понедельник, 29 июня 2026 г.

Евросоюз: Опубликована первая партия европейских стандартов, относящихся к цифровому паспорту продукта

Данный пост был опубликован в начале июня в социальной сети LinkedIn в учётной записи европейских органов по стандартизации CEN и CENELEC.

Мой комментарий: О работе Международной организации по стандартизации (ИСО) и Европейского комитета по стандартизации (CEN) над стандартами для цифровых паспортов продуктов (продукции), см подборку постов на моём блоге http://rusrim.blogspot.com/search/label/цифровые%20паспорта 

Достигнута важная для европейской стандартизации веха! 27 мая 2026 года европейские органы по стандартизации - Европейский комитет по стандартизации (CEN) и Европейский комитет электротехнической стандартизации (CENELEC) - опубликовали первые европейские стандарты, поддерживающие европейский цифровой паспорт продукта Евросоюза (EU Digital Product Passport, DPP). 


Титульный лист стандарта EN 18221:2026 «Цифровой паспорт продукта – Хранение, архивирование и обеспечение долговечности данных»

Эти стандарты были в сжатые сроки разработаны техническим комитетов CEN/CLC/JTC 24 «Цифровой паспорт продукта – Концептуальная структура и система» (Digital Product Passport - Framework and System) для поддержки технически надёжного и интероперабельного внедрения цифрового паспорта продукта по всей Европе.

Первый пакет стандартов включает в себя:
Разработка этого первого пакета стандартов был официально затребована Европейской комиссией в рамках запроса на стандартизацию M/604 по теме «Цифровой паспорт продукта».

Цель этих стандартов поддержать усилия всех заинтересованных сторон, участвующих во внедрении системы цифровых паспортов продуктов (DPP) в своих секторах в соответствии с Регламентом Евросоюза по экодизайну 2024/1781.

Мой комментарий: Речь идёт о «Регламенте №2024/1781 Европейского парламента и Совета от 13 июня 2024 года, вводящем концептуальные рамки для установления требований к экологическому проектированию для экологически-дружественной продукции, и вносящем поправки в Директиву Евросоюза 2020/1828 и в Регламент №2023/1542, а также отменяющем Директиву 2009/125/EC» (Regulation (EU) 2024/1781 of the European Parliament and of the Council of 13 June 2024 establishing a framework for the setting of ecodesign requirements for sustainable products, amending Directive (EU) 2020/1828 and Regulation (EU) 2023/1542 and repealing Directive 2009/125/EC), см. https://eur-lex.europa.eu/eli/reg/2024/1781/oj/eng . Цифровому паспорту продукта посвящена глава 3 Регламента (статьи 9-15).

После публикации в Официальном журнале Европейского союза (Official Journal of the European Union) эти стандарты, при их правильном применении, возможно, смогут обеспечить презумпцию соответствия Регламенту №2024/1781.

Два дополнительных стандарта, также запрошенных Европейской комиссией, в настоящее время находятся на стадии утверждения и будут опубликованы в сентябре 2026 года:
Стандарты цифрового паспорта продукта (DPP) скоро можно будет приобрести на сайте CEN, см. https://standards.cencenelec.eu/ords/f?p=205:32:::::FSP_ORG_ID,FSP_LANG_ID:3342699,25&cs=1FC22FDE02FD51137ADC6BE8CA4E10E8F 

Странам-членам CEN и CENELEC даётся шесть месяцев с даты публикации для внедрения этих документов на национальном уровне (в Евросоюзе стандарты CEN являются обязательными, в отличие от международных стандартов ИСО – Н.Х.).

Дополнительную информацию о стандартизации в области цифровых паспортов продуктов можно найти на специальной странице на сайте CEN, см. https://standards.cencenelec.eu/ords/f?p=205:7:::::FSP_ORG_ID:3342699&cs=152A83699C987EFA564209B7AC7311C86 

Источник: Сайт LinkedIn
https://www.linkedin.com/posts/dpp-espr-share-7466086279210778624-MdIy/ 



Posted by at Комментариев нет:
Labels: , , , ,

воскресенье, 28 июня 2026 г.

CEN: Начато публичное обсуждение проекта нового европейского стандарта prEN 18235-3 «Доверенные транзакции с данными - Часть 3: Требования к интероперабельности»

28 мая сайты Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) и Британского института стандартов (BSI) сообщили о начале публичного обсуждения проекта стандарта prEN 18235-3 «Доверенные транзакции с данными - Часть 3: Требования к интероперабельности» (Trusted data transactions - Part 3: Interoperability requirements), см. https://standards.cencenelec.eu/... . Публичное обсуждение продлится до 10 октября 2026 года.

Над стандартом работает европейский комитет по стандартизации CEN/CLC/JTC 25 «Управление данными, пространства данных, облачные технологии и периферийные вычисления» (Data management, Dataspaces, Cloud and Edge). 

Ранее я уже рассказывала на блоге о первых двух частях стандарта EN 18235, см. https://rusrim.blogspot.com/2026/06/cen-en-18235-12026-1.html и https://rusrim.blogspot.com/2026/06/cen-pren-18235-2-2-1.html .

Во вводной части стандарта отмечается:

«Настоящий документ специфицирует требования и содержит рекомендации по обеспечению интероперабельности данных, механизмов обмена данными и сервисов в рамках пространств данных. Он охватывает требования, критерии и рекомендации по внедрению в отношении:
  • Содержимого (контента) наборов данных, ограничений на использование, лицензий, методологии сбора данных, качества данных и неопределенности в них, а также машиночитаемых форматов для поиска, доступа и использования данных;

  • Структур данных, форматов данных, словарей, классификационных схем, таксономий и перечней кодов, а также способов описания этих элементов общедоступным и согласованным образом;

  • Технических средств доступа к данным, таких как интерфейсы прикладного программирования (API), а также условий их использования и качества обслуживания, обеспечивающих автоматический доступ и передачу данных между сторонами;

  • Где это применимо - средств, обеспечивающих интероперабельность инструментов для автоматизации выполнения договоров об обмене данными.
Данный документ применим в любых организациях, участвующим в пространствах данных, вне зависимости от их размера или типа.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Обзор
5. Общие требования
6. Описание продукта данных
7. Описание модели данных
8. Доступ к данным
9. Автоматизированное согласование и исполнение договоров об обмене данными
Приложение A (справочное): Реализация требований к интероперабельности
Приложение ZA (справочное): Взаимосвязь между данным европейским стандартом и требованиями к интероперабельности Регламента (ЕС) 2023/2854 Европейского парламента и Совета от 13 декабря 2023 года о гармонизированных правилах справедливого доступа к данным и их использования, также вносящий поправки в Регламент (ЕС) 2017/2394 и Директиву (ЕС) 2020/1828 («Закон о данных») (Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)), которые планируется охватить.
Библиография

Источник: сайт CEN / сайт BSI
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:81918,3485479&cs=1C1EB61312912B8E7B7A8EAFDED9D339A 
https://standardsdevelopment.bsigroup.com/projects/2026-01215 


Posted by at Комментариев нет:
Labels: , , , , ,

CEN: Завершается публичное обсуждение проекта нового европейского стандарта prEN 18282 «Спецификации кибербезопасности для систем ИИ»

Согласно информации на сайтах Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) и Британского института стандартов (BSI), в конце июня завершается начатое в мае этого года публичное обсуждение проекта нового европейского стандарта prEN 18282 «Искусственный интеллект - Спецификации кибербезопасности для систем ИИ» (Artificial intelligence — Cybersecurity specifications for AI Systems) объёмом 55 страниц, см. https://standards.cencenelec.eu/... 

Над стандартом работает объединённый технический комитет CEN-CENELEC JTC21 «Искусственный интеллект» (Artificial Intelligence).

До 30 июня 2026 года есть возможность индивидуально принять участие в публичном обсуждении данного стандарта на сайте Британского института стандартов (BSI) по адресу https://standardsdevelopment.bsigroup.com/projects/2025-00486 (при условии регистрации на сайте). 


Веб-страница публичного обсуждения на сайте BSI


Во вводной части стандарта отмечается:

«В настоящем документе специфицированы требования и меры кибербезопасности, направленные на устранение уязвимостей, угроз и рисков кибербезопасности, являющихся специфическими для систем искусственного интеллекта.

Цель данного документа заключается в способствовании внедрению требований кибербезопасности для систем ИИ в соответствии со статьей 15(5) европейского Закона об ИИ (Регламент Евросоюза 2024/1689).

В данном документе основное внимание уделяется аспектам кибербезопасности, вытекающим из особенностей систем ИИ, включая модели ИИ, обучающие и выведенные данные, а также их взаимодействие со средой оперативной деятельности.

… Традиционные требования кибербезопасности для ИКТ-инфраструктуры, поддерживающей системы ИИ, остаются в силе, но в данном документе не рассматриваются.

Данный документ необходимо интерпретировать и применять в соответствии со следующими принципами:

  • Принцип 1: Данный документ применим к системам ИИ, которые квалифицируются как системы ИИ высокого риска в соответствии с Законом Евросоюза об ИИ. Он также может применяться к системам ИИ, которые не классифицируются как системы высокого риска в соответствии с Регламентом Евросоюза 2024/1689 (Законом об ИИ).

  • Принцип 2: В данном документе рассматриваются специфические для ИИ риски кибербезопасности. Он дополняет иные технические, организационные и правовые меры, требуемые для систем ИИ, включая традиционные требования кибербезопасности. Данный документ не заменяет не связанные с кибербезопасностью требования, такие как требования к стратегическому управлению данными, контролю и надзору со стороны человека или защите основных прав человека.

  • Принцип 3: Методы, инструменты и практики кибербезопасности для ИИ эволюционируют и не могут быть одинаково зрелыми или доступными для всех типов систем ИИ и всех контекстов их применения. В тех случаях, когда конкретные методы не являются разумно реализуемыми, поставщик может применять альтернативные меры, при условии, что эти меры могут быть обоснованы поставщиком в технической документации.

  • Принцип 4: Невозможно устранить все риски кибербезопасности. Данный документ описывает меры, направленные на достижение надлежащей устойчивости к киберугрозам, и не предоставляет гарантий от всех возможных атак. Его цель - содействовать соразмерному, основанному на доказательствах смягчению связанных с ИИ специфических рисков кибербезопасности, в соответствии с текущим положением дел.

…В настоящем документе рассматриваются соответствующие конкретным обстоятельствам и рискам организационные и технические решения, направленные на обеспечение кибербезопасности систем искусственного интеллекта высокого риска на протяжении всего их жизненного цикла.

Технические решения для устранения специфических уязвимостей ИИ включают, где это уместно, меры по предотвращению, обнаружению, реагированию, устранению и контролю атак, направленных на манипулирование обучающим набором данных (отравление данных) или предварительно обученными компонентами, используемыми в обучении (отравление модели), входными данными, предназначенными для того, чтобы заставить модель совершить ошибку (враждебные примеры или обход модели), атаками на конфиденциальность и/или недостатками модели.

Данный документ содержит объективные критерии, способствующие принятию решений о том, адекватно ли достигает данное техническое или организационное решение конкретной цели, связанной с уязвимостью.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Сокращения
5. Концепция кибербезопасности для систем ИИ
6. Установление обстоятельств, имеющих значение для кибербезопасности ИИ
7. Выявление специфических для ИИ уязвимостей кибербезопасности 
8. Выявление соответствующих угроз кибербезопасности
9. Определение соответствующих рисков для кибербезопасности ИИ
10. Выбор и реализация мер
11. Требования к верификации и тестированию
12. Требования к документации, относящейся к кибербезопасности ИИ
Приложение A (справочное): Пояснения к разделам 5–12
Приложение B (справочное): Рекомендуемые организационные меры контроля и управления
Приложение C (справочное): Другие соответствующие стандарты
Приложение D (нормативное): Специфические для ИИ активы
Приложение ZA (справочное): Взаимосвязь между настоящим европейским стандартом и ключевыми требованиями Регламента Евросоюза 2024/1689 (Закона об ИИ – Н.Х.), которые предполагается охватить
Библиография

Источник: сайт CEN / сайт BSI
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:79708,2916257&cs=1D99676DE6B76D73E830D72B47EABA0B3
https://standardsdevelopment.bsigroup.com/projects/2025-00486 


Posted by at Комментариев нет:
Labels: , , , , , , ,

суббота, 27 июня 2026 г.

ИСО и МЭК: Опубликованы новые редакции стандартов серии ISO/IEC 15408:2026 «Критерии оценки безопасности информационных технологий»

На сайте Международной организации по стандартизации (ИСО) сообщил, что в конце мая – начале июня 2026 года были публикованы новые редакции частей стандарта ISO/IEC 15408:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security).

Стандарт разработан и поддерживается подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».

Стандарт бесплатно доступен через магазин сайта ИСО, для использования которого нужно пройти регистрацию на этом сайте.

О работе над новой редакцией я уже рассказывала здесь: http://rusrim.blogspot.com/2024/10/isoiec-dis-15408.html . Новые документы 5-й редакции заменили документы 4-й редакции, опубликованные в 2022 году (о них см. мой пост http://rusrim.blogspot.com/2024/03/isoiec-15408-1.html ).

Стандарт ISO/IEC 15408:2026 состоит из следующих 5 частей:

ISO/IEC 15408-1:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 1: Introduction and general model) объёмом 150 страниц, см. https://www.iso.org/standard/15408-1 и https://www.iso.org/obp/ui/en/#!iso:std:88134:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», см. https://protect.gost.ru/gost/details/d8d02856-0bd5-43fd-a01e-aa99ea361702 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает общие понятия и принципы оценки безопасности информационных технологий (ИТ). Он специфицирует общую модель оценки, представленную в данном документе, которая в целом предназначена для использования в качестве основы при оценке характеристик безопасности ИТ-продуктов.

Данный документ содержит обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта ISO/IEC 15408, а именно:
  • определяет термины и сокращения, используемые во всех частях стандарта; вводит ключевое понятие объекта оценки (Target of Evaluation, TOE); 

  • описывает контекст оценки; и 

  • описывает аудиторию, которой адресованы критерии оценки. 
Кроме того, данный документ вводит основные понятия и концепции безопасности, необходимые для оценки ИТ-продуктов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная структура требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография

ISO/IEC 15408-2:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 2:  Функциональные компоненты безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 2: Security functional components) объёмом 260 страниц, см. https://www.iso.org/standard/15408-2 и https://www.iso.org/obp/ui/en/#!iso:std:88135:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», см. https://protect.gost.ru/gost/details/202e8605-326e-4417-a979-abf7a2878a52 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования к требуемой структуре и к контенту функциональных компонентов безопасности для использования в ходе оценки безопасности. Он включает каталог функциональных компонентов, соответствующий общим для многих ИТ-продуктов функциональным требованиям по безопасности.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография

ISO/IEC 15408-3:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 3: Компоненты обеспечения уверенности в безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 3: Security assurance components) объёмом 190 страниц, см. https://www.iso.org/standard/15408-3 и https://www.iso.org/obp/ui/en/#!iso:std:88136:en .

В России данный документ адаптирован как ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», см. https://protect.gost.ru/gost/details/5abff96a-179f-4819-8e30-9f8efdf4311e 

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования по обеспечению уверенности для частей стандарта ISO/IEC 15408. Он включает в себя отдельные компоненты обеспечения уверенности, из которых формируются уровни обеспечения уверенности и другие пакеты, описанные в ISO/IEC 15408-5, а также критерии оценки профилей защиты (PP), их конфигураций и модулей, и целевых показателей безопасности (ST).»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма обеспечения уверенности
6. Компоненты обеспечения уверенности в безопасности
7. Класс APE: Оценка профиля защиты
8. Класс ACE: Оценка конфигурации профиля защиты
9. Класс ASE: Оценка целевого показателя безопасности
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс ATE: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс ACO: Композиция
Приложения
Библиография

ISO/IEC 15408-4:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 4: Концепция спецификации методов и мероприятий оценки»  (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities) объёмом 24 страницы, см. https://www.iso.org/standard/15408-4 и https://www.iso.org/obp/ui/en/#!iso:std:88138:en .

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает требования и описывает стандартизированную концепцию для специфицирования объективных, повторяемых и воспроизводимых методов оценки и оценочных действий.

В данном документе не устанавливается, как оценивать, внедрять или поддерживать методы и мероприятия по оценке. Эти аспекты являются прерогативой тех, кто разрабатывает методы и мероприятия по оценке для своей конкретной области интересов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Общая модель методов оценки и оценочной деятельности
5. Структура метода оценки
6. Структура оценочной деятельности
Библиография

ISO/IEC 15408-5:2026 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 5: Предопределенные пакеты требований по безопасности» (Information security, cybersecurity and privacy protection — Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements) объёмом 36 страниц, см. https://www.iso.org/standard/15408-5 и https://www.iso.org/obp/ui/en/#!iso:std:88140:en .

Во вводной части стандарта отмечается:

«В настоящем документе представлены пакеты для обеспечения уверенности в безопасности и функциональные требования безопасности, которые, как предполагается, будут полезны для поддержки типичного применения заинтересованными сторонами.

В число пользователей данного документа могут входить потребители, разработчики и эксперты по оценке безопасных ИТ-продуктов».

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Уровни обеспечении уверенности при оценке (Evaluation assurance levels, EAL)
5. Составные пакеты для обеспечения уверенности (Composed assurance packages, CAP)
6. Составные пакеты продуктов (Composite product packages, COMP)
7. Обеспечение уверенности в профилях защиты (Protection profile assurances, PPA)
8. Уверенность в целевых показателях безопасности (Security target assurances, STA)

Источник: сайт ИСО
https://www.iso.org/standard/15408-1 
https://www.iso.org/obp/ui/en/#!iso:std:88134:en 
https://www.iso.org/standard/15408-2 
https://www.iso.org/obp/ui/en/#!iso:std:88135:en 
https://www.iso.org/standard/15408-3 
https://www.iso.org/obp/ui/en/#!iso:std:88136:en 
https://www.iso.org/standard/15408-4 
https://www.iso.org/obp/ui/en/#!iso:std:88138:en 
https://www.iso.org/standard/15408-5 
https://www.iso.org/obp/ui/en/#!iso:std:88140:en 

Posted by at Комментариев нет:
Labels: , , , , , ,
Подписаться на: Сообщения (Atom)