Юридически значимый защищенный электронный документооборот

Организация, имеющая сложную интегрированную, территориально-распределенную структуру, сталкивается с такими информационными проблемами, как разрозненность финансовой и управленческой информации; запаздывание поступающих из отдаленных филиалов данных с вытекающими затруднениями в принятии оперативных решений; несбалансированность информационных потоков.

В условиях территориально-распределенной структуры возникают сложные схемы организации документооборота между юридическими лицами одной организации, удаленными подразделениями одного юридического лица, центральной компании и ее филиалами и дочерними компаниями.

Основными узкими местами в документообороте между удаленными структурными единицами являются: многократная регистрация одного документа; утрата документов; невозможность осуществления контроля за исполнением документов и сроков их согласования и подписания; отсутствие единого полного реестра изданных и полученных документов с целью осуществления их оперативного поиска и сбора статистических данных; многократное копирование одного документа с целью его рассылки удаленным адресатам организации; длительные сроки согласования проектов документов и принятия управленческих решений.

Предлагаемое решение по организации юридически значимого защищенного документооборота (ЮЗЭДО) направлено на решение перечисленных проблем. В системе обмена юридически значимыми документами по телекоммуникационным каналам связи для передачи сообщений между абонентами используется открытая телекоммуникационная сеть – Интернет. Доступ к данным, проходящим через Интернет, не может быть физически ограничен. С другой стороны, информация, которой обмениваются абоненты, является конфиденциальной, составляет налоговую или коммерческую тайну. Таким образом, остро встает вопрос защиты этой информации от несанкционированного доступа третьих лиц.

Для комплексного решения задачи организации защищенного обмена юридически значимыми электронными документами между абонентами предлагаемого решения разработано решение организации юридически значимого документооборота в электронном виде по телекоммуникационным каналам связи, который обеспечивает требуемый уровень защиты информации, работая в правовом поле России.

ЮЗЭДО регулирует взаимоотношения коммерческих организаций при условии, что эти организации заранее не имеют предпосылок к тому, чтобы доверять друг другу «на слово», и любой результат их взаимодействия документируется с целью иметь в будущем доказательную базу для того, чтобы иметь возможность отстоять как свои права, так и обязанности противоположной стороны. Подобные взаимоотношения организаций предоставляют широкую сферу для применения электронной подписи в качестве аналога собственноручной подписи.

Все электронные документы, циркулирующие между организациями, требуют юридической значимости для того, чтобы каждая из сторон была уверена в исполнении другой стороной своих обязательств. Юридически значимый электронный документ – это электронный документ, обладающий такими свойствами, что права и обязательства каждой из сторон, вытекающие из этого электронного документа, защищены действующим законодательством, в нашем случае, законодательством РФ. Юридическая значимость электронного документа обеспечивается с помощью электронной подписи.

Для защиты от рассмотренных угроз компания «Цифровые технологии» совместно с партнерами предлагает комплексное организационно-техническое решение по созданию защищённого юридически значимого электронного документооборота.

ДЕЙСТВИЯ ОРГАНИЗАТОРА ДОКУМЕНТООБОРОТА

1. Организаторам (владельцам) схемы документооборота необходимо зарегистрировать список объектных идентификаторов (OID) системы документооборота. Объектные идентификаторы определяют отношения, при осуществлении которых документ с электронной цифровой подписью будет иметь юридическое значение, если он был создан внутри конкретной системы документооборота.

Идентификаторы вносятся в сертификаты открытого ключа клиентов документооборота и позволяют контролировать полномочия пользователей на совершение операций с документами в конкретной системе документооборота. OID зарегистрированные в Удостоверяющем центре включаются состав следующих расширений сертификата ключа подписи: Key Usage (использование ключа), Extended Key Usage (расширенное использование ключа), Application Policy (политики применения сертификата).

Остальные идентификаторы используются по усмотрению организаторов документооборота как расширения объектного идентификатора самой системы.

2. Организаторам документооборота можно использовать уже готовые решения, предлагаемые компаниями «Цифровые технологии», «Актив», «Aladdin» в части приобретения необходимого специализированного программного обеспечения и шаблонов организационно-нормативных документов.

3. Центр Регистрации при УЦ должен обеспечивать принятие, предварительную обработку внешних запросов на создание сертификатов или на изменение статуса уже действующих сертификатов. Центр Регистрации может быть территориально удаленным образованием, который должен использовать специализированное ПО чтобы обеспечить:

• Разграничение доступа к элементам управления ЦР на основе состава представленного Администратором взаимодействия с пользователем собственного электронного сертификата, определяющего ролевую принадлежность администратора и уровня полномочий.

• Получение и обработку запроса от Администраторов взаимодействия с пользователями на выпуск сертификата или изменение статуса уже выпущенного сертификата с последующей передачей запроса в ЦС.

• Хранение заверенных запросов и журналов событий в течение установленного срока, предусмотренного регламентом работы системы, в составе которой функционирует УЦ.

• Резервное копирование на внешние носители локального архива.

Под реализацию данных функциональных возможностей разрабатывался модуль КлиентУЦ в составе ПО «КриптоТри» или «eToken КриптоАРМ». Данный модуль позволяет задавать шаблон атрибутов и расширений с предустановленными значениями, используемый в Мастере создания запроса на сертификат. Для использования защищенного канала между удаленным центром регистрации и центром сертификации можно установить ПО Trusted TLS.

4. Все материалы, которые необходимы клиентам организуемого документооборота, должны быть опубликованы на web-портале удостоверяющего центра для оказания информационной поддержки пользователей документооборота.

ДЕЙСТВИЯ ПОЛЬЗОВАТЕЛЕЙ СИСТЕМЫ ДОКУМЕНТООБОРОТА

1. Пользователям, желающим присоединиться к существующему документообороту, требуется скачать с web-портала организатора всю необходимую документацию. В составе документации должен быть шаблон договора, форма, необходимая для получения сертификата в ЦР (первичная сертификация) и инструкции по оснащению рабочего места пользователя.

2. С сайта производителей пользователям необходимо скачать и установить дистрибутив продукта «КриптоТри» («eToken КриптоАРМ»).

3. Для обеспечения возможности формирования ЭЦП пользователю требуется иметь закрытый ключ и соответствующий ему сертификат открытого ключа подписи. Для прохождения процедуры первоначальной сертификации ему следует обратиться в удостоверяющий центр.

4. Выпуск сертификата. Он производится посредством обработки запроса на сертификат, полученного в предыдущем пункте. После генерации сертификата сотрудник УЦ записывает пользователю на токен следующие данные:

• клиентский сертификат, изданный для пользователя данным УЦ;
• корневой сертификат данного УЦ;
• сертификат Уполномоченного лица УЦ или владельца документооборота, которым подписываются Доверительные списки сертификатов (CTL).

Полное описание решения Вы можете прочесть загрузив файл (967Кб) с “Центра загрузки”.