Управленческий документооборот: от бумажного к электронному. Вопросы теории и практики

Как видим, реквизиты документа подпись, гриф утверждения, гриф согласования, виза согласования и отметка о заверении копии в качестве своих элементов содержат собственноручную роспись (иными словами, рукописную подпись, автограф подписи), наименование должности, а также фамилию и инициалы.

Добавим, что кроме реквизитов, необходимых для удостоверения документа, автограф подписи входит и в другие реквизиты документа, отражающие процедуры работы с ним уже после официального подписания. К ним, в частности, относятся поручения по документу (резолюции) должностных лиц, отметка об ознакомлении с документом, отметка исполнителя о завершении исполнения документа. Эти действия с документом также имеют юридическую значимость и требуют собственноручного заверения подписью.

При использовании электронных документов в указанных случаях должны применяться электронные аналоги подписи (электронная подпись).

Формы и средства электронной подписи за период их разработки и практического применения (примерно последние 30–40 лет) развивались вместе с информационными технологиями, достижениями в сфере криптографии, потребностями применения в конкретных сферах деятельности. Возникновение понятия «цифровая подпись» связано с разработкой вопросов криптографии американскими математиками У Диффи и М.Э. Хеллманом еще в середине 1970-х гг.

С середины 1990-х годов активно решались вопросы нормативного регулирования применения электронной подписи. Так, в течение 10 лет, с 1995 по 2005 г., практически все страны мира приняли соответствующие законы – «Об электронном документе», «Об электронной подписи», «О цифровой подписи», «Об электронной цифровой подписи», «Об электронных сделках», «Об электронной коммерции» и т. д. [175, с. 131–132]. Особо следует выделить модельные акты, принятые международными организациями: Комиссией ООН по международному торговому праву (ЮНСИТРАЛ) (модельные законы «Об электронной торговле» 1996 г. и «Об электронных подписях» 2001 г.) и Европейским парламентом (Директива 1999/93/ЕС Европейского парламента и Совета от 13 декабря 1999 г. о порядке использования электронных подписей в Европейском сообществе), послужившие в дальнейшем в качестве типовых для разработки национальных законов [234-237]. Выделим также принятый уже на новом этапе Европейским парламентом и Советом нормативно-правовой акт (EU Regulation) № 910-2014 от 23 июля 2014 г. «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 199 9/93/ЕС» [235].

Отметим, что в России уже в 1994 году был утвержден ГОСТ Р 34.10–94 «Информационная технология. Криптографическая защита информации. Процедуры выработки и проверки электронной цифровой подписи на базе асимметричного криптографического алгоритма» [61].

В 2002 году был принят Федеральный закон Российской Федерации «Об электронной цифровой подписи» (от 10 января 2002 г. № 1-ФЗ). Законодательно было установлено, что в случае использования электронных документов для их удостоверения используется электронный аналог подписи – электронная цифровая подпись (ЭЦП). ЭЦП была определена как реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе [2].

В настоящее время действует Федеральный закон Российской Федерации от 6 апреля 2011 г. № 63-ФЗ «Об электронной подписи» (далее – Закон № 63-ФЗ). Данный закон определяет электронную подпись как «информацию в электронной форме, которая присоединена к другой информации в электронной форме (подписываемой информации) или иным образом связана с такой информацией и которая используется для определения лица, подписывающего информацию» [11, статья 2]. При этом, аналогично зарубежной практике, предусмотрено использование трех видов электронной подписи: простой электронной подписи и усиленной электронной подписи, которая в свою очередь делится на усиленную неквалифицированную электронную подпись и усиленную квалифицированную электронную подпись.

В статье 6 Закона № 63-ФЗ указано, что информация в электронной форме, подписанная квалифицированной электронной подписью, признается электронным документом, равнозначным документу на бумажном носителе, подписанному собственноручной подписью, кроме случая, если федеральными законами или принимаемыми в соответствии с ними нормативными правовыми актами установлено требование о необходимости составления документа исключительно на бумажном носителе. Два других вида электронной подписи (простая и усиленная неквалифицированная) имеют юридическую силу тогда, когда их использование напрямую предусмотрено «федеральными законами, принимаемыми в соответствии с ними нормативными правовыми актами или соглашением между участниками электронного взаимодействия».

Особенности и возможности указанных трех видов электронной подписи (ЭП) – простой, усиленной неквалифицированной (далее – УЭП) и усиленной квалифицированной (далее – УКЭП) – представлены в табл. 1.

Таблица 1

Сравнение видов электронной подписи

Самую высокую степень доверия к электронному документу обеспечивает усиленная квалифицированная электронная подпись, возможности которой аналогичны электронной цифровой подписи. Хотя Федеральный закон Российской Федерации от 10 января 2002 г. № 1-ФЗ в настоящее время утратил силу, понятие «электронная цифровая подпись» по-прежнему применяется в профессиональной литературе, когда речь идет о методах, способах формирования электронной подписи. Это же понятие присутствует в ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи» [62]. Некоторые принципиально важные позиции сравнения УКЭП (ЭЦП) и рукописной подписи представлены в табл. 2.

Таблица 2

Сравнение рукописной и усиленной квалифицированной электронной подписи

В дополнение к табл. 2 охарактеризуем некоторые принципиальные особенности электронной подписи (УЭП или УКЭП), которые отличают ее от собственноручной (рукописной) подписи. Прежде всего, это сам процесс создания электронной подписи (УЭП или УКЭП) [62]. Последовательность символов (строка бит), полученная в результате процесса формирования подписи исходного документа (далее – «текста», в соответствии с условным обозначением, употребляемым специалистами в области СКЗИ), есть результат двукратного криптографического преобразования самого «текста» с применением специальных алгоритмов (так называемого «хэширования» и собственно шифрования с использованием закрытого ключа владельца подписи, называемого «ключом подписи»). Даже при подписании одного и того же документа ЭП каждый раз имеет новое значение. В этом и заключается суть криптографического преобразования. При этом полученная каждый раз ЭП является однозначно связанной с содержанием подписанного «текста», что позволяет подтвердить его целостность и аутентичность. Свойства юридической силы электронного документа, подписанного ЭП, возникают только при получении положительного результата проверки ЭП, которая заключается в обработке самого «текста» и приложенной ЭП путем применения специальных алгоритмов расшифрования с использованием открытого ключа, однозначно связанного с закрытым ключом подписи, находящимся у подписывающего лица. В данном смысле ЭП – это средство обеспечения доверия к электронному документу, равно такое же, как собственноручная подпись для бумажного документа. Добавим, что при соблюдении требований к хранению в секрете идентификационной информации лица – владельца подписи (пароль, логин, ПИН и т. д. [206, 207]), а также самого ключа подписи опасность неправомерного подписания электронного документа другим лицом минимальна. Следует руководствоваться презумпцией подписания документа владельцем ключа, который должен понимать свою ответственность.

В Законе № 63-ФЗ установлено, что квалифицированная электронная подпись признается действительной до тех пор, пока решением суда не установлено иное, при одновременном соблюдении следующих условий:

1) квалифицированный сертификат создан и выдан аккредитованным удостоверяющим центром, аккредитация которого действительна на день выдачи указанного сертификата;

2) квалифицированный сертификат действителен на момент подписания электронного документа (при наличии достоверной информации о моменте подписания электронного документа) или на день проверки действительности указанного сертификата, если момент подписания электронного документа не определен;

3) имеется положительный результат проверки принадлежности владельцу квалифицированного сертификата квалифицированной электронной подписи, с помощью которой подписан электронный документ, и подтверждено отсутствие изменений, внесенных в этот документ после его подписания. При этом проверка осуществляется с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с настоящим Федеральным законом, и с использованием квалифицированного сертификата лица, подписавшего электронный документ;

4) квалифицированная электронная подпись используется с учетом ограничений, содержащихся в квалифицированном сертификате лица, подписывающего электронный документ (если такие ограничения установлены) [11, статья 11].

В соответствии с требованиями Закона № 63-ФЗ при создании и проверке электронной подписи должен соблюдаться ряд требований.

При создании электронной подписи от используемых при этом средств требуется:

– показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписываемой с использованием указанных средств, лицу, осуществляющему создание электронной подписи, содержание информации, подписание которой производится;

– создавать электронную подпись только после подтверждения лицом, подписывающим электронный документ, операции по созданию электронной подписи;

– однозначно показывать, что электронная подпись создана [11].

При проверке электронной подписи от используемых при этом средств требуется:

– показывать самостоятельно или с использованием программных, программно-аппаратных и технических средств, необходимых для отображения информации, подписанной с использованием указанных средств, содержание электронного документа, подписанного электронной подписью;

– показывать информацию о внесении изменений в электронный документ, подписанный электронной подписью (если такие изменения вносились, т. е. целостность документа была нарушена);

– указывать на лицо, с использованием ключа электронной подписи которого подписаны электронные документы [11].

В соответствии с положениями Закона № 63-ФЗ удостоверяющий центр, изготовивший сертификат ключа проверки электронной подписи, обязан предоставлять безвозмездно любому лицу по его обращению в соответствии с установленным порядком доступа к реестру сертификатов информацию, содержащуюся в реестре сертификатов, в том числе информацию об аннулировании сертификата ключа проверки электронной подписи.

Постановлением от 9 февраля 2012 г. № 111 Правительство Российской Федерации утвердило «Правила использования усиленной квалифицированной электронной подписи органами исполнительной власти и органами местного самоуправления при организации электронного взаимодействия между собой, а также требования к обеспечению совместимости средств электронной подписи при организации электронного взаимодействия органов исполнительной власти и органов местного самоуправления между собой» [36]. Постановление устанавливает обязательным использование УКЭП при организации межведомственного взаимодействия в электронном виде госорганами для предоставления государственных или муниципальных услуг и исполнения государственных или муниципальных функций. Подписанный электронной подписью документ должен иметь метку времени, то есть достоверную информацию о моменте его подписания.

Использование меток (штампов) времени удостоверяет время подписания электронного документа и действительность сертификата пользователя на этот момент. Тем самым исключается возможность совершения мошенничества путем установки локального времени, отличающегося от реального.

В статье 14 закона № 63-ФЗ (в редакции Федерального закона от 28 июня 2014 г. № 184-ФЗ) предусмотрено, что в случае выдачи сертификата ключа проверки электронной подписи юридическому лицу в качестве владельца сертификата ключа проверки электронной подписи наряду с указанием наименования юридического лица указывается физическое лицо, действующее от имени юридического лица на основании учредительных документов юридического лица или доверенности. Допускается не указывать в качестве владельца сертификата ключа проверки электронной подписи физическое лицо, действующее от имени юридического лица, в сертификате ключа проверки электронной подписи (в том числе в квалифицированном сертификате), используемом для автоматического создания и (или) автоматической проверки электронных подписей в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. Владельцем такого сертификата ключа проверки электронной подписи признается юридическое лицо, информация о котором содержится в таком сертификате [11].

Установлены требования, что распорядительным актом юридического лица определяется физическое лицо, ответственное за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами. В случае отсутствия указанного распорядительного акта лицом, ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при оказании государственных и муниципальных услуг, исполнении государственных и муниципальных функций, а также в иных случаях, предусмотренных федеральными законами и принимаемыми в соответствии с ними нормативными правовыми актами, является руководитель юридического лица. В случае возложения федеральным законом полномочий по исполнению государственных функций на конкретное должностное лицо ответственным за автоматическое создание и (или) автоматическую проверку электронной подписи в информационной системе при исполнении государственных функций является это должностное лицо [11].

Указанные нормы имеют принципиальное значение для государственного делопроизводства и управленческого документооборота, поскольку они дают возможность использования ЭП (УКЭП) юридического лица службам документационного обеспечения при осуществлении процедур документооборота, простановки и проверки подписи, в том числе при регистрации поступающих и отправляемых документов. Соответственно, для отдельных задач, в том числе в дополнение к ЭП, в сертификате ключа которой указано физическое лицо, может также использоваться «транспортная» или «серверная» электронная подпись.

Различают два типа электронной подписи: присоединенная и отсоединенная. Так, присоединенная ЭП и сам документ содержатся в одном файле. Отсоединенная ЭП содержится в отдельном файле.

Присоединенную УЭП или УКЭП нередко используют при пересылке документов по каналам связи (как «транспортную» ЭП). Удобство при этом связано с тем, что все сообщение вместе с ЭП составляет единый файл.

При использовании отсоединенной подписи файл подписываемого документа никак не изменяется, не шифруется и его можно читать. При этом для проверки отсоединенной подписи потребуется и файл с ЭП, и подписанный ею файл. Соответственно, существует необходимость хранения подписанной информации в виде нескольких файлов: подписанного файла (файлов) самого документа и одного или нескольких файлов с УЭП или УКЭП.

В числе практических вопросов, которые необходимо решать при работе с электронными документами в сфере управления и организации документооборота, в первую очередь следует выделить:

– для каких категорий и видов ЭД использовать простую ЭП, УЭП или УКЭП;

– на каких стадиях жизненного цикла документов, для каких процессов документооборота следует использовать простую ЭП, УЭП или УКЭП;

– каков круг пользователей – владельцев сертификатов ключей УЭП или УКЭП;

– какие конкретные технологические процедуры должны соблюдаться при подписании и проверке подлинности ЭД.

Отмечая преимущества и возможности УЭП и УКЭП, следует обратить также внимание на некоторые технологические проблемы (одновременно являющиеся сдерживающими факторами) использования их в официальном документообороте.

Как выше уже отмечалось, присвоение регистрационного номера является важным реквизитом официального документа, средством его идентификации и придания юридической силы. В традиционном делопроизводстве регистрация документа осуществляется после его подписания. Если файл документа уже имеет УЭП или УКЭП должностного лица, то регистрационный номер документа внести в данный файл невозможно, не нарушив его целостности, что позволит определить проставленная УЭП или УКЭП. В случае обращения документа в границах только одной корпоративной системы документооборота, УЭП или УКЭП может и не потребоваться при использовании иных способов аутентификации и простой ЭП, если УЭП или УКЭП не требуется для отдельных видов документов в соответствии с регламентирующими документами. При этом в файл документа можно не вносить регистрационный номер и дату, поскольку работающий с электронным документом пользователь видит атрибуты документа на экране монитора. В сущности, регистрационную форму документа вместе с его файлом (файлами), электронными подписями и другими метаданными в совокупности можно рассматривать как единый электронный документ. Однако в случае информационного взаимодействия с другими СЭД при необходимости использования УКЭП (как, к примеру, это предусмотрено [57]) требуются специальные технологические решения относительно подписания документов, их передачи по телекоммуникационным каналам и визуализации их регистрационных данных. Характеристика возможных вариантов такого взаимодействия приводится в главе 6.

На наш взгляд, дальнейшая проработка и регламентация организационно-технологических вопросов использования УЭП и УКЭП применительно к сложным схемам подготовки, согласования и подписания документов с множеством участников процесса в рамках корпоративных технологий документооборота и взаимодействия нескольких СЭД, а также в условиях применения «облачных» технологий является весьма актуальной.

Целый комплекс проблем связан с задачами долговременного хранения отдельных видов электронных документов. В этом случае срок действия ключа проверки ЭП оказывается меньше, чем требуемый срок архивного хранения официального документа. Данная проблема имеет глобальный характер. Разработка способов и технологий обеспечения долговременной сохранности официальных документов с сохранением их аутентичности и воспроизводимости является одним из ключевых направлений, связанных с использованием электронных документов в управленческой деятельности и организации их.

Таким образом, эволюция бумажных и электронных документов в сфере управления сопровождается соответствующим развитием форм и средств аутентификации документов, использованием различных видов подписи (в том числе ее электронных аналогов).

Предусмотренное современным российским законодательством использование трех видов электронной подписи (простой, усиленной и усиленной квалифицированной) позволяет дифференцированно подходить к их применению для различных задач документирования и документооборота. При этом использование УКЭП в сравнении с рукописной подписью дает новые технологические возможности удостоверения документа, включая его подписание и проверку подлинности. Принципиальное значение для использования УКЭП имеет создание доверенной среды. В целом электронную подпись следует рассматривать не только как реквизит электронного документа, но и как технологию, в основе которой лежат сложные процессы преобразования информации и соответствующая инфраструктура.