Наверх

Доверенная среда хранения, доверенная третья сторона, метки доверенного времени. Использование для юридически значимого архивного хранения

Время чтения: 7 минут
3
Доверенная среда хранения, доверенная третья сторона, метки доверенного времени. Использование для юридически значимого архивного хранения

Рассмотрим инструменты, которые можно будет использовать для сохранения юридической значимости электронных архивных документов в ближайшее время.

Михаил Александров, аналитик DIRECTUM

При оценке целесообразности перехода на электронный документооборот обязательно возникает вопрос организации архивного хранения документов. Особенно это актуально для кадрового делопроизводства, где некоторые документы нужно хранить по 50 и более лет. Помимо облегчения оперативной информационной системы, архив обеспечивает доступ к электронным документам на протяжении всего срока их хранения: они могут потребоваться как самому владельцу, так и регуляторам или сторонним организациям.

При хранении по нескольку десятков лет могут устаревать форматы и нарушаться целостность документов, равно как и сроки действия сертификатов электронной подписи (ЭП). Однако существуют способы организовать электронный архив так, чтобы избежать этих проблем.

●   Воспроизводимость документа обеспечивается конвертацией в новый формат;

●   Целостность и юридическая значимость могут быть закрыты механизмами ЭП;

●   Доступность данных – задача как прикладной логики системы, так и политик системного администрирования.

В этой статье подробнее рассмотрим, какие инструменты можно будет использовать для сохранения юридической значимости электронных архивных документов в ближайшее время.

Three Yellow, Orange, and Black Toy Sticks

Доверенная среда хранения

На текущий момент на рассмотрении находится законопроект «О внесении изменений в Федеральный закон "О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма" и иные законодательные акты Российской Федерации (в части использования и хранения электронных документов)". Проект подразумевает введение ролей «доверенная среда хранения» (ДСХ) и «оператор доверенной среды хранения».

В обязанности оператора ДСХ должен входить весь цикл архивных работ по принятию и дальнейшему сопровождению электронных документов:

●   своевременная конвертация в актуальные форматы воспроизведения для обеспечения человекочитаемости документа;

●   предоставление дубликатов хранимых документов как в электронном варианте, так и на материальных носителях;

●   своевременное гарантированное уничтожение данных по требованию заявителя, согласно условиям договора или по истечении сроков хранения.

Таким образом, документы на обслуживании у оператора ДСХ должны сохранять свою юридическую значимость, а какими средствами планируется это обеспечивать – пока неизвестно. Операторы ДСХ, как и удостоверяющие центры, должны будут проходить государственною аккредитацию соответствия, иметь гарантийный капитал и нести ответственность за свою деятельность.

Резюме: Со стороны бизнеса оператор ДСХ выглядит как «черный ящик» - на условиях договора туда передаются документы, все остальные обязанности берёт на себя оператор. Бизнес может переводить документы от одного оператора к другому или безболезненно их вернуть.

Однако готов ли бизнес доверить чувствительную документацию третьему лицу – открытый вопрос.

Доверенная третья сторона

Следующий инструмент, с помощью которого можно обеспечить юридическую значимость электронного документа – «оператор доверенной третьей стороны (ДТС)». Официально такое определение ещё не введено, в российской нормативной базе он должен появиться с введением правок в ФЗ-63 об ЭП вместе с «меткой доверенного времени» и «облачной ЭП».

Доверенная третья сторона – опыт не новый, практика уже наработана у наших партнеров по Таможенному союзу – Республик Беларусь и Казахстан. Изначально инструмент ориентирован на использование при трансграничном обмене электронными документами и используется для подтверждения действительности подписи, выданной удостоверяющим центром (УЦ) другой страны.

В качестве подтверждения операции проверки подписи ДТС генерирует и предоставляет DVCS-квитанцию (от англ. «Data Validation and Certification Server» – сервер сертификации и валидации данных). Это специальный электронный документ, сформированный и подписанный ДТС. Квитанция содержит сведения об исходном документе, результаты его проверки и данные о времени выполнения проверки (так называемая «метка времени ДТС»), информацию о подписанте и УЦ, то есть весь необходимый набор данных для проверки электронной подписи в документе.

Таким образом, DVCS-квитанции имеет смысл использовать для фиксации наличия юридической силы документа на момент проверки его доверенной третьей стороной. Согласно требованиям п.2, ст.11 ФЗ-63 «Об электронной подписи» усиленная квалифицированная электронная подпись (УКЭП) действительна либо на момент проверки, либо должны иметься доказательства её действительности на момент подписания. ДТС и будет выступать гарантом доверенного времени установки ЭП на документ. При необходимости длительного хранения, у ДТС можно запросить продление выданной им DVCS-квитанции на срок, не превышающий срок действия сертификата ключа проверки подписи сервиса ДТС.

Резюме: В отличие от доверенной стороны хранения, доверенная третья сторона передает не тела документов, а только контрольные суммы от них. С одной стороны, это повысит доверие к сервису, с другой, вопросы сохранности документов, предоставления и конвертации ложатся на владельца, его систему и инфраструктуру в целом.

Также стоит учесть, что поскольку ДТС – незаинтересованный внешний сервис, его услуги вряд ли будут бесплатными.

Метки доверенного времени

С помощью меток (или штампов) доверенного времени (timestamp) владелец документа может получить свидетельство того, что именно эти данные в этот момент времени у него есть — то есть наличие метки времени может выступать доказательством существования определённой информации на момент, зафиксированный поставщиком меток.

Важно понимать, что сама по себе метка времени без контекста мало что значит. Т.е. время доверенного поставщика меток – стандартная точка отсчёта для всех, кто ему доверяет. Доверие, в свою очередь, можно организационно установить как своему внутреннему сервису, так и аккредитованному или неаккредитованному внешнему.

Для обеспечения юридической значимости документов метки доверенного времени включают в состав усовершенствованных электронных подписей. Это ЭП, формируемые по стандартизированным форматам, например, CAdES для откреплённых ЭП или XAdES для XML-документов с встроенной ЭП.

Процесс формирования метки времени выглядит так:

1.     Подписание электронного документа

2.     Проверка ЭП по времени поставщика меток

3.     Предоставление метки времени

4.     Усовершенствование подписи с включением метки

Резюме: В отличие от применения доверенной третьей стороны, при работе с «сырыми» метками времени на владельца информации накладываются требования по получению этих меток и включению их в ЭП или иные электронные документы, используемые для обеспечения работы электронного архива.

На бизнес возлагается весь цикл архивных работ от разработки регламентов до выбора средств технической реализации в зависимости от условий и задач. Так, решение может быть ориентировано на применение усиленной квалифицированной или неквалифицированной ЭП, а также меток времени аккредитованных и неаккредитованных поставщиков. Ответственность за решение полностью лежит на владельце информации.

Заключение

С учётом принятия новых законопроектов в части электронного документооборота спектр средств для работы с электронными документами и подписями официально расширится.

Бизнес сможет подобрать инструмент для поддержания юридической значимости электронных документов на протяжении всего срока их хранения. Важно комплексно подходить к выбору организационных и технических мер — с пониманием основных процессов и исходя из рисков, задач и возможностей конкретной компании.

Источник: DIRECTUM - решение для архивного хранения.

Чтобы прочитать эту статью до конца,
или зарегистрируйтесь

Комментарии 3

При необходимости длительного хранения, у ДТС можно запросить продление выданной им DVCS-квитанции на срок, не превышающий срок действия сертификата ключа проверки подписи сервиса ДТС.

Михаил, разъясните, пожалуйста. Если срок сертификата ДТС  меньше срока действия УКЭП на документе и/или момента обращения за продлением, как должен выглядеть процесс удостоверения и перештамповки для долговременного хранения? Нужно запрашивать новую квитанцию с новым сертификатом? продлевать DVCS-квитанцию - более правильно точки зрения технологии  или это просто будет выгоднее с коммерческой стороны?

В целом - спасибо за очередной ликбез и за старания изложить понятным языком) будет полезно, а главное доступно для многих не самых погруженных в тему ЭП.

Михаил, разъясните, пожалуйста. Если срок сертификата ДТС  меньше срока действия УКЭП на документе и/или момента обращения за продлением, как должен выглядеть процесс удостоверения и перештамповки для долговременного хранения? Нужно запрашивать новую квитанцию с новым сертификатом? продлевать DVCS-квитанцию - более правильно точки зрения технологии  или это просто будет выгоднее с коммерческой стороны?

Если срок действия сертификата подписи квитанции истечёт раньше, чем срок сертификат самой УКЭП, в таком случае нет особой разницы - сформировать новую квитанцию или продлить старую. И процесс, скорее всего, будет единообразным: если мы уже получали DVCS квитанцию, в ДТС отправится её идентификационный номер, назад вернётся новая квитанция со старыми значениями ЭП.

Если же это первое обращение за квитанцией на комплект ЭД + ЭП, то ДТС сформирует и предоставит новую квитанцию, а у себя в реестре зафиксирует обращение.

В итоге - не думаю, что для ДТС такие виды операций будут как-то технологически различаться, и на ценовую политику это не повлияет.

Николай Комлев 15 января 2020

Михаил, спасибо за разбор 

Для обеспечения юридической значимости документов метки доверенного времени включают в состав усовершенствованных электронных подписей. Это ЭП, формируемые по стандартизированным форматам, например, CAdES для откреплённых ЭП или XAdES для XML-документов с встроенной ЭП.

Стоит уточнить, что сама по себе метка времени ЮЗ не гарантирует. Дополнительно необходимы доказательства того, что сертификат подписанта на момент времени, зафиксированного меткой, был валиден (не находился в списке отзыва). И эти доказательства также должны быть включены в ЭП. Странно, что в новой редакции ФЗ про это ни слова. 

И в продолжение этой мысли вопрос - а как третья сторона, выдающая DVCS, получит доказательства валидности сертификата? Ведь для этого нужно обратиться в выпускающий УЦ, чтобы получить полную цепочку сертификатов до корневого УЦ, статус сертификата (OCSP), или хотя бы список отзыва (CRL). Что конкретно подтверждает эта DVCS?

Спасибо

Чтобы прокомментировать, или зарегистрируйтесь