В частности, юридическую силу недавно получили электронные счета-фактуры, которые позволяют ускорить прохождение финансовых транзакций. Понятно, что ограничение на распространение электронных документов связано в первую очередь с юридической значимостью — большинство технологических решений уже существует.
«В России давно есть понятие электронной подписи, но нет понятия электронного документа, то есть объекта, к которому применяется электронная подпись, — отмечает Андрей Лубенец, старший управляющий по корпоративным проектам компании ABBYY Россия. — Единственный законодательно закрепленный электронный документ сегодня – это счета-фактуры. Они совсем недавно появились в правовом поле, и теперь компании могут обмениваться электронными счетами-фактурами, если у них есть соответствующее программное обеспечение».
Бумага или файл?
Вопрос о юридическом признании электронных документов существует давно — со времени принятия закона «Об электронно-цифровой подписи". Этот закон был не один, с ним планировалось также принять закон об электронном документе, однако по каким-то причинам этого не произошло. В результате сегодня есть процедура для юридического признания электронно-цифровой подписи, но нет понятия электронного документа, хотя в законе «Об ЭЦП» есть прямая ссылка на него — ЭЦП является атрибутом электронного документа.
Внутри компаний документов обрабатывается достаточно много, поэтому там обычно используются электронные системы обработки. В результате получается, что внутрикорпоративный документооборот обычно выполняется в электронной форме, а «наружные» документы преобразуются в бумажный вид. Причем, попав в другую организацию, бумаги опять цифруются и загружаются в корпоративную систему. Дальнейшая их обработка ведется также в электронной форме.
Бумажный документ на этапе, когда он попадает в организацию и преобразуется в электронный вид, можно пометить соответствующей электронной меткой. Для этого, по мнению Лубенца, должна быть разработана система, которая позволяет «взять документ, вложить его в сканер и в результате получить ответ от программы, что этот документ есть в системе и полностью соответствует электронному оригиналу». Нужен также либо некий вариант электронной подписи, которую можно распечатывать прямо на документе, либо электронная метка на бумажном документе. Чтобы проставить подобную метку, можно использовать либо штрихкод, либо RFID-чип, либо другие аналогичные технологии. Эти метки могут кодировать основные атрибуты документа, такие как его авторство, дата создания, краткая аннотация или уникальный номер в информационной системе.
Впрочем, Владимир Чугунов, руководитель направления по работе с государственными заказчиками компании «Аладдин Р.Д.", считает необязательным помечать бумажные документы: "Если первичным является бумажный документ, то отсканированной копии, подписанной ЭЦП уполномоченного должностного лица, будет достаточно для обеспечения юридически значимого соответствия документов». Метки нужны скорее для архива бумажных документов.
Аналогично и исходящие документы, такие как платежки или договоры, начинают снабжать специальными атрибутами, которые предназначены для дальнейшего преобразования в электронный вид — штрихкодами, в том числе и двухмерными, а также цифровыми электронными подписями. Именно так поступают в Москве службы ЖКХ, где наносят на платежные документы штрихкоды, которые в дальнейшем используются для оплаты коммунальных услуг.
Для удостоверения, что исходящий бумажный документ соответствует его электронному оригиналу, возникла специальная служба электронных нотариусов, она может проверить электронную подпись под документом, распечатать его и заверить собственной подписью. Чугунов объясняет: «Если оригиналом является электронный документ, то все сложнее. Как вариант возможна следующая схема. Первое: внутренним распорядительным актом организации назначается сотрудник, ответственный за удостоверение ЭЦП отправителей; второе: этот сотрудник проверяет ЭЦП в электронном документе, распечатывает документ и заверяет его собственноручной подписью; третье: подпись сотрудника является подтверждением того, что на момент проверки ЭЦП были подлинными, а также того, что электронный и бумажный документ тождественны. За все это он несет персональную ответственность». Такой работой по заверению бумажных копий электронных документов могут заниматься и сторонние электронные нотариусы.
Цифровая подпись
Существенным отличием документа является их авторство. Документ всегда имеет одного или нескольких авторов, которые выразили свое согласие с записанными в документе сведениями. В бумажном виде согласие авторов выражается собственноручными подписями или печатями организаций, а для электронной версии как раз и была предназначена ЭЦП, она должна удостоверять согласие владельца, и это согласие может проверить любой желающий. Вот как определяет соответствие электронного и бумажного документов Владимир Смирнов, генеральный директор компании «Сигнал-КОМ»: «Соответствие бумажного и электронного документов между собой достигается за счет их идентичности при восприятии и подтверждения авторства; в случае бумажного документа — за счет визуального контроля подписи автора, для которого можно при необходимости провести почерковедческую экспертизу; в случае электронного документа — за счет проверки ЭЦП, обеспечивающей контроль целостности документа и неотказуемость подписанта от авторства».
В основе электронной подписи лежит так называемая криптография с открытым ключом, с ее помощью формируется специальный сертификат пользователя. Он содержит данные о пользователе, открытый ключ и электронную подпись сертификата, ее можно проверить с помощью открытого ключа удостоверяющего центра. Алгоритм гарантирует, что сгенерировать эту подпись может только удостоверяющий центр, который имеет секретный ключ шифрования и доверие к которому является основой для работы всей системы ЭЦП.
Доверие к удостоверяющим центрам основано на иерархическом принципе: сертификат удостоверяющего центра нижнего уровня заверяется электронной подписью удостоверяющего центра более высокого уровня. Самым высоким уровнем УЦ является федеральный, который находится под управлением государства. Вся система доверия, построенная на сертификатах, образует так называемую инфраструктуру публичных (открытых) ключей, или PKI. При такой инфраструктуре требуется проверка не только легитимности ключа удостоверяющего центра, выдавшего сертификат, но и всех вышестоящих удостоверяющих центров. В частности, Смирнов поясняет, что при формировании электронной трансакции «необходимо обеспечить проверку не только математической корректности ЭЦП под этими документами, но и проверку валидности всей цепочки сертификатов, задействованных при изготовлении сертификата подписанта, на момент подписания им конкретного электронного документа».
В России сейчас создается система PKI, которая доступна практически всем желающим. Изначально она была создана агентством Росинформтехнологии на базе Общероссийского государственного информационного центра (ОГИЦ). Однако сейчас федеральный удостоверяющий центр передан в ведение «Ростелекома". Этот телекоммуникационный оператор активно предлагает развивать различные проекты с использованием PKI. Мы уже писали о проекте Центрального телеграфа по созданию электронных почтовых ящиков граждан России (см. « В адресе тебе моем... » Computerworld Россия, № 29, 2010).
Хотя повсеместно ЭЦП не применяется, технология эта иногда используется в клубных системах, когда участники какого-нибудь объединения договариваются обмениваться электронными документами, заверенными ЭЦП. «Пока чаще всего ЭЦП используют внутри больших корпораций, в замкнутых системах, — поясняет Лубенец. — Публичные цифровые подписи при обмене документами между различными компаниями, государственными органами и гражданами пока широкого практического распространения не имеют». Закон вполне позволяет строить подобные системы обмена электронными документами. Например, закон «Об ЭЦП» используют банки, выдавая своим клиентам собственные сертификаты и давая возможность подписывать электронной подписью поручения в системе банк-клиент. Удостоверяющими центрами здесь выступают сами банки. «Думаю, что с началом предоставления электронных госуслуг ЭЦП получит еще большее распространение. Об этой технологии больше узнают физические лица и соответственно компании, где они работают», — считает Лубенец.
Правда, уже сейчас электронную форму передачи платежек начали использовать злоумышленники. Были случаи, когда троянская программа успевала перехватывать электронный документ, посылаемый в систему дистанционного банковского обслуживания, подменяя его до подписания ЭЦП, что приводило к самым неожиданным для клиента банка результатам. А поскольку обязанность по сохранению в тайне секретного ключа возложена на клиента, то банк не может вернуть деньги — по закону сделка считается заключенной.
Защита документооборота
Как уже было сказано, в документе важно его авторство. В то же время в корпоративном документообороте, где обязанности по подготовке документов распределены между большим количеством сотрудников, важно зафиксировать не только ответственного за документ, который ставит на нем свою подпись, но и всех участников процесса. При этом желательно сохранять вклад всех участников документооборота, чтобы в дальнейшем можно было разобраться, кто какие изменения внес. Это особенно важно в тех бизнес-процессах, где нарушение работы может повлечь значительные расходы.
Контроль действий пользователей необходим для современных систем, обрабатывающих большой объем электронных документов. Вот что по этому поводу считает Лубенец: «Информацией должен обладать тот, кто имеет на это право. Генеральный директор может иметь доступ к любой информации; менеджер, отвечающий за разработку продукции, — ко всей информации, которая связана с производством, но ему совершенно не обязательно знать о коммерческих сделках. Тем не менее, чтобы обеспечить плодотворную коллективную работу, должна быть реализована возможность работать с документами из смежных областей».
Для создания подобной системы контроля необходима строгая аутентификация пользователей, но простые имя и пароль не гарантируют достаточно надежной аутентификации. Лучше, если для подтверждения своих действий пользователи будут использовать специальные устройства с одноразовыми паролями или зашифрованными сертификатами. Управлять устройствами лучше также централизованно, с наиболее полным циклом автоматизации всех процессов работы с токенами.
Чтобы фиксировать все действия пользователей с документами, можно использовать систему шифрования, в которой все ключи хранятся на центральном сервере системы. Пользователь, чтобы получить доступ к документу, должен вначале получить с сервера ключ для его декодирования. Таким образом, каждое обращение к документу фиксируется в системе шифрования и передается на центральный сервер системы. По такому принципу работают, например, продукты Microsoft RMS или Secret Disk Enterprise. Доступ можно контролировать не только внутри корпоративной системы, но и вне ее. Впрочем, с точки зрения юридической значимости такие системы могут быть не легитимны. В частности, Чугунов предупреждает, что «попытки внедрить систему, обеспечивающую юридическую значимость документов на этапе их создания, фактически приведут к двойному, параллельному делопроизводству и документообороту — электронному и бумажному». Как правило, для придания юридической значимости документ распечатывают, «фиксируя» его на бумаге.
Следует отметить, что для документоемких информационных систем средства защиты кажутся дополнительной нагрузкой, поскольку добавочные вычислительные мощности требуются как на аутентификацию, так и на дешифрацию данных. Тем не менее в некоторых случаях они, наоборот, могут сэкономить ресурсы, блокируя доступ к процессам тем, кто может им злоупотреблять. Если же в системе обрабатывается важная информация ограниченного использования, то внедрение систем шифрования и надежной аутентификации вполне оправданны. Кроме того, на уровне законодательства требуется защита системы документооборота в случае обработки персональных данных или трансакций международных платежных систем. Все технологические составляющие подобной защиты уже реализованы и внедряются, важно в ходе их использовании соблюсти требования по сохранению юридической значимости электронных документов при обработке в документоемких информационных системах.