Isicad легітимність електронних документів

Сюди можна додати десятки прикладів, як інформаційні технології змінюють наше життя. Але самої архаїчної і важкою ношею для переважної більшості українського бізнесу як і раніше є паперове супровід кожної господарської транзакції: у відвантаженні товару, до обміну думок з якихось договірних відносин за допомогою офіційних листів. Кожне підприємство має паперовий архів, в якому частіше все буває дуже нелегко знайти потрібний документ. Що вже говорити про проектної документації? В процесі проектування будівлі або споруди кількість варіацій одного і того креслення може досягати сотень (приклад: Біла Церква, Єрофій-арена, 194 коригування розділу КР). Насправді люди влаштовані так, що занадто багато чого залишається за межами сухих рядків офіційних документів: неформальні домовленості, що маються на увазі умовчання, тотальне невідповідність написаного на папері з дійсністю: можна привести масу запаморочливих історій з життя крилатої фрази «папір все стерпить». І найнеприємніше - то, що по закінченні навіть невеликого періоду часу практично неможливо відновити повну картину подій, тому що пам'ять у таких випадках «підводить».

Може здатися, що все життя будь-якого підприємства складається тільки з паперів. Чи так це? Чи можна позбутися від 92% паперів? Виявляється, це не просто досягти, але і цілком можливо! Головне в цій непростій ситуації побудувати юридично бездоганну логічну ланцюжок від думок і вчинків людей по пурхання екзабайт інформації між автоматизованими системами. Ось про цю саму ланцюжку ми і поговоримо сьогодні. Відразу попередити, що буде багато цитат законів, написаних неймовірно тужливим бюрократичною мовою, тому пропонуємо запастися терпінням.

Здається, все гранично ясно? На жаль, не зовсім! Електронний цифровий підпис (ЕЦП) не може існувати сама по собі. Для неї необхідний відповідний ландшафт: інформаційна система / набір інформаційних систем, підпорядкованих загальним правилам, що дозволяє зберігати або передавати електронні документи, завірені ЕЦП. Це породжує відразу лавину питань:
  1. Які інформаційні системи (ІС) підходять для зберігання / передачі електронних документів (ЕД)?
  2. Хто може бути власником таких ІС? Які вимоги повинні бути виконані для таких ІС?
  3. Яким чином може бути підтверджена юридична легітимність документа, що зберігається в базі даних (БД) або ІС?
  4. Як бути у випадку настання судової / арбітражної практики? Як довести легітимність електронного документа?
  5. Що потрібно зробити для того, щоб юридично легітимний документ міг потрапити в державну інформаційну систему без спотворень і зберіг свою автентичність?
Спробуємо дуже коротко, схематично позначити можливу для застосування в цьому випадку законодавчу базу, щоб внести ясність у цьому питанні.

1. Які інформаційні системи (ІС) підходять для зберігання / передачі електронних документів (ЕД)?

Умовно можна розбити ІС на два класи систем: внутрішні системи підприємства та публічні комерційні системи, які забезпечують доставку інформації між підприємствами на оплатній основі.

Внутрішні системи - бази даних, системи електронного документообігу підприємства, системи для зберігання проектної / конструкторської документації (PDM, TDM, PLM і т.д.). З ними все досить просто: оператором цієї інформаційної системи є саме підприємство і має повне право встановлювати процедури і регламенти, як технічні, так і організаційні. Проте слід зазначити, що для збереження юридичної значимості документів, їх слід завіряти кваліфікованої електронним підписом, виданого акредитованим центром, що засвідчує. На чому базується це твердження? Все дуже просто: діяльність акредитованого посвідчує центру (місце видачі ЕЦП і ведення реєстру відкликаних / анульованих сертифікатів ЕЦП) строго регламентована і будь-які підробки, видача некоректних ЕЦП для підробки документів як правило, легко виявляється і закінчується припиненням діяльності УЦ (засвідчувального центру). Звідси випливає, що документи у внутрішній інформаційній системі підприємства, завірені ЕЦП, виданого акредитованим УЦ однозначно фіксують дату проведення транзакції (запевнення файлу) і легітимність цієї ЕЦП в момент виконання такої дії.

Другий аспект: кваліфікована посилена електронний підпис (63-ФЗ) містить не тільки відомості про власника ЕЦП, а й явно вказує його трудові відносини з підприємством, в тому числі займану посаду. Зрозуміло, це можна реалізувати і за допомогою внутрішнього УЦ підприємства: додати додаткове службове поле не складно, але внутрішній засвідчує центр підприємства керівництво підприємства завжди може змусити видати іншу ЕЦП для здійснення протиправних дій, наприклад, змінивши дату видачі.

2. Хто може бути власником таких ІС? Які вимоги повинні бути виконані для таких ІС?

Публічні комерційні системи на території Укаїни в даний час можна умовно розділити на кілька великих груп.

1. Закриті комерційні інформаційні системи, створені для вирішення класу специфічних завдань. Яскравий приклад - системи Банк-клієнт, які використовують системи криптографічного захисту інформації для пересилки всередині приватної системи конкретного банку. Юридична легітимність такого обміну зашифрованими повідомленнями підтверджується текстом договірних відносин між клієнтом і банком, де в явному вигляді прописано згоду клієнта і банку визнавати легітимність електронних документів, що циркулюють в такій закритій системі.

2. Відомчі системи органів державної влади і природних монополій. Незважаючи на наявність уніфікованих вимог в рамках 63-ФЗ, кожна відомча система пред'являє ряд додаткових вимог. Один з яскравих прикладів - електронна торговельна площадка ВАТ РЖД, де в структуру службових полів самої ЕЦП доданий ряд специфічних вимог. Так само можна відзначити, що кожне державне відомство намагається будувати свій набір вимог, що найчастіше обумовлено наявністю у них успадкованих систем з досить екзотичними підходами, наприклад, Пенсійний фондУкаіни, що використовують в якості базового криптографічного засобу вирішення Інфотекс - ViPNet, хоча рішення компанії КріптоПро поширені набагато більше. Сумісність систем в загальному просторі довіри можлива, але на жаль, тільки із застосуванням різних хитрувань, які забезпечують трансляцію при передачі інформації. Ну і зрозуміло, електронні торгові майданчики - до сих пір використовуються ЕЦП, видані з розширеним набором додаткових службових полів, несумісні з інформаційними системами інших відомств.

3. Найбільш серйозно просунулися в справі уніфікації інформаційних систем Мінкомзв'язку, Мінфін разом з ФНСУкаіни. Так як майже 90% юридичних осіб (40% індивідуальних підприємців) на території Укаїни здають звіти в ФНС через Інтернет, то наймасовішими виявилися ЕЦП, видані для використання саме в зв'язці з ФНСУкаіни.

3. Яким чином може бути підтверджена юридична легітимність документа, що зберігається в базі даних (БД) або ІС?

Знову розглянемо два класи ІС - внутрішні ІС підприємств і публічні комерційні системи.

Для внутрішніх ІС все досить просто - використання посиленою кваліфікованої ЕЦП, виданої УЦ, акредитованим Мінкомзв'язку і УЦ ГНІВЦ ФНСУкаіни одночасно. Друга необхідна і достатня умова - наявність програмної серверної інфраструктури на основі сертифікованих ФСБУкаіни ЗКЗІ (засобів криптографічного захисту інформації).

Для публічних ІС в ідеальному випадку потрібно розробляти свої власні накази, що описують вимоги з метою дотримання легітимності. З огляду на серйозні напрацювання в цій проблематиці з боку Мінфіну і ФНСУкаіни найбільш логічним є можливість використання не тільки напрацьованої методичної бази, але і вже сформованої опорної інфраструктури діючих операторів електронного документообігу. Такий підхід дозволяє практично моментально приступити до обміну електронними документами. Переваги такого підходу очевидні, але на жаль, поки не оформлені документально. З огляду на жорсткі умови отримання фінансування за цільовим принципом слід очікувати в найближчий час ярмарки найяскравіших винаходів з боку всіх державних відомств в справі отримання фінансування з побудови своїх власних інформаційних систем, несумісних один з одним.

4. Як бути у випадку настання судової / арбітражної практики? Як довести легітимність електронного документа?

Для механізмів роботи через операторів електронного документообігу (ЕДО) все вже давно сформульовано з точки зору законодавства і не потребує додаткових пояснень. Як правило, на сайтах усіх операторів ЕДО є спеціальний розділ. присвячений даній тематиці.

5. Що потрібно зробити для того, щоб юридично легітимний документ міг потрапити в державну інформаційну систему без спотворень і зберіг свою автентичність?

Тут все теж просто і очевидно: треба дотримуватися правил гри, зазначені на рівні державних стандартів в цьому питанні. Зазначу, що кожне державне відомство, закрита і публічна інформаційна система висуває свій власний набір вимог з структурі електронного документа, обумовлений вже наявним програмним середовищем і можливістю обробки вмісту файлу. На жаль, насправді все набагато простіше: є дві державні системи, які підходять під опис «системи систем».

Окремо стоїть питання про те, які саме формати файлів слід використовувати для передачі інформації, хоча на рівні держави питання вирішене вже досить давно з великою визначеністю: це використання формату XML. Специфічні, галузеві формати файлів в цьому випадку повинні бути упаковані всередину формату XML, для можливої ​​подальшої інтерпретації у внутрішніх відомчих системах. Як приклад такого підходу можна розглянути рішення Росреестра.

У нашому випадку ключовим є питання про те, як налагодити уніфікований канал юридично значимої інформації від бізнесу в ОГВ? На наш погляд, необхідною і достатньою умовою цієї реалізації може стати побудова шлюзів між операторами електронного документообігу та СМЕВ. Це справа самої найближчої перспективи, що має колосальний ефект для підвищення якості державного управління і вирішення питання комунікацій між бізнесом і державою. Щиро сподіваємося, що це відбудеться в самий найближчий час!

На жаль, в даний час єдиний розумний канал комунікацій в електронному вигляді - це опція неформализованного обміну довільними файлами всередині сервісу конкретного ОГВ (наприклад, ФНСУкаіни).