Сегодня электронно-цифровой подписью (ЭЦП) уже никого не удивишь — в рамках корпоративных информационных систем она используется повсеместно. Тем не менее применение ЭЦП до сих пор ограничено пределами одной компании или холдинга, а обмен документами между двумя разными организациями, при очевидных преимуществах электронной корреспонденции (ни задержек, ни курьерских и почтовых посредников), пока остается более традиционным — бумажным. Возможен ли обмен подписанными с помощью ЭЦП электронными документами между предприятиями?
Николай Пестерев, руководитель проекта внедрения DIRECTUM
Для начала разберемся, чем отличается ЭЦП от обычной подписи. Традиционная подпись на бумажном документе призвана выполнять следующие функции: во-первых, утверждать авторство подписи, во-вторых, доказывать ее подлинность, в-третьих, гарантировать неизменность и завершенность документа после подписания.
Проще говоря, неподдельность и идентифицируемость — это основные свойства любой подписи, которые должны присутствовать независимо от ее типа и обеспечиваться де-факто. До недавнего времени подпись и печать казались единственно верными средствами для визирования документа. Однако мировая практика использования собственноручной подписи говорит о том, что данная процедура обладает массой недостатков, которые могут быть использованы во вред. Для предотвращения этого на протяжении многих лет принимались различные меры — например, использовалось собственноручное написание имени и фамилии рядом с подписью, применялась особая бумага с несколькими степенями защиты от подделок, которая могла бы служить гарантом подлинности как документа, так и подписи, и т. д. Излишне говорить о том, что эти меры не могли полностью обеспечить неподдельность и идентифицируемость подписи. Кроме того, обычная подпись обладает недостатками, которые присущи любому тексту, написанному на бумаге, — может попросту дрогнуть рука, от чего автограф не будет соответствовать своему первоначальному виду. Таким образом, недостатки собственноручной подписи на бумажном документе очевидны. Это дает повод задуматься о переходе на электронный документооборот с ЭЦП.
Принцип действия
Рассмотрим самую распространенную на сегодняшний день схему, основанную на использовании несимметричных алгоритмов, позволяющих обеспечить максимальную надежность и защищенность подписываемых данных. Электронная цифровая подпись может гарантировать свою неподдельность и идентифицируемость за счет использования сразу двух ключей — открытого, который отвечает за идентификацию, и закрытого, отвечающего за аутентификацию. Любой участник обмена электронными документами, подписанными ЭЦП, может проверить действительность подписи с помощью доступного ему открытого ключа и убедиться в том, что документ подлинный, а ЭЦП принадлежит именно тому лицу, которое визировало документ. В сертификате ЭЦП, содержащем закрытый ключ, есть также информация об авторе, корневом центре сертификации и сроке действия самого сертификата. При подписании ставится «штамп времени», для того чтобы определить, соответствует ли дата подписи сроку действия сертификата. Это один из шагов проверки достоверности подписи. Электронный документ, заверенный с помощью ЭЦП, нельзя подделать, и это позволяет обеспечить его подлинность и неизменность. Получается, что функциональность ЭЦП во всем соответствует своему бумажному аналогу и даже превосходит его по надежности. Поэтому использование электронного документооборота между организациями становится более перспективным.
Через тернии к... ЭЦП
Шесть-семь лет назад главной причиной, по которой электронный документооборот между организациями не имел широкого распространения, было отсутствие правовой основы ЭЦП и возможности достойной технической реализации обмена электронными документами с электронно-цифровыми подписями. Правовую основу ЭЦП обеспечил Федеральный закон от 10 января 2002 г. № 1-ФЗ «Об электронно-цифровой подписи» (далее — Закон «Об ЭЦП»), который закрепил понятие юридически значимого электронного документооборота. Разумеется, закон, как это нередко бывает, не столько разрешил противоречия, сколько стал основой для новых. Тем не менее юридически значимый электронный документооборот в работе нескольких компаний, входящих в одну структуру, легко реализуется на основе регламента, прописанного в законе и закрепляющего юридическую силу ЭЦП внутри холдинга. В случае же обмена электронными документами между сторонними организациями достаточно упомянуть условие об использовании ЭЦП в договорных документах и обеспечить обоюдное доверие к инструментам подписи (использование единых программных продуктов) и удостоверяющему центру, который выдавал ключи. Технология обмена электронными документами с момента принятия федерального закона об ЭЦП также не стояла на месте. Сегодня можно выделить различные варианты обмена электронными документами как между фирмами, входящими в один холдинг, так и между независимыми организациями-партнерами.
«Хоровод» внутри холдинга
Приведем несколько примеров обмена электронными документами с ЭЦП между различными контрагентами.
В рамках одного холдинга обмен документами может осуществляться как по вертикали — от нижестоящей организации к вышестоящей и обратно, так и по горизонтали — между одноуровневыми организациями. От скорости движения документов напрямую зависит и оперативность управления, поэтому обмен документами играет не последнюю роль в развитии холдинга. Рассмотрим движение, например, такого электронного документа, как приказ, по вертикальной структуре холдинга.
Жизненный цикл приказа начинается в головной организации, где он непосредственно создается, согласовывается и утверждается. Затем документ подписывается ЭЦП генерального директора, экспортируется в структурированный электронный документ и по различным каналам уходит в дочерние организации или филиалы. Если в упомянутых организациях также установлены системы электронного документооборота, то исходящий из головной организации приказ с ЭЦП импортируется в систему электронного документооборота (СЭД) и далее уже по ее каналам доходит до сотрудников. Если же в рассматриваемых организациях не используется СЭД (например, когда речь идет об удаленных филиалах или дочерних компаниях), то на выручку приходит электронная почта, по которой документ в структурированном виде рассылается сотрудникам организации. Работники с помощью специальных приложений могут ознакомиться с текстом входящего документа, просмотреть его атрибуты и проверить достоверность всех цифровых подписей.
Таким образом, приказ в электронном виде может быть донесен до любого сотрудника холдинга, при этом получатель беспрепятственно может как ознакомиться с его содержанием, так и, благодаря возможностям ЭЦП, удостовериться в подлинности приказа. Это дает все основания доверять такому документу наравне с бумажным. При этом полностью отпадает необходимость переводить его в традиционный вид, размножать, сканировать и т. д.
Аналогично в холдинге может проходить обратный обмен документами, например согласование договорных документов дочерней организации в головной компании.
Первым делом документы создаются и согласовываются в дочерней компании. Этот процесс также может проходить в рамках системы электронного документооборота, причем она может отличаться от СЭД, внедренной в головной организации. Далее договорные документы подписываются ЭЦП и отправляются в соответствующий департамент управляющей компании. Для этого опять же проект договора экспортируется в структурированный электронный документ открытого формата и любым удобным способом отсылается в управляющую компанию. В соответствующем департаменте документы импортируются в систему электронного документооборота вместе со всеми ЭЦП и далее по типовому маршруту отправляются на согласование. В итоге договорные документы подписываются ЭЦП топ-менеджера холдинга, затем вновь экспортируются в открытый формат и отправляются обратно в филиал. Таким образом, в обеих организациях договорные документы не будут иметь расхождения, так как ЭЦП гарантирует их неизменность. Кроме того, исключается необходимость переносить документы на бумажные носители.
Электронная дистанция между «чужими» компаниями
Теперь рассмотрим процедуру обмена документами между двумя сторонними компаниями на примере согласования технического задания (ТЗ) на выполнение работ между организациями-партнерами. Компания-заказчик готовит проект ТЗ и, после того как он проходит полный цикл согласования, подписывает документ ЭЦП. Затем ТЗ отправляется компании-исполнителю. Это происходит следующим образом: создается структурированный документ в открытом формате, он отправляется адресату любым доступным способом (электронная почта, ftp и т. д.). Ответственный менеджер знакомится с содержанием проекта и списком ЭЦП и, в случае согласия, подписывает документ уже своей ЭЦП. Все это может осуществляться с использованием утилит, предназначенных для работы со структурированными документами и ЭЦП. После согласования у исполнителя проект ТЗ направляется обратно заказчику. При возникновении разногласий любая организация может не соглашаться с текстом проекта и внести изменения в его содержание. После чего документ пройдет новый виток согласования.
Как видно, согласовывается именно электронный документ, что отбрасывает необходимость печатать его на бумаге. При этом нет никаких оснований не доверять документу — ЭЦП руководителей будут подтверждать его подлинность, завершенность и неизменность. Согласование проходит быстро, без задержек, а значит, работу можно начинать, не дожидаясь ТЗ в бумажном виде.
Судьба ЭЦП предопределена
Как показывает опыт внедрения новых технологий, необходимыми они становятся тогда, когда на них переходит значительная, возможно даже большая часть участников процесса. Виной ли тому традиционный менталитет отечественного бизнеса или стереотипы, окружающие электронный документ и ЭЦП, но данная технология в нашей стране еще не нашла массового применения. Хотя при этом в России существуют отрасли, отсутствие в которых электронного документооборота и ЭЦП существенно сдерживает их развитие. Излишне говорить, что будущее — за безбумажным документооборотом. Разумеется, определенные шаги в этом направлении уже сделаны. В деловых переговорах уже повсеместно используются цифровые каналы, посредством которых предприятия обмениваются электронными документами различной значимости. Смогут ли электронные документы когда-нибудь полноценно заменить бумажные? Ответ на этот вопрос даст время и практика использования электронной цифровой подписи.
Полдела сделано...
«Для использования ЭЦП необходим удостоверяющий центр, который подтвердит, что сертификат выдан именно тому лицу, которое его применяет. Он заверяет сертификаты своей подписью, хранит базы сертификатов с открытыми ключами и обеспечивает к ним доступ, а также позволяет проверить подлинность сертификатов. В 2002 году был принят ключевой нормативно-правовой акт для придания ЭЦП в России юридической силы — Закон “Об ЭЦП”. В документе говорится, что деятельность удостоверяющего центра для корпоративной информационной системы определяется ее владельцем или соглашением ее участников, то есть договорными отношениями. Целью же закона является “обеспечение правовых условий использования электронной цифровой подписи в электронных документах”. Так, закон закрепляет, что ЭЦП эквивалентна собственноручной подписи при соблюдении определенных условий. Но, несмотря на значимость Закона “Об ЭЦП”, он все еще не работает в полную силу. Не хватает нормативного акта, который будет регулировать деятельность корневого федерального удостоверяющего центра. Сам центр уже готов к эксплуатации, его задачами будут проверка подлинности сертификатов для обеспечения юридической значимости ЭЦП, а также взаимодействие с удостоверяющими центрами других стран.
В свете развития международного сотрудничества как на государственном уровне, так и на уровне коммерческих компаний встает вопрос использования ЭЦП при трансграничном электронном документообороте. Основная проблема при этом заключается в отсутствии единых стандартов на используемые криптоалгоритмы. В России существует система обязательной сертификации криптографических средств в ФСБ (лишь те средства, которые реализуют алгоритмы ГОСТ, могут быть сертифицированы). Во многих странах используется алгоритм RSA (или DSA), который в России не может быть сертифицирован. Хотя законодательство в Европе более либеральное и позволяет использовать различные алгоритмы, возникает преграда в виде ограничений на экспорт российской криптографии».
Владислав Ершов, ведущий системный аналитик отдела информационной безопасности компании «Открытые Технологии»
«Есть загвоздки при внедрении...»
Для того чтобы использовать ЭЦП и обеспечить юридическую значимость подписанных электронных документов компании, придется провести большую работу. Во-первых, потребуется создать технологическую инфраструктуру, во-вторых, разработать организационно-распорядительную основу, то есть подготовить пакет документов, которые будут определять порядок работы с ЭЦП и подписанными документами. Кроме того, необходимо обозначить, какие сотрудники и за что отвечают, в отношении каких документов применяется ЭЦП, как будут разрешаться конфликтные ситуации в случае возникновения споров, касающихся действительности ЭЦП, и т. д. Следующий этап — проведение юридической оценки разработанной документации. Во время этой процедуры проверяется соответствие пакета организационно-распорядительных документов и зафиксированных в них процессов требованиям российского законодательства, действующим корпоративным нормам и положениям, касающимся организации делопроизводства и защиты информации. На данном этапе не обойтись без привлечения высококвалифицированных экспертов. В конечном счете качественно проработанная организационно-распорядительная база помогает минимизировать или вовсе исключить риски, связанные с использованием ЭЦП в юридически значимом электронном документообороте. Как правило, в процессе использования ЭЦП проблемы возникают при организации юридически значимого документооборота между двумя и более компаниями, которые применяют разные способы или системы информационного обмена. К примеру, на одном предприятии система документооборота (СД) построена на базе Lotus/Notes, в другом — как таковая отсутствует и документы передаются в формате Microsoft Word. Как сделать так, чтобы эти организации могли совместно использовать ЭЦП и обмениваться электронными документами, которые бы имели юридическую значимость для каждой из сторон? Можно интегрировать две системы, объединив требования и доработав каждую из них. Но это на сегодня не самый простой и дешевый путь, и его успех зависит от того, насколько схожи СД компаний. Однако есть и альтернативный подход. Он заключается в трансляции одного формата в другой (например, формата Lotus Notes в Microsoft Word и обратно) с переносом свойств юридической значимости. У этого способа также есть ряд недостатков, но он позволяет найти компромисс между разнородными системами. Существуют сервисные системы защищенного информационного обмена, которые позволяют пользователям включать в процессы юридически значимого обмена документами различных контрагентов, не изменяя инфраструктуру. В программах используется единый формат документов — один из трех, получивших распространение в мировой практике.
Еще одна серьезная сложность связана с длительным хранением документов, подписанных ЭЦП. Форматы документов и технологии их защиты постоянно меняются, поэтому достоверность подписи и юридическая значимость самого документа время от времени должны подтверждаться. Чтобы «законсервировать» юридическую значимость документа, необходимо организовать его периодическое переподписание. Например, по истечении «срока жизни» одного стандарта ЭЦП «старый» документ подписывается по новому стандарту, и таким образом продлевается срок действия ЭЦП. Аналогичным образом через определенные промежутки времени должна происходить конвертация устаревших форматов самого электронного документа в новые (например, из Microsoft Word 2000 в Microsoft Word 2007) с подтверждением корректности переноса содержимого. Разумеется, эти процедуры также автоматизированы и происходят без вмешательства пользователей.
Автор - эксперт департамента систем информационной безопасности компании «АйТи»
Статья получена: Клерк.Ру