В чате Телеграм-канала «Управление документами» ( https://t.me/ditad_dou ) недавно был поднят вопрос о том, в каких форматах предполагается хранить электронные документы. В результате у меня с коллегой завязалась интересная дискуссия, которая, возможно, будет интересна и читателем этого блога.
Коллега на этот вопрос ответила так: «Функционируют ЭД в СЭД. После документы долговременного и постоянного срока хранения будут выгружены в СХЭД, которая проверит состав контейнеров, юридическую силу документов и усовершенствуют подписи до архивного формата.» ( https://t.me/c/2219119833/5494 )
Действительность подписи на момент подписания будет установлена при передаче документов в СХЭД ввиду того, что документы в СЭД подписываются УКЭП, усовершенвствованной до формата CadES-T.
Я обратила внимание коллег на то, что так называемые «архивные» форматы усиленных электронных подписей (УЭП) подразумевают включение в состав структуры подписи дополнительной информации, позволяющей в дальнейшем доказывать действительность подписи на момент подписания, даже не обращаясь к соответствующему УЦ. Если такой формат не используется сразу в момент подписания, то последующее «усовершенствование до архивного формата» в СХЭД выглядит как довольно-таки сомнительная идея.
Кроме того, есть одна тонкость - законодательство РФ на данный момент не содержит положений, позволяющих верить архивным форматам больше, чем другим. Без этого (как и без законодательно установленного доверия к источникам дополнительной информации, включаемой в такой формат) реализовать преимущества архивного формата будет сложно. Оспаривающая документ сторона вправе будет требовать перепроверки подписи в общем порядке...
Коллега задала вопрос: Например, каким другим? Какие виды подписи сегодня используются для юридически значимых ЭД? ПЭП, УНЭП и УКЭП, так? И только у УКЭП есть разные форматы, позволяющие усоверешенсвовать подпись в момент подписания до формата с определенными атрибутами...
И то мы понимаем, что для наш вариант для юридически значимого документооборота только УКЭП
Простая электронная подпись (ПЭП) существует в огромном количестве вариантов, и некоторые из них хорошо проработаны и обеспечивают высокий уровень защиты; а другие, хотя и защищены слабо, однако дёшевы и практичны в тех случаях, когда деловая деятельность осуществляется на доверии. Более того, ПЭП тоже может выполняться по тем же технологиям, что и УКЭП- ведь различие между этими видами подписей не технологическое, а правовое.
Усиленные электронные подписи - квалифицированная УКЭП и неквалифицированная УНЭП - используют одни и те же технологии, и отличаются лишь правовым «обрамлением» - поэтому «архивные» форматы могут использоваться и для УНЭП тоже! Кроме того, все эти «архивные» форматы регламентируются стандартами Евросоюза, которые до конца ещё не стабилизировались (и здесь может возникнуть проблема импортозамещения). Различных форматов УЭП тоже известно довольно-таки много.
На заметку коллегам: согласно европейскому стандарту ETSI EN 319 122-1 версии 1.3.1 (2023 год), «архивными» могут считаться варианты формата CAdES под названием CAdES-B-LT и CAdES-B-LTA.
Мнение коллеги: Это знают единицы специалистов. Когда специалисты, работающие в администрациях муниципалитетов и Правительствах субъектов РФ присылают визуализации документов без файлов подписи... Самый оптимальный вариант подстраховаться как следует. И я не видела в ФЗ об электронной подписи, что документы, подписанные ПЭП приравниваются к документу на бумажном носителе, подписанным собственноручно и заверенному печатью. Поэтому следуем букве закона.
Следовать закону, с моей точки зрения, правильно, однако в законодательстве пока что «архивные» форматы УКЭП не упоминаются. Ими, конечно, спокойно можно пользоваться в рамках ведомств и договорных отношений, однако «универсального» признания они не имеют.
Ряд ведомств в своих нормативных актах уже включили требования к наличию метки доверенного времени метку доверенного времени:
Правила использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, утв. Постановлением Правительства РФ от 09.02.2012 № 111
5. Подписанный электронной подписью электронный документ должен иметь метку времени - достоверную информацию о моменте его подписания, которая присоединена к указанному электронному документу или иным образом связана с ним.
Приказ ФССП России от 31.05.2022 № 350 «Об установлении требований к формату постановления судебного пристава-исполнителя или иного должностного лица службы судебных приставов, постановления Федеральной службы судебных приставов, вынесенных в форме электронного документа»
1. Формат постановления судебного пристава-исполнителя или иного должностного лица службы судебных приставов, постановления Федеральной службы судебных приставов, вынесенных в форме электронного документа, должен быть подписан:
- одной или несколькими усиленными квалифицированными электронными подписями должностных лиц Федеральной службы судебных приставов в формате PKCS#7 (отделенная электронная подпись) <1>, если это постановление судебного пристава-исполнителя или иного должностного лица Федеральной службы судебных приставов;
- одной усиленной квалифицированной электронной подписью Федеральной службы судебных приставов в формате PKCS#7 (отделенная электронная подпись), если это постановление Федеральной службы судебных приставов;
- содержать метку времени, наложенную в соответствии со спецификацией Internet X.509 Public Key Infrastructure Time-Stamp Protocol (TSP) и спецификацией CAdES-T (ETSI TS 101 733 «CMS Advanced Electronic Signatures (CadES).
Вопрос об использовании «визуализаций» тоже очень интересный и имеет ряд нюансов. «Строго по науке», визуализацию нельзя даже считать верной копией, поскольку она включает не выделяемые явно в тексте как «внешние», легко подделываемые (в российском варианте) элементы, которых нет в оригинале (штамп подписи).
Однако … в жизни, если складывается (а она, по сути, уже сложилась) практика использования в определенных нишах визуализаций в качестве документов, да ещё и подкрепляемая ведомственной нормативной базой, то визуализации всё же де-факто и даже отчасти де-юре становятся в этих нишах документами :)
Мнение коллеги: Использование УКЭП с усовершенствованием до формата хотя бы CadES-T (с меткой доверенного времени) в момент подписания - это как купить ручку с пастой получше, которая будет ещё и на гарантии, для подписания документов на бумажном носителе. Если бы ПЭП обладало такими же возможностями, как и УКЭП, то на государственном уровне могли бы вполне не «заморачиваться». Однако нам всем на госуслугах приходят документы с УКЭП.
Те, кто продаёт «усовершенствованные» подписи, не любят говорить о цене и рисках этих усовершенствований – как о буквальной цене (ведь те же отметки времени – платная услуга), так и о рисках в плане сложности и надёжности системы проверки. Каждая «примочка», включаемая в подпись, будь то отметка времени, онлайн-квитанция о проверке, цифровой сертификат или список отозванных сертификатов, представляет собой электронный документ, подписанный УКЭП выдавшей его организации (которую тоже придётся проверить!). В итоге результат проверки УКЭП начинает зависеть от валидности многих других УКЭП целого ряда организаций. Рано или поздно одна из организаций перестанет существовать, или же её сертификат окажется скомпрометирован – и что тогда?
Тем временем суды при предъявлении претензий к действиям судебных приставов исполнителей регулярно разбираются с порядком подписания и наличием или отсутствием метки времени на документе.
Кассационное определение Первого кассационного суда общей юрисдикции от 23.01.2024 № 88а-1862/2024 по делу № 2а-45/2023 (УИД 52RS0005-01-2022-002289-08)
… областной суд указал, что при изготовлении постановления о возбуждении исполнительного производства судебным приставом-исполнителем …, нарушены требования к формату постановления, вынесенного в форме электронного документа, метка времени не прошла проверку, постановление подписано недействующей электронной подписью и не направлялось гражданке.
Вынесенное в форме электронного документа постановление должно быть подписано усиленными квалифицированными электронными подписями должностных лиц Федеральной службы судебных приставов и содержать метку времени.
В данном случае указание «метка времени не прошла проверку» не позволяет считать достоверными данные о времени подписания постановления о возбуждении исполнительного производства, указанные при подписании документа электронной подписью судебного пристава-исполнителя.
В завершение дискуссии коллега сказала:
Мнение коллеги: Почему платная? Все бесплатно. Кроме тогда прописать можно ведь сервер аккредитованного в ФСБ России УЦ, которые в том числе владеют актуальной базой отозванных и прекративших свое действие сертификатов.
Мы с ПЭП и УНЭП не работаем. Есть примеры контейнера ЭД, где документы подписаны ПЭП или УНЭП. Что там СЭД в состав контейнера включает?
Насколько я понимаю, такой сервер как бы уже «прописан» - но где он на самом деле? Сейчас подавляющее большинство развёрнутых в стране ИТ-систем проверяет подписи «на момент проверки». Польза от архивных форматов появляется тогда, когда становится возможной проверка «исторических» подписей (т.е. после истечения срока действия сертификата, на основе которого подпись была создана). Пока такое ПО не развёрнуто повсеместно, один и тот же документ в разных системах будет отмечаться то зелёными, то красными флажками...
Комментариев нет:
Отправить комментарий