Суббота, 22.09.2018, 05:25
Приветствую Вас, Гость!

Бизнес-эксперт
[ Новые сообщения · Участники · Правила форума · Поиск · RSS ]
  • Страница 2 из 3
  • «
  • 1
  • 2
  • 3
  • »
Модератор форума: Директор  
Форум » ОБСУДИМ? » ОТ в аттестующей организации » ЭПЦ. Как работать правильно?
ЭПЦ. Как работать правильно?
ЕленарукДата: Понедельник, 26.02.2018, 19:26 | Сообщение # 16
Группа: Пользователи
Сообщений: 301
Статус: Offline
Цитата avsha ()
Интересно другое: можно ли открепить подпись от файла, если просрочена эта ЭЦП (просрочен сертификат)?

Да, ведь для проверки подлинности подписи Вам не нужен ключ.
Вся информация содержится в самом файле.

При проверке подлинности Вы также видите дату подписания, затем в щелкаете на вкладку "подробнее о сертификате", где выводится срок его действия, если файл подписан в период действия сертификате, то все в порядке.
 
ДиректорДата: Суббота, 19.05.2018, 19:14 | Сообщение # 17
Группа: Администраторы
Сообщений: 2749
Статус: Offline
Коллеги, хочу с Вами посоветоваться, правильно ли я придумала...
Сейчас у заказчиков повальная мода - вместе с "выдаваемыми испытательной лабораторией (центром) протоколами исследований (испытаний) и измерений или иными итоговыми документами о результатах исследований (испытаний)" на бумажном носителе требуют (специально прописывают в ТЗ к контракту) электронную версию всего этого.
Отказать - остаться без заказа.
Отослать электронную версию - получить дополнительный риск внесения изменений в протоколы (иные итоговые документы), заказчики разные бывают. Поди потом докажи, что у тебя были совсем другие цифры в протоколе(ах)!
Я хочу, если заказчик требует, отдавать электронную версию, подписанную ЭЦП. Надеюсь, что с одной стороны - выполню условие контракта, а с другой стороны - заказчики, получив подписанный мною архив, не смогут незаметно заменить "цифорки, буковки".
Поделитесь опытом те, кто так делает - если недобросовестные заказчики все же попробуют, что будет? Только слетит подпись моя? Или архив станет нечитаемым?
Что произойдет?
Мне это важно, так как я должна понимать, что мне прописать в своих внутренних документах + как уведомить заказчика (мы же ведем себя на рынке добросовестно, поэтому должны предупредить) о возможных последствиях "несанкционированного вторжения" в представленную электронную версию материалов СОУТ.
Может быть кто-то из Вас уже придумал какие-то бумаги? Поделитесь черновичками...
flower


Говорю, что думаю, и думаю, что говорю...
 
snobikiДата: Понедельник, 21.05.2018, 05:33 | Сообщение # 18
Группа: Пользователи
Сообщений: 30
Статус: Offline
Электронные версии протоколов подписываем через КриптоПро Office Signature, если внести изменения в подписанный документ, то подпись пропадет.
Единственное неудобство нельзя подписать архив, нужно каждый файл открыть и подписывать, благо таких заказчиков не так много.

Да еще момент, на бумаге протокол подписывают несколько лиц (руководитель лаборатории и руководители соответствующих отделов), а в электронном варианте только Руководитель, наверно этот момент стоит прописать в руководстве, а насколько юридически это правильно мне не известно.


Сообщение отредактировал snobiki - Понедельник, 21.05.2018, 05:47
 
ДиректорДата: Понедельник, 21.05.2018, 07:39 | Сообщение # 19
Группа: Администраторы
Сообщений: 2749
Статус: Offline
Цитата snobiki ()
...на бумаге протокол подписывают несколько лиц (руководитель лаборатории и руководители соответствующих отделов), а в электронном варианте только Руководитель, наверно этот момент стоит прописать в руководстве, а насколько юридически это правильно мне не известно.
Вот, чтобы прописать в РК все нюансы и спросила совета у Вас, коллеги.
Вся ответственность за деятельность фирмы лежит на первом лице. Подпись лица, которое имеет право "отвечать" за все, что происходит в организации, довольно мощный "аргумент", надо правильно такой момент вписать в РК. Как архив - пишем же, что электронный архив в таком-то формате с определенностью периодичностью подписывается определенным лицом, имеющим право на ЭЦП..


Говорю, что думаю, и думаю, что говорю...
 
ЕленарукДата: Понедельник, 21.05.2018, 14:59 | Сообщение # 20
Группа: Пользователи
Сообщений: 301
Статус: Offline
Цитата Директор ()
Вся ответственность за деятельность фирмы лежит на первом лице. Подпись лица, которое имеет право "отвечать" за все,

Лично для является психологическим барьером, что в документе, подписанном ЭЦП, т.е. полностью электронном, отсутствуют реквизиты, что это документ, подписанный. Неважно: ЭЦП или рукой.
Я имею в виду настоящую подпись, созданную по специальной программе и с сертификатом, который выдает центр, имеющий лицензию, а не тот вариант, который нам предоставляет Майкрософт в своем офисе для Ворда и Экселя.

А раз это файл в «чисто» электронном виде, то никаких подписей "ручных", ни вставок изображения подписи руководителя, как практикуют некоторые бухгалтеры при оформлении счета для пересылки его по электронной почте заказчику, не может быть в принципе.
Также, реквизиты эл подписи и сертификата ключа в рамке на эл документе не являются обязательными. Что предполагает законодательство по этому вопросу, пока глубоко не вникала.

Если это файл с прикрепленной подписью в формате PDF, то его можно открыть как обычный PDF, но в свойствах файла есть указание на sig.
Если это два отдельных файла: документ и эл. подпись sig, то с исходным файлом, который уже не содержит никаких признаков, что он имеет эл подпись, можно проводить любые операции, при том, совершенно случайно, его изменить. В итоге его подпись уже не коррелируется с самим документом и пропадает его легитимность. Заказчик может сам испортить полученный документ.

Получается, наилучший способ себя обезопасить – создавать документ с прикрепленной подписью, который всегда можно открыть, если он в формате PDF, при этом внести изменения невозможно.

Естественно, невозможно для обычного пользователя. Проблематично также и для продвинутого пользователя, и очень продвинутого. Простая подмена или вставка не пройдет.

А вот для «спеца» вскрыть можно, что является уже нарушением с последствием.
Надо дождаться, когда наработается практика, тогда уже и подводные камни «всплывут».

Добавлено (21.05.2018, 14:35)
---------------------------------------------
Оказывается, есть - в уже известном нам ГОСТ Р 7.0.97-2016, который начнет действовать с 01 июля 2018, есть правила визуализации эл подписи

5.23 Отметка об электронной подписи используется при визуализации электронного документа, подписанного электронной подписью, с соблюдением следующих требований:
а) место размещения отметки об электронной подписи должны соответствовать месту размещения собственноручной подписи в аналогичном документе на бумажном носителе:
б) элементы отметки об электронной подписи должны быть видимыми и читаемыми при отображении документа в натуральном размере:
в) элементы отметки об электронной подписи не должны перекрываться или накладываться друг на друга:
г) элементы отметки об электронной подписи не должны перекрывать элементы текста документа и другие отметки об электронной подписи (при наличии).
Отметка об электронной подписи в соответствии с законодательством Российской Федерации включает фразу «Документ подписан электронной подписью», номер сертификата ключа электронной подписи, фамилию, имя. отчество владельца сертификата, срок действия сертификата ключа электронной подписи. Отметка об электронной подписи может включать изображение герба, эмблемы органа власти (организации), товарного знака (знака обслуживания) организации в соответствии с действующим законодательством.

Вызывает вопрос п. а). Обычно отметка об эл подписи помещается внизу документа, или в конце, если в документе несколько страниц (такого еще не видела, но логично предположить так?).
А в протоколах подпись в поле утверждения более часто вверху. Лепить туда рамку с отметкой об эл подписи с ее реквизитами некуда. Ну так и ГОСТ Р этот, как мы выяснили, носит для АЛ по 17025 даже не рекомендательный, а уведомительный характер (по шкале нового 17025 – возможность).
Все же хорошо было бы, если кто-то выложил свой вариант, сильно облегчил жизнь всем.
У нас пока таких случаев не было, соответственно, у нас нет такого опыта.

Добавлено (21.05.2018, 14:59)
---------------------------------------------

Цитата snobiki ()
Единственное неудобство нельзя подписать архив, нужно каждый файл открыть и подписывать, благо таких заказчиков не так много.

Не совсем понятно, что Вы имеете в виду, когда пишите. что файлы надо открывать.
Файлы можно подписывать серией – пакетно, выделив их все стандартным способом, затем правой кнопкой вызываете контекстное меню (кликаете подписать), причем скорость выполнения операции для нескольких файлов в пакете существенно выше, чем для каждого отдельно.

Честно говоря, с копиями на электронном носителе у меня пока нет ясности.
1) Если оригинал протокола оформлен на бумаге, то в архиве мы храним копии.
Если бы это были копии также на бумажном носителе, то требуется оформление копии по всем правилам, а сейчас с учетом нового ГОСТ Р по оформлению документов, следует так:

5.26 Отметка о заверении копии оформляется для подтверждения соответствия копии документа (выписки из документа) подлиннику документа. Отметка о заверении копии проставляется под реквизитом «лодписы» и включает: слово «верно»; наименование должности лица, заверившего копию: его собственноручную подпись; расшифровку подписи (инициалы, фамилию); дату заверения копии (выписки издокумента).

Пример —
верно
Инспектор службы кедров Подпись И.О. Фамилия
Дата
Если копия выдается для представления в другую организацию, отметка о заверении копии дополняется надлисью о месте хранения документа, с которого была изготовлена копия («Подлинник документа находится в (наименование организации) в деле No... за ... год») и заверяется печатью организации.
Для проставления отметки о заверении копии может использоваться штамп.

Для электронной копии оригинала документа на бумажном носителе правила не прописаны.
Поскольку у нас в ИЛ мы решили, что это будет цветной скан, подписанный ЭЦП, теперь я задумалась, что отметка тоже нужна, хотя в принципе она не обязательна, опять же, надо проверить НПА.

2) Если оригинал документа на электронном носителе, то что тогда является подтверждением его статуса единственного оригинала? Как различить эл оригинал и копию?
Или получается, что у электронного документа вообще нет копий – его можно бесконечно тиражировать, а он все равно остается оригиналом?
Тогда в ИЛ остается его экземпляр электронного документа…
Кто-нибудь умный уже написал про это? Не хочется изобретать велосипед.
 
snobikiДата: Вторник, 22.05.2018, 08:24 | Сообщение # 21
Группа: Пользователи
Сообщений: 30
Статус: Offline
Цитата Еленарук ()
Не совсем понятно, что Вы имеете в виду, когда пишите. что файлы надо открывать.

Мы говорим о разных ПО, в своем посте я указал чем мы пользуемся. У Вас скорее всего стоит КриптоАРМ, а еще есть Криптопро PDF
 
Лана59Дата: Среда, 23.05.2018, 09:15 | Сообщение # 22
Группа: Пользователи
Сообщений: 77
Статус: Offline
Только хотел задать свои вопросы, а тут как раз обсуждение вовсю идет.
Мы при ПК-5 получили замечание, что протоколы в архиве хранятся без УКП (протоколы заказчику выдаем в электронном виде). В рамках устранения приобрели завлабу УКП, ИТОшник помучился и получалось, что можно использовать два варианта: 1 с сиговским расширением; 2 в pdf. В первом случае, никто этот протокол без соответствующего ПО не прочитает. Разбирались в апреле, может я что-то уже и путаю. Могу у спеца уточнить. Поэтому пошли, понятно, вторым путем. Штамп большой получается, но наш спец сказал, что его можно корректировать. Пример прикладываю.

Вопросы: 1 Подлинник электронного протокола должен быть подписан УКП обязательно ? (Татьяна Ивановна уже озвучила) В критериях пока требование вроде только к архиву или я чего-то не увидел ?
2 Что в штампе должно быть обязательно ?
3 Если несколько страниц ...?
Прикрепления: ___48.pdf(355.2 Kb)
 
ДиректорДата: Среда, 23.05.2018, 19:15 | Сообщение # 23
Группа: Администраторы
Сообщений: 2749
Статус: Offline
Цитата Лана59 ()
Штамп большой получается, но наш спец сказал, что его можно корректировать. Пример прикладываю.
А где штамп подписи? По мне - Вы выложили скан протокола...


Говорю, что думаю, и думаю, что говорю...
 
СамарчанкаДата: Четверг, 24.05.2018, 09:15 | Сообщение # 24
Группа: Администраторы
Сообщений: 424
Статус: Offline
Коллеги, вопрос необходимости передачи (по условиям контракта) заказчику итоговых документов ИЛ на электронном носителе перекликается с организацией хранения электронного архива под УЦП...
Я вижу несколько вариантов по архиву и каждый надо бы отработать.

1. Хранить в электронном архиве сканы выданных протоколов (да еще и под УЦП). Что в этом плохого Вы знаете не хуже меня. Объем хранения архива сканов подписанных документов будет "чумовым", но самое главное - регулярно кто-то будет тратить приличное рабочее время на сканирование двусторонней печати с хорошим разрешением. У меня скан почти "промышленный", поэтому я знаю о чем пишу, т.к. с год назад специально и сама попробовала сделать для архива сканы выданных протоколов по не очень большой работе. Честно скажу - ушел рабочий день.

2. Отказаться от электронных версий и хранить копии (2-ые экземпляры) на бумажном носителе. Занимает много места и бумаги тратится немеряно, но... так как к архиву на бумажном носителе ничего ОСОБЕННОГО в Критериях не прописано, в СМК можно прописать, что вот копии на бумажном носителе могут иметь факсилильную подпись сотрудников (которыми, конечно, пользуются только сами сотрудники, на которых эти факсимильки изготовлены)

3. Вести все же электронный архив, но придумать как подружить ЭЦП сотрудников (исполнителей) с УЦП ответственного лица. По принципу, принятому в РА, например - там документ прежде чем подписывается УЦП руководителя, подписывается ЭЦП исполнителя (исполнителей). Тогда документы подпишут работники (мои говорят, что это несложно, надо понять как организовать), а весь архив (папка) подписывается УЦП назначенного ответственного лица.

4. Вести электронный архив, подписанный одной подписью с четким объяснением (см. новый ГОСТ по делопроизводству, если он согласно указанному приказу МЭР № 238 стал обязательным), что в архиве хранятся не идентичные выданным на бумажном носителе документы, а документы, содержащие всю необходимую информацию протоколов, которые при необходимости (по письменному запросу заказчика в случае утери выданного ранее или по запросу "контролеров") распечатываются и подписываются ТОЛЬКО уполномоченным (и прописанным в СМК) лицом. Подчеркнув, опираясь на новый ГОСТ (если он обязательным становится с 1 июля), что это копия (может другое слово подобрать, не копия) выданного ранее на бумажном носителе протокола, которую подписывает только уполномоченное лицо, а подписи исполнителей не обязательны.

Вот как-то так...

А что думаете Вы, коллеги?
 
KomarovaAgro64Дата: Четверг, 24.05.2018, 11:39 | Сообщение # 25
Группа: Пользователи
Сообщений: 183
Статус: Offline
Цитата Директор ()
А где штамп подписи?

Штамп виден, если попытаться скачать документ
 
СамарчанкаДата: Четверг, 24.05.2018, 13:13 | Сообщение # 26
Группа: Администраторы
Сообщений: 424
Статус: Offline
Цитата KomarovaAgro64 ()
Штамп виден, если попытаться скачать документ
И правда. Прямо - фокус получается: так нету, а попробуй распечатать - видна "метка". Хорошая штуковина! Уточните у своего СПЕЦа как это делается. Пожалуйста-пожалуйста...
Ну и что, если протокол не на одном листе? Мы же и в бумажном варианте документ подписываем одни раз? Ну и в электронном также, наверное...
О содержании "штампа". Мне вчера доказывали, что электронная версия протокола должна содержать подписи "участников процесса", печать и потом еще УЦП на архив...
Спорили долго, вдумчиво и внимательно читали пункт "И" части 23.7 Критериев... Сошлись на том, что если в "штампе" будет дата подписания архива, ФИО, должность, владельца УЦП - достаточно.
Но это при условии, что в электронном виде хранятся не копии выданных на бумажном носителе протоколов, а их электронные версии.
 
snobikiДата: Четверг, 24.05.2018, 13:33 | Сообщение # 27
Группа: Пользователи
Сообщений: 30
Статус: Offline
Цитата Самарчанка ()
дата подписания архива

Интересует такой вопрос, а дата подписания протокола УЦП и дата подписания на бумаге должна совпадать? Можем ли мы выдать протокол заказчику сегодня, а архив сформировать и подписать УЦП позже? Или если мы подписываем УЦП потом, то должны подписать сканы протоколов?
 
ДиректорДата: Четверг, 24.05.2018, 17:04 | Сообщение # 28
Группа: Администраторы
Сообщений: 2749
Статус: Offline
Цитата snobiki ()
Интересует такой вопрос, а дата подписания протокола УЦП и дата подписания на бумаге должна совпадать? Можем ли мы выдать протокол заказчику сегодня, а архив сформировать и подписать УЦП позже? Или если мы подписываем УЦП потом, то должны подписать сканы протоколов?
Стоп. Мы сейчас с Вами говорим об электронном архиве итоговых документов ИЛ, т.е. протоколов? Если об архиве, то дата подписания в установленный срок после формирования. Вы же не формируете архив ежедневно? Вы берете протоколы за какой-то период, так сказать, - кучкой архивируете и подписываете УЦП. А в "кучке" у протоколов могут быть разные даты... Как может дата подписания архива совпасть с датами на протоколах? Никак.
Мы в СМК прописали период, за который собираем протоколы в архив. Взяли себе 5 рабочих дней на проверку, составление описи и прочие формальности... Так и написали, что архив должен быть сформирован, подписан УЦП, проведено резервное копирование архива в течение 5 рабочих дней по окончании установленного периода (периоды у разных ИЛ разные, тут руководствуются принципами целесообразности, в НПА сроки не установлены)


Говорю, что думаю, и думаю, что говорю...
 
snobikiДата: Пятница, 25.05.2018, 05:08 | Сообщение # 29
Группа: Пользователи
Сообщений: 30
Статус: Offline
Цитата Директор ()
Мы сейчас с Вами говорим об электронном архиве итоговых документов ИЛ, т.е. протоколов? Если об архиве, то дата подписания в установленный срок после формирования. Вы же не формируете архив ежедневно? Вы берете протоколы за какой-то период, так сказать, - кучкой архивируете и подписываете УЦП. А в "кучке" у протоколов могут быть разные даты... Как может дата подписания архива совпасть с датами на протоколах?

Тогда получается, что в электронный архив нужно собирать сканы протоколов с подписью и печатью? Если формировать его документами word или просто pdf(без подписей), то как потом доказать, что Вы туда не внесли изменений? Мое мнение, что из предложенных вариантов подходит только первый (ну или 2 и отказаться от электронного архива).
 
СамарчанкаДата: Пятница, 25.05.2018, 09:08 | Сообщение # 30
Группа: Администраторы
Сообщений: 424
Статус: Offline
Цитата snobiki ()
Тогда получается, что в электронный архив нужно собирать сканы протоколов с подписью и печатью? Если формировать его документами word или просто pdf(без подписей), то как потом доказать, что Вы туда не внесли изменений? Мое мнение, что из предложенных вариантов подходит только первый (ну или 2 и отказаться от электронного архива).
Коллега, все, что я напишу сейчас, это - не спор с Вами лично, а общение на злободневную тему в поисках оптимального практического решения.
Доказать, что изменения в архивный вариант протоколов не вносились после закладки в архив, легко. Это доказывает, как раз наличие эл. подписи назначенного (ответственного за это) лица в установленные СМК сроки. Неприкосновенность архива после закладки под УЦП мы докажем.
Тут всплывает другое... Есть мнение, что отсутствие на архивном варианте протокола подписей исполнителей (печати, если это предусмотрено на наших протоколах) "дискредитирует" достоверность содержания протокола. Но замечу, коллеги, если о "картинках" в архиве... Закладывается не оригинал протокола, а его скан-копия. И достоверность распечатки такого протокола подтверждается известным способом - "копия верна", ФИО, должность и роспись лица, уполномоченного в организации заверять документы, + печать организации (при наличии). То есть сам по себе скан протокола недостаточно "легитимен", его еще надо обязательно заверить. Хоть каждый день закладывайте протоколы в архив (ну, чтобы даты закладки и на протоколах совпадали...), а в случае запроса копии без подтверждения достоверности информации в распечатанном протоколе из архива не обойтись.
И когда работать, если архивом заниматься часто-часто?
А ничего, что у нас в стране есть презумпция невиновности?
Цитата
Презумпция невиновности – это принцип, в соответствии с которым каждый, кому предъявляются обвинения в совершении преступления, считается невиновным до того времени, пока его вину не докажут в суде, соблюдая все процессуальные гарантии.

Иными словами, мы должны помнить о том, что в достоверности и объективности наших итоговых документов могут возникнуть сомнения и даже можем быть привлечены к ответственности по ст. 14.48 КоАП. В этой связи, конечно, каждый из нас продумал и внедрил "систему защиты". Архив только одно звено этой системы. Сам по себе архив, как бы мы его не организовали, не защитит в случае поступления жалобы или проявления "интереса" со стороны надзорного органа. Чтобы "оправдаться, нам придется поднять и представить много чего - от фиксации выезда конкретных лиц на замеры, подтверждения действия поверки на задействованные СИ в момент проведения измерений, калибровки СИ перед проведением измерений (если по методике калибровка требуется), компетентности лиц проводивших измерений и дальше по длинному списку, в котором ведение архива является одним из пунктов.
А ведение электронного архива (да еще части электронного архива, который хранится под УЦП) - частный случай в системе подтверждения воспроизводимости.
Вот и давайте об этой малой части в длинной цепи говорить, как о части целого и важного. Мы же не эксперты, нам не надо клещом вцепляться в пункт Критериев, чтобы доказать, что "клиент" и так неправ и эдак - не всё учел.
Мы тут для того, чтобы найти практическое решение и подобрать аргументы для упрочнения своей позиции по принятому решению.
Начнем с того, что в пункте "и" части 23.7 говорится что в ИЛ должна быть система управления документацией (правил документооборота), которая должна включать в себя, в числе прочего "систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче..."
 
Форум » ОБСУДИМ? » ОТ в аттестующей организации » ЭПЦ. Как работать правильно?
  • Страница 2 из 3
  • «
  • 1
  • 2
  • 3
  • »
Поиск:

Все права защищены © 2009 - 2018
Сообщество экспертов по охране труда