Напомним некоторые сведения об авторах.
А. Волков — известный российский блогер и эксперт в области систем электронного документооборота, а также — многих других решений рынка САПР. В этой проблематике активно работает более 10 лет. Основное круг интересов — консалтинг по построению правильно работающего бизнеса проектной организации с точки зрения автоматизации. Автор ряда популярных публикаций на портале isicad.ru.
А. Казанцев — опытный менеджер крупной российской машиностроительной компании, его общий стаж работы — 20 лет. А. Казанцев занимается, в том числе, вопросами стратегического развития бизнес-процессов строительно-инженерной подготовки производства. Имеет два высших технических образования: машиностроительное и строительное. В числе нескольких популярных isicad-публикаций Аркадия — статья «Роль и место BIM в развитии крупных производственных корпораций России»
Можно приводить десятки примеров, как информационные технологии меняют нашу жизнь. Но самой архаичной и тяжелой ношей для подавляющего большинства российского бизнеса по-прежнему является бумажное сопровождение каждой хозяйственной транзакции: от отгрузки товара, до обмена мнений по каким-то договорным отношениям с помощью официальных писем. Каждое предприятие имеет бумажный архив, в котором чаще все бывает очень нелегко найти нужный документ. Что уж говорить о проектной документации? В процессе проектирования здания или сооружения количество вариаций одного и того чертежа может достигать сотен (пример: Хабаровск, Ерофей-арена, 194 корректировки раздела КР). На самом деле люди устроены так, что слишком многое остается за пределами сухих строчек официальных документов: неформальные договоренности, подразумеваемые умолчания, тотальное несоответствие написанного на бумаге с действительностью: можно привести массу умопомрачительных историй из жизни крылатой фразы «бумага все стерпит». И самое противное – то, что по прошествии даже небольшого периода времени практически невозможно восстановить полную картину событий, потому что память в таких случаях «подводит».
Может показаться, что вся жизнь любого предприятия состоит только из бумаг. Так ли это? Можно ли избавиться от 92% бумаг? Оказывается, это не просто достижимо, но и вполне возможно! Главное в этой непростой ситуации построить юридически безупречную логическую цепочку от мыслей и поступков людей по порханию экзабайт информации между автоматизированными системами. Вот об этой самой цепочке мы и поговорим сегодня. Сразу предупредить, что будет много цитат законов, написанных невообразимо тоскливым бюрократическим языком, поэтому предлагаем запастись терпением.
Первым и самым главным юридическим крючком, на котором будут базироваться все дальнейшие постулаты и выводы является Федеральный закон РФ от 06.04.2011 N 63-ФЗ «Об электронной подписи». Осмелимся привести одну длинную базовую цитату:
Статья 6, пункт 1: «1.Информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе.»
Кажется, все предельно ясно? Увы, не совсем! Электронная цифровая подпись (ЭЦП) не может существовать сама по себе. Для нее необходим соответствующий ландшафт: информационная система/набор информационных систем, подчиненных общим правилам, позволяющим хранить либо передавать электронные документы, заверенные ЭЦП. Это порождает сразу лавину вопросов:
- Какие информационные системы (ИС) подходят для хранения/передачи электронных документов (ЭД)?
- Кто может быть собственником таких ИС? Какие требования должны быть выполнены для таких ИС?
- Каким образом может быть подтверждена юридическая легитимность документа, хранящегося в базе данных (БД) или ИС?
- Как быть в случае наступления судебной/арбитражной практики? Как доказать легитимность электронного документа?
- Что нужно сделать для того, чтобы юридически легитимный документ мог попасть в государственную информационную систему без искажений и сохранил свою аутентичность?
1. Какие информационные системы (ИС) подходят для хранения/передачи электронных документов (ЭД)?
Условно можно разбить ИС на два класса систем: внутренние системы предприятия и публичные коммерческие системы, которые обеспечивают доставку информации между предприятиями на возмездной основе.Внутренние системы – базы данных, системы электронного документооборота предприятия, системы для хранения проектной/конструкторской документации (PDM, TDM, PLM и т.д.). С ними все достаточно просто: оператором этой информационной системы является само предприятие и имеет полное право устанавливать процедуры и регламенты, как технические, так и организационные. Тем не менее следует отметить, что для сохранения юридической значимости документов, их следует заверять квалифицированной электронной подписью, выданной аккредитованным удостоверяющим центром. На чем базируется данное утверждение? Все очень просто: деятельность аккредитованного удостоверяющего центра (место выдачи ЭЦП и ведение реестра отозванных/аннулированных сертификатов ЭЦП) строго регламентирована и любые подделки, выдача некорректных ЭЦП для подделки документов как правило, легко выявляется и заканчивается приостановкой деятельности УЦ (удостоверяющего центра). Отсюда следует, что документы во внутренней информационной системе предприятия, заверенные ЭЦП, выданной аккредитованным УЦ однозначно фиксируют дату проведения транзакции (заверения файла) и легитимность этой ЭЦП в момент выполнения такого действия.
Второй аспект: квалифицированная усиленная электронная подпись (63-ФЗ) содержит не только сведения о владельце ЭЦП, но и явно указывает его трудовые отношения с предприятием, в том числе занимаемую должность. Разумеется, это можно реализовать и с помощью внутреннего УЦ предприятия: добавить дополнительное служебное поле не сложно, но внутренний удостоверяющий центр предприятия руководство предприятия всегда может заставить выдать другую ЭЦП для совершения противоправных действий, например, изменив дату выдачи.
Получение заключения о корректности встраивания средства криптографической защиты информации требуется только для определенных классов информационных систем, как правило выше классов КС1/КС2 для государственных информационных систем или систем, в которых ведется обработка персональных данных физических лиц. Сюда можно отнести медицинские карты, сведения об образовательном процессе и другие виды информации, позволяющие однозначно идентифицировать конкретное физическое лицо. Все это отдельно регламентируется Правилами криптографической защиты информации (ПКЗ-2005) и 152-ФЗ «О персональных данных». Подходы тут могут быть разными, вполне возможно, что для ряда крупных предприятий могут быть выдвинуты и такие требования, в зависимости от степени конфиденциальности информации, которая будет обрабатываться в такой информационной системе.
2. Кто может быть собственником таких ИС? Какие требования должны быть выполнены для таких ИС?
Публичные коммерческие системы на территории Российской Федерации в настоящее время можно условно разделить на несколько больших групп.1. Закрытые коммерческие информационные системы, созданные для решения класса специфических задач. Яркий пример – системы Банк-клиент, которые используют системы криптографической защиты информации для пересылки внутри частной системы конкретного банка. Юридическая легитимность такого обмена зашифрованными сообщениями подтверждается текстом договорных отношений между клиентом и банком, где в явном виде прописано согласие клиента и банка признавать легитимность электронных документов, циркулирующих в такой закрытой системе.
2. Ведомственные системы органов государственной власти и естественных монополий. Несмотря на наличие унифицированных требований в рамках 63-ФЗ, каждая ведомственная система предъявляет ряд дополнительных требований. Один из ярких примеров – электронная торговая площадка ОАО РЖД, где в структуру служебных полей самой ЭЦП добавлен ряд специфических требований. Так же можно отметить, что каждое государственное ведомство норовит строить свой набор требований, что зачастую обусловлено наличием у них унаследованных систем с весьма экзотическими подходами, например, Пенсионный фонд России, использующим в качестве базового криптографического средства решения Инфотекс – ViPNet, хотя решения компании КриптоПро распространены гораздо больше. Совместимость систем в общем пространстве доверия возможна, но увы, только с применением различных ухищрений, обеспечивающих трансляцию при передаче информации. Ну и разумеется, электронные торговые площадки – до сих пор используются ЭЦП, выданные с расширенным набором дополнительных служебных полей, несовместимы с информационными системами других ведомств.
3. Наиболее серьезно продвинулись в деле унификации информационных систем Минкомсвязи, Минфин вместе с ФНС России. Так как почти 90% юридических лиц (40% индивидуальных предпринимателей) на территории Российской Федерации сдают отчеты в ФНС через Интернет, то самыми массовыми оказались ЭЦП, выданные для использования именно в связке с ФНС России.
Никто не отменяет, разумеется, главенствующий статус Минкомсвязи, которое является оператором корневого удостоверяющего центра на территории Российской Федерации. Внедрение системы АИС Налог-3, фактически, перевод информационных систем ФНС России в единый центр обработки данных (ЦОД) открывает дорогу к внедрению новой функциональности – возможности отказа от 92% бумажных документов, используемых в бизнес-процессах между предприятиями и переход к полностью безбумажному электронному документообороту. Более того, с учетом опыта систем электронной отчетности с 2002 года можно утверждать абсолютное технологическое превосходство ФНС России перед другими ведомствами в деле именно массовости использования среди представителей бизнеса.
Если взять за основу положения Приказ Минфина РФ от 25.04.2011 № 50н (пункт 3 первого раздела), то опорной инфраструктурой для обмена документами (файлами) между предприятиями должны являться специализированные организации – Операторы электронного документооборота. Тот же приказ вводит ряд квалификационных и иных требований к таким организациям, кроме этого есть ряд других документов, уточняющих эти требования. Одним из фундаментальных, но до сих пор не реализованных на 100% требований является обеспечение роуминга – возможности передавать документы между пользователями систем различных операторов. Работа в этом направлении идет весьма активно, но далека от завершения.
3. Каким образом может быть подтверждена юридическая легитимность документа, хранящегося в базе данных (БД) или ИС?
Опять рассмотрим два класса ИС – внутренние ИС предприятий и публичные коммерческие системы.Для внутренних ИС все достаточно просто – использование усиленной квалифицированной ЭЦП, выданной УЦ, аккредитованным Минкомсвязи и УЦ ГНИВЦ ФНС России одновременно. Второе необходимое и достаточное условие – наличие программной серверной инфраструктуры на основе сертифицированных ФСБ России СКЗИ (средств криптографической защиты информации).
Для публичных ИС в идеальном случае нужно разрабатывать свои собственные приказы, описывающие требования с целью соблюдения легитимности. Учитывая серьезные наработки в этой проблематике со стороны Минфина и ФНС России наиболее логичным является возможность использования не только наработанной методической базы, но и уже сформированной опорной инфраструктуры действующих операторов электронного документооборота. Такой подход позволяет практически моментально приступить к обмену электронными документами. Преимущества такого подхода очевидны, но к сожалению, пока не оформлены документально. Учитывая жесткие условия получения финансирования по целевому принципу следует ожидать в самое ближайшее время ярмарки самых ярких изобретений со стороны всех государственных ведомств в деле получения финансирования по построению своих собственных информационных систем, не совместимых друг с другом.
4. Как быть в случае наступления судебной/арбитражной практики? Как доказать легитимность электронного документа?
Для механизмов работы через операторов электронного документооборота (ЭДО) все уже давно сформулировано с точки зрения законодательства и не нуждается в дополнительных пояснениях. Как правило, на сайтах всех операторов ЭДО есть специальный раздел, посвященный данной тематике.5. Что нужно сделать для того, чтобы юридически легитимный документ мог попасть в государственную информационную систему без искажений и сохранил свою аутентичность?
Здесь все тоже просто и очевидно: нужно соблюдать правила игры, указанные на уровне государственных стандартов в этом вопросе. Отмечу, что каждое государственное ведомство, закрытая и публичная информационная система выдвигает свой собственный набор требований с структуре электронного документа, обусловленный уже имеющимся программной средой и возможностью обработки содержимого файла. Увы, на самом деле все гораздо проще: есть две государственные системы, которые подходят под описание «системы систем».СМЭВ – система междуведомственного электронного взаимодействия. Асинхронная система, позволяющая выдвигать от одного государственного ведомства к другому запрос на получение тех или иных сведений. Тесно связана с ЕСИА – единой системой идентификации и авторизации в государственных информационных системах на основе унифицированных правил. Идентификация по паре логин/пароль, ЭЦП на отчуждаемом ключевом носителе, УЭК со встроенной ЭЦП – вариантов реализации может быть много, но суть одна.
Особняком стоит вопрос о том, какие именно форматы файлов следует использовать для передачи информации, хотя на уровне государства вопрос решен уже достаточно давно с большой определенностью: это использование формата XML. Специфические, отраслевые форматы файлов в этом случае должны быть упакованы внутрь формата XML, для возможной дальнейшей интерпретации во внутренних ведомственных системах. В качестве примера такого подхода можно рассмотреть решения Росреестра.
МЭДО – государственная электронная почта, реализующая функцию гарантированной доставки сообщений. Специфический сервис, который используют только органы государственной власти (ОГВ) для обмена служебными сообщениями, в том числе секретного характера.
В нашем случае ключевым является вопрос о том, как наладить унифицированный канал юридически значимой информации от бизнеса в ОГВ? На наш взгляд, необходимым и достаточным условием этой реализации может стать построение шлюзов между операторами электронного документооборота и СМЭВ. Это дело самой ближайшей перспективы, имеющей колоссальный эффект для повышения качества государственного управления и решения вопроса коммуникаций между бизнесом и государством. Искренне надеемся, что это произойдет в самое ближайшее время!
К сожалению, в настоящее время единственный разумный канал коммуникаций в электронном виде – это опция неформализованного обмена произвольными файлами внутри сервиса конкретного ОГВ (например, ФНС России).