Национальные Архивы США выпустили Бюллетень по управлению документами, связанным с аутентификацией электронной личности

Данная заметка Ариана Раванбакша (Arian Ravanbakhsh – на фото) была опубликована 12 августа 2015 года на блоге «Records Express» Национальных Архивов (NARA).

Мы рады объявить о выпуске Национальными Архивами Бюллетеня 2015-03 «Руководство по управлению документами, связанными с аутентификацией электронной личности» (NARA Bulletin 2015-03 Guidance on Managing Digital Identity Authentication Records), см. http://www.archives.gov/records-mgmt/bulletins/2015/2015-03.html

Данный бюллетень содержит рекомендации для федеральных органов исполнительной власти по управлению транзакционными документами, связанные с аутентификацией электронной личности, такими, как электронные сертификаты и файлы, относящиеся к инфраструктуре открытых ключей (Public Key Infrastructure, PKI), созданными или используемыми в ходе деловой деятельности государственного органа.

Бюллетень заменяет наши ранее выпущенные руководства по управлению документами для транзакционных документов, аутентичность и целостность которых обеспечивается при помощи электронных цифровых PKI-подписей.

Мой комментарий: По сути дела, Национальные Архивы заявляют о том, что федеральные органы исполнительной власти сами должны решать, какие вспомогательные документы им нужно хранить для подтверждения целостности и аутентичности документов, подписанных электронными цифровыми подписями на основе технологии открытых ключей. Эти вспомогательные документы не представляют интереса для Национальных Архивов и не будут приниматься на архивное хранение даже тогда, когда они относятся к документам постоянного срока хранения – что означает не просто отказ от идеи перепроверки электронных подписей в сданных на архивное хранение документах, но и исключение технической возможности такой перепроверки :)

Настоящий бюллетень не мешает федеральным органам исполнительной власти использовать те меры для аутентификации электронной личности, которые отвечают их деловым потребностям. Государственные органы обязаны удалить любые меры аутентификации электронной личности, такие как пароли или шифрование, из документов постоянного срока хранения до передачи их в Национальные Архивы.

Национальные Архивы будут координировать безопасную передачу документов на архивное хранение с использованием шифрования, которое может быть удалено по прибытии документов в Национальные Архивы.

Ариан Раванбакш (Arian Ravanbakhsh)

Мой комментарий: Приведу несколько цитат из Бюллетеня:

Термин «аутентификация электронной личности» (digital identity authentication) охватывает широкий диапазон технологий. Эти технологии помогают федеральным органам исполнительной власти убедиться в том, что люди или организации действительно являются теми, кем представляются. Государственные органы  используют аутентификацию личности:

• Для подтверждения электронных деловых транзакций;


• Для предоставления доступа только тем, кто уполномочен получать и извлекать конкретную информацию;


• Для подтверждения того, что документы являются легитимными, не были изменены, и что только авторизованные физические лица могут создавать, получать доступ и использовать документы.

Относящиеся к аутентификации электронной личности документы делятся на две категории: административные и транзакционные.

• Административные документы детализируют, каким образом защищены и используются программное обеспечение и оборудование. Примером административных документов являются обучающие материалы и руководства по политикам.


• Транзакционные документы – это те относящиеся к аутентификации электронной личности документы, которые используются для непосредственной поддержки бизнес-процесса. Примером такого документа является выпуск электронного сертификата, необходимого для завершения электронной транзакции. В этом случае создаются отражающие процесс аутентификации электронной личности документы, которые отделены от тех документов, аутентичность которых они подтверждают. Существует различие между документом, нуждающемся в электронной цифровой подписи, и документами, относящимися к самой подписи.

Основываясь на современной технологии и архивной практике, Национальные Архивы не видят необходимости в приёме на хранении и обеспечении постоянной сохранности относящихся к аутентификации личности документов, даже если те документы, которые они поддерживают, являются документами постоянного хранения.

Федеральные органы исполнительной власти, в зависимости от потребностей своей деловой деятельности, будут устанавливать разные сроки хранения для относящихся к аутентификации личности административных и транзакционных документов. Как правило, государственные органы должны сохранять такие документы в течение тех же сроков, что и поддерживаемые ими деловые документы. Такой подход обеспечивает государственным органам возможность доступа к документам и их проверки в течение всего периода времени, пока в этом есть необходимость.

Источник: блог Национальных Архивов
http://records-express.blogs.archives.gov/2015/08/12/new-nara-bulletin-on-digital-identity-authentication-records/