Продолжение цикла статей (часть 1).

Как обеспечить безопасность и достоверность обмена информацией при удалённом взаимодействии

При переходе на удаленный режим работы и безбумажные процессы необходимо решить вопрос с достоверностью обмена документами и их юридической значимостью. Часто возникает вопрос: как можно будет доказать, что именно конкретный сотрудник выполнил то или иное действие, и именно с конкретной версией документа?

Есть три варианта заверения документа и действия с ним: нанесение на документ простой электронной подписи (ПЭП), усиленной неквалифицированной (УНЭП) и усиленной квалифицированной электронной подписи (УКЭП). Они отличаются сложностью их реализации в информационной системе и тем, при каких условиях заверенный ими документ признается юридически значимым.

Применение УКЭП обеспечивает достоверность и юридическую значимость автоматически, для этого не требуется дополнительных процедур и договоренностей сторон. Важно только, чтобы можно было однозначно подтвердить действительность сертификата ключа подписи на момент ее нанесения, а это обеспечивается техническими средствами нанесения и проверки подписи. И все бы хорошо, но использование УКЭП — это наиболее дорогой способ заверения документов, который требует достаточно трудоемкого сопровождения.

В отличие от УКЭП, нанесение УНЭП и ПЭП само по себе не гарантирует юридической значимости подписанного документа. Для этого необходимо, чтобы стороны предварительно подписали договор о возможности использования этих видов подписи в соответствующих процедурах. Например, два хозяйственных субъекта могут заключить соглашение о взаимном признании документов, заверенных ПЭП, и в договоре должно быть указано, каким образом наносится и проверяется ПЭП. То же касается внутреннего документооборота: необходимо подписать документ, в котором сотрудники принимают на себя обязательства признавать юридически значимыми документы, подписанные ПЭП или УНЭП в рамках тех или иных процедур. То есть ПЭП и УНЭП приравниваются к собственноручной подписи при наличии соглашения об использовании в рамках того или иного процесса и подписи исполнителя на оригинале этого соглашения.

С юридической точки зрения использование УНЭП и ПЭП не отличаются, а с технологической — отличаются и достаточно серьёзно. УНЭП, в отличие от ПЭП, более надежна, так как использует криптоалгоритмы и гарантирует факт неизменности документа. ПЭП же может быть реализована и без использования криптоалгоритмов, от нее не требуется гарантий неизменности документа, но у нее есть огромное преимущество — она практически не требует никакой дополнительной инфраструктуры и реализуется в рамках любой современной системы электронного документооборота (СЭД).

На практике можно рекомендовать следующие варианты использования видов подписи:

  • простая ЭП и неквалифицированная ЭП. Может быть использована для внутренних документов, не связанных с материальной ответственностью (переписка, организационно-распорядительная документация, протоколы совещаний и т. д.), а также во многих случаях, в трудовых взаимоотношениях с работниками, если не требуется бумажная копия. ПЭП можно также использовать для получения согласующих подписей на документах различного типа при внутреннем согласовании документов (например, бюджетов, договоров и пр.);
  • усиленная квалифицированная ЭП. Использование УКЭП рекомендуется для официального внешнего документооборота с третьими лицами (клиенты, поставщики, государственные органы), для документов, связанных с материальной ответственностью работников, а также документов, связанных с трудовыми взаимоотношениями с удаленными сотрудниками.

Естественно если у сотрудника уже имеется УКЭП, например, это касается всех дистанционных сотрудников, то предпочтительно использовать ее как наиболее надежную.

При планировании перехода на безбумажный документооборот необходимо убедиться, что используемая вами СЭД поддерживает возможность использования всех видов ключей в любом бизнес-процессе.

Как обеспечить нормативную подготовку безбумажного документооборота

Для того, чтобы сделать удаленное безбумажное взаимодействие более простым и использовать электронную подпись в процедурах, необходима определенная нормативная подготовка. Должны быть сформулированы правила использования различных видов подписи. Необходимо ознакомить с ними всех сотрудников и передать им ответственность за соблюдение этих правил. Для этого — получить от всех сотрудников, которые будут работать с безбумажными документами, юридически значимое заверение принятия ответственности за правильное соблюдение регламентов использования ЭП.

Достаточно оформить единственный бумажный документ, требующий собственноручной подписи сотрудника. Этот базовый документ — «Правила использования ЭДО в рамках корпоративной информационной системы» должен включать в себя следующие разделы:

  • формулировки правил использования тех или иных видов ЭП при подписании документов;
  • фиксацию принятия сотрудником ответственности за правильное использование подписи;
  • правила допуска сотрудника к работе с конкретными регламентами в рамках того или иного бизнес-процесса;
  • фиксацию обязательств сотрудника исполнять «Правила использования ЭДО» собственноручной подписью.

Важно, чтобы в документе была прописана норма о том, что изменение или прекращение действий правил не отменяет действенности документов, подписанных согласно данным правилам.

Вводимые детальные регламенты использования ЭДО в каждом конкретном бизнес-процессе должны базироваться на правилах, сформулированных в «Правилах использования ЭДО» и, в том числе, принятие этих регламентов в действие должно базироваться на процедуре, сформулированной в нем. При соблюдении этих условий для введения в силу новых регламентов безбумажного документооборота и передачи ответственности тем или иным работникам за их корректное соблюдение не потребуется оформлять бумажный документ. Каждый конкретный регламент может быть оформлен в электронном виде и подписан электронной подписью сотрудников согласно процедуре, описанной в «Правилах использования ЭДО».

Для перехода на внешний обмен электронными бухгалтерскими документами необходимо также внести изменения в учетную политику организации и договорные документы с учетом ЭДО, провести обновление инструкций по поддержке информационной системы организации.

Описанная нормативная подготовка не представляет особой сложности и может быть выполнена штатным юристом организации, переходящей на безбумажный документооборот, или специализированной консультационной фирмой. Более подробно эти процедуры описаны в нашей методичке.

Варианты удаленного доступа к информационной системе

Следующий момент, о котором необходимо позаботиться при организации удаленной работы, — это организация доступа сотрудников к СЭД. Тут имеется несколько вариантов.

Легкий клиент

Сегодня проблем с организацией удаленной работы в большинстве систем практически не возникает. У любой современной системы, включая СЭД, сегодня, как правило, имеется легкий web-клиент, реализованный на базе HTML-интерфейса, который может работать в любом браузере. Удобство этого клиента заключается в том, что он не требует установки, что сильно упрощает обновление системы, и по существу является единственным вариантом при использовании домашнего компьютера пользователя. Такие клиенты, как правило, гораздо менее требовательны к пропускной способности канала связи. Пользователям для полноценной работы не обязательно давать доступ в локальную сеть организации, web-сервер системы документооборота может быть установлен в так называемой демилитаризованной зоне, за границами контура локальной сети. Более того, правильно спроектированные web-клиенты реализуют адаптивный интерфейс и позволяют удобно работать на любом устройстве от смартфона до полноценного компьютера. Пожалуй, единственным недостатком web-клиентов сегодня является невозможность обеспечить использование УКЭП в мобильных браузерах, в силу ограничений возможности их расширения. Но этот недостаток, мы надеемся, будет устранен в самом ближайшем будущем.

Однако не во всех системах электронного документооборота, представленных на рынке, web-клиент обеспечивает полный набор клиентских функций. Часто он используется лишь как дополнительный клиент для мобильных и удаленных пользователей, для реализации только наиболее типовых сценариев. В этом случае вам придется организовывать удаленный доступ для полнофункционального, тяжелого клиента. Это тоже возможно, хотя и гораздо сложнее, и дороже.

Тяжелый клиент

В большинстве случаев тяжелый клиент используется только для администрирования и настройки системы. Хотя на рынке есть системы, в которых и администрирование систем реализовано в HTML-интерфейсе. Если в вашей системе это не так, то возможны два варианта реализации удаленного доступа. Если тяжелый клиент вашей СЭД поддерживает возможность удаленной работы по HTTP- протоколу, то никаких дополнительных сервисов вам не потребуется, необходимо только будет настроить возможность для конкретного удаленного компьютера работать с ресурсами локальной вычислительной сети, в частности, доступ к серверу приложений СЭД. Если HTTP-протокол не поддерживается, то придется организовывать VPN или использовать терминальный сервер для обеспечения работы такого клиента.

Описанные варианты удаленной работы требуют наличия непрерывного интернет-канала, доступа к ресурсам корпоративной вычислительной сети. Если этот канал нестабилен и необходима возможность работы в режиме отключения сети, то существуют еще два варианта организации удаленного доступа.

Мобильное приложение

Большинство современных систем имеют специальное приложение для мобильных операционных систем Android и iOS. Основным их преимуществом является возможность работы в офлайне и полноценная поддержка УКЭП на мобильных устройствах. Как и web-клиент, мобильное приложение не требует доступа в локальную вычислительную сеть компании, его сервер может располагаться в демилитаризованной зоне. Однако мобильные приложения поддерживают лишь ограниченный набор сценариев — назначение и выполнение заданий, согласование и утверждение документов и т. п. Разумным является совместное использование универсального web-клиента и мобильного приложения.

Почтовый клиент

Такой способ взаимодействия с системой на английском языке получил название Lazy Approval (ленивое согласование). Достоинством почтового клиента является то, что он использует в качестве клиента любую почтовую программу и не требует установки никаких дополнительных компонентов. Для организации взаимодействия он использует стандартные механизмы расширения почтового протокола. Почтовый клиент работает офлайн, через обмен почтовыми сообщениями на любом устройстве, на котором есть программа электронной почты, без каких-то ограничений, и использует минимально возможный интернет-трафик. Еще одним достоинством этого способа является возможность использовать почтовый клиент для включения контрагентов в бизнес-процессы компании.

Но этот клиент естественно ограничен в поддерживаемых сценариях — согласование, исполнение заданий и т. п., имеет понятные ограничения в поддержке удобства работы пользователей и не поддерживает работу с электронной подписью.

Современные СЭД, которые выступают основным приложением для обеспечения удаленной работы с документами и бизнес-процессами, как правило, поддерживают все перечисленные сценарии удаленного взаимодействия. Вам только нужно выбрать оптимальный для задач конкретного пользователя.

Продолжение следует.

Владимир Андреев, президент компании Docsvision