Руководства, Инструкции, Бланки

положение об эцп на предприятии образец

Категория: Бланки/Образцы

Описание

Электронная цифровая подпись

"Электронная цифровая подпись (ЭЦП) - реквизит электронного документа, предназначенный для защиты данного электронного документа от подделки, полученный в результате криптографического преобразования информации с использованием закрытого ключа электронной цифровой подписи и позволяющий идентифицировать владельца сертификата ключа подписи, а также установить отсутствие искажения информации в электронном документе."

Закон №1-ФЗ от 10.01.2002.

Главное назначение ЭЦП - подтверждать подлинность электронных документов, подобно бумажным документам, имеющим соответствующую подпись и печать.

С тех пор, как в 2002 году увидел свет закон №1-ФЗ "Об электронной цифровой подписи", многие руководители задают вопрос: "А как ее можно использовать?".

Юридически значимые электронные документы пока не находят повсеместного применения в отношениях между предприятиями, однако, никто не мешает использовать электронные документы с ЭЦП внутри предприятия.

Впрочем, это можно было делать и раньше, а выход закона об ЭЦП просто поднял эту проблему.

Кроме того, ЭЦП имеет смысл только в том случае, если на предприятии действует система электронного документооборота (CЭД), т.е. документы регистрируются, рассылаются, согласовываются, изучаются в электронном виде.

Поэтому одной из причин интереса к ЭЦП стал и повышенный в последнее время интерес предприятий к подобным системам.

В этой статье мы не будем поднимать положения закона об ЭЦП, а также определять требования к системам CЭД. Постараемся рассмотреть конкретные примеры, когда ЭЦП может быть использована в электронном документообороте предприятия, какие преимущества можно получить, какие проблемы могут возникать и каковы возможные пути их решения.

Примеры использования ЭЦП

Служебная записка. Это, пожалуй, самый распространенный элемент внутреннего документооборота предприятия. В ней может содержаться что угодно: от просьбы вставить новый замок в дверях до предложения об изменении оргструктуры предприятия.

При бумажном документообороте автор служебной записки вынужден самостоятельно обежать всех заинтересованных лиц и собрать нужные подписи, возможно, вплоть до конкретного исполнителя. Причем случается, как ни странно, что чем проще проблема, тем больший маршрут служебная записка должна пройти. Например, чтобы заменить тот самый дверной замок, нужно получить визу руководителя своего подразделения, а затем (в лучшем случае) визу руководителя подразделения-исполнителя (например, хозяйственного отдела), в худшем - записка может пройти еще и через директора по общим вопросам. К слову сказать, после того, как на документе появится виза последнего руководителя, инициатор по сути утрачивает контроль над выполнением заявки. Однако проблемы контроля исполнения выходят за рамки этой статьи, и мы их затрагивать не будем.

Служебные записки по сути первые кандидаты на то, чтобы "исчезнуть" с бумаги. Используя систему электронного документооборота, инициатор может создать документ, подписать его ЭЦП и отправить руководителю. Руководитель может отправить документ дальше на исполнение, либо может быть выпущен и подписан отдельный документ, связанный со служебной запиской. В любом случае исполнитель в любой момент времени может отследить текущее состояние по своему документу.

На первый взгляд может показаться, что ЭЦП - лишний атрибут документа, и все можно отрегулировать правами доступа. Да, это сработает, если формирует документ один сотрудник, а остальные его только исполняют или знакомятся. Но как только количество человек, утверждающих документ, увеличивается, прав доступа становится недостаточно. Кроме того, в системе электронного документооборота всегда присутствует администратор, который имеет полные права на все документы (конечно, система отследит, что документ был изменен, но что именно изменили отследить практически невозможно).

В рассмотренном примере со служебной запиской руководитель хозяйственного отдела должен быть уверен не только в том, что текст написан инициатором, но и в том, что руководитель подразделения-инициатора утвердил именно это содержание документа. Когда документ разрабатывает или согласует много людей, то ЭЦП становится еще более актуальной.

Согласование договора. Как правило, этот процесс в бумажном виде представляет собой подписание листа согласования, приложенного к документу. В вашей практике не случалось ситуаций, когда оказывалось, что в процессе многошаговых согласований ваша подпись оказывалась приложенной не к той версии документа? Тогда Вам просто повезло. Про длительность данного процесса, когда документ нужно носить от одного исполнителя к другому "ногами" можно уже и не вспоминать.

Используя ЭЦП в процессе электронного согласования документов, можно обеспечить неизменность документа после проставления согласительной подписи каждого участника.

"Зеркало" бумажной подписи. Документы для общения с внешним миром, а также некоторые документы, регулирующие взаимоотношения между работником и работодателем, не смотря на электронное согласование в итоге требуют юридического (пока - бумажного) подтверждения. В этом случае очень часто возникает проблема: документ в CЭД можно найти быстро, а вот для проверки наличия подписи руководителя нужно поднять бумажный экземпляр. На практике часто бывает ситуация, когда несколько руководителей, имеющих равные полномочия, не могут определить, подписал ли коллега конкретный документ.

Для решения этой проблемы при использовании CЭД документ может быть подписан как на бумаге, так и в электронном виде, что в дальнейшем позволит убедиться в его подписании, найдя документ в системе и не поднимая бумажный оригинал.

Территориально-удаленные подразделения. Некоторые предприятия, имеющие удаленные подразделения и филиалы, уже используют электронную почту для передачи документов (приказов, распоряжений и т.п.). Как правило, это выглядит следующим образом:

Документ создается в электронном виде;

Отправляется по электронной почте;

В удаленном подразделении вновь печатается.

При использовании системы электронного документооборота, имеющей средства распределенной работы и ЭЦП, процесс можно существенно упростить, сократив количество переводов документов из одного формата в другой:

Документ создается в электронном виде;

Отправляется средствами системы исполнителям;

Исполнитель получает подписанный ЭЦП документ.

Возможные проблемы и пути их решения

Однако, рассмотренные примеры - это идеальный вариант. В реальной жизни возникают объективные проблемы, которые приходится решать.

Соответствие бумажного и электронного документа

На данной стадии развития документооборота при взаимодействии с внешним миром перевод документов из электронного вида в бумажный и обратно происходят многократно. В этом случае за соответствие документов должен отвечать сотрудник, осуществивший перенос документа из одного формата в другой (печать или сканирование). Это может быть либо сотрудник, отвечающий за создание документа; либо секретарь, осуществляющий подготовку документов на подпись руководителю; либо специально выделенный для этого отдел (по сути - нотариат).

Заверение бумажного документа, как обычно, происходит подписью лица, проверившего соответствие, а достоверность электронного документа подтверждает его ЭЦП.

Руководитель - Секретарь - Компьютер

Есть также ситуации, нередкие на большинстве предприятий, когда непосредственно руководитель не использует постоянно в работе компьютер. Причем, это не всегда связано с тем, что руководитель не способен им пользоваться. Зачастую у руководителя просто нет времени на поиск документов, оформление заданий и анализ невыполненных поручений, даже если это оптимизировано в электронном виде. Для выполнения всех этих функций у него есть секретарь. Хотя в нужный момент руководитель при желании может обратиться к системе электронного документооборота и найти нужный документ или задание.

Кроме того, для большинства документов пока нужна живая подпись на бумажном экземпляре. Этот тоже достаточно трудоемкий процесс, который может занимать у руководителя до нескольких часов в день. Добавлять ему еще и функцию дублирование подписи на электронном документе совершенно нереально.

В этом случае остается одно: ЭЦП за руководителя будет ставить кто-то другой, например, секретарь. Причем ставить ЭЦП он должен только после того, как получит от руководителя подписанный бумажный документ и убедится, что содержимое бумажного и электронного документа соответствую друг другу.

На первый взгляд такое распределение функций кажется недопустимым, но при ближайшем рассмотрении ничего криминального тут нет. Ведь повсеместно существуют системы клиент-банк, где бухгалтер, проводя платеж, по сути заменяет электронным ключом подпись руководителя и печать на бумажном платежном поручении.

Неавтоматизированному руководителю (например, директору филиала) поступившие электронные документы секретарь распечатывает на бумаге, где ЭЦП, естественно, никак не видна. В этом случае в обязанности секретаря входит убедиться в наличии у электронного документа ЭПЦ, записать ее реквизиты (автор, дата и т.п.) на бумажном документе и заверить своей подписью.

Не вижу - значит нет

Конечно, психологический фактор сбросить со счетов нельзя. Человеку, привыкшему видеть на документе подпись руководителя, непросто будет привыкнуть только к пометкам секретаря на бумаге или информации об ЭЦП в СЭД. И вполне возможно, что первое время сотрудники будут требовать копии бумажных документов. Для устранения этой проблемы требуется только время и воля руководства.

Даже при использовании ЭЦП только внутри предприятия должен быть создан удостоверяющий центр, т.е. орган, выдающий ключи (сертификаты) подписей и обеспечивающий их достоверность.

Но данная проблема решается пожалуй даже проще, чем все остальные. Ведь для этого необходимо обучить администраторов работе со средствами ЭЦП, наделить их соответствующими полномочиями, определить порядок выдачи и отзыва ключей в соответствующей инструкции.

Очень многое в системе ЭДО основывается на доверии лицам, выполняющим определенные операции. Но это совершенно нормально, ведь оно необходимо и при бумажном документообороте. Только бумажный документооборот регулируется определенными общепринятыми правилами. Например, юридическую силу имеют только документ, скрепленные подписью и печатью, подписывать документы могут только определенные лица, печати изготавливают специализированные фирмы, которые отвечают за их уникальность и т.д. К возможным недостаткам этих правил все давно привыкли, а потому считают само собой разумеющимися. Например, давно известно, что подделать подпись и печать на бумаге гораздо проще, чем ЭЦП.

Для электронного документооборота правила существуют пока только в общем виде, причем "свежий" взгляд на них находит массу недостатков и возможных отклонений. Чтобы урегулировать их хотя бы внутри предприятия, необходимо принять "Положение об электронном документообороте предприятия".

Целью данного Положения будет являться регламентация основ применения в организации документов в электронной форме с использованием корпоративной системы электронного документооборота. Другими словами - это принимаемые внутри предприятия правила работы с электронными документами. В Положении, например, некоторые внутренние документы, подписанные ЭЦП, могут быть приравнены к бумажным документам, подписанным руководителем; статус удостоверяющего центра присвоен отделу ИТ и т.д.

Определенным шагом на пути повышения доверия к документам, подписанным ЭЦП может также стать использование сертифицированных средств ЭЦП.

Так стоит ли использовать ЭЦП?

Так что же получает предприятие, используя систему электронного документооборота с применением ЭЦП?

Возможность сократить бумажный документооборот за счет перевода части внутренних документов в электронный вид.

Ускорить прохождение документов за счет перевода движения документа в электронный формат.

Возможность не только быстро находить исходящие и внутренние документы и просматривать их содержимое, но и определять их правомерность по ЭЦП.

Конечно, все это возможно только при использовании на предприятии полноценной системы документооборота, включающей все необходимые стадии работы с документами: хранение и пересылку документов (в т.ч. с ЭЦП), регистрацию бумажных документов и ее связь с электронными аналогами. Причем большинство участников процесса должно иметь доступ к электронным документам, т.е. сами работать с системой ЭДО.

Для связи с внешним миром пока не утвержден общепринятый формат пересылки документа вместе с ЭЦП, и на данном этапе приходится для ускорения процесса по электронной почте посылать образ бумажного документа, а для обеспечения официального подтверждения вслед ему - бумажный оригинал.

Но электронный формат уже разрабатывается и закон об электронном документе уже готовится, так что переход к электронному документообороту между предприятиями не за горами. И есть смысл начать привыкать к этому новому средству - ЭЦП - внутри предприятия, чтобы уверенно начать его использовать в работе с партнерами.

Истомина Елена Сергеевна, компания DIRECTUM.http://www.docflow.ru/

положение об эцп на предприятии образец:

  • скачать
  • скачать
  • Другие статьи

    Положение об эцп на предприятии образец

    По вопросам консалтинга обращайтесь:

    Адрес: 127018, ул. Сущёвский вал, д. 18 (схема проезда ).

    Консультационные услуги по обеспечению деятельности удостоверяющих центров и применению ЭЦП

    Компания "КРИПТО-ПРО" является разработчиком и поставщиком средств применения электронной цифровой подписи (ЭЦП) в автоматизированных информационных системах. Используя накопленный богатый опыт разработки, внедрения и сопровождения средств применения ЭЦП, а также кадровый потенциал сотрудников компании, мы предлагаем консультационные услуги по обеспечению деятельности удостоверяющих центров и применению ЭЦП в автоматизированных информационных системах предприятий различных форм собственности.

    Одним из обязательных инструментов (средств) применения электронной цифровой подписи в соответствии с Федеральным законом "Об электронной цифровой подписи" (ФЗ № 1 от 10.01.2002 г.) является удостоверяющий центр.

    В соответствии с Федеральным законом "Об электронной цифровой подписи" под удостоверяющим центром понимается субъект права, являющегося носителем субъективных прав и юридических обязанностей в части:

    • Изготовления и выдачи ключей электронной цифровой подписи;
    • Изготовления и выдачи сертификатов ключей электронной цифровой подписи;
    • Регистрации владельцев сертификатов ключей электронной цифровой подписи;
    • Аннулирования, приостановления и возобновления действия сертификатов ключей электронной цифровой подписи;
    • Предоставления информации о действии сертификатов ключей электронной цифровой подписи;
    • Подтверждения подлинности электронных цифровых подписей.
    Разработка Регламента Удостоверяющего Центра

    Регламент Удостоверяющего центра - документ, который определяет механизмы и условия предоставления и пользования услугами Удостоверяющего Центра, включая обязанности и права Удостоверяющего центра и пользователей, принятые форматы данных, основные организационно технические мероприятия, необходимые для надежной и безопасной работы Удостоверяющего центра.

    Основное назначение Регламента является обеспечение неотказуемости пользователей УЦ от факта обладания сертификатами ключей подписи и соответствующими ключами подписи.

    Регламент Удостоверяющего центра может быть разработан как:

    • Организационный документ, утверждаемый руководителем предприятия, выполнение положений которого вменяется сотрудникам предприятия и лицам, присоединившимся к настоящему Регламенту (на основании заключения Договора присоединения к Регламенту Удостоверяющего центра) - Вариант №1;
    • Договор присоединения (в соответствии со статьей 428 Гражданского кодекса РФ) - Вариант №2.

    Удостоверяющий центр может осуществлять свою деятельность в отношении нескольких информационных автоматизированных систем. В данном случае для каждой системы разрабатывается Порядок предоставления и пользованиями услугами Удостоверяющего центра, который оформляется в виде приложения к Регламенту Удостоверяющего центра. Также в виде приложений приводятся образцы и формы использующихся документов.

    Регламент Удостоверяющего центра, разработанный по Варианту №1, целесообразно использовать для эксплуатации Удостоверяющего центра в рамках отдельного предприятия для нужд внутренних информационных автоматизированных систем. В тоже время, при выходе информационных систем за рамки отдельной организации или при возникновении необходимости интеграции с информационными автоматизированными системами иных компаний, действие Регламента на сторонние организации может распространяться посредством заключения Договора присоединения к Регламенту Удостоверяющего центра.

    Пример №1. Компания приобрела ПК "КриптоПро УЦ" для обеспечения защищенного, юридически значимого обмена почтовыми сообщениями исключительно для внутренних нужд. Регламент Удостоверяющего центра был разработан по Варианту №1. По мере роста и развития компании в систему защищенного обмена почтовыми сообщениями потребовалось включить компании-партнеры (например, для ускорения согласования проектов документов). Разработанный Договор присоединения к Регламенту Удостоверяющего центра позволил осуществить это в предельно короткие сроки и с минимальной затратой ресурсов компании.

    Регламент Удостоверяющего центра, выступающий в форме Договора присоединения, разрабатывается применительно к тем случаям, в которых деятельность Удостоверяющего центра изначально осуществляется для нужд стороннего пользователя - клиента.

    Пример №1. Владельцем Удостоверяющего центра, целевые функции которого реализованы с помощью ПК "КриптоПро УЦ", является организация, основная деятельность которой заключается в предоставлении услуг по изготовлению и управлению сертификатами открытых ключей пользователей.

    Пример №2. Владельцем Удостоверяющего центра, целевые функции которого реализованы с помощью ПК "КриптоПро УЦ", является Банк, который оказывает услуги по дистанционному управлению финансовыми средствами клиента (системы Банк-Клиент) с использованием средств ЭЦП и объектов Инфраструктуры Открытых Ключей.

    Разработка Положения об Удостоверяющем Центре и должностных инструкций сотрудников Удостоверяющего Центра

    Данные документы обеспечивают решение трудоправовых аспектов деятельности Удостоверяющего Центра в части разработки локальных нормативных актов.

    Состав документов приведен на рисунке ниже:

    Положение об Удостоверяющем Центре определяет статус, структуру, задачи, функции, права и обязанности, ответственность Удостоверяющего Центра, являющегося либо отдельным подразделением организации, либо рабочей группой в составе определенной структурной единицы предприятия. На основе Положения об Удостоверяющем Центре разрабатываются должностные инструкции сотрудников Удостоверяющего Центра, определяющие правовое положение сотрудников и устанавливающие функции, права, обязанности и ответственность должностных лиц.

    Основная цель создания обучающей инструкции заключена в самом названии - обучение сотрудников, что необходимо при поступлении на работу, назначении на новую должность, вменении в обязанность выполнения несвойственных ранее функций, отсутствия определенных знаний и навыков для эффективного выполнения должностных обязанностей, запланированного повышения квалификации сотрудников.

    Обучающая инструкция оформляется в виде приложения к соответствующей должностной инструкции и является тем документом, который призван помочь сотруднику в выполнении своих непосредственных обязанностей.

    Дополнительные положения и документы

    В процессе работы Удостоверяющего центра возможно возникновение конфликтных ситуаций, связанных с установлением подлинности электронной цифровой подписи в электронных документах. ООО "КриптоПро" обладает большим опытом по разработке организационно-распорядительных документов по организации и проведению указанных работ, которые в общем случае включают Положение об экспертной комиссии и Порядок проведения экспертиз применительно к информационным системам организации.

    Соглашение о применении ЭЦП в системах документооборота

    Данное соглашение необходимо для обеспечения юридической силы использования ЭЦП и ее признания ЭЦП судом, в случае возникновения спора.

    Соглашение обеспечивает принятие к исполнению документов в электронном виде, изготовленных при помощи средств вычислительной техники и подписанных электронно-цифровой подписью при соблюдении условий, предусмотренных этим соглашением.

    Стоимость информационно-консультационных услуг

    Стоимость информационно-консультационных услуг определяется исходя из конкретной реализации бизнес-процессов Заказчика и объема документов, сотавляющих организационную и распорядительную базу. Поэтому звоните и наши специалисты помогут Вам определиться с объемом работ и согласуют стоимость.

    OpenPGP в России

    Внедрение ЭЦП на предприятии

    Есть задача: дешево и сердито внедрить ЭЦП на предприятии, так чтобы каждому работнику (для кого это необходимо) выдавалась флэшка/токен, посредством которой он мог бы подписывать любые доки в любом ПО использующемся в работе предприятия (TDMS, 1C, прочее).
    Первично изучив проблематику, понял, что необходимы следующие действия:
    1) выбрать непосредственно ПО для ЭЦП (PGP, GnuPG. )
    2) интегрировать его в ПО предприятия
    3) сделать локальный удостоверяющий центр.

    если с первым пунктом все менее-более просто (но если кто подскажет или кинет линк на описание, как грузить ключи с флэшки, буду признателен!), то второй и третий вводят в ступор.
    Не сталкивался ли кто с проблемой подписания объектов в TDMS и 1C, а так же вопросом как создать удостоверяющий центр в рамках одного предприятия и возможно ли это в принципе?
    заранее спасибо!

    SATtva (07/06/2010 10:13) профиль/связь <#>
    комментариев: 11492 документов: 1034 редакций: 3999

    отпечаток ключа. FAEB26F7 8443620A

    Вы забыли четвёртый пункт: юридическое обеспечение работы системы.

    если кто подскажет или кинет линк на описание, как грузить ключи с флэшки, буду признателен!
    Вам не флешки нужны, а аппаратные криптоключи (aka смарткарты).

    как создать удостоверяющий центр в рамках одного предприятия и возможно ли это в принципе?
    Конечно возможно.

    а зачем юридическое обеспечение, если это вводится только внутри предприятия?
    З-н об ЭЦП гласит:
    Статья 17. Использование электронной цифровой подписи в корпоративной информационной системе
    2. Порядок использования электронных цифровых подписей в корпоративной информационной системе устанавливается решением владельца корпоративной информационной системы или соглашением участников этой системы.
    что захотим, то и примем за ЭЦП, то же самое и по ПО и аппаратуре.
    или Вы имеете ввиду написание внутреннего "Положения об использовании ЭЦП"?

    Про смарткарты понятно, что в идеале их. Но есть одно большое НО: стоимость! Посмотрел прайс е-токенов от Алладина – любая флэшка минимального объема будет в несколько раз дешевле.

    А можно поподробнее про удостоверяющий центр? Никакой инфы по его организации (средствами какого ПО), увы не нагуглил.

    SATtva (07/06/2010 14:16) профиль/связь <#>
    комментариев: 11492 документов: 1034 редакций: 3999

    отпечаток ключа. FAEB26F7 8443620A

    или Вы имеете ввиду написание внутреннего "Положения об использовании ЭЦП"?
    Именно это.

    Про смарткарты понятно, что в идеале их. Но есть одно большое НО: стоимость! Посмотрел прайс е-токенов от Алладина – любая флэшка минимального объема будет в несколько раз дешевле.
    Стоимость системы — это не только размер прямых изначальных инвестиций в аппарутуру, но и стоимость дальнейшей поддержки и прочие косвенные издержки (TCO). Смарткарты нынче поддерживаются "искаропки" любым крипто-софтом. Под флэшки же требуется налаживать свои костыли, которые не факт, что будут работать прозрачно-автоматически. Отсюда и постоянные консультации пользователей, отнимающие время специалистов, и утечка ключевого материала, которая будет неизбежно (как стикеры с паролями на мониторах).

    А можно поподробнее про удостоверяющий центр? Никакой инфы по его организации (средствами какого ПО), увы не нагуглил.
    УЦ — формально-юридическая структура (положение с набором формальных процедур) с корневым ключом. Его техническая сторона вообще не играет роли. Если основывать систему на базе PGP, то УЦ является интегральной частью PGP Universal Server'а. На GnuPG тоже можно построить нечто подобное.

    На форуме уже задавались подобные вопросы, или очень близкие, в том числе про УЦ своими средствами, на да ладно, SATtva лучше помнит.

    в том то и дело, что по УЦ для GPG ничего не могу найти – ни здесь, ни в гугле.
    поиск на форуме по запросам типа "удостоверяющий центр", "keyserver" и прочее ничего полезного не выдает. так что, если укажете что/где искать буду благодарен!

    SATtva (08/06/2010 11:42) профиль/связь <#>
    комментариев: 11492 документов: 1034 редакций: 3999

    отпечаток ключа. FAEB26F7 8443620A

    так, примерно представил обилие трудностей при развертывании всей этой системы. в связи с этим возник вопрос: а что бы Вы, уважаемый SATtva (да и все остальные), посоветовали для вышеозначенных целей, включая платные аналоги? ибо бесплатные версии выливаются в человеко-часы на изучение нового ПО и, как уже правильно писали, на дальнейшую поддержку.
    при этом надо учесть, что в первую очередь вся эта каша с ЭЦП заваривается для подписания конструкторской документаций (читай: СЭД), а полазав по форуму наткнулся на следующее https://www.pgpru.com/forum/pg. dmin/helpdiplompopgp
    получается PGP для встраивания плох и платный, а GPG бесплатен, но чтоб привинтить к нему адекватный key server и настроить всё это надо немало времени, я правильно понимаю? где золотая середина?

    SATtva (11/06/2010 11:54) профиль/связь <#>
    комментариев: 11492 документов: 1034 редакций: 3999

    отпечаток ключа. FAEB26F7 8443620A

    Ваши выводы верны. Насчёт того, что PGP плох, я бы не согласился — есть SDK, но, как Вы заметили, все эти радости стоят денег. Помимо, собственно, GnuPG есть разрабатываемые совместно с ним библиотеки типа gpgme (аналог PGP SDK), которые больше подходят для встраивания, чем консольная утилита. Также GnuPG поддерживает смарт-карты; если так уж не хочется с ними связываться, то с GnuPG организовать хранение ключей на флэшке значительно проще (я вообще не уверен, что с последними версиями PGP это возможно сделать). Использовать для хранения ключей готовый сервер ключей (тем более синхронизирующий, типа SKS) не обязательно, можно реализовать собственный с минимум затрат на любом языке — смотрите описание протокола HKP в технической документации GnuPG (/src/DETAILS). Таким образом, особых преимуществ PGP в техническом аспекте нет.

    О совсем "искоробочных" решениях мне неизвестно.

    Gulmira (20/07/2011 17:58, исправлен 21/07/2011 09:24) профиль/связь <#>
    комментариев: 1 документов: 0 редакций: 0

    стоит задача внедрения ЭЦП на предприятии. Внедрена корпоративная СЭД Lotus Domino.
    Мне как менеджеру проекта нужно спланировать проект. Но чтобы найти поставщика услуги, который сделает предпроектное обследование, и составит ТЗ на проект, в котором будет:
    1. Рекомендует сертифицированные средства электронной цифровой подписи

    2. переработает Положение о системе корпоративного документооборота, в котором, в частности, будет строго определено следующее:

    используемые средства ЭЦП;

    порядок обращения с ключевой информацией;

    порядок отзыва компрометированных ключей;

    порядок разбора конфликтных ситуаций;

    форматы электронных документов, допустимые к обращению в системе, и программные средства, используемые для их обработки.

    3. разработает Положение о конфиденциальной информации, в котором, в частности, будет строго определено следующее:

    •классификация информации по степеням конфиденциальности;
    •разграничение доступа к тем или иным видам информации;
    •необходимость шифрования тех или иных видов информации при обращении ее в тех или иных сетях;
    •используемые средства шифрования, если есть необходимость в шифровании.

    4. Согласует все положения с Законодательной базой государства
    5. Даст рекомендации по выбору ПО.
    6. Внедрит ЭЦП

    Но чтобы выбрать этого самого поставщика мне нужно понять, какие требования ему выставить. А для этого мне надо понимать что с чем едят и в каком порядке:

    1. Lotus Domino есть.
    2. для внедрения ЭЦП компании необходимо приобрести СКЗИ, которые будут обеспечивать криптографическую защиту всем эл.документам компании, которые подлежат ЭЦП, причем Locker Lotus Domino будет обеспечивать взаимодействие с СКЗИ.
    3. Приобрести в УЦ сертификаты.
    4. Выбрать носители закрытых ключей (они же сертификаты) – лучше смарткарты ил уже удостоверения личности с чипом?

    Правильно ли я рассуждаю?