Bankir.Ru
8 декабря, четверг 14:50

Объявление

Свернуть
Пока нет объявлений.

ЭЦП в электронном документообороте

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • ЭЦП в электронном документообороте

    Помните, весной-летом обсуждался электрический документооборот? А как насчет продолжения темы? Продолжение с некоторым уточнением, я бы сказал:-)
    Итак, есть система эл.док-та (внедрение закончится в ближ. месяц-полтора), в начальном ТЗ ни слова об ЭЦП не было, а тут на тебе, решили что без ЭЦП документооборот не документооборот вовсе, а так, базенка с байтами!
    Собственно и тема родилась для того чтобы узнать об успешном применении (или наоборот неуспешном) ЭЦП в делах электрических. Тем более что ЭЦП теперь официальна, а для внутренних нужд необязательно должна быть сертифицирована (или ошибаюсь?).

    Ну как, информацией поделитесь?

  • #2
    В качестве варианта.. пишите положение "О внутреннем электронном документообороте" включив туда раздел со словами, типа: Документ, подписанный сертифицированным в системе СЭД ключом пользователя (ЭЦП). порождает те же права и обязанности, что и аналогичный документ на бумажном носителе, заверенный личной подписью пользователя. И проблем нет.
    Хотя тут всё зависит от системы на которой построена СЭД, лично я брал в расчет Lotus , но там всё интегрированно, а вот что делать например с Exchange не знаю...

    Комментарий


    • #3
      Если у вас есть электрический клиент-банк, то вы уже все знаете. Что (юридически и технически) приложимо к клиентам, тем более приложимо к персоналу.
      М.Голованов

      Комментарий


      • #4
        Хм, я вообще то хотел узнать не про ЭЦП вообще, а про использование ЭЦП в документообороте, причем внутреннем. Или почему не стали применять ЭЦП в нем.
        А Клиент-Банк и другие, с их ЦБ-навязанными системами криптования в данном случае не хотелось бы рассматривать.

        Комментарий


        • #5
          Я что то сути вопроса не понял.
          В чем именно проблема. Как технически присобачить ЭЦП к документообороту? или зачем это вообще надо? или еще что?

          Комментарий


          • #6
            Чтож, значит не совсем ясно я изложил вопрос.
            Интересен опыт применения ЭЦП в системах электронного документооборота, внутреннего. Не как ПРИКРУТИТЬ ее, а НУЖНА ЛИ ОНА там, ее востребованность. Ваши мнения по этому поводу, плюсы и минусы. Может быть вообще не стоит мудрить с ЭЦП (при том что использовать ее будет только руководство) а использовать только средства защиты и контроля NT и MSSQL?

            Комментарий


            • #7
              bda СБ успешно применяет уже ...нацатый год. Не знаю, как в данный момент, но год-полтора назад, без подписи не уходил ни один документ. Различались подписи нескольких уровней, и направлений... Финансовая - не финансовая, внешняя - внутренняя... Более того, был вполне функционально решен именно комплекс "подпись-криптование".

              К сожалению, подробное освещение вопроса - нарушит правила ИБ...
              Подавая сигналы в рог будь всегда справедлив, но строг. ©

              Комментарий


              • #8
                IMHO какой же документооборот бес подписей? Как же будете строить циклы согласования/утверждения? И потом помоему это единственный способ однозначно определить лицо, что то сделавшее с документом... Ну а способ сделать ЭЦП законной я уже писал выше.

                Комментарий


                • #9
                  Ага, так значит опыт подсказывает что применение ЭЦП во внутреннем документообороте оправдано и даже необходимо? Ок, такой вывод тоже устраивает, хотя конечно жаль что "подробное освещение вопроса - нарушит правила ИБ...".
                  А может быть публикация названий систем подписи не нарушит инструкций?:-) Ведь не всегда удается выбрать систему ЭЦП с первого раза, а многие уже попробовали те или иные системы и могли бы поделиться наблюдениями о сильных и слабых (например удобство управления хранилищем, замена ключей и т.д.) сторонах используемых систем.

                  Комментарий


                  • #10
                    У меня проблема снята по причине того, что СЭД строится на Lotus Domino/Notes. ЭЦП встроена, шифрование имеется, вообщем allinclusive. )
                    По поводу удобства работы.. тут субъективно, привык я к лотусу поэтому всё остальное посчитаю не удобным, хотя если Уважаемые смогут доказать обратное, то соглашусь...

                    Комментарий


                    • #11
                      bda Всё писалось для себя, самими. Поэтому названия... не дадут ничего.

                      Стоит отметить, что построение систем документооборота, должно подрозумевать полную заточку для работы с ЭЦП. Чтоб небыло просто возможности, неиспользовать ЭЦП. Одними административными методами сдесь не справится...
                      Подавая сигналы в рог будь всегда справедлив, но строг. ©

                      Комментарий


                      • #12
                        Разрешите встрять?

                        На мой взгляд, применение ЭЦП во внутреннем документообороте вещь нецелесообразная.

                        Во первых принятый 1-ФЗ "О цифровой подписи" формально на управленческие документы не распространяется.

                        Во вторых. Для чего собственно ставят подпись под документом?
                        - чтобы удостоверить свое авторство
                        - чтобы удостоверить подлинность
                        - чтобы закрепить некое управленческое действие (резолюцию) по отношению к документу или исполнителю.

                        С первыми двумя случаями ЭЦП справится может. А вот с третьим - куды эту самую резолюцию засунуть? - Проблема.

                        Обычно, в системах автоматизации документооборота, в случаях когда необходимо обрабатывать документы с резолюциями, собственно тексты резолюций хранят отдельно от тела документа, в так называемых РКК (регистрационно-контрольных картах). Прикладывать к ним ЭЦП ?
                        Резолюция - не документ. Она не живет сама по себе, а живет только вместе с документом.

                        Теперь о подлинности.
                        Когда ее, эту подлинность нужно подтверждать?
                        Когда мы документ вводим в систему (обработка поступающей корреспонденции)
                        и когда мы передаем документ внешнему (относительно нашей корпоративной системы) корреспонденту.

                        А в нутри системы удостоверять подлинность документов - нет смысла.
                        Это должна гарантировать сама информационная система, всем своим действием.

                        В протимном случае, получается, что вы недоверяете своей собственной системе.
                        А почему в таком случае вы доверяете тем результатам, которые компьютер вычисляет.
                        Вы же не требуете ЭЦП на результат каждой арифметической операции!

                        Ну и здесь то же самое.

                        И вообще, по большому счету, между обработкой внутренних бумажных и электронных документов есть две большие разницы. Состоящие в различной природе самих документов!

                        Что есть документ - закрепленная информация, снабженная реквизитами позволяющими однозначно ее идентифицировать!

                        Для бумажных документов - закрепление происходит намертво, (что написано пером - не вырубишь топором). Поэтому и обработка бумажных документов связана с передачей НОСИТЕЛЯ информации. Ну и следственно подтверждения его подлинности и т.п.

                        А с электронными - зачем нам передавать его носитель (Винчестер, дискету, перфоленту и т.д.)? Мы передаем информацию!!!!
                        Т.е. на входе, при регистрации документа в системе, мы извлекаем из него информацию и дальше делаем с ней то что нам надо.
                        А документ - остается. Его можно сразу в архив. Чтоб не потерялся.

                        И зачем нам при внутренней передаче информации нужна ЭЦП?

                        Конечно возникает вопрос - однозначной идентификации того, кто в данный момент сидит за компьютером. Действительно ли это ваш начальник ? Или ЗЛОУМЫШЛЕННИК?
                        Это можно проверить и без ЭЦП - попробуйте его послать на ... и посмотреть на его реакцию

                        Комментарий


                        • #13
                          Anjey
                          Э брат.. позволь не согласиться в тексте Вашем Вы противоречите сами себе...

                          С первыми двумя случаями ЭЦП справится может. А вот с третьим - куды эту самую резолюцию засунуть? - Проблема.
                          Нет проблем! Ежели система строиться на документоориентированной базе данных, то технически резолюция будет выгляеть полем в документе, и никуда она от этого документа не денется.
                          Сами же сказали

                          Рзолюция - не документ. Она не живет сама по себе, а живет только вместе с документом.


                          Теперь о подлинности.

                          Когда мы документ вводим в систему (обработка поступающей корреспонденции) и когда мы передаем документ внешнему (относительно нашей корпоративной системы) корреспонденту.


                          Незачем с системе внутреннего документоборота подтверждать подписи исходящих документов, да и как технически это реализовать?

                          И вообще, по большому счету, между обработкой внутренних бумажных и электронных документов есть две большие разницы. Состоящие в различной природе самих документов!

                          Да нет ведь никакой разницы, что не бумаге документ (от кого, для кого, дата, сожержание и всё это обязательно должно заверица подписью написавшего ) что в электронике должны присутствовать те же реквизиты. Так в чем же разница, помоему в том что бумагу потрогать можно, а электронный нет, ну разве что потыкать пальцами в монитор.

                          Это можно проверить и без ЭЦП - попробуйте его послать на ... и посмотреть на его реакцию
                          Ну с такими проверками на одном рабочем месте не долго задержишься

                          Комментарий


                          • #14
                            Anjey !!!
                            Внедрять ЭЦП во внутреннем ФИНАНСОВОМ документообороте - вредительство и маразм одновременно, а во внутреннем НЕ-ФИНАНСОВОМ документобороте - головная боль, но... иногда оправданная.
                            Когда Банк просто гигантский и административно запутанный. Тогда, чтобы распутывать, хотя бы постепенно, определяется стандарт НЕ-ФИНАНСОВОГО документооборота и иерархия согласований. Вот для того, чтобы документ становился бумажным только в конечном виде (и хранились все копии согласования), тогда и возможно применение аналога или реальной ЭЦП в таком документообороте. Софт соответствующий подобрать можно.
                            Да пребудет с Тобою Великая Сила! ©

                            Комментарий


                            • #15
                              К_Маркелов
                              вредительство и маразм одновременно
                              Такая терминология возможна только при полном уходе от первоначального предмета разговора. Мы же говорим не просто о бумагах с текстами, а о документах. Подпись под любым документом фиксирует ответственность лица, его подписавшего, за операцию, отраженную в документе. Чиновник подписывает справку, принимая на себя ответственность за соответствие ее содержания фактам. Руководитель подписывает платежку, принимая на себя ответственность за распоряжение банку. Операционист ставит дату и подпись на ней, принимая на себя ответственность за обработку платежки. Он же ставит подпись на ордере, принимая на себя ответственность за правомерность перечисления. Ну, и так далее. Везде подпись подтверждает ответственность. Так что если Вы заменяете все или некоторые документы их электронными аналогами, без электронного аналога подписания документа не обойтись.

                              И потом, зачем документу становиться бумажным в конце? Это что, для отправки внешнему контрагенту? Так в этом случае все равно придется всем нужным людям напрячься и подписать окончательный бумажный текст... А если документ исполнен и ложится в архив, пусть там в электронном виде и лежит.

                              И какая разница - финансовый документ или нефинансовый (а кстати, в чем разница? со ссылкой на официальные документы или известные глоссарии, если можно) - если я не подписал, я не отвечаю (мало ли кто что ввел... ), и контроль сеансов и пользователей в системе - это не доказательство и не порождает юридической ответственности.

                              Поэтому внутренний электронный документооборот (а не бумагооборот) без ЭЦП немыслим. Впрочем, это очевидно...
                              М.Голованов

                              Комментарий


                              • #16
                                mgolovanov Поэтому внутренний электронный документооборот (а не бумагооборот) без ЭЦП немыслим. Впрочем, это очевидно.... Я ж с этим согласился, только написал, про головная боль, но... иногда оправданная.
                                А что касается
                                Руководитель подписывает платежку, принимая на себя ответственность за распоряжение банку. Операционист ставит дату и подпись на ней, принимая на себя ответственность за обработку платежки. Он же ставит подпись на ордере, принимая на себя ответственность за правомерность перечисления. Ну, и так далее.,
                                то здесь либо Ваша АБС дает полную авторизацию ВСЕХ действий ВСЕХ пользвателей (журналирование операций), либо не дает ее. В первом случае "наворачивать" еще и ЭЦП - слишком накладно при тех же результатах, а во втором (когда полного журналирования нет), то ... надо менять АБС. Это - чуть развернуто и чуть с другого угла, чем в предыдущем постиннге.
                                Удачи Вам!
                                Да пребудет с Тобою Великая Сила! ©

                                Комментарий


                                • #17
                                  Господа вышенаписавшие!

                                  Какова же все таки у нас у всех инерция мышления!

                                  НУ НЕТУ ВНУТРЕННЕГО ЭЛЕКТРОННОГО НЕФИНАНСОВОГО ДОКУМЕНТООБОРОТА!
                                  Ну нету!!

                                  Более того при советской власти, практически во всех крупных гос. учреждениях (министерсвах, ведомствах) ВНУТРЕННИЙ ДОКУМЕНТООБОРОТ ДЕКЛАРАТИВНО ЗАПРЕЩАЛСЯ!!!

                                  Всем чиновникам ПРЕДПИСЫВАЛОСЬ решать вопросы ОПЕРАТИВНО!

                                  Читайте ГСДОУ, "Перечень видов документов образующихся в деятельности..."

                                  На самом деле то что все сейчас называют внутренним документооборотом организации есть ничто иное как ОБРАБОТКА ИНФОРМАЦИИ полученной из различных источников (далеко не всегда документированных).

                                  Внутренний документ возникает только в момент необходимости ЗАФИКСИРОВАТЬ информацию. Причем зафиксировать лет этак на 5 минимум.

                                  В общем следует различать информацию и Документированную информацию.
                                  Не всю информацию следует документировать

                                  Комментарий


                                  • #18
                                    Anjey НУ НЕТУ ВНУТРЕННЕГО ЭЛЕКТРОННОГО НЕФИНАНСОВОГО ДОКУМЕНТООБОРОТА! У вас может быть и НЕТУ, а у нас есь. И довольно обширный поток. И с применением ЭЦП.

                                    Комментарий


                                    • #19
                                      Anjey НУ НЕТУ ВНУТРЕННЕГО ЭЛЕКТРОННОГО НЕФИНАНСОВОГО ДОКУМЕНТООБОРОТА!
                                      А что Вы скажете про "Должностные Инструкции"? А про "Кадровые Приказы"? Какая тут ОБРАБОТКА ИНФОРМАЦИИ полученной из различных источников ???
                                      Да пребудет с Тобою Великая Сила! ©

                                      Комментарий


                                      • #20
                                        Anjey
                                        На самом деле то что все сейчас называют внутренним документооборотом организации есть ничто иное как ОБРАБОТКА ИНФОРМАЦИИ полученной из различных источников (далеко не всегда документированных).

                                        Отлично! А не сложно ли Вам будет сформулировать определение ДОКУМЕНТООБОРОТА?

                                        Комментарий


                                        • #21
                                          К_Маркелов
                                          Ваша АБС дает полную авторизацию ВСЕХ действий ВСЕХ пользвателей (журналирование операций),
                                          А при чем тут журналирование? Журналирование дает информацию администратору о том, кто и что сделал. Вы можете узнать, что платежку номер N провел операционист A. Но операционист А будет ЮРИДИЧЕСКИ отвечать за корректность проводки, если он где-то там расписался (в ордере или еще где - это зависит от местного порядка). А если Вы пытаетесь прижучить его на основании системного журнала, он в конце концов может заявить, что Вы как администратор или другой злыдень воспользовались его паролем и выполнили эту операцию (а предвидя Ваши возможные возражения - в конечном счете ни один операционист не согласится на свою мат. ответственность на основании каких-то системных журналов). То есть, во-первых, авторство операции в данном случае строго недоказуемо, а во-вторых, это всего лишь авторство.

                                          Удачи Вам!
                                          Вот все консультанты так... напустят туману - и бай-бай. Извините, но я пытаюсь выяснить вопрос до конца. Как-никак практик.
                                          Последний раз редактировалось mgolovanov; 07.02.2002, 12:08.
                                          М.Голованов

                                          Комментарий


                                          • #22
                                            SeaDog
                                            сформулировать определение ДОКУМЕНТООБОРОТА
                                            Навскидку нашел одну довольно информативную статеечку - http://docprof.uifc.kiev.ua/rabkrin.html. В свете ее содержимого, а также других публикаций и нормативных докментов (в частности, Типовая инструкция
                                            по делопроизводству в федеральных органах исполнительной власти
                                            (утв. приказом Росархива от 27 ноября 2000 г. N 68) - пожалуй, самый свежий текст, или ГОСТ Р 51141-98 "Делопроизводство и архивное дело. Термины и определения") ДОКУМЕНТООБОРОТ = ОПРЕДЕЛЕННЫЙ ПОРЯДОК ДВИЖЕНИЯ (ИСПОЛНЕНИЯ) ДОКУМЕНТОВ. В этом смысле нам следовало бы здесь говорить об электронном ДЕЛОПРОИЗВОДСТВЕ, так как документооборот есть лишь часть полного процесса создания, движения и архивирования документов.
                                            М.Голованов

                                            Комментарий


                                            • #23
                                              mgolovanov
                                              Согласен, но тема то ставилась как "ЭЦП в электронном документообороте", поэтому предлагаю внести (но только в рамках темы) равенство документооборот=делопроизводство.

                                              Комментарий


                                              • #24
                                                mgolovanov То есть, во-первых, авторство операции в данном случае строго недоказуемо, а во-вторых, это всего лишь авторство. Можно вводить аппаратную авторизацию типа Touch-memory (и на ней же хранить те самые ключи ЭЦП) и ввести административную ответственность за утерю или небрежное хранение "таблетки".
                                                А насчет, Вот все консультанты так... напустят туману - и бай-бай. - это Вам с консультантами не всегда везло
                                                Да пребудет с Тобою Великая Сила! ©

                                                Комментарий


                                                • #25
                                                  К_Маркелов

                                                  Можно вводить аппаратную авторизацию типа Touch-memory (и на ней же хранить те самые ключи ЭЦП)
                                                  Конечно, можно... если исходить из того, что журнализация не заменяет электронную подпись.

                                                  Вообще бегать с дискетками не сильно удобно. Какой-нибудь прибамбас на брелоке (типа того, что от автомобильного центрального замка) был бы удобнее - достал, кнопу нажал - подписано. Вот есть же сканеры штрих-кодов, кард-ридеры, осталось придумать ЭЦП-ридер...
                                                  Последний раз редактировалось mgolovanov; 07.02.2002, 18:43.
                                                  М.Голованов

                                                  Комментарий


                                                  • #26
                                                    К_Маркелов
                                                    А про "Кадровые Приказы"? Какая тут ОБРАБОТКА

                                                    Вот и я говорю - какая обработка? Что вы делаете с кадровым приказом?
                                                    Нет, именно с самой бумажкой на которой он напечатан?
                                                    Все ознакомились, расписались - бумажку - в дело.

                                                    А как это будет в электронном виде?
                                                    Допустим что в некой системе хранение эл. документов реализовано внутри СУБД. Вы что по всем инстанциям СУБД носить будете? Или как?
                                                    И где тут документ? Нету. Есть информация.

                                                    Говоря про то что нету внутреннего документооборота, я прежде всего имел ввиду, что внутри организации идет прежде всего обработка информации содержащейся в документах. Тем более если речь идет о так называемых электронных документах.
                                                    Набор полей в экранной форме - не есть еще документ!
                                                    набор записей в реляционных таблицах - тем более!
                                                    Мы это все по инерции называем документом, хоть и электронным.

                                                    Так что нет предмета для применения ЭЦП во внутреннем документообороте.

                                                    Комментарий


                                                    • #27
                                                      Anjey
                                                      Вы что по всем инстанциям СУБД носить будете?
                                                      Ну Вы даете... насколько понимаю, необходимое условие электрического исполнения и подписания оного приказа есть наличие компьютеров, подключенных к системе делопроизводства с этой самой БД, у всех лиц, кои а) готовят, б) подписывают, в) ознакомляются. Если у кого-то из них компьютера и ЭП нет, электрификация этого приказа теряет смысл. Это, так сказать, на пальцах.

                                                      И где тут документ?
                                                      Набор полей в экранной форме - не есть еще документ!
                                                      Ну, тут вспоминается незабвенный Булгаков: "Темные мы, темные! Учить нас, ..., надо..." Почитайте помянутые мною выше документы - станет понятнее.

                                                      А коль не секрет, Вы что, автоматизируете этот самый документооборот?...
                                                      М.Голованов

                                                      Комментарий


                                                      • #28
                                                        Anjey
                                                        А как это будет в электронном виде?
                                                        Помоему проще некуда:
                                                        Приказ о приёме на работу
                                                        1. Ввод первичных данных сотрудником кадров
                                                        2. Подпись ЭЦП Начальником отдела кадров
                                                        3. Возможно еще пара ЭЦП
                                                        4. Подпись Руководителем
                                                        И документик спокойно себе попал в корпоративное хранилище и лёг там на веки вечные, и подписи с ним...

                                                        Набор полей в экранной форме - не есть еще документ!
                                                        набор записей в реляционных таблицах - тем более!

                                                        Так что же тогда электронный документ?
                                                        IMHO именно оделелённо сгруппированная группа полей заверенная ЭЦП, хотя может слишком узко беру.

                                                        Комментарий


                                                        • #29
                                                          mgolovanov
                                                          А коль не секрет, Вы что, автоматизируете этот самый документооборот?...

                                                          Ага, мы его автоматизируем, родимого.

                                                          Комментарий


                                                          • #30
                                                            SeaDog
                                                            Подпись Руководителем
                                                            В данном случае НЕОБХОДИМО добавить ЭЦП лиц, которые должны быть ознакомлены с приказом (а то скажут потом, что не знали) - это обязательный этап. Приказ ведь выпускается, чтобы его выполняли, а выполнят только если расписались на нем.

                                                            хотя может слишком узко беру
                                                            Нормально берете. В данном случае так и есть. Хотя и Word'овский текст тоже может быть тасим документом (разница лишь в формате).

                                                            По-моему, дискуссия исчерпала себя - насчет ЭЦП ясно.
                                                            М.Голованов

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X