Электронная подпись

[Itanium]

не нужно искать черную кошку в темной комнате - если вы знаете, что ее там нет

Мой экспертный опыт (ни в коем случае не связано с ФСА :) научил меня очень аккуратно формулировать выводы. Смотрите - на входе у Вас ЭЦП, подлинность которой не удается проверить. Это может быть в результате технических проблем с ПО, просроченным сертификатом или подпись на самом деле недействительная. Причину эксперт не знает, Вы тоже можете этого не знать.
На каком основании Вы или эксперт делаете вывод о том, что документ подписан должным образом?
У Вас к этому нет никаких оснований. И эксперт не может делать таких выводов, если он не видит своими глазами валидную подпись.

К сожалению, многие эксперты грешат тем, что путают свои домыслы с фактами. Например, есть требование - наличие правил ... не важно каких. В документах есть прямой текст Правила ... Однако эксперт , не находя в этих правилах чего-то, что он считает должно быть, делает вывод - отсутствие правил. Это полная ложь, и должна трактоваться в Акте как недостоверная информация.
Однако ФСА сплотив ряды тупо (иначе это действие не назовешь) отвергает претензии лабораторий. А Вы говорите ЭКСПЕРТЫ УЧАТСЯ :)
Они вместе с ФСА образовали монолитную стену, от которой отскакивают как сушеный горох ЛЮБЫЕ аргументы и несогласия. Я, честно говоря, не припомню иных решений аппеляционных комиссий, кроме - отказать. Думаю, нужно в прокуратуру обращаться, а не в Росаккредитацию.

[Метролог]

Смотрите - на входе у Вас ЭЦП, подлинность которой не удается проверить. Это может быть в результате технических проблем с ПО, просроченным сертификатом или подпись на самом деле недействительная. Причину эксперт не знает, Вы тоже можете этого не знать.

И что?У меня есть официальное письмо госучреждения подписанного ЭП. Прошло 3 года оно стало недействительным? Сегодня оно подписано просроченной ЭП. Я и Вам и любому эксперту просто тупо покажу, что на момент подписания эта ЭП действовала. Этого должно быть достаточно. Актуализировать ЭП у протоколов в архивах - это маразм

И эксперт не может делать таких выводов, если он не видит своими глазами валидную подпись.

На куче предприятий нет интернета, поэтому проверить валидность подписи невозможно

Я, честно говоря, не припомню иных решений аппеляционных комиссий, кроме - отказать

Аппеляционная комиссия - последняя инстанция, туда приходят уже после отказа договорится на более раннем этапе (проверке акта в РА)

Думаю, нужно в прокуратуру обращаться, а не в Росаккредитацию.

В Суд )))

[Itanium]

Прошло 3 года оно стало недействительным?

Нет, не стала. Но для подтверждения этого требуется обращение в удостоверяющий центр.

Я и Вам и любому эксперту просто тупо покажу, что на момент подписания эта ЭП действовала

Ничего Вы не покажете, правила игры другие.
Как игроки двух футбольных команд могут друг другу показывать и доказывать что угодно, решение будет такое, какое скажет арбитр. Вот в данном случае удостоверяющий центр и есть этот самый арбитр.

куче предприятий нет интернета

А вот это не обязательно для проверки подписи, да и для подписания тоже.

[Метролог]

Ничего Вы не покажете, правила игры другие.

Вы перегорели на своем IT. Ваши выкладки актуальны для СЭД и Банковских программ. Там необходима актуальность ЭП для принятия решения. Мы же, как понимаю, говорим про архив. Там Вы не сможете обеспечивать актуальность ЭП (умер человек, уволился) Поэтому в данном моменте ЭП используется так же как и ручная. Подписал в данный момент, по ЭП можно идентифицировать дату "годности" подписи и имя подписанта.

Но для подтверждения этого требуется обращение в удостоверяющий центр.

А за каким? Этот человек там больше не работает

А вот это не обязательно для проверки подписи, да и для подписания тоже.

Особо не вникал, а как Ваш сертификат будет проверяться в Удостоверяющем центре?

[Itanium]

Мы же, как понимаю, говорим про архив.

Вообще-то мы говорим про подпись и ее подтверждение. Срок хранения отчетных документов 3 года. Вот эти 3 года Вы и должны иметь возможность предъявить отчетный документ с подписью. И, кстати, не только в ФСА, есть и другие, кто могут запросить у Вас эти документы - собственный Генеральный директор, безопасник компании, Потребнадзор, Прокуратура, Полиция, Суд... не важно кто, назовем обобщенно - контролирующий орган. А уже в архиве он у Вас находится или нет - вопрос десятый.
Знаю случаи, когда Заказчики подделывали печать ИЛ, подпись и "клепали" протоколы для собственных нужд совершенно безвоздмездно :)

Особо не вникал

Вот в том то и дело :)
Попробуйте сначала разобраться как это работает...

Умер человек или улетел на Марс - совершенно не важно. Для проверки подписи требуется не человек, а открытый ключ, который хранится в сертификате, вместе с иной служебной информацией. Он потому и называется открытым, что распространяется свободно и может находиться где угодно и у кого угодно, в отличие от закрытого ключа, который хранится на защищенном носителе и по регламенту должен быть защищен.
Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.
Даже если оба ключа давно просрочены, токен потерян, а владелец застрелился :)

Вот этим мне нравится ЭЦП, пока не созданы мощные квантовые компьютеры - ее нельзя подделать, чего не скажешь о ручной подписи. Далеко не каждый эксперт и не всегда даст заключение о принадлежности или подделке ручной подписи.

[Метролог]

А уже в архиве он у Вас находится или нет - вопрос десятый.

А вот это как раз таки первый вопрос. Вы подписываете протокол 02.02.18 ЭП. Протокол тоже от того числа. И файл имеет дату изменения 02.02.18. Вы его складываете в архив. Какой то идиот считает, что в 20 году надо переподписать протокол (якобы ЭП не актуальна). Переподписывает свежей. Берем протокол он 18 года, а ЭП действует с 20 года. Фальсификат однако )) Или помер у Вас человек, насмерть. Будете липовую подпись заводить?

Вот в том то и дело :)

Ну я Вам про другое говорил

Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.

Я как понял разговор идет про случай когда год прошел сертификат закончен, и при его открытии вылетает сообщение что он не действует.

[texadmin]

Спорить можно бесконечно, может лучше за разъяснениями в Контур написать, или местным?
Только не получится три года, обновляя по два держать подпись. Два проходит эксперты приезжают, уезжают, вы берёте новую подпись, два года проходит, у вас трёхлетние протоколы тю тю (год от предыдущих экспертов), этой подписи уже четыре года.

[Метролог]

Спорить можно бесконечно

Мы как бы не спорим. У меня складывается мнение, что говорим про разные вещи. Или что то сильно поменялось с того раза, когда я видел в живую ЭП )))

Отправлено спустя 1 минуту:

Два проходит эксперты приезжают, уезжают, вы берёте новую подпись, два года проходит, у вас трёхлетние протоколы тю тю (год от предыдущих экспертов), этой подписи уже четыре года.

Не понял. Вы предлагаете переподписать протоколы свежей подписью?

[texadmin]

Itanium предлагает после уезда комиссии покупать новую подпись, что бы по приезду следующей при проверке выскакивала надпись подпись действительна. При некотором стечении обстоятельств, этого может не произойти, например если закончился сертификат и вы купили новую (перед приездом комиссии).
Я как бы за то что нефиг заворачиваться, т.к. использование подписи происходит по назначению и в рамках закона.

[Метролог]

проверке выскакивала надпись подпись действительна.

а как это бьётся с

Для проверки подписи требуется не человек, а открытый ключ, который хранится в сертификате, вместе с иной служебной информацией. Он потому и называется открытым, что распространяется свободно и может находиться где угодно и у кого угодно, в отличие от закрытого ключа, который хранится на защищенном носителе и по регламенту должен быть защищен.
Чтобы проверить Вашу подпись - Ваше наличие совершенно не нужно, нужен Ваш открытый ключ и реестр Удостоверяющего центра, где хранится его копия. Открытый ключ позволяет удостовериться, что подпись Ваша, в реестр УЦ подтверждает, что ключи выдавали именно Вам.

Видимо, вы друг друга тоже не поняли

[Itanium]

Itanium предлагает после уезда комиссии покупать новую подпись, что бы по приезду следующей при проверке выскакивала надпись подпись действительна

Ничего подобного :) Бред какой-то пошел... разговор слепого с глухим.

Смотрите, в ЭЦП два ключа - открытый (сертификат) и закрытый. По старому ГОСТ срок действия обоих ключей - 1 год.
По новому ГОСТ - открытый ключ действует 3 года, закрытый - 1 год. Но Вы приобретаете новую ЭЦП ежегодно (помним про закрытый ключ!). А все, что Вы в течение 2-х лет подписываете (подотчетный период для ФСА) предыдущими ЭЦП будет корректно отображаться. И даже 3-х летний период (срок хранения подписанных Протоколов) охватывает подпись по новому ГОСТ с 3-х летним открытым ключем.
Ничего не нужно переподписывать!
Единственное, что я хотел посмотреть - техническую реализацию. Фокус в чем, если на Токене хранить 3 ЭЦП, то не всякий Токен подойдет. Если сертификат на комп загонять, может потеряться :)

может лучше за разъяснениями в Контур написать, или местным

А Контур тут при чем? Разработчик ПО - Криптопро. И ключи генерятся в специльном ПО Криптопро УЦ. Можете скачать, поставить себе на комп и "нагенерить" кучу ЭЦП :)

Кстати есть аналог VipNet, я одно время пользовался.

[texadmin]

Нужно синхронизировать :)

Но с учетом того, что открытый ключ действует 3 года, а проверки проходят с периодичностью 2 года - есть целый год на синхронизацию.

[DigitalError]

Ничего подобного :)

Я кстати так же понял, как техадмин. И противоречий с вашим

все, что Вы в течение 2-х лет подписываете (подотчетный период для ФСА) предыдущими ЭЦП будет корректно отображаться

в его понимании не вижу. Что-то совсем запутался. Может, все же, оставить эти тонкости специалистам по IT и не трактовать Критерии, а пользоваться ими (отвечал выше техадмину об "ограниченной ответственности лаборатории")? В вашей компетентности никто не сомневается. Вопрос в другом - сколько экспертов ФСА обладают такой же компетентностью? Думаю, число их стремится к нулю.

[texadmin]

Думаю, число их стремится к нулю.

Даже если не так, у них корочек нет, специалист по криптографии.

[Метролог]

Даже если не так, у них корочек нет, специалист по криптографии.

Надо определится. Шашечки или ехать? Сегодня подписать протоколы действующей ЭП и спокойно убрать её в архив, где и через 5 лет можно открыть этот протокол и убедиться, что на момент подписания ЭП была валидна, или изображать из себя специалиста по криптографии

[Itanium]

эти тонкости специалистам по IT и не трактовать Критерии

При чем тут критерии...
Еще раз на пальцах - Вы подписываете электронный документ электронной подписью. Через 2 года Вам нужно предъявить этот документ экспертам ФСА (кстати возможно не только им и в течение 3-х лет).
Вы показываете эксперту документ на котором информация о подписи - подпись невалидна.
Что, по Вашему должен эксперт написать в Акте?

[DigitalError]

Itanium, ну, так пусть пишет все, что угодно - мы на него в суд подадим (напомню, что в связи с отсутствием бизнеса - можем себе позволить). Я тоже за точность формулировок, как и вы. Но "правоприменительная практика" должна из чего-то складываться. Так пусть складывается из тех, кто не занимается бизнесом - в пользу тех, кто им занимается. Если "оштрафуют" (первый этап) - обязательно напишу, чем закончилось.

[Метролог]

Вы показываете эксперту документ на котором информация о подписи - подпись невалидна.

ИМХО. Валидность подписи документа нужна при работе в системах, где она проверяется. Для архива мы подписываем документ ЭП, чтобы никто после не мог внести туда изменения. Через 10 лет будет не важно валидна она на тот момент или нет, а есть ли подпись (значит никто не вносил изменений в данный документ). Вот что основополагающее в этом

[Itanium]

Валидность подписи документа нужна при работе в системах, где она проверяется.

Ничего подобного. У электронной подписи есть 2 основных функции - подтверждение авторства и неизменности документа.
Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись, а вовсе не то, о чем Вы думаете...

[Метролог]

У электронной подписи есть 2 основных функции - подтверждение авторства и неизменности документа.

Совершенно верно

Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись,

Откройте сертификат и посмотрите на кого она выдана и дата действительности. В чем проблема?

Отправлено спустя 13 минут:

Отчет проверки подписи - 2020.04.09.pdf

(32.35 КБ) 244 скачивания

Чтобы не быть голословным прикладываю протокол проверки ЭП. ИМХО всё видно. Выделил жёлтым цветом. У экспертов вопросов быть не должно

[DigitalError]

Статус подпись невалидна может свидетельствовать о том, что это вообще не ваша подпись

А может, что эта подпись ваша, но выдана не вам, а может, это глюк программного обеспечения, а может, это Штирлиц был на Луне, где ее и подделал :)
Еще раз повторю - никто не сомневается в вашей компетентности. Но, черт возьми, как без специалных знаниний что-либо подтвердить, либо опровергнуть?

[texadmin]

У меня в далёком прошлом что то не получилось.
Область применения сертификата
Защита Электронной Почты (1.3.6.1.5.5.7.3.4)
Проверка Подлинности Клиента (1.3.6.1.5.5.7.3.2)
Пользователь службы штампов времени (КриптоПро УЦ)
(1.2.643.2.2.34.25)
Пользователь Центра Регистрации (КриптоПро УЦ)
(1.2.643.2.2.34.6)
Не помню с кем то спорил что у подписи есть область применения (ограничивают при продаже, удостоверяющие центры тоже ответственность несут), перед тем как купить начитался всякой всячины, а так и не смог привести пример.

[DigitalError]

а так и не смог привести пример.

И эксперты не смогут. Нет знаний специальных.

[Itanium]

А может, что эта подпись ваша, но выдана не вам, а может, это глюк программного обеспечения, а может, это Штирлиц был на Луне, где ее и подделал :)

Это словоблудие. Мне не требуется подтверждение своей компетентности, можете сомневаться в ней сколько Вам вздумается. Но факт в том, что Вы, к сожалению "не врубаетесь" в тему.
Повторюсь - у электронной подписи две основных функции - подтверждение авторства и неизменности документа. ПЕРВОЕ ВЫ ПРОВАЛИЛИ, ПРОВЕРКА НЕ ПРОШЛА, ЭТО ЗНАЧИТ АВТОРСТВО НЕ ПОДТВЕРЖДЕНО! ВСЕ! о чем еще может дальше быть речь...

[texadmin]

Прошлый раз на этом остановился "Обычно файл подписи назван тем же именем, что и подписанный документ", что за файл? На руках нет ЭЦП

Из интересного, не видел что бы обсуждали
Термин «электронная цифровая подпись» (сокращенно – ЭЦП), ставший привычным для большинства граждан, сегодня считается устаревшим.
С момента вступления в силу 63-ФЗ и заменой термина ЭЦП на ЭП увеличилось число видов подписи:

Обычная ЭП (просто подтверждает авторство).
Усиленная неквалифицированная ЭП (подтверждает авторство с доказательством неизменности документа, используется криптография и ключ).
Усиленная квалифицированная ЭП (аналогично п. 2, однако, сертификат ключа выдается аккредитованным/уполномоченным удостоверяющим центром, ЭП создается и проверяется средствами, соответствующими требованиям 63-ФЗ).

На данный момент юридически правильными сокращениями термина являются: ЭП (электронная подпись), КЭП или УКЭП (для квалифицированной версии).

[texadmin]

Инструкция по подписанию файлов ЭП_v6.docx

(3.6 МБ) 241 скачивание

Название: Инструкция по подписанию файлов ЭП
Описание: В данной инструкции представлено два инструмента для подписи документов с помощью электронной подписи. Вы можете выбрать любой из них, который наиболее удобен вам.
Тип документа: Инструкция
Автор: Росаккредитация
Год: 2020
Количество страниц: 35
Язык: русский, RU
Качество: печатный текст
Пример текста:
Загруженные файлы документов необходимо будет подписать Вашей квалифицированной электронной подписью, сформированной в виде отдельного файла от исходных данных с помощью программного обеспечения электронной подписи. Следуйте инструкциям по подписанию документов выбранного Вами программного обеспечения электронной подписи. После подписания к подписанным документам необходимо приложить файл отсоединенной электронной подписи с расширением: *.sig.

Как проверить подлинность ЭП в подписанном документе
В данной инструкции описана процедура проверки подписанного документа с помощью программных средств в разделах «Проверка электронной подписи» в Контур.Крипто и «Проверка электронной подписи» в КриптоАРМ.

[DigitalError]

texadmin, вы службой штампов времени пользуетесь? Хочется избавиться от метки "дата и время взято с компьютера пользователя". Я на той неделе пытался к криптоарму тестовую службу прикрутить (вроде криптопро TSP называлась), но криптоарм ошибку выдает.

[texadmin]

Дело было так, установил КриптоПро PDF, в настройках надо выбрать TSP сервер. Попробовал ошибка. В инете набрал сервер TSP, и давай все подряд вставлять. Какой то сработал. (как оказалось позже услуга платная, может на какой бесплатный наткнулся). Побаловался и плюнул. Через какое то время хотел скриншот сделать для форума, не получилось. Оказалось КриптоПро PDF только месяц бесплатно, а потом он как бы платный (но для Adobe бесплатный), но метка времени работает только в платной версии.
Завтра загляните, может получится бесплатный TSP в записях восстановить.

[DigitalError]

метка времени работает только в платной версии

Не совсем понял - платная версия криптопро пдф в акробат ридере? Мы ридер покупаем в этом году лицензию. Если интересен результат - напишу. Второй вопрос - служба штампов времени наделяет электронные документы юридической силой. Коммерческих служб штампов времени много - какая из них наиболее финансово доступна и удобна?

[cordek]

Лучше всего использовать штамп времени своего УЦ

[texadmin]

Лучше всего использовать штамп времени своего УЦ

Это понятно, я и подумал лажа какая то, может что взломал

Отправлено спустя 2 минуты:
Ридер который бесплатный Adobe Acrobat Reader DC
Криптопро пдф (в любом ридере работает бесплатно), но через месяц истекает срок бесплатного использования и часть функций отключается. Но подписывать можно, штамп времени уже не поставишь.

[DigitalError]

cordek, вы имеете в виду это?

[Гость]

Вопрос про ЭЦП. Хотим уходить от бумажных протоколов для себя, и оставить их только для заказчика. У нас протокол утверждает и подписывает на титульном листе руководитель, а на последнем листе расписывается исполнитель т.е. тот кто оформлял протокол. Вопрос (в ЭЦП я ноль) в протокол 2 (две) ЭЦП понятно мы не сможем вставить, тогда кто должен его подписывать ЭЦПшкой рук-ль или исполнитель? Или все протоколы может подписывать ЭЦПшкой рук-ль, а исполнителям не обязательно иметь ЭЦП или каждому исполнителю надо ЭЦПшку????

[texadmin]

ЭЦП для утверждающего, исполнителя можете просто указывать.
Вроде можно несколько ЭЦП ставить, в этом вопросе я не разбирался..

[Станиславвввв]

[quote=Гость post_id=13934 time=1609834642 user_id=1]
[align=center][img]images/2021-year.png[/img][/align]
Вопрос про ЭЦП. Хотим уходить от бумажных протоколов для себя, и оставить их только для заказчика. У нас протокол утверждает и подписывает на титульном листе руководитель, а на последнем листе расписывается исполнитель т.е. тот кто оформлял протокол. Вопрос (в ЭЦП я ноль) в протокол 2 (две) ЭЦП понятно мы не сможем вставить, тогда кто должен его подписывать ЭЦПшкой рук-ль или исполнитель? Или все протоколы может подписывать ЭЦПшкой рук-ль, а исполнителям не обязательно иметь ЭЦП или каждому исполнителю надо ЭЦПшку????
[/quote]


Добрый день! Это можно делать , иметь необходимо эцп на оба лица , кто подписывает. Это проще всего делать в диадоке , а также там можно настроить этапность в подписании ( согласовании )

[cordek]

Вопрос про ЭЦП. Хотим уходить от бумажных протоколов для себя, и оставить их только для заказчика. У нас протокол утверждает и подписывает на титульном листе руководитель, а на последнем листе расписывается исполнитель т.е. тот кто оформлял протокол. Вопрос (в ЭЦП я ноль) в протокол 2 (две) ЭЦП понятно мы не сможем вставить, тогда кто должен его подписывать ЭЦПшкой рук-ль или исполнитель? Или все протоколы может подписывать ЭЦПшкой рук-ль, а исполнителям не обязательно иметь ЭЦП или каждому исполнителю надо ЭЦПшку????

Любой файл можно подписать несколькими подписями.
Вы определитесь сначала в какой системе (программе) вы будете подписывать и хранить документы.

Отправлено спустя 59 секунд:
Инструкция по подписанию документов от Росаккредитации.

[Новости]

Инструкция по подписанию документов электронной подписью

[taxol]

Всем доброго времени суток! Переводим лабораторию на электронный документооборот.
1. Хотелось бы поинтересоваться, не сталкивался ли кто с подписанием протоколов испытаний усиленной квал. ЭЦП? Можно ли подгружать во фГИС такие протоколы, если подписи отсоединенные? Можно ли их подгрузить отдельно? Множественное подписание встроенной подписью в настоящее время не представлено на рынке, насколько мне известно.

2. Как Вы считаете, можно ли подписывать ЭЦП приказы/распоряжения и т.п. А в листе ознакомления с документом, в заголовке прописать что-то навроде: "Подтверждаю что ознакомился с электронным документом, для чего мне были предоставлены технические возможности, проверку электронных цифровых подписей, визирующих документ осуществил в соответствии с процедурой (Распоряжение №3 от 01.09.2021 г)."

[Olga_Nesterova]

taxol, а что за программа для документооборота?
У нас есть электронное согласование и утверждение документов: отправляем задачу в программе по определенному маршруту (определенным людям), потом на титул документа вписываем номер этой задачи и дату. Все.
Так же с ознакомлением: задачу отправили, все отметили там, что посмотрели документ, я приняла задачу и распечатала переписку. Ничего отдельно не запускаю подписывать.

[taxol]

Отдельного ПО под электронный документооборот нет. От использования team-планировщиков отказались, так как чрезвычайно сложно доказать, что сотрудники ознакомились. Не всякий эксперт согласится с тем, что скрин переписки является 100% гарантией ознакомления. Да и от подделки скрин никак не защищен, а это прямой удар по ИЛ в части ГОСТ 17025-2019 п.4.8, как минимум. Вопрос конечно может быть частично снят использованием ПО с элементами сертифицированного СКЗИ.
А вот хранить листы ознакомления в печатном виде, а сами документы в электронном - какая-никакая оптимизация. Но как доказать что специалист ознакомился с "настоящим" документом и подтвердить принадлежность последнего к СМК?
Начальник лаборатории и инженер по качеству подписывают документ усиленной квал. ЭЦП. Такой подход по 63ФЗ "Об электронной подписи" позволит избежать разночтений и кривотолков. Думаю в листе ознакомления прописать заголовок: "Подтверждаю что ознакомился с электронным документом, для чего мне были предоставлены технические возможности, проверку электронных цифровых подписей, визирующих документ осуществил в соответствии с процедурой (Распоряжение №3 от 01.09.2021 г)." Не стоит ли ждать "подводных камней"?
Выдача заказчику протоколов испытаний, подписанных усил.квал.ЭЦП избавляет от макулатуры в архиве и упрощает процедуру выдачи архивной документации. Только вот, не будет ли проблем с подгрузкой таких документов во ФГИС, если документ подписан тремя подписантами (три отдельных открепленных сертификата + сам документ).

[Olga_Nesterova]

от подделки скрин никак не защищен

Это не скрин. Есть функция печати переписки в нашей программе.

три отдельных открепленных сертификата + сам документ

А вы через какую программу подписываете? Я через КриптоАРМ подписываю архивные электронные записи, там есть флажок отдельно файл подписи сохранить или вместе с файлом. Сохраняет с расширением .sig, потом я его открываю и в файл добавляется отметка о подписи.

[cordek]

Отдельного ПО под электронный документооборот нет. От использования team-планировщиков отказались, так как чрезвычайно сложно доказать, что сотрудники ознакомились. Не всякий эксперт согласится с тем, что скрин переписки является 100% гарантией ознакомления. Да и от подделки скрин никак не защищен, а это прямой удар по ИЛ в части ГОСТ 17025-2019 п.4.8, как минимум. Вопрос конечно может быть частично снят использованием ПО с элементами сертифицированного СКЗИ.
А вот хранить листы ознакомления в печатном виде, а сами документы в электронном - какая-никакая оптимизация. Но как доказать что специалист ознакомился с "настоящим" документом и подтвердить принадлежность последнего к СМК?
Начальник лаборатории и инженер по качеству подписывают документ усиленной квал. ЭЦП. Такой подход по 63ФЗ "Об электронной подписи" позволит избежать разночтений и кривотолков. Думаю в листе ознакомления прописать заголовок: "Подтверждаю что ознакомился с электронным документом, для чего мне были предоставлены технические возможности, проверку электронных цифровых подписей, визирующих документ осуществил в соответствии с процедурой (Распоряжение №3 от 01.09.2021 г)." Не стоит ли ждать "подводных камней"?
Выдача заказчику протоколов испытаний, подписанных усил.квал.ЭЦП избавляет от макулатуры в архиве и упрощает процедуру выдачи архивной документации. Только вот, не будет ли проблем с подгрузкой таких документов во ФГИС, если документ подписан тремя подписантами (три отдельных открепленных сертификата + сам документ).

По хорошему надо иметь ПО под документооборот. А как вы архив подписанных документов собираетесь вести?
Если есть специальное ПО, то подписанные документы можно там хранить.

[Гость]

В настоящий момент подписываем документы в КриптоАРМ. Как правило при процедуре подтверждения эксперты требуют подгружать в облачное хранилище документы в .pdf формате. Здесь выход один - отсоединенная подпись, так как в ином случае прочитать документ без специализированного ПО не представляется возможным. Если я правильно понимаю, единственное решение, позволяющее отправлять во ФГИС документы в .pdf, подписанные ЭЦП - Крипто ПРО .pdf?

[cordek]

Отсоединенная подпись создаётся в разных программах, например крипто про армии или випнет крипто файл. Внутренняя подпись в pdf только а крипто про пдф. Прочитать подпись без специальной программы нельзя. У получателя файла должна быть такая же программа, либо он должен воспользоваться сервисом проверки подписи крипто арм, но там проверяется только отсоединенная подпись.

[Пользователь удалён 3307]

Внутренняя подпись в pdf только а крипто про пдф

Во-первых, не только pdf, а и все офисные программы MS умеют работать с электронной подписью (Word, Excel Outlook ...) и хранят подпись внутри самого подписанного файла, а не отдельного файлика, а во-вторых - криптопро - это всего-лишь провайдер наших российских гостовых алгоритмов подписания, он "подсовывает программе, например MS Word наш алгоритм, чтобы она могла понять эту подпись.

[cordek]

Про Word и Excell я не упоминал, поскольку для подписания протокола не очень то годится

[Пользователь удалён 3307]

Word .... для подписания протокола не очень то годится

??? Годится лучше, чем что-либо другое, тем более отсоединенные подписи, которые к тому же увидеть можно только в специализированной программе... В Word, чтобы увидеть подпись нужен только Криптопро. В Excel можно вести рабочие журналы и их подписывать.
В вообще полная гармония наступает только когда или полностью переходишь на электронные документы и электронные подписи, либо же все на бумажках с ручными подписями. Все гибриды напоминают помесь ежа с ужом :) а идеальный вариант - государственная ФГИС,в которой все протоколы и оформляются и подписываются и там же доступны всем заинтересованным лицам.
Все конечно ИМХО...

[Мафи]

у нас Заказчики предпочитают только бумажные...
как в старые, добрые времена

[Пользователь удалён 3307]

у нас Заказчики предпочитают только бумажные...

Это не страшно, прогресс все равно не остановить :) И рано или поздно бумажные протоколы станут раритетом. У ЭП много преимуществ - это и надежнее, и безопаснее, и удобнее, чем ручная.

Отправлено спустя 5 минут:

А вот хранить листы ознакомления в печатном виде, а сами документы в электронном - какая-никакая оптимизация.

Это даже худший вариант, чем все на бумаге. Получаете 2 хранилища - бумажный и электронный (к каждому нужно установить и выполнять правила управления), и связь между которыми грамотному специалисту Вы не докажете никогда.

[neonm10]

Здравствуйте всем! Вопрос, может быть, странный, но все-таки: для чего нужен электронный ключ к ФГИС? Какие преимущества он дает? В личный кабинет ИЛ я могу зайти и через Госуслуги, без использования ключа. Могу загружать туда данные, выгружать их, и даже заявление на ПК могу создать. Но могу ли я отправить его в ФСА самостоятельно? Хватит ли у меня на это прав? Нужна ли электронная подпись гендиректора (юрлица)? У меня базовый пакет руководителя ИЛ.