ЭЦП

О трактовке понятий

В сфере информационных технологий (ИТ) существенные недоразумения порой возникают из-за элементарного недопонимания основных понятий. Например, часть россиян искренне убеждена, что движение к “электронному правительству” в конечном счете должно завершиться заменой этого традиционно непопулярного в России госоргана на суперкомпьютер, бесстрастно принимающий оптимальные управленческие решения и не берущий взяток. Является практически общепризнанным (по крайней мере - на страницах печати), что именно правительство как исполнительная структура правильные и человеколюбивые решения президента постоянно реализует не слишком правильно и не очень-то человеколюбиво. Недаром кто-то из великих французов сказал: “Существует только одна гигантская машина, управляемая пигмеями, и это бюрократия”. Поэтому население с радостью приветствовало бы тандем “президент - суперкомпьютер”, но, к общему сожалению, данный проект изначально является утопическим. И дело здесь не в сложности технической реализации, а в существующем приоритете бюрократических ценностей по отношению к технологическим.

Примерно так же обстоит дело и с электронным документооборотом.

О сущности электронного документооборота

Степень развития электронного документооборота (ЭД) можно считать одним из основных показателей развития ИТ в целом. Сложность оценки состоит в том, что все понимают его слишком по-разному. Менеджеры, пересылающие файлы по электронной почте, полагают, что участвуют в ЭД. Компании, создавшие базу электронных копий документов, не стесняются публично заявлять, что ввели у себя эту технологию. Против таких распространенных заблуждений следует решительно возразить. Пока электронные документы имеют статус копий, говорить об ЭД не приходится. ЭД появляется только тогда, когда документ проходит все стадии (создания, редактирования, согласования, визирования, окончательной подписи и исполнения) в электронном виде, причем не дублирует, а заменяет бумажный аналог. Все, что ниже этого уровня, представляет собой не что иное, как простое использование более или менее организованных файлов или баз электронных документов в качестве вспомогательного инструмента. При этом трудозатраты на бумажное делопроизводство остаются прежними, а в то же время требуются еще и значительные усилия по поддержанию функционирования дублирующих электронных баз документов, которые окупаются в итоге лишь до некоторой степени. Кардинальный технологический скачок, знаменующий переход к более высокому этапу развития и делающий автоматизацию в этом направлении по-настоящему рентабельной, возникает только при полной замене на электронные хотя бы части документов, циркулирующих в организации.

После этих терминологических разъяснений остается констатировать, что из множества российских организаций и фирм, заявляющих о функционировании у себя ЭД, очень немногие ввели его реально.

Причины бега на месте

Конечно, в процессе внедрения ЭД в России имеется ряд национальных особенностей, сложных взаимозависимых обстоятельств, требующих глубокого осмысления. Есть совсем мелкие: например, замечено, что психологически российский чиновник по сравнению с европейским с гораздо большим сожалением отказывается от возможности влиять на скорость прохождения документа по инстанциям при переходе от бумажного документооборота к ЭД. Но можно назвать и более значительные: в российских коммерческих структурах документооборот традиционно строится по “вертикальному” принципу, а в западных - по “горизонтальному”. Разница состоит в том, что между двумя целями (“согласовать документ со всеми заинтересованными начальниками” и “быстрее добиться с помощью документа результата”) “вертикальный” подход делает акцент в сторону первой, а “горизонтальный” - в сторону второй. Это, кстати, ведет и к заметным различиям в построении отечественных и иностранных программных пакетов для ЭД.

И все же у большинства организаций основными причинами скромных успехов на фоне широко заявленных технологических побед являются недостаток здравомыслия и невразумительный закон об ЭЦП. Так как в государственных структурах внедрение новых ИТ определяется не столько здравым смыслом, сколько указаниями вышестоящих инстанций, что сильно затрудняет логический анализ, в дальнейшем нами рассматриваются только коммерческие организации.

О некоторых подходах к законотворчеству

Многие исследователи сходятся во мнении, что самые толковые законы принимались в Древней Греции в период правления знаменитого законодателя Харонда, который добился высокой результативности процесса простым и действенным способом. По его повелению всякий желающий ввести в действие новый закон выходил перед народом с веревкой на шее (с тем чтобы в случае отсутствия единодушного одобрения тут же на месте быть удавленным). К сожалению, хорошо зарекомендовавшая себя методика в дальнейшем была предана забвению. Законотворчество стало более сложным и гуманным, но менее эффективным, что хорошо иллюстрируется на примере закона об ЭЦП.

В российском законодательстве трудно найти другие законы, которые по степени своей неудачности и неприменимости в реальной жизни можно было бы с ним сравнить. Но вряд ли стоит упрекать в этом Госдуму, которая за него проголосовала. То есть и хвалить ее не за что, но и понять тоже можно.

Все дело в том, что мы живем в эпоху специализации. Есть, разумеется, области, в которых любой депутат разбирается хорошо, такие, как сельское хозяйство, военная реформа и борьба с коррупцией. Однако в тонких технических вопросах, требующих не широкого жизненного кругозора, а глубоких специальных знаний, подавляющая часть депутатов оказывается некомпетентной. Так что надежды на улучшение такого рода закона в ходе чтений не остается. Все определяется предварительной подготовкой. А проходит она (не по форме, а по сути) примерно следующим образом.

Реальное влияние на конечный текст любого проекта, относящегося к сфере информационной безопасности (ИБ), оказывают три основные категории персонажей (перечисляются в порядке убывания этого влияния).

1. Представители государственных ведомств, курирующих и регулирующих область ИБ.

2. Юристы, задействованные в разработке закона.

3. Технические специалисты, на плечи которых в дальнейшем должно лечь воплощение закона в жизнь.

Если государство теоретически заинтересовано в развитии ИТ, то отдельные ведомства интересует лишь сохранение их собственного влияния на данную область и обеспечение максимальной безопасности не только государственного, но и коммерческого сектора (которому никак не удается ослабить бремя этой навязчивой заботы). Иначе говоря, темпами развития ИТ указанные ведомства не слишком обеспокоены. Получается как с движущимся автомобилем: безопасность тем больше, чем меньше скорость.

Что беспокоит юристов, специализирующихся в области ИБ, - понять сложнее. По их уверениям - формирование стройного и логически завершенного правового поля в указанном секторе. Они уже много лет мучаются с этой идеей, словно алхимики, пытаясь решить проблему философского камня, после создания которого все устроится само собой. Конечно, людей, способных часами рассуждать на конференциях о многообразии различий между информационной безопасностью и защитой информации, следует уважать, а к их мнению - прислушиваться. В конце концов, у них есть свои трудности. Ведь известно, что по каждому вопросу у двух юристов существует не менее трех мнений, так что им нелегко прийти к согласию. К тому же они все время вынуждены подстраиваться под авторитетные мнения участников из п. 1. А поскольку незыблемыми можно считать лишь юридические принципы, а не принципы самих юристов, то в итоге им никак и не удается создать стройную юридическую конструкцию. Тем не менее именно юристам можно от всей души позавидовать. Архитектора, спроектировавшего рухнувший аквапарк, отдают под суд; системного администратора, у которого постоянно сбоит сеть, выгоняют с работы. А юрист, принявший участие в создании никуда не годного закона, может с чистой профессиональной совестью через три-четыре месяца начинать критиковать его в печати, снимая двойной урожай с одного поля и продолжая считаться высококвалифицированным специалистом.

Короче говоря, лишь третью категорию участников по-настоящему волнует, “как это будет работать практически”. Только технические специалисты, которые должны претворить закон в жизнь, кровно заинтересованы в том, чтобы он работал как можно лучше. Именно они находятся ближе к земле, т. е. к конкретным условиям эксплуатации, но как раз их мнение учитывается в наименьшей степени, а влияние на представляемый в Думу проект закона оказывается ничтожным. Таким образом, мы имеем “пирамиду влияния”, поставленную на землю острым концом. Неудивительно, что при попытках технологически реализовать такой закон в полном объеме дело все время заваливается то в одну, то в другую сторону.

О корпоративной мудрости

Философы античности считали, что среди добродетелей есть основополагающие и второстепенные. В списке основных первыми фигурировали мудрость и отвага.

В нашем случае мудрость коммерческой организации состоит в том, чтобы принять отважное (для многих) решение: руководствоваться в развитии ЭД не государственным, а собственным умом. То есть не ждать от государства новых редакций законов, подзаконных актов, инструкций и разъяснений, а максимально внедрять у себя ЭД (там, где это не натыкается на явные законодательные преграды) таким образом, который представляется наиболее технологичным (и экономичным) самой компании.

Что касается документооборота с внешними организациями, то здесь надо без колебаний признать, что обмен юридически значимыми электронными документами со “случайными” деловыми партнерами станет возможен только тогда, когда заработает полнофункциональная сеть федеральных удостоверяющих центров ЭЦП. Пока, на четвертый год после вступления в силу закона об ЭЦП, единственным существенным сдвигом в этом направлении стало заявление Федерального агентства по информационным технологиям (ФАИТ) о создании корневого удостоверяющего центра (УЦ). Сколько еще времени пройдет до формирования самой сети УЦ ЭЦП - предсказать сложно, но нетерпение и раздражение первых трех лет уже прошли, и все спокойно вытерпят столько, сколько нужно, чтобы построить сносное здание на неважном фундаменте. С постоянными корреспондентами - деловыми партнерами значимый электронный обмен возможен и сейчас на основе дополнительных письменных соглашений, и целесообразность его внедрения должна определяться конкретной ситуацией.

А вот где руки компании фактически полностью свободны - так это в области внутреннего документооборота, который для средних и крупных фирм составляет значительную (а иногда так даже львиную) часть всего бумажного потока.

Внутренний ЭД - зона технологической демократии

К счастью, на корпоративном уровне рамки российского законодательства более демократичны. Так, эакон об ЭЦП предоставляет самому собственнику право решать, как строить работу корпоративного УЦ ЭЦП и самой инфраструктуры открытых ключей (Public Key Infrastructure, PKI). Это главное и чуть ли не единственное достоинство закона.

Таким образом, именно это направление по целому ряду причин является наиболее рентабельным для приложения усилий по переходу к ЭД. Все равно объединить в перспективе внутренний и внешний ЭД в плане использования ЭЦП вряд ли удастся. Внешний (для обеспечения юридической значимости при отсутствии письменных соглашений) будет базироваться на применении цифровых сертификатов от федеральных УЦ. Использование тех же сертификатов для внутреннего документооборота нерационально, поскольку в масштабах организации слишком дорого обойдется (с учетом предполагаемых цен на сертификаты и стоимости соответствующего ПО для поддержки отечественных криптоалгоритмов). Для этих нужд гораздо разумнее и дешевле (для крупных и средних компаний) организовать собственный корпоративный УЦ, который будет проводить сертификационную политику, наиболее подходящую для компании. Имеется в виду, например, выпуск сертификатов нескольких степеней доверия. Ведь очевидно, что обычно внутри компании достаточно ЭЦП, имеющей не юридический, а административно-распорядительный характер, да и то в отношении только тех должностных лиц, которые уполномочены принимать значимые административные решения. Рядовым сотрудникам (а их-то большинство) достаточно выдавать сертификаты более низкой степени доверия по упрощенной процедуре. Те же самые персональные цифровые сертификаты (а также и серверные сертификаты) корпоративного УЦ можно использовать для самых разных процедур аутентификации, авторизации, организации защищенной связи по протоколу SSL, шифрования электронной почты и т. п. в корпоративной компьютерной сети. Конечно, для достижения такой универсализации следует выпускать сертификаты формата Х.509 на алгоритме RSA, а не на ГОСТ.

Очевидно, что замену внутренних бумажных документов на электронные нужно проводить поэтапно, начиная с наименее значимых категорий бумаг, чтобы дать персоналу время привыкнуть и свести к минимуму вероятные неприятности. Эквивалентность электронного документа с ЭЦП бумажному (и придание ему административно-распорядительной силы) внутри компании может быть оформлена просто приказом генерального директора. При желании электронным взаимоотношениям между сотрудником и администрацией можно придать юридическую силу (хотя бы на случай конфликтных ситуаций по КЗОТ), внеся соответствующий пункт в трудовой договор. В общем, нет проблем, которые нельзя было бы решить внутри корпоративных рамок прямо сейчас. А в конечном итоге необходимо, не слишком растягивая процесс, осуществить полную (или по крайней мере значительную) ликвидацию внутреннего бумажного потока.

Выводы

В настоящее время российским коммерческим компаниям ничто (кроме консерватизма собственного руководства) не мешает максимально заменить свой внутренний бумажный документооборот (а частично и внешний) на электронный, выбрав те решения и программные пакеты, которые их наиболее устраивают. Целесообразность такого перехода подтверждена практикой западных корпораций. Нужны лишь воля и желание.

С автором статьи, кандидатом технических наук, можно связаться по адресу: vnponomarev@aeroflot.ru.

Версия для печати