Силков С.В., зав. отделом комплектования Белорусского
научно-исследовательского центра электронной документации
Основной целью реализации концепции информационной модели государственного управления РБ является формирование единого информационного пространства как одного из этапов перехода к информационному обществу, обеспечивающего создание условий для эффективного функционирования национальной экономики и государственного управления. В Государственной Программе информатизации РБ на 2003-2005 гг. и на перспективу до 2010 г. «Электронная Беларусь» определены такие основные направления информатизации РБ, как:
• развитие телекоммуникационной инфраструктуры доступа к общегосударственной открытой автоматизированной информационной системе;
• совершенствование деятельности государственных органов на основе использования информационных технологий (ИТ);
• совершенствование нормативной базы и государственного регулирования в области информатизации;
• совершенствование системы информационной безопасности РБ с учетом положений Концепции национальной безопасности РБ.
Ключевая задача Программы – создание национального портала, через который любой гражданин, предприниматель или государственный служащий смогут оперативно взаимодействовать как с государством, так и между собой.
Определяющими нормативными документами в области электронного документооборота (ЭДО) и его безопасности как в международном праве, так и в ряде национальных законодательств являются законы об электронном документе (ЭД), об электронной (цифровой) подписи (ЭЦП), об электронной коммерции и им соответствующие, а также стандарты, принимаемые международными организациями и национальными органами по стандартизации.
В РБ основную нормативную нагрузку в области обеспечения ЭДО и работы архивов ЭД несут: Закон РБ «О Национальном архивном фонде и архивах в Республике Беларусь» от 06.10.1994 N 3277 (в редакции Закона от 06.01.1999 N 236-З); Закон РБ «Об информатизации» от 06.09.1995 N 3850-XII: Закон РБ «Об ЭД» от 10.01.2000 N 357-З. В основании нормативной базы РБ в области регулирования и безопасности ЭДО, а также работы архивов ЭД находятся:
1) государственные стандарты РБ: СТБ ИСО/МЭК 15489-1:2001 «Информация и документация. Управление документами. Часть 1: Общие принципы»; СТБ ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью»; СТБ 1221-2000 «Документы электронные. Правила выполнения, обращения и хранения»; СТБ 1176.1-99 «Информационная технология. Защита информации. Функция хеширования»; СТБ 1176.2-99 «Информационная технология. Защита информации. Процедуры выработки и проверки ЭЦП»; ГОСТ 28147-89 «Система обработки информации. Защита криптографическая. Алгоритм криптографического преобразования»; в области методов и средств безопасности ИТ: стандарты серии СТБ 34.101, разрабатываемые на основе международного стандарта ИСО/МЭК 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий» («Общие критерии»).
2) руководящие документы, регулирующие применение ЭД и ЭЦП в финансовой сфере: «Технология ЭЦП. Термины и определения»; «Средства ЭЦП программные. Общие требования»; «Формат карточки открытого ключа»; «Формат сертификатов открытых ключей и списков отозванных сертификатов», «Автоматизированная система межбанковских расчетов. Архивы электронных документов. Общие требования» и др.
3) система государственной сертификации средств защиты информации и государственного лицензирования деятельности по представлению услуг в области защиты информации;
4) требования к криптозащите информации, налагаемые Государственным центром безопасности информации.
5) в области архивов ЭД: «Примерная инструкция по работе с машиночитаемыми документами в организациях, на предприятиях и ведомственных архивах Республики Беларусь» (1996 г.); «Правила учета и передачи электронных (машиночитаемых) документов на государственное хранение» (1997 г.); Типовое положение об архиве ЭД организации (2004 г.); Инструкция о периодичности создания архивных копий информационных ресурсов и порядке их передачи на государственное хранение (2000 г.); Инструкция по проведению экспертизы ценности и передачи ЭД и информационных ресурсов на государственное хранение (2005 г.); Правила работы архива ЭД (2003 г.); Архивное хранение ЭД. Методические рекомендации (1998 г.); Методические рекомендации по применению нормативно-правовых актов в целях обеспечения сохранности ЭД (2000 г.); Методические рекомендации по подготовке сопроводительной документации ЭД при передаче их на государственное хранение (2002 г.); Методические рекомендации по передаче ЭД в ведомственный архив из структурных подразделений организации, учреждения, предприятия (2003 г.); Методические рекомендации по учету и хранению ЭД в учреждениях, организациях, предприятиях (2004 г.).
Закон РБ «Об информатизации» регулирует отношения, возникающие в процессе формирования информационных ресурсов; создание ИТ, информационных систем и сетей; порядок защиты информационных ресурсов, права и обязанности участников процесса информатизации.
Закон РБ «Об ЭД» регулирует правовые основы применения ЭД. Он определяет основные требования, предъявляемые к ЭД; содержит определение понятий «ЭЦП», «средства ЭЦП», «подлинность», «целостность» ЭД; регулирует вопросы, связанные с распространением открытых ключей проверки ЭЦП, и вопросы, связанные с сертификацией средств защиты; определяет права, обязанности и ответственность участников правоотношений в сфере обращения ЭД. Закон изначально был ориентирован на регулирование ИТ в финансовой сфере: проект Закона назывался «Об ЭД и его применении в банковской деятельности». С течением времени Закон стал регулировать отношения граждан и субъектов хозяйствования с Фондом социальной защиты населения и Министерством РБ по налогам и сборам. В 2005 г. начато создание ведомственного удостоверяющего центра (УЦ) и автоматизированной системы ДОУ (АСДОУ) таможенной службы. Эти работы проводятся совместно с таможенными службами РФ, Украины и других стран.
Ст.ст. 11 и 22 Закона РБ «Об ЭД» уравнивают статус и юридическую силу бумажного документа и ЭД, а также допускают использование ЭД во взаимоотношениях сторон при условии заключения соответствующих договоров. Если законодательство РБ требует, чтобы документ был оформлен письменно или представлен в письменном виде или письменной форме, то ЭД считается соответствующим этому требованию. Использование электронного обмена данными при этом вызывает проблемы: 1) соблюдения сторонами письменной формы сделки при обмене электронными сообщениями; 2) идентификации инициатора сообщения в качестве лица, уполномоченного на совершение сделки; 3) признания доказательственной силы документов в электронной форме в суде; 4) придания электронному прообразу документа силы его подлинника.
Наличие всех этих теснейшим образом связанных свойств ЭД в совокупности образует понятие его юридической силы. Согласно общему правилу Гражданского кодекса (ГК) РБ (ст. 162), сделки юридических лиц между собой, а также с гражданами должны заключаться в простой письменной форме. При этом в ГК РБ: 1) дано определение простой письменной формы сделки (п. 1 ст. 161 ГК); 2) предоставлено сторонам право самостоятельно определять случаи, когда при совершении сделок допускается использование факсимильного воспроизведения подписи с помощью средств механического или иного копирования, ЭЦП либо иного аналога собственноручной подписи (п. 2 ст. 161 ГК); 3) приравнено к письменной форме заключение договора посредством электронного взаимодействия (п. 2 ст. 404 ГК).
Так как стороны, использующие электронные сообщения в своих деловых отношениях, фактически лишены возможности проверить полномочия или просто идентифицировать другую сторону по сделке, то проблема представительства как юридической категории при заключении сделок с применением средств электронного взаимодействия переходит в сферу технологий. Согласно ст. 11 Закона РБ «Об информатизации», документ, содержащий информацию, обработанную информационной системой, приобретает юридическую силу после его удостоверения соответствующим должностным лицом или ЭЦП. Юридическая сила ЭЦП признается при наличии в информационных системах и сетях программно-технических средств, обеспечивающих идентификацию ЭЦП и надлежащим образом сертифицированных. Но в тех случаях, когда стороны используют ЭЦП в процедуре заключения сделок, между ними предварительно должен быть в обычной письменной форме заключен договор об использовании ЭЦП. Таким образом, наличие между сторонами договора об использовании ЭЦП, как условие действительности сделки, является особенностью ГК РБ (п. 2 ст. 161), тогда как основное требование к признанию юридической силы документа, снабженного ЭЦП, согласно Закона РБ «Об информатизации» – это наличие сертифицированных технических средств. Хозяйственный процессуальный кодекс РБ уравнивает документы, полученные посредством факсимильной, электронной или иной связи с другими письменными доказательствами, если возможно проверить их достоверность (ст. 86). При этом кодекс не устанавливает какую-либо особую форму внешнего представления таких документов.
Отсюда и неясность отдельных норм Закона РБ «Об ЭД».
С одной стороны, существует требование о создании копии ЭД путем удостоверения формы внешнего представления на бумажном носителе, которое может осуществляться: а) нотариусом или другим лицом, имеющим право совершать нотариальные действия; б) юридическим лицом или индивидуальным предпринимателем, имеющим лицензию на такой вид деятельности (ст. 10 Закона РБ «Об ЭД»). С другой стороны, согласно ч. 2 ст. 9 того же Закона, в случае, если одним лицом создаются документ на бумажном носителе и ЭД, идентичные по содержанию, то оба документа признаются самостоятельными, и документ на бумажном носителе копией не является.
Закон РБ «Об ЭД» регулирует вопросы, связанные с выработкой и распространением открытых ключей проверки ЭЦП лишь в общих чертах, не определяя статус, функции, обязательства лица, вырабатывающего и распространяющего открытые ключи проверки ЭЦП. Закон возлагает на владельца личного ключа ЭЦП обязанности по его охране от несанкционированного использования, случайного уничтожения или модификации (ст. 13), а также по распространению среди заинтересованных пользователей открытых ключей проверки ЭЦП (ст.ст. 14-15).
Новый виток офисной революции в мире выводит организации на уровень «электронного управления электронными и неэлектронными документами». Базовую роль в этом процессе призван сыграть стандарт ISO 15489-1:2001 «Информация и документация. Управление документами. Часть 1: Общие принципы», регламентирующий управление любыми документами на любых носителях и информационными ресурсами, создаваемыми и получаемыми различными организациями в процессе их деятельности. Фактически являясь средством общения с людьми разных профессий, ISO 15489-1 предполагает несколько иное понимание документа, иную терминологию. Этот стандарт:
1) закрепляет наиболее важные виды работ в процессе создания системы ДОУ организации: фиксация сведений о том, какие виды деловой деятельности требуют документирования; когда, как и где документы должны быть созданы;
2) указывает, что система документооборота организации должна:
- служить главным источником информации обо всех документируемых действиях в организации;
- охватывать все документы и информационные ресурсы организации;
- отражать (в схеме систематизации документов) деловые процессы всей организации и ее филиалов;
- защищать документы организации и их носители от несанкционированных действий по отношению к ним;
3) требует подготовки внутренних нормативных документов организации;
4) требует от системы управления доступом к документам, чтобы «надлежащее управление доступом обеспечивалось через установление статуса доступа, как документам, так и пользователям». Член Гильдии Управляющих Документацией Храмцовская Н.А. указывает на то, что статус доступа в контексте стандарта - это гриф документа вместе со степенью допуска работника;
5) тесно связан с защитой интересов работников организации и ее внешней среды в связи со своевременной утилизацией информации;
6) к огромнейшему сожалению, не регулирует работу архивов (электронных) документов в организациях.
Методология, отработанная в ISO 15489-1, существенно облегчает разработку и внедрение в организациях систем управления документацией или их совершенствование.
Стандарт СТБ ИСО/МЭК 17799-2000/2004 «Информационные технологии и безопасность. Правила управления информационной безопасностью» (на базе британского стандарта BS 17799) устанавливает общие правила организации, реализации или сопровождения информационной безопасности в организациях (схемы классифицирования данных, методы доступа, стратегии планирования развития и оценок рисков безопасности, градации ответственностей работников и др.). Стандарт предназначен для обеспечения общего базиса при разработке организационных стандартов безопасности и реализации эффективного управления безопасностью в организации, а также для обеспечения необходимой степени конфиденциальности при контактах между организациями. В стандарте явно указаны базовые принципы, полная реализация которых должна гарантировать прочность базы обеспечения безопасности информации в организациях: 1) защита данных организации и обеспечение конфиденциальности персональных данных; 2) защита документов организации; 3) защита прав интеллектуальной собственности.
Cтандарт указывает, что для защиты документов организации от фальсификации, уничтожения или утраты: 1) должны быть изданы руководства по организации делопроизводства и хранения, по установлению сроков хранения, по определению дальнейшей судьбы документов по истечении сроков хранения и их утилизации; 2) должна быть разработана номенклатура дел, в которую заносятся виды документов организации, и установленные для них сроки хранения.
СТБ ИСО/МЭК 17799-2000/2004, фактически фундирующий систему менеджмента в организации, стандартом является лишь опосредованно. В руководство по его применению включены емкие рекомендации по выработке требований к информационной безопасности; также глубоко проработаны кадровые и юридические требования, системы обеспечения непрерывности процесса производства, политики безопасности организации и ее подразделений (и, следовательно, в том числе архивов организации). В 2005 г. ISO выпущена новая версия стандарта ISO/IEC 17799:2005. Одним из базовых положений стало требование вести управление документами в организациях согласно положений международного стандарта ISO 15489-1.
Выполнение требований стандартов РБ по криптозащите информации призвано гарантировать: 1) криптостойкость; 2) совместимость криптопродукции различных производителей (например, систем ЭДО с применением ЭЦП). Но криптостандарты РБ сейчас определяют только хэш-функции и процедуры выработки и проверки ЭЦП. Вне их действия остались распространение и генерация ключей, защита от несанкционированного доступа к ключевой информации и ее носителям. В настоящее время Национальный Банк РБ планирует проведение комплекса мероприятий по преобразованию ряда руководящих документов, действующих в финансовой сфере, до уровня технических регламентов.
В «Типовых проектных решениях автоматизированной системы документооборота для государственных органов», разработанных БелНИЦЭД в 2004 г. в рамках Программы «Электронная Беларусь», была определена необходимость: 1) утверждения соответствия формата сертификата открытого ключа проверки ЭЦП международному стандарту Х.509 и рекомендациям в области инфраструктуры открытого ключа; 2) разработки единого стандарта РБ на форматы представления ключей средств криптозащиты информации, хранящихся на ключевых носителях информации и в составе сертификата; 3) унифицирования значений и форматов представления параметров алгоритма ЭЦП; 4) разработки ряда стандартов для решения задач унификации средств криптозащиты информации. Это: 1) позволит обеспечить совместимость форматов сертификатов, выдаваемых УЦ на основе различных средств криптозащиты информации; 2) даст возможность использовать сертификаты различных УЦ в разных системах инфраструктур открытого ключа; 3) позволит принять единый формат архивного хранения ЭД; 4) сможет помочь разрешению в судах различных инстанций споров, связанных с применением ЭЦП. Типовые проектные решения размещены на официальном сайте государственной архивной службы РБ «Архивы Беларуси» www.archives.gov.by.
При разворачивании ЭДО в таможенных органах РБ выявилась необходимость «Положения о межведомственном ЭДО» для формирования единой инфраструктуры межведомственного ЭДО. В Положении, обеспечивающем правовые основы и организационные мероприятия межведомственного ЭДО, должны быть расписаны права и обязанности участников межведомственного ЭДО, перечень участников и структур, ответственных за организационно-техническое обеспечение. Необходимы регламенты, определяющие правила регистрации и подключения участников, порядок и условия обмена ЭД, формат межведомственного и внутриведомственного информационного взаимодействия АСДОУ; порядок работы архивов ЭД. Внедрение ЭД в оганы государственной власти и управления РБ тормозится отсутствием законодательно установленных положений, регламентов и сопутствующих им документов для работы УЦ, что делает невозможным их лицензирование. Пока отсутствует и «главный корень» иерархии государственной структуры центров удостоверения ЭЦП, по отношению к которому все остальные сертификаты, как подчиненных УЦ, так и участников инфраструктуры открытого ключа, являлись бы производными.
Широкое применение в организациях, учреждениях и на предприятиях РБ информационных технологий ЭДО и архивного хранения ЭД привело к тому, что ряд нормативных методических документов по работе с ЭД в организациях, особенно принятых до 2000 г., стал не в полной мере удовлетворять современным требованиям. Кроме того, Законом РБ “О нормативных правовых актах Республики Беларусь” от 10.01.2000 № 361-З были определены понятие и виды нормативных правовых актов РБ, установлен общий порядок их подготовки, оформления, принятия (издания), опубликования, действия, толкования и систематизации. Поэтому возникла необходимость в проведении научной экспертизы нормативной методической базы архивной отрасли по работе с ЭД в организациях на соответствие современным требованиям, а также в определении состава нормативных документов, необходимых для совершенствования работы с ЭД в организациях.
В 2006-2007гг. предполагается провести научную экспертизу на соответствие современным требованиям таких все еще действующих нормативных документов, как «Примерная инструкция по работе с машиночитаемыми документами в организациях, на предприятиях и ведомственных архивах Республики Беларусь» (1996г.); «Правила учета и передачи электронных (машиночитаемых) документов на государственное хранение» (1997г.). Также предполагается пересмотреть и повысить законодательный уровень следующих методических рекомендаций: а) «Архивное хранение ЭД» (1998г., эти рекомендации легли в основу национального стандарта СТБ 1221-2000); б) по подготовке сопроводительной документации к ЭД при передаче их на государственное хранение (2003г.); в) по применению нормативно-правовых актов в целях обеспечения сохранности ЭД (2000г.); г) по подготовке сопроводительной документации ЭД при передаче их на государственное хранение (2002г.); д) по передаче ЭД в ведомственный архив из структурных подразделений организации, учреждения, предприятия (2003г.); е) по учету и хранению ЭД в учреждениях, организациях, предприятиях (2004г.).
В заключение следует еще раз отметить, что в качестве основных препятствий при осуществлении информатизации в РБ служат:
• невысокая эффективность инфраструктуры информационной поддержки рынков товаров (услуг);
• все еще недостаточный уровень подготовки работников органов государственной власти и управления к полномасштабному применению современных ИТ и управленческих технологий;
• отсутствие законодательно установленных положений, регламентов и сопутствующих им актов нормативного регулирования процессов информатизации.
Силков С.В. Правовое регулирование электронного документооборота и электронных архивов в Республике Беларусь // <Проблемы правовой информатизации>, НЦПИ при Президенте Респ. Беларусь. - Мн. - 2006 г., - № 1, - С. 83-88