Правила по обеспечению информационной безопасности на рабочем месте — Удостоверяющий центр СКБ Контур

Основные понятия

Система − автоматизированная информационная система передачи и приема информации в электронном виде по телекоммуникационным каналам связи в виде юридически значимых электронных документов с использованием средств электронной подписи.Автоматизированное рабочее место (АРМ) – ПЭВМ, с помощью которой пользователь осуществляет подключение для работы в Системе.

Cредство криптографической защиты информации (СКЗИ) − средство вычислительной техники, осуществляющее криптографическое преобразование информации для обеспечения ее безопасности.

Электронная подпись (ЭП) − информация в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию.

Ключ ЭП – уникальная последовательность символов, предназначенная для создания электронной подписи. Ключ ЭП хранится пользователем системы в тайне. В инфраструктуре открытых ключей соответствует закрытому ключу ЭЦП.

Ключ проверки ЭП – уникальная последовательность символов, однозначно связанная с ключом электронной подписи и предназначенная для проверки подлинности электронной подписи. Ключ проверки ЭП известен всем пользователям системы и позволяет определить автора подписи и достоверность электронного документа, но не позволяет вычислить ключ электронной подписи.

Сертификат ключа проверки ЭП – электронный документ или документ на бумажном носителе, выданные удостоверяющим центром либо доверенным лицом удостоверяющего центра и подтверждающие принадлежность ключа проверки электронной подписи владельцу сертификата ключа проверки электронной подписи.

Удостоверяющий центр – юридическое лицо или индивидуальный предприниматель, осуществляющие функции по созданию и выдаче сертификатов ключей проверки электронных подписей, а также иные функции, предусмотренные законодательством.

Владелец сертификата ключа проверки ЭП – лицо, которому в установленном порядке выдан сертификат ключа проверки электронной подписи.Средства ЭП − шифровальные (криптографические) средства, используемые для реализации хотя бы одной из следующих функций — создание электронной подписи, проверка электронной подписи, создание ключа электронной подписи и ключа проверки электронной подписи.

Сертификат соответствия − документ, выданный по правилам системы сертификации для подтверждения соответствия сертифицированной продукции установленным требованиям.

Подтверждение подлинности электронной подписи в электронном документе − положительный результат проверки соответствующим средством ЭП принадлежности электронной подписи в электронном документе владельцу сертификата ключа проверки подписи и отсутствия искажений в подписанном данной электронной подписью электронном документе.

Компрометация ключа − утрата доверия к тому, что используемые ключи обеспечивают безопасность информации. К событиям, связанным с компрометацией ключей, относятся, включая, но не ограничиваясь, следующие:

  • Потеря ключевых носителей.
  • Потеря ключевых носителей с их последующим обнаружением.
  • Увольнение сотрудников, имевших доступ к ключевой информации.
  • Нарушение правил хранения и уничтожения (после окончания срока действия) закрытого ключа.
  • Возникновение подозрений на утечку информации или ее искажение в системе конфиденциальной связи.
  • Нарушение печати на сейфе с ключевыми носителями.
  • Случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что, данный факт произошел в результате несанкционированных действий злоумышленника).

Общие принципы организации информационной безопасности в Системе

Криптографическая подсистема Системы опирается на отечественное законодательство в области электронной подписи, инфраструктуры открытых ключей и защиты информации, в том числе, на действующие ГОСТ и руководящие документы ФСБ и ФСТЭК, а также на международный стандарт X.509, определяющий принципы и протоколы, используемые при построении систем с открытыми ключами.

Инфраструктура открытых ключей − это система, в которой каждый пользователь имеет пару ключей − закрытый (секретный) и открытый. При этом по закрытому ключу можно построить соответствующий ему открытый ключ, а обратное преобразование неосуществимо или требует огромных временных затрат.

Каждый пользователь Системы генерирует себе ключевую пару, и, сохраняя свой закрытый ключ в строгой тайне, делает открытый ключ общедоступным. С точки зрения инфраструктуры открытых ключей, шифрование представляет собой преобразование сообщения, осуществляемое с помощью открытого ключа получателя информации.

Только получатель, зная свой собственный закрытый ключ, сможет провести обратное преобразование и прочитать сообщения, а больше никто сделать этого не сможет, в том числе − и сам отправитель шифрограммы. Электронная подпись в инфраструктуре открытых ключей − это преобразование сообщения с помощью закрытого ключа отправителя.

Обязательным участником любой инфраструктуры открытых ключей является Удостоверяющий центр, выполняющий функции центра доверия всей системы документооборота. При этом Удостоверяющий центр обеспечивает выполнение следующих основных функций:

  • выпускает сертификаты ключей проверки электронных подписей и выдает их пользователям;
  • выдает пользователям средства электронной подписи;
  • создает по обращениям заявителей ключи электронных подписей и ключи проверки электронных подписей;
  • получает и обрабатывает сообщения о компрометации ключей; аннулирует выданные этим удостоверяющим центром сертификаты ключей проверки электронных подписей, доверие к которым утрачено;
  • ведет реестр выданных и аннулированных этим удостоверяющим центром сертификатов ключей проверки электронных подписей (далее — реестр сертификатов), в том числе включающий в себя информацию, содержащуюся в выданных этим удостоверяющим центром сертификатах ключей проверки электронных подписей, и информацию о датах прекращения действия или аннулирования сертификатов ключей проверки электронных подписей и об основаниях таких прекращения или аннулирования и обеспечивает доступ лиц к информации, содержащейся в реестре сертификатов;
  • проверяет уникальность ключей проверки электронных подписей в реестре сертификатов;
  • осуществляет по обращениям участников электронного взаимодействия проверку электронных подписей;
  • определяет порядок разбора конфликтных ситуаций и доказательства авторства электронного документа.

Свою деятельность Удостоверяющий центр осуществляет в строгом соответствии с законодательством, собственным регламентом и соглашениями между участниками электронного взаимодействия. Благодаря соблюдению необходимых требований исключаются риски, связанные с юридической значимостью документов, подписанных электронной подписью, и снижаются риски несоответствия условий использования электронной подписи установленному порядку.

Сертификат ключа проверки ЭП заверяется электронной подписью Удостоверяющего центра и подтверждает факт владения того или иного участника документооборота тем или иным ключом проверки ЭП и соответствующим ему ключом ЭП. Благодаря сертификатам, пользователи Системы могут опознавать друг друга, а, кроме того, проверять принадлежность электронной подписи конкретному пользователю и целостность (неизменность) содержания подписанного электронного документа. Таким образом исключаются риски, связанные с подтверждением подлинности пользователя и отказом от содержимого документа.

Преобразования сообщений с использованием ключей достаточно сложны и производятся с помощью специальных средств электронной подписи. В Системе для этих целей используется СКЗИ, имеющее сертификат соответствия установленным требованиям как средство электронной подписи. Данное СКЗИ − это программное обеспечение, которое решает основные задачи защиты информации, а именно:

  • обеспечение конфиденциальности информации − шифрование для защиты от несанкционированного доступа всех электронных документов, которые обращаются в Системе;
  • подтверждение авторства документа — применение ЭП, которая ставится на все возникающие в Системе электронные документы; впоследствии она позволяет решать на законодательно закрепленной основе любые споры в отношении авторства документа;
  • обеспечение неотрекаемости − применение ЭП и обязательное сохранение передаваемых документов на сервере Системы у отправителя и получателя; подписанный документ обладает юридической силой с момента подписания: ни его содержание, ни сам факт существования документа не могут быть оспорены никем, включая автора документа;
  • обеспечение целостности документа − применение ЭП, которая содержит в себе хэш-значение (усложненный аналог контрольной суммы) подписываемого документа; при попытке изменить хотя бы один символ в документе или в его подписи после того, как документ был подписан, будет нарушена ЭП, что будет немедленно диагностировано;
  • аутентификация участников взаимодействия в Системе − каждый раз при начале сеанса работы сервер Системы и пользователь предъявляют друг другу свои сертификаты и, таким образом, избегают опасности вступить в информационный обмен с анонимным лицом или с лицом, выдающим себя за другого.
Читайте также:  Как получить электронную подпись для портала госуслуг? -

Уровень защищенности Системы в целом равняется уровню защищенности в ее самом слабом месте. Поэтому, учитывая то, что система обеспечивает высокий уровень информационной безопасности на пути следования электронных документов между участниками документооборота, для снижения или избежания рисков необходимо так же тщательно соблюдать меры безопасности непосредственно на рабочих местах пользователей.

В следующем разделе содержатся требования и рекомендации по основным мерам информационной безопасности на рабочем месте пользователя.

Законодательное регулирование

Российское законодательство в течение
последних нескольких лет начинает активно проявлять интерес к высоким
технологиям. Однако пока мы идем с отставанием, по сравнению с рядом зарубежных
стран, в области правового регулирования информационных технологий и
документооборота в частности.

Последним прямо настоящим прорывом было принятие
федерального закона от 10 января 2002 «Об электронной цифровой подписи». В нем
ЭЦП приравнена к собственноручной подписи при соблюдении соответствующих
условий указанных в законе и даже может рассматриваться заменой печати
организации, естественно так же при соблюдении соответствующих условий.

Помимо
указанного ФЗ «Об ЭЦП» сейчас электронный документооборот в нашей стране
регулируется рядом следующих законов: ФЗ «Об информации, информатизации и
защите информации», который содержит формальные определения таких понятий, как
«информация», «документированная информация», «документ», «информатизация»,
«информационные ресурсы».

Федеральный законы «О связи» и «Об участии
в международном информационном обмене» также определяют понятия
«документированная информация», «информационные ресурсы», «информационные продукты»,
«информационные услуги». Например, под «документом» здесь понимается
«зафиксированная на материальном носителе информация с реквизитами,
позволяющими ее идентифицировать».

Косвенно электронного документооборота также
касается закон «О лицензировании отдельных видов деятельности», устанавливающий
обязательность лицензирования деятельности по выдаче сертификатов ключей ЭЦП,
регистрации владельцев ЭЦП, оказанию услуг, связанных с использованием ЭЦП, и
подтверждению подлинности ЭЦП.

Здесь же предусмотрено лицензирование
деятельности: по распространению шифровальных (криптографических) средств, по
техническому обслуживанию шифровальных (криптографических) средств, по
предоставлению услуг в области шифрования информации, по разработке,
производству шифровальных (криптографических) средств, защищенных с
использованием шифровальных (криптографических) средств информационных систем,
телекоммуникационных систем.

Кроме того, есть целый ряд ГОСТов. ГОСТ
6.10.4-84 «Придание юридической силы документам на машинном носителе и
машинограмме, создаваемым средствами вычислительной техники», определяющий
требования к составу и содержанию реквизитов, придающих юридическую силу
документам на машинных носителях, информации, создаваемым средствами
вычислительной техники, а также порядок внесения изменений в указанные
документы;

ГОСТ 28147-89 «Системы обработки информации. Защита
криптографическая. Алгоритмы криптографического преобразования»;  ГОСТ Р
34.10-94 «Информационная технология. Криптографическая защита информации.
Процедуры выработки и проверки электронной цифровой подписи на базе
асимметричного криптографического алгоритма».

Список законов и государственных
стандартов представлен здесь не полно, кроме указанных существует еще ряд
постановлений, указов, писем, стандартов, для описания которых потребуется,
наверное, отдельный выпуск журнала. Следует заметить, что работа в правом
регулирования области ИТ продолжается и сейчас.

В Государственной думе во
втором чтении был принят законопроект нового закона «Об информации,
информационных технологиях и о защите информации». Данный проект закона
определяет порядок сбора, передачи, производства и распространения информации в
РФ, использования информационно-телекоммуникационных сетей, устанавливает
ответственность за нарушения в сфере информтехнологий и коммуникаций.

Вводятся
новые понятия («обладатель информации», «информационная технология», «оператор
информационной системы» и другие), обеспечивающие однозначное толкование
законодательных норм. За обладателем информации закрепляются исключительные
права на определение доступа к информационным ресурсам и их использование.

Законопроект вводит классификацию информации по критериям доступности и
способам распространения. Фиксируется «презумпция открытости информации о
деятельности государственных органов и органов местного самоуправления». В
проекте закона записано, что «право на доступ к какой-либо информации не может
быть использовано для насильственного изменения основ конституционного строя,
нарушения территориальной целостности РФ, создания угроз обороне страны,
безопасности государства и охране правопорядка».

Защита данных

Процесс защиты информации в системах электронного документооборота включает три задачи: 

1. Защита архива файлов и информации от уничтожения и иных угроз в случае аппаратных сбоев или в результате намеренных действий пользователей. Таким образом, вполне может быть утрачен накопленный архив. И если для созданных ранее могут остаться неоцифрованные бумажные оригиналы, то созданные уже в электронном виде файлы могут погибнуть безвозвратно.

2. Защита информации от утечек при ее нахождении в  ЭДО или при передаче в облачное хранилище либо контрагентам.

3. Защита информации от копирования любым способом. 

4. Защита данных от уничтожения.

Часто называются и такие риски, как намеренное искажение данных, подмена маршрутов следования, хакерские атаки. Но на практике они уже решены разработчиком, причем первые и вторые риски легко выявляются каждым следующим назначенным исполнителем или при его регистрации, а защита от хакерских атак окажется общей для всей организации.

Все эти задачи решаются по-разному, как на уровне разработчиков программного продукта, так и на уровне служб безопасности и IT-подразделений предприятия. Самостоятельное построение модели угроз и ее отражение в архитектуре ведренной программы ЭДО не будут целесообразными решениями, каждый разработчик уже готов предложить целостную концепцию защиты данных, предусматривающую все актуальные угрозы.

Важными остаются организационные меры безопасности, состоящие в повышении ответственности сотрудников при работе с конфиденциальными данными. Здесь традиционно используются правовые методы, а именно:

  • разработка положения о коммерческой тайне;
  • включение в перечень конфиденциальной информации всех копий и окончательных версий файлов, содержащихся в ЭДО;
  • включение в трудовые договоры сотрудников оговорки об ответственности за разглашение коммерческой тайны.
Читайте также:  Как перегенерировать сертификат в сбербанк бизнес онлайн: обновить перевыпуск, генерация сертификата, как сгенерировать ключи, как подтвердить доверенность, истекает срок действия полномочий, инструкция по обновлению удостоверения

Кроме того, необходим стандартный контроль за действиями сотрудников. По данным собственного исследования «СёрчИнформ», человеческий фактор становится причиной 74% утечек ценных данных. Контроль допуска внешних посетителей в кабинеты сотрудников и исключение вероятности создания снимков документов третьими лицами при помощи мобильного устройства также является одной из задач службы безопасности.

Как и где используется электронный документооборот

Сущность системы ЭДО проста. Каждый возникающий в компании документ общераспорядительного и правового характера – приказ, договор, внутреннее положение – становится базовой единицей, подлежащей обработке в ЭДО. Бухгалтерские и производственные документы (накладные, счета-фактуры, путевые листы) обычно не обрабатываются таким образом. Но это правило работает только для стандартных программ, обеспечивающих делопроизводство.

Многофункциональные современные программные продукты предлагают в качестве дополнительных финансовые блоки и CRM-модули, хранящие и обрабатывающие информацию, связанную с взаимодействием с клиентами. Если контрагенты по какому-либо договору приняли решение подписывать все связанные с ним  приложения электронной подписью (ЭП), в систему документооборота попадут накладные и счета-фактуры, которыми будут обмениваться поставщик и покупатель или заказчик и подрядчик, при этом информация из них будет оперативно перекачиваться в бухгалтерские и производственные модули.

Наличие электронных подписей, сгенерированных разными удостоверяющими центрами, не станет проблемой, если разработчик программного обеспечения предоставил возможность пользователю работы с разными сертификатами. Это предусмотрено в большинстве программных продуктов, работающих с ЭП как с необходимой опцией, то есть для всех, кроме простых, предназначенных для офисного делопроизводства.

Документ при обработке получает свой уникальный номер и карточку, в которой отмечаются все этапы его жизни. В карточку попадает следующая информация:

  • инициатор – лицо и подразделение;
  • целевой характер;
  • цена (если она предусмотрена, например, для договоров);
  • классификация – общехозяйственные договоры, приказы, поручения, протоколы;
  • маршрут согласования, он может быть разным для головного офиса и филиалов, для документов разного целевого назначения, разной стоимости – меняются согласующие подразделения;
  • сделанные при визировании замечания и их судьба;
  • дата итогового визирования;
  • назначенные исполнители;
  • результаты исполнения;
  • дата прекращения срока действия.

На всем протяжении своей жизни документ в той или иной форме – картинки или текстового файла – путешествует по сетям внутри компании и выводится на экраны монитора. На этом пути он неоднократно может быть скопирован, перехвачен, сфотографирован с экрана.

Обзор программ эдо

Выбор ЭДО является задачей, состоящей из нескольких подзадач – определение цены, степени защиты информации, функционала. 

В зависимости от функционала системы ЭДО делятся на несколько групп:

  • программы, работающие в основном как электронный архив. При выборе таких программ акцент делается на удобстве хранения документов и поиска по базе, он может быть более или менее четким или нечетким, по названию, цели, фразам из текста, другим атрибутам;
  • продукты, делающие акцент на удобстве workflow (маршрутизации). Здесь четко прописывается процесс создания и обработки базовой единицы информации, который меняется на каждом этапе его путешествия. Маршрутизация обычно задается жесткая, прописанная программистами для каждого типа изначально;
  • системы гибридного типа, соединяющие преимущества двух предыдущих. Для них характерна наряду с жесткой мягкая маршрутизация, когда путь конкретного файла задается самостоятельно руководителем соответствующего подразделения;
  • ЭДО, предполагающие совместную работу с файлами (collaboration). Они изначально не настроены на жесткую иерархичность и создают удобство для проектных работ, когда каждый участник группы вносит свой вклад в обработку общего решения. Так как они часто используют форумный тип обсуждения и размещение файлов на открытых для общего доступа площадках, вопросы безопасности в них решены наиболее слабо;
  • многозадачные продукты с дополнительными сервисами. Так, CRM может быть встроена в документооборот, а не наоборот.

Вопрос безопасности данных актуален для всех программ, но его решение зависит от еще одного уровня классификации – типа самой ЭДО. Системы могут быть:

  • самостоятельными модулями;
  • облачными решениями;
  • модулями CRM или иной программы управления предприятием.

Выбор будет основан и на том, кто является разработчиком программного обеспечения. В последнее время политика правительства направлена на поддержку отечественных программных продуктов. 

Сейчас на рынке представлены следующие решения, пользующиеся вниманием пользователей, но, к сожалению, в описании разработчиком функционала большинства из них слабо освещен вопрос безопасности:

  • Optima WorkFlow. Ее преимуществом является возможность контролировать процесс общих работ на базе диаграммы Ганта. CRM-функционала нет. Система транспортировки и хранения документов реализована в Windows Exchange, что дает представление об общей степени защищенности.
  • «Е1 Евфрат». Простой электронный архив, где хранятся не файлы, а ссылки на них. Вопрос размещения архива в Интернете с условием надежности хранения службам безопасности придется решать самостоятельно.
  • «1С Документооборот». Задача защиты информации в  ЭДО решается стандартно для семейства программ и зависит от того, где именно хранятся файлы – в облаке или иным способом, на сервере. Права пользователей ранжируются. 
  • «Дело». Программа-маршрутизатор предназначена для оптимизированного делопроизводства. Сохранность документов всецело в руках IT-службы предприятия, так как режим безопасности и права доступа оно определяет самостоятельно. 
  • Directum. Имеет расширенный функционал, помогает в работе с проектами, финансовыми задачами, обращениями граждан (для государственных служб). Архивирование построено по принципам российского законодательства. Безопасность информации обеспечивается тем, что для сторонних посетителей файлы представлены в формате читального зала. Реализована модель управления доступом. Применяется шифрование и ЭП.
  • ELMA. Многофункциональная система с хорошей версией безопасности. Реализована модель входа только с доверенных устройств, вход по токену и сертификату.

Стандартный набор угроз

Угрозы для системы электронного
документооборота достаточно стандартны и могут быть классифицированы следующим
образом. Угроза целостности — повреждение и уничтожение информации,
искажение информации — как не намеренное в случае ошибок и сбоев, так
и злоумышленное.

Читайте также:  Многофункциональный электронный портал ЖКХ Новосибирской области :: ЖКХНСО.РФ

Угроза конфиденциальности — это любое нарушение
конфиденциальности, в том числе кража, перехват информации, изменения маршрутов
следования. Угроза работоспособности системы — всевозможные угрозы,
реализация которых приведет к нарушению или прекращению работы системы; сюда
входят как умышленные атаки, так и ошибки пользователей, а также сбои в
оборудовании и программном обеспечении.

Защиту именно от этих угроз в той или иной
мере должна реализовывать любая система электронного документооборота. При
этом, с одной стороны, внедряя СЭД, упорядочивая и консолидируя информацию,
увеличиваются риски реализации угроз, но с другой стороны, как это ни
парадоксально, упорядочение документооборота позволяет выстроить более
качественную систему защиты.

Источников угроз в нашем небезопасном мире
не мало: это и «кривые руки» некоторых системных администраторов, и техника,
которая имеет свойство ломаться в самый не подходящий момент, и форс-мажорные
обстоятельства, которые редко, но все же происходят.

И даже если серверы не
пострадают от пожара, произошедшего в здании, будьте уверенны — их
непременно зальют водой приехавшие пожарники. В целом же, можно выделить
несколько основных групп: легальные пользователи системы, административный
ИТ-персонал, внешние злоумышленники.

Спектр возможных злодеяний легальных
пользователей достаточно широк — от скрепок в аппаратных частях
системы до умышленной кражи информации с корыстной целью. Возможна реализация
угроз в разных классах: угрозы конфиденциальности, угрозы целостности.

Особая группа — это
административный ИТ-персонал или персонал службы ИТ-безопасности. Эта группа,
как правило, имеет неограниченные полномочия и доступ к хранилищам данных,
поэтому к ней нужно отнестись с особым вниманием. Они не только имеют большие
полномочия, но и наиболее квалифицированы в вопросах безопасности и
информационных возможностей.

Не так важен мотив этих преступлений, был ли это
корыстный умысел или ошибка, от которой никто не застрахован, результат
один — информация либо потерялась, либо получила огласку. Согласно
многочисленным исследованиям, от 70 до 80% потерь от преступлений приходятся на
атаки изнутри. Набор внешних злоумышленников сугубо индивидуален. Это могут
быть и конкуренты, и  партнеры, и даже клиенты.

Сэд с поддержкой эцп: в чем выгоды

Основная отличительная черта СЭД с поддержкой
ЭЦП от СЭД без таковой поддержки состоит в том, что электронные документы,
снабженные ЭЦП, являются доказательствами: они документируют решение или
какой-либо факт. Если при возникновении конфликтной ситуации существует
электронный документ, подписанный ЭЦП, то на его основе можно провести
расследование внутри организации, а при необходимости — и с привлечением
третьей стороны (например, в арбитражном суде). СЭД, не предусматривающие ЭЦП,
такой возможности не предоставляют.

Пользователи СЭД без ЭЦП вынуждены доверять
системе, системным администраторам, другим участникам работы с документами,
причем без каких-либо веских на то оснований. При наличии же ЭЦП основания для
доверия есть — это криптографические алгоритмы и протоколы.

Доказательность электронных документов имеет
два важных следствия:

  • возникает возможность полностью
    отказаться от бумажных документов при условии, что это не противоречит
    действующему законодательству (некоторые типы документов требуется иметь в
    бумажном виде). Это позволяет избежать дублирования информации на
    различных носителях, обеспечивает надежное хранение данных и предотвращает
    утечку конфиденциальной информации;
  • отпадает надобность в физической
    передаче сотрудникам бумажных документов, что многократно ускоряет
    процессы принятия решений по документам и доведения решений руководства до
    сотрудников.

Принятие федерального закона “Об
электронно-цифровой подписи” стало точкой отсчета для введения в оборот термина
“юридически значимый электронный документооборот”. Сейчас этот термин
трактуется весьма широко, что часто вызывает недоразумения во взаимоотношениях
заказчиков и разработчиков СЭД.

Чтобы лучше понять этот термин, необходимо
развеять некоторые заблуждения, касающиеся применения ЭЦП в СЭД и обеспечения
юридической значимости документа: по сути электронный документ без ЭЦП
существовать не может. Если ЭЦП не применяется, то можно говорить лишь об
электронном образе документа и не более того.

Никакие графические образы
подписи на документе (например, отсканированный бумажный оригинал) не могут
рассматриваться как аналог собственноручной подписи. Более того, подобная
практика вредна, поскольку создает иллюзию защищенности системы и ее
участников;

важно понимать, что ЭЦП не обеспечивает
конфиденциальность электронного документа. Эту задачу решает шифрование, которое,
в свою очередь, никакого отношения к обеспечению юридической значимости
документа не имеет. В случае совместного использования ЭЦП и шифрования нужно
учитывать, что для того, чтобы ЭЦП была юридически значимой, пользователь
должен видеть и понимать, чтó он подписывает.

с определенностью можно констатировать, что
на сегодняшний день нормативно-правовая и техническая база для реализации
юридически значимого электронного документооборота в масштабах государства в
нашей стране еще не создана. Тем не менее даже в рамках имеющегося
законодательства и технической базы можно реализовать внутренний юридически
значимый электронный документооборот в работе отдельно взятой организации или
нескольких компаний, входящих в одну структуру, — корпоративный электронный
документооборот.

Уже сегодня многие внутренние документы
организации можно перевести в электронный вид (например, служебные записки,
заявки на выделение денежных средств, различные внутренние отчеты, поручения и
т. п.). Необходимо разработать нормативно-правовую базу организации,
регламентирующую применение ЭЦП.

Такой регламент обеспечит электронным
документам юридическую силу — возможность представлять их в суде в качестве
доказательства. Безусловно, небольшая правоприменительная практика вносит
некоторые ограничения в применение ЭЦП, но не является принципиальным барьером
для построения в отдельной компании внутреннего юридически значимого
электронного документооборота.

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

Adblock
detector