Комментарии 21
Какой смысл использовать электронную подпись для внутренних документов?
Электронная подпись используется тогда, когда либо нет доверия к среде распространения данных и, как следствие, к целостности электронного документа, либо подписание документа связано с юридической ответственностью.
Эти факторы возникают в больших территориально распределённых корпорациях, но в них задача решается средствами корпоративного документоборота. А в маленьких фирмах не должно быть ни того, ни другого.
Ответ видимо идентичен как для: Какой смысл было апгрейдить Трудовой кодекс статьями 21.1 – 22.3, введенными ФЗ от 22.11.2021 N 377?
Я не большой знаток трудового законодательства, но вроде бы как эти статьи не устанавливают для работодателя обязанность использовать электронный документооборот. А следовательно, вопрос остаётся.
Там, где ЭДО нужен, он есть, и это большая отдельная история. А выдумывать его специально ради кадровых документов, как мне кажется, довольно странно.
Указанные статьи ТК я понимаю в том смысле, что, если хочется погрузить в 1С:КОРП и кадровые документы тоже, то дозволяется это сделать.
А выдумывать его специально ради кадровых документов, как мне кажется, довольно странно.
Тем не менее, недавно его государство выдумало. Полагаю, что уже сотни тысяч сотрудников подписывают кадровые документы с помощью ЭП.
Государство его не выдумало, а допустило.
Возможно, что сотни тысяч сотрудников и подписывают кадровые документы с помощью ЭП, но в качестве следствия подписания электронных документов вообще.
Хотя я лично таких примеров пока не встречал даже на предприятиях с внедрённым ЭДО. И кстати, работая в IT, я не видел ни одного человека, добровольно согласившегося бы перейти на электронную трудовую книжку.
Не то, чтобы я был ретроградом, но я трудом представляю, как, например, чисто технически предъявить упомянутый в 22.3 электронный трудовой договор в суде, в налоговой инспекции или в военкомате.
К сожалению, почти сразу после подписания электронная подпись на документе – «протухает» и становится проблематичным доказать, что подпись была сделана при действующем сертификате. Как это ни печально: подпись вроде как есть, но срок окончания действительности сертификата истек, и «карета» на глазах превратилась в «тыкву», т.е. проверить подпись с истекшим сроком сертификата – это большая проблема.
Какое-то странное рассуждение и оно постоянно циркулирует. Электронная подпись имеет дату её проставления. Сертификат, который участвовал в формировании подписи, имеет срок годности и неотозванности. Действительность подписи должна проверяться по её дате, действительности сертификата на момент формирования подписи и того. что сертификат на момент подписи был не отозван. Да, срок действия сертификата когда-то закончится. но это не значит, что все документы, подписанные им перестают быть действительными.
Представьте себе, что все бумажные документы подписанные неким должностным лицом перестают быть действительными в момент ухода этого лица с должности.
Сертификат тот же паспорт.
Так вроде Вы и ответили на свой же вопрос:
На мой взгляд, можно придерживаться следующих правил. Если это внутрикорпоративный документооборот, где ведется строгий контроль за компьютерами, то достаточно использовать формат подписи CAdes-BES, которая включает в себя помимо математической подписи в соответствии с ГОСТ Р 34.10-2012 и время формирования подписи (поле «Текущее время»). Если жесткого контроля за компьютерами нет (каждый на своем компьютере может выставить любое время), и важна дата подписания документа, то необходимо использовать формат CAdes-T или CAdes-XLT1.
https://habr.com/ru/post/457288/
Только нужно учесть, что:
А) нет юридически значимого «ведется строгий контроль за компьютерами», во всяком случае применительно к КЭДО. Полагаю, что в суде время подписания только по CADES-BES доказать будет проблематично, даже с таким обещанием \ заявлением "строгий контроль";
Б) только CADES-T при просроченном сертификате проверки подписи – не поможет, т.к. не будет информации, был ли отозван сертификат, а если был, то до подписания или после.
Ваша аналогия с бумажными документами станет точная, если мы не можем установить момент ухода должностного лица с должности: он мог подписать и до и после.
Б) только CADES-T при просроченном сертификате проверки подписи – не поможет, т.к. не будет информации, был ли отозван сертификат, а если был, то до подписания или после.
Как так нет! А списки отозванных сертификатов!!! А OCSP-ответы, как верно пометил ggo? В них всё прописано и когда и по какой причине!!!
Ваша аналогия с бумажными документами станет точная, если мы не можем установить момент ухода должностного лица с должности: он мог подписать и до и после.
Здрасте вас! А где вы выдели подпись на документе без даты! А момент ухода фиксируется приказом. А так мы дойдём до полной анархии.
там другое.
представьте, подписан документ 05/12/2022.
сертификат истекает 31/12/2022
на момент подписания сертификат был действительным.
наступает 01/01/2050.
как в 01/01/2050 ответить на вопрос, а был ли на момент подписания 05/12/2022 сертификат действительным?
к тому моменту, УЦ уже может быть закрыт. организация подписанта тоже закрыта. домены истекли. crl-ы где искать? в какой архив бежать?
правда надо отметить, что и для бумажных документов аналогичный вопрос тоже нетривиален.
УЦ уже может быть закрыт. организация подписанта тоже закрыта. домены истекли. crl-ы где искать? в какой архив бежать?
Куда бежать — это вопрос к государству: ввело ЭП будь добр обесчечить её функционирование. В противном случае это анархия полная и надо забыть про ЭП.
наступает 01/01/2050.
Зачем так далеко? Этот момент наступает на следующий день после окончания действия сертификата. УЦ спокойно себе работает еще годами, но по истекшим сертификатам уже не направляет «crl-ы».
Не обязан, т.к. статус сертификата – просрочен. Если Вы ранее не позаботились с доказательствами действительности подписи после окончания срока действия сертификата (например, заранее усовершенствовав подпись), то на руках у Вас будет «тыква» уже на следующий день. И доказать для «усиленной КЭП\НЭП» (не усовершенствованной), что это еще вчера «была карета» - будет очень сложно или невозможно.
Насколько знаю, многие аккредитованные УЦ хранят у себя статус (что не был отозван или отозван тогда-то) просроченного сертификата (выданного этим УЦ),
но не направляют по ним crl-ы (СОСы):
Важное свойство СОС — он содержит информацию только о сертификатах, срок действия которых не истёк.
https://ru.wikipedia.org/wiki/Certificate_Revocation_List
УЦ хранят просроченные сертификаты для того, чтобы ПОТОМ и дополнительно оказывать платные услуги по подтверждению подлинности подписи на основе выданных им сертификата (у УЦ можно заказать «независимую» экспертизу), но это всего лишь дополнительная «бизнес-услуга», которой к тому же может и не быть.
Интерес к электронной подписи большой (МЧД и т.п.), но простых решений нет.Не раскрыта тема — зачем? Кто это готов будет покупать?
Интерес есть у стороны которая это всё реализует. И простые решения с их стороны не являются прибыльными.
'Общая план-концепция: найти готовое и приделать бантик'?
Кто это готов будет покупать?
У FLOSS разные подходы. Иногда он вообще не подразумевает монетизацию.
Если нужна монетизация, то могут быть направления: платная поддержка внедрения (центр компетенций), расширение "Community Edition" до "Professional Edition" и др.
"Community Edition" обычно создает краудсорсинговую экосистему в целях более быстрого развития платформы.
К сожалению, почти сразу после подписания электронная подпись на документе – «протухает» и становится проблематичным доказать, что подпись была сделана при действующем сертификате. Как это ни печально: подпись вроде как есть, но срок окончания действительности сертификата истек, и «карета» на глазах превратилась в «тыкву», т.е. проверить подпись с истекшим сроком сертификата – это большая проблема.
OCSP-квитанция. Если ее прикладывать к каждой подписи, это решает проблему ответа на вопрос, а был ли сертификат действительным на момент подписания.
Я конечно добавил в текст уточнение в виде (усиленная КЭП/НЭП), но из контекста это следовало.
Одной OCSP-квитанция также не достаточно. Собственно все эти моменты раскрыты в обсуждаемой статье.
Также:
Юридическая значимость документов по истечению срока действия ЭП
https://www.cryptopro.ru/forum2/default.aspx?g=posts&t=15510
Открытый проект Электронного подписания внутренних документов компании на примере кадровых