ИСО: Опубликован стандарт ISO 17068:2017 «Хранилище электронных документов доверенной третьей стороны»

Сайт Международной организации по стандартизации (ИСО) сообщил о публикации в октября 2017 года стандарта ISO 17068:2017 «Информация и документация – Хранилище электронных документов доверенной третьей стороны» (Information and documentation - Trusted third party repository for digital records, см. https://www.iso.org/standard/66760.html и https://www.iso.org/obp/ui/#!iso:std:66760:en ) объёмом 33 страницы.

Подготовленный техническим подкомитетом TC46/SC11 документ представляет собой переработку ранее опубликованного одноименного Технического отчета ISO/TR 17068:2012, о котором я писала здесь: http://rusrim.blogspot.ru/2012/10/blog-post_29.html . На блоге также был материал о ходе разработки стандарта, см. https://rusrim.blogspot.ru/2015/10/blog-post_7.html .

В аннотации отмечается:

«Стандарт ISO 17068:2017 устанавливает требования к хранилищу доверенной третьей стороны (trusted third party repository, TTPR) в интересах поддержки деятельности уполномоченной службы доверенного хранения, с тем, чтобы та могла обеспечить доказуемую целостность и аутентичность электронных документов клиентов и служить источником надежных доказательств.

Стандарт ISO 17068:2017 применим к услугам хранения в течение установленных сроков используемых в качестве доказательств электронных документов (и, соответственно, к услугам хранилища), для организаций как частного, так и государственного секторов.»

Во введении в стандарт есть интересное упоминание проблем хранения электронных документов, подписанных усиленными электронными подписями:

«Чтобы избежать оспаривания деловых электронных документов в течение периода времени, пока они нужны для исполнения правовых обязательств и требований по срокам хранения, критически-важно обеспечить сохранение их аутентичности, надежности и целостности.

Электронные цифровые подписи (в европейской терминологии, усиленные электронные подписи – Н.Х.) - это хорошо известный способ удостоверения того, что электронные документы не подвергались несанкционированному вмешательству. Однако, поскольку ЭЦП защищает целостность лишь в течение срока ее действия (обычно от одного до двух лет или меньше – грубейшая ошибка, говорящая о том, что, к сожалению, даже эксперты ИСО порой плохо ориентируются в тонкостях информационного права. Подпись не становится недействительной по истечение срока действия сертификата ключа проверки, однако в ряде случаев перепроверить её, если это потребуется, может быть затруднительно. – Н.Х.), то большинство подписанных электронными цифровыми подписями документов не обеспечивают их целостность дольше, чем время действия подписей (ещё одна ошибка – как раз целостность может подтверждать даже ЭЦП неустановленного лица, если можно доказать, что она была наложена в момент создания документа или близкий к нему. Проблема возникает с подтверждением личности и полномочий подписанта т.е. аутентичности – Н.Х.). В результате в рамках отдельной системы хранения документов может оказаться весьма проблематичным доказывание целостности содержащейся в ней документов в течение всего срока хранения, если этот срок превышает срок действия электронной цифровой подписи.

Возможным решением является использование услуг хранилища доверенной третьей стороны (TTPR). TTPR определяется как квалифицированный сервис услуг хранения третьей стороны, обеспечивающий, что доверенные ему клиентом электронные документы остаются надёжными надежными и аутентичными, с возможностью это подтвердить, - с целью обеспечения клиентам надежного доступа к управляемым службой электронным документам в течение всего срока хранения. TTPR обеспечивает клиентам надёжные услуги в отношении электронных документов, которые должны проверяться заинтересованными сторонами (например, инспекторами, аудиторами, оценщиками). Эти услуги TTPR полезны для установления допустимости электронных документов клиентов в качестве допустимых доказательств.»

С корректностью формулировок есть проблемы, особенно в связи с тем, что стандарт изначально готовился южнокорейскими специалистами, и языковой барьер сыграл свою роль – однако в то же время документ отражает многолетний успешный опыт одной из самых передовых стран мира в части внедрения ИКТ и организации архивного хранения электронных документов, поэтому стандарт заслуживает самого серьёзного внимания.

И, конечно же, ещё одна причина, по которой такой стандарта может быть интересен для российских специалистов – это наша собственная успешная и все время расширяющаяся практика использования услуг доверенных третьих сторон, в том числе и в части поддержки юридически-значимого документооборота, а также хранения бумажных и электронных документов.

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общее представление о TTPR-хранилище доверенной третьей стороны
5. Услуги TTPR
6. Технологические требования
7. Оперативные требования
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/66760.html