Тема 7. Системы электронного документооборота.
1 Электронный документооборот – набор и хранение документов на компьютерах, или нечто большее?
С начала 60-х, когда первые компьютеры «пришли» на производство, понятие "документ" изменилось кардинальным образом. Фактически рост требований к емкости дисков ПК в значительной степени обусловлен эволюцией документов, которые теперь куда сложнее и разнообразнее прежних.
Чтобы успешно управлять документами, нужно определить, какие типы документов в каком управлении нуждаются. Документы предприятия можно разделить на две категории: документы для автоматизации учрежденческой деятельности и критически важные документы.
Документы для автоматизации управленческой деятельности представляют собой электронную почту, замечания, письма, отчеты и общедоступные базы данных.
Критически важные документы предназначаются для решения внутренних (управление временем и ресурсами) или внешних (маркетинг и обслуживание покупателей) информационных задач.
При автоматизации учрежденческой деятельности можно использовать единообразное управление документами и одинаковые организационные процессы для всех сотрудников.
Критически важными данными, как правило, управляют в соответствии с задачами конкретной рабочей группы.
Перечислим основные действия с документами, которые повсеместно выполняются на предприятии:
- Создание документа: для каждого документа определена дата и время создания, автор, статус (черновик, рабочий (редактируемый), утвержденный (нередактируемый), и т.д.), гриф секретности (общего пользования, ограниченного использования, секретный, …)
- Утверждение документа: после создания, документ требуется завизировать (что может привести к редактированию документа, и появлению нескольких версий одного и того же документа). Процесс утверждения документа зависит только от специфики документооборота предприятия, и может быть как строго формализован (тогда говорят, что для каждого документа есть свой маршрут утверждения), так и неформализован (тогда говорят, что используется открытый маршрут)
- Использование документа: после того, как документ был отредактирован и утвержден, он поступает в архив, где доступен группе лиц (в зависимости от грифа секретности)
В результате усложнения как структуры документов, так и процессов использования документов возникают дополнительные задачи управления данными:
- Во-первых, с одним документом, возможно, должны работать несколько человек, причем, в реальном времени (и одновременно). Более того, одни фрагменты данных требуется регулярно обновлять, в то время как другая часть информации должна оставаться статичной.
- Во-вторых, в документе могут использоваться внедренные объекты (например, данные, чертежи и изображения), когда необходимо модифицировать такие объекты в одних проектах и оставлять без изменений в других.
Решением всех перечисленных задач работы с документами является управление документооборотом.
Управление документооборотом состоит в том, чтобы все обновления документов и их частей, которые выполняет пользователь, проходили процесс утверждения, и фиксировались.
Внедрение компьютеризованной системы управления документооборотом (системы электронного документооборота) должно не просто обеспечить хранение всех версий всех внутренних и внешних документов предприятия, но также фиксировать все действия (создание, рецензирование, редактирование, утверждение, списание в архив) над документами.
1.1 Определение системы ЭД и ее отличительные свойства
Класс систем ЭД является подклассом документальных систем. В отличие от фактографических систем (к которым относят любой банк или базу данных) логической единицей хранения информации в документальной системе является документ.
Система электронного документооборота (ЭД, СЭД) - это комплекс программ, созданных для контролируемого создания и управления документами на предприятии в соответствии с правилами обработки документов, обусловленными бизнес процессами предприятия.
Отличительными свойствами СЭД являются:
- Ведение электронного архива документов
- Управление жизненным циклом информации
- Управление процессом создания, сбора, обработки и распространения корпоративной информации
- Наличие средств контроля исполнения поручений
- Управление содержимым корпоративных Web-ресурсов
- Интеграция с офисными приложениями и корпоративными информационными системами
В некоторых исследованиях предлагают следующую типологию программ управления документами:
- электронная почта
- программы для организации коллективной работы (Lotus Notes, например)
- программы маршрутизации документов
К этой типологии можно было бы добавить дальнейшее разделение на:
- системы с предопределенным маршрутом
- системы с открытым маршрутом
- системы с поисковым блоком или полнотекстовый индексатор как самостоятельный элемент в своем собственном классе (например, Excalibur)
В то время как многие системы, основанные на использовании полнотекстовых поисковых блоков или на реляционных базах данных, претендуют на звание систем управления документами, существует множество критериев, по которым можно судить о том, насколько это соответствует действительности.
Имея в виду требования к системам управления документами, такая система должна выполнять следующие функции:
- организовывать среду хранения, обеспечивая работу с бумажными и электронными документами и предоставляя возможность их просмотра,
- осуществлять поиск (полнотекстовых и других) документов,
- вести историю работы с документом, учитывая трудозатраты на его подготовку,
- обеспечивать возможность работы с многокомпонентными, многоформатными документами, а также приложениями к документу и различными его версиями,
- обеспечивать учет ассоциаций и ведение коллекций документов,
- устанавливать права на работу с документом,
- обеспечивать сканирование документа и восстановление его текста по изображению,
- обеспечивать открытый интерфейс со специализированными, национальными и другими полнотекстовыми поисковыми модулями,
- обеспечивать настройку на потребности пользователя, в первую очередь, регистрационных карточек документов.
Полный набор таких ответственных функций позволяет реализовать промышленная система управления документами.
Если продукт должен обеспечивать прохождение документов по предопределенным маршрутам, то для расширения функциональности может использоваться такой продукт как Staffware, что часто и делается в больших корпоративных системах управления документами. В том случае, когда речь идет исключительно о поддержке движения и контроля документов, выбор приложения, обеспечивающего их управление, представляется логичным. Однако иногда можно обойтись гораздо более дешевым продуктом или обычной электронной почтой.
1.2 Место системы электронного документооборота в корпоративной системе управления предприятием
Рисунок 1 – Взаимодействие подсистем управления предприятием посредством системы ЭД. (Источник: http://www.rbcsoft.ru/ru/product/corporations/item.shtml?item_48).
Сферы применение СЭД огромны. По статистике, приводимой в статье [1, 2003], 2004-2005 годы сулят бум внедрения СЭД на предприятиях крупного бизнеса, а впоследствии, темпы прироста количества внедренных СЭД будут высокими за счет предприятий среднего и мелкого бизнеса.
Перечислим наиболее очевидные области применения СЭД, помимо использования в КИС предприятия:
- государственные судебно-исполнительные и законодательные институты, нотариаты, адвокатуры
- аудиторские фирмы
- открытые для общего доступа Web-порталы и Web-сервера транснациональных корпораций, где должна быть представлена информация на многих языках
- закрытые Web-порталы и Web-сервера транснациональных корпораций, где ведется история документов, и учитываются особенности доступа к документам
1.3 Элементы СЭД как отдельные системы
Полнотекстовый поиск является мощным средством анализа массивов документов, начиная от газетных статей, и заканчивая документами, выпущенными правительством. В этой связи показателен пример системы университетской информационной системы RUSSIA (Russian inter-University Social Sciences Information and Analytical Consortium, http://www.cir.ru), в которой использованы инструменты восприятия документов (через сканирование, распознавание и автоматическую категоризацию) и поиска документов (полнотекстового и по категориям).
Системы управления версиями очень распространены в индустрии разработки программного обеспечения и автоматизированного проектирования. Здесь наиболее известные подходы – CVS (Concurrent Version Management), RCS (Reverse Edit Scripts).
Цифровые библиотеки (Digital Libraries) ориентированы на хранение и поиск сложных по структуре, многоформатных, многокомпонентных элементов (например, графика, звук, видео, текст). Наиболее яркий пример – цифровая Библиотека Конгресса США.
2 Особенности внедрения систем электронного документооборота.
Один из ключевых моментов в совершенствовании системы управления документами состоит в ее спецификации. Для этого нужно сначала сформулировать, какие именно функции система работы с документами должна выполнять. В результате процесс управления важными данными, жизненно необходимыми для работы организации, может стать намного более эффективным и результативным.
Чтобы выявить существующие проблемы в управлении документами, необходимо ответить на несколько вопросов.
- Всегда ли вы можете указать в сети компании местонахождение самой последней версии конкретного файла?
- Всегда ли сотрудники используют одну и ту же версию конкретного файла?
- Всегда ли файлы содержат соответствующие версии данных (например, последние показатели продаж вашей организации)?
- Наконец, если вашей компании предъявлен иск на основании документов прошлого года, то сможете ли вы предъявить электронные копии этих документов в том виде, в каком они существовали на тот момент?
Оценка проблем в управлении документами должна помочь определить, какая степень контроля над данными необходима вашей организации. Базисом для определения требований к контролю является отношение "затраты – выгода" - сопоставление объема потраченного и сэкономленного времени. Необходимо также рассмотреть стоимость покупки (или разработки силами самой компании) и сопровождения программного обеспечения управления документами.
Определяющими факторами при анализе отношения "затраты – выгода" являются размер вашей организации и в некоторых случаях число пользователей в ее рабочих группах. Сложность конкретного решения и серьезность потенциальных проблем увеличиваются экспоненциально вместе с увеличением размера рабочей группы. Кроме цены самого ПО, в стоимость включается время, затраченное на поиск нужной системы, на ее инсталляцию и приведение в рабочее состояние отделом информационных систем, а также время на замену существующих процедур и систем плюс время на освоение пользователями нового программного обеспечения. К тому же вам потребуется дополнительное пространство на дисках для архивирования и обновления ПО.
Размер всех произведенных затрат следует сопоставить с получаемыми преимуществами. Прежде всего, это время, сэкономленное пользователями при поиске корректной версии документа, и возможность их обращения к тем данным, к которым ранее они доступа не имели.
Чтобы оценить преимущества совместной работы с данными, надо определить сначала, сколько пользователей будут обращаться к ним одновременно. Например, если пользователи просто берут данные из одного источника (такого, как БД) или обращаются к фиксированному набору шаблонов рабочих документов при их создании, то как затраты на управление, так и полученные преимущества будут невелики. Но если пользователям приходится часто работать с данными, создаваемыми другими сотрудниками, то необходимо обеспечить контролируемый доступ к такой информации - члены рабочей группы должны знать о том, что именно они могут получить и где эти данные находятся. Рабочая группа из 15 и более человек, к примеру, значительно выиграет от применения системы управления документами, автоматически уведомляющей ее членов (с помощью электронной почты или доски объявлений в Intranet) о доступности новых или последних данных.
Еще одним важным компонентом анализа "затраты – выгода" является сведение к минимуму потенциальной уязвимости вашей организации с юридической точки зрения. Хотя данный фактор, как правило, упускают из виду, а его ценовое выражение с трудом поддается оценке, вам следует рассмотреть с этой точки зрения содержимое ваших внутренних документов, технические или инженерные данные, а также внешние коммуникации. Для обсуждения такого рода вопросов не помешает консультация юриста.
Кроме того, вашей фирме может потребоваться сертификация на соответствие стандарту ISO 9000, которая необходима сегодня все большему числу компаний. Эти стандарты касаются таких областей, как качество управления документами и реализация практики менеджмента.
Иногда перед получением данных необходимо просмотреть их целиком или частично. Для этого надо знать, какое ПО способно открывать и использовать найденный вами конкретный файл. Такая задача может оказаться непростой: достаточно подумать о том, сколько разных типов файлов в сети вашей компании имеют одно и то же расширение .doc. Разве все это файлы Word? Можно ли по имени файла сказать, что за документ он содержит?
Если раньше довольно просто было установить соглашение по именованию файлов/каталогов, то сегодня обилие доступного ПО и типов файлов, поддерживаемых системой, существенно усложнило установление подобных соглашений. Еще недавно казалось, что ключом к решению данной проблемы могут стать программы просмотра документов, но даже Microsoft не успевает обновлять свой продукт QuickView в соответствии с новыми (причем своими собственными!) форматами файлов. Что уж говорить о других производителях.
При подготовке соглашений по именованию файлов необходимо сначала определить название, производителя и версию каждого программного продукта в вашей сети. Составьте список читаемых и создаваемых вашим ПО типов файлов, а также список всех типов документов в своей системе и укажите, какое программное обеспечение с этими документами работает.
Далее определите, какую версию каждого типа файла поддерживает ваше ПО. Если подобная перспектива вас не воодушевляет, то установите стандарты на программное обеспечение в масштабе предприятия (рабочей группы) и избавьтесь от тех продуктов, которые им не соответствуют. Это позволит вам разработать спецификацию файлов и программ в масштабе компании; данную спецификацию можно будет использовать при реализации конкретного подхода к управлению файлами.
3 Примеры систем электронного документооборота
На данный момент существующие на рынке системы, основываясь на технологиях, лежащих в их основе, можно условно разделить на три группы:
1. Системы западного производства. Среды разработок.
2. Системы локального (Россия, Украина) производства, в основе которых лежит Lotus Domino/Notes.
3. Полностью локальные разработки.
К первой группе относят такие три западные системы (среды разработок):
· Documentum
· DOCSOpen/DOCSFusion
· Lotus Domino.Doc
При этом на данный момент наиболее активны по количеству внедрений на рынке системы Documentum и DOCSOpen/DOCSFusion. Эти системы, в - основном, предназначены для крупных предприятий.
Ко второй группе можно отнести следующие компании и системы:
· CompanyMedia - ИнтерТраст
· OfficeMedia - ИнтерТраст
· БОСС-Референт - АйТи
· ЗОЛУШКА НТЦ - ИРМ
· Эскадо Интерпроком - ЛАН
Следует отметить, что системы, основанные на Lotus Domino/Notes, довольно популярны в России. Это доказывают их многочисленные внедрения, а сами компании являются лидерами в своих сегментах, большинство внедрений данных систем было успешным. Хотя, если компания уже имеет разветвленную информационную структуру, основанную на других технологиях, то переход на Lotus связан с некоторыми проблемами. Тем не менее, задача интеграции системы на Lotus Domino/Notes с существующими системами выполнима.
Системы, которые можно отнести к третьей группе:
· 1C:Архив - 1C
· RBC Docs - РБК СОФТ
· DocsVision - Digital Design
· IIG Intravert - IIG
· IT -Inco - IncoFlow
· LanDocs - Ланит
· Optima-WorkFlow - Optima
· VisualDoc - ЦентрИнвест Софт
· Гран Док - Гранит
· Дело - ЭОС
· ДокМенеджер - СофтИнтегро
· Евфрат Cognitive - Technologies
· Эффект-Офис ИКК - Гарант Интернэшнл
4 Безопасность и идентификация в СЭД
4.1 Что такое ЭЦП?
Известно, что содержимое любого документа (файла) представлено в компьютере как последовательность байтов и потому может быть однозначно описано определенным (очень длинным) числом или последовательностью нескольких более коротких чисел. Чтобы «укоротить» эту последовательность, не потеряв ее уникальности, применяют специальные математические алгоритмы, такие как контрольная сумма (control total) или хеш-функция (hash function). Если каждый байт файла умножить на его номер (позицию) в файле и полученные результаты суммировать, то получится более короткое, по сравнению с длиной файла, число. Изменение любого байта в исходном файле меняет итоговое число. На практике используются более сложные алгоритмы, исключающие возможность введения такой комбинации искажений, при которой итоговое число осталось бы неизменным. Хеш-функция определяется как уникальное число, полученное из исходного файла путем его «обсчета» с помощью сложного, но известного (открытого) алгоритма.
Теперь рассмотрим, как получается электронная цифровая подпись (ЭЦП).
Здесь требуется небольшое отступление. С древних времен известен криптографический метод, позднее названный шифрованием с помощью симметричного ключа, при использовании которого для зашифровки и расшифровки служит один и тот же ключ (шифр, способ). Главной проблемой симметричного шифрования является конфиденциальность передачи ключа от отправителя к получателю. Раскрытие ключа в процессе передачи равносильно раскрытию документа и предоставлению злоумышленнику возможности его подделать.
В 70-х гг. был изобретен алгоритм асимметричного шифрования. Суть его состоит в том, что зашифровывается документ одним ключом, а расшифровывается другим, причем по первому из них практически невозможно вычислить второй, и наоборот. Поэтому если отправитель зашифрует документ секретным ключом, а публичный, или открытый, ключ предоставит адресатам, то они смогут расшифровать документ, зашифрованный отправителем, и только им. Никто другой, не обладая секретным ключом отправителя, не сможет так зашифровать документ, чтобы он расшифровывался парным к секретному открытым ключом.
Отправитель, вычислив хеш-функцию документа, зашифровывает ее значение своим секретным ключом и передает результат вместе с текстом документа. Получатель по тому же алгоритму вычисляет хеш-функцию документа, потом с помощью предоставленного ему отправителем открытого ключа расшифровывает переданное значение хеш-функции и сравнивает вычисленное и расшифрованное значения. Если получатель смог расшифровать значение хеш-функции, используя открытый ключ отправителя, то зашифровал это значение именно отправитель. Чужой или искаженный ключ ничего не расшифрует. Если вычисленное и расшифрованное значения хеш-функции совпадают, то документ не был изменен. Любое искажение (умышленное или неумышленное) документа в процессе передачи даст новое значение вычисляемой получателем хеш-функции, и программа проверки подписи сообщит, что подпись под документом неверна.
Таким образом, в отличие от собственноручной подписи, ЭЦП неразрывно связана не с определенным лицом, а с документом и секретным ключом. Если дискетой с вашим секретным ключом завладеет кто-то другой, то он, естественно, сможет ставить подписи за вас. Однако вашу ЭЦП нельзя перенести с одного документа на какой-либо другой, ее невозможно скопировать, подделать — под каждым документом она уникальна. Процедуры хранения, использования, обновления и уничтожения ключей достаточно подробно расписаны в различных методических рекомендациях к системам ЭЦП.
4.2 Шифрование
Рассмотрим шифрование информации асимметричными ключами. Если поменять ключи местами, иными словами, секретным сделать ключ расшифровывания, а открытым (публичным) — ключ шифрования, то отправитель может зашифровать письмо открытым ключом получателя, и тогда прочитать письмо сумеет лишь тот, у кого имеется парный секретный ключ, т. е. только сам получатель. Великое преимущество асимметричной схемы шифрования в том и заключается, что отпадает необходимость в конфиденциальной передаче ключей. Открытый ключ можно сделать доступным на Web-сайте, передать по электронной почте и т. п., не опасаясь негативных последствий доступа к нему третьих лиц.
Для удобства шифрования и использования ЭЦП в корпоративных системах с большим числом абонентов применяются справочники открытых ключей. Каждый ключ имеет тело и номер, одинаковый для секретной и открытой частей ключа и уникальный для каждого абонента. Номер передается в открытом виде в заголовке зашифрованного документа или в заголовке ЭЦП. Получатель по этому номеру из соответствующего справочника выбирает сам ключ, который подставляется в процедуру расшифровывания или проверки подписи. Выполняется такая выборка, как правило, с помощью специальных программ, и вся процедура занимает доли секунды.
4.3 Управление системой ключей в СЭД
Важную роль в системе электронного документооборота играет администрация системы. Она обеспечивает контроль за соблюдением абонентами единых правил работы, участвует в разборе конфликтных ситуаций, управляет ключевой системой и, что очень важно, поддерживает у всех абонентов справочники открытых ключей в актуальном состоянии. Справочники меняются регулярно: при любом изменении списка участников, при замене каких-либо ключей. Необходимость замены ключей возникает, скажем, в случае их компрометации — под этим понимают ряд событий, при которых ключевая информация становится недоступной или возникает подозрение о несанкционированном доступе. К таким событиям относятся утрата ключевых дискет; утрата дискет с последующим обнаружением; повреждение дискет; увольнение сотрудника, имевшего доступ к ключевой информации; нарушение правил хранения и уничтожения (после окончания срока действия) секретных ключей и др.
При возникновении подобного события участник системы обязан незамедлительно уведомить администрацию системы (или ее подразделение — центр управления ключевой системой) о факте компрометации. В свою очередь, администрация должна блокировать открытый ключ участника в справочнике и оповестить об этом других участников (обновить у них справочники). Фиксация момента уведомления администрации о компрометации ключей очень важна. Действительными считаются только те документы участника, которые были получены до этого момента. Данный факт учитывается при разборе конфликтных ситуаций: прежде всего проводится проверка, являлся ли ключ отправителя действующим на момент получения документа адресатом.
В том случае, когда в корпоративной системе документооборота предусмотрен обмен электронными документами лишь между центром (банком, брокерской фирмой, холдингом) и его клиентами, клиентам достаточно знать только один открытый ключ ЭЦП этого центра, последний же использует справочник открытых ключей всех клиентов. Если же в системе предусмотрена возможность обмена электронными документами между абонентами напрямую, то справочники с перечнями открытых ключей должны быть у всех участников и обновляться одновременно.
4.4 Пакет документов
Организация системы электронного документооборота не сводится к установке программного обеспечения. Значительно более сложным и трудоемким процессом (по крайней мере, на начальном этапе) является подготовка документов, подробно описывающих все процедуры функционирования системы, а также обучение сотрудников, которые будут обеспечивать ее работу. Упрощает ситуацию то, что образцы подобных документов уже существуют и можно заказать разработку всего пакета компании, имеющей опыт успешного применения ЭДО. Идеально, если эти документы прошли «проверку боем», то есть на их основе рассматривался конфликт в суде. Администрацию системы можно организовать на базе сторонней фирмы, располагающей соответствующими службами, квалифицированными сотрудниками, необходимыми комплектами договоров, определенным опытом обслуживания таких систем. Риск раскрытия конфиденциальной информации при этом отсутствует, поскольку секретными ключами участников администрация не обладает — она оперирует только справочниками открытых ключей. Важно, чтобы генерация ключей (включая секретные) проводилась уполномоченными сотрудниками участников (пусть и на территории лицензированной администрации, что будет описано ниже).
Необходимым элементом пакета документов по ЭДО является описание процедуры разбора конфликтной ситуации, когда одной из сторон необходимо доказать наличие и действительность ЭЦП другой стороны под электронным документом. Прежде всего необходимо перечислить условия проверки ЭЦП: где проводится проверка, на каком аппаратном и программном обеспечении, кем, в какие сроки и т. д., а также какое решение принимается, если по каким-либо причинам эти условия не удается соблюсти. Сама процедура проверки должна быть описана по шагам и исключать двойное толкование результатов; необходимо указать два типа действий — при положительном и отрицательном исходе выполнения каждого шага. Таким образом, у комиссии, занимающейся проверкой, после завершения процедуры должно сформироваться единое мнение, а затем конфликтующие стороны могут либо заключить мировое соглашение, либо обратиться в суд.
4.5 О cертификации
В суде может возникнуть вопрос о качестве программного обеспечения (ПО), с помощью которого формируется и проверяется ЭЦП; в таком случае потребуется экспертиза ПО. Если ПО сертифицировано, то экспертиза не нужна. Если же сертификата нет, на этом формальном основании суд может отклонить рассмотрение спора (поскольку выполнение экспертизы ПО с разумными финансовыми затратами и за короткое время вряд ли реально), а может и не отклонить (право в нашей стране не прецедентное) и вынести решение без экспертизы ПО (например, если в договоре указано, что стороны доверяют применяемым ими программным средствам криптозащиты информации).
Клиент не может, как при использовании других систем, сгенерировать ключи на своем компьютере и отправить открытый ключ по электронной почте в центр (банку, брокеру, холдинговой компании) или особой администрации системы. Уполномоченный сотрудник клиента должен явиться в лицензированную компанию, осуществить генерацию ключей на этом специальном компьютере, распечатать карточку открытого ключа, отвезти ее в свою фирму и заверить у руководителя, наконец, отправить почтой или курьером обратно администрации ЭДО. Такая процедура окажется дорогой и длительной. Не возбраняется, конечно, доверить генерацию ключей администрации ЭДО, которая потом отошлет дискеты почтой, но тут не избежать угрозы несанкционированного доступа к секретным ключам и возможных отводов в суде.
4.6 О лицензировании
Обычно наряду с вопросом о сертификации поднимается и вопрос о лицензировании, т. е. о получении права на применение средств шифрования (к которым относится и ЭЦП). Существуют различные точки зрения на возможность безлицензионной деятельности в сфере шифрования и использования ЭЦП (или фактических аналогов такой деятельности, называемых другими терминами). Не углубляясь в эту дискуссионную тему, хотелось бы высказать ряд соображений.
Если организация приняла решение получить лицензию, надо учесть следующие моменты. Лицензии на применение средств шифрования, а также на их обслуживание и распространение выдает СБУ. Лицензия предоставляется, как правило, на использование только сертифицированных средств шифрования, иными словами, получить лицензию на применение не сертифицированных средств и тем более средств зарубежного производства практически невозможно.
Существенным положительным моментом применения сертифицированного ПО является наличие разнообразной пользовательской и методической документации. В ней подробно описаны все процедуры управления системами шифрования и ЭЦП, перечислены требования к обеспечению информационной безопасности и вытекающие из них обязанности должностных лиц, а также приведены примеры используемых документов (журналов, рабочих тетрадей).
4.7 Практика применения систем ЭЦП
Электронный документооборот успешно применяется многими организациями. В то же время едва ли найдется система, обеспечивающая передачу по сети изображений бумажных документов (например, платежных поручений). Как правило, передаются только заполняемые поля, записанные в определенной последовательности, которые затем подставляются программой в бланки для экранных и печатных форм. Электронная подпись ставится именно под отправляемым блоком изменяемых полей документа, а не под его изображением. Если формат сообщений сторонами изначально не согласован и не закреплен в специальном документе подписями и печатями, то в суде окажется очень трудно доказать, в какое поле экранной или печатной формы платежного поручения должно подставляться соответствующее значение из электронного документа. И тогда подписанный и переданный файл не будет иметь юридического значения.
Согласно действующим положениям, электронные документы должны храниться столько же, сколько и бумажные (например, платежные поручения — 5 лет). Хранение файлов на магнитных носителях в течение такого срока может привести к их утрате, поэтому рекомендуется формировать архивы электронных документов на компакт-дисках. Одной из типичных ошибок организаторов систем ЭДО является архивное хранение документов в зашифрованном виде. Считается, что если документы передаются по открытой сети зашифрованными (для обеспечения конфиденциальности), то и хранить их нужно так же. Но тогда при физической утрате ключевой дискеты или невозможности считать с нее секретный ключ весь зашифрованный архив станет недоступным. Кроме того, возникает необходимость и ЭЦП, перечислены требования к обеспечению информационной безопасности и вытекающие из них обязанности должностных лиц, а также приведены примеры используемых документов (журналов, рабочих тетрадей).
4.7 Практика применения систем ЭЦП
Электронный документооборот успешно применяется многими организациями. В то же время едва ли найдется система, обеспечивающая передачу по сети изображений бумажных документов (например, платежных поручений). Как правило, передаются только заполняемые поля, записанные в определенной последовательности, которые затем подставляются программой в бланки для экранных и печатных форм. Электронная подпись ставится именно под отправляемым блоком изменяемых полей документа, а не под его изображением. Если формат сообщений сторонами изначально не согласован и не закреплен в специальном документе подписями и печатями, то в суде окажется очень трудно доказать, в какое поле экранной или печатной формы платежного поручения должно подставляться соответствующее значение из электронного документа. И тогда подписанный и переданный файл не будет иметь юридического значения.
Согласно действующим положениям, электронные документы должны храниться столько же, сколько и бумажные (например, платежные поручения — 5 лет). Хранение файлов на магнитных носителях в течение такого срока может привести к их утрате, поэтому рекомендуется формировать архивы электронных документов на компакт-дисках. Одной из типичных ошибок организаторов систем ЭДО является архивное хранение документов в зашифрованном виде. Считается, что если документы передаются по открытой сети зашифрованными (для обеспечения конфиденциальности), то и хранить их нужно так же. Но тогда при физической утрате ключевой дискеты или невозможности считать с нее секретный ключ весь зашифрованный архив станет недоступным. Кроме того, возникает необходимость либо хранить все секретные ключи за всю историю работы системы (регулярно проверяя их читаемость), либо вновь зашифровывать и перезаписывать архивы при каждой смене ключевых дискет.
В действительности после получения электронного документа адресатом потребность в шифровании отпадает. Задачу защиты от несанкционированного доступа к документам в своей локальной сети каждый решает сам. А для проверки ЭЦП отправителя ключевая дискета вообще не нужна — достаточно иметь открытый ключ ЭЦП отправителя или справочник открытых ключей, в котором он содержится. Документы, хранящиеся в электронном архиве, при необходимости можно распечатывать. При этом ЭЦП распечатывается в шестнадцатеричном виде. «Качество» подписи в таком случае не снижается, а в программу проверки, как правило, ее можно ввести и вручную. Если формат документов в системе описан нестрого (допускается, например, использовать два пробела вместо одного, или знаки табуляции вместо группы пробелов, или неотображаемые при печати символы), то и печатный текст самого документа необходимо продублировать в шестнадцатеричном виде. Иначе будет очень затруднительно воспроизвести оригинал документа на компьютере по его распечатанной копии. Наличие любого незамеченного или лишнего пробела либо знака приведет к тому, что программа проверки признает ЭЦП неверной.
Литература
[1, 2003] Российские системы электронного документооборота ждет большое будущее.//C-News, 7 февраля 2003 г. URL: http://www.directum.ru/338214.shtml