Электронное хранилище по версии цб, или как нам реорганизовать архив

- kbrbank

Электронное хранилище по версии цб, или как нам реорганизовать архив

Указание № 2346-У глазами эксперта по информационным разработкам.

“Информация имеется информация, а не материя и не энергия”

Норберт Винер, основоположник кибернетики, 1948г.

Итак, свершилось!

Содержащиеся в бессчётных нормативных документах Центробанка и Минфина указания на возможность хранения бухгалтерских (и не только) документов в электронном виде получили, наконец, регламентирующий акт – вышло Указание Банка России № 2346-У.

Многие вещи у нас, даже в том случае, если и не запрещены очевидно, не употребляются до появления явных разрешений и какого-никакого регламентирования. Сейчас разрешение имеется, а регламентирование достаточно детальное.

Мечта многих основных бухгалтеров об уменьшении количества (физического, в кубометрах) архива, толщины и количества папок, понижении затрат на ведение всего этого, огромного в банке размером от среднего и выше, хозяйства делается явью?

взглянуть на документ глазами эксперта по ИТ в банке.

Маска, кто ты?

Первое, что привлекло внимание, – старательный уход разработчиков от прямого указания на электронно-цифровую подпись, ЭЦП. Имеется в Указании требование снабжать неизменность документа. Имеется требование идентификации составителя документа. А ЭЦП, которая, на первый взгляд, может решить обе эти задачи, нет.

Так как электронно-цифровая подпись для этого и придумана – обеспечивать неизменность и подтверждать авторство. Кроме того термин ”аналог собственноручной подписи” регулятор не использует. Потом поразмыслим, из-за чего сделано как раз так, а до тех пор пока посмотрим, чем же будем достигать, а правильнее – контролировать неизменность?

Из Указания направляться, что нужно для всех файлов, содержащих документы в электронном виде (ДЭВ), рассчитывать хэш-функцию по ГОСТ Р 34.11-94.

Для непосвященных разрешу себе кратко обрисовать, что это такое.

Массив информации, к примеру, документ в электронном виде либо файл, преобразуется по некоторым правилам и с применением некоего ключа (представляющего собой также некоторый массив либо последовательность байт) в более маленький массив. Данный маленький массив и именуется хэш-суммой. Возможно, к примеру, сложить все байты документа последовательно.

После этого сложить полученный байт с однобайтовым произвольным ключом. Полученный байт также возможно назвать хэш-суммой, лишь пользоваться таким методом не следует – через чур громадна возможность, что поменянный документ даст ту же самую хэш-сумму, что и начальный.

Правила же вычисления хэш-суммы в указанном ГОСТ выбраны так, что любое, кроме того маленькое, изменение в начальном документе ведет к заметным трансформациям хэш-суммы. Наряду с этим сама хэш-сумма значительно меньше исходного документа, чем и хороша. Возможно заявить, что хэш-сумма – это некая весьма плотная упаковка документа, причем обратное преобразование – из хэш-суммы в документ – нереально, но этого от хэш-суммы и не нужно.

Проверка документа на неизменность содержится в вычислении хэш-суммы хранимого документа заново, но по тем же правилам и с тем же ключом. Сравнение взятой хэш-суммы с начальной дает уверенность в неизменности документа.

В общем, не самое нехорошее ответ. Особенно порадует банковских автоматизаторов тот факт, что никак не регламентировано программно-аппаратное обеспечение, которым возможно пользоваться для этих целей. Ни тебе лицензий, ни сертификатов. Основное – дабы расчет велся по ГОСТ.

Такие требования довольно-таки комфортны: возможно самим разработать программу, возможно на стороне приобрести либо заказать стороннему разработчику. Достаточно отразить в документах на ПО соответствие метода ГОСТ.

Как именно банк будет снабжать идентификацию составителя – в документе ни слова. Требование имеется, а механизм реализации и, тем более, контроля никак не расписан. Таковой пробел не воспринимается случайным.

Вероятнее, разработчики сознательно никак не расписали данный раздел как раз для возможности скорейшего применения банками приведенной в Указании схемы работы. Для скорейшего перевода части архивов в электронный вид. Полагаю, что для “системных” банков это легко презент.

У них и количества бумажных документов громадны так, что данное Указание должно быть актуальным уже на данный момент. У них и подразделения, несущие ответственность за информационную, и не только, безопасность велики, наполнены штатом экспертов, и обожают они разрабатывать и контролировать соблюдение процедур и регламентов.

Разумеется, разработчики отдали задачу идентификации составителя документа на откуп банку. Разумеется, необходимо будет прописывать порядок идентификации в регламенте ведения фонда единиц хранения. Это, кстати, не единственный регламент, что необходимо будет создать чтобы полностью воспользоваться новыми возможностями.

Иначе – такая свобода и хороша. Возможно будет применять те средства идентификации, каковые банк сочтет разумными и достаточными. От “мамой клянусь, Петя составлял” до совокупностей доступа с применением снимков сетчатки глаза либо, к примеру, трехмерных изображений ушной раковины либо кисти руки.

Я, если бы решал эту задачу, ограничился бы указанием в хранимом образе документа фамилий составителя, контролера и всех, кого необходимо. Другими словами сделал бы все по подобию и образу бумажного документа и включил в том направлении столько должностей и фамилий, сколько необходимо банку. Потому что все равно целый документ защищен хэш-суммой.

Другими словами как сам документ, так и фамилии указанных лиц будут защищены от удалений и изменений.

Сейчас попытаемся предположить, из-за чего разработчики документа обошлись без ЭЦП. Мои предположения:

  1. Когда будет упомянута ЭЦП, деятельность с ее применением подпадает под диспозицию закона N1-ФЗ от 10.01.2002. Наряду с этим сходу пригодится еще один участник – удостоверяющий центр, что будет раздавать ключи пользователям совокупности. Вряд ли разумно прибегать к чьим-то еще услугам при организации чисто внутреннего документооборота. Да и это юрлицо может свернуть свою деятельность. Головная боль с ключами, выданными таким центром, прекратившим собственный существование, обеспечена. Большое количество у нас в современной истории организаций, ведущих собственную деятельность хотя бы 15 лет? Да и каждые попытки проверить неизменность хранящихся документов приводят к необходимости контактов с третьим лицом, что не представляется разумным ответом – не заказывает же банк графологическую экспертизу по автографам на собственных же мемориальных ордерах. Как-то верит
  2. По указанному ФЗ обладателем ключа может являться лишь физическое лицо. Это очень некомфортно для архивного хранения: физическое лицо может уволиться из банка, может заболеть, возможно вне пределов досягаемости. Что делать при таких условиях с ключом? Ключ возможно отменён. Что делать при таких условиях с подписанными этим ключом документами? Передача же собственных ключей одним физическим лицом второму выходит за рамки правового поля. Да и сами документы, хранящиеся в архиве – собственность банка, а не конкретных физических лиц. Банк сам должен иметь возможность защищать и контролировать неизменность документов.
  3. Сам регламент применения ЭЦП по версии указанного ФЗ больше подходит для двухсторонних, договорных взаимоотношений. В отечественном же случае речь заходит в основном о внутренних делах кредитной организации. Не планируется эти документы еще где-то применять, разве лишь проверка Центробанка запросит их. Но для проверки сейчас хватит фактически документа в электронном виде и соблюдения приведенных в Указании требований к их хранению и появлению.
  4. Мне думается, то, что хранится в электронном архиве, по большому счету не есть документом. Исходя из этого и ЭЦП, и аналоги собственноручной подписи использовать не требуется. Не есть документом в том смысле, что его нереально применять для предъявления кому-то еще, в качестве доказательства чего-то, либо удостоверения какого-либо факта. Не документ это вовсе, потому, что нет никаких особенностей документа, каковые свойственны любым «простым» документам. В юридические нюансы тут углубляться не буду, но предполагаю, что никакие хэш-функции и регламенты хранения не разрешат убедить другую сторону, если она покажется, что ей предъявляют как раз документ. Думаю, для проверки Центробанка этого и достаточно, а вдруг, не дай всевышний, пригодится как раз документ, то единственный выход – распечатать то, что хранится в электронном архиве, и подписаться и печати. Вот тут-то и покажется ДОКУМЕНТ.

Эти же доводы применимы против любых аналогов собственноручной подписи.

Так, банку необходимо так подробно проработать регламенты работы со своим электронным архивом, дабы, в первую очередь, самому быть уверенным, в том, что печатается как раз то, что закладывали на хранение, и авторы документов как раз те, кто указаны. Быть уверенным спустя десятилетия и десятки лет, что личный архив отражает действительность, правильнее — представления о ней.

Кстати, уже в ходе написания данной статьи автору довелось послушать разработчиков Указания о преследовавшихся целях и имевшихся ограничениях. Многие мои предположения о мотивах тех либо иных ответов нашли собственный подтверждение.

О материальном

Информация, с одной стороны, вещь нематериальная, потому что сама по себе, без потребляющей стороны, ненужна и ничем не проявляется. Иначе, ее что-то хранит и переносит.

В документе прямо прописаны носители информации, каковые возможно применять — машинные носители типа CD-, DVD-дисков однократной записи. Тут видится первый подводный камень – сроки судьбы носителей. Согласно данным производителей “болванок”, срок хранения записанных носителей указанных форматов образовывает до 100 лет. У некоторых кроме того видятся цифры в 200 лет. Казалось бы, хватает с запасом.

Но, как неизменно, производители приписывают фразу типа «при соблюдении которых рекомендуют хранения и условий записи».

обзоры и Независимые тесты показывают куда меньший срок гарантированного хранения, по окончании которого удается воспроизвести данные, записанную на диск.

Тут выходит на первый замысел большое количество небольших и не весьма факторов, талантливых сократить указанный срок до полугода и менее. Кто из нас не сталкивался с утратой данных на «болванке» уже через полгода – спросите привычных – в обязательном порядке найдется таковой.

Рекомендованные условия хранения достаточно твёрдые: температура и тут, и влажность, и темнота, и отсутствие следов различных вредных химических соединений в воздухе. Кроме того хранить сам диск рекомендуется в отдельной коробочке и, в обязательном порядке, вертикально.

В случае если сам банк еще может выполнять требования к хранению, хоть это время от времени и накладно, то где и как хранились готовые носители на пути от производителя к потребителю – не сообщит, возможно, никто.

Процесс записи также оказывает решающее действие на срок хранения. От качества записывающего устройства зависит многое.

Отпечатки царапины и пальцев радикально уменьшают срок работы носителя. Самый красивый носитель, записанный на самом надежном приводе, будет безнадежно сломан оператором, что поставил на него чашку с кофе либо покинул носители валяться без конвертов на столе в ожидании закладки и упаковки на полку либо в коробку.

Порекомендовать возможно лишь одно – не ограничиваться одной резервной копией, сделать их пара. Хранить резервные копии в достаточно удаленных друг от друга местах, никак не в одном помещении. Нужно кроме того обслуживать эти различные хранилища различными людьми. В обязательном порядке создавать резервные копии на различных компьютерах и на “болванках” различных производителей

Изучая советы ведущих производителей, отыскал в памяти кроме того так именуемые «чистые помещения», с которыми сталкивался при получении образования, – намерено оборудованные помещения для производства микроэлектронных компонентов, в которых поддерживается влажности и гарантированный уровень температуры, конечно совсем невообразимый уровень чистоты воздуха и всего остального. Персонал входит и выходит через шлюз и облачен в спецодежду, напоминающую скафандр.

Другими словами, в случае если вам реально требуется хранить носители пара десятков лет – не несложная это задача с чисто инженерной точки зрения.

К счастью, вряд ли реально кто отправится на такие сроки хранения. Подробности ниже.

Доколе?

У любого товара имеется срок хранения. Время от времени его кроме того показывают на упаковке. взглянуть на обязанности банка в части сроков хранения электронных документов.

Само Указание № 2346-У явных сроков не содержит. Но содержит фразу: «документы в электронном виде сохраняются в течение сроков, установленных в соответствии с правилами организации национального архивного дела, но как минимум несколько лет (потом — срок хранения)».

Итак, минимальный срок ясен – пять лет. Попытаемся определиться с большим.

С одной стороны, 302-П показывает, что «бухгалтерские документы, регистры бухучёта и бухгалтерской (денежной) отчетности, нормативный срок хранения которых образовывает более чем десяти лет, подлежат хранению и распечатыванию на бумажном носителе». Другими словами, помой-му нет особенного смысла хранить в электронном виде документы со сроком хранения более десяти лет, потому, что их все равно необходимо распечатывать и хранить в бумажном виде.

Иначе, выглядит весьма заманчивым распечатанные документы, эти центнеры бумаги, отнести в глубокую-глубокую шахту с низкой арендной платой, дабы добывать оттуда лишь по очень праздничным случаям. В повседневной же жизни пользоваться компактным электронным архивом, благо, сейчас возможно. Из этого архива и предъявлять контролирующим.

Вот на этом пути подстерегает второй подводный камень. И большой.

Гладко было на бумаге

Фактически, подводный камень кроется в одной, в общем, верной фразе Указания: «Кредитные организации при хранении ДЭВ на ЕХ снабжают хранение программно-технических средств, нужных для воспроизведения ДЭВ». Тем, кто не просматривал Указания, расшифрую: ДЭВ – документ в электронном виде, ЕХ – единица хранения. На первый взгляд – все разумно: то, что хранится, нужно суметь применять, в противном случае вся выдумка теряет суть.

Тут регулятор сослался не на метод, как при с хэш-функцией, а указал на необходимость программ и хранения, и техники, на которой этим программам суждено выполняться. Причем не просто программ, а определенной версии, которая указывается банком на ярлыке при создании каждой единицы хранения.

Значит, и программу, и компьютер необходимо хранить не меньше, чем документы в электронном виде.

Максимальный срок хранения документов из раздела 4.1 отчётность и Бухгалтерский учёт “Списка ТИПОВЫХ УПРАВЛЕНЧЕСКИХ ДОКУМЕНТОВ, ОБРАЗУЮЩИХСЯ В ДЕЯТЕЛЬНОСТИ ОРГАНИЗАЦИЙ, С УКАЗАНИЕМ СРОКОВ ХРАНЕНИЯ”, утвержденного Начальником федеральной архивной работы России, образовывает 75 лет, что уже превышает всю историю существования электронных вычислительных автомобилей и читаемых ими носителей информации. Имеется и бухгалтерские документы постоянного хранения.

Сравнение списка этих документов с Приложением 1 к Указанию 2346-У, определяющим документы, каковые банк может хранить в электронном виде, разрешает заключить , что при неаккуратной разработке в банка списка документов, подлежащих хранению в электронном виде, возможно выйти на эти самые сроки: 75 лет либо неизменно. К примеру – документы зачисления заработной плата своим сотрудникам либо документы перечисления сумм по национальному и негосударственному страхованию.

К чему это привод

О подаче в суды РФ документов в электронном виде. Обзор системы, взгляд адвоката.

Интересные записи

Похожие статьи, которые вам, наверника будут интересны: