Журнал об электронном контенте, документах и бизнес-процессах
Учебники Просто о СЭД ЭП/ЭЦП Внешний документооборот Цифровая трансформация Эксперты

Последние комментарии :

Михаил Александров 05 декабря 2019 г. 15:15  
Михаил, разъясните, пожалуйста. Если срок сертификата ДТС  меньше срока действия УКЭП на документе и/или момента обращения за продлением, как должен выглядеть процесс удостоверения и перештамповки для долговременного хранения? Нужно запрашивать новую квитанцию с новым сертификатом? продлевать DVCS-квитанцию - более правильно точки зрения технологии  или это просто будет выгоднее с коммерческой стороны?

Если срок действия сертификата подписи квитанции истечёт раньше, чем срок сертификат самой УКЭП, в таком случае нет особой разницы - сформировать новую квитанцию или продлить старую. И процесс, скорее всего, будет единообразным: если мы уже получали DVCS квитанцию, в ДТС отправится её идентификационный номер, назад вернётся новая квитанция со старыми значениями ЭП.

Если же это первое обращение за квитанцией на комплект ЭД + ЭП, то ДТС сформирует и предоставит новую квитанцию, а у себя в реестре зафиксирует обращение.

В итоге - не думаю, что для ДТС такие виды операций будут как-то технологически различаться, и на ценовую политику это не повлияет.

Светлана Гржещук 05 декабря 2019 г. 11:18  
При необходимости длительного хранения, у ДТС можно запросить продление выданной им DVCS-квитанции на срок, не превышающий срок действия сертификата ключа проверки подписи сервиса ДТС.

Михаил, разъясните, пожалуйста. Если срок сертификата ДТС  меньше срока действия УКЭП на документе и/или момента обращения за продлением, как должен выглядеть процесс удостоверения и перештамповки для долговременного хранения? Нужно запрашивать новую квитанцию с новым сертификатом? продлевать DVCS-квитанцию - более правильно точки зрения технологии  или это просто будет выгоднее с коммерческой стороны?

В целом - спасибо за очередной ликбез и за старания изложить понятным языком) будет полезно, а главное доступно для многих не самых погруженных в тему ЭП.

Вадим Майшев 03 декабря 2019 г. 10:42  
Вадим, к каждой статье об электронных подписях вы высказываете критические замечания в комментариях. По всей видимости у вас сложилось собственное устоявшееся мнение по этой теме. Возможно вы бы хотели оформить все ваши соображения по проблемам применения ЭП в виде статьи, где бы собрали все плюсы и минусы использования каждого вида ЭП в той или иной ситуации? Было бы очень интересно почитать.

К счастью, не к каждой статье про ЭП, а только там, где невозможно согласиться с публикуемым мнением. Надеюсь, когда-нибудь это случится; действительно, очень интересно.

Мария Савельева 02 декабря 2019 г. 09:49  

Вадим, к каждой статье об электронных подписях вы высказываете критические замечания в комментариях. По всей видимости у вас сложилось собственное устоявшееся мнение по этой теме. Возможно вы бы хотели оформить все ваши соображения по проблемам применения ЭП в виде статьи, где бы собрали все плюсы и минусы использования каждого вида ЭП в той или иной ситуации? Было бы очень интересно почитать.

Вадим Майшев 29 ноября 2019 г. 11:28  
Один из первых операторов электронного документооборота, Synerdocs, признает, что при использовании ПЭП есть риск фальсификации подписи. Однако решение проблемы существует, уверены в компании. Нужно обеспечить идентификацию водителей.

Как идентификация водителей защитит от фальсификации простой ЭП? Простая ЭП по закону не обеспечивает защиту от модификации. Невозможно быть автором (хоть как вы его идентифицируйте) документа, который может быть бесконтрольно изменен в любой момент.

Светлана Гржещук 02 декабря 2019 г. 10:53  
Пострадают и пользователи – теперь подписывать документы от имени сотрудника компании придется с использованием двух КЭП – юридического и физического лица. 

При таких условиях интересно разобраться, будет ли все-таки  сохраняться срок действия текущих сертификатов и УКЭП,  если УЦ не пройдут или не подадут на аккредитацию? И будут ли они соответствовать новым правилам. Согласно действующей редакции закона в случае прекращения срока аккредитации УЦ квалифицированный сертификат, выданный аккредитованным удостоверяющим центром заявителю, прекращает свое действие.

Для поддержки двойного подписания придется перестроить свою работу и операторам ЭДО. 

интересно, планируется ли экспериментальный период и участие операторов эдо в пилотных испытаниях?

Артём Занин 21 ноября 2019 г. 13:56  

Спасибо за обзор! Очень спорные изменения получились, к которым возникает множество вопросов. Как при двойной подписи будет проверяться связь между юридическим лицом и физическим лицом, подписавшим документ? Индивидуальным предпринимателям также необходимо будет подписывать документы двумя КЭП? Надеюсь, всё-таки критика и предложения бизнеса ко второму чтению будут учтены.
 

Александр Валеев 21 ноября 2019 г. 12:02  
Есть ли у вас информация о том, какое количество удостоверяющих центров функционирует у нас в стране и о каком объеме рынка услуг мы говорим?

Айрат, по данным Минкомсвязь РФ, аккредитация действительна у четырехсот удостоверяющих центров. Большинство из них коммерческие. Об объеме рынка не располагаю информацией

Айрат Сибгатуллин 21 ноября 2019 г. 07:22  

Александр, интересный обзор получился, спасибо. Что-то мне подсказывает, что описанные изменения в законе будут приняты и в ближайшее время мы увидим перераспределение рынка. Как вы правильно отметили, останутся крупные "игроки", а более мелкие будут поглощены/объединены или уйдут с рынка. Есть ли у вас информация о том, какое количество удостоверяющих центров функционирует у нас в стране и о каком объеме рынка услуг мы говорим?

Василий Лукин 27 ноября 2019 г. 14:23  

На мой взгляд под под "документированной сферой деятельности" организации разработчики профстандарта понимают "регламентированность" бизнес процессов, которые предстоит цифровизировать. То есть "документированная сфера деятельности" это не что-то статичное, а динамично развивающееся, и одной из задач специалиста по цифровой трансформации как раз-таки станет максимальное расширение данной сферы за счет выявления и документирования всех бизнес процессов организации.

Артём Занин 21 ноября 2019 г. 12:34  

Очень сложный и непонятный профстандарт получился, трудовые действия - смесь функций системного администратора, делопроизводителя и аналитика. Разработчик вводит такие должности, как "Специалист технологического сопровождения цифровой трансформации документированных сфер деятельности организации", "Эксперт по системам управления документированных сфер деятельности организации". Интересно, кто и каким образом будет его использовать, на первый взгляд непонятно как его применять в организации. Такое ощущение, что документ создавался только для исполнения госпроекта по Цифровой трансформации госуправления.

Вадим Майшев 27 ноября 2019 г. 14:02  
Будет применяться схема связки ERP-систем и коннекторов, которые будут передавать информацию о работнике в Пенсионный фонд России.

Под какие уровни защищенности персональных данных должны быть аттестованы информационные системы и коннекторы работодателей? Как подключить "коннекторы" к ПФР?

Вадим Майшев 27 ноября 2019 г. 12:24  
На текущий момент это наше видение оптимального подхода («золотая середина» между безопасностью и экономической эффективностью),

Странно слышать про какую-то безопасность в контексте ПРОСТОЙ ЭП...

должно применяться не самописное и недоверенного ПО, а средства, разработанные сертифицированным разработчиком, по доп. требовании, средства, прошедшие процедуру подтверждения соответствия требованиям к безопасности.

Про TSP (RFC-3161) в контексте усиленной (криптографической) подписи все известно. Вопрос был про простую (некриптографическую) подпись.

при хранении, логи системы можно подписывать службой меток доверенного времени или распределять их хранение на разные узлы, минимизируя риски намеренного изменения логов

:-) LIMS Московской антидопинговой лаборатории: СК РФ vs WADA...

В случае с ПЭП, нет законодательного запрета на применение криптографии.

63-ФЗ четко относит криптографические преобразования при подписании в категорию усиленных (т.е. криптографических) подписей, для которых установлен отдельный порядок!

А проверка определённости лица и есть аутентификация, т.е. проверка подлинности той или иной информации. И надёжнее применять математически доказанные методы проверки.

В том то и дело, что аутентификация производится математически доказанными криптографическими методами, а их нет в простой ЭП.

Для отработки таких возражений, перед формированием ПЭП документ заверяется УКЭП Работодателя.

И как это опровергает заявление Пользователя "все документы с ПЭП подделаны"?

Чтобы не быть голословным, разложим 63-ФЗ по определениям:

И что же в соответствии с этими определениями является простой ЭП? Как проверить ее действительность?

Михаил Александров 26 ноября 2019 г. 19:15  
Как мы говорили, для работников будет достаточно ПЭП, для работодателя — усиленной квалифицированной электронной подписи (УКЭП). Откуда это следует?

На текущий момент это наше видение оптимального подхода («золотая середина» между безопасностью и экономической эффективностью), сформированное на анализе текущего законодательства (ФЗ-63, ТК) и участия наших экспертов в рабочих группах по государственным инициативам в части цифровизации экономики и ДО.

Достоверность времени обеспечивает сертификация средств, а также локальные нормативные акты компании, в которых будет дано определение «доверенному времени». Сертификация каких средств имеется в виду? Часовой станции? Как нормативный документ обеспечит доверенное время?

Тут коллеги имели ввиду, что должно применяться не самописное и недоверенного ПО, а средства, разработанные сертифицированным разработчиком, по доп. требовании, средства, прошедшие процедуру подтверждения соответствия требованиям к безопасности.

Касательно нормативки – в ней можно закрепить время какой службы меток времени считать доверенным между участниками соглашения, если такая служба не имеет соответствующей аккредитации и применяется исключительно для собственных нужд.

 

В истории работы с документом фиксируются все действия: когда работник получил уведомление, просматривал документы, что с ними делал. Это все хранится в логах системы, а при проведении проверки эти данные передаются на техническую экспертизу. Какой эксперт возьмет на себя ответственность заявить в суде, что в логах (ведущихся работодателем) ничего не модифицировалось?

Если речь идёт о чувствительной информации, искажение которой несёт определённые риски, то обеспечение и проверка целостности таких данных – отдельный вопрос. К примеру, при хранении, логи системы можно подписывать службой меток доверенного времени или распределять их хранение на разные узлы, минимизируя риски намеренного изменения логов. В противном случае работник вправе вовсе отказаться от электронного взаимодействия или дополнительно запрашивать выгрузку подписанных документов на свои носители.

 

Можно применять только логин и пароль, можно использовать двухфакторную аутентификацию с помощью смс. Где-то применяется ПЭП с использованием криптографии. Что такое электронная подпись определил 63-ФЗ. Аутентификация и криптография никак не относятся к ПРОСТОЙ ЭП.

Чтобы не быть голословным, разложим 63-ФЗ по определениям:

Ст. 2 п.1 электронная подпись - информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию;

Ст.5 п. 2 Простой электронной подписью является электронная подпись, которая посредством использования кодов, паролей или иных средств подтверждает факт формирования электронной подписи определенным лицом.

Ст.5 п.3 3. Неквалифицированной электронной подписью является электронная подпись, которая:

·         получена в результате криптографического преобразования информации с использованием ключа электронной подписи;

·         позволяет определить лицо, подписавшее электронный документ;

·         позволяет обнаружить факт внесения изменений в электронный документ после момента его подписания;

·         создается с использованием средств электронной подписи.

*Такая ЭП должна соответствовать всем этим критериям, а не случайному их набору.

В случае с ПЭП, нет законодательного запрета на применение криптографии. Основная задача ПЭП – подтвердить формирование какой-то уникальной информации определённым лицом. А проверка определённости лица и есть аутентификация, т.е. проверка подлинности той или иной информации.

И надёжнее применять математически доказанные методы проверки.

 

Пользователь может заявить, что все документы с ПЭП подделаны. Как это опровергнуть?

Для отработки таких возражений, перед формированием ПЭП документ заверяется УКЭП Работодателя. И только после того, как документ «заморожен», его отправляют на ознакомление. Работник может выгрузить документ с ЭП и проверить как действительность ЭП на документе, так и целостность этого документа.

Вадим Майшев 25 ноября 2019 г. 18:56  
Как мы говорили, для работников будет достаточно ПЭП, для работодателя — усиленной квалифицированной электронной подписи (УКЭП).

Откуда это следует?

Достоверность времени обеспечивает сертификация средств, а также локальные нормативные акты компании, в которых будет дано определение «доверенному времени».

Сертификация каких средств имеется в виду? Часовой станции? Как нормативный документ обеспечит доверенное время?

В истории работы с документом фиксируются все действия: когда работник получил уведомление, просматривал документы, что с ними делал. Это все хранится в логах системы, а при проведении проверки эти данные передаются на техническую экспертизу.

Какой эксперт возьмет на себя ответственность заявить в суде, что в логах (ведущихся работодателем) ничего не модифицировалось?

Можно применять только логин и пароль, можно использовать двухфакторную аутентификацию с помощью смс. Где-то применяется ПЭП с использованием криптографии.

Что такое электронная подпись определил 63-ФЗ. Аутентификация и криптография никак не относятся к ПРОСТОЙ ЭП.

ПЭП не нужно перевыпускать? Разве она выдается не на 1 год?

ПЭП это подпись документа, она формируется в процессе подписания (хотя аутентификацию/авторизацию в ИС с помощью логина/пароля невозможно считать подписанием документа в ИС). ПЭП не выдается, "выдаются" ключи.

Также требуется провести проверку, чтобы выяснить, когда была скомпрометирована ПЭП, какие действия совершались из этой учетной записи с момента компрометации, какие документы были подписаны. При обнаружении пула документов, подписанных скомпрометированной ПЭП, то лучше переподписать документы перевыпущенной подписью.

Пользователь может заявить, что все документы с ПЭП подделаны. Как это опровергнуть?

Наталья Демина 22 ноября 2019 г. 09:29  

Еще один вариант вовлечения неавтоматизированных сотрудников - это работа через почтовый клиент. Если нужно организовать относительно простые процессы ознакомления с документами, согласования документов или исполнения поручений - почтовый клиент может быть более удобен в плане адаптации и внедрения.

Более того, некоторые вендоры позиционируют почтовый клиент в качестве мобильного клиента.

Но при выборе инструмента мобильной работы необходимо отталикиваться от потребностей и задач, от ролей и функций автоматизируемых сотрудников. Мобильные решения сами по себе должны быть простыми и понятными, а это напрямую зависит от специфики работы сотрудников.

Мария Калабина 11 ноября 2019 г. 10:05  

Спасибо автору за материал, однако в статье не отражена специфика некоторых организаций, так например, необходимы заявления  о поступлении на гражданскую службу ( ФЗ от 27.07.2004 № 79 «О государственной гражданской службе РФ»,  или заявление о поступлении на муниципальную службу (ФЗ от 02.03.2007 №25 «О муниципальной службе в РФ»). Все это государственные учреждения. Также стоить отметить ,что есть крупные организации, в уставном капитале которых доля государства превышает 50%, они также работают по принципу государственных организаций и сталкиваются с бюрократизацией трудовых отношений.

Но соглашусь с автором,необходимо изменять законодательство и двигателем в этом процессе должны выступать организации. 

Мария Калабина 11 ноября 2019 г. 09:25  

Можно также добавить, что  если компания отказывается от внедрения систем с ИИ, она теряет и основные принципы существования современной организации, а это в первую очередь адаптивность к изменениям среды организации,  и потеря творческого развития персонала, ведь при автоматизации рутинных процессов мы стремимся избавить человека от рутинной работы, позволить работникам совершенствоваться и развивать компанию.

В любом случае сопротивление при внедрении систем с ИИ вполне объяснимо со стороны работников, но тут руководству компании нужно донести как правильно сказал автор: " ...это всего лишь инструмент. Работник принимает данные на вход, обрабатывает их по определенным правилам и выдает результат". Здесь нужно подумать об усовершенствовании обязанностей самого работника, чтобы использовать высвободившееся время работника с пользой, например, направить трудовые ресурсы на развитие той же системы или развить компетенции работника в других смежных отраслях.

мария Калабина 11 ноября 2019 г. 08:54  

Не согласна с Дмитрием, быстрее воспользоваться ИИ с автоматической обработкой данных для любого пользователя, особенно если речь идет  о молодом населении. Проблема основная в том,что несмотря на федеральные законы и указы государственные органы до сих пор не готовы к переходу работы с ИИ. В организациях используется бумага, и если у одних органов власти есть положительный опыт работы с ИИ(Правительство Удмуртской Республики, например), то другие только-только начинают изучать эту тему. Также кадровая проблема в органах государственной власти влияет на информатизацию организаций, основной вектор развития это целеустремленная молодежь,сейчас же люди не стремятся работать в данной сфере ввиду малой заработной платы. 

 Я считаю, здесь необходимо продолжать вести более активную политику продвижения оказания услуг и работы с обращениями с использованием ИИ, говорить о новшествах, о положительном опыте использования ИИ. Нужно продолжать информировать и население об использовании электронных услуг, в том числе и старшее поколение, тогда сегодняшняя цифра в 35% электронных обращений от общего числа будет расти быстрее.