Длительное хранение электронных документов. Проблемы и решения
Светлана Зверева
🕛 20.10.2006, 10:42
В наше время электронная цифровая подпись стала привычным инструментом, который активно используется во многих бизнес-процессах. Говоря об использовании документов, подписанных электронной цифровой подписью (ЭЦП), необходимо обращать внимание на два аспекта - оперативную работу с документами и их длительное хранение. При оперативной работе применение ЭЦП эффективно. Используя ЭЦП в электронном документообороте, организация имеет возможность контролировать целостность электронных данных и подтверждать их подлинность, гарантировать авторство документов и обеспечивать неотказуемость. При этом для документов, «время жизни и полезности» которых не превышает пяти лет, обеспечение их сохранности не создает большой сложности для владельцев по сравнению с документами постоянного срока хранения.
При долговременном хранении электронная подпись из полезного инструмента превращается в проблему, так как в этом случае необходимо обеспечивать не только сохранность электронных документов в течение установленного срока хранения, но и возможность проверки подлинности ЭЦП в будущем.
Говоря об организационных методах использования и хранения электронных документов, подписанных ЭЦП, необходимо отметить, что для каждой информационной системы, в которой используется ЭЦП, должен быть разработан Регламент системы электронного документооборота (СЭД) и Соглашение между сторонами СЭД об использовании ЭЦП, в котором необходимо описать процессы, методы и технологию работы с электронной цифровой подписью в рамках конкретной системы. В организационных документах определяются условия использования ЭЦП: должен быть определен ее формат, возможности хранения, проверки и получения заключения в случае возникновения конфликта. В рамках одной системы должен использоваться единый формат ЭЦП. В ином случае - это приведет к невозможности разбора конфликтных ситуаций либо существенно усложнит данную процедуру, причем в случае использования различных форматов ЭЦП потребуется прописывать все возможные варианты использования, хранения и рассмотрения споров, что весьма трудоемко и сложно.
Лучше заранее продумать пути решения спорных вопросов, связанных с использованием ЭЦП в электронном документообороте, так как конфликты могут привести к досудебным и судебным разбирательствам.
На сегодняшний день использование применяемого в настоящее время формата ЭЦП порождает ряд проблем юридического характера. Сложно доказать момент подписи и статус сертификата открытого ключа подписи на момент подписи (действителен сертификат либо он аннулирован или приостановлен). Эти трудности могут привести к тому, что арбитр не примет электронный документ в качестве доказательства.
Опираясь на свой опыт работы на рынке систем юридически значимого электронного документооборота, компания «Крипто-Про» предложила новый Стандарт применения ЭЦП - так называемой усовершенствованной подписи - основанный на европейском стандарте "CMS Advanced Electronic Signatures (CAdES)". Стандарт призван решить основные трудности, связанные с использованием ЭЦП, и обеспечить участников электронного документооборота необходимыми доказательствами для установления момента подписи и статуса сертификата открытого ключа подписи на тот момент.
Использование «усовершенствованной» подписи является важным условием организации архивного хранения электронных документов, заверенных ЭЦП, - особенно в тех случаях, когда необходимо выполнять проверку корректности ЭЦП по истечении больших промежутков времени после подписи.
Доказательства подлинности сертификата в момент подписи в момент создания усовершенствованной подписи обеспечиваются вложением в реквизиты документа
цепочки сертификатов до доверенного Удостоверяющего центра
ответов доверенной Службы актуальных статусов (OCSP-ответов)
списки отозванных сертификатов промежуточных сертификатов в цепочке
На доказательства подлинности в доверенной Службе штампов времени ставится штамп времени, подтверждающий их целостность на момент формирования подписи. В этом случае подлинность ЭЦП может быть подтверждена по прошествии длительного времени - даже по истечении срока действия сертификата ключа подписи (как правило, сертификат выдается сроком на 1 год)
Для того чтобы организации перейти на работу с новым форматом электронной подписи, ей потребуется решить вопрос создания/доработки инфраструктуры PKI, необходимой для обеспечения работы с усовершенствованной ЭЦП. Инфраструктура может быть построена как на основе сторонних доверенных сервисов, так и в рамках внутренней корпоративной системы организации. В состав Инфраструктуры должны входить Удостоверяющий центр, Служба актуальных статусов (OCSP) и Служба штампов времени (TSP).
На сегодняшний момент подобная полнофункциональная инфраструктура в России еще не воплощена в жизнь, так как Стандарт применения нового формата ЭЦП только предложен на рассмотрение и официально не принят. Работа по разъяснению положений нового Стандарта и возможностей его внедрения в России выполняется специалистами компаний «Крипто-Про» и Digt. В качестве программных средств, реализующих возможность внедрения и использования Стандарта, можно назвать следующие: ПАК «КриптоПро УЦ» версии 1.4 («Крипто-Про»), комплексы «КриптоПро OCSP» («Крипто-Про»), «КриптоПро TSP» («Крипто-Про»), на клиентских местах - «КриптоПро CSP» («Крипто-Про») и «КриптоАРМ Стандарт +» версии 4.0 (Digt).
Компания Digt