Воскресенье, 27.05.2018, 12:01
Приветствую Вас, Гость!

Бизнес-эксперт
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Модератор форума: Директор  
Форум » ОБСУДИМ? » ОТ в аттестующей организации » ЭПЦ. Как работать правильно?
ЭПЦ. Как работать правильно?
СамарчанкаДата: Среда, 21.02.2018, 15:30 | Сообщение # 1
Группа: Администраторы
Сообщений: 354
Статус: Offline
Надеюсь наш коллега откликнется на мою просьбе и поделится своим опытом.
А мы прислушаемся, поспрашиваем. Глядишь и нам будет чего добавить, когда успокоимся?
 
avshaДата: Среда, 21.02.2018, 17:09 | Сообщение # 2
Группа: Пользователи
Сообщений: 107
Статус: Offline
Поскольку, в 2017 г. вышли изменения к Критериям Аккредитации в части ведения архива (п. 23.7 и)), то необходимо как-то описать порядок ведения электронного архива с учетом изменений.
Строго говоря, в Критериях не написано по этому поводу ничего, кроме обязанности иметь правила хранения и архивирования "... предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью... в том числе документов, предоставленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче".
То есть ведение электронного архива - целиком творчество тех, кто на это осмелился. Основное требование - усиленная ЭЦП и срок 3 года.

В исходной версии РК у нас было описано ведение электронного архива совместно с бумажным архивом. Цели полностью все перевести в электронный вид не ставилось, поскольку хотелось оставить себе возможности для маневра.
Электронный архив изначально организовывался для хранения протоколов испытаний, входящих заявок Заказчиков, журналов ИЛ, ведущихся в электронном виде и т.п. Фактически это были сканированные в формате PDF/А документы, протоколы сканировались уже подписанные и с печатью.

По выходу изменений в Критерии в части п.23.7 и) встал вопрос с использованием усиленных квалифицированных электронных подписей для электронного архива.
Поскольку, для ФГИС РА мы делали подобные подписи, логичным решением было использовать уже существующие ЭЦП.
В комплекте для установки доступа во ФГИС РА был приобретен программный комплекс VipNet CryptoFile, который позволяет подписывать файлы ЭЦП даже из контекстного меню Windows при клике правой кнопки мыши на файл. Возможно пакетное подписание нескольких файлов, если их выделить мышью в окне.
Подписывать надо непременно с прикреплением подписи к самому файлу, в финале выдается подписанный файл с расширением .sig.

Для того, чтобы получить доступ к подписанному файлу и открепить подпись, необходимо использовать именно эту ЭЦП, иначе не раскрыть содержимое файла.
Что делать, если закончится действие сертификата ЭЦП? Я звонил в VipNet, там сказали, что, при продлении сертификата данная подпись остается пригодной, ею можно продолжать подписывать файлы и откреплять подпись с уже подписанных.
У нас ответственный за ведение данной процедуры - Руководитель ИЛ. Дешево и сердито, не нужно оформлять отдельную УЭЦП еще кому-то. Тем более, если дело касается протоколов проведенных испытаний, то тут соблюдается и конфиденциальность.

Фактически, процедура работы с архивом состоит из следующих этапов:
1. Формирование набора документов, передающихся в электронный архив. Определение сроков хранения (для входящих документов от Заказчиков - 3 года минимум)
2. Перевод документов в электронный вид (если они еще не в этом формате), их поименование
3. Формирование электронных дел - папок с набором электронных документов, их поименование.
4. Подписывание документов усиленной ЭЦП.
5. Создание описи документов в виде файла txt
6. Создание архивных контейнеров в виде rar или zip файлов.
7. Перенос архивных контейнеров на внешний носитель (компакт-диск, флэш-диск или внешний HDD диск) - это опционально.
8. Фиксация факта внесения документов в электронный архив в журнале.

Смежной темой с ведением электронного архива является резервное копирование информации в электронном виде. В ходе резервного копирования можно сохранять и электронный архив.
У нас архив хранится на компьютере Руководителя ИЛ и дублируется при резервном копировании.
 
ДиректорДата: Среда, 21.02.2018, 17:38 | Сообщение # 3
Группа: Администраторы
Сообщений: 2632
Статус: Offline
А резервное копирование делаете на тот же комп (руководителя ИЛ)? Нам на одной из проверок сказали, что надо подстраховаться на случай, если "основной" комп с архивом гикнется. Мы тогда стали копировать на съемный жесткий диск...

Говорю, что думаю, и думаю, что говорю...
 
avshaДата: Среда, 21.02.2018, 17:48 | Сообщение # 4
Группа: Пользователи
Сообщений: 107
Статус: Offline
Цитата Директор ()
резервное копирование делаете на тот же комп (руководителя ИЛ)


Резервное копирование на внешний жесткий диск делаем.
 
Mihail83Дата: Среда, 21.02.2018, 18:14 | Сообщение # 5
Группа: Пользователи
Сообщений: 199
Статус: Offline
Цитата avsha ()
Резервное копирование на внешний жесткий диск делаем.
а вариант с облачными хранилищами не рассматривали?
 
darimavictorovnaДата: Четверг, 22.02.2018, 05:14 | Сообщение # 6
Группа: Пользователи
Сообщений: 88
Статус: Offline
Цитата Mihail83 ()
а вариант с облачными хранилищами не рассматривали?

Я не сильна в компьютерных штучках, но спрошу. Если хранить данные в облачных хранилищах, то вряд ли их можно обезопасить от взлома и несанкционированного внесения изменений? Я понимаю, что будет пароль. А так если на внешнем носителе, то безопасность можно обеспечить пятью замками и десятью паролями. Если я не права, то напишите почему, потому что очень интересно.


Сообщение отредактировал darimavictorovna - Четверг, 22.02.2018, 05:15
 
avshaДата: Четверг, 22.02.2018, 09:46 | Сообщение # 7
Группа: Пользователи
Сообщений: 107
Статус: Offline
Цитата Mihail83 ()
а вариант с облачными хранилищами не рассматривали?


Вы знаете, я думал про такой вариант еще пару лет назад. Что-нибудь выдумать с Яндекс диском, например, там же можно пару сотен гигабайт заполучить бесплатно. Но! Все это работает только при работающем интернете! Без него вы банально не получите доступ к информации, в отличие от ситуации с применением внешних источников информации (флэшки, переносные HDD, компакт-диски).

Вопрос другой: для архива, или для резервного копирования?
Думаю, что облачное хранилище, как минимум, вполне пригодно для резервного копирования.
Проблема: прописать все так, чтобы удовлетворяло требованиям сохранности и конфиденциальности.

Цитата darimavictorovna ()
Если хранить данные в облачных хранилищах, то вряд ли их можно обезопасить от взлома и несанкционированного внесения изменений?

В случае применения Яндекс-диска есть два варианта организации резервного копирования:
1) Есть автоматическая синхронизация. То есть что-то изменяешь в папке на жестком диске, то все так же изменяется в "облаке".
Несанкционированный доступ к этой информации можно обеспечить жестким доступом к компьютеру через пароль, либо ключ-флэшку, без которой компьютер просто не включить.
2) При резервном копировании вручную (благо, это нечасто), можно каждый раз вводить логин и пароль к аккаунту Яндекс, проводить копирование и выходить из аккаунта.

А если говорить глобально, то взлом из интернета предотвращается только физическим отключением интернета на данном компьютере. Количество паролей роли не играет, если кто-то задастся целью взломать, с 99 % вероятностью он это сделает.


Сообщение отредактировал avsha - Четверг, 22.02.2018, 09:50
 
СамарчанкаДата: Четверг, 22.02.2018, 10:56 | Сообщение # 8
Группа: Администраторы
Сообщений: 354
Статус: Offline
Какая у нас интересная тема получается!
АVSHA, Вы просто находка для форума.
Цитата avsha ()
Есть автоматическая синхронизация. То есть что-то изменяешь в папке на жестком диске, то все так же изменяется в "облаке"
Автоматическая синхронизация - это как? Принцип понятен, а вот как это реально сделать? И можно ли автоматическую синхронизацию применить в внешнему носителю информации? Например, я вношу изменение в архив. Решила это сделать, воткнула флешку, диск с резервной копией... и что должна сделать, чтобы автоматом изменения в архиве перешли на съемный носитель в резервную копию? Я-то по стариковски - сначала меняем в архиве, потом измененную копию - на съемный носитель... Может проще можно?
 
avshaДата: Четверг, 22.02.2018, 11:56 | Сообщение # 9
Группа: Пользователи
Сообщений: 107
Статус: Offline
Да, для сомневающихся насчет безопасности от взлома. Не знаю как насчет других файлохранилищ, но Яндекс диск работает через протокол https (https://ru.wikipedia.org/wiki/HTTPS). Считается, что данный протокол гарантирует безопасность данных. Как правило, сайты банков и доступы в интернет-банки тоже реализованы через этот протокол.
Файлы при загрузке автоматически проверяются на наличие вирусов.

Насчет синхронизации с внешним носителем информации.
Автоматическая синхронизация работает только на компьютере с установленным приложением Яндекс диска.
Можно синхронизировать именно по старинке - простым копированием. Я так и делаю на внешний жесткий диск на 1 терабайт, хватит надолго.
Для синхронизации с внешним носителем можно использовать сторонние бесплатные программы, например, https://www.freefilesync.org/. Попробую ее сам и опишу свои впечатления.
 
ЕленарукДата: Четверг, 22.02.2018, 21:27 | Сообщение # 10
Группа: Пользователи
Сообщений: 255
Статус: Offline
avsha, большое спасибо, что делитесь информацией.

Мы тоже собирались внедрить архив в виде сканов подписанных документов, переведенных в формат PDF (таким образом можно получить один файл для документа, если он состоит из нескольких страниц), но лихорадка с ПК и прочее несколько затормозили процесс.
Я попросила своего сотрудника начать изучать детали. Пока в самой процедуре досконально не разбираюсь, мои комментарии с его слов, может быть, что-то еще не до конца понимаем.

1)
Цитата avsha ()
Поскольку, для ФГИС РА мы делали подобные подписи, логичным решением было использовать уже существующие ЭЦП.В комплекте для установки доступа во ФГИС РА был приобретен программный комплекс VipNet CryptoFile, который позволяет подписывать файлы ЭЦП даже из контекстного меню Windows при клике правой кнопки мыши на файл. Возможно пакетное подписание нескольких файлов, если их выделить мышью в окне.


Мы тоже решили использовать УКП, которая есть у Руководителя ИЛ. Можно подписывать файл любого формата, потому что, если
2)
Цитата avsha ()
Подписывать надо непременно с прикреплением подписи к самому файлу, в финале выдается подписанный файл с расширением .sig.

Такой формат дает возможность открывать подписанный УКП файл формата PDF, даже без извлечения самого файла. Если необходимо просмотреть файл другого формата, то можно из контекстного меню Windows при клике правой кнопки мыши на файл (VIPNETCryptofile/Извлечь и проверить подпись) получить опять отдельно исходный файл для просмотра (в нем не будет подписи). При этом файл с подписью останется неизменным.

3) Важно также понимать, что только данная процедура, а не использование возможностей, встроенных в программы Офиса Майкрософт для создания ЭЦП, дают возможность проверить подлинность подписи средствами VIPNET, даже если Вы используете свою УКП.

4)
Цитата avsha ()
Для того, чтобы получить доступ к подписанному файлу и открепить подпись, необходимо использовать именно эту ЭЦП, иначе не раскрыть содержимое файла

Avsha, не совсем понятно, что Вы имели в виду, т.к. для получения доступа к подписанному файлу с прикрепленной подписью не требуется наличие даже действующего сертификата ключа. Открытие такого файла, т.е. извлечение файла и проверка подлинности подписи проводится программными средствами VIPNET CSP и не привязано к ключу. В самом подписанном файле находится информация, достаточная для проверки (возможно, открытый ключ, надо уточнить, что именно). Для проверки подлинности достаточно самого файла (для получения значения хэш-функции) и открытого ключа. Проверка привязано только к версии программ, но там должна быть предусмотрена преемственность для старых версий.

5)
Цитата avsha ()
Что делать, если закончится действие сертификата ЭЦП? Я звонил в VipNet, там сказали, что, при продлении сертификата данная подпись остается пригодной, ею можно продолжать подписывать файлы и откреплять подпись с уже подписанных

Да, если действие сертификата ключа закончилось, то Вы можете проверять ранее подписанные файлы (см. п.4), но уже не сможете этим ключом подписывать новые файлы. Он уже не будет действительным.
Но Вы получаете как продление старого новый сертификат ключа, новый носитель данных (например, спец флэшку) и далее на очередной год у Вас действующий ключ. По крайней мере у нас забрали старую флэшку и выдали новую.

5) Мне еще кажется важным предусмотреть возможность нанесения текста в рамке на документ (в виде изображения), который подписан УКП. Такая возможность есть в Законе об ЭЦП.

Мой сотрудник уже начал создавать рабочую систему для использования этих возможностей для ИЛ, но тут пришла беда от ФСА, которую не ждали, поэтому сейчас переориентировались на другое.
Было бы здорово, если бы avsha и другие, кто разбирается в данном вопросе, продолжили бы это дело. Мы обязательно вернемся, но позже.


Сообщение отредактировал Еленарук - Пятница, 23.02.2018, 14:32
 
ДиректорДата: Суббота, 24.02.2018, 11:46 | Сообщение # 11
Группа: Администраторы
Сообщений: 2632
Статус: Offline
Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП?

Говорю, что думаю, и думаю, что говорю...
 
snobikiДата: Понедельник, 26.02.2018, 06:41 | Сообщение # 12
Группа: Пользователи
Сообщений: 29
Статус: Offline
Цитата Директор ()
Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП?

При продлении ключа от Вас запросят паспорт и СНИЛС владельца, а отправка документов без его ведома уже нарушение закона. И чтобы получить ключ вместо владельца нужна доверенность (если вы не продлеваете его онлайн).
 
avshaДата: Понедельник, 26.02.2018, 09:35 | Сообщение # 13
Группа: Пользователи
Сообщений: 107
Статус: Offline
Цитата Директор ()
Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП?


Не, так нельзя делать, я думаю. Ведь, фактически, по ЭЦП вы можете получить доступ к личным данным человека на госуслугах.
Интересно другое: можно ли открепить подпись от файла, если просрочена эта ЭЦП (просрочен сертификат)?

Радикальный метод: полная расшифровка всех данных по действующему ключу старого завлаба, переподписание по новой ЭЦП нового завлаба. Ну, там по какому-нибудь внутрилабораторному акту, например. Программа VipNet позволяет как пакетно подписывать файлы, так и откреплять подпись.

Цитата snobiki ()
При продлении ключа от Вас запросят паспорт и СНИЛС владельца, а отправка документов без его ведома уже нарушение закона. И чтобы получить ключ вместо владельца нужна доверенность (если вы не продлеваете его онлайн).

Это вообще не проблема для директора организации. Копия паспорта, СНИЛС, тем более доверенность...


Сообщение отредактировал avsha - Понедельник, 26.02.2018, 09:54
 
snobikiДата: Понедельник, 26.02.2018, 10:21 | Сообщение # 14
Группа: Пользователи
Сообщений: 29
Статус: Offline
Цитата avsha ()
Это вообще не проблема для директора организации. Копия паспорта, СНИЛС, тем более доверенность...

Я не говорю что это проблема. Это нарушение закона.
 
Mihail83Дата: Понедельник, 26.02.2018, 18:45 | Сообщение # 15
Группа: Пользователи
Сообщений: 199
Статус: Offline
Цитата Самарчанка ()
Какая у нас интересная тема получается!
АVSHA, Вы просто находка для форума.
Интересная и весьма актуальная.
Предполагаемое развитие событий. Приходит проверяющий, даешь ему архив в электронном виде. И сколько он готов "проверять" глядя на экран? ))) Это я бы назвал практичным решением вопроса.

Цитата avsha ()
Но! Все это работает только при работающем интернете!
Не совсем так. Без интернета не будет только синхронизации, а вот ее (или как это названо "резервное копирование") можно и не каждый день делать. В крайнем случае я пользовался для экстренной связи мобильным интернетом, сейчас тарифы позволяют разово синхронизировать весьма большие объемы информации.

Цитата avsha ()
Несанкционированный доступ к этой информации можно обеспечить жестким доступом к компьютеру через пароль, либо ключ-флэшку, без которой компьютер просто не включить.
На мой взгляд - это самый хороший способ. "Бесследно" пройти такую защиту очень сложно, а без применения "специальных навыков" - просто невозможно.

Цитата Директор ()
если ключ оформлен на зав.лаба, а тот уволился
То, на мой взгляд, не стоит ничего "переподписывать". Никто же не переиздает приказы по лаборатории от имени нового зав лаба, тут та же логика. Сначала подпись "старого" зав лаба, с момента вступления в должность - нового, в промежутке (если уж подходить совсем формально) - подпись ОИ зав лаба.
 
Форум » ОБСУДИМ? » ОТ в аттестующей организации » ЭПЦ. Как работать правильно?
  • Страница 1 из 3
  • 1
  • 2
  • 3
  • »
Поиск:

Все права защищены © 2009 - 2018
Сообщество экспертов по охране труда