Ваше окно в мир САПР
 
Новости Статьи Авторы События Вакансии Энциклопедия Рекламодателям
Статьи

23 января 2015

Легитимность электронных документов

Александр Волков, Аркадий Казанцев

От редакции isicad.ru: Эта статья является развитием и продолжением ранее опубликованной статьи авторов «Безбумажная технология строительства: особенности применения электронной цифровой подписи при разработке проектно-строительной документации», которая на примере проектно-строительной документации рассказывала, что из себя представляет электронный подлинник. В новой статье показано, как этот электронный подлинник хранить и передавать.

Напомним некоторые сведения об авторах.

А. Волков — известный российский блогер и эксперт в области систем электронного документооборота, а также — многих других решений рынка САПР. В этой проблематике активно работает более 10 лет. Основное круг интересов — консалтинг по построению правильно работающего бизнеса проектной организации с точки зрения автоматизации. Автор ряда популярных публикаций на портале isicad.ru.

А. Казанцев — опытный менеджер крупной российской машиностроительной компании, его общий стаж работы — 20 лет. А. Казанцев занимается, в том числе, вопросами стратегического развития бизнес-процессов строительно-инженерной подготовки производства. Имеет два высших технических образования: машиностроительное и строительное. В числе нескольких популярных isicad-публикаций Аркадия — статья «Роль и место BIM в развитии крупных производственных корпораций России»

Широкое распространение информационных технологий привело к практически полному охвату всех сфер бизнеса электронными методами коммуникаций. Никого не удивить деловой перепиской с помощью WhatsApp, через который пересылаются фото важных деловых документов. Большие бизнес-империи строят свою стратегию коммуникаций с клиентами на основе социальных сетей, почтовый клиент Microsoft показывает фото человека, который пишет ему письмо из Facebook и тут же можно легко увидеть, какими ссылками он делился на своей личной страничке. Только ленивый не ругается по поводу сплошного надувательства «в рамках 44-ФЗ о Госзатупках», тем не менее электронные торговые площадки стали обыденностью, а человек с отпечатанной на принтере платежкой в офисе банка уже воспринимается как отщепенец.

Можно приводить десятки примеров, как информационные технологии меняют нашу жизнь. Но самой архаичной и тяжелой ношей для подавляющего большинства российского бизнеса по-прежнему является бумажное сопровождение каждой хозяйственной транзакции: от отгрузки товара, до обмена мнений по каким-то договорным отношениям с помощью официальных писем. Каждое предприятие имеет бумажный архив, в котором чаще все бывает очень нелегко найти нужный документ. Что уж говорить о проектной документации? В процессе проектирования здания или сооружения количество вариаций одного и того чертежа может достигать сотен (пример: Хабаровск, Ерофей-арена, 194 корректировки раздела КР). На самом деле люди устроены так, что слишком многое остается за пределами сухих строчек официальных документов: неформальные договоренности, подразумеваемые умолчания, тотальное несоответствие написанного на бумаге с действительностью: можно привести массу умопомрачительных историй из жизни крылатой фразы «бумага все стерпит». И самое противное – то, что по прошествии даже небольшого периода времени практически невозможно восстановить полную картину событий, потому что память в таких случаях «подводит».

Может показаться, что вся жизнь любого предприятия состоит только из бумаг. Так ли это? Можно ли избавиться от 92% бумаг? Оказывается, это не просто достижимо, но и вполне возможно! Главное в этой непростой ситуации построить юридически безупречную логическую цепочку от мыслей и поступков людей по порханию экзабайт информации между автоматизированными системами. Вот об этой самой цепочке мы и поговорим сегодня. Сразу предупредить, что будет много цитат законов, написанных невообразимо тоскливым бюрократическим языком, поэтому предлагаем запастись терпением.

Первым и самым главным юридическим крючком, на котором будут базироваться все дальнейшие постулаты и выводы является Федеральный закон РФ от 06.04.2011 N 63-ФЗ «Об электронной подписи». Осмелимся привести одну длинную базовую цитату:
Статья 6, пункт 1: «1.Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.»

Кажется, все предельно ясно? Увы, не совсем! Электронная цифровая подпись (ЭЦП) не может существовать сама по себе. Для нее необходим соответствующий ландшафт: информационная система/набор информационных систем, подчиненных общим правилам, позволяющим хранить либо передавать электронные документы, заверенные ЭЦП. Это порождает сразу лавину вопросов:

  1. Какие информационные системы (ИС) подходят для хранения/передачи электронных документов (ЭД)?
  2. Кто может быть собственником таких ИС? Какие требования должны быть выполнены для таких ИС?
  3. Каким образом может быть подтверждена юридическая легитимность документа, хранящегося в базе данных (БД) или ИС?
  4. Как быть в случае наступления судебной/арбитражной практики? Как доказать легитимность электронного документа?
  5. Что нужно сделать для того, чтобы юридически легитимный документ мог попасть в государственную информационную систему без искажений и сохранил свою аутентичность?
Попробуем очень кратко, схематично обозначить возможную для применения в этом случае законодательную базу, чтобы внести ясность в этом вопросе.

1. Какие информационные системы (ИС) подходят для хранения/передачи электронных документов (ЭД)?

Условно можно разбить ИС на два класса систем: внутренние системы предприятия и публичные коммерческие системы, которые обеспечивают доставку информации между предприятиями на возмездной основе.

Внутренние системы – базы данных, системы электронного документооборота предприятия, системы для хранения проектной/конструкторской документации (PDM, TDM, PLM и т.д.). С ними все достаточно просто: оператором этой информационной системы является само предприятие и имеет полное право устанавливать процедуры и регламенты, как технические, так и организационные. Тем не менее следует отметить, что для сохранения юридической значимости документов, их следует заверять квалифицированной электронной подписью, выданной аккредитованным удостоверяющим центром. На чем базируется данное утверждение? Все очень просто: деятельность аккредитованного удостоверяющего центра (место выдачи ЭЦП и ведение реестра отозванных/аннулированных сертификатов ЭЦП) строго регламентирована и любые подделки, выдача некорректных ЭЦП для подделки документов как правило, легко выявляется и заканчивается приостановкой деятельности УЦ (удостоверяющего центра). Отсюда следует, что документы во внутренней информационной системе предприятия, заверенные ЭЦП, выданной аккредитованным УЦ однозначно фиксируют дату проведения транзакции (заверения файла) и легитимность этой ЭЦП в момент выполнения такого действия.

Второй аспект: квалифицированная усиленная электронная подпись (63-ФЗ) содержит не только сведения о владельце ЭЦП, но и явно указывает его трудовые отношения с предприятием, в том числе занимаемую должность. Разумеется, это можно реализовать и с помощью внутреннего УЦ предприятия: добавить дополнительное служебное поле не сложно, но внутренний удостоверяющий центр предприятия руководство предприятия всегда может заставить выдать другую ЭЦП для совершения противоправных действий, например, изменив дату выдачи.

Получение заключения о корректности встраивания средства криптографической защиты информации требуется только для определенных классов информационных систем, как правило выше классов КС1/КС2 для государственных информационных систем или систем, в которых ведется обработка персональных данных физических лиц. Сюда можно отнести медицинские карты, сведения об образовательном процессе и другие виды информации, позволяющие однозначно идентифицировать конкретное физическое лицо. Все это отдельно регламентируется Правилами криптографической защиты информации (ПКЗ-2005) и 152-ФЗ «О персональных данных». Подходы тут мог