Об ЭДО

Использование защищенного электронного документооборота (ЭДО) в современных информационных системах — эффективное решение, которое уже имеет право считаться традиционным. Его дальнейшее развитие во многом определяется применением технологий электронно-цифровой подписи (ЭЦП).

Системы электронного документооборота в том или ином виде присутствуют практически в любой корпоративной информационной системе, они позволяют не только обмениваться документами по каналам связи, но и организовать их хранение, обеспечивают доступ к различным вариантам документа, дают возможность отследить его «жизненный цикл». В последнее время наблюдается тенденция выхода подобных систем за рамки одной компании, речь идет уже о межкорпоративном документообороте.

Использование систем электронного документооборота значительно ускоряет и упрощает процесс подписания документов. Такие системы особенно эффективны при больших количествах обрабатываемых документов, что очень важно, например, для организаций, осуществляющих массовое обслуживание своих клиентов, — обычно они «задыхаются» в потоке бумаг. Удобно их применение и в случае, когда участники системы находятся далеко друг от друга, а стоимость сделки сравнительно невысока; при «бумажном» решении вопроса многие зачастую отказываются от взаимодействия с территориально удаленными контрагентами, даже если оно выгоднее предложений местных организаций.

При создании систем обмена документами между организациями (как правило, по открытым каналам связи, чаще всего через Internet) важным вопросом становится обеспечение информационной безопасности. Но если задача обеспечения конфиденциальности на сегодняшний день может считаться решенной (различные средства построения виртуальных частных сетей эффективны и широко распространены), то в вопросе подтверждения авторства документа единое мнение отсутствует даже у экспертов. 

Современные технологии подтверждения авторства и целостности основываются на формировании так называемой цифровой подписи (digital signature) — своего рода «добавки» к основному сообщению, которая с ним математически связана и, кроме того, уникальна для каждого автора. Формирование цифровой подписи основано на огромной (практически недостижимой) вычислительной сложности ее подделки без знания так называемого секретного ключа (он известен только автору подписи) и простоте проверки правильности уже известного значения цифровой подписи при знании открытого ключа (известен всем). 

В общем случае для подтверждения авторства своего сообщения необходимо сформировать пару «открытый + секретный ключ», вычислить значение цифровой подписи на секретном ключе и сообщить всем участникам документооборота, проверяющим вашу цифровую подпись, ее открытый ключ. На такой схеме основаны все современные зарубежные и отечественные (ГОСТ Р 34.10/34.11-94) алгоритмы формирования цифровой подписи, которые исключают возможность подделки цифровой подписи на современных компьютерах в течение сотен лет. 

Технологии цифровой подписи применяются в построении систем корпоративного и межкорпоративного документооборота. Возможность подобных отношений, выходящих за рамки одной компании, требует правового обоснования, однако правовая основа для этого была определена сравнительно недавно — в Гражданском кодексе РФ и в федеральном законе «Об ЭЦП». 

Использование цифровой подписи для подтверждения авторства документов между организациями возможно в случае заключения ими предварительного соглашения об этом, что предусмотрено в Гражданском кодексе. Заключение предварительного соглашения делает систему электронного документооборота замкнутой, и закон «Об ЭЦП» здесь применим в том смысле, что согласно ему правила работы в подобной системе устанавливаются ее организатором. На сегодняшний день это самая распространенная и едва ли не единственная применяемая схема.

Между тем обязательность заключения предварительного соглашения перед началом работы в ряде ситуаций оказывается несколько неудобной. Так, в случае, если участники системы электронного документооборота производят с ее помощью разовые сделки, то все преимущества электронного характера документооборота пропадают, поскольку перед сделкой им все равно придется встречаться и подписывать традиционный бумажный документ. В случае территориальной удаленности сторон даже при нескольких дальнейших электронных транзакциях необходимость первоначального подписания соглашения также существенно снижает эффективность решения.

Применяемые в такой схеме алгоритмы цифровой подписи формально могут быть любыми (законодательных и иных ограничений нет) — главное, чтобы используемая технология удовлетворяла каждую из сторон. Конечно, отсутствие четких предписаний в этом вопросе дает дополнительную свободу и, как следствие, возможность применения штатных механизмов формирования и проверки ЭЦП, которые встроены в большинство операционных систем. Например, используемые в Windows алгоритмы обеспечивают достаточный уровень безопасности, однако корректность их реализации проверить невозможно. Существуют и бесплатно распространяемые криптографические модули, которые вроде бы тоже «должны обеспечивать», но никто этого не гарантирует. Однако, если стороны согласятся им доверять, это позволит существенно сократить затраты на создание системы: не надо покупать дополнительное программное обеспечение, а также, что немаловажно для географически распределенных систем, не требуется доставки дистрибутива до каждого конечного пользователя. 

Тем не менее практика показывает, что чаще всего электронный документооборот применяется либо между несколькими крупными компаниями, где все участники в той или иной мере равноправны, либо между выделенным организатором и большим числом клиентов (например, системы «клиент — банк» или Internet-трейдинг). В первом случае стоимость электронных сделок достаточно велика и участники предпочитают не экономить за счет свободно распространяемых программ, а приобретают коммерческие версии средств криптографической защиты, в которых стойкий алгоритм ЭЦП не только заявлен, но и проверен (чаще всего такой проверкой служит сертификация в ФАПСИ).