Автор: AVRORA-IT Наше ПО представляет собой клиент-серверную технологию: Клиент = обычный web-браузер, который содержит элементы управления .NET, динамически предоставляющие пользовательский интерфейс. Все операции выполняются на сервере. При создании использована платформа Microsoft.NET с применением XML, графического интерфейса и Web-сервисов.
Автор: AVRORA-IT в нашей ИС есть функция автоматизированной электронной записи и хранения. В реляционной базе данных сохраняются электронные записи, включая подписи, результаты испытаний, настройки оборудования и все действия и изменения = обязательные правила доступа и проверку паролей, контроль изменений документов и данных, аудиторский след транзакций и др. Но этого сейчас недостаточно, по Приказу 326 теперь необходимо подписывать документы Усиленной квалифицированной подписью.
Если я Вас правильно поняла, то нам (разработчикам ПО) сначала надо "потренироваться" встроить ключ и сертификат в свое ПО на тестовых ключах, полученных в УЦ. А дальше, при развертывании системы у Заказчика заменить ключи (тест на ключ Заказчика).
Квалифицированная подпись только означает, что сертификат должен быть квалифицированным. В теоретическом примере когда на один ключ выпустили 2 сертификата - один квалифицированный, а другой неквалифицированный, квалифицированность одной и той же подписи будет зависеть от того какой из сертификатов прикреплен к подписи.
Если у Вас уже есть хоть какая-то электронная подпись в базе данных, то Вы уже на пути к успеху. Далее зависит от алгоритма, который есть в существующей подписи - если сейчас используется не-ГОСТ, то нужны мероприятия по адаптации встраивания подписания по алгоритмам ГОСТ на тестовых ключах, потом замена ключей. Если ГОСТ уже есть, то остается замена сертификатов на квалифицированные, адресов TSP и OCSP (так как квалифицированные не выпускают на ключи использующиеся ранее, то и замена ключей). Если они и так квалифицированные (на скорую руку можно проверить так: алгоритм ГОСТ, выданы аккредитованным удостоверяющим центром и имеют сведения о средстве электронной подписи и владельца и издателя) - то дальше связано с количеством ключей и "подвидами" сертификата (физического лица, юридического лица, юридического лица с именем специалиста, информационной системы), об этом дальше.
Автор: AVRORA-IT Тогда Заказчику придется покупать ключи и устанавливать на каждый компьютер? Допустим, в лаборатории, где будет установлена наша система, 50 пользователей - значит на каждое АРМ нужен ключ?
Тут существенен вопрос какой именно должен быть сертификат в усиленной квалифицированной подписи по требованиям приказа - документы могут быть подписаны подписью организации или подписью информационной системы или подписью специалиста или двумя-тремя сразу. Если имеется ввиду подпись организации, то ее можно установить в одном месте и дать право какой-то группе пользователей (условно канцелярии) просматривать и подписывать документы за всех. Если в сертификате организации нет ФИО - она аналог только печати на бумажном документе (для нее требования послабее могут использовать разные сотрудники), а если указаны ФИО руководителя, то аналог как если бы руководитель собственноручно подписал и поставил печать (тут уж кому руководитель доверит, в идеале должна быть только у него самого). Если подпись информационной системы - она тоже как только печать организации и ей можно подписывать автоматически.
Если же нужны подписи именно специалиста под конкретным документом, то нужно будет купить ключ каждому сотруднику (имеющему право подписи согласно внутреннему приказу организации) и настроить его рабочее место. При этом ключ может быть установлен как на рабочем месте - это вариант с плагином, так и на сервере - это вариант с КриптоПро DSS (облачная подпись). Опять же позволят ли Вам требования безопасности использовать облачную подпись нужно уточнить по нормативным актам. При варианте с установкой на каждом рабочем месте у Вас еще фактически будет внедрена двухфакторная аутентификация (это когда действие подтверждается и паролем и сертификатом) либо сможете вообще уйти от паролей.
Как видите, нормативные акты пестрят словосочетаением "Усиленной квалифицированной подписью", которое по факту не разъясняет еще кучу нюансов и подвидов подписи. Скорее всего, автоматически производимые действия будет возможно автоматически же подписать подписью с сертификатом информационной системы, а вот какие-нибудь заключения и результаты испытаний или контролируемые результаты измерений, которые имеют бумажные аналоги с собственноручной подписью - электронной подписью с сертификатом специалиста.
Да, по хорошему в документ с бумажным аналогом еще должна вставляться "видимая подпись" - штампик при выводе на печать, что "оригинал документа подписанный электронной подписью хранится в такой-то информационной системе", дата подписи, информация о сертификате.
Автор: AVRORA-IT Возможно ли автоматизировать функцию подписания ЭП: если за день в лаборатории формируется более 1000 документов (отчеты, паспорта качества...) - это значит нужно чтобы сотрудник подписал каждый документ или при встраивании ЭП это делается автоматически??
1000 документов на 50 сотрудников не так уж и много - 20 в день, 2-3 в час. Автоматизировать можно вприант если нужна подпись организации (без ФИО руководителя) или информационной системы. Если в сертификате, которым будет подписываться должно быть указано ФИО сотрудника или руководителя - автоматизация возможна, но нежелательна по соображениям безопасности.
Отредактировано пользователем 5 декабря 2018 г. 8:03:32(UTC)
| Причина: Не указана