Подпись протоколов ЭЦП для архива

Добрый день!
Подскажите пожалуйста, как правильно организовать архив с выданными протоколами в электронном виде подписанных ЭЦП?
Заранее благодарю,
Александр
 

EUGEN

местный
Команда форума
Как раз этим постепенно начинаю заниматься. Планирую использовать криптоарм для пакетной подписи (другого ничего не нашел). Какая сложность с организацией: как подписать или как организовать хранение?
 
Как раз этим постепенно начинаю заниматься. Планирую использовать криптоарм для пакетной подписи (другого ничего не нашел). Какая сложность с организацией: как подписать или как организовать хранение?
Мне поручили этим вопросом заниматься, а я пока не совсем разобрался.
Допустим лаборатория выдала протокол, его копию необходимо передать в архив (для Росаккредитации), для этого эксперт (либо лицо выдавшее протокол), получает как физ.лицо ЭЦП, и через какой-то программный продукт я понимаю (например Крипто-Про) его подписывает (word вариант ) и сохраняет допустим на внешний носитель, который хранится у ответственного. Так возможно сделать? Либо я в чем то ошибаюсь?
 
Мне поручили этим вопросом заниматься, а я пока не совсем разобрался.
Допустим лаборатория выдала протокол, его копию необходимо передать в архив (для Росаккредитации), для этого эксперт (либо лицо выдавшее протокол), получает как физ.лицо ЭЦП, и через какой-то программный продукт я понимаю (например Крипто-Про) его подписывает (word вариант ) и сохраняет допустим на внешний носитель, который хранится у ответственного. Так возможно сделать? Либо я в чем то ошибаюсь?
Все это надо делать так, как у вас прописано в СМК. Если не прописано, то сначала напишите инструкцию или процедуру архивирования с подписанием ЭЦП.
А так процесс проходит так, как вы и описали. Вопрос один: что подписывать? Скан-копию протокола в пдф со всеми подписями, или ворд-файл без подписей и печатей. Будет ли ворд-документ являться копией оригинального протокола??
 
Все это надо делать так, как у вас прописано в СМК. Если не прописано, то сначала напишите инструкцию или процедуру архивирования с подписанием ЭЦП.
А так процесс проходит так, как вы и описали. Вопрос один: что подписывать? Скан-копию протокола в пдф со всеми подписями, или ворд-файл без подписей и печатей. Будет ли ворд-документ являться копией оригинального протокола??
подписывать именно word-документ, эксперт выдал на бумаге, и подписал его ЭЦП в архив, без сканирования, так возможно? Допустим ЭЦП получить именно на эксперта с его ФИО. Будет это легитимно?
 
Будет это легитимно?
У вас в протоколах всего одна подпись эксперта?

К архивированию допускаются только определенные назначенные сотрудники. Сдается мне, что именно они и должны подписывать файлы, а не каждый эксперт. ИМХО.
 
Вопрос один: что подписывать? Скан-копию протокола в пдф со всеми подписями, или ворд-файл без подписей и печатей. Будет ли ворд-документ являться копией оригинального протокола??
Мы Вас на курсе не смогли убедить, что не обязательно закладывать в архив сканы протоколов? Всё ещё есть сомнения?
 
У вас в протоколах всего одна подпись эксперта?

К архивированию допускаются только определенные назначенные сотрудники. Сдается мне, что именно они и должны подписывать файлы, а не каждый эксперт. ИМХО.
У нас в протоколах следующие подписи: руководитель лаборатории, который утвердил протокол и эксперта по соут который на основании измерений установил класс условий труда. Сейчас по СМК распечатывается два протокола: один заказчику, один в архив. Хотим сократить трудозатраты и материальные затраты, соответственно выдавать один протокол заказчику, а второй в электронном виде, подписав ЭЦП передавать архив. Соответственно думаю, что подписывать ЭЦП должен руководитель лаборатории и передавать его ответственному за ведение архива по СМК для сохранения его в базу данных. Если я не прав, поправьте меня пожалуйста.
 
У нас в протоколах следующие подписи: руководитель лаборатории, который утвердил протокол и эксперта по соут который на основании измерений установил класс условий труда. Сейчас по СМК распечатывается два протокола: один заказчику, один в архив. Хотим сократить трудозатраты и материальные затраты, соответственно выдавать один протокол заказчику, а второй в электронном виде, подписав ЭЦП передавать архив. Соответственно думаю, что подписывать ЭЦП должен руководитель лаборатории и передавать его ответственному за ведение архива по СМК для сохранения его в базу данных. Если я не прав, поправьте меня пожалуйста.
А п. 16 приказа 33н не помешает?
Результаты проведенных исследований (испытаний) и измерений вредных и (или) опасных факторов оформляются протоколами в отношении каждого из этих вредных и (или) опасных факторов, подвергнутых исследованиям (испытаниям) и измерениям, с указанием:
...
15) фамилии, имена, отчества (при наличии), должности специалистов организации, проводящей специальную оценку условий труда, проводивших исследования (испытания) и измерения вредного и (или) опасного фактора.

Повторю то, что говорю на курсах.
Давайте осознаем от кого заказчик получает итоговый документ ИЛ - протокол? С самого начала, от заявки, договора - между кем они действуют? Разве договор заключается с физическим лицом, с зав.лабом или еще с кем-то? Кто по договору обязан выдать итоговые документы? Юр. лицо!
После утверждения (подписания) протокола исследований (испытаний) и измерений ответственность за достоверность и объективность содержания протокола ложится на плечи юридического лица (ЮЛ). Поэтому в принципе не важно каким образом подписан протокол, заложенный в архив, главное - что протокол подписан уполномоченным представителем юридического лица. Посмотрите на это со стороны контрольно-надзорного органа? Подписанный ЭЦП архив, является доказательством осуществления ЮЛ юридически значимого действия? Подтверждает ответственность юридического лица? Всё.
P.S. Если в архиве хранятся НЕ "картинки" со всеми подписями исполнителей, допущенных к подписанию протоколов, могут возникнуть вопросы, касающиеся персональной ответственности исполнителей... Но во-первых, в лаборатории исполнители и без того оставляют массу "следов", подтверждающих участие конкретного лица в работе с конкретными протоколами, а во вторых - это не наша с Вами задача - обеспечивать доказательства вины исполнителей, хотя бы потому, что юр.лицо при этом от ответственности не освобождается.

"
 
У меня в протоколах в соответствии с пунктом 16 приказа 33н были всегда только фамилии исполнителей (без подписей). А подписывал (утверждал) протоколы согласно 17025 только я.
Подписи же исполнителей были в рабочих материалах (на основе которых делались протоколы), которые формировались исполнителями непосредственно при проведении измерений, одновременно при этом ими подписывались и после окончания каждой работы сдавались в архив.
 
Татьяна Ивановна, на самом деле, причины такого решения у меня в своё время были чисто рациональные. Работы тогда было много (одновременно в разной стадии выполнялись договора до сотни предприятий, при этом в активной фазе - до пятидесяти). И я как-то, проанализировав загруженность сотрудников, обнаружил, что у меня высококвалифицированные специалисты (измерители) вместо того, чтобы заниматься своей прямой работой, каждый день тратили по 1-2 часа на подписание бумажек (отправляемых заказчикам протоколов). Вот после этого и принял такое решение: подписывать только самому, не отвлекая своих специалистов на эту дурную работу
 
Последнее редактирование:

EUGEN

местный
Команда форума
подписывать именно word-документ, эксперт выдал на бумаге, и подписал его ЭЦП в архив, без сканирования, так возможно? Допустим ЭЦП получить именно на эксперта с его ФИО. Будет это легитимно?
Будет. Просто вам нужно будет каждому купить ЭЦП + криптопровайдер. При этом, скидываемые в бэкапы протоколы переподписать ЭЦП конкретного эксперта будет проблематичнее (эксперт уволился и ЭЦП унес с собой, это его личная ЭЦП физлица).

Первоисточник (Критерии аккредитации) гласит:

23.7. наличие у лаборатории системы управления документацией (правил документооборота), которая должна включать в себя:
и) систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче;


То есть должны быть правила, в которых это описано и система, в которой реализовано то, что описано в правилах. Критерии не запрещают подписывать одним лицом или несколькими. Одновременно или поэтапно. Даже про сроки действия сертификатов ЭЦП ничего нет. Поэтому любая придуманная вами схема подписания будет удовлетворять требованиям критериев. В отношении выдаваемых документов (выделил жирным) есть требование - три года со дня выдачи. В отношении получаемых - непонятно сколько времени их хранить. Других требований к архивированию и ЭЦП в этом пункте критериев нет.
 
Будет. Просто вам нужно будет каждому купить ЭЦП + криптопровайдер. При этом, скидываемые в бэкапы протоколы переподписать ЭЦП конкретного эксперта будет проблематичнее (эксперт уволился и ЭЦП унес с собой, это его личная ЭЦП физлица).

Первоисточник (Критерии аккредитации) гласит:

23.7. наличие у лаборатории системы управления документацией (правил документооборота), которая должна включать в себя:
и) систему хранения и архивирования документов, в том числе правила хранения и архивирования, предусматривающие хранение на бумажных носителях и (или) в форме электронных документов, подписанных усиленной квалифицированной подписью, по месту (местам) осуществления деятельности в области аккредитации архива документов, в том числе документов, представленных в лабораторию заявителями на проведение исследований (испытаний) и измерений, в течение трех лет со дня выдачи соответствующего документа о результатах исследований (испытаний) и измерений или принятия решения об отказе в его выдаче;


То есть должны быть правила, в которых это описано и система, в которой реализовано то, что описано в правилах. Критерии не запрещают подписывать одним лицом или несколькими. Одновременно или поэтапно. Даже про сроки действия сертификатов ЭЦП ничего нет. Поэтому любая придуманная вами схема подписания будет удовлетворять требованиям критериев. В отношении выдаваемых документов (выделил жирным) есть требование - три года со дня выдачи. В отношении получаемых - непонятно сколько времени их хранить. Других требований к архивированию и ЭЦП в этом пункте критериев нет.
Спасибо большое за помощь, для себя все прояснил как действовать дальше.
 
ЭЦП получайте на сотрудника, а не на человека, замена в случае если изменена должность.
Обязательно бэкапы архивных протоколов.
 

EUGEN

местный
Команда форума
Это как? В сертификате подписи удостоверяется личность со СНИЛСом. Или физлицо (с ФИО) или юрлицо (все равно с ФИО - руководителя юрлица либо сотрудника юрлица), так или иначе все упирается в ФИО подписанта.
 
Напишу что знаю, не воспринимайте за первую инстанцию, т.к., ссылок не приведу, и не обессудьте если ошибусь.
У каждой ЭЦП есть область действия, что конкретно можно ей делать, это вроде указывается при подаче заявления. Но на это особо упр не делают, видимо кто выдаёт эти подписи в этом разбираются и делают так как надо. ЭЦП на физ лицо можно подписывать только определённый перечень документов, завещание например.
Делаете запрос прошу (оформить) , ЭЦП на эксперта ООО "Озеро" Иванова, недавно был закон что на три года возможно делать, не знаю предлагают ли такие услуги. Далее судя по критериям в архив сдаётся протокол подписанный лицом утвердившим протокол, видел перечень нарушений где было написано нет бэкап.
Ещё такое у себя сделаю, но не сделал, печать копия электронного протокола, и думаю две печати ЭЦП сделать с разницей в пол года (на случай поломки. Если печать передаёте другому лицу, и теряете из вида подпись считается скомпрометированной, необходима замена.
Извините за сумбурность повествования.
 

EUGEN

местный
Команда форума
Я в этом пока не силен, предлагаю все собрать в этом топике, что бы не искать по всему форуму.
 
Мы Вас на курсе не смогли убедить, что не обязательно закладывать в архив сканы протоколов? Всё ещё есть сомнения?
Меня то убедили. Да только пока не смог убедить свое руководство. Да и топикстартер тоже должен определиться изначально по этому вопросу.
 
Сверху