четверг, 24 июля 2014 г.

Положение дел в России с использованием электронных документов в качестве доказательств и с сертификацией систем, используемых для их хранения


Целевая группа по вопросам сертификации систем электронной архивации (во французской терминологии это СЭД- и ECM-системы, обеспечивающие сохранность юридически значимых электронных документов) при подкомитете SC3 технического комитета TC171 Международной организации по стандартизации (ИСО) изучает положение дел в мире с использованием электронных документов в качестве доказательств и сертификацией систем, используемых для их хранения.

Речь идет о требованиях, выполнение которых обеспечивает надежную сохранность электронных документов в информационных системах, и об организации сертификации таких систем.

Мне, как члену этой группы, нужно дать ответ «за страну», поэтому, уважаемые коллеги, я хотела бы посоветоваться с Вами. Ниже приведены заданные вопросы и ответы, которые я предполагаю на них дать.

Буду очень благодарна за любые замечания и предложения. Их можно оставить в виде комментариев к данному посту или прислать мне по адресу sspchram@tochka.ru .

Наташа Храмцовская

Вопросник,
подготовленный целевой группой технического подкомитета TC171/SC3 по сертификации систем управления документами

1. Использование электронных документов в Вашей стране и их допустимость в качестве доказательств

1.1. Могут ли электронные документы приниматься судами в качестве доказательств?  Да
  • Изначально-электронные документы? Да

  • Оцифрованные (отсканированные) документы? Да
1.2. При каких условиях допускается принятие электронных документов в качестве доказательств в суде?
  • Есть ли условия, связанные с процессом их создания? Да

  • Есть ли условия, связанные с процессом их хранения? Возможны

  • Есть ли условия, связанные с распространением?  Возможны
В сфере договорных отношений, регулируемых Гражданским кодексом РФ, стороны могут использовать практически любые технологии, однако порядок их использования (в том числе вопросы создания и хранения документов) должен быть четко оговорен в договорах и соглашениях.

В прочих случаях обычно требуется наличие электронной подписи, соответствующей требованиям Федерального закона «Об электронной подписи» от 06.04.2011 № 63-ФЗ, http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=165011 . Вид подписи нередко устанавливается в соответствующих нормативно-правовых актах. В большинстве случаев требуется использовать усиленную квалифицированную электронную подпись.

Некоторые виды документов, согласно закону, могут быть созданы только в электронном виде.


1.3. Возможно ли уничтожение оригиналов бумажных документов после их оцифровки? При каких условиях?

В общем случае бумажные оригиналы не могут быть уничтожены до истечения установленных сроков хранения. Отдельные исключения прямо предусматриваются законами и нормативными актами (пример: переписные листы).

В сфере договорных отношений, регулируемых Гражданским кодексом, стороны могут договориться об уничтожении оригиналов отсканированных документов, если это не затрагивает интересы третьих сторон и государства.


Может ли электронная копия заменить бумажный оригинал в качестве допустимого доказательства в суде? При каких условиях?

Это возможно при условии:
  • Законодательство не требует обязательного представления в суд именно оригинала и/или документа на бумажном носителе,

  • Копия должна быть надлежащим образом заверена (возможные способы заверения зависят от обстоятельств; в настоящее время в стране вводится электронный нотариат),

  • Стороны в споре не оспаривают аутентичность копии.
1.4. Применимы ли эти условия только в сфере деятельности государственных органом (министерства, органы власти и т.д.), в частном секторе (корпоративная деятельность, торговля, и т.д.), иле же в обоих этих областях?

Условия в больше степени зависят от применимого права (гражданское, уголовное, административное), чем от сектора.

2. Процесс оценки систем, обеспечивающих управление и обработку электронных документов

2.1. Установлена ли официальная процедура оценки подобных систем?

Официальной процедуры оценки нет.

Существуют законодательно-нормативные требования к системам государственных и муниципальных органов по обеспечению информационной безопасности, исполнение которых проверяют уполномоченные федеральные органы государственной власти.

Примечание: Разработчик информационной системы (внутри которой используется СКЗИ) должен иметь лицензию ФСБ в соответствии с требованиями Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности» (п.1(1) ст.12, см.
http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=148978 ). Если же информационную систему предполагается использовать в органе исполнительной власти, то она должна пройти сертификацию в ФСБ на предмет корректности использования криптографических средств и т.д.

В 2011 году была предпринята попытка ввести требования к системам управления документами, используемыми государственными и муниципальными органами власти. Был опубликован Приказ Минкомсвязи РФ от 02.09.2011 N 221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения», http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=121840
. На практике, однако, данные требования не исполняются и их соблюдение не контролируется.

Были также малоуспешные попытки ввести добровольные системы сертификации, такие, как РОСС RU.З363.04ОЕ00 - Система добровольной сертификации «Документационное обеспечение управления» (источник: сайт http://ростестстандарт.рф )

2.2. Если да, то является ли она обязательной или добровольной?

Обязательных процедур оценки нет. Желающие могут на добровольной основе пройти сертификацию на соответствие требованиям системы добровольной сертификации «Документационное обеспечение управления».

2.3. Кто выполняет оценку? Органы или частные лица, которым это поручено (или которые выбраны) органами власти? Частные организации или отдельные лица? Как проводится обучение этих специалистов? Как осуществляется управление и контроль над их деятельностью?

В рамках системы добровольной сертификации «Документационное обеспечение управления» оценку проводит частная организация, привлекающая с этой целью частных лиц-экспертов, имеющих авторитет в отрасли. Сведений об обучении данных лиц и о контроле над их деятельностью нет.

2.4. На какие документы опираются правила оценивания?

2.4.1. Международный стандарт – какой (какие)?

Система добровольной сертификации «Документационное обеспечение управления» опирается на собственный перевод на русский язык европейских спецификаций MoReq2.

2.4.2. Национальные законы или нормативные акты – какие?

Существует Приказ Минкомсвязи РФ от 02.09.2011 N 221 «Об утверждении Требований к информационным системам электронного документооборота федеральных органов исполнительной власти, учитывающих в том числе необходимость обработки посредством данных систем служебной информации ограниченного распространения», http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=121840 , который фактически содержит подборку требований из MoReq2. Однако в настоящее время на практике данный приказ не исполняется.

2.4.3. Какое влияние оказывает в Вашей стране стандарт ISO 14641 «Электронная архивация» (Electronic archiving) (к настоящему времени опубликована первая часть стандарта - ISO 14641-1:2012 «Электронная архивация – Часть 1: Требования к проектированию и эксплуатации информационных систем для обеспечения долговременной сохранности электронной информации» (Electronic archiving - Part 1: Specifications concerning the design and the operation of an information system for electronic information preservation). О нем см. http://rusrim.blogspot.ru/2012/01/blog-post_5411.htmlН.Х.). Знают ли о нем? Используется ли он в качестве руководства?

Существует ряд публикаций на русском языке, рассказывающих о стандарте ISO 14641 и его французском прототипе NF Z 42-013. В то же время о данном стандарте знает лишь очень узкий круг наиболее квалифицированных профессионалов. В практической деятельности и при подготовке/повышении квалификации специалистов данный стандарт пока что не используется.

2 комментария:

  1. >>Разработчик информационной системы (внутри которой используется СКЗИ) должен иметь лицензию ФСБ в соответствии с требованиями Федерального закона от 04.05.2011 №99-ФЗ «О лицензировании отдельных видов деятельности» (п.1(1) ст.12, см. http://base.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=148978 ). Если же информационную систему предполагается использовать в органе исполнительной власти, то она должна пройти сертификацию в ФСБ на предмет корректности использования криптографических средств и т.д.

    тут наверное все же не совсем так. вопрос сложный и к нему больше подходят ответы:
    - На практике, однако, данные требования не исполняются и их соблюдение не контролируется.
    - В практической деятельности и при подготовке/повышении квалификации специалистов данный стандарт пока что не используется.
    Про корректность встраивания не знают практически все разработчики федеральных информационных ресурсов. Плевать они хотели на такое, а заказчики не знают, потому не требуют. В системах ЕГЭ, ЗАГС, бюджета, МИС и т.п. - ни о каком встраивании даже не помышляют, да и про подпись тоже чаще (всегда) забывают.

    Даже просто написать что такая деятельность частично лицензируется будет не правдой (((( Может вообще про это не писать?

    ОтветитьУдалить
  2. Спасибо. Буду думать, как лучше написать :)

    ОтветитьУдалить