1 Электронный документооборот: проблемы долговременного хранения электронных документов с ЭЦП Доклад на VII Международной конференции Право и Интернет

Электронный документооборот: проблемы долговременного хранения электронных документов с ЭЦП

Доклад на VII Международной конференции Право и Интернет -

Монашова Оксана Владимировна, аспирант Национального института проблем международной безопасности СНОиБ Украины

Электронные документы и электронная подпись в качестве надежных и эффективных инструментов для ведения бизнеса уже давно завоевали признание мирового бизнес-истеблишмента.

На законодательном уровне эти инструменты легализованы во многих технологически развитых странах; некоторые из законов направлены непосредственно на нормативно-правовое регулирование применения Электронно-цифровой подписи (ЭЦП), другие - на нормативно-правовое регулирование электронной коммерции и применения информационных технологий, в том числе ЭЦП.

Чем шире применяется ЭЦП в нашей стране и за рубежом, тем, естественно, всё больше возникает проблем, связанных с использованием этой технологии, а еще больше с обеспечением сохранности и целостности электронных документом, в том числе электронных документов, подписанных электронно-цифровой подписью.

Значение сохранения документов, в первую очередь определяется важностью самих документов. Государство, правительственные органы, деловые круги и отдельные граждане рассматривают возможность сохранения различного рода документов, корреспонденции, записей осуществления транзакций, счетов, контрактов и другой важной информации в качестве реализации своих прав на доказательство.

Под сохранностью документа подразумевается защита от двух угроз: разрушение и попыток изменения записанной информации.

В случае с бумажными документами, такая защита обычно включает: использование соответствующей гласности и чернил (защита от материальной порчи), определенные формы каталогизации (защита от разрушения институциональной памяти), управление доступом (защита от намеренных изменений), а также использование экспертов для определения целостности оспариваемых документов.

В случае с электронными документами, параметры защиты отличаются, а учитывая новизну используемых технологий, а также необходимость обеспечения сохранности не только документа, но и ЭЦП, в процессе архивирования возникает проблема одновременного обеспечения сохранности документа и действительности подписи.

Электронный документ. Проблемы долговременного хранения.

В виду постоянного развития и усовершенствования компьютерных технологии и программного обеспечения невозможно гарантировать того, что через лет 10 электронные документы, а тем более, электронные документы с ЭЦП, сохраненные сегодня, смогут быть прочитанными посредством компьютеров и программ завтра. Вопрос в том, каким образом можно сохранить без каких-либо модификаций электронную информацию изменчивую по своей природе

В результате длительных обсуждений и поисков решения проблемы хранения электронных документов были предложены два способа (подхода) решения данного вопроса. Первый способ, так называемый метод лэмуляцииi, предусматривал гарантирование используемости электронных данных в течении длительного времени посредством сохранения данных в их оригинальном формате, но при условии обеспечения наличия соответствующего оборудования и программного обеспечения для обработки этого документа. Правда, ряд проведенных экспериментов, показал, что такая стратегия не только требует значительных усилий, капиталовложений, но и влечет значительные риски.

В качестве альтернативного способа был предложен так называемый миграционный метод. Архиватор должен не сохранять формат настоящего электронного документа для последующего восстановления информации содержащейся в документе, а преобразовать его в другой формат для обеспечения читаемости документа на новой платформе посредством нового программного обеспечения. В таком случае документ подвергается изменению формата, но архиватор должен гарантировать, что информация, содержащаяся в документе, корректно восстановлена.

В виду того, что ни первый, ни второй подходы не претендовали на идеальное средство, была сделана попытка объединить их с тем, что бы обойти основные проблемы технического характера связанных с использованием миграции (потеря информации через последующее мигрирование) или лэмуляции (с риском того, что воссоздание определенной среды не будет успешным).

Электронный документ с ЭЦП. Проблемы долговременного хранения.

Несмотря на тот факт, что ЭЦП зачастую рассматривается в качестве замены собственноручной подписи, имеющей юридическую силу, сфера применения цифровой подписи намного шире. ЭЦП может использоваться во всех случаях, где происхождение и целостность электронных данных должны быть гарантированы.ii

В качестве привилегированной электронной заменой собственноручной подписи цифровая подпись была определена Директивой ЕС 1999/93/EC. iii

ЭЦП – ценный инструмент для оперативной работы. Но он превращается в проблему, когда дело доходит до долговременного и постоянного хранения документов.

В отношении подписанных ЭЦП электронных документов необходимо обеспечить не только сохранность электронных документов в течение установленного срока хранения, но и возможность проверки подлинности ЭЦП в будущем.

Европейская практика

В контексте развития Европейских основ регулирования электронных подписей, в части рассмотрения возможности и необходимости хранения электронных документов в оригинальном формате, Европейская комиссия пришла к выводу, что обусловленные Директивой по электронным подписям требования должны быть дополнены стандартами и открытыми спецификациями с тем, что бы продукты и услуги необходимые для поддержки электронных подписей могли быть признаны в качестве инструментов для законодательного обеспечения действительности подписей. В результате чего при содействии Европейского Комитета Стандартизации ИКТ была начата Европейская Программа Стандартизации Электронных Подписей (EESSI). Одним из положений итогового документа, является утверждение того, что только доверительные архивные услуги играют значительную роль в обеспечении электронных подписей, которые должны быть использованы в качестве доказательства в течении долгого времени после того, как были созданы.iv

Также были выдвинуты новые требованияv

, к обеспечению сохранности электронных документов с ЭЦП, в частности речь идет о необходимости специально уполномоченных и квалифицированных органах, представляющих такого рода услуги. Наряду с основными услугами по архивированию, такие службы должны обеспечивать лобратную совместимость с компьютерным оборудованием и программным обеспечением посредством сохранения такого оборудования и/ или эмуляции: Доверенные архивные услуги (TAS) должны обеспечить набор приложений (программы для просмотра и приложения по верификации действительности подписи), вместе с соответствующими платформами (оборудование, операционные системы, и т.п.) или, по крайней мере, эмулятор таких приложений и/или платформ для обеспечения гарантии того, что содержимое документов все еще может быть просмотрено, и что подпись на таких документах может оставаться действительной в течении многих лет (даже если технология более не является доступной).

Практика США

В 2000 году Национальные архивы США (National Archives and Records Administration, NARA) выпустили действующее и сейчас руководство по управлению документами для агентств, использующих электронные подписи, включающееа рекомендации по обеспечению надёжности таких документов.

В руководстве подчёркивается, что существуют различные методы, которые можно использовать для сохранения надёжности подписанных электронным образом документов на протяжении длительного периода времени.

Правительственным агентствам рекомендуется выбирать практичные с их точки зрения методы, удовлетворяющие их деловым потребностям с учётом оценки рисков. Два таких метода уже к 2000 году были опробованы в ряде государственных организаций США.

Первый метод предполагает сохранение документации, подтверждающей подлинность документа, собранной во время или вскоре после подписания документа.
В этом случае для того, чтобы надлежащим образом документировать процессы, проходившие в момент электронного подписания, нужно сохранять дополнительную информацию наряду с самим документом с ЭЦП. Дополнительная информация должна храниться в течение того же периода времени, что и подписанный электронным образом документ. За счёт сохранения информации, которая засвидетельствовала подлинность электронной подписи в момент подписания документа, сохраняется юридическая сила подписи, и удовлетворяются требованиям к полноте документации.
Этот метод считается предпочтительным в случае документов длительного или постоянного срока хранения, поскольку он меньше зависит от технологии.

В качестве альтернативного метода, Организация может предпочесть сохранять возможность перепроверять цифровые подписи. Такой подход требует сохранять, наряду с документом с ЭЦП, также и возможность перепроверить цифровые подписи.
Необходимая для повторной проверки информация (т.е. использованный для проверки подписи открытый ключ, сертификат на этот ключ, и полученный от удостоверяющего центра список отозванных сертификатов, соответствующий времени подписания), должна храниться в течение того же периода времени, что и подписанный электронным образом документ.

Данный подход потенциально более обременителен для организации, особенно в случае документов постоянного и длительного срока хранения, в связи с проблемами, возникающимиа из-за устаревания оборудования и программного обеспечения.
Как и в первом случае, требуется, чтобы для документов постоянного срока хранения имя автора подписи и дата подписания включались в текстовом виде во все предназначенные для восприятия человеком представления электронного документа.

Российское законодательство, в общем-то, пошло (в Законе об ЭЦП) по второму пути, но ни сам закон, ни различные документы удостоверяющих центров не дают чёткого ответа вопрос о том, как же всё-таки архивировать лцифровые подписи.

Остается открытым вопрос "наследия" удостоверяющих центров с большей частью их документов в электронном виде. Обеспечение сохранности и использование такой документации в настоящее время не может ни один государственный архив страны, поскольку для этого нет ни материальных, ни технических, ни кадровых ресурсов.

В связи с этим возникает вопрос возможности вполне законно уничтожить документы по истечении срока хранения - чрезвычайно важный элемент всей работы по обеспечению информационной безопасности.

В бумажном делопроизводстве, уничтожение документов и предшествующий этап экспертизы их ценности считаются наиболее сложными видами работ, требующими как высокой профессиональной квалификации, так и умения взаимодействовать практически со всем коллективом организации.а

С электронными документами нужно решать все те же проблемы, что и с бумажными, плюс ещё несколько – порой очень трудно разыскать и уничтожить все имеющиеся копии электронного документа (включая резервные копии), к тому же, как выяснилось на практике, гарантированное уничтожение электронных документов требует физического уничтожения носителей этих документов, для чего требуются специальные технические средства.

Уже сейчас законодательство допускает подписание цифровой подписью документов, имеющих существенное финансовое и юридическое значение. Нужно подумать о том, как защититься от появления через 10-20 лет массы подложных электронных документов.

Отсутствие необходимых нормативных документов заставляет всё чаще и чаще обращаться к зарубежному практическому опыту и методикам работы. Изучение законодательства других стран с анализом практических примеров использования, обработки и хранения электронных документов с ЭЦП дает возможность, учитывая опыт других стран привести законодательство в надлежащий вид и соответственно избежать многих ошибок уже сейчас.

i Jeff Rothenburg, An Experiment in Using Emulation to Preserve Digital Publications, Amsterdam, National Library of the Netherlands, 2000, 74 pages,

ii Возможные способы использования цифровых подписей для сохранения и аутентификации записей спустя неопределнное время были проанализированы в рамках проекта DAVID (Цифровое архивирование в Фламандских администрациях и организациях, < Книги по разным темам

Blog