Контакты
Подписка
МЕНЮ
Контакты
Подписка

Проблемы международного электронного документооборота

Проблемы международного электронного документооборота

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций

Проблемы международного электронного документооборота

Константин Шадрин, эксперт

Классы систем ЭДО

Ни для кого не секрет, что электронный документооборот (ЭДО) в современном мире занимает все более основательные позиции -с каждым днем растет число вовлеченных в него предприятий. В судебной практике все чаще встречаются процессы, объектом которых являются документы с электронной цифровой подписью (ЭЦП). Системы документооборота можно разделить на два класса:

  • корпоративные, в которых факт подлинности ЭЦП на электронном документе с юридической точки зрения недоказуем:
  • глобальные, предусматривающие возможность юридической доказуемости факта постановки ЭЦП.

Первый тип систем является вырожденным и не представляет большого интереса, второй - в последнее десятилетие является предметом множества дискуссий и целого ряда научных работ.

Международный документооборот

Развитие систем ЭЦП нашло продолжение в международном или трансграничном документообороте (МЭДО). Документооборот в рамках РФ регламентирован законодательством, носящим отчасти формальный характер, но, выходя за рамки государства, документ, юридически значимый на территории РФ, теряет свои свойства на территории других государств.

На сегодняшний день правовая база, регламентирующая МЭДО, находится на начальной стадии формирования. Очевидно, что это должны быть международные нормативные документы, описывающие весь процесс документооборота, -от понятия "электронный документ" и при каких условиях он становится международным до определения доверенного механизма удостоверяющих центров.

МЭДО между Россией, Республикой Беларусь и Украиной

Рассмотрим МЭДО между тремя странами (при формировании модели рассматривались Российская Федерация, Республика Беларусь и Украина). Данная модель интересна по причине разнящихся нормативных баз в сфере ЭДО этих стран, а также исторически сложившихся дружественных отношений. Как следствие, вопрос нормативно-подкрепленного документооборота между данными странами является актуальным.

На рис. 1 схематично представлена существующая ситуация в части документооборота.

Рассмотрим пример: абонент А создает электронный документ, подписывает его своей ЭЦП, ликвидность которой может подтвердить УЦ, обладающий правом на данную деятельность, и отправляет его абоненту Б. До тех пор пока документ "находится на территории РФ", он имеет юридическую значимость и имеет под собой нормативную базу. Попутно возникает вопрос относительно возможного прохождения документа до места назначения по трассам провайдера вне границ РФ. Вернемся к описываемой ситуации: абонент Б получил письмо от абонента А, находящегося в другом государстве, заметим, прошедшее по неизвестному, а главное, недоверенному маршруту. ЭЦП на данном документе не подлежит идентификации по причине отсутствия сертификата абонента А в удостоверяющем центре абонента Б. Как следствие, данный документ не заменит своего аналога на бумажном носителе, и такой документооборот можно отнести к разряду корпоративных.

Требования

Рассмотрим, какие технические и организационные требования необходимо реализовать в системе для признания ее полноценной альтернативой бумажному документообороту. Во-первых, как уже говорилось выше, необходимо привести в соответствие законодательства всех стран-участниц, ввести понятия объектов МЭДО, таких как: электронный документ, ЭЦП, описать возможный круг правообладателей ЭЦП и т.п., то есть подписать международные соглашения и ратифицировать соответствующие нормативные акты, регламентирующие данный вид правоотношений.

Известно, что российское законодательство предписывает использовать СКЗИ в системах ЭДО на основе ГОСТ Р 34.10-2001, в то же время большинство европейских стран используют алгоритмы шифрования на базе RSA. Для признания международного документа во всех странах-участницах МЭДО возникает необходимость наличия в нем подписей на алгоритмах шифрования, признанных в соответствующих странах. Следовательно, каждому участнику МЭДО необходимо иметь две ЭЦП для признания электронного документа как внутри своей страны, так и за ее пределами. Попутно возникает вопрос: кто будет "третьей доверенной стороной", обладающей правом формировать сертификаты ЭЦП на СКЗИ другого государства, проверять действительность таких ЭЦП и т.п.?

Третья доверенная сторона

Решение предлагается следующее: реализовать "доверенный УЦ" на территории государства, реализующий систему ЭДО на базе другого алгоритма с правом выдачи сертификатов ЭЦП. На рис. 2 представлена такая реализация: в России разворачивается доверенный УЦ, обеспечивающий функционирование ЭДО, использующего шифрование на базе RSA, а именно: выдачу сертификатов, их проверку и т.п. Доверенность УЦ достигается за счет наличия защищенного канала (например, VPN IPSec), обеспечивающего непрерывную связь с корневым УЦ на территории Белоруссии или Украины. Данным требованием обеспечивается защищенность от возможной компрометации на канале связи. В то же время он включается в ЭДО внутри государства и, следовательно, обладает всеми правами участника ЭДО. Таким образом, все исходящие электронные документы подписываются обоими собственными ЭЦП и, как следствие, признаются на территории обоих государств. Аналогично строится система на территории Украины и Республики Беларусь. Доверительность отношений между УЦ этих стран обеспечивается путем согласования регламентов и форматов без введения дополнительных объектов ЭДО по причине однотипности форматов, а для защиты от компрометации организуется защищенный канал связи (например, VPN IPSec).

Таким образом, выполнив все требования, упомянутые выше (сопоставление и принятие нормативной базы, организация систем ЭДО внутри государств и создание доверенных УЦ), получаем модель МЭДО между выбранными ранее тремя государствами (рис. 3).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2008
Посещений: 12424

Приобрести этот номер или подписаться

Статьи по теме

  Автор

Шадрин К. А.

Шадрин К. А.

ИКСИ

Всего статей:  4

В рубрику "Оборудование и технологии" | К списку рубрик  |  К списку авторов  |  К списку публикаций