Електронна система документообігу та звітності: (тенденції у запровадженні та останні зміни у нормативному регулюванні) ТОВ «Комплексне управління бізнес-процесами»
Актуальність теми Оперативність руху інформації Вимоги нормативно-правового регулювання Мінімізація затрат на обслуговування Зручність узагальнення та отримання інформації за потребою
Сфери поширення електронного документообігу • Звітність в ДПС та ПФУ • Банківські розрахунки • Електронні державні закупівлі • Митниця • Оформлення паспортів • Документи держ. реєстратору • Документи для перевезення (авіа, залізниця) • Реєстрація персональних даних • Діяльність на фондовому ринку • Запроваджується в судах.
Документ — засіб закріплення різними способами на відповідному матеріалі інформації про факти, події, явища об'єктивної дійсності та розумову діяльність людини.
Варіанти організації системи документообігу Традиційний (паперовий) Автоматизований (електронний) Розпорядчі документи Паперовий документ або усна вказівка Електронний документ – – господарська операція Облікові документи Господарська операція – Господарська операція - паперовий документ електронний документ – документ - електронна звітність
Порівняння розпорядчої та облікової систем електронного документообігу Критерій Облікова система Розпорядча система Жорсткість регулювання Посилена (спеціалізоване програмне забезпечення) Спрощена (достатньо електронного листа або документу внесеного в інформаційну систему) Рівень складності формування звітності Проблемний Універсальний (звітність в інформаційній системі) Рівень контролю Ретроспективний Попередній Відповідальність Згідно з чинним законодавство На рівні внутрішніх регламентів та усних домовленостей
Облікова система електронного документообігу ТОВ «Комплексне управління бізнес-процесами»
Основні нормативні документи України Закон України "Про електронні документи та електронний документообіг" від 22. 05. 2003 р. № 851 -IV Закон України "Про електронний цифровий підпис" 22. 05. 2003 р. № 852 -IV Закон України "Про захист інформації в інформаційно-телекомунікаційних системах" від 05. 07. 94 р. № 80/94 -ВР (в редакції від 19. 03. 2009 р. N 1180 -VI) Постанова Кабінету Міністрів України "Про затвердження Порядку засвідчення наявності електронного документа (електронних даних) на певний момент часу" від 26. 05. 2004 р. № 680 Постанова Кабінету Міністрів України "Про затвердження Порядку застосування електронного цифрового підпису органами державної влади, органами місцевого самоврядування, підприємствами, установами та організаціями державної форми власності" від 28. 10. 2004 р. № 145
Засвідчення електронного документу Електронний підпис Електронний цифровий підпис без посиленого сертифікату Електронний цифровий підпис з посиленим сертифікатом ключів Електронний документ - документ, інформація в якому зафіксована у вигляді електронних даних, включаючи обов'язкові реквізити. Електронний підпис - дані в електронній формі, які додаються до інших електронних даних або логічно з ними пов'язані та призначені для ідентифікації підписувача цих даних Електронний підпис не може бути визнаний недійсним лише через те, що він має електронну форму або не ґрунтується на посиленому сертифікаті ключа. До печатки і власноручного підпису на бухгалтерських документах прирівнюється застосування лише посиленого сертифікату ключа.
Основні тези закону про електронний цифровий підпис Електронний цифровий підпис (ЕЦП) – це вид електронного підпису, отриманого за результатом криптографічного перетворення набору електронних даних, який додається до цього набору або логічно з ним поєднується: ЕЦП виконує такі функції: 1. Ідентифікація підписувача - засвідчує, що підписаний документ надходить від особи, яка його підписала; 2. Підтвердження цілісності даних в електронній формі - є гарантією того, що підписаний документ не зазнав модифікації з боку третіх осіб; 3. Правові наслідки - позбавляє особу, яка підписала документ, можливості відмовитися від зобов’язань, викладених у підписаному документі. Увага! ЕЦП не робить документ конфіденційним!
Суб'єкти електронного документообігу із застосуванням ЕЦП Підписувач володіє особистим ключем (доступним тільки йому) Центр сертифікації ключів (ЦСК) надає послуги обслуговування процесу електронного цифрового підпису Користувач перевіряє електронний цифровий підпис
Щоб стати суб'єктом електронного документообігу в Україні необхідно: 1. Укласти договір про надання послуг електронного цифрового підпису (за умови відсутності) з відповідним акредитованим центром сертифікації ключів (АЦСК). 2. Отримати пару ключів для забезпечення підписання власних ЕД та здійснення криптографічного шифрування ЕД. 3. Інсталювати відповідне програмне забезпечення, що забезпечує підготовку даних для виконання алгоритмів ЕЦП. 4. Встановити кореспондентські відносини з метою обміну сертифікатами відкритих ключів шифрування (відкритими ключами), що надає можливість у подальшому здійснювати обмін електронними повідомленнями у шифрованому вигляді.
Використання алгоритмів асиметричного шифрування при реалізації електронного цифрового підпису МЕТОД КРИПТОГРАФІЇ НА ОСНОВІ УНІКАЛЬНОЇ ЗВ’ЯЗАНОЇ ПАРИ КЛЮЧІВ Приватний (закритий) ключ створює підпис Відкритий ключ перевіряє підпис Приватний (особистий, таємний) ключ - параметр криптографічного алгоритму формування електронного цифрового підпису, доступний тільки підписувачу; Відкритий ключ – параметр криптографічного алгоритму перевірки електронного цифрового підпису, доступний всім суб'єктам відносин у сфері використання ЕЦП (публікується в загальному доступі); Електронний документ з ЕЦП може бути перевірений будь-яким контрагентом, що має відкритий ключ відправника. ЕЦП не захищає документ від прочитання сторонніми особами. Для забезпечення конфіденційності документа використовується шифрування.
Процедура використання електронного цифрового підпису
Процедура захисту інформації від несанціонованого перегляду
Етапи роботи з електронним документом на який накладається ЕЦП Шифрування документу відкритим ключем отримувача Транспортування документу від автора до отримувача Дешифрування документу закритим ключем отримувача Перевірка ЕЦП автора за допомогою його відкритого ключа Використання документу Захист від несанкціонованого перегляду Підписання документу закритим ключем автора Електронний цифровий підпис Створення документу автором
Правила використання особистого ключа ЕЦП Підписувач несе відповідальність за зберігання особистого ключа Використання особистого ключа підписувачем здійснюється на умовах конфіденційності. Підписувач зобов'язаний зберігати свій ключ у таємниці та не допускати використання особистого ключа іншими особами. Копіювання особистих ключів та/або передача їх іншим особам забороняється У приміщені де знаходяться або до якого мають доступ інші особи, забороняється залишення носія з особистим ключем або працюючої програми ЕЦП з введеним особистим ключем у відсутності підписувача При застосуванні ЕЦП підписувач зобов'язаний: не використовувати особистий ключ у разі його компрометації.
Компрометація ЕЦП при застосуванні систем електронного банкінгу “Звичаєві” форми роботи з ЕЦП при використанні електронних систем. Компрометація ЕЦП під час роботи з системою “Клієнт-банк” Судова практика стосовно несанкціонованого використання ЕЦП в системі електронного банкінгу Юридична колізія використання ЕЦП при підписанні банківських документів. Постанова НБУ від 12. 11. 2003 № 492 Легітимний варіант використання ЕЦП (особиста участь керівництва , надання повноважень оператору)
Основні недоліки існуючих механізмів ЕЦП та електронного документообігу Неврегульовані питання надання електронних документів контролюючим органам при перевірці а також судам Відсутність спільних форматів ЕЦП різних сертифікаційних центрів Інтерфейсна недосконалість діючих програмних продуктів
Основні нормативні документи міжнародного рівня Директива 1999/93/ЄС Європейського парламенту та Ради "Про систему електронних підписів, що застосовується в межах Співтовариства" від 13 грудня 1999 року Типовий закон ЮНСІТРАЛ «Про електронні підписи» (Комісія ООН з права міжнародної торгівлі) від 5 липня 2001 року Конвенція ООН про використання електронних повідомлень у міжнародних договорах 2005 року Комиссия ООН по праву международной торговли - Содействие укреплению доверия к электронной торговле: правовые вопросы международного использования электронных методов удостоверения подлинности и подписания Invoicing Directive 2001/115/ЕC (про політику ЕС щодо електронних рахунків) ETSI TS 101 456: Policy requirements for certification authorities issuing qualified certificates ETSI TS 102 042: Policy requirements for certification authorities issuing public key certificates ISO 16175 -2: 2011 Информация и документация. Принципы и функциональные требования к записям в электронной офисной среде
Основні тези міжнародного законодавства стосовно цифрового підпису Не дозволяється обмеження або позбавлення юридичної сили будь-якого методу створення електронного підпису, якщо такий підпис є настільки надійним, що відповідає меті, для якої документ на електронному носії був підготовлений або переданий, включаючи всі відповідні домовленості (ч. 1 ст. 6, Типовий закон ЮНСІТРАЛ «Про електронні підписи» ). термін "удосконалений електронний підпис" означає електронний підпис, який відповідає наступним вимогам: a) пов'язаний винятково з особою, що підписала; b) дає можливість ідентифікувати особу, що підписала; c) створений за допомогою засобів, які підписувач, може тримати під своїм повним контролем; d) пов'язаний з даними, до яких він відноситься у такий спосіб, що будь-яку подальшу зміну даних можна виявити (ст. 2. п. 2 Директиви 1999/93/ЄС) Держави - учасники забезпечують, щоб удосконалені електронні підписи, засновані на чинних сертифікатах і створені за допомогою безпечних механізмів створення підпису: a) задовольняли юридичним вимогам до підписів стосовно даних, поданих у електронній формі, так само, як підпис, написаний власноручно, задовольняє вимоги стосовно даних, нанесених на папір; b) були прийнятними в якості доказів у судочинстві. (ст. 5. п. 1 Директиви 1999/93/ЄС)
Останні зміни законодавства щодо ЕДО Наказом від 20 серпня 2012 року № 1236/5/453 «Про затвердження вимог до форматів, структури та протоколів, що реалізуються у надійних засобах електронного цифрового підпису» , який набрав чинності 07 вересня 2012 року внесено суттєві зміни до організації використання національних ЕЦП, які покликані вирішити питання їх вразливості та внормувати методику використання, а саме: - затверджено нові формати ЕЦП; - обов'язковість (для всіх форматів крім базового) фіксування позначки часу;
Наказом вводяться типи форматів ЕЦП: 1 Базовий ЕЦП Не надає можливості встановити дійсність підпису у випадку, якщо ЕЦП перевіряється після закінчення строку чинності сертифіката 2 Базовий ЕЦП із визначеною політикою підпису Містить атрибут, що вказує на політику підпису, дотримання якої є обов’язковим під час формування та перевірки ЕЦП 3 ЕЦП з посиланням на повний набір даних перевірки та ЕЦП з повним набором даних перевірки Забезпечують можливість встановлення дійсності ЕЦП у довгостроковому періоді (після закінчення строку чинності сертифіката). Додатково містять: - позначку часу відносно цифрового підпису; - сертифікати або посилання на сертифікати; - інформацію про статус для кожного сертифіката.
Висновки та рекомендації Система накладання ЕЦП та шифрування документу відкритим ключом отримувача дозволяє забезпечити конфіденційність та достовірність інформації в системі ЕДО Власник особистого ключа повинен самостійно забезпечувати неможливість його використання іншими особами Впровадження електронної системи документообігу поширюється на нові напрями господарського життя Останні зміни в нормативно-правовому регулюванні наближають вітчизняну нормативну базу до міжнародної
Управлінська система електронного документообігу ТОВ «Комплексне управління бізнес-процесами»
Варіанти здійснення розпорядчих функцій Вербальний (надання усних розпоряджень) Паперовий (формування паперового документу-розпорядження) Електронний неавтоматизований (несистематизована форма електронного документообігу) Електронний автоматизований (налагодження в інформаційній системі бізнес-процесів здійснення управлінських функцій
Сфери застосування розпорядчого управлінського документообігу в інформаційній системі Система погодження платежів Система погодження договірної документації Система погодження цін на номенклатуру та знижок Система погодження прийняття на роботу, переміщення та звільнення працівників Інший довільний розпорядчий процес (повернення, нарахування премій та ін. )
Необхідні передумови функціонування ефективної системи управлінського документообігу Консолідована база даних Максимальне обмеження числа працівників, які змінюють довідкову інформацію Жорстке обмеження можливості виконання господарських операцій без завершення процесу санкціонування
Передумови ефективного функціонування електронної системи документообігу Визначення логічного маршруту накладання електронних підписів та повноважень в працівників Фіксування історії погодження електронного документу Забезпечення можливості накладення підпису через електронну пошту або безпосередньо в програмі Можливість обмеження санкціонування враховуючи стан взаєморозрахунків, відповідність бюджету або інші показники бази даних
Приклад побудови маршруту послідовного накладання електронних підписів на платіжне доручення Вивантаження в клієнт-банк оператором Керівник фінансової служби Банківська виписка Керівник центру відповідальності Бухгалтер Ініціатор Електронна звітність
Приклад збереження історії накладення електронних підписів зі збереженням відмітки часу
Приклад інтерфейсу накладання електронного підпису
Пропонована базова схема процесу документообігу Електронний документ – як правило заявка, замовлення, вимога або наказ на проведення операції Накладання електронних підписів санкціонування операції Господарська операція (надходження, реалізація, проплата, погодження ціни) Електронний документ Паперовий документ Електронна звітність
Дякуємо за увагу! ТОВ «Комплексне управління бізнес-процесами» Адреса: м. Львів, вул. Шота Руставелі, 7 телефон: (032) 242 -54 -61 сайт: www. kubp. com. ua
Скачать презентацию Електронна система документообігу та звітності тенденції у запровадженні
CUBE.ppt