Пространство доверия
Отсутствие доверия мешает отечественным предприятиям обмениваться электронными документами.
Константин Ветлугин
На конференции Docflow Day, прошедшей в рамках выставки SofTool, был поднят один достаточно редко обсуждаемый в дискуссиях по системам электронного документооборота вопрос — об обмене электронными документами между предприятиями (а не внутри таковых).
По мнению специалиста компании Directum Сергея Бушмелева, заинтересованы в межкорпоративном обмене электронными документами практически все организации. Между тем, текущая ситуация такова: законодательство страдает несовершенством, в том числе и просто неполнотой в сферах применения ЭЦП и электронного документооборота. Де-факто сейчас практически невозможен обмен электронными документами между организациями без заключенного предварительно бумажного соглашения. И раз так, то такой обмен имеет смысл, только если он совершается на регулярной основе.
Сергей Бушмелев: «Единого пространства доверия по сертификатам ключей ЭЦП пока в России не существует»
Чтобы он, тем не менее, состоялся, необходимо определить несколько вещей. А именно, топологию обмена, перечень документов на обмен, варианты участия в процессе удостоверяющих центров, нормативную базу, определяющую регламент обмена, а также формат электронных документов. Топология («организация-организация», «звезда» с выделенным центром, «сеть», то есть пространство произвольного обмена) определит все дальнейшие действия. Перечень документов определит состав пользователей на предприятиях, которые будут с ними работать. Также нужно решить, создавать ли свой собственный удостоверяющий центр или воспользоваться услугами внешнего — это зависит от географического расположения организаций, степени их доверия друг к другу и того же перечня документов на обмен.
Базу регламентов, то есть корпус соответствующих документов, Бушмелев оценивает как довольно внушительную по объему — туда входят правила обмена документами, инструкции для пользователей, соглашения об обмене, нормативная база удостоверяющего центра, если он тоже создается.
Создание собственно инфраструктуры обмена электронными документами потребует назначения организатора, который будет решать технические вопросы, например, улаживать конфликтные ситуации. Он же может взять на себя обязанности удостоверяющего центра. Что касается внешних центров (которых в России более 300), то они требуют личного обращения для получения сертификата ключа подписи, и им не суть важно, в каком регионе ваше предприятие находится. При этом центров, имеющих свои представительства хотя бы в большинстве регионов РФ, на сегодняшний момент не существует, единого пространства доверия по сертификатам между центрами не существует тоже. Корневой всероссийский удостоверяющий центр создан еще в 2005-2006 годах, но соответствующее постановление правительства до сих пор не выпущено. Теоретически удостоверяющие центры могут создавать регистрационные центры, то есть локальные «представительства» на местах, которые могли бы принимать заявления на получение сертификата, но проблему в целом это, очевидно, не решит.
Формат обмена электронными документами должен быть открытым, распространенным, поддерживать ЭЦП, поддерживать вложение файлов произвольного формата и содержать необходимые метаданные. Компания Directum в качестве такого формата предлагает ESD (Electronic Structured Document), который поддерживается их системой электронного документооборота. Существует также бесплатно распространяемая утилита OverDoc, которая позволяет создавать файлы данного формата и работать с ними в полном объеме, таким образом, разворачивать систему электронного документооборота на предприятии даже и не обязательно. При этом способ обмена документами (электронная почта, FTP, порталы и т. д.), в общем, не принципиален.
Итак, лишь после разрешения всех данных вопросов имеет смысл заключать соглашения об обмене электронными документами между организациями и запускать собственно обмен. Эти документы будут юридически значимыми, они, как и положено электронным документам, могут подготавливаться, двигаться и обрабатываться быстро, в том числе автоматически. Но подготовительный этап, как выясняется, достаточно сложен — настолько, что в стране обмен электронными документами между предприятиями делает лишь первые шаги. Пионерами здесь выступают государственные ведомства, в частности, Федеральная налоговая служба. Возможно, ситуация изменится после того, как, наконец, будет создано всероссийское пространство доверия по сертификатам ключей ЭЦП, а также обеспечена нормативно-правовая поддержка данного вопроса со стороны государства.
Источник: Открытые системы
Комментарии 4
А если Вы "в теме", то проанализировав события, увидите, что "пространства доверия" создаются по разным критериям и растут как грибы. От этого пользователю нелегко, и поверьте, УЦ еще сложнее - но у России свой путь, в том числе в инфраструктурах открытых ключей!
Речь в статье (а она есть результат "конспектирования" достаточно многословного выступления на Docflow Day) идет как о том, как нам в отсутствии единого пространства доверия построить свой "островок" доверия. Спешу Вас заверить, что я "в теме" и принимаю непосредственное участие в создании таких пространств :)
Не так давно пообщался с представителями Росинформтехнологий и коллегами по цеху. Так вот, по крайней мере на уровне подзаконных актов сделать что-то можно, есть интерес как "снизу", так и "сверху".
2 Сергей Бушмелев
Могу лишь подтвердить Ваши слова и последний PKI-форум это показал.
Но после чтения "конспекта" создается впечатление, что без него (пространства доверия) нельзя работать и все плохо. Все- таки работа ведется (и в области автоматизации ДОУ и в сфере информационной безопасности) и юридически значимые системы уже есть и далеко ходить не надо.
Работать можно и нужно :) Именно отсутсвие единого пространства доверия заставляет строить свои домены доверия ;)