21
внешних (глобальных) коммуникационных систем. Такие системы являются внешними по отношению к системе, описанной в разделе 6. Отправляющая и получающая системы удалены друг от друга и могут принадлежать кактой же, таки различным организациям; в любом случае услуги по передаче предоставляет другая сторона.
Коммуникационная система может использовать как передачу в режиме реального времени, так и отложенную передачу (сохранение и последующая пересылка), как это происходит в системах электронной почты.
В настоящем стандарте рассматривается целостность электронных объектов, передаваемых другой стороне, а также целостность электронных объектов, получаемых от другой стороны. В настоящем стандарте вопросы, связанные с оказанием услуг по передаче, прямо не рассматриваются. Следуя требованиям настоящего стандарта, пользователи могут показать, что копия электронного объекта, переданного в некоторый предшествующий момент времени другой стороне, не была с тех пор изменена и что файл, полученный в некоторый предшествующий момент времени от другой стороны, с момента получения не был изменен.
Передача файлов с одного устройства на другое должна контролироваться прикладным программным обеспечением.
Если другой стороне передается копия файла, то исходный файл должен быть сохранен в системе.
Дата и время всех передач файлов должны сохраняться в составе контрольной информации (audittrail).
Если файл получен от другой стороны посредством передачи, то его следует сохранить в системе.
Дата и время получения любых файлов должны сохраняться в составе контрольной информации (audittrail).
Различия между переданными и полученными файлами могут быть вызваны ошибками при передаче или преднамеренным изменением одного из этих файлов. То, что посланный и полученный файлы содержат идентичные данные, доказывается также, как эквивалентность любых двух копий. Первоочередная потребность заключается в том, чтобы показать, какой файл является первоисточником, а какой — копией, т. е. какой из файлов был создан первым. В ряде случаев этот вопрос может быть решен путем сопоставления времени сохранения файлов. Если часы системы точны (учитывая различия в часовых поясах), полученный файл должен был быть сохранен в более поздний момент времени по сравнению с передававшимся файлом. Таким образом, установление первоисточника сводится к способности доказать надежность и точность определения времени двух событий.
Электронные/цифровые подписи, например, могут быть использованы для подтверждения того, что подписанный электронной/цифровой подписью документ является точно таким же, каким он был отправлен, а также для удостоверения личности отправителя. Такое подтверждение личности может быть скомпрометировано в случае, если первоначальный сертификат стал недействительным и уже не поддерживается удостоверяющим центром. Если сертификат электронной/цифровой подписи более не доступен или срок его действия истек, то электронная цифровая подпись позволит только узнать, был ли документ модифицирован с момента подписания.
Из соображений безопасности и по иным причинам могут быть реализованы дополнительные процедуры (выходящие за рамки рассматриваемых в настоящем стандарте), например, для предотвращения несанкционированного раскрытия содержащейся в файле информации.
Если важно иметь возможность доказать факт доставки файла, то отправитель может потребовать, чтобы принимающая система передала отправителю подтверждение доставки, которое должно включать в себя идентификатор передачи и дату и время доставки.
Если эти процедуры выполняются, то снижается риск того, что файл был изменен или был послан не указанным отправителем, а иным лицом.
Следует также оценить уровень риска безопасности при внешней передачи файлов, с тем чтобы обеспечить соответствие требованиям политики информационной безопасности.
- Сохранение бумажных документов (document retention)
Если бумажные документы сканируются и при этом политика в области управления документами и информацией устанавливает, что общим правилом является последующее уничтожение бумажных документов данного вида, то возможны случаи, при которых следует сделать исключение и сохранить бумажный документ. Следует отметить, что в случае сохранения «оригинального» бумажного документа может понадобиться получить к нему доступ с целью подтверждения аутентичности электронной «копии».
Следует задокументировать процедуры, идентифицирующие конкретные бумажные документы, которые необходимо сохранить.
В число обстоятельств, при которых может потребоваться сохранить бумажный документ, входят следующие обстоятельства:
низкое качество бумажного документа, из-за чего невозможно получить его разборчивый графи