Журнал об электронном контенте, документах и бизнес-процессах
Учебники Просто о СЭД ЭП/ЭЦП Внешний документооборот Цифровая трансформация Эксперты

Последние комментарии :

Вадим Майшев 06 июля 2020 г. 15:58  
Доступ к контейнеру защищен PIN-кодом или одноразовым паролем, направляемым пользователю по SMS при осуществлении операции подписания.

Технология сложнее и совмещает сервисы хранения криптоключей, подписи и интеграции с системой ЭДО. Конфиденциальность документов в этом случае обеспечить весьма сложно.

Как считаете, насколько снижает риск компрометации ключа использование сервисов облачного подписания?

Надо исходить из особенностей компрометации в случае хранения "у себя в сейфе" и "не у себя в сейфе".

Насколько можно считать данный способ надёжным? 

Тут каждый решает для себя сам. Кто-то не рассчитывает на себя и платит за +удобство/-безопасность, теряя при этом 100% контроль; кто-то привык доверять только себе. Это как со счетом в банке: не надо думать о сохранности денег, но надо переживать о том, не сообщит ли допущенный сотрудник о ваших сбережениях "кому не следует", не "лопнет ли банк", не спишет ли деньги за оплату "подключенных услуг", будет ли в нужный момент работать банкомат/интернет-банк, и т.д.  А размещать секрет, требуемый для взаимодействия с контрагентом, на стороне этого контрагента скорее удобно (для контрагента), чем безопасно.

Николай Комлев 29 июня 2020 г. 22:35  

Спасибо за статью!

Вопрос авторам, а также Вадиму Майшеву:

Одним из способов защиты закрытых ключей от компрометации является так называемое "облачное подписание". Например, решение КриптоПро DSS. Решение предполагает централизованное хранение закрытых ключей в специальных контейнерах. Доступ к контейнеру защищен PIN-кодом или одноразовым паролем, направляемым пользователю по SMS при осуществлении операции подписания. 

Как считаете, насколько снижает риск компрометации ключа использование сервисов облачного подписания? Если не ошибаюсь, по такому же принципу осуществляется хранение ключа ЭП на сервере ФНС (один из способов) для пользователей сайта nalog.ru. Насколько можно считать данный способ надёжным? 

Вадим Майшев 15 июня 2020 г. 09:55  

Все описанные в открытых источниках «проблемы с подписью» касаются двух направлений: 1) несоблюдения требований идентификации заявителя и подделки заявительных документов и 2) передачи носителей криптоключей и нарушения безопасности ПК. Взлома криптосредств и подделки ЭЦП не зафиксировано, технология очень надежна.
Рецепт такой:
1. Обеспечьте безопасность своих персональных данных. Никому не давайте делать копии паспорта, свидетельств с ИНН и СНИЛС, никогда не пересылайте скан-копии документов по незащищенным каналам связи (если копии оставлять требуется по закону, то помечайте их - кому и для чего сделаны). Ни при каких обстоятельствах не фотографируйтесь с паспортом, не оставляйте биометрические характеристики, не используйте биометрические методы удаленной идентификации (украденные пароль и паспорт можно поменять, лицо – нет, а биометрия хороша только в локальных системах/устройствах и только в качестве дополнительного фактора).
2. Обращайтесь и передавайте документы в УЦ лично. 
3. Формируйте криптоключи лично и только на специализированные носители (с PIN, защитой от копирования), никому не передавайте носители.
4. Соблюдайте установленные требования по обращению с криптосредствами (храните носители в надежных местах, не копируйте криптоключи, обеспечьте защиту ПК от НСД).

Вадим Майшев 06 июля 2020 г. 15:37  
теперь термин «метки времени» появился в новой редакции 63-ФЗ, который говорит, что они являются доказательством подписания.

Пока не появился, планируется позже.

Доказательством подписания документа в указанную дату являются метки времени (они же штампы времени), построенные на технологии CAdES (CAdES-T, CAdES-XL и CAdES-А).

Сегодня это штампы времени по RFC3161 или подтверждения оператора ЭДО. CAdES/XAdES/PAdES более сложная, но при этом более "доказательная" технология (включающая в себя TSP и OCSP) - усовершенствованная подпись. Что будет "в установленном уполномоченным федеральным органом порядке" увидим тоже позже.

Александр Палагин 02 июля 2020 г. 11:47  

Наталия, согласен с Вашими замечаниями.

С одной стороны, избыточная детализация процесса съест много времени на подготовку. Но, с другой стороны, именно глубокое погружение в процесс (список участников, взаимодействия, артефакты) покажет другие уязвимости. 

В таком подходе необходимо соблюсти баланс между точность результата и скоростью его получения. В угоду быстроте усреднять оценки действительно придется.

Наталия Бендерская 30 июня 2020 г. 20:35  

Александр, спасибо за статью!
Эффект от внедрения очень доступно представлен в  виде паспорта задачи. 
Если хочется рассчитать эффект, максимально приближенный к реальности, придётся учесть некоторые нюансы в проработке этого паспорта: 

  1. Сколько времени тратит сотрудник на задачу? Навык оттачивается со временем, одну операцию могут выполнять сотрудники разных "уровней". Кто-то работает 5 лет, его навык доведён до автоматизма, соответственно на работу уходит меньше времени в отличие от новичка, который работает в разы медленнее. 
  2. Регулярность задачи. Договорная работа - процесс трудно поддающийся измерению во времени. Количество заключаемых сделок меняется из года в год. В таких процессах возможно имеет смысл брать статистику, использовать средние показатели.
  3. Внутренняя ставка на 1 чел./час. Сотрудники, выполняющие одну и ту же работу, могут получать разную зарплату. Так бывает в компаниях, в которых зарплата является коммерческой тайной. Для большей конкретики - можно провести расчеты по каждому отдельно взятому сотруднику или же взять некое усреднённое значение
     
Айрат Сибгатуллин 30 июня 2020 г. 12:41  

Интересная тема затронута. Если говорить про документы валютного контроля, то между российской и иностранной организацией появляется организация-посредник в виде банка, в котором открыт счет организации для проведения расчетов с иностранным контрагентом. Особенность валютного контроля здесь сводится к жесткому регулированию подтверждающих документов и сроков их предоставления в банк. За нарушения организация платит штрафы и иногда немалые. Помнится мне случаи, когда финансисты сломя голову оформляли паспорта сделок и декларации в банк, чтобы их избежать. И тут видится помощь интеллектуальных инструментов как нельзя кстати. А вот полноценный прямой электронный обмен с иностранцами мы скорее всего еще долго не увидим.

Ярослав Богданов 30 июня 2020 г. 09:05  

Бывают ситуации, когда сотрудники сами исправляют опечатки подручными средствами.
Так, юрист одной из крупных компаний, при получении от контрагентов договоров с опечатками, исправляла их, например, ручкой или другими способами. Объясняла она это тем, что нет желания запрашивать исправленную версию договора от контрагента, ведь почта будет доставлять его через всю Россию еще 2-3 недели, или руководитель ждет договор на подпись, и будет неправильно заставлять его ждать. При этом, участвующие в согласовании таких договоров бухгалтеры и другие сотрудники, спокойно закрывают глаза на такие ошибки. Приходится объяснять юристам о возможных юридических последствиях их действий. Поэтому страшны не только опечатки в документах, но еще и отношение сотрудников к ним.

Айрат Сибгатуллин 29 июня 2020 г. 16:15  

Несмотря на то, что пока не все кадровые документы можно перевести полностью в электронный вид, можно уверенно говорить о том, что львиную долю бумажной волокиты можно сокращать уже сейчас. Взяв только ознакомление с ЛНА и командировки, мы уже получаем огромный пласт работ, который можно увести в "цифру". И здесь отказ от бумаги уже не самоцель: на первое место выходит ускорение внутренних процессов (и, как следствие, удешевление). Спасибо за обзор, было интересно.

Наталья Демина 29 июня 2020 г. 16:10  

Елена, спасибо за полезную статью. Действительно, наставничество позволяет максимально быстро и эффективно погрузить новичка в технологии и практику, а также, что немаловажно, социализировать его в новом коллективе.

Появилось два вопроса:

1) для самих наставников предусмотрено ли какое-то обучение или то же менторство более опытными сотрудниками, руководителями? Как-то отрабатываются ситуации с наставником, когда новичок не вышел на аттестацию или аттестовался неуспешно и ушел? Что, кроме описанных "плюшек", стимулирует в сотрудниках желание быть наставником?

2) по поводу удаленного обучения: какие подходы при взаимодействии новичка и наставника применяются на удаленке? Ежедневные созвоны? Видеоконференции с командой?

Спасибо!

Елена Грозова 28 июня 2020 г. 22:08  

Инициатива хорошая, но у нас, как всегда, законы пишутся таким языком, что простому работодателю не разобраться. Четкие и понятные методические рекомендации с примерами документов, алгоритмами взаимодействия отсутствуют. На мой взгляд, это и является основным стоп-фактором для перехода (тем более вопрос касается документов длительного срока хранения).

Ирина Леонтьева 26 июня 2020 г. 07:30  
Работодатель сам определяет перечень документов, которые будет вести в электронном виде.

На время эксперимента документы будут вестись только в электронном виде или будет дублирование в бумажном? Если только в электронном, как работодатель должен обеспечить сохранность информации, помимо использования специализированных ИС? Есть ли какие-то критерии/показатели успешности эксперимента, как они будут влиять на законодательство? 

Вадим Майшев 01 июня 2020 г. 16:50  
Хорошо было бы иметь единую систему для всех работодателей страны, но опять же столь огромный сборник данных обо всех, по сути, работающих гражданах, выглядит, по меньшей мере, сомнительно, хоть и способно решить большую часть организационных и технических вопросов.

У всех работодателей есть свои системы. У работников нет систем и не может их быть. Сегодня нет масштабных защищенных информационных систем, кроме систем электронной отчетности в сегменте B2G - ни B, ни G, ни С не будут вкладываться в создание защищенных систем работник-работодатель. Существующие "единые системы" решают только задачи G по контролю за B и C, а защищены они ограниченно и весьма условно.

Татьяна Жигалова 26 июня 2020 г. 17:22  
Из НК ясно, что это средство доступно лишь крупному бизнесу, едва ли больше 1-2 тысяч компании России смогут похвастаться объемом доходов 3+ млрд.руб. А есть ли инструменты эффективного и быстрого/легкого/дистанционного контроля за налогоисчислением всех прочих компаний в России? Может быть у Вас есть статистика, какую долю налогов в бюджет приносят те, кто не подпадает под критерии «пригодности» для налогового мониторинга?

Сейчас налоговый орган еще сам "учится" работать с новой формой контроля. Поэтому выставлены такие высокие критерии к участникам. Но в планах у представителей ФНС РФ - снижение данных критериев. Более подробно об этом можно почитать в интервью с начальником управления налогового мониторинга М.А. Крашенинниковой.

Что касается данных инструментов для прочих компаний, то здесь компаниям доступны только консультации на горячую линию ФНС РФ и письменные разъяснения через сайт налогового органа.

По статистике не скажу, специально такую информацию не искала.

 

Андрей Николаев 25 июня 2020 г. 09:50  

Татьяна, как известно, налоговый мониторинг  - это средство контроля правильности исчисления, полноты и своевременности уплаты налогов, сборов, страховых взносов.

Из НК ясно, что это средство доступно лишь крупному бизнесу, едва ли больше 1-2 тысяч компании России смогут похвастаться объемом доходов 3+ млрд.руб.

А есть ли инструменты эффективного и быстрого/легкого/дистанционного контроля за налогоисчислением всех прочих компаний в России?

Может быть у Вас есть статистика, какую долю налогов в бюджет приносят те, кто не подпадает под критерии «пригодности» для налогового мониторинга?

Татьяна Жигалова 23 июня 2020 г. 11:20  
Систему вроде единую планировали делать: Маркировки и прослеживаемости товаров. Т.е. мы произведенный товар маркируем, а затем все его движение отслеживаем от производителя/импортера до конечного покупателя. Так?

Оператор системы один https://crpt.ru/, но процессы разные. И в том, и в другом случае отслеживаем товар. Только в случае с маркировкой поштучно, а с прослеживаемостью - партию товара. 

Татьяна Жигалова 23 июня 2020 г. 11:15  
Не понятно, чем по сути отличается маркировка от прослеживаемости товаров? Особенно на приведенных примерах. Значит каждую пару обуви отслеживаем отдельно, а стиралки партией? Но даже если товар партией привезли, то реализовывать все равно будут поштучно...

Да, все верно. При маркировке товар отслеживается поштучно. Заносится в систему и при перепродаже переходит в собственность от одного владельца другому до момента конечной продажи на кассе или другом событии (например, выбытие товара в связи с использованием для нужд предприятия). Процесс непростой, в одной статье не объяснишь. 

Что касается прослеживаемости, отслеживается вся партия товара. При этом в отчетной декларации НДС указывается номер партии проданного товара, таким образом складывается вся цепочка. В дальнейшем планируется отслеживание с помощью универсального передаточного документа, в котором будет столбец для указания номера партии товара по каждой позиции. При этом, как заявляют представители ФНС, товары по маркировке и по прослеживаемости пересекаться не будут (то есть это разные виды товаров). Более подробно о прослеживаемости в своей статье расскажет Губаева Рушана.

Елена Истомина 23 июня 2020 г. 08:38  

Не понятно, чем по сути отличается маркировка от прослеживаемости товаров? Особенно на приведенных примерах. Значит каждую пару обуви отслеживаем отдельно, а стиралки партией? Но даже если товар партией привезли, то реализовывать все равно будут поштучно...

Систему вроде единую планировали делать: Маркировки и прослеживаемости товаров. Т.е. мы произведенный товар маркируем, а затем все его движение отслеживаем от производителя/импортера до конечного покупателя. Так?

Ксения Иванова 04 июня 2020 г. 16:55  

Абсолютно согласна с тем, что создание долговременного архива - сложный проект, требующий проработки множества вопросов. Хотелось бы дополнительно заострить внимание на 2х моментах:

Документы на долговременное хранение передаются в едином формате, при этом вместе с ними нужно направлять и его метаданные, в том числе и электронную подпись.

Важно понимать, что систем-источников может быть много и форматы хранения документов/данных в этих системах различаются. При этом в долговременном архиве, как в единой системе хранения, формат должен быть единым для всех документов. Часто заказчики просят, чтобы к единому формату документы приводились уже будучи в системе хранения - системы-источники отправляют документы как есть, а система ДА принимает их и конвертирует в свой формат. Но это не задача системы хранения. Система ДА должна проверить состав и целостность документа при приеме, поставить штамп времени и "положить" на хранение. Если мы мы будем требовать от системы ДА конвертацию документов, тогда априори документ изменится и мы никак не сможем в будущем подтвердить его неизменность при хранении (а как мы помним, одна из задач долговременного архива - это обеспечение сохранности (целостности и неизменности) документов на протяжении всего срока хранения). Поэтому важно понимать, что при планировании создания долговременного хранения потребуются доработки также и систем-источников.

И второй момент больше организационный. Как уже говорилось в статье, необходимо проработать вопрос по определению документов в дела в системе ДА. Т.к. не каждая система-источник "знает" о номенклатуре дел, соответственно, не у каждого поступающего на хранение документ будет информация о его принадлежности к делу. Но также довольно тяжело настроить правила автоматического определения документов в дела, поскольку все критерии и нюансы для каждого документа вычленить достаточно сложно, и бывают ситуации, когда дела в принципе нет. В этом случае может помочь создание промежуточного "контура хранения" перед помещением документов на временное и долговременное хранение, куда бы поступали документы, требующие определения в дело, либо подтверждения отнесения в дело (если есть какие-то некритичные несоответствия при автоматическом определении по правилам). Но тогда дополнительно потребуется ответственный сотрудник/сотрудники, кто бы занимался распределением/подтверждением отнесения документов в дела.

Светлана Гржещук 01 июня 2020 г. 11:55  
Стоит ли при организации архива длительного хранения разрывать эту связь с объектами учетной системы?

Михаил, заинтересовал ваш вопрос, попробую высказать несколько предположений. Интересно и пока не совсем понятно, насколько более удобный поиск в учетной системе (складывается впечатление из данного комментария, что гораздо более вариативный с учетом "дополнительных возможностей"), а может оказаться, что это только привычки и мнение пользователей? Ведь скорее всего, состав реквизитов карточек архива спроектирован так ,что достаточен, чтобы закрывать основные задачи поиска. Может вам подойдет некое оптимальное по трудоемкости решение. Например, выделить топ ключевых кейсов поиска и набор дополнительных реквизитов для переноса, которых (возможно) не достает в архиве, чтобы закрыть самые важные потребности.

Еще если посмотреть с точки зрения предполагаемых процессов над документами в архиве: документы подлежат уничтожению по сроку хранения (для которых он ограничен), синхронизированы ли права доступа, возможно есть процессы по изменению прав на документы при переносе на хранение в архив, или, к примеру, процессы установки/снятия грифов доступа по времени и т.п. На какой стороне выполняются эти процессы и как синхронизируются, насколько может отразиться на качестве и результативности поиска в итоге? Не возникнет ли ситуаций в будущем, когда поиски придется дублировать.

.