, вообще говоря, не допускается снимать и заверять копии с копий (но в КИС опять-таки это возможно по соглашению сторон).
Конечно в Регламенте КИС можно написать, что Белое это Черное и наоборот! Но, насколько я понимаю, если договор (в т.ч. в КИС) противоречит закону, то суд "принимает решение" по закону. Т.е. оператор/участники КИС вправе доопределить только то, что не установил закон.
ЭЦП можно проверять и без миграции, "откатившись" на время подписания, конечно надо иметь информацию о статусе сертификата(ов) на этот момент времени (а это есть только в УЦ). Усовершенствованную ЭЦП (CAdES-X Long Type 1) гораздо проще проверить (без "отката"), но до момента, пока действительны по времени сертификаты УЦ и служб OCSP/TSP. Как они закончатся, нужно тоже "откатываться", но при этом в УЦ обращаться не нужно, т.к. все необходимое для проверки и все доказательства есть в УЭЦП.
Вадим Майшев 01 июля 2011 г. 11:52  
Тогда по образному выражению Натальи, электронный архив превратится в музей вычислительной техники.
На мой взгляд, Вы не чувствуете разницу между Данными и Носителями данных (и средствами их обработки). Вменяемые люди с пятидюймовок своевременно перенесли свои данные на трехдюймовки, потом на магнитооптику, потом на CD, DVD, BD, Flash, Интернет... (прогресс не остановить). Уверен, и Вы нужные лексиконовские файлы не храните на пятидюймовках.
Например, я пользусь приложением "веб-клиентом банка". Для аутентификации используется пара логин/пароль, для подтверждения операций - однократный пароль (OTP, One Time Password), высылаемый на мобильный телефон или находящийся на специальной карточке. И никакой ЭЦП, хотя суммы операций могут быть чувствительные. Незаконно?
Вы, вероятно, договорились в качестве аналога собственноручной подписи (АСП) использовать не ЭЦП, а другую технологию (комплекс технологий). Вы находитесь в рамках ГК, т.е. все законно.
Хотя, аутентификация+авторизация субъекта в платежной или иной системе это не подпись Документа, т.е. данный пример, строго говоря, не может относиться к Документам и к их "Миграции".
Вадим Майшев 01 июля 2011 г. 12:00  
...с пятидюймовок своевременно перенесли свои данные на трехдюймовки, потом на магнитооптику, потом на CD, DVD, BD, Flash, Интернет...
Сложнее, когда документ привязан к носителю. Конечно, с ленты/винила/СD и т.п. можно договорившись сделать "миграцию", например в MP3. Но не многие согласятся, что при этом "подлинность" сохранилась.
Сергей Бушмелев 01 июля 2011 г. 15:48  

 

На мой взгляд, Вы не чувствуете разницу между Данными и Носителями данных (и средствами их обработки).

Каждый раз, когда начинаю перечислять особенности хранения электронных документов в оригинальном формате, увлекаюсь носителями настолько, что забываю продолжить остальные "особенности" перечислять :)

Носители - это полдела. Для того, чтобы прочитать ЭД, нужно соответствующее приложение, работающее в соответствующей среде. Придется сохранять и носитель, и вычислительное устройство, и операционную систему, и прикладное ПО. Хорошо, если на современном оборудовании и ПО удастся сэмулировать среду и запустить приложение. А если нет? Перенесли Вы документ с пятидюймовки на трехдюймовку, а потом на флешку. А если этот документ был создан на ДВК или скакой-нибудь СМ ЭВМ? Согласен, что пример экстремальный, и широкое применение открытых мультиплатформенных форматов значительно смягчает эту проблему. Тем не менее, такая проблема может возникнуть.

Подписав документ ЭЦП, нам надо будет на время проверки иметь компьютер с установленным ПО для проверки подписи. За годы хранения могут измениться алгоритмы шифрования, стандарты, форматы. Если новое программное и аппаратное обеспечение не будет их поддерживать? Придется таки оставить компьютер с текущей версией Windows и, скажем, КриптоПро. И такую задачу придется решать каждому архиву.

Наталья Храмцовская 01 июля 2011 г. 16:37  

Вадим Майшев писал: в УЦ обращаться не нужно, т.к. все необходимое для проверки и все доказательства есть в УЭЦП.

1. Если какая-то сторона оспаривает подлинность УЭЦП, в УЦ обращаться все-таки придётся

2. Список отозванных сертификатов тоже в УЭЦП вкладывается? (знаю, что есть другие методы, но многие УЦ используют СОСы). А корневой сертификат УЦ тоже - и ему поверят?

Алексей Корепанов 01 июля 2011 г. 16:51  
2. Список отозванных сертификатов тоже в УЭЦП вкладывается? (знаю, что есть другие методы, но многие УЦ используют СОСы). А корневой сертификат УЦ тоже - и ему поверят?
Да, весь смысл УЭЦП - хранить все данные для сохранения возможности проверки подлинности подписи, а это время подписания и все сертификаты. Причем используется два штампа времени - для документа и для сертификатов.
Вадим Майшев 01 июля 2011 г. 17:19  
1. Если какая-то сторона оспаривает подлинность УЭЦП, в УЦ обращаться все-таки придётся
Разумеется. Я говорил про техническую возможность проверить самостоятельно.
2. Список отозванных сертификатов тоже в УЭЦП вкладывается? (знаю, что есть другие методы, но многие УЦ используют СОСы). А корневой сертификат УЦ тоже - и ему поверят?
CRL тоже могут вкладываться, но делается еще актуальнее - вкладываются ответы службы OCSP (RFC5126 в помощь).
Корневой сертификат УЦ - это краеугольный камень всей PKI, с него начинаются цепочки доверия/сертификации. Он доставляется по надежному каналу и только он устанавливается в соответствующее хранилище. Смысла наличия Корня в ЭЦП (любой) нет.
Вадим Майшев 01 июля 2011 г. 17:50  
Тем не менее, такая проблема может возникнуть.
may be
Придется таки оставить компьютер с текущей версией Windows и, скажем, КриптоПро.
повторюсь:
Хранить надо все: средства ЭЦП и сертификаты, и конечно средства отображения.
Средства отображения: это в равной степени относится и аппаратным, и программным средствам. Если вдруг в очередной момент времени Office N+1 не сможет работать на Windows N на IBM N, то придется IBM N, Windows N, Office N и даже КриптоПро N зафиксировать на складе.
Как ни банально, для этого придуманы стандарты, которые тоже меняются. Например, ГОСТ Р 34.10-94 "кончился", но для проверки подписи, созданной на нем, СКЗИ его поддерживают.
Вадим Майшев 01 июля 2011 г. 17:52  
Причем используется два штампа времени - для документа и для сертификатов.
Что имеете в виду под штампом времени для сертификатов?
Алексей Корепанов 01 июля 2011 г. 18:01  

Штамп времени, полученный на OCSP-ответ, сертификат OCSP-сервера и сертификат службы штампов времени (и еще сертификаты промежуточных УЦ при необходимости), что обеспечивает целостность и доказательство моментов создания всех элементов и атрибутов УЭЦП.

Вадим Майшев 01 июля 2011 г. 18:21  
Штамп времени, полученный на OCSP-ответ,...
Это штамп на доказательства подлинности (это не только сертификаты).
elena berkova 26 июня 2015 г. 22:37  

Добрый день. Подскажите, пожалуйста, есть ли разница в понятиях расширенная электронная подпись и усовершенствованная электронная подпись?

Елена Питомцева 29 июня 2015 г. 07:33  

Елена, понятия "расширенная электронная подпись" не встречала. Согласно Федеральному закону №63-ФЗ «Об электронной подписи», имеет место деление на:

  • простую электронную подпись;
  • усиленную неквалифицированную электронную подпись;
  • усиленную квалифицированную электронную подпись.

Чтобы разобраться с разницей рекомендую вам раздел "Просто об ЭП"

Вадим Майшев 29 июня 2015 г. 09:37  
elena berkova 26 июня 2015 22:37
есть ли разница в понятиях расширенная электронная подпись и усовершенствованная электронная подпись?

Вероятно, игра слов при переводе  "Advanced Electronic Signatures" (CAdES - ETSI TS 101 733 и RFC 5126, а также XAdES и PAdES). Подробнее про российские реализации 

 

 

Сейчас обсуждают
Больше комментариев