ЭПЦ. Как работать правильно?
| |
Самарчанка | Дата: Среда, 21.02.2018, 15:30 | Сообщение # 1 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Надеюсь наш коллега откликнется на мою просьбе и поделится своим опытом. А мы прислушаемся, поспрашиваем. Глядишь и нам будет чего добавить, когда успокоимся?
|
|
| |
avsha | Дата: Среда, 21.02.2018, 17:09 | Сообщение # 2 |
Группа: Пользователи
Сообщений: 183
Статус: Offline
| Поскольку, в 2017 г. вышли изменения к Критериям Аккредитации в части ведения архива (п. 23.7 и)), то необходимо как-то описать порядок ведения электронного архива с учетом изменений. Строго говоря, в Критериях не написано по этому поводу ничего, кроме обязанности иметь правила хранения и архивирования "... предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью... в том числе документов, предоставленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче". То есть ведение электронного архива - целиком творчество тех, кто на это осмелился. Основное требование - усиленная ЭЦП и срок 3 года.
В исходной версии РК у нас было описано ведение электронного архива совместно с бумажным архивом. Цели полностью все перевести в электронный вид не ставилось, поскольку хотелось оставить себе возможности для маневра. Электронный архив изначально организовывался для хранения протоколов испытаний, входящих заявок Заказчиков, журналов ИЛ, ведущихся в электронном виде и т.п. Фактически это были сканированные в формате PDF/А документы, протоколы сканировались уже подписанные и с печатью.
По выходу изменений в Критерии в части п.23.7 и) встал вопрос с использованием усиленных квалифицированных электронных подписей для электронного архива. Поскольку, для ФГИС РА мы делали подобные подписи, логичным решением было использовать уже существующие ЭЦП. В комплекте для установки доступа во ФГИС РА был приобретен программный комплекс VipNet CryptoFile, который позволяет подписывать файлы ЭЦП даже из контекстного меню Windows при клике правой кнопки мыши на файл. Возможно пакетное подписание нескольких файлов, если их выделить мышью в окне. Подписывать надо непременно с прикреплением подписи к самому файлу, в финале выдается подписанный файл с расширением .sig.
Для того, чтобы получить доступ к подписанному файлу и открепить подпись, необходимо использовать именно эту ЭЦП, иначе не раскрыть содержимое файла. Что делать, если закончится действие сертификата ЭЦП? Я звонил в VipNet, там сказали, что, при продлении сертификата данная подпись остается пригодной, ею можно продолжать подписывать файлы и откреплять подпись с уже подписанных. У нас ответственный за ведение данной процедуры - Руководитель ИЛ. Дешево и сердито, не нужно оформлять отдельную УЭЦП еще кому-то. Тем более, если дело касается протоколов проведенных испытаний, то тут соблюдается и конфиденциальность.
Фактически, процедура работы с архивом состоит из следующих этапов: 1. Формирование набора документов, передающихся в электронный архив. Определение сроков хранения (для входящих документов от Заказчиков - 3 года минимум) 2. Перевод документов в электронный вид (если они еще не в этом формате), их поименование 3. Формирование электронных дел - папок с набором электронных документов, их поименование. 4. Подписывание документов усиленной ЭЦП. 5. Создание описи документов в виде файла txt 6. Создание архивных контейнеров в виде rar или zip файлов. 7. Перенос архивных контейнеров на внешний носитель (компакт-диск, флэш-диск или внешний HDD диск) - это опционально. 8. Фиксация факта внесения документов в электронный архив в журнале.
Смежной темой с ведением электронного архива является резервное копирование информации в электронном виде. В ходе резервного копирования можно сохранять и электронный архив. У нас архив хранится на компьютере Руководителя ИЛ и дублируется при резервном копировании.
|
|
| |
Директор | Дата: Среда, 21.02.2018, 17:38 | Сообщение # 3 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| А резервное копирование делаете на тот же комп (руководителя ИЛ)? Нам на одной из проверок сказали, что надо подстраховаться на случай, если "основной" комп с архивом гикнется. Мы тогда стали копировать на съемный жесткий диск...
Говорю, что думаю, и думаю, что говорю...
|
|
| |
avsha | Дата: Среда, 21.02.2018, 17:48 | Сообщение # 4 |
Группа: Пользователи
Сообщений: 183
Статус: Offline
| Цитата Директор ( ) резервное копирование делаете на тот же комп (руководителя ИЛ)
Резервное копирование на внешний жесткий диск делаем.
|
|
| |
Mihail83 | Дата: Среда, 21.02.2018, 18:14 | Сообщение # 5 |
Группа: Пользователи
Сообщений: 218
Статус: Offline
| Цитата avsha ( ) Резервное копирование на внешний жесткий диск делаем. а вариант с облачными хранилищами не рассматривали?
|
|
| |
darimavictorovna | Дата: Четверг, 22.02.2018, 05:14 | Сообщение # 6 |
Группа: Пользователи
Сообщений: 393
Статус: Offline
| Цитата Mihail83 ( ) а вариант с облачными хранилищами не рассматривали? Я не сильна в компьютерных штучках, но спрошу. Если хранить данные в облачных хранилищах, то вряд ли их можно обезопасить от взлома и несанкционированного внесения изменений? Я понимаю, что будет пароль. А так если на внешнем носителе, то безопасность можно обеспечить пятью замками и десятью паролями. Если я не права, то напишите почему, потому что очень интересно.
Сообщение отредактировал darimavictorovna - Четверг, 22.02.2018, 05:15 |
|
| |
avsha | Дата: Четверг, 22.02.2018, 09:46 | Сообщение # 7 |
Группа: Пользователи
Сообщений: 183
Статус: Offline
| Цитата Mihail83 ( ) а вариант с облачными хранилищами не рассматривали?
Вы знаете, я думал про такой вариант еще пару лет назад. Что-нибудь выдумать с Яндекс диском, например, там же можно пару сотен гигабайт заполучить бесплатно. Но! Все это работает только при работающем интернете! Без него вы банально не получите доступ к информации, в отличие от ситуации с применением внешних источников информации (флэшки, переносные HDD, компакт-диски).
Вопрос другой: для архива, или для резервного копирования? Думаю, что облачное хранилище, как минимум, вполне пригодно для резервного копирования. Проблема: прописать все так, чтобы удовлетворяло требованиям сохранности и конфиденциальности.
Цитата darimavictorovna ( ) Если хранить данные в облачных хранилищах, то вряд ли их можно обезопасить от взлома и несанкционированного внесения изменений? В случае применения Яндекс-диска есть два варианта организации резервного копирования: 1) Есть автоматическая синхронизация. То есть что-то изменяешь в папке на жестком диске, то все так же изменяется в "облаке". Несанкционированный доступ к этой информации можно обеспечить жестким доступом к компьютеру через пароль, либо ключ-флэшку, без которой компьютер просто не включить. 2) При резервном копировании вручную (благо, это нечасто), можно каждый раз вводить логин и пароль к аккаунту Яндекс, проводить копирование и выходить из аккаунта.
А если говорить глобально, то взлом из интернета предотвращается только физическим отключением интернета на данном компьютере. Количество паролей роли не играет, если кто-то задастся целью взломать, с 99 % вероятностью он это сделает.
Сообщение отредактировал avsha - Четверг, 22.02.2018, 09:50 |
|
| |
Самарчанка | Дата: Четверг, 22.02.2018, 10:56 | Сообщение # 8 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Какая у нас интересная тема получается! АVSHA, Вы просто находка для форума.
Цитата avsha ( ) Есть автоматическая синхронизация. То есть что-то изменяешь в папке на жестком диске, то все так же изменяется в "облаке" Автоматическая синхронизация - это как? Принцип понятен, а вот как это реально сделать? И можно ли автоматическую синхронизацию применить в внешнему носителю информации? Например, я вношу изменение в архив. Решила это сделать, воткнула флешку, диск с резервной копией... и что должна сделать, чтобы автоматом изменения в архиве перешли на съемный носитель в резервную копию? Я-то по стариковски - сначала меняем в архиве, потом измененную копию - на съемный носитель... Может проще можно?
|
|
| |
avsha | Дата: Четверг, 22.02.2018, 11:56 | Сообщение # 9 |
Группа: Пользователи
Сообщений: 183
Статус: Offline
| Да, для сомневающихся насчет безопасности от взлома. Не знаю как насчет других файлохранилищ, но Яндекс диск работает через протокол https (https://ru.wikipedia.org/wiki/HTTPS). Считается, что данный протокол гарантирует безопасность данных. Как правило, сайты банков и доступы в интернет-банки тоже реализованы через этот протокол. Файлы при загрузке автоматически проверяются на наличие вирусов.
Насчет синхронизации с внешним носителем информации. Автоматическая синхронизация работает только на компьютере с установленным приложением Яндекс диска. Можно синхронизировать именно по старинке - простым копированием. Я так и делаю на внешний жесткий диск на 1 терабайт, хватит надолго. Для синхронизации с внешним носителем можно использовать сторонние бесплатные программы, например, https://www.freefilesync.org/. Попробую ее сам и опишу свои впечатления.
|
|
| |
Еленарук | Дата: Четверг, 22.02.2018, 21:27 | Сообщение # 10 |
Группа: Пользователи
Сообщений: 696
Статус: Offline
| avsha, большое спасибо, что делитесь информацией.
Мы тоже собирались внедрить архив в виде сканов подписанных документов, переведенных в формат PDF (таким образом можно получить один файл для документа, если он состоит из нескольких страниц), но лихорадка с ПК и прочее несколько затормозили процесс. Я попросила своего сотрудника начать изучать детали. Пока в самой процедуре досконально не разбираюсь, мои комментарии с его слов, может быть, что-то еще не до конца понимаем.
1)Цитата avsha ( ) Поскольку, для ФГИС РА мы делали подобные подписи, логичным решением было использовать уже существующие ЭЦП.В комплекте для установки доступа во ФГИС РА был приобретен программный комплекс VipNet CryptoFile, который позволяет подписывать файлы ЭЦП даже из контекстного меню Windows при клике правой кнопки мыши на файл. Возможно пакетное подписание нескольких файлов, если их выделить мышью в окне.
Мы тоже решили использовать УКП, которая есть у Руководителя ИЛ. Можно подписывать файл любого формата, потому что, если 2)Цитата avsha ( ) Подписывать надо непременно с прикреплением подписи к самому файлу, в финале выдается подписанный файл с расширением .sig. Такой формат дает возможность открывать подписанный УКП файл формата PDF, даже без извлечения самого файла. Если необходимо просмотреть файл другого формата, то можно из контекстного меню Windows при клике правой кнопки мыши на файл (VIPNETCryptofile/Извлечь и проверить подпись) получить опять отдельно исходный файл для просмотра (в нем не будет подписи). При этом файл с подписью останется неизменным.
3) Важно также понимать, что только данная процедура, а не использование возможностей, встроенных в программы Офиса Майкрософт для создания ЭЦП, дают возможность проверить подлинность подписи средствами VIPNET, даже если Вы используете свою УКП.
4) Цитата avsha ( ) Для того, чтобы получить доступ к подписанному файлу и открепить подпись, необходимо использовать именно эту ЭЦП, иначе не раскрыть содержимое файла Avsha, не совсем понятно, что Вы имели в виду, т.к. для получения доступа к подписанному файлу с прикрепленной подписью не требуется наличие даже действующего сертификата ключа. Открытие такого файла, т.е. извлечение файла и проверка подлинности подписи проводится программными средствами VIPNET CSP и не привязано к ключу. В самом подписанном файле находится информация, достаточная для проверки (возможно, открытый ключ, надо уточнить, что именно). Для проверки подлинности достаточно самого файла (для получения значения хэш-функции) и открытого ключа. Проверка привязано только к версии программ, но там должна быть предусмотрена преемственность для старых версий.
5) Цитата avsha ( ) Что делать, если закончится действие сертификата ЭЦП? Я звонил в VipNet, там сказали, что, при продлении сертификата данная подпись остается пригодной, ею можно продолжать подписывать файлы и откреплять подпись с уже подписанных Да, если действие сертификата ключа закончилось, то Вы можете проверять ранее подписанные файлы (см. п.4), но уже не сможете этим ключом подписывать новые файлы. Он уже не будет действительным. Но Вы получаете как продление старого новый сертификат ключа, новый носитель данных (например, спец флэшку) и далее на очередной год у Вас действующий ключ. По крайней мере у нас забрали старую флэшку и выдали новую.
5) Мне еще кажется важным предусмотреть возможность нанесения текста в рамке на документ (в виде изображения), который подписан УКП. Такая возможность есть в Законе об ЭЦП.
Мой сотрудник уже начал создавать рабочую систему для использования этих возможностей для ИЛ, но тут пришла беда от ФСА, которую не ждали, поэтому сейчас переориентировались на другое. Было бы здорово, если бы avsha и другие, кто разбирается в данном вопросе, продолжили бы это дело. Мы обязательно вернемся, но позже.
Сообщение отредактировал Еленарук - Пятница, 23.02.2018, 14:32 |
|
| |
Директор | Дата: Суббота, 24.02.2018, 11:46 | Сообщение # 11 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП?
Говорю, что думаю, и думаю, что говорю...
|
|
| |
snobiki | Дата: Понедельник, 26.02.2018, 06:41 | Сообщение # 12 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата Директор ( ) Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП? При продлении ключа от Вас запросят паспорт и СНИЛС владельца, а отправка документов без его ведома уже нарушение закона. И чтобы получить ключ вместо владельца нужна доверенность (если вы не продлеваете его онлайн).
|
|
| |
avsha | Дата: Понедельник, 26.02.2018, 09:35 | Сообщение # 13 |
Группа: Пользователи
Сообщений: 183
Статус: Offline
| Цитата Директор ( ) Коллеги, если ключ оформлен на зав.лаба, а тот уволился? Продление ключа, полученного на его имя не противоречит закону об ЭЦП?
Не, так нельзя делать, я думаю. Ведь, фактически, по ЭЦП вы можете получить доступ к личным данным человека на госуслугах. Интересно другое: можно ли открепить подпись от файла, если просрочена эта ЭЦП (просрочен сертификат)?
Радикальный метод: полная расшифровка всех данных по действующему ключу старого завлаба, переподписание по новой ЭЦП нового завлаба. Ну, там по какому-нибудь внутрилабораторному акту, например. Программа VipNet позволяет как пакетно подписывать файлы, так и откреплять подпись.
Цитата snobiki ( ) При продлении ключа от Вас запросят паспорт и СНИЛС владельца, а отправка документов без его ведома уже нарушение закона. И чтобы получить ключ вместо владельца нужна доверенность (если вы не продлеваете его онлайн). Это вообще не проблема для директора организации. Копия паспорта, СНИЛС, тем более доверенность...
Сообщение отредактировал avsha - Понедельник, 26.02.2018, 09:54 |
|
| |
snobiki | Дата: Понедельник, 26.02.2018, 10:21 | Сообщение # 14 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата avsha ( ) Это вообще не проблема для директора организации. Копия паспорта, СНИЛС, тем более доверенность... Я не говорю что это проблема. Это нарушение закона.
|
|
| |
Mihail83 | Дата: Понедельник, 26.02.2018, 18:45 | Сообщение # 15 |
Группа: Пользователи
Сообщений: 218
Статус: Offline
| Цитата Самарчанка ( ) Какая у нас интересная тема получается! АVSHA, Вы просто находка для форума. Интересная и весьма актуальная. Предполагаемое развитие событий. Приходит проверяющий, даешь ему архив в электронном виде. И сколько он готов "проверять" глядя на экран? ))) Это я бы назвал практичным решением вопроса.
Цитата avsha ( ) Но! Все это работает только при работающем интернете! Не совсем так. Без интернета не будет только синхронизации, а вот ее (или как это названо "резервное копирование") можно и не каждый день делать. В крайнем случае я пользовался для экстренной связи мобильным интернетом, сейчас тарифы позволяют разово синхронизировать весьма большие объемы информации.
Цитата avsha ( ) Несанкционированный доступ к этой информации можно обеспечить жестким доступом к компьютеру через пароль, либо ключ-флэшку, без которой компьютер просто не включить. На мой взгляд - это самый хороший способ. "Бесследно" пройти такую защиту очень сложно, а без применения "специальных навыков" - просто невозможно.
Цитата Директор ( ) если ключ оформлен на зав.лаба, а тот уволился То, на мой взгляд, не стоит ничего "переподписывать". Никто же не переиздает приказы по лаборатории от имени нового зав лаба, тут та же логика. Сначала подпись "старого" зав лаба, с момента вступления в должность - нового, в промежутке (если уж подходить совсем формально) - подпись ОИ зав лаба.
|
|
| |
Еленарук | Дата: Понедельник, 26.02.2018, 19:26 | Сообщение # 16 |
Группа: Пользователи
Сообщений: 696
Статус: Offline
| Цитата avsha ( ) Интересно другое: можно ли открепить подпись от файла, если просрочена эта ЭЦП (просрочен сертификат)? Да, ведь для проверки подлинности подписи Вам не нужен ключ. Вся информация содержится в самом файле.
При проверке подлинности Вы также видите дату подписания, затем в щелкаете на вкладку "подробнее о сертификате", где выводится срок его действия, если файл подписан в период действия сертификате, то все в порядке.
|
|
| |
Директор | Дата: Суббота, 19.05.2018, 19:14 | Сообщение # 17 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Коллеги, хочу с Вами посоветоваться, правильно ли я придумала... Сейчас у заказчиков повальная мода - вместе с "выдаваемыми испытательной лабораторией (центром) протоколами исследований (испытаний) и измерений или иными итоговыми документами о результатах исследований (испытаний)" на бумажном носителе требуют (специально прописывают в ТЗ к контракту) электронную версию всего этого. Отказать - остаться без заказа. Отослать электронную версию - получить дополнительный риск внесения изменений в протоколы (иные итоговые документы), заказчики разные бывают. Поди потом докажи, что у тебя были совсем другие цифры в протоколе(ах)! Я хочу, если заказчик требует, отдавать электронную версию, подписанную ЭЦП. Надеюсь, что с одной стороны - выполню условие контракта, а с другой стороны - заказчики, получив подписанный мною архив, не смогут незаметно заменить "цифорки, буковки". Поделитесь опытом те, кто так делает - если недобросовестные заказчики все же попробуют, что будет? Только слетит подпись моя? Или архив станет нечитаемым? Что произойдет? Мне это важно, так как я должна понимать, что мне прописать в своих внутренних документах + как уведомить заказчика (мы же ведем себя на рынке добросовестно, поэтому должны предупредить) о возможных последствиях "несанкционированного вторжения" в представленную электронную версию материалов СОУТ. Может быть кто-то из Вас уже придумал какие-то бумаги? Поделитесь черновичками...
Говорю, что думаю, и думаю, что говорю...
|
|
| |
snobiki | Дата: Понедельник, 21.05.2018, 05:33 | Сообщение # 18 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Электронные версии протоколов подписываем через КриптоПро Office Signature, если внести изменения в подписанный документ, то подпись пропадет. Единственное неудобство нельзя подписать архив, нужно каждый файл открыть и подписывать, благо таких заказчиков не так много.
Да еще момент, на бумаге протокол подписывают несколько лиц (руководитель лаборатории и руководители соответствующих отделов), а в электронном варианте только Руководитель, наверно этот момент стоит прописать в руководстве, а насколько юридически это правильно мне не известно.
Сообщение отредактировал snobiki - Понедельник, 21.05.2018, 05:47 |
|
| |
Директор | Дата: Понедельник, 21.05.2018, 07:39 | Сообщение # 19 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Цитата snobiki ( ) ...на бумаге протокол подписывают несколько лиц (руководитель лаборатории и руководители соответствующих отделов), а в электронном варианте только Руководитель, наверно этот момент стоит прописать в руководстве, а насколько юридически это правильно мне не известно. Вот, чтобы прописать в РК все нюансы и спросила совета у Вас, коллеги. Вся ответственность за деятельность фирмы лежит на первом лице. Подпись лица, которое имеет право "отвечать" за все, что происходит в организации, довольно мощный "аргумент", надо правильно такой момент вписать в РК. Как архив - пишем же, что электронный архив в таком-то формате с определенностью периодичностью подписывается определенным лицом, имеющим право на ЭЦП..
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Еленарук | Дата: Понедельник, 21.05.2018, 14:59 | Сообщение # 20 |
Группа: Пользователи
Сообщений: 696
Статус: Offline
| Цитата Директор ( ) Вся ответственность за деятельность фирмы лежит на первом лице. Подпись лица, которое имеет право "отвечать" за все, Лично для является психологическим барьером, что в документе, подписанном ЭЦП, т.е. полностью электронном, отсутствуют реквизиты, что это документ, подписанный. Неважно: ЭЦП или рукой. Я имею в виду настоящую подпись, созданную по специальной программе и с сертификатом, который выдает центр, имеющий лицензию, а не тот вариант, который нам предоставляет Майкрософт в своем офисе для Ворда и Экселя.
А раз это файл в «чисто» электронном виде, то никаких подписей "ручных", ни вставок изображения подписи руководителя, как практикуют некоторые бухгалтеры при оформлении счета для пересылки его по электронной почте заказчику, не может быть в принципе. Также, реквизиты эл подписи и сертификата ключа в рамке на эл документе не являются обязательными. Что предполагает законодательство по этому вопросу, пока глубоко не вникала.
Если это файл с прикрепленной подписью в формате PDF, то его можно открыть как обычный PDF, но в свойствах файла есть указание на sig. Если это два отдельных файла: документ и эл. подпись sig, то с исходным файлом, который уже не содержит никаких признаков, что он имеет эл подпись, можно проводить любые операции, при том, совершенно случайно, его изменить. В итоге его подпись уже не коррелируется с самим документом и пропадает его легитимность. Заказчик может сам испортить полученный документ.
Получается, наилучший способ себя обезопасить – создавать документ с прикрепленной подписью, который всегда можно открыть, если он в формате PDF, при этом внести изменения невозможно.
Естественно, невозможно для обычного пользователя. Проблематично также и для продвинутого пользователя, и очень продвинутого. Простая подмена или вставка не пройдет.
А вот для «спеца» вскрыть можно, что является уже нарушением с последствием. Надо дождаться, когда наработается практика, тогда уже и подводные камни «всплывут».Добавлено (21.05.2018, 14:35) --------------------------------------------- Оказывается, есть - в уже известном нам ГОСТ Р 7.0.97-2016, который начнет действовать с 01 июля 2018, есть правила визуализации эл подписи
5.23 Отметка об электронной подписи используется при визуализации электронного документа, подписанного электронной подписью, с соблюдением следующих требований: а) место размещения отметки об электронной подписи должны соответствовать месту размещения собственноручной подписи в аналогичном документе на бумажном носителе: б) элементы отметки об электронной подписи должны быть видимыми и читаемыми при отображении документа в натуральном размере: в) элементы отметки об электронной подписи не должны перекрываться или накладываться друг на друга: г) элементы отметки об электронной подписи не должны перекрывать элементы текста документа и другие отметки об электронной подписи (при наличии). Отметка об электронной подписи в соответствии с законодательством Российской Федерации включает фразу «Документ подписан электронной подписью», номер сертификата ключа электронной подписи, фамилию, имя. отчество владельца сертификата, срок действия сертификата ключа электронной подписи. Отметка об электронной подписи может включать изображение герба, эмблемы органа власти (организации), товарного знака (знака обслуживания) организации в соответствии с действующим законодательством.
Вызывает вопрос п. а). Обычно отметка об эл подписи помещается внизу документа, или в конце, если в документе несколько страниц (такого еще не видела, но логично предположить так?). А в протоколах подпись в поле утверждения более часто вверху. Лепить туда рамку с отметкой об эл подписи с ее реквизитами некуда. Ну так и ГОСТ Р этот, как мы выяснили, носит для АЛ по 17025 даже не рекомендательный, а уведомительный характер (по шкале нового 17025 – возможность). Все же хорошо было бы, если кто-то выложил свой вариант, сильно облегчил жизнь всем. У нас пока таких случаев не было, соответственно, у нас нет такого опыта. Добавлено (21.05.2018, 14:59) ---------------------------------------------
Цитата snobiki ( ) Единственное неудобство нельзя подписать архив, нужно каждый файл открыть и подписывать, благо таких заказчиков не так много. Не совсем понятно, что Вы имеете в виду, когда пишите. что файлы надо открывать. Файлы можно подписывать серией – пакетно, выделив их все стандартным способом, затем правой кнопкой вызываете контекстное меню (кликаете подписать), причем скорость выполнения операции для нескольких файлов в пакете существенно выше, чем для каждого отдельно.
Честно говоря, с копиями на электронном носителе у меня пока нет ясности. 1) Если оригинал протокола оформлен на бумаге, то в архиве мы храним копии. Если бы это были копии также на бумажном носителе, то требуется оформление копии по всем правилам, а сейчас с учетом нового ГОСТ Р по оформлению документов, следует так:
5.26 Отметка о заверении копии оформляется для подтверждения соответствия копии документа (выписки из документа) подлиннику документа. Отметка о заверении копии проставляется под реквизитом «лодписы» и включает: слово «верно»; наименование должности лица, заверившего копию: его собственноручную подпись; расшифровку подписи (инициалы, фамилию); дату заверения копии (выписки издокумента).
Пример — верно Инспектор службы кедров Подпись И.О. Фамилия Дата Если копия выдается для представления в другую организацию, отметка о заверении копии дополняется надлисью о месте хранения документа, с которого была изготовлена копия («Подлинник документа находится в (наименование организации) в деле No... за ... год») и заверяется печатью организации. Для проставления отметки о заверении копии может использоваться штамп.
Для электронной копии оригинала документа на бумажном носителе правила не прописаны. Поскольку у нас в ИЛ мы решили, что это будет цветной скан, подписанный ЭЦП, теперь я задумалась, что отметка тоже нужна, хотя в принципе она не обязательна, опять же, надо проверить НПА.
2) Если оригинал документа на электронном носителе, то что тогда является подтверждением его статуса единственного оригинала? Как различить эл оригинал и копию? Или получается, что у электронного документа вообще нет копий – его можно бесконечно тиражировать, а он все равно остается оригиналом? Тогда в ИЛ остается его экземпляр электронного документа… Кто-нибудь умный уже написал про это? Не хочется изобретать велосипед.
|
|
| |
snobiki | Дата: Вторник, 22.05.2018, 08:24 | Сообщение # 21 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата Еленарук ( ) Не совсем понятно, что Вы имеете в виду, когда пишите. что файлы надо открывать. Мы говорим о разных ПО, в своем посте я указал чем мы пользуемся. У Вас скорее всего стоит КриптоАРМ, а еще есть Криптопро PDF
|
|
| |
Лана59 | Дата: Среда, 23.05.2018, 09:15 | Сообщение # 22 |
Группа: Пользователи
Сообщений: 124
Статус: Offline
| Только хотел задать свои вопросы, а тут как раз обсуждение вовсю идет. Мы при ПК-5 получили замечание, что протоколы в архиве хранятся без УКП (протоколы заказчику выдаем в электронном виде). В рамках устранения приобрели завлабу УКП, ИТОшник помучился и получалось, что можно использовать два варианта: 1 с сиговским расширением; 2 в pdf. В первом случае, никто этот протокол без соответствующего ПО не прочитает. Разбирались в апреле, может я что-то уже и путаю. Могу у спеца уточнить. Поэтому пошли, понятно, вторым путем. Штамп большой получается, но наш спец сказал, что его можно корректировать. Пример прикладываю.
Вопросы: 1 Подлинник электронного протокола должен быть подписан УКП обязательно ? (Татьяна Ивановна уже озвучила) В критериях пока требование вроде только к архиву или я чего-то не увидел ? 2 Что в штампе должно быть обязательно ? 3 Если несколько страниц ...?
Прикрепления: Скачивание файлов доступно только зарегистрированным пользователям | Вход/ Регистрация
|
|
| |
Директор | Дата: Среда, 23.05.2018, 19:15 | Сообщение # 23 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Цитата Лана59 ( ) Штамп большой получается, но наш спец сказал, что его можно корректировать. Пример прикладываю. А где штамп подписи? По мне - Вы выложили скан протокола...
Говорю, что думаю, и думаю, что говорю...
|
|
| |
Самарчанка | Дата: Четверг, 24.05.2018, 09:15 | Сообщение # 24 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Коллеги, вопрос необходимости передачи (по условиям контракта) заказчику итоговых документов ИЛ на электронном носителе перекликается с организацией хранения электронного архива под УЦП... Я вижу несколько вариантов по архиву и каждый надо бы отработать.
1. Хранить в электронном архиве сканы выданных протоколов (да еще и под УЦП). Что в этом плохого Вы знаете не хуже меня. Объем хранения архива сканов подписанных документов будет "чумовым", но самое главное - регулярно кто-то будет тратить приличное рабочее время на сканирование двусторонней печати с хорошим разрешением. У меня скан почти "промышленный", поэтому я знаю о чем пишу, т.к. с год назад специально и сама попробовала сделать для архива сканы выданных протоколов по не очень большой работе. Честно скажу - ушел рабочий день.
2. Отказаться от электронных версий и хранить копии (2-ые экземпляры) на бумажном носителе. Занимает много места и бумаги тратится немеряно, но... так как к архиву на бумажном носителе ничего ОСОБЕННОГО в Критериях не прописано, в СМК можно прописать, что вот копии на бумажном носителе могут иметь факсилильную подпись сотрудников (которыми, конечно, пользуются только сами сотрудники, на которых эти факсимильки изготовлены)
3. Вести все же электронный архив, но придумать как подружить ЭЦП сотрудников (исполнителей) с УЦП ответственного лица. По принципу, принятому в РА, например - там документ прежде чем подписывается УЦП руководителя, подписывается ЭЦП исполнителя (исполнителей). Тогда документы подпишут работники (мои говорят, что это несложно, надо понять как организовать), а весь архив (папка) подписывается УЦП назначенного ответственного лица.
4. Вести электронный архив, подписанный одной подписью с четким объяснением (см. новый ГОСТ по делопроизводству, если он согласно указанному приказу МЭР № 238 стал обязательным), что в архиве хранятся не идентичные выданным на бумажном носителе документы, а документы, содержащие всю необходимую информацию протоколов, которые при необходимости (по письменному запросу заказчика в случае утери выданного ранее или по запросу "контролеров") распечатываются и подписываются ТОЛЬКО уполномоченным (и прописанным в СМК) лицом. Подчеркнув, опираясь на новый ГОСТ (если он обязательным становится с 1 июля), что это копия (может другое слово подобрать, не копия) выданного ранее на бумажном носителе протокола, которую подписывает только уполномоченное лицо, а подписи исполнителей не обязательны.
Вот как-то так...
А что думаете Вы, коллеги?
|
|
| |
KomarovaAgro64 | Дата: Четверг, 24.05.2018, 11:39 | Сообщение # 25 |
Группа: Пользователи
Сообщений: 267
Статус: Offline
| Цитата Директор ( ) А где штамп подписи? Штамп виден, если попытаться скачать документ
|
|
| |
Самарчанка | Дата: Четверг, 24.05.2018, 13:13 | Сообщение # 26 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Цитата KomarovaAgro64 ( ) Штамп виден, если попытаться скачать документ И правда. Прямо - фокус получается: так нету, а попробуй распечатать - видна "метка". Хорошая штуковина! Уточните у своего СПЕЦа как это делается. Пожалуйста-пожалуйста... Ну и что, если протокол не на одном листе? Мы же и в бумажном варианте документ подписываем одни раз? Ну и в электронном также, наверное... О содержании "штампа". Мне вчера доказывали, что электронная версия протокола должна содержать подписи "участников процесса", печать и потом еще УЦП на архив... Спорили долго, вдумчиво и внимательно читали пункт "И" части 23.7 Критериев... Сошлись на том, что если в "штампе" будет дата подписания архива, ФИО, должность, владельца УЦП - достаточно. Но это при условии, что в электронном виде хранятся не копии выданных на бумажном носителе протоколов, а их электронные версии.
|
|
| |
snobiki | Дата: Четверг, 24.05.2018, 13:33 | Сообщение # 27 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата Самарчанка ( ) дата подписания архива Интересует такой вопрос, а дата подписания протокола УЦП и дата подписания на бумаге должна совпадать? Можем ли мы выдать протокол заказчику сегодня, а архив сформировать и подписать УЦП позже? Или если мы подписываем УЦП потом, то должны подписать сканы протоколов?
|
|
| |
Директор | Дата: Четверг, 24.05.2018, 17:04 | Сообщение # 28 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Цитата snobiki ( ) Интересует такой вопрос, а дата подписания протокола УЦП и дата подписания на бумаге должна совпадать? Можем ли мы выдать протокол заказчику сегодня, а архив сформировать и подписать УЦП позже? Или если мы подписываем УЦП потом, то должны подписать сканы протоколов? Стоп. Мы сейчас с Вами говорим об электронном архиве итоговых документов ИЛ, т.е. протоколов? Если об архиве, то дата подписания в установленный срок после формирования. Вы же не формируете архив ежедневно? Вы берете протоколы за какой-то период, так сказать, - кучкой архивируете и подписываете УЦП. А в "кучке" у протоколов могут быть разные даты... Как может дата подписания архива совпасть с датами на протоколах? Никак. Мы в СМК прописали период, за который собираем протоколы в архив. Взяли себе 5 рабочих дней на проверку, составление описи и прочие формальности... Так и написали, что архив должен быть сформирован, подписан УЦП, проведено резервное копирование архива в течение 5 рабочих дней по окончании установленного периода (периоды у разных ИЛ разные, тут руководствуются принципами целесообразности, в НПА сроки не установлены)
Говорю, что думаю, и думаю, что говорю...
|
|
| |
snobiki | Дата: Пятница, 25.05.2018, 05:08 | Сообщение # 29 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата Директор ( ) Мы сейчас с Вами говорим об электронном архиве итоговых документов ИЛ, т.е. протоколов? Если об архиве, то дата подписания в установленный срок после формирования. Вы же не формируете архив ежедневно? Вы берете протоколы за какой-то период, так сказать, - кучкой архивируете и подписываете УЦП. А в "кучке" у протоколов могут быть разные даты... Как может дата подписания архива совпасть с датами на протоколах? Тогда получается, что в электронный архив нужно собирать сканы протоколов с подписью и печатью? Если формировать его документами word или просто pdf(без подписей), то как потом доказать, что Вы туда не внесли изменений? Мое мнение, что из предложенных вариантов подходит только первый (ну или 2 и отказаться от электронного архива).
|
|
| |
Самарчанка | Дата: Пятница, 25.05.2018, 09:08 | Сообщение # 30 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Цитата snobiki ( ) Тогда получается, что в электронный архив нужно собирать сканы протоколов с подписью и печатью? Если формировать его документами word или просто pdf(без подписей), то как потом доказать, что Вы туда не внесли изменений? Мое мнение, что из предложенных вариантов подходит только первый (ну или 2 и отказаться от электронного архива). Коллега, все, что я напишу сейчас, это - не спор с Вами лично, а общение на злободневную тему в поисках оптимального практического решения. Доказать, что изменения в архивный вариант протоколов не вносились после закладки в архив, легко. Это доказывает, как раз наличие эл. подписи назначенного (ответственного за это) лица в установленные СМК сроки. Неприкосновенность архива после закладки под УЦП мы докажем. Тут всплывает другое... Есть мнение, что отсутствие на архивном варианте протокола подписей исполнителей (печати, если это предусмотрено на наших протоколах) "дискредитирует" достоверность содержания протокола. Но замечу, коллеги, если о "картинках" в архиве... Закладывается не оригинал протокола, а его скан-копия. И достоверность распечатки такого протокола подтверждается известным способом - "копия верна", ФИО, должность и роспись лица, уполномоченного в организации заверять документы, + печать организации (при наличии). То есть сам по себе скан протокола недостаточно "легитимен", его еще надо обязательно заверить. Хоть каждый день закладывайте протоколы в архив (ну, чтобы даты закладки и на протоколах совпадали...), а в случае запроса копии без подтверждения достоверности информации в распечатанном протоколе из архива не обойтись. И когда работать, если архивом заниматься часто-часто? А ничего, что у нас в стране есть презумпция невиновности?
Цитата Презумпция невиновности – это принцип, в соответствии с которым каждый, кому предъявляются обвинения в совершении преступления, считается невиновным до того времени, пока его вину не докажут в суде, соблюдая все процессуальные гарантии. Иными словами, мы должны помнить о том, что в достоверности и объективности наших итоговых документов могут возникнуть сомнения и даже можем быть привлечены к ответственности по ст. 14.48 КоАП. В этой связи, конечно, каждый из нас продумал и внедрил "систему защиты". Архив только одно звено этой системы. Сам по себе архив, как бы мы его не организовали, не защитит в случае поступления жалобы или проявления "интереса" со стороны надзорного органа. Чтобы "оправдаться, нам придется поднять и представить много чего - от фиксации выезда конкретных лиц на замеры, подтверждения действия поверки на задействованные СИ в момент проведения измерений, калибровки СИ перед проведением измерений (если по методике калибровка требуется), компетентности лиц проводивших измерений и дальше по длинному списку, в котором ведение архива является одним из пунктов. А ведение электронного архива (да еще части электронного архива, который хранится под УЦП) - частный случай в системе подтверждения воспроизводимости. Вот и давайте об этой малой части в длинной цепи говорить, как о части целого и важного. Мы же не эксперты, нам не надо клещом вцепляться в пункт Критериев, чтобы доказать, что "клиент" и так неправ и эдак - не всё учел. Мы тут для того, чтобы найти практическое решение и подобрать аргументы для упрочнения своей позиции по принятому решению. Начнем с того, что в пункте "и" части 23.7 говорится что в ИЛ должна быть система управления документацией (правил документооборота), которая должна включать в себя, в числе прочего "систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче..."
|
|
| |
Самарчанка | Дата: Пятница, 25.05.2018, 09:09 | Сообщение # 31 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Не уместилось, коллеги. Закончу свои соображения здесь.
По "букве закона", если отжать выдумки разные, если есть система управления документации (а она у нас есть и уже не раз подвергалась оценкам экспертов), в ней должна быть описана система хранения и архивирования документов, а вот уж в разделе хранение и архивирование нужно описать хранение итоговых документов (протоколов в течение не менее 3-лет) на бумажном носителе или в электронном виде под УЦП. ВСЁ! В сухом остатке про электронную часть архива с итоговыми документами лаборатории - не менее трех лет и под УЦП. А в каком виде заложили в электронный архив - ни слова! Поэтому, если мы у себя в СМК пропишем, что электронный архив под УЦП формируется в такие-то сроки и каждый документ, заложенный в архив под УЦП должен иметь в себе следующую информацию: перечислить почти все из формы протокола, за исключением слова - подпись (исполнителей), вместо этого вписать ФИО, должность исполнителя. И дальше описать, что в случае вывода на печать документа из электронного архива под УЦП достоверность содержания документа и соответствия его информации в выданном заказчику на бумажном носителе подтверждается следующим образом (ну и по привычной схеме, описанной уже в наших СМК - копия верна, ФИО, должность ответственного лица организации, печать (при наличии) и дата распечатки документа из архива. Вот так думаю я. Поправьте меня, если не права, коллеги.
|
|
| |
snobiki | Дата: Пятница, 25.05.2018, 10:36 | Сообщение # 32 |
Группа: Пользователи
Сообщений: 143
Статус: Offline
| Цитата Самарчанка ( ) Коллега, все, что я напишу сейчас, это - не спор с Вами лично И в мыслях не было с Вами спорить, просто мне этот вопрос не понятен вот и решил узнать другое мнение. У нас как то давно было судебное разбирательство и запрашивали наши рабочие журналы, а на тот момент мы вели их в Excel и нас спросили, а как мы обеспечиваем защиту данных от внесения в них изменений. Пришлось ответить, что рабочий журнал мы распечатываем каждый день, сшиваем и подписываем. К архиву я думаю будут такие же вопросы. Что касается критериев, то там действительно не написано в каком формате мы должны подписать протокол. Сказано, только то, что должно быть подписано УЦП. Думаю логичнее написать всем вместе в росаккредитацию и запросить разъяснения. А то порой читаешь законы, приказы и думаешь, что работаешь правильно, а тут выходит разъяснение и оказывается, что ты все делал не так.
|
|
| |
Самарчанка | Дата: Пятница, 25.05.2018, 13:24 | Сообщение # 33 |
Группа: Администраторы
Сообщений: 937
Статус: Offline
| Цитата snobiki ( ) было судебное разбирательство и запрашивали наши рабочие журналы, а на тот момент мы вели их в Excel и нас спросили, а как мы обеспечиваем защиту данных от внесения в них изменений. Пришлось ответить, что рабочий журнал мы распечатываем каждый день, сшиваем и подписываем. К архиву я думаю будут такие же вопросы... Конечно, хранение документов на бумажном носителе для большинства пока привычнее, понятнее и даже ощутимее (можно в руки взять документ, разглядеть его), однако мы же не обратно в древние времена устремлены, а на развитие нацелены. Поэтому сейчас, если б нас спросили - как мы обеспечиваем защиту данных от внесения изменений, мы бы ответили - комплексом мероприятий, в соответствии с утвержденной СМК, в том числе хранением электронного архива, защищенного УЦП. И пользуемся таким (электронным, защищенным) архивом только по официальному запросу в связи с утерей заказчиком оригинала, например, или для предоставления в суд (не дай Бог, конечно). Во других случаях работать с архивом запрещено. И сам доступ к архиву имеет строго ограниченное количество лиц.
|
|
| |
2dslru | Дата: Воскресенье, 17.05.2020, 05:39 | Сообщение # 34 |
Группа: Пользователи
Сообщений: 1
Статус: Offline
| Да ладно вам. Бумажные договоры - это рудимент. Тем более сейчас, с ковид-19, вообще непонятно, как работать с макулатурой. А тем более (еще) давно появились нужные инструменты для быстрой организации ЭЦП в компаниях (например: https:/ХХХХХХХХХХХХХХХХХХХХХХХХ). Джиджитализация мост го он)
|
|
| |
Директор | Дата: Воскресенье, 17.05.2020, 09:38 | Сообщение # 35 |
Группа: Администраторы
Сообщений: 7101
Статус: Offline
| Цитата 2dslru ( ) Да ладно вам. Бумажные договоры - это рудимент. СПОРНЫЙ метод общения - решить поспорить с текстом годичной давности. Про ЭЦП в организациях коллег, посещающих наш сайт, знают и выбирают удостоверяющие центры по списку Роскомнадзора (чтобы не вляпаться), поэтому Вашу ссылку на какой-то сайт я убираю. Пусть коллеги сами выбирают с кем им работать, если пришло время заменить УЦП.
Говорю, что думаю, и думаю, что говорю...
|
|
| |
|