Електронна система

документообігу та звітності:
(тенденції у запровадженні та останні зміни у
нормативному регулюванні)
 Актуальність теми

Оперативність руху інформації

Вимоги нормативно-правового регулювання

Мінімізація затрат на обслуговування

Зручність узагальнення та отримання інформації за

потребою
 Сфери поширення електронного
документообігу
• Звітність в ДПС та ПФУ
• Банківські розрахунки
• Електронні державні закупівлі
• Митниця
• Оформлення паспортів
• Документи держ.реєстратору
• Документи для перевезення (авіа, залізниця)
• Реєстрація персональних даних
• Діяльність на фондовому ринку
• Запроваджується в судах.
Документ — засіб закріплення різними способами на відповідному
матеріалі інформації про факти, події, явища об'єктивної дійсності та
розумову діяльність людини.
 Варіанти організації системи
документообігу

Традиційний
Традиційний (паперовий)
(паперовий) Автоматизований
Автоматизований (електронний)
(електронний)
Розпорядчі
Розпорядчі документи
документи
Паперовий
Паперовий документ
документ або
або усна
усна вказівка
вказівка Електронний
Електронний документ
документ
–
– –
–
господарська операція
господарська операція господарська
господарська операція
операція

Облікові
Облікові документи
документи
Господарська
Господарська операція
операція –
– Господарська
Господарська операція
операція --
паперовий
паперовий документ
документ електронний
електронний електронний
електронний документ
документ – –
документ - електронна звітність
документ - електронна звітність електронна
електронна звітність
звітність
 Порівняння
Порівняння розпорядчої
розпорядчої та
та облікової
облікової систем
систем електронного
електронного
документообігу
документообігу

Критерій Облікова система Розпорядча система

Жорсткість регулювання Посилена (спеціалізоване Спрощена (достатньо

програмне забезпечення) електронного листа або
документу внесеного в
інформаційну систему)
Рівень складності Проблемний Універсальний (звітність в
формування звітності інформаційній системі)
Рівень контролю Ретроспективний Попередній
Відповідальність Згідно з чинним На рівні внутрішніх
законодавство регламентів та усних
домовленостей
 Облікова система
електронного документообігу
 Основні нормативні документи України

 Закон України "Про електронні документи та електронний документообіг"

від 22.05.2003 р. № 851-IV
 Закон України "Про електронний цифровий підпис" 22.05.2003 р. № 852-IV
 Закон України "Про захист інформації в інформаційно-телекомунікаційних
системах" від 05.07.94 р. № 80/94-ВР (в редакції від 19.03.2009 р. N 1180-VI)
 Постанова Кабінету Міністрів України "Про затвердження Порядку засвідчення
наявності електронного документа (електронних даних) на певний момент часу" від
26.05.2004 р. № 680
 Постанова Кабінету Міністрів України "Про затвердження Порядку застосування
електронного цифрового підпису органами державної влади, органами місцевого
самоврядування, підприємствами, установами та організаціями державної форми
власності" від 28.10.2004 р. №145
 Засвідчення
Засвідчення електронного
електронного документу
документу

Електронний
Електронний цифровий
цифровий підпис
підпис
Електронний
Електронний Електронний
Електронний цифровий
цифровий підпис
підпис зз посиленим
посиленим сертифікатом
сертифікатом
підпис
підпис без
без посиленого
посиленого сертифікату
сертифікату ключів
ключів

Електронний документ - документ, інформація в якому

зафіксована у вигляді електронних даних, включаючи
обов'язкові реквізити.
Електронний підпис - дані в електронній формі, які додаються
до інших електронних даних або логічно з ними пов'язані та
призначені для ідентифікації підписувача цих даних
Електронний підпис не може бути визнаний недійсним лише
через те, що він має електронну форму або не ґрунтується на
посиленому сертифікаті ключа.
До печатки і власноручного підпису на бухгалтерських
документах прирівнюється застосування лише посиленого
сертифікату ключа.
 Основні тези закону про електронний цифровий підпис
Електронний цифровий підпис (ЕЦП) – це вид
електронного підпису, отриманого за результатом
криптографічного перетворення набору електронних даних,
який додається до цього набору або логічно з ним
поєднується:
ЕЦП виконує такі функції:
1. Ідентифікація підписувача - засвідчує, що підписаний
документ надходить від особи, яка його підписала;
2. Підтвердження цілісності даних в електронній формі -
є гарантією того, що підписаний документ не зазнав
модифікації з боку третіх осіб;
3. Правові наслідки - позбавляє особу, яка підписала
документ, можливості відмовитися від зобов’язань,
викладених у підписаному документі.
Увага! ЕЦП не робить документ конфіденційним!
 Суб'єкти електронного документообігу із
застосуванням ЕЦП

Центр
Центр
Підписувач сертифікації
сертифікації Користувач
ключів
ключів (ЦСК)
(ЦСК)

 володіє
володіє  надає
 надає послуги
послуги  перевіряє
перевіряє
особистим
особистим обслуговування
обслуговування електронний
електронний
ключем
ключем процесу
процесу цифровий
цифровий підпис
підпис
(доступним
(доступним тільки
тільки електронного
електронного
йому)
йому) цифрового
цифрового підпису
підпису
Щоб стати суб'єктом електронного документообігу
в Україні необхідно:

1. Укласти договір про надання послуг електронного

цифрового підпису (за умови відсутності) з відповідним
акредитованим центром сертифікації ключів (АЦСК).

2. Отримати пару ключів для забезпечення підписання власних

ЕД та здійснення криптографічного шифрування ЕД.

3. Інсталювати відповідне програмне забезпечення, що

забезпечує підготовку даних для виконання алгоритмів ЕЦП.

4. Встановити кореспондентські відносини з метою обміну

сертифікатами відкритих ключів шифрування
(відкритими ключами), що надає можливість у подальшому
здійснювати обмін електронними повідомленнями у
шифрованому вигляді.
Використання алгоритмів асиметричного шифрування
при реалізації електронного цифрового підпису
МЕТОД
МЕТОД КРИПТОГРАФІЇ
КРИПТОГРАФІЇ НА
НА ОСНОВІ
ОСНОВІ УНІКАЛЬНОЇ
УНІКАЛЬНОЇ ЗВ’ЯЗАНОЇ
ЗВ’ЯЗАНОЇ ПАРИ
ПАРИ КЛЮЧІВ
КЛЮЧІВ

Приватний
Приватний (закритий)
(закритий) Відкритий
Відкритий ключ
ключ
ключ
ключ створює
створює підпис
підпис перевіряє
перевіряє підпис
підпис

Приватний (особистий, таємний) ключ - параметр криптографічного

алгоритму формування електронного цифрового підпису, доступний
тільки підписувачу;
Відкритий ключ – параметр криптографічного алгоритму перевірки
електронного цифрового підпису, доступний всім суб'єктам відносин у
сфері використання ЕЦП (публікується в загальному доступі);
Електронний документ з ЕЦП може бути перевірений будь-яким
контрагентом, що має відкритий ключ відправника. ЕЦП не захищає
документ від прочитання сторонніми особами.
Для забезпечення конфіденційності документа використовується
шифрування.
Процедура використання електронного цифрового підпису
Процедура захисту інформації від несанціонованого
перегляду
Етапи
Етапи роботи
роботи зз електронним
електронним документом
документом на
на
який
який накладається
накладається ЕЦП
ЕЦП

Створення
Створення документу
документу автором
автором

Підписання
Підписання документу
документу закритим
закритим ключем
ключем автора
автора

підпис
цифровий підпис
несанкціонованого
Шифрування
Шифрування документу
документу відкритим
відкритим ключем
ключем отримувача

несанкціонованого
отримувача

Електронний цифровий
від

перегляду
Захист від

перегляду
Транспортування
Транспортування документу
документу від
від автора
автора до
до отримувача
отримувача

Захист

Електронний
Дешифрування
Дешифрування документу
документу закритим
закритим ключем
ключем отримувача
отримувача

Перевірка
Перевірка ЕЦП
ЕЦП автора
автора за
за допомогою
допомогою його
його відкритого
відкритого ключа
ключа

Використання
Використання документу
документу
Правила використання особистого ключа ЕЦП

Підписувач несе відповідальність за зберігання особистого ключа

Використання особистого ключа підписувачем здійснюється на умовах

конфіденційності. Підписувач зобов'язаний зберігати свій ключ у
таємниці та не допускати використання особистого ключа іншими
особами.
Копіювання особистих ключів та/або передача їх іншим особам
забороняється
У приміщені де знаходяться або до якого мають доступ інші особи,
забороняється залишення носія з особистим ключем або працюючої
програми ЕЦП з введеним особистим ключем у відсутності підписувача

При застосуванні ЕЦП підписувач зобов'язаний: не

використовувати особистий ключ у разі його компрометації.
 Компрометація ЕЦП при застосуванні
систем електронного банкінгу

“Звичаєві” форми роботи з ЕЦП при використанні електронних

систем. Компрометація ЕЦП під час роботи з системою “Клієнт-банк”

Судова практика стосовно несанкціонованого використання ЕЦП в

системі електронного банкінгу

Юридична колізія використання ЕЦП при підписанні банківських

документів. Постанова НБУ від 12.11.2003 №492

Легітимний варіант використання ЕЦП (особиста участь керівництва ,

надання повноважень оператору)
 Основні недоліки існуючих механізмів ЕЦП
та електронного документообігу

Неврегульовані питання надання електронних документів

контролюючим органам при перевірці а також судам

Відсутність спільних форматів ЕЦП різних сертифікаційних

центрів

Інтерфейсна недосконалість діючих програмних продуктів

 Основні нормативні документи міжнародного рівня
Директива 1999/93/ЄС Європейського парламенту та Ради "Про систему
електронних підписів, що застосовується в межах Співтовариства" від 13
грудня 1999 року
Типовий закон ЮНСІТРАЛ «Про електронні підписи» (Комісія ООН з права
міжнародної торгівлі) від 5 липня 2001 року
Конвенція ООН про використання електронних повідомлень у міжнародних
договорах 2005 року
Комиссия ООН по праву международной торговли - Содействие укреплению
доверия к электронной торговле: правовые вопросы международного
использования электронных методов удостоверения подлинности и подписания
Invoicing Directive 2001/115/ЕC (про політику ЕС щодо електронних рахунків)
ETSI TS 101 456: Policy requirements for certification authorities issuing qualified
certificates
ETSI TS 102 042: Policy requirements for certification authorities issuing public key
certificates
ISO 16175-2:2011 Информация и документация. Принципы и функциональные
требования к записям в электронной офисной среде
Основні
Основні тези
тези міжнародного
міжнародного законодавства
законодавства
стосовно
стосовно цифрового
цифрового підпису
підпису

Не
Не дозволяється
дозволяється обмеження
обмеження абоабо позбавлення
позбавлення юридичної
юридичної сили
сили будь-якого
будь-якого
методу
методу створення
створення електронного
електронного підпису,
підпису, якщо
якщо такий
такий підпис
підпис єє настільки
настільки
надійним,
надійним, що
що відповідає
відповідає меті,
меті, для
для якої
якої документ
документ нана електронному
електронному носії
носії був
був
підготовлений
підготовлений або
або переданий,
переданий, включаючи
включаючи всівсі відповідні
відповідні домовленості
домовленості (ч.
(ч. 11
ст.
ст. 6,
6, Типовий
Типовий закон
закон ЮНСІТРАЛ
ЮНСІТРАЛ «Про «Про електронні
електронні підписи»
підписи» ).).

термін
термін "удосконалений
"удосконалений електронний
електронний підпис"
підпис" означає
означає електронний
електронний підпис,
підпис,
який
який відповідає
відповідає наступним
наступним вимогам:
вимогам: a)
a) пов'язаний
пов'язаний винятково
винятково зз особою,
особою, що що
підписала;
підписала; b)
b) дає
дає можливість
можливість ідентифікувати
ідентифікувати особу,
особу, що
що підписала;
підписала; c) c)
створений
створений заза допомогою
допомогою засобів,
засобів, які
які підписувач,
підписувач, може
може тримати
тримати під
під своїм
своїм
повним
повним контролем;
контролем; d)d) пов'язаний
пов'язаний зз даними,
даними, додо яких
яких він
він відноситься
відноситься уу такий
такий
спосіб,
спосіб, що
що будь-яку
будь-яку подальшу
подальшу зміну
зміну даних
даних можна
можна виявити
виявити (ст.2.
(ст.2. п.2
п.2
Директиви
Директиви 1999/93/ЄС)
1999/93/ЄС)

Держави
Держави -- учасники
учасники забезпечують,
забезпечують, щобщоб удосконалені
удосконалені електронні
електронні
підписи,
підписи, засновані
засновані на на чинних
чинних сертифікатах
сертифікатах іі створені
створені за
за допомогою
допомогою
безпечних
безпечних механізмів
механізмів створення
створення підпису:
підпису: a)
a) задовольняли
задовольняли юридичним
юридичним
вимогам
вимогам до до підписів
підписів стосовно
стосовно даних,
даних, поданих
поданих уу електронній
електронній формі,
формі, так
так
само,
само, як
як підпис,
підпис, написаний
написаний власноручно,
власноручно, задовольняє
задовольняє вимоги
вимоги стосовно
стосовно
даних,
даних, нанесених
нанесених на на папір;
папір; b)
b) були
були прийнятними
прийнятними вв якості
якості доказів
доказів уу
судочинстві.
судочинстві. (ст.5.
(ст.5. п.1
п.1 Директиви
Директиви 1999/93/ЄС)
1999/93/ЄС)
 Останні
Останні зміни
зміни законодавства
законодавства щодо
щодо ЕДО
ЕДО

Наказом від 20 серпня 2012 року № 1236/5/453 «Про затвердження

вимог до форматів, структури та протоколів, що
реалізуються у надійних засобах електронного цифрового
підпису», який набрав чинності 07 вересня 2012 року внесено
суттєві зміни до організації використання національних ЕЦП, які
покликані вирішити питання їх вразливості та внормувати методику
використання, а саме:
- затверджено нові формати ЕЦП;
- обов'язковість (для всіх форматів крім базового)
фіксування позначки часу;
- вирішення питання сумісності ЕЦП різних сертифікаційних
центрів.
Дані зміни узгоджують в цілому процедуру накладання ЕЦП з
міжнародними вимогами.
При цьому, організації, які експлуатують надійні засоби ЕЦП
(акредитовані сертифікаційні центри) забезпечують застосування у
них нових положень з 01 червня 2013 року.
 Наказом вводяться типи форматів ЕЦП:
1 Базовий ЕЦП Не надає можливості встановити дійсність підпису у
випадку, якщо ЕЦП перевіряється після закінчення
строку чинності сертифіката

2 Базовий ЕЦП із Містить атрибут, що вказує на політику підпису,

визначеною дотримання якої є обов’язковим під час
формування та перевірки ЕЦП
політикою
підпису

3 ЕЦП з посилан- Забезпечують можливість встановлення дійсності

ням на повний ЕЦП у довгостроковому періоді (після закінчення
строку чинності сертифіката).
набір даних Додатково містять:
перевірки та - позначку часу відносно цифрового підпису;
- сертифікати або посилання на сертифікати;
ЕЦП з повним -інформацію про статус для кожного сертифіката.
набором даних
перевірки
 Висновки
Висновки та
та рекомендації
рекомендації

Система
Система накладання
накладання ЕЦП ЕЦП та
та шифрування
шифрування документу
документу відкритим
відкритим ключом
ключом
отримувача
отримувача дозволяє
дозволяє забезпечити
забезпечити конфіденційність
конфіденційність та
та достовірність
достовірність
інформації
інформації вв системі
системі ЕДО
ЕДО

Власник
Власник особистого
особистого ключа
ключа повинен
повинен самостійно
самостійно забезпечувати
забезпечувати
неможливість
неможливість його
його використання
використання іншими
іншими особами
особами

Впровадження
Впровадження електронної
електронної системи
системи документообігу
документообігу поширюється
поширюється на
на нові
нові
напрями
напрями господарського
господарського життя
життя

Останні
Останні зміни
зміни вв нормативно-правовому
нормативно-правовому регулюванні
регулюванні наближають
наближають вітчизняну
вітчизняну
нормативну
нормативну базу
базу додо міжнародної
міжнародної
 Управлінська система
електронного документообігу

ТОВ «Комплексне управління бізнес-процесами»

Варіанти здійснення розпорядчих
функцій
Вербальний
Вербальний (надання
(надання усних
усних розпоряджень)
розпоряджень)

Паперовий
Паперовий (формування
(формування паперового
паперового
документу-розпорядження)
документу-розпорядження)

Електронний
Електронний неавтоматизований
неавтоматизований
(несистематизована
(несистематизована форма
форма електронного
електронного
документообігу)
документообігу)
Електронний
Електронний автоматизований
автоматизований
(налагодження
(налагодження вв інформаційній
інформаційній системі
системі
бізнес-процесів
бізнес-процесів здійснення
здійснення управлінських
управлінських
функцій
функцій
Сфери
Сфери застосування
застосування розпорядчого
розпорядчого управлінського
управлінського
документообігу
документообігу в
в інформаційній
інформаційній системі
системі

Система
Система погодження
погодження платежів
платежів

Система
Система погодження
погодження договірної
договірної документації
документації
Система
Система погодження
погодження цін
цін на
на номенклатуру
номенклатуру та
та знижок
знижок

Система
Система погодження
погодження прийняття
прийняття на
на роботу,
роботу, переміщення
переміщення
та
та звільнення
звільнення працівників
працівників

Інший
Інший довільний
довільний розпорядчий
розпорядчий процес
процес (повернення,
(повернення,
нарахування
нарахування премій
премій та
та ін.)
ін.)
Необхідні передумови функціонування
ефективної системи управлінського
документообігу

Консолідована
Консолідована база
база даних
даних

Максимальне
Максимальне обмеження
обмеження числа
числа працівників,
працівників, які
які
змінюють
змінюють довідкову
довідкову інформацію
інформацію

Жорстке
Жорстке обмеження
обмеження можливості
можливості виконання
виконання
господарських
господарських операцій
операцій без
без завершення
завершення процесу
процесу
санкціонування
санкціонування
Передумови ефективного функціонування
електронної системи документообігу
Визначення логічного маршруту накладання
електронних підписів та повноважень в працівників

Фіксування історії погодження електронного

документу

Забезпечення можливості накладення підпису через

електронну пошту або безпосередньо в програмі

Можливість обмеження санкціонування враховуючи

стан взаєморозрахунків, відповідність бюджету або
інші показники бази даних
 Приклад побудови маршруту послідовного
накладання електронних підписів на платіжне
доручення

Вивантаження
Вивантаження вв
клієнт-банк
клієнт-банк
оператором
оператором
Банківська
Банківська
Керівник
Керівник виписка
виписка
фінансової
фінансової служби
служби

Керівник
Керівник центру
центру
відповідальності
відповідальності

Електронна
Електронна
Бухгалтер
Бухгалтер звітність
звітність

Ініціатор
Ініціатор
Приклад збереження історії накладення електронних
підписів зі збереженням відмітки часу
Приклад інтерфейсу накладання електронного
підпису
 Пропонована базова схема
процесу документообігу

Електронний документ – як правило заявка, замовлення,

вимога або наказ на проведення операції

Накладання електронних підписів санкціонування операції

Господарська операція (надходження, реалізація, проплата,

погодження ціни)

Електронний документ Паперовий документ

Електронна звітність