Юридически значимый электронный документооборот

Всем привет! Решил написать достаточно основательную статью на тему, к которой в последнее время все больше интереса. Обмен документами в электронном виде давно стал обыденностью. Мы согласовываем со своими контрагентами проекты договоров, макеты документов, раздаем задания подчиненным, отчитываемся начальству. Документ в электронном виде — давно часть нашей жизни, не только офисной. Но после всех прелестей обмена в электронном виде, мы используем принтер, ручку и синюю печать. А кому-то еще и шифровать надо. Вот.

В статье не пойдет речь о многофункциональных, дорогих и красивых системах, типа Ефрата или Дело. Мы разберем наш, местный уровень, когда нужна даже не СЭД, со всеми ее наворотами, а простой и недорогой, защищенный, механизм обмена юридически значимыми документами со своими партнерами или внутри компании.

С чего начать? С понимания ваших задач, целей и выбора средств для этого. Основная цель — переход на безбумажную технологию работы, т.е. когда оригиналы документов оформляются не в традиционной форме на бумажных носителях, а в виде электронных документов. Далее мы определяем уровень проникновения безбумажной технологии — внутрикорпоративный (1) или с привлечением сторонних контрагентов (2).

(1) В корпоративной системе обмен электронными сообщениями (документами) происходит между сотрудниками одного юридического лица. Это могут быть распоряжения руководства, отчеты подчиненных и так далее. Конфликтные ситуации, связанные с использованием цифровой подписи, например «Это не мой отчет, я такого не писал», разрешаются на уровне администрации, без рассмотрения в судебном порядке. В этой ситуации владелец системы (т.е. предприятие) сам определяет правила использования цифровой подписи, ему не требуется соблюдать нормы Федерального закона «Об электронной цифровой подписи» (от 10.01.2002 г. № 1-ФЗ). Получается, что он не ставит перед собой задачу построения юридически значимой системы электронного документооборота. В этом случае, директор ставит перед сисадмином задачу поднять Центр сертификации в домене и радуется жизни.На этом и мы остановимся.

(2) Система документооборота с применением в условиях равнозначности собственноручной подписи гарантирует, что ее электронные документы, подписанные , можно будет использовать в конфликтных ситуациях (спорах) при их разрешении в судебном порядке. Они будут признаны судом как полноценные документы, имеющие юридическую силу. Это касается как внутренних документов (Приказы и т.д.), так и взаимоотношений с контрагентами (Договора и т.д.). Поэтому, про такие системы говорят, что в них реализован юридически значимый документооборот. При построении подобной системы, ее организатор должен привести свои правила использования в соответствие с нормами действующего законодательства РФ, включая нормы закона «Об электронной цифровой подписи». Нас интересует именно этот вариант.

Система документооборота с применением ЭЦП (юридически значимая система электронного документоборота, ЮЗЭДО) основывается на следующих основных элементах:

  1. сертифицированное средство ЭЦП – Средство криптографической защиты информации, используется участниками системы для создания и проверки ЭЦП электронных документов;
  2. ключи и сертификат ключа подписи и шифрования – изготавливается и выдается удостоверяющим центром;
  3. удостоверяющий центр — организатор PKI;
  4. соглашение о применении ЭЦП — регламентирующий документ.

Эти элементы определены действующим законодательством и без них невозможно построение юридически значимого электронного документооборота в России.

Разберем по порядку:

  1. СКЗИ КриптоПро CSP — стоимость бессрочной лицензии на одно рабочее место — 1800 руб. (все цены далее — на февраль 2011 года). Реализует отечественные криптографические алгоритмы формирования/проверки ЭЦП, шифрования информации. С помощью него производятся все криптографические операции.
  2. Для формирования ключей и изготовления сертификатов ключей подписей и шифрования используется удостоверяющий центр. Хранить такую информацию рекомендуется на защищенных носителях — типа eToken или RuToken.
  3. Удостоверяющий центр является еще одним обязательным компонентом в применении ЭЦП. Различают удостоверяющие центры, которые:
    • оказывают на договорной основе услуги по изготовлению и выдаче сертификатов ключей подписи для нескольких систем документооборота (такие удостоверяющие центры еще называют публичными); Корневые сертификаты (сертификаты ключей подписи уполномоченных лиц) таких удостоверяющих центров регистрируются в Едином Государственном Реестре, который доступен тут. Отсюда можно забрать перечень и найти там ивановский УЦ — ООО Компания «Сервис ТВ-Инфо». Кроме этого, в регионе присутствуют дилеры или филиалы других удостоверяющих центров, которые перепродают сертификаты, например, для электронной отчетности или торгов.
    • обслуживают собственную систему документооборота в организации (такие удостоверяющие центры называют внутрикорпоративными).
    Поэтому при внедрении системы документооборота с ЭЦП необходимо решить вопрос с удостоверяющим центром – создать собственный или заключить договор с публичным удостоверяющим центром. Какой выбрать? Создание своего удостоверяющего центра – это достаточно хлопотное и затратное мероприятие. Затраты составят сумму свыше 2 миллионов рублей. Также необходимо получение лицензий ФСБ России на деятельности, связанные с шифровальными (криптографическими) средствами.
    Целесообразно создавать свой удостоверяющий центр, если количество пользователей в системе документооборота превышает 500 человек. В противном случае, экономически выгодно заключить договор с внешней организацией, предоставляющей подобные услуги. В настоящий момент зарегистрировано свыше 600 корневых сертификатов удостоверяющих центров.
  4. Соглашение о применении ЭЦП
    Участники системы документооборота должны договориться об условиях, при выполнении которых они будут принимать к исполнению документы, удостоверенные ЭЦП. Для этого они должны заключить между собой соглашение. Данный документ является основным организационным моментом в применении ЭЦП. Это определяется нормами действующего законодательства РФ (Гражданский кодекс, ФЗ «Об ЭЦП» и т.д.). Присоединение, подписание соглашения, производится ДО начала использования ЭЦП. Соглашение должно регламентировать все аспекты применения ЭЦП для удостоверения документов, в том числе технические.
    К основным аспектам, раскрываемым в соглашении, относятся:
    • детализированные условия равнозначности ЭЦП собственноручной подписи;
    • кто выступает в системе в качестве удостоверяющего центра;
    • какие средства ЭЦП используются в системе;
    • какие типы документов в электронной форме удостоверяются ЭЦП и применяются к исполнению или к сведению;
    • порядок разрешения конфликтов/споров, связанных с применением ЭЦП.

Примеры таких соглашений можно найти как в Интернете, так и получить, обратившись к профессионалам, например, в ООО «КРИПТО-ПРО» или удостоверяющий центр ООО Компания «Сервис ТВ-Инфо».

Ну вот мы и подошли к выбору средств и внедрению.

Система, в которой участвуют различные организации (физические или юридические лица), должна опираться на соглашение о применении ЭЦП, оформленное в форме договора между участниками системы. Наиболее удобной формой оформления и заключения такого рода соглашения является договор присоединения в соответствии со ст. 428 ГК РФ. В такой системе рекомендуется заключить договор со сторонней организацией, предоставляющей услуги удостоверяющего центра, и не являющейся участником системы. Это поможет использовать эту организацию и в качестве экспертной организации при разрешении спорных ситуаций, связанных с применением ЭЦП.

Не забываем про пользователей. При обмене электронными документами мы не будем использовать каких-то сложных программных продуктов. Офисные документы возможно подписывать непосредственно с помощью офисных приложений (Word, Excel). Или делать их вложениями и подписывать непосредственно электронное письмо (Формат S/MIME). Второй способ дает более широкие возможности в плане формата пересылаемых файлов.

Но все же, для криптографических операций рекомендуется использовать специализированный, а не офисный софт. Связано это с тем, что экспертно оценить, что было подписано, а что нет, в специфическом файле формата .doc(x) значительно труднее, чем когда подписывается файл целиком. Соответственно, и риски выше. Рабочее место участника обмена электронными документами с ЭЦП рекомендуется оснастить «КриптоАРМ СТАНДАРТ» — стоимость бессрочной лицензии на одно рабочее место — 1200 руб. Программное обеспечение предоставляет удобный пользовательский интерфейс выполнения криптографических операций конечным пользователем. При распечатке бумажной копии электронного документа, удостоверенного ЭЦП, возможно выводить информацию об каждой ЭЦП и подписантах, что очень удобно при создании бумажной копии.

Все потребности пользователя можно реализовать продуктами КриптоТри или eToken КриптоАРМ, с помощью которых можно организовать полноценное рабочее место. На сегодняшний момент, затраты на одного участника системы составят примерно 5-6 тысяч рублей.

Надеюсь, материал будет вам полезен. В посте использованы материалы Юрия Геннадьевича Маслова, ООО «КриптоПро». За что ему большое спасибо.

Связанные записи

Метки: , , , , , ,