На первый взгляд может показаться, что ЭЦП - лишний атрибут документа, и все можно отрегулировать правами доступа. Да, это сработает, если формирует документ один сотрудник, а остальные его только исполняют или знакомятся. Но как только количество человек, утверждающих документ, увеличивается, прав доступа становится недостаточно. Кроме того, в системе электронного документооборота всегда присутствует администратор, который имеет полные права на все документы (конечно, система отследит, что документ был изменен, но что именно изменили отследить практически невозможно).
В рассмотренном примере со служебной запиской руководитель хозяйственного отдела должен быть уверен не только в том, что текст написан инициатором, но и в том, что руководитель подразделения-инициатора утвердил именно это содержание документа. Когда документ разрабатывает или согласует много людей, то ЭЦП становится еще более актуальной.
Согласование договора. Как правило, этот процесс в бумажном виде представляет собой подписание листа согласования, приложенного к документу. В вашей практике не случалось ситуаций, когда оказывалось, что в процессе многошаговых согласований ваша подпись оказывалась приложенной не к той версии документа? Тогда Вам просто повезло. Про длительность данного процесса, когда документ нужно носить от одного исполнителя к другому "ногами" можно уже и не вспоминать.
Используя ЭЦП в процессе электронного согласования документов, можно обеспечить неизменность документа после проставления согласительной подписи каждого участника.
"Зеркало" бумажной подписи. Документы для общения с внешним миром, а также некоторые документы, регулирующие взаимоотношения между работником и работодателем, не смотря на электронное согласование в итоге требуют юридического (пока - бумажного) подтверждения. В этом случае очень часто возникает проблема: документ в системе ЭДО можно найти быстро, а вот для проверки наличия подписи руководителя нужно поднять бумажный экземпляр. На практике часто бывает ситуация, когда несколько руководителей, имеющих равные полномочия, не могут определить, подписал ли коллега конкретный документ.
Для решения этой проблемы при использовании системы ЭДО документ может быть подписан как на бумаге, так и в электронном виде, что в дальнейшем позволит убедиться в его подписании, найдя документ в системе и не поднимая бумажный оригинал.
Территориально-удаленные подразделения. Некоторые предприятия, имеющие удаленные подразделения и филиалы, уже используют электронную почту для передачи документов (приказов, распоряжений и т.п.). Как правило, это выглядит следующим образом:
Документ создается в электронном виде;
Печатается;
Подписывается руководителем;
Сканируется;
Отправляется по электронной почте;
В удаленном подразделении вновь печатается.
При использовании системы электронного документооборота, имеющей подобно системе DIRECTUM средства распределенной работы и ЭЦП, процесс можно существенно упростить, сократив количество переводов документов из одного формата в другой:
Документ создается в электронном виде;
Подписывается ЭЦП;
Отправляется средствами системы исполнителям;
Исполнитель получает подписанный ЭЦП документ.
7. Возможные проблемы внедрения ЭЦП в документооборот и пути их решения
Однако, рассмотренные примеры - это идеальный вариант. В реальной жизни возникают объективные проблемы, которые приходится решать:
7.1. Соответствие бумажного и электронного документа
На данной стадии развития документооборота при взаимодействии с внешним миром перевод документов из электронного вида в бумажный и обратно происходят многократно. В этом случае за соответствие документов должен отвечать сотрудник, осуществивший перенос документа из одного формата в другой (печать или сканирование). Это может быть либо сотрудник, отвечающий за создание документа; либо секретарь, осуществляющий подготовку документов на подпись руководителю; либо специально выделенный для этого отдел (по сути - нотариат). Заверение бумажного документа, как обычно, происходит подписью лица, проверившего соответствие, а достоверность электронного документа подтверждает его ЭЦП.
7.2. Руководитель - Секретарь - Компьютер
Есть также ситуации, нередкие на большинстве предприятий, когда непосредственно руководитель не использует постоянно в работе компьютер. Причем, это не всегда связано с тем, что руководитель не способен им пользоваться. Зачастую у руководителя просто нет времени на поиск документов, оформление заданий и анализ невыполненных поручений, даже если это оптимизировано в электронном виде. Для выполнения всех этих функций у него есть секретарь. Хотя в нужный момент руководитель при желании может обратиться к системе электронного документооборота и найти нужный документ или задание.
Кроме того, для большинства документов пока нужна живая подпись на бумажном экземпляре. Этот тоже достаточно трудоемкий процесс, который может занимать у руководителя до нескольких часов в день. Добавлять ему еще и функцию дублирование подписи на электронном документе совершенно нереально.
В этом случае остается одно: ЭЦП за руководителя будет ставить кто-то другой, например, секретарь. Причем ставить ЭЦП он должен только после того, как получит от руководителя подписанный бумажный документ и убедится, что содержимое бумажного и электронного документа соответствую друг другу. Например, в системе DIRECTUM для обеспечения соответствующих прав, секретарь может быть назначен замещающим директора и иметь в своем распоряжении сертификат его ЭЦП.
Неавтоматизированному руководителю (например, директору филиала) поступившие электронные документы секретарь распечатывает на бумаге, где ЭЦП, естественно, никак не видна. В этом случае в обязанности секретаря входит убедиться в наличии у электронного документа ЭПЦ, записать ее реквизиты (автор, дата и т.п.) на бумажном документе и заверить своей подписью.
Конечно, психологический фактор сбросить со счетов нельзя. Человеку, привыкшему видеть на документе подпись руководителя, непросто будет привыкнуть только к пометкам секретаря на бумаге или информации об ЭЦП в системе ЭДО. И вполне возможно, что первое время сотрудники будут требовать копии бумажных документов. Для устранения этой проблемы требуется только время и воля руководства.
Даже при использовании ЭЦП только внутри предприятия должен быть создан удостоверяющий центр, т.е. орган, выдающий ключи (сертификаты) подписей и обеспечивающий их достоверность.
Но данная проблема решается пожалуй даже проще, чем все остальные. Ведь для этого необходимо обучить администраторов работе со средствами ЭЦП, наделить их соответствующими полномочиями, определить порядок выдачи и отзыва ключей в соответствующей инструкции.
Очень многое в системе ЭДО основывается на доверии лицам, выполняющим определенные операции. Но это совершенно нормально, ведь оно необходимо и при бумажном документообороте. Только бумажный документооборот регулируется определенными общепринятыми правилами. Например, юридическую силу имеют только документ, скрепленные подписью и печатью, подписывать документы могут только определенные лица, печати изготавливают специализированные фирмы, которые отвечают за их уникальность и т.д. К возможным недостаткам этих правил все давно привыкли, а потому считают само собой разумеющимися. Например, давно известно, что подделать подпись и печать на бумаге гораздо проще, чем ЭЦП.
Для электронного документооборота правила существуют пока только в общем виде, причем "свежий" взгляд на них находит массу недостатков и возможных отклонений. Чтобы урегулировать их хотя бы внутри предприятия, необходимо принять "Положение об электронном документообороте предприятия".
Целью данного Положения будет являться регламентация основ применения в организации документов в электронной форме с использованием корпоративной системы электронного документооборота. Другими словами - это принимаемые внутри предприятия правила работы с электронными документами. В Положении, например, некоторые внутренние документы, подписанные ЭЦП, могут быть приравнены к бумажным документам, подписанным руководителем; статус удостоверяющего центра присвоен отделу ИТ и т.д.
Определенным шагом на пути повышения доверия к документам, подписанным ЭЦП может также стать использование сертифицированных средств ЭЦП.
На пути к новому формату ЭЦП
В текущем формате ЭЦП, как уже отмечалось, отсутствуют данные о том, когда была сделана электронная цифровая подпись. "Классическая" ЭЦП умещается в 256 битах, которые однозначно идентифицируют документ, однако отсутствие сведений о времени создания и удостоверения подписи затрудняет проверку и определение статуса сертификата открытого ключа при долговременном хранении электронных документов.
При использовании так называемой улучшенной, или расширенной ЭЦП, опирающейся на европейские стандарты, можно разом решить все эти проблемы. Новый формат усовершенствованной подписи предложен компанией "Крипто-Про на базе стандарта "CMS Advanced Electronic Signatures" (CadES). В него включаются доказательства момента подписания документа и действительности сертификата в этот момент. С такой целью используются штампы времени в соответствии с рекомендациями RFC 3161 "Internet X.509 Public Key Infrastructure Time-Stamp Protocol" (TSP).
"При подписании документа, - говорит Юрий Маслов, - помимо владельца подписи в процессе участвует еще одна сторона - удостверяющий центр. При этом в цифровой документ вкладываются сведения о штампах времени и о статусах сертификатов доверенного удостоверяющего центра, промежуточные сертификаты и ответы доверенной службы актуальных статусов (OCSP. - Прим. ред.), также подписанные ЭЦП. В конечном итоге формируются два штампа времени: первый доказывает, что документ подписан не позднее указанного времени, второй фиксирует достоверность сертификата на момент подписи". Такая процедура позволяет доказать подлинность ЭЦП по прошествии длительного времени, причем даже в тех случаях, когда действие сертификата ключа подписи, ограниченное одним годом, прекращается. Как отмечает Юрий Маслов, в новом формате ЭЦП вся необходимая информация для проверки подлинности ЭЦП находится в реквизитах документа, поэтому для сохранения юридической значимости электронных документов при архивном хранении остается только обеспечить их целостность организационно-техническими мерами.