В целях обеспечения физической сохранности электронных документов, доступности спецификаций форматов, в которых хранятся документы, минимизации риска возникновения лицензионных ограничений, а также подтверждения юридической силы документа рекомендуется организовывать хранение электронных документов с учетом положений Концепции хранения и использования электронных документов с обеспечением их юридической силы для финансового рынка (Приложение № 6 к протоколу заседания подкомиссиипо использованию информационных технологий при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности от 31 марта 2017 г., одобреному подкомиссией по использованию информационных технологий при предоставлении государственных и муниципальных услуг Правительственной комиссии по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности (протокол от 31 марта 2017 г.).
Хранение электронного документа в режиме долговременного хранения рекомендуется осуществлять в специализированной информационной системе, в которую была осуществлена передача электронного документа из системы, обеспечивавшей его оперативное хранение.
Применительно к системам долговременного хранения, механизмы обеспечения юридической силы электронного документа могут базироваться на подходе, включающем следующие процедуры:
- формирование системой-источником и передача в специализированную информационную систему архивной единицы хранения, включающей электронный документ, УКЭП, метаданные;
- проверку действительности УКЭП на момент подписания электронного документа при принятии на хранение с фиксацией результата проверки в метаданных;
- формирование метаданных электронного документа, включающих в том числе: сведения об УКЭП и сертификате ключа проверки подписи, а также иные сведения, описывающие действия, совершенные с документом в ходе его подготовки, рассмотрения, исполнения и хранения, идентификационные данные;
- обеспечение аутентичности архивной единицы хранения, включающей электронный документ, УКЭП, метаданные;
- обеспечение надежного соответствия и принадлежности документа его метаданным с возможностью проверки этого соответствия и принадлежности на всем периоде хранения документа путем подписания документа и его метаданных технологической электронной подписью. Перед прекращением срока действия сертификата технологической электронной подписью должны быть сформированы метаданные о результате проверки текущей технологической электронной подписи. После проведения указанных процедур, документ должен быть подписан новой технологической электронной подписью. Образованная таким способом цепочка метаданных, подписанных технологической электронной подписью, обеспечивает аутентичность данных о проверке достоверности исходной УКЭП документа на момент его передачи на хранение.
При реализации данной технологии необходимо руководствоваться следующими требованиями и спецификациями:
- ГОСТ Р 34.10-2001 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
- ГОСТ Р 34.10-2012 «Информационная технология. Криптографическая защита информации. Процессы формирования и проверки электронной цифровой подписи»;
- ГОСТ Р 34.11-2012 «Информационная технология. Криптографическая защита информации. Функция хэширования»;
- ГОСТ 28147-89 «Системы обработки информации. Защита криптографическая. Алгоритм криптографического преобразования».
Процедуры проверки электронной подписи в части построения корректной цепочки сертификации должны соответствовать методике TestSuite – «PublicKeyInteroperabilityTestSuite (PKITS) Certification Path Validation» с учетом использования отечественных криптографических алгоритмов.
Заверение документа УКЭП (ЭП хранилища) при выдаче его по запросу должен осуществляться после проверки цепочки метаданных и самого документа.
Этот подход позволяет существенным образом упростить процедуры хранения и обслуживания массивов данных, содержащихся в электронных документах, и сосредоточить внимание на управлении метаданными электронного документа, включая обеспечение их целостности.
В этом случае электронная подпись и иные атрибуты электронного документа проверяются один раз при передаче его на долговременное хранение. При выдаче электронного документа из хранилища проверяется целостность файла электронного документа и его метаданных, проставляется УКЭП организации (хранилища) и необходимые реквизиты предоставляемого электронного документа.
Важным вопросом является простановка и проверка метки времени в метаданные документа при совершении упомянутых действий, а также технологических процедур поддержки сохранности и целостности данных. Целесообразно рассмотреть возможность простановки и проверки метки времени с использованием централизованной системы единого времени или посредством информационной системы головного удостоверяющего центра.
С целью физического сохранения электронного документа, предупреждения физического/морального устаревания носителей, оборудования, программных средств, связанных с ними носителей и форматов, следует производить комплекс технологических мероприятий по так называемой «электронной сохранности» (digital preservation). Подробным и общепринятым описанием концепции электронного архива с функцией обеспечения электронной сохранности является стандарт ISO 14721:2012 «Открытая архивная информационная система – Эталонная модель» (Openarchivalinformationsystem (OAIS) — Referencemodel).
Мероприятия по электронному сохранению могут включать:
1) консервация технологий;
2) эмуляция;
3) инкапсуляция;
4) миграция/конвертирование.
Наиболее распространенным в мировой практике методом обеспечения долговременной сохранности электронных документов в настоящее время является миграция, под которой, в широком смысле, понимается преобразование электронных документов и информации в новые форматы и/или перенос в новые информационные системы.
Для целей долговременного хранения предпочтительно использовать форматы архивного хранения, отвечающие следующим требованиям:
- открытость (общедоступность) спецификаций, отсутствие лицензионных ограничений при их использовании;
- независимость от аппаратно-программной среды создания документа при обеспечении сохранения содержания документа.
Архивные форматы могут использоваться как непосредственно при создании и передаче в архив документов, подлежащих длительному хранению, так и в процессе архивного хранения.
В качестве варианта обеспечения юридической значимости электронного документа является хранение вместе с документом, подписанным УКЭП, сертификата ключа электронной подписи.
Рекомендуется использовать оба указанных варианта.
В целях обеспечения технической инфраструктуры хранения рекомендуется обеспечивать:
- наличие в архиве организации не менее двух экземпляров каждой единицы хранения электронных документов (основной и рабочий экземпляры должны находиться на разных физических устройствах);
- наличие технических и программных средств, предназначенных для воспроизведения, копирования, перезаписи электронных документов, контроля физического и технического состояния;
- режима хранения электронных документов, исключающего утрату, несанкционированную рассылку, уничтожение или искажение информации;
- проведения работы по перезаписи электронных документов на новые носители.
Системы как оперативного, так и долговременного хранения электронных документов должны соответствовать требованиям по безопасности информационных систем, программно-аппаратных комплексов и программного обеспечения, установленным федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.
[1] - о возникновении угрозы причинения вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, а также угрозы чрезвычайных ситуаций природного и техногенного характера (подпункт «а» пункта 2 части 2 статьи 10 Закона № 294-ФЗ);
- о причинении вреда жизни, здоровью граждан, вреда животным, растениям, окружающей среде, объектам культурного наследия (памятникам истории и культуры) народов Российской Федерации, музейным предметам и музейным коллекциям, включенным в состав Музейного фонда Российской Федерации, особо ценным, в том числе уникальным, документам Архивного фонда Российской Федерации, документам, имеющим особое историческое, научное, культурное значение, входящим в состав национального библиотечного фонда, безопасности государства, а также возникновение чрезвычайных ситуаций природного и техногенного характера (подпункт «б» пункта 2 части 2 статьи 10 Закона № 294-ФЗ);
- нарушении прав потребителей (в случае обращения в орган, осуществляющий федеральный государственный надзор в области защиты прав потребителей, граждан, права которых нарушены, при условии, что заявитель обращался за защитой (восстановлением) своих нарушенных прав к юридическому лицу, индивидуальному предпринимателю и такое обращение не было рассмотрено либо требования заявителя не были удовлетворены) (подпункт «в» пункта 2 части 2 статьи 10 Закона № 294-ФЗ);
- о нарушении требований к маркировке товаров (подпункт «г» пункта 2 части 2 статьи 10 Закона № 294-ФЗ);
[2]Закон № 294-ФЗ в ряде случаев требует направления электронных документов проверяемому лицу с соблюдением ряда условий:
1) направление документа, уведомляющего о проведении плановой или внеплановой проверки, следует производить по адресу электронной почты юридического лица, индивидуального предпринимателя, который содержится в едином государственном реестре юридических лиц, едином государственном реестре индивидуальных предпринимателей либо ранее был представлен юридическим лицом, индивидуальным предпринимателем в орган государственного контроля (надзора), орган муниципального контроля. – при этом не требуется подтверждение получения или ознакомления проверяемого лица с документом (его содержанием);
2) акт проверки (с приложенными к нему документами) может быть направлен руководителю, иному должностному лицу или уполномоченному представителю юридического лица, индивидуальному предпринимателю, способом, обеспечивающим подтверждение получения указанного документа его уполномоченному представителю при наличии согласия проверяемого лица на осуществление взаимодействия в электронной форме в рамках государственного контроля (надзора) или муниципального контроля.