«Защищенный и юридически значимый «Защищенный и юридически значимый электронный документооборот:электронный документооборот:

в чем преимущества, как организовать?»в чем преимущества, как организовать?»

Василий Редькин,

менеджер по работе с клиентами,

компания «ИнтерТраст»

vredkin@intertrust.ru

8 (495) 956-79-28

ТенденцииТенденции

Современные системы электронного документооборота обеспечивают информационную и коммуникационную поддержку критически важных управленческих бизнес-процессов, работу с корпоративной информацией (в том числе конфиденциальной), электронное взаимодействие сотрудников компании друг с другом (причем сотрудники могут работать в разных территориально удаленных офисах), с клиентами и партнерами.

В связи с этим на первый план выходит надежная защита информации в СЭД и обеспечение юридически значимого электронного документооборота.

ТерминологияТерминология

В большинстве своем термин "система электронного документооборота" (СЭД) используется в нескольких значениях.

Вот неполный обобщенный перечень:автоматизированная система,информационная система,программное обеспечение,информационная система персональных данных.

ТерминологияТерминология

Наиболее полным является определение «система электронного документооборота – это организационно-техническая система, представляющая собой совокупность аппаратных и программных средств, реализующая электронный документооборот».

*аппаратные средства - устройства сбора и/или обработки информации например, компьютер, плата и пр.*программные средства - специализированное программное обеспечение, обрабатывающее и интерпретирующее данные, собранные аппаратными средствами

Зачем нам ЮЗЭДО?Зачем нам ЮЗЭДО?

Но электронные документы сами по себе не имеют никакой юридической силы, поскольку отсутствует их защита от возможных изменений, не обеспечивается конфиденциальность содержащейся в них информации. Чтобы электронные документы имели «вес», необходима организация юридически значимого электронного документооборота.

ОпределенияОпределения

Электронный документ обладает статусом юридической значимости, если соблюдены следующие условия:

документ содержит обязательные реквизиты;

подтверждены полномочия создателя, подлинность и аутентичность. Электронный документ содержит верную электронную подпись (аналог собственноручной подписи) лица, уполномоченного подписывать документы. Электронная подпись (ЭП) не только обеспечивает подлинность электронного документа на стадиях отправки и получения, но и присутствует во всем жизненном цикле электронного документа: подписании, согласовании, утверждении, ознакомлении, последующем хранении и так далее. При этом применение ЭП в отношении данного типа документов не должно противоречить требованиям законодательства и соглашениям сторон;

ОпределенияОпределения

при создании ключей ЭП и их дальнейшем использовании применяются только сертифицированные средства электронной цифровой подписи и средства криптозащиты информации (СКЗИ);созданы регламенты использования ЭП для каждой отдельной системы ЭДО, либо используется какое-либо соглашение о применении ЭП. В таких документах должны быть изложены все моменты по использованию ЭП в ЭДО;жизненный цикл документа с момента его создания соответствует предъявляемым требованиям и порядкам обработки.

Юридические аспектыЮридические аспекты

Федеральный закон от 06.04.2011 № 63-ФЗ «Об электронной подписи» (далее – Федеральный закон № 63-ФЗ) вступил в силу со дня его официального опубликования, в «Российской газете» он опубликован 08.04.2011 (№ 75).

Соответственно, Федеральный закон от 10.01.2002 № 1-ФЗ «Об электронной цифровой подписи» (Федеральный закон № 1-ФЗ) признается утратившим силу с 1 июля 2012 года.

Что такое ЭПЧто такое ЭП

Электронная подпись (ЭП) — это реквизит электронного документа, позволяющий установить отсутствие искажения информации в электронном документе с момента формирования ЭП и проверить принадлежность подписи владельцу сертификата ключа ЭП. Значение реквизита получается в результате криптографического преобразования информации с использованием закрытого ключа ЭП.

В России федеральным законом № 63-ФЗ от 6 апреля 2011 г. наименование «электронная цифровая подпись» заменено словами «электронная подпись» (аббревиатура — «ЭП»).

ФЗ № 63-ФЗ устанавливает следующие виды ЭП:Простая электронная подпись (ПЭП); Усиленная неквалифицированная электронная подпись (НЭП); Усиленная квалифицированная электронная подпись (КЭП).

Виды ЭПВиды ЭП

Простая электронная подпись может быть сделана без криптографического преобразования, подтверждает только авторство и наличие ключа проверки. (Могут быть использованы пароль, код и прочее).

Усиленная неквалифицированная позволяет и определить автора, и доказать неизменность электронного документа. Требуется обязательно использование криптографии и наличие ключа.

Квалифицированная предполагает, что сертификат ключа проверки выдан не любым удостоверяющим центром, а аккредитованным либо уполномоченным федеральным органом;

Для создания и проверки ЭП используются не любые средства электронной подписи, а те, которые получили подтверждение соответствия требованиям 63-ФЗ. Выдавать такие подтверждения должен уполномоченный орган исполнительной власти.

Владельцы ЭПВладельцы ЭП

Владельцем электронной подписи теперь может быть не только физическое лицо, но и юридическое. Причем в некоторых случаях в сертификате электронной подписи юридического лица может вообще не указываться никакое физическое лицо. То есть при смене руководства или учредителей юридического лица его электронная подпись остается без изменений.

Документ, подписанный квалифицированной электронной подписью, признается равнозначным бумажному документу, подписанному собственноручно. Ранее ЭЦП признавалась сторонами в рамках соглашения этих сторон. Теперь же квалифицированная электронная подпись подлежит признанию без дополнительных соглашений.

Вопросы, вопросы, Вопросы, вопросы, вопросы…вопросы…

Правительство РФ должно еще определить, какие виды подписей и в каких случаях должны использовать органы исполнительной власти и местного самоуправления, в каких случаях нельзя использовать никакую другую ЭП, кроме как квалифицированную усиленную электронную подпись, что делать, если физическое лицо, указанное в сертификате ключа проверки электронной подписи лица юридического, утратило полномочия, истекла его доверенность или оно уволено -менять всю подпись, заменять физическое лицо в сертификате?

Ответа пока нет…

Что нужно помимо ЭП?Что нужно помимо ЭП?

Но недостаточно только внедрить электронную подпись (ЭП), чтобы юридически значимый электронный документооборот был организован.

Переход на юридически значимый электронный документооборот означает существенные затраты на перестройку технологии работы с электронными документами, организацию работы с ЭП, создание инфраструктуры открытых ключей (набора технических, материальных, людских и других средств, служб и компонентов, в совокупности используемых для решения криптозадач), а также разработку нормативных документов, а в некоторых случаях получение лицензий.

Защита электронных Защита электронных документовдокументов

Защита электронных документов необходима на всех этапах их жизненного цикла – от создания, обработки и хранения до передачи по каналам связи и уничтожения. Такая защита включает как технические средства, так и меры организационного характера, и должна быть направлена и на сами документы, и на программный комплекс электронного документооборота.

Обеспечение аутентичности и конфиденциальности электронных документов необходимо не только для защиты от утечек и потерь, но и для придания документам юридической силы.

Составляющие ЮЗЭДОСоставляющие ЮЗЭДО

Таким образом, сегодня есть все необходимые составляющие для организации ЮЗЭДО:программные средства, автоматизирующие процессы деятельности;инструментарий, обеспечивающий интеграцию с сертифицированными средствами электронной подписи;удостоверяющие центры, осуществляющие выпуск сертификатов;сертифицированные средства криптографической защиты информации;организационные и технические решения разбора конфликтных ситуаций.

Но этого недостаточно!

Как же организовать Как же организовать ЮЗЭДО?ЮЗЭДО?

Для правильного решения задачи организации юридически значимого ЭДО необходимо привлечь не только технических специалистов, но и представителей бизнес-подразделений заказчика (владельцев бизнес-процессов, в том числе и специалистов служб ДОУ организации), юристов организации, отвечающих за правовые аспекты тех или иных бизнес-процессов, а также специалистов в области ИБ.

Только их совместная работа в рамках проекта создания и внедрения (модернизации) СЭД позволит организовать юридически значимый электронный документооборот.

Основные элементыОсновные элементы

Основным элементом, придающим здесь юридическую значимость, является электронная подпись, но это — только вершина айсберга.

Переход к ЮЗЭДО включает создание инфраструктуры открытых ключей, разработку нормативных документов, а в некоторых случаях и получение лицензий.

Необходимы подзаконные акты, которые определяли бы требования по совместимости средств электронных подписей, виды электронных подписей, порядок их использования, и, возможно, новые требования законодательства, которые облегчат решение задачи по обеспечению юридической значимости электронных документов.

Этапы организации Этапы организации ЮЗЭДОЮЗЭДО

Организации юридически значимого электронного документооборота включает следующие этапы:

формирование общих требований к организации юридически значимого электронного документооборота;разработка предложений по созданию (организации) юридически значимого электронного документооборота;разработка требований и определение состава работ для реализации предложений по организации юридически значимого электронного документооборота;выполнение работ по организации юридически значимого электронного документооборота;ввод в эксплуатацию и сопровождение системы юридически значимого электронного документооборота.

Организационные Организационные аспектыаспекты

Этапы организации Этапы организации ЮЗЭДОЮЗЭДО

На пути к успеху

Только совместная работа специалистов различных подразделений в рамках проекта создания и внедрения СЭД позволит организовать ЮЗЭДО.

Спасибо за внимание!

Василий Редькин,менеджер по работе с клиентами, компания «ИнтерТраст»

vredkin@intertrust.ru