Top.Mail.Ru
Навигатор тем:
Войти или зарегистрироваться
Навигатор тем:
  1. Главная
  2. Делопроизводство и архив
  3. Информационные технологии

Опыт применения электронной подписи во внутреннем документообороте организации (часть 2)

0
Журнал «Делопроизводство и документооборот на предприятии» № 11 / 2015
Нечаева Ольга
руководитель секретариата коммерческого банка
В первой части статьи мы разобрались, какие виды внутренних документов можно перевести в электронный вид, как организовать их полностью электронный жизненный цикл (от создания и согласования проекта до исполнения и ознакомления), какой вид электронной подписи для этого можно применять. Кроме того, мы начали публиковать образцы локальных нормативных актов, которые регламентируют применение электронной подписи во внутреннем документообороте так, чтобы заверенные ею действия с документом были юридически значимыми: в прошлом номере было размещено «Положение о порядке применения электронной подписи в системе электронного документооборота организации», а в этом номере вас ждет «Положение об удостоверяющем центре организации» с «Правилами для владельца сертификата ключа».
Окончание статьи. Начало в № 10 / 2015
Окончание статьи. Начало в № 10 / 2015

Пример 2
УТВЕРЖДЕНО
приказом от 07.09.2015 № 189-од

ПОЛОЖЕНИЕ
об удостоверяющем центре М-Банка1

1. Область применения

Настоящее Положение определяет основные задачи, статус Удостоверяющего центра М-Банка, отражает его место в составе М-Банка и описывает основные операции Удостоверяющего центра, а также регулирует его деятельность по изготовлению и управлению сертификатами открытых ключей, подтверждению подлинности электронной подписи в электронных документах.

2. Нормативные ссылки

При разработке настоящего Положения использовались следующие нормативные документы:

  • Федеральный закон РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ в текущей редакции.
  • Федеральный закон «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции.
3. Термины, определения и сокращения

Арбитражная процедура – подтверждение подлинности ЭП в электронных документах, циркулирующих в Информационной системе М-Банка.

Владелец сертификата открытого ключа – лицо, которому в установленном в УЦ порядке выдан сертификат открытого ключа.

ИС – Информационная система.

Пользователь УЦ (Пользователь) – сотрудник М-Банка, участник ИС Банка, подавший заявку на регистрацию в УЦ.

Удостоверяющий центр (УЦ) – Центр сертификации М-Банка, представленный в виде рабочей группы, состоящей из сотрудников М-Банка, осуществляющей выполнение целевых функций Центра сертификации в соответствии с Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции.

Уполномоченное лицо удостоверяющего центра – физическое лицо, входящее в состав Удостоверяющего центра и наделенное полномочиями по заверению от имени Удостоверяющего центра сертификатов открытых ключей.

ЭП – электронная подпись.

4. Общие положения

УЦ является рабочей группой, действующей на постоянной основе, которая формируется из числа сотрудников М-Банка.

Создание, ликвидация и реорганизация УЦ осуществляется в соответствии с приказами Председателя Правления М-Банка.

Деятельность УЦ осуществляется в соответствии с общими принципами информационного обмена и информационной безопасности информационных систем, эксплуатирующихся в М-Банке, Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции, иными законодательными и нормативными актами Российской Федерации и организационно-распорядительными ­документами М-Банка.

УЦ возглавляет руководитель УЦ, который непосредственно подчиняется Председателю Правления М-Банка. Назначение и освобождение от выполнения обязанностей руководителя УЦ осуществляет Председатель Правления М-Банка.

Положение вступает в силу после его утверждения Председателем Правления М-Банка.

В своей деятельности УЦ руководствуется:

  • Федеральным законом РФ «Об информации, информационных технологиях и о защите информации» от 27.07.2006 № 149-ФЗ в текущей редакции;
  • Федеральным законом «Об электронной подписи» от 06.04.2011 № 63-ФЗ в текущей редакции;
  • Уставом М-Банка;
  • Нормативными документами М-Банка;
  • Приказами, распоряжениями и указаниями Председателя Правления М-Банка;
  • Настоящим Положением.
5. Цели и задачи Удостоверяющего центра

Обеспечение участников информационных систем, обслуживающихся в УЦ, средствами применения Электронной подписи и шифрования путем реализации технологии инфраструктуры открытых ключей.

Изготовление сертификатов открытых ключей с обеспечением достоверности заносимой в сертификаты информации и гарантией уникальности открытых ключей изготовленных сертификатов, и управление ими на протяжении всего периода действия.

Выполнение процедур по разрешению конфликтных ситуаций, возникающих между участниками информационных систем при использовании средств ЭП и шифрования.

Предоставление консультаций по вопросам использования ЭП и шифрования в информационных системах.

Реализация в УЦ требований по обеспечению сохранности в тайне конфиденциальной информации и защиты информации, обрабатываемой в УЦ, от несанкционированного доступа.

Поддержание работоспособности программных и технических средств обеспечения деятельности УЦ, а также восстановление в установленные сроки работоспособности центра после аварийных сбоев.

Поддержка электронного документооборота корпоративной информационной системы М-Банка.

6. Состав Удостоверяющего центра

УЦ возглавляется руководителем, который несет персональную ответственность за выполнение поставленных перед УЦ задач.

Численность и состав УЦ устанавливается Председателем Правления М-Банка по представлению Руководителя УЦ.

Перечень ролей УЦ:

  • руководитель Удостоверяющего центра,
  • оператор Удостоверяющего центра.

Сопровождение программного обеспечения УЦ выполняется сотрудниками, назначенными на роль Администратора сервера.

7. Функции Удостоверяющего центра

Регистрация пользователей УЦ.

Изготовление сертификатов открытых ключей в электронной форме и их копий на бумажном носителе по заявлению пользователей.

Предоставление (выдача) сертификатов открытых ключей в электронной форме, находящихся в реестре изготовленных сертификатов, и сертификата уполномоченного лица УЦ по запросам пользователей.

Аннулирование (отзыв) сертификатов открытых ключей по заявлениям их владельцев и в иных случаях, предусмотренных утвержденным порядком предоставления услуг УЦ.

Предоставление участникам информационных систем, обслуживающихся в УЦ, сведений об аннулированных (отозванных) сертификатах и сертификатах, действие которых приостановлено.

Подтверждение подлинности ЭП в электронных документах, циркулирующих в информационных системах, по обращениям участников этих информационных систем, обслуживающихся в УЦ.

Подтверждение подлинности ЭП уполномоченного лица УЦ в изданных сертификатах открытых ключей по обращениям участников информационных систем, обслуживающихся в УЦ.

Ведение и поддержание в актуальном состоянии реестра УЦ, включающего:

  • реестр зарегистрированных пользователей;
  • реестр изготовленных сертификатов открытых ключей пользователей;
  • реестр аннулированных сертификатов открытых ключей пользователей;
  • реестр заявлений на изготовление сертификатов открытых ключей пользователей;
  • реестр заявлений на аннулирование (отзыв) сертификатов открытых ключей пользователей;
  • служебную информацию УЦ.

Установление порядка ведения реестра сертификатов и порядка доступа к нему, а также обеспечение доступа к информации, содержащейся в реестре сертификатов.

Проверка уникальности ключей проверки ЭП в реестре сертификатов.

Разработка и представление на утверждение в установленном порядке проектных, регламентирующих и инструктивных документов по сопровождению и развитию УЦ.

Осуществление периодических работ по резервному копированию баз данных, являющихся электронными составляющими реестра УЦ, обеспечение учета и надежного хранения созданных электронных копий.

Обеспечение работоспособности программных и технических средств УЦ во всех определенных порядком предоставления услуг УЦ режимах и в течение всего рабочего дня УЦ.

Обеспечение актуальности информации, содержащейся в реестре сертификатов, и ее защиты от неправомерного доступа, уничтожения, модификации, блокирования, иных неправомерных действий.

Предоставление пользователю по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информации, содержащейся в реестре сертификатов, в том числе информации об аннулировании сертификата открытого ключа.

Восстановление работоспособности УЦ после аварийных сбоев в установленные сроки с минимальными информационными потерями.

Обеспечение сохранности в тайне конфиденциальной информации и защиты информации, обрабатываемой в УЦ, от несанкционированного доступа.

Предоставление средств криптографической защиты информации, а также иного необходимого для работы программного обеспечения пользователям УЦ.

Информирование в письменной форме пользователей и владельцев об условиях и о порядке использования ЭП и средств ЭП, о рисках, связанных с использованием ЭП, и о мерах, необходимых для обеспечения безопасности ЭП и их проверки.

8. Требования к порядку предоставления и пользования услугами
Удостоверяющего центра

8.1. Требования к процедуре первичной регистрации пользователей
и изготовлению первого сертификата открытого ключа

Регистрация Пользователя в Удостоверяющем центре должна осуществляться Оператором УЦ на основании заявки.

Заявка на регистрацию должна содержать:

  • Ф.И.О. пользователя, подавшего заявку;
  • подразделение, которому принадлежит пользователь в М-Банке;
  • должность пользователя;
  • внутренний телефон пользователя;
  • адрес электронной почты пользователя;
  • указание на проведение работ по регистрации сотрудниками УЦ и изготовлению ­сертификата открытого ключа;
  • дату создания заявки.

Регистрирующееся лицо должно лично прибыть в УЦ.

Перед выполнением процедуры регистрации лицо, проходящее регистрацию, должно быть идентифицировано путем установления личности.

Процедура регистрации должна включать в себя изготовление пары ключей (закрытый ключ и открытый ключ) и сертификата открытого ключа, заверенного УЦ, а также ключевой носитель. Во всех случаях, где это возможно, закрытый ключ должен быть помещен на отчуждаемый ключевой носитель.

Для каждого изготовленного сертификата открытого ключа должны быть изготовлены две копии сертификата открытого ключа на бумажном носителе по форме определенной в Приложении 1 к настоящему Положению. Все копии сертификата открытого ключа на бумажном носителе должны быть заверены собственноручной подписью лица, проходящего процедуру регистрации, и собственноручной подписью ответственного сотрудника Удостоверяющего центра, ­изготовившего сертификат открытого ключа.

По окончании процедуры Пользователю УЦ должны быть выданы:

  • а) ключевой носитель, содержащий:
    • закрытый ключ пользователя;
    • сертификат открытого ключа Пользователя УЦ, заверенный УЦ;
  • б) дополнительно Пользователю УЦ предоставляется (на внешнем носителе):
    • копия сертификата открытого ключа Пользователя УЦ на бумажном носителе.
8.2. Требования к повторному изготовлению и получению сертификата открытого ключа
для зарегистрированных пользователей

Изготовление ключей и сертификата открытого ключа Владельца должно осуществляться при плановой и внеплановой смене закрытого ключа Владельца или по истечении срока действия сертификата открытого ключа Владельца.

Формирование ключей и сертификата открытого ключа должно осуществляться Оператором УЦ на основании заявки.

Заявка должна содержать:

  • Ф.И.О. владельца, подавшего заявку;
  • подразделение, которому принадлежит владелец в М-Банке;
  • должность владельца;
  • внутренний телефон владельца;
  • адрес электронной почты владельца;
  • указание на проведение работ по изготовлению сертификата открытого ключа;
  • дату создания заявки.

Для каждого изготовленного сертификата открытого ключа должны быть изготовлены две копии сертификата открытого ключа на бумажном носителе по форме, определенной в Приложении 1 к настоящему Положению. Все копии сертификата открытого ключа на бумажном носителе должны быть заверены собственноручной подписью лица, проходящего процедуру регистрации, собственноручной подписью ответственного сотрудника Удостоверяющего Центра, ­изготовившего сертификат открытого ключа.

По окончании процедуры пользователю УЦ должны быть выданы:

  • а) ключевой носитель, содержащий:
    • закрытый ключ пользователя;
    • сертификат открытого ключа Пользователя УЦ, заверенный УЦ;
  • б) дополнительно Пользователю УЦ предоставляются (на внешнем носителе):
    • копия сертификата открытого ключа Пользователя УЦ на бумажном носителе.
8.3. Требования к аннулированию (отзыву) сертификата открытого ключа

Аннулирование (отзыв) сертификата открытого ключа Владельца должно осуществляться Оператором УЦ на основании заявки Владельца.

Заявка должна содержать:

  • Ф.И.О. владельца, подавшего заявку;
  • подразделение, которому принадлежит владелец в М-Банке;
  • должность владельца;
  • внутренний телефон владельца;
  • адрес электронной почты владельца;
  • указание на проведение работ по аннулированию (отзыву) сертификата ключа подписи;
  • причину аннулирования сертификата ключа подписи;
  • дату создания заявки.

Перед выполнением процедуры аннулирования лицо, направившее заявку, должно быть идентифицировано путем установления личности.

8.4. Требования к проведению Арбитражной процедуры

Арбитражная процедура должна осуществляться Оператором УЦ на основании заявки Пользователя, содержащей файл электронного документа.

Электронная подпись в предоставленном электронном документе должна считаться равнозначной собственноручной подписи при выполнении следующих условий:

  • сертификат открытого ключа заверен Удостоверяющим центром и не утратил силу (действует) на момент формирования ЭП в электронном документе;
  • электронная подпись, проверенная с использованием сертификата открытого ключа подписи, верна;
  • формирование ЭП было осуществлено без нарушений условий настоящего Положения.

Арбитражную процедуру должна осуществлять комиссия, сформированная из числа сотрудников Удостоверяющего Центра (Арбитражная комиссия).

Результатом Арбитражной процедуры является заключение в письменной форме, подписанное всеми членами Арбитражной комиссии и заверенное печатью Удостоверяющего Центра.

Заключение должно содержать:

  • результат проверки ЭП электронного документа;
  • отчет по выполненной проверке.

Отчет по выполненной проверке должен содержать:

  • время и место проведения проверки;
  • состав Арбитражной комиссии, осуществлявшей проверку;
  • основание для проведения проверки (заявка Пользователя);
  • содержание и результаты проверки с указанием примененных методов;
  • обоснование результатов проверки;
  • данные, представленные Арбитражной комиссии для проведения проверки.

Отчет по выполненной проверке должен составляться в письменной форме и заверяться собственноручными подписями всех членов Арбитражной комиссии.

8.5. Требования к порядку действий при компрометации закрытого ключа

К событиям, связанным с компрометацией закрытого ключа, относятся следующие:

  • утрата ключевых носителей информации;
  • утрата ключевых носителей информации с последующим обнаружением;
  • увольнение сотрудников, имевших доступ к закрытому ключу;
  • нарушение правил уничтожения (после окончания срока действия) закрытого ключа;
  • нарушение правил хранения ключевых носителей;
  • изменение статуса Владельца;
  • случаи, когда нельзя достоверно установить, что произошло с ключевыми носителями (в том числе случаи, когда ключевой носитель вышел из строя и доказательно не опровергнута возможность того, что данный факт произошел в результате несанкционированных действий злоумышленника).

При компрометации закрытого ключа должны быть проведены следующие мероприятия:

  • а) Владелец должен:
    • немедленно прекратить передачу информации с использованием скомпрометированных ключей во всех ИС Банка;
    • сообщить Оператору УЦ по электронной почте и по телефону о факте компрометации (или о подозрении в происшедшей компрометации) ключевой информации с указанием времени компрометации и того, что конкретно было скомпрометировано;
  • б) Оператор УЦ должен аннулировать (отозвать) сертификат открытого ключа.

Аннулирование (отзыв) сертификата может быть выполнено на основании:

  • извещения Владельца;
  • сообщения о компрометации ключевой информации от сотрудников Департамента информационной безопасности, Департамента технической безопасности или Департамента безопасности;
  • сообщения о компрометации ключевой информации от руководителя Владельца, если Владельцем ключа является сотрудник М-Банка;
  • других документов, на основании которых можно сделать вывод о компрометации (или подозрении в компрометации) ключевой информации.

Работа Владельца с ЭП должна быть прекращена до регистрации нового ключа ЭП во всех ИС М-Банка.

9. Технические требования

Длина закрытого ключа должна составлять не менее чем 1024 бит.

Срок действия сертификата открытого ключа должен составлять не более 3 (Трех) лет с момента выпуска сертификата.

Пример 3

Вы видите начало этой статьи. Выберите свой вариант доступа

Купить эту статью
за 500 руб.
Подписаться на
журнал сейчас
Получать бесплатные
статьи на e-mail
доступ
к Базе знаний

Читайте все накопления сайта по своему профилю, начиная с 2010 г.
Для этого оформите комплексную подписку на выбранный журнал на полугодие или год, тогда:

  • его свежий номер будет ежемесячно приходить к вам по почте в печатном виде;
  • все публикации на сайте этого направления начиная с 2010 г. будут доступны в течение действия комплексной подписки.

А удобный поиск и другая навигация на сайте помогут вам быстро находить ответы на свои рабочие вопросы. Повышайте свой профессионализм, статус и зарплату с нашей помощью!

доступ
к Базе знаний

Рекомендовано для вас

Практика перехода на электронный медицинский документооборот в клинике

Делопроизводство и архив
№ 03 / 2024
Информационные технологии

Директор по цифровой трансформации крупной медицинской клиники делится своим опытом, на какую нормативную базу и технические решения можно опереться при внедрении электронного документооборота. Какие разновидности медицинских документов можно оформлять в виде электронных подлинников. Как обеспечить их юридическую силу на протяжении всего срока хранения (25 лет и более) в ситуации, когда усиленные электронные подписи действуют лишь до 15 месяцев, – своеобразный «электронный нотариат» для этого реализовало государство! Как можно подключиться к его информационной системе. Где можно хранить большие электронные архивы. Как предоставлять медицинские документы клиентам.

Владимир Соловьев
член правления, директор по цифровой трансформации ГК «Эксперт»

Внешнеэкономическая деятельность без бумажных документов

Делопроизводство и архив
№ 02 / 2024
Информационные технологии

Для принятия осознанного решения о переходе на юридически значимый электронный документооборот (ЭДО) со своим зарубежным контрагентом нужно понять принципиальные вещи. Какую экономию времени и денег дает переход в цифру (приводим данные Евразийского банка развития, ФТС России и др.)? Как легализовать свою электронную подпись на территории другого государства и иностранную электронную подпись в России? Есть ли нерешенные проблемы для практического перехода на трансграничный электронный документооборот? С партнерами из каких стран российский бизнес уже может перейти на электронный документооборот, благодаря налаженной инфраструктуре? Что делать, если интересующей вас страны в этом списке пока нет? Каков алгоритм действий для подключения к трансграничному ЭДО? Наши ответы на эти вопросы помогут вам в принятии решения о переходе на трансграничный ЭДО.

Сергей Кирюшкин
к.т.н., советник генерального директора – начальник удостоверяющего центра ООО «Газинформсервис», эксперт Ассоциации «РОСЭУ»

Ассортимент действующих стандартов по управлению электронными документами

Делопроизводство и архив
№ 03 / 2024
Информационные технологии

Предлагаем вам справочный материал по действующим отечественным стандартам. Вы увидите, какие ГОСТы можно использовать уже сейчас: для обеспечения долговременной сохранности электронных документов в информационной системе; для конвертации документов из одного формата в другой и для миграции из одной программно-аппаратной среды в другую; для обмена электронными сообщениями между разными СЭД; для цензурирования информации при ее раскрытии, чтобы соблюсти конфиденциальность и др. Все 8 описываемых ГОСТов являются адаптированным переводом международных разработок и содержат лучший мировой опыт.

Елена Антошечкина
начальник отдела анализа и методологии ГК «Электронные Офисные Системы» (ЭОС)

Как получить квалифицированную электронную подпись в УЦ ФНС России

Делопроизводство и архив
№ 01 / 2024
Информационные технологии

Какие организации бесплатно получают усиленную квалифицированную электронную подпись в удостоверяющем центре ФНС России. Куда за ней обращаться и что с собой взять. Что в результате получите от налоговой. Где можно будет использовать эту электронную подпись. Автор статьи показывает алгоритм действий с учетом изменений, внесенных в 2023 году. Отмечает и проблемы, часть которых его организации удалось разрешить. Данная статья написана по материалам выступления автора на Форуме ЭДО 2023.

Никита Степанов
руководитель проекта в ООО «Служба налогоплательщика», которое разрабатывает программные продукты для налогоплательщиков, формы и форматы для Минфина и ФНС России, инструменты контроля налоговой и бухгалтерской отчетности, XML-документы в АИС НАЛОГ, АСК НДС 2, АСК ККТ и др., эксперт Ассоциации «РОСЭУ»

Режим рецензирования в Word: автоматическое выявление правок

Делопроизводство и архив
№ 11 / 2020
Информационные технологии

Режим «Рецензирование» существенно облегчает разработку, согласование вордовского документа группой людей – он автоматически фиксирует каждую вставку, удаление, перемещение текста, форматирование и все это пользователи еще могут комментировать! Показываем, как управлять отображением правок (каким способом, какие типы и от каких пользователей показывать, как определить автора изменений, как распечатать исходный или окончательный вариант текста). Как выявить правки, которые коллега пытался вставить незаметно! Можно объединить в одном документе правки от разных людей, присланные ими в разных версиях файла. А еще можно защитить документ от редактирования либо установить пользователям пределы дозволенного. Даже если режимом «Рецензирование» уже пользуетесь, из этой статьи сможете узнать новые «ювелирные» настройки, которые сделают вашу работу еще удобнее.

Надежда Артонкина
специалист по внедрению автоматизированных систем управления

Контроль исполнения поручений в MS Excel

Делопроизводство и архив
№ 10 / 2012
Информационные технологии

Автор напоминает основные принципы организации контроля исполнения поручений, а потом подробно объясняет, как удобнее автоматизировать эту работу с использованием стандартных возможностей MS Excel (какие поля в таблице регистрационной формы пригодятся, как настроить фильтрацию данных и пользоваться ею, какие сведения удобно выделять автоматически). Статья особенно пригодится тем, кому на покупку специализированного программного обеспечения для автоматизации делопроизводства денег пока не дают.

Антипов Денис
специалист по электронному документообороту ООО «Тулпар Техник»

Презентация годового отчета и плана

Делопроизводство и архив
№ 12 / 2019
Информационные технологии

Раскрыты секреты создания эффектной презентации в современном стиле для деловых отчетов и планов: как сделать данные наглядными, как привлекать внимание, как лучше форматировать гистограммы и диаграммы, как использовать шрифты, цвета и картинки, где взять бесплатные фото и иконки. Описаны интересные возможности программы PowerPoint из Microsoft Office, которые стоит применять.

Наталья Клочкова
заместитель исполнительного директора торгово-производственной компании

Что препятствует массовому переходу организаций к безбумажной модели документооборота

Делопроизводство и архив
№ 12 / 2022
Информационные технологии

Приведен список из более 60 действующих нормативных правовых и методических документов в сфере управления документами, которые мы систематизировали по 6 разделам: требования к документированию деятельности, автоматизации, работе с документами и данными, их хранению, работе с электронными документами и подписями и др. Авторы статьи рассматривают причины, по которым данная система регламентации и существующие подходы в СЭД пока не позволяют массово внедрить безбумажную модель документооборота. Предложено сформировать эталонную модель цифрового документооборота электронных подлинников документов (с готовыми решениями вместо перечня правил) в виде отечественного стандарта. Его разработкой уже занимается экспертная компания «ДокМенеджмент Консалт», рассказываем, какие пробелы он призван восполнить, какие конкретные методики работы воплотить.

Елена Скрипко
руководитель научно-методического центра и направления образовательных программ ООО «ДокМенеджмент Консалт», член международной некоммерческой профессиональной ассоциации ARMA International
Софья Ульянцева
к.и.н., генеральный директор ООО «ДокМенеджмент Консалт», доцент кафедры документоведения, аудиовизуальных и научно-технических архивов ИАИ РГГУ