вторник, 23 августа 2011 г.

Управление ЭЦП: Головная боль для специалистов по управлению документами и информацией

Статья ведущего испанского специалиста, одного из основных разработчиков новых стандартов ИСО системы менеджмента документов серии 30300  Карлоты Бустело (Carlota Bustelo) была опубликована на сайте её консультационной фирмы 18 июля 2011 года.

(На фото: испанская идентификационная карта DNI, поддерживающая использование ЭЦП).

Раннее и эффективное применение в Испании сертификатов электронной цифровой подписи и развертывание удостоверяющих центров дало много положительного в плане обеспечения безопасности электронных транзакций,  однако для специалистов в области управления документами и информацией это источник постоянной головной боли.

В частности, огромное количество проблем при внедрении управления электронными документами, и особенно – на протяжении длительного времени, создает точка зрения, согласно которой электронный документ, если он не был подписан электронной подписью на основе сертификата, является недействительным. Проблемы следуют и вследствие  специфического понимания того, что значит подписать документ. Принятие этих предпосылок подразумевает, что придётся управлять во времени не только документами,  но и их подписями.

Этот подход нашел отражение в наших Технических стандартах интероперабельности в сфере государственного управления ( http://administracionelectronica.gob.es/?_nfpb=true&_pageLabel=P60215901274203521811&langPae=es , тексты на испанском и английском языках; см. также мой пост здесь: http://rusrim.blogspot.com/2011/08/blog-post_5521.html - Н.Х.), проекты которых были опубликованы на портале электронного правительства на английском и испанском языках. Первоначальные версии этих стандартов также упоминали «другие виды подписей» - более простые, такие как «защищённый код верификации» (CSV, código seguro de verificación), используемый налоговой службой (Agencia Tributaria), но их добавление лишь увеличивало сложности модели.

Таким образом, профессионалам в области управления документами придётся решать новые проблемы обеспечения сохранности подписей и управления ими. Когда в бумажном мире кому-либо нужно свериться с архивными документами, разве архивист спешить принести реестр образцов подписей (которого, кстати, не существует!), чтобы убедиться, что подпись всё ещё действительна либо была помещена в архив исторических подписей (которого, кстати, также не существует)? Или, предпринимая необходимые меры по обеспечению сохранности бумажных документов (например, написанных подверженными коррозии железо-галловыми чернилами), – а это в Испании хорошо развитое направление деятельности, - разве ставится вопрос о том, что  подпись при этом становится недействительной, и, следовательно, документ перестает быть аутентичным?

Но ... мы имеем то, что имеем. Вот некоторые намеки на те вопросы, которые придётся решать:
  • Первая проблема заключается в том, как «параметризовать» приложения для управления документами. Имеющиеся на рынке EDRMS-системы (Корпоративные системы управления документами и информацией - Enterprise Document and Records Management Systems; существует также другая расшифровка данной аббревиатуры, где вместо «корпоративных» речь идёт об «электронных» системах – Н.Х.) не включают средства для управления электронными цифровыми подписями. Требования соответствующего опционального модуля MoReq2, насколько мне известно, не реализованы ни в одном  продающемся на рынке программном приложении. Требования этого модуля сформулированы довольно нечётко (в предисловии к нему сказано, что данная тема только начала разрабатываться), и в некоторых случаях их довольно трудно согласовать с другими, уже не опциональными требованиями. В MoReq2010 ЭЦП не упоминаются, а стандарт ISO 16175 (разработанный Международным советом архивов – Н.Х.) ограничивается предупреждением о последствиях применения ЭЦП для возможности использовать документы, и рекомендацией включать в метаданные документа все сведения, содержащиеся в ЭЦП. На практике это означает, что придётся сильно потратиться на доработку и так изначально очень дорогих решений. Мой совет: попытаться уменьшить сложность и применять единую модель для различных возможных электронных цифровых подписей.

  • Во-вторых, используя данный в стандарте ISO 16175 совет, сведения, содержащиеся в ЭЦП, следует захватить в качестве метаданных. Здесь можно столкнуться с недостаточной стандартизацией текстовой информации в цифровых сертификатах. Нужно подчеркивать и объяснять, что, раз уж мы влипли в это дело, мы, по крайней мере, можем принести определенную пользу, а для этого нам необходимо получать качественную информацию. Один пример: если только вы не подписываете документы в качестве частного лица, в подписи очень важны сведения о вашей должности на момент подписания (генеральный директор коммерческой компании, руководитель государственного органа). Усилия по сбору подобной информации в виде метаданных в конечном итоге дадут результат,  ценность которого будет не меньше, чем ценность сведений о действительности сертификата на момент подписания/проверки.

  • В-третьих, нужно, чтобы любой пользователь ясно видел, что документ подписан цифровой подписью. Развитие средств просмотра, способных интерпретировать эту информацию, является ключевым для управления документами. А то появляются очень неуютные ощущения, когда, - после того, как потрачено немало тысяч евро на внедрение электронных документов и на средства управления информацией, документами и подписями, - при открытии подписанного PDF-файла появляется сообщение о том, что «подпись не может быть проверена»!

Карлота Бустело (Carlota Bustelo)

Источник: сайт независимой консультационной фирмы Карлоты Бустело
http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=113:la-gestion-de-las-firmas-digitales-un-quebradero-de-cabeza-para-la-gestion-documental&Itemid=&lang=es  (испан. яз.)
http://www.carlotabustelo.com/index.php?option=com_content&view=article&id=113:la-gestion-de-las-firmas-digitales-un-quebradero-de-cabeza-para-la-gestion-documental&catid=48:noticias-blog&Itemid=44&lang=en (англ. яз.)

1 комментарий:

  1. "Когда в бумажном мире кому-либо нужно свериться с архивными документами, разве архивист спешить принести реестр образцов подписей (которого, кстати, не существует!), чтобы убедиться, что подпись всё ещё действительна либо была помещена в архив исторических подписей (которого, кстати, также не существует)? "
    На самом деле тут написаны некорректные вещи, поскольку наличие действительной ЭЦП говорит только о том что документ имеет доказуемое авторство и целостность. Не действительность ЭЦП говорит об отсутствии (или подозрении на отсутствие) данных свойств всех вместе или по отдельности. С этим надо мириться - такова технология и иного к сожалению не придумали.

    ОтветитьУдалить