четверг, 18 марта 2010 г.

Электронный документооборот между органами государственной власти Костромской области будет вестись с использованием ЭЦП

Правила организации электронного документооборота исполнительных органов государственной власти Костромской области с использованием электронной цифровой подписи утверждены постановлением администрации Костромской области от 18 ноября 2009 г. № 383-а.

Правила вводят понятие «уполномоченного лица» и устанавливают, что «состав лиц, наделенных правом использования ЭЦП, утверждается распоряжением (приказом) руководителя организации» (п.5). Интересен круг их обязанностей:
«Правила организации электронного документооборота исполнительных органов государственной власти Костромской области с использованием электронной цифровой подписи» (утв. постановлением администрации Костромской области от 18 ноября 2009 г. № 383-а)

4. Для целей настоящих Правил используются следующие понятия:
...
уполномоченное лицо - должностное лицо организации, уполномоченное распоряжением (приказом) организации на использование ЭЦП, на имя которого уполномоченным органом выдан сертификат ключа подписи и которое владеет соответствующим закрытым ключом ЭЦП, позволяющим с помощью средств ЭЦП создавать ЭЦП в ЭД (подписывать ЭД);

6. Уполномоченные лица организаций осуществляют формирование и подготовку электронных документов, их заверение ЭЦП, отправку/получение электронных документов, проверку подлинности ЭЦП на электронных документах, хранение и обработку электронных документов, их учет и регистрацию.
Непонятно, правда, зачем обязательно нужно иметь собственную ЭЦП тем, кто занят формированием и подготовкой электронных документов, их хранением и обработкой, или проверкой подлинности ЭЦП. Если положения «Плавил» исполнять буквально, то придётся либо выдавать ЭЦП тем сотрудникам, которым они не нужны, либо заставлять ответственных сотрудников выполнять большие объёмы технической работы, которую в бумажном делопроизводстве ведет служба документационного обеспечения управления.

Интересно описаны сами электронные документы. В Костромской области они составные, и «включают в себя содержательную и сопроводительную части»:
8. Используемые организациями ЭД включают в себя содержательную и сопроводительную части.

9. Оформление, порядок подготовки и согласования содержательной части ЭД регламентируются документами организации и аналогичны порядку подготовки документов на бумажных носителях, за исключением того, что ЭД на каждом этапе согласования (визирования) заверяется не собственноручной подписью, а ЭЦП соответствующего уполномоченного лица организации.

10. Сопроводительная часть ЭД содержит одну или несколько ЭЦП, заверяющих содержательную часть ЭД, другую служебную информацию (метки времени, замечания и т.д.). Сопроводительная часть является неотъемлемой составляющей ЭД и обеспечивает подтверждение его подлинности (контроль авторства и целостности) и признание юридической силы электронного документа.
Следует отметить, что в «Правилах» акцентировано внимание на ответственности за правовые последствия вследствие использования электронных документов. Важным моментом является то, что, согласно п.15, организация несёт всю полноту ответственности за документы, подписанные правильной ЭЦП их сотрудников.

С одной стороны, это защищает от попыток организаций переложить всю ответственность на отдельных сотрудников. С другой стороны – такое положение делает организацию более уязвимой в случае действий злоумышленников, получивших доступ к средствам создания ЭЦП. Кроме того, остается открытым часто возникающий вопрос о том, считается ли ЭЦП подлинной, если она проставлена не самим владельцем ЭЦП, а другим лицом, в т.ч. с ведома владельца (например, секретарем руководителя).
15. Ответственность за правовые последствия, ставшие следствием исполнения ЭД, заверенного подлинными ЭЦП, несет организация, уполномоченные лица которой заверили подготовленный ЭД. Мера ответственности определяется в порядке, установленном законодательством Российской Федерации.

16. В случае наличия в ЭД конфиденциальной информации организации обязаны соблюдать установленные требования по защите конфиденциальной информации на всех этапах ее обработки, хранения и передачи. Организация, допустившая нарушения требований по защите конфиденциальной информации, несет ответственность в соответствии с законодательством Российской Федерации.
Отправку и получение электронных документов осуществляет оператор. Он ведет журналы «учета отправленных ЭД и полученных подтверждений об их доставке» (п.19) и «журнал учета полученных ЭД и отправленных подтверждений об их доставке» (п.24.). В правилах зафиксировано, какие действия должен предпринять оператор при отправке и получении документов.
20. Оператор обязан перед отправкой:
  • проверить подлинность ЭЦП ЭД;
  • проверить статус соответствующих сертификатов ключей подписи;
  • сверить полномочия лиц, сформировавших ЭЦП;
  • сохранить отправляемый ЭД с ЭЦП в архиве;
  • заверить отправляемый ЭД ЭЦП, используя свой закрытый ключ ЭЦП.
25. Перед направлением ЭД исполнителю оператор обязан:
  • проверить подлинность ЭЦП ЭД;
  • проверить статус соответствующих сертификатов ключей подписи;
  • сверить полномочия лиц, сформировавших ЭЦП;
  • сохранить полученный ЭД с ЭЦП в архиве;
  • удалить ЭЦП оператора организации-отправителя;
  • заверить отправляемый ЭД ЭЦП, используя свой закрытый ключ ЭЦП.
Таким образом, пересылка документа осуществляется с двумя ЭЦП – уполномоченного лица и оператора. Из текста «Правил» не совсем, правда, понятно, зачем нужна эта дополнительная подпись оператора (скорее всего это связано с тем, что в регионе не выстроена единая инфраструктура открытых ключей для государственных органов).

Кроме того, в «Правила» включены положения, предусматривающие возможность отправки и получения электронных документов самими исполнителями. Это хорошее решение, обеспечивающее необходимую гибкость создаваемой системы.
21. Отправка ЭД может осуществляться непосредственно исполнителем ЭД при условии выполнения им требований пунктов 19, 20 настоящих Правил.

26. Получение ЭД может осуществляться непосредственно исполнителем ЭД при условии выполнения им требований пунктов 24, 25 настоящих Правил.
Вопрос подтверждения доставки электронных документов выделен в самостоятельную главу (гл. 7). Такое подтверждение предполагается использовать «С целью предупреждения конфликтных ситуаций, возникающих вследствие отрицания организацией факта отправки или получения ЭД» (п.29). Предполагается использование двух типов уведомлений.
30. Возможно использование следующих типов уведомления о доставке:
  1. техническое уведомление о доставке ЭД адресату. При этом техническое уведомление представляет собой ЭД, автоматически (средствами системы электронной почты), без участия оператора, сформированный и заверенный ЭЦП, которой соответствует обезличенный сертификат ключа подписи, зарегистрированный за АРМ обмена ЭД;

  2. служебное уведомление о доставке ЭД. При этом служебное уведомление представляет собой ЭД, формируемый и заверенный ЭЦП соответствующим уполномоченным лицом организации, получившим ЭД. Доставка служебных уведомлений подтверждается техническим уведомлением либо извещением о доставке другим доступным способом.
Отдельная глава посвящена ведению учета электронных документов. Следует отметить, что требования к ведению учета электронных документов отличаются от учета бумажных документов (что, с моей точки зрения, неправильно): в журналы регистрации требуется вносить дополнительные реквизиты по каждому документу, что достаточно обременительно, особенно если учет будет вести исполнитель документа.

Мне, правда, трудно понять, в чём смысл записи в журнал, например, номеров сертификатов ключей подписи – это лишняя информация, ненужная самому государственному органу и не имеющая никакой доказательной силы. Также ненужной информацией является и «время формирования ЭЦП» (по каким часам?). Важно, чтобы подпись успешно проверилась… Ну и, конечно, я бы сто раз подумала о том, стоит ли осуществлять ведение бумажного журнала учета электронных документов.
Глава 9. Учёт ЭД

34. Учет ЭД осуществляется путем автоматизированного ведения электронных журналов учета или ведения журналов учета на бумажных носителях.

35. Учет ЭД ведется с обязательным указанием следующих реквизитов: даты и регистрационного номера ЭД, номеров сертификатов ключей подписи лиц, заверивших ЭД ЭЦП, времени формирования ЭЦП, времени отправки/получения ЭД, времени отправки/получения уведомления о доставке ЭД, результатов проверки ЭД в порядке, установленном для учета документов на бумажных носителях.

36. Учет ЭД ведется как оператором, так и исполнителями ЭД.
Кроме того, в документе много внимания уделено вопросам хранения электронных документов. (Окончание следует)

Источник: сайт «Региональное законодательство»
http://www.regionz.ru/index.php?ds=440547

6 комментариев:

  1. Добрый день! Действительно молодцы. Особенно потому что не побоялись использовать ГОСТ Р 52292-2004 «Информационная технология. Электронный обмен информацией. Термины и определения», где установлены следующие значения терминов «электронный документ» и «документ электронный»:
    Электронный документ (ЭлД) – форма представления документа в виде множества взаимосвязанных реализаций в электронной среде и соответствующих им взаимосвязанных реализаций в цифровой среде.
    Документ электронный (ДЭ) – информационный объект, состоящий из двух частей:
     реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т. д.) и электронную цифровую подпись;
     содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого.
    При необходимости ДЭ может приобретать различные формы визуального отображения: на экране или бумаге.
    Единственно чего пока (возможно не успели) не сделали – так это учесть ГОСТ Р ИСО 23081-1-2009 «Система стандартов по информации, библиотечному и издательскому делу. Процессы управления документами. Метаданные для документов. Часть 1». В частности, следующие международные рекомендации: «Все метаданные о документе формируют новый документ, а именно документ метаданных… Документ метаданных, равно как и сами метаданные, необходимо сохранять до тех пор, пока существует оригинал документа. В случае передачи документов хранителем или владельцем на последующее хранение или уничтожение некоторые метаданные могут понадобиться для подтверждения факта существования этих документов, управления ими и их местонахождения». С уважением. С.В. Дроков

    ОтветитьУдалить
  2. ...не побоялись использовать ГОСТ Р 52292-2004

    Очень надеюсь, что здесь Вы ошиблись. Нужно быть очень смелым (и, желательно, ничего не понимать в управлении документами), чтобы использовать такой, с позволения сказать, "стандарт", как ГОСТ Р 52292-2004, в котором можно найти вот такие перлы: "4.1.1 документ: Объект информационного взаимодействия в социальной среде, предназначенный для формального выражения социальных отношений между другими объектами этой среды."

    Единственно чего пока (возможно не успели) не сделали – так это учесть ГОСТ Р ИСО 23081-1-2009

    Сначала надо учесть ГОСТ Р ИСО 15489-1-2007, а уж только потом - ГОСТ Р ИСО 23081-1-2009 :))

    ОтветитьУдалить
  3. Тем не менее, такой ГОСТ Р 52292-2004 имеет место быть!! -)) Да если только он!.. В России, как в Греции есть все -) Да и никто из новых разработчиков ГОСТов пока еще ничего иного не предлагает (и, кажется, даже на планирует)… Зачем же так огульно и резко то: «ничего не понимающим в управлении документами»? -) С уважением. С.В. Дроков

    ОтветитьУдалить
  4. Зачем же так огульно и резко...?

    Это моё мнение как специалиста - и не "наезд", а констатация печального факта. То, что у нас могут приниматься такие ГОСТы, лишь показывает, насколько плохо у нас обстоит дело со стандартизацией. К счастью, данный ГОСТ в нашей отрасли, насколько мне известно, никто не применяет, так что вреда от него никакого.

    Впрочем, если Вы считаете иначе, то растолкуйте мне, пожалуйста, процитированное из этого ГОСТа определение ключевого понятия "документ", и заодно объясните, как оно стыкуется с определениями, используемыми в российском законодательстве и в профессиональных стандартах по делопроизводству, таких, как ГОСТ Р 51141.

    ОтветитьУдалить
  5. Наталья Александровна, зачем «по мелким кусочкам рвать» (хотя бы быть может в чем то) «скошенный» ГОСТ Р 52292-2004? Факт остается фактом – ГОСТ имеет место быть. Правда ведь?.. Я посмел бы себе обратить внимание на Ваши же слова, с которыми полностью согласен -) «Интересно описаны сами электронные документы. В Костромской области они составные, и «включают в себя содержательную и сопроводительную части».
    Описание созвучно ГОСТ Р 52292-2004: Документ электронный (ДЭ) – информационный объект, состоящий из двух частей: 1) реквизитной, содержащей идентифицирующие атрибуты (имя, время и место создания, данные об авторе и т. д.) и электронную цифровую подпись; 2) содержательной, включающей в себя текстовую, числовую и/или графическую информацию, которая обрабатывается в качестве единого целого.
    Неужели не может не порадовать данный факт? Я имею в виду самостоятельный вывод Костромы, который, как оказывается, к тому же, подтверждается ГОСТ? Обратите внимание – российским… -)) С уважением. С.В. Дроков

    ОтветитьУдалить
  6. Факт остается фактом – ГОСТ имеет место быть

    Да, он существует. Поскольку ГОСТы применяются на добровольной основе, то желающие могут пользоваться этим стандартом, - ну а те, кому, как и мне, он не нравится, вправе его игнорировать.

    ...самостоятельный вывод Костромы, который, как оказывается, к тому же, подтверждается ГОСТ

    Мне не хотелось бы, чтобы к заслуживающей всяческого уважения работе костромичей "за уши" притягивался ГОСТ-неудачник, российское происхождение которого IMHO не может служить оправданием его низкого качества.

    ОтветитьУдалить