вторник, 4 сентября 2018 г.

Венгрия опубликована новые правила электронной архивации, часть 2


(Окончание)

Хранение документов без использования услуг поставщика услуг доверия

Приказ ITM содержит два важных нововведения, которые, однако, несут с собой определенные новые риски. Во-первых, хранение электронных документов возможно без привлечения доверенного поставщика услуг. Во-вторых, более не требуется проставления отметки времени, выданной квалифицированным поставщиком услуг доверия, что означает, что обязанности по хранению можно исполнить с использованием, по крайней мере, усиленной электронной подписи, действительность которой обязана обеспечить организация, на которую возложены обязательства по хранению документов. Это повышает риск привлечения к ответственности субъектов обязательств по хранению, поскольку – на протяжении всего периода обязательного хранения документа - они должны обеспечивать безопасность электронных данных и действительность электронной подписи.

Использование программного обеспечения для архивации или «закрытого» ИТ-решения

Ещё одним существенным изменением является то, что обязательства по хранению могут быть исполнены путем применения программного обеспечения для архивации или иных ИТ-решений, позволяющих создать закрытую ИТ-систему. Более не требуется получать выданный аккредитованным органом сертификат, подтверждающий закрытый характер такой ИТ-системы. Вместо этого в приказе ITM предусматривается, что разработчик программного обеспечения для архивации или иного ИТ-решения может выпустить заявление, подтверждающее, что система полностью соответствует применимым законодательно-нормативным требованиям. В качестве альтернативы разработчик может получить от независимого аккредитованного органа сертификат, подтверждающий закрытый характер ИТ-системы, созданной на основе программного обеспечения – но это не является обязательным.

В отличие от приказа GKM - и с учетом развития технологий - приказ ITM делает разработчика программного обеспечения или ИТ-решения, и лицо, на которое возложены обязательства по хранению документов, совместно ответственными за архивацию с использованием закрытой системы.

Тем не менее, в приказе ITM не говорится о том, как обеспечить закрытый характер программного обеспечения для архивации или иного ИТ-решения. Термин «закрытая система» можно найти в различных венгерских законах, однако ни один из них не дает ему определения.

В соответствии с постановлением правительства Венгрии № 451/2016 (XII. 19.) о правилах электронного администрирования (Az elektronikus ügyintézés részletszabályairól szóló 451/2016. (XII. 19.) Kormányrendelet, https://net.jogtar.hu/jogszabaly?docid=A1600451.KOR ) закрытая система представляет собой отделенную электронную ИТ-систему, служащую единственной цели удовлетворения особых потребностей организации, использующую в этих целях организационно-технические меры и функционирующую либо на основании закона, либо по соглашению сторон, не затрагивая интересы третьих лиц.

В разделе III этого постановления правительства сформулировано требование к подготовке электронных копий бумажных документов. При подготовке электронной копии бумажного документа создатель этой копии должен проверить визуальное или содержательное соответствие и аутентичность электронного документа бумажному; заверить электронную копию с помощью заверительной надписи; и подписать её либо с помощью усиленной электронной подписи, либо усиленной электронной печати на основе квалифицированного сертификата, либо усиленной электронной подписи на основе квалифицированного сертификата, в связи с чем использование псевдонимов не допускается.

В тоже время венгерский закон 2013 года об электронной информационной безопасности центральных и местных органов власти (2013. évi L. törvény az állami és önkormányzati szervek elektronikus információbiztonságáról, https://net.jogtar.hu/jogszabaly?docid=a1300050.tv ) использует термины «электронная система закрытого назначения» и «закрытая безопасность».

В постановлении правительства № 42/2015 (III. 12) о защите ИТ-систем финансовых учреждений, страховании и перестраховании, о поставщиках инвестиционных услуг и потребительских товаров (42/2015. (III. 12.) Korm. rendelet a pénzügyi intézmények, a biztosítók és a viszontbiztosítók, továbbá a befektetési vállalkozások és az árutőzsdei szolgáltatók informatikai rendszerének védelméről, https://net.jogtar.hu/jogszabaly?docid=A1500042.KOR ) также используется термин «закрытая ИТ-система». В данном постановление упомянутый термин не определяется, но зато определено понятие «полнофункциональной» системы, в которой «пропорциональный риску» менеджмент информационной безопасности обеспечивает «непрерывную защиту».

В передовой международной практике термин «закрытая ИТ-система» обычно трактуется как состояние, обеспечивающее конфиденциальность, целостность и доступность обрабатываемых данных в условиях, когда элементы системы обеспечивают всестороннюю, пропорциональную степени риска непрерывную защиту обрабатываемой информации.

Исходя из приведенных выше определений и формулировок приказа ITM, можно сделать вывод о том, что «закрытую ИТ-систему» можно определить как программное обеспечение или ИТ-решение, которое удовлетворяет особые потребности организации, поддерживая организационно-технические меры, разработанные для удовлетворения этих потребностей, а также обеспечивает непрерывную, всестороннюю и пропорциональную риску защиту конфиденциальности, целостности и доступности архивируемых электронных документов.

Согласно новому приказу ITM, программное обеспечение, лежащее в основе ИТ-решения, позволяющего осуществлять архивацию в режиме закрытой системы, должно быть снабжено документацией, содержащей подробные сведения, как минимум, о следующем:
  • Описание процессов, связанных с работой программного обеспечения и/или ИТ-решения;

  • Используемые технологии;

  • Применённые стандарты;

  • Решения, обеспечивающие архивацию в режиме закрытой системы;

  • Меры и средства аудита, как применяемые впоследствии, так и встроенные в эти процессы.
Документация, таки образом, должна включать общий обзор функционирования каждой компоненты программного обеспечения и оборудования, описание используемых программных и аппаратных технологий в виде концепции функционирования и её версии, или же в виде описания программной архитектуры решения, описания на аппаратном уровне архитектуры процессора либо соответствующей информации о сервере.

Решения, обеспечивающие архивацию в режиме закрытой системы взаимосвязаны с разработкой и использованием организационных мер (таких, как управление доступом пользователей, управлением обновлениями, тестированием на наличие уязвимостей) и технических мер (таких, как применяемые технологии шифрования, технические параметры электронной подписи), - в то время, как функции аудита (встроенные и используемые впоследствии) решают вопросы мониторинга и оценки адекватности мер контроля и управления  (то есть оценки того, способны ли меры контроля смягчить соответствующие риски) и их эффективности (то есть оценки того, способны ли меры контроля адекватно, и так, как ожидается, смягчить соответствующие риски).

Какое ИТ-решение выбрать?

Понятно, что к созданию электронных копий бумажных документов устанавливаются более жесткие требования, чем к электронной архивации. Поэтому требуется выбрать подходящее ИТ-решение, необходимые функциональные возможности которого зависят от того, нужно ли будет изготавливать электронные копии бумажных документов, или же требуются только функции архивации. В последнем случае организациям, на которые возложены обязательства по хранению документов, начиная с 1 июля 2018 года будет гораздо проще исполнять эти требования.

Что произойдет с электронными документами бухгалтерского учета?

В приказе ITM прямо упоминается возможность хранения электронных счетов-фактур, при этом технические параметры этого процесса не устанавливаются. Организация, на которую возложены обязанности по хранению документов, может вычислить хеш архивируемых данных (который фактически является несертифицированной подписью электронных данных и способом контроля целостности); а затем отправить его вместе с электронным счетом-фактурой в налоговую администрацию Венгрии. Организация в этом случае должна сохранять электронный счет-фактуру и её хеш вместе с подтверждением, полученным от налоговой администрации.

В таком случае закон не требует использования программного обеспечения или ИТ-решения, которое обеспечивают архивацию в режиме закрытой системы, хотя, в соответствии с приказом ITM, требуется, чтобы организация обеспечила сохранение конфиденциальности, целостности, доступности, а также программно-аппаратной среды, обеспечивающей возможность извлечения и использования электронных счетов-фактур и их хешей.

Переходные положения

Приказ ITM вступил в силу 1 июля 2018 года.

Приказ GKM продолжает применяться в отношении тех документов, которые уже были заархивированы в соответствии с ним.

В то же время, начиная с 1 июля 2018 года, организации, на которых возложены требования по хранению документов, могут принять решение об исполнении положений приказа ITM. Если обязательство по хранению возникло до 1 июля 2018 года, а архивация в соответствии с приказом GKM ещё проведена не была, то организация в будущем должна соблюдать положения приказа ITM и обеспечивать целостность, конфиденциальность и доступность электронных документов на протяжении всего срока их обязательного хранения.

Инес Радмилович (Ines K Radmilovic), Адам Либер (Ádám Liber) и Тамаш Берецки (Tamás Bereczki)

Источник: сайт Lexology
https://www.lexology.com/library/detail.aspx?g=8d6e5a96-efd1-4625-9872-00a8b10fbf9c
https://www.lexology.com/library/detail.aspx?g=7ad988cd-69ce-40ef-a8ee-3d8288d080be

Комментариев нет:

Отправить комментарий