Размышления о прошедшем годе

Данный пост специалиста австралийской компании Synercon Конни Кристенсен (Conni Christensen – на фото) был выложен на сайте LinkedIn 11 декабря 2025 года.

Сейчас, когда 2025 год подходит к концу, в моей работе по вопросам стратегического управления информацией, цифровым рабочим местам и управлению жизненным циклом контента постоянно всплывают несколько тем. Ни одна из них не является новой … но все они, безусловно, «долгоиграющие».

1. Избыточно длительное хранение данных по-прежнему остается серьезной проблемой

Избыточно длительное хранение данных остаётся серьезной проблемой. Регламентирующие сроки хранения и уничтожения нормативные документы, которым мы должны следовать, не соответствуют системам, в которых мы работаем, поэтому подход «сохранения всего» становится путем наименьшего сопротивления - особенно когда имеются весьма ограниченные рекомендации по внедрению.

2. Защита данных также остаётся серьезной проблемой

ИТ-службы продолжают возводить все более высокие «заборы», однако очень немногие на самом деле знают, где именно кроется уязвимость их информации. И давайте будем честны - почти никто не любит создавать и поддерживать реестры информационных активов. Должен быть более простой способ!

3. Уровень зрелости реализаций SharePoint очень неравномерен

Большинство современных специалистов по внедрению SharePoint не имеют базовых знаний в области «классической» информационной архитектуры (по таким вопросам, как таксономии, классификация, навигация, поиск, модели метаданных) - и это сказывается. Курируемые метаданные являются одним из самых мощных инструментов в нашем арсенале, - однако они по большей части простаивают без дела и не используются, хотя могли бы приносить огромную пользу. И поскольку они не используются, продолжает страдать качество поиска для конечного пользователя.

4. Развитие таксономий по-прежнему идёт медленно

Развитие таксономий по-прежнему идёт в лучшем случае фрагментарно. Ввиду того, что практически отсутствуют соответствующие программы обучения, настоящих специалистов по таксономиям в нашей отрасли очень мало. Несмотря на многолетние разговоры об этом, мы почти не продвинулись в разработке универсальных, межотраслевых таксономий, которые могли бы реально масштабироваться. 

Следует отдать дань уважения Агентству транспорта Новой Зеландии (NZ Transport Agency) за их «Стандарт данных, относящихся к управлению активами» (Asset Management Data Standard, https://nzta.govt.nz/roads-and-rail/asset-management-data-standard ). Если бы только остальной мир был бы столь же активен в этом вопросе …

5. Искусственный интеллект помогает - но не устраняет необходимость в курировании данных

Искусственный интеллект (ИИ), безусловно, способствовал повышению производительности, однако выдаваемым им ответам нельзя слепо доверять. Машинам сложно учиться на цифровом «мусоре». Любые выводы по-прежнему требуют тщательного курирования, установления контекста и проверки человеком - особенно когда речь идет о рисках, нормативно-правовом регулировании и долговременной ценности.

6. Автоматическая классификация по-прежнему окутана тайной

Большинство инструментов автоматической классификации воспринимаются как «черные ящики». Маркетологи твердят об «генерируемых с помощью ИИ знаниях и идеях», однако лежащая в их основе логика, обучающие данные и ограничения обычно остаются невидимыми. Машины могут учиться только на том, что мы им предоставляем, - а большинство организаций «скармливают» им несогласованный, устаревший и/или неполный контент. Плохие данные на входе - непредсказуемые результаты на выходе.

Отсутствие прозрачности делает весь процесс автоматической классификации загадочным - или подозрительным. Конечные пользователи не могут увидеть, как работает автоматическая классификация, не могут её исправить и не могут извлечь из неё уроки. Без прозрачности же доверие никогда не возникнет.

Заключительные мысли

Глядя на эти темы, я не очень-то уверена в том, что мы добились значительного прогресса — и такое же мнение я слышала от коллег и на конференции RIMPA в октябре 2025 года. В отношении дальнейшего движения вперёд говорилось очень осторожно, как будто все всё еще ждут более чётких указаний. Было одно замечание, которое мне особенно запомнилось: пока высшее руководство гонится за «яркими» результатами, мы пытаемся справиться с хаосом.

Тем не менее, дискуссии становятся боле зрелыми, осведомленность растёт, и при наличии чуть большей согласованности есть шанс, что в следующем году мы сможем добиться большего прогресса.

Всего Вам наилучшего в период рождественских каникул и в Новый год!

Конни Кристенсен (Conni Christensen)

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/reflecting-year-conni-christensen-vtsic/ 

Политика Европейского уполномоченного органа по надзору за защитой персональных данных в отношении управления собственными документами и архивами (1)

23 декабря 2025 года в Официальном журнале Европейского Союза (Official Journal of the European Union, https://eur-lex.europa.eu/eli/proc_rules/2025/2608/oj ) был опубликован интересный нормативный акт – «Решение 2025/2608 Европейского уполномоченного органа по надзору за зашитой персональных данных от 25 ноября 2025 года об управлении документацией и архивами» (Decision of the European Data Protection Supervisor of 25 November 2025 on records and archives management).

Мой комментарий: Европейский уполномоченный орган по надзору за зашитой персональных данных (European Data Protection Supervisor, EDPS, см. https://europa.eu/european-union/about-eu/institutions-bodies/european-data-protection-supervisor_en ) обеспечивает соблюдение учреждениями и органами Евросоюза прав людей на неприкосновенность частной жизни при обработке их персональных данных.

Документ представляет собой высокоуровневую политику управления документами и архивами, в которой перечислены основные цели и задачи, но нет низкоуровневых организационно-технологических деталей. В этом плане он выгодно отличается от типичных для российских государственных органов документов, регламентирующих порядок делопроизводства и архивного дела.

Особый интерес представляет то, как регулятор регламентирует защиту персональных данных при работе с документами, и особенно – с архивными документами. Очевидно, что именно такие подходы EDPS буде впоследствии навязывать как органам Евросоюза, так и государственным органам стран-членов Евросоюза.

Документ включает введение (преамбулу) и 5 глав, содержащих в общей сложности 22 статьи. Содержание документа следующее:

Преамбула

Глава I. Общие положения

Статья 1. Предмет и сфера применения
Статья 2. Определения

Глава II. Управление документами

Статья 3. Создание документов
Статья 4. Захват документов 
Статья 5. Регистрация документов
Статья 6. Классификационная схема (filing plan)
Статья 7. Электронные системы и процессы
Статья 8. Действительность документов и процедур
Статья 9. Электронные подписи, печати, отметки времени
Статья 10. Информационная безопасность и защита

Глава III. Обеспечение долговременной сохранности документов и исторических архивов

Статья 11. Сроки хранения и требования к хранению
Статья 12. Стратегия обеспечения долговременной сохранности электронных материалов
Статья 13. Экспертиза ценности
Статья 14. Обработка персональных данных, содержащихся в архивных документах EDPS
Статья 15. Передача исторических архивов EDPS на хранение в Исторические Архивы Европейского Союза (HAEU, Historical Archives of the European Union) в Европейском университетском институте (University Institute) во Флоренции (European University Institute, EUI)

Глава IV. Стратегическое управление и реализация

Статья 16. Внутренние структуры EDPS
Статья 17. Роли и обязанности
Статья 18. Информация, обучение и поддержка

Глава V. Заключительные положения

Статья 19. Правила реализации
Статья 20. Пересмотр и обновление
Статья 21. Отмена предыдущих политик EDPS по вопросам управлению документами и архивами
Статья 22. Вступление в силу

В преамбуле документа, в частности, сказано следующее:

(1) В соответствии с Регламентом №354/83 с поправками, внесенными Регламентом № 1700/2003 Еврокомиссии и Евроатома и Регламентом Еврокомиссии 2015/496, учреждения Евросоюза обязаны создавать свои исторические архивы, открывать для общественности доступ к архивным документам по истечении 30 лет и устанавливать внутренние правила применения данного Регламента. Эти внутренние правила должны включать правила обеспечения долговременной сохранности исторических архивов и открытия их для общественности, а также правила защиты содержащихся в них персональных данных.

(2) В своем мнении от 10 октября 2012 года, касающемся предложения Еврокомиссии о Регламенте, вносящем поправки в Регламент №354/83, Европейский уполномоченный орган по защите персональных данных (European Data Protection Supervisor, EDPS) подчеркнул необходимость принятия адекватных имплементационных правил для обеспечения эффективного решения вопросов, касающихся защиты персональных данных, в контексте законного ведения документации в правовых, финансовых, административных и архивных целях, а также в соответствии с правилами защиты персональных данных, применимыми к учреждениям и органам Евросоюза.

(3) Имеющиеся у EDPS документы являются основой его оперативной деятельности и повседневной работы. Они представляют собой часть организационных активов EDPS и являются важными источниками административной, доказательной и исторической информации. Они совершенно необходимы организации для осуществления её текущей и будущей оперативной деятельности, для обеспечения подотчетности и прозрачности, а также для знания и понимания её истории и процедур. В связи с этим документами необходимо управлять в соответствии с эффективными правилами, распространяющимися на всем подразделения и на всех сотрудников.

(4) Внутренние правила управления документами и архивами должны принимать во внимание соответствующие обязательства в области информационной безопасности, в особенности те, что изложены в Решении EDPS от 9 марта 2020 года (в редакции от 11 ноября 2022 года) о правилах безопасности для обеспечения защиты секретной информации Евросоюза,- а также усилия EDPS в плане цифровой трансформации. Они должны использовать существующие решения для управления электронными документами и контентом, а также использовать последние достижения в области обеспечения целостности электронных объектов и электронного архивирования, международные стандарты и наилучшие практики.

(5) Учреждениям, органам, управлениям и агентствам Евросоюза рекомендуется признавать услуги в области электронной идентификации и доверия, охватываемые Регламентом Евросоюза № 910/2014 (закон eIDAS – Н.Х.), в целях административного сотрудничества, особенно опираясь на существующую хорошую практику и на результаты текущих проектов в областях, охватываемых этим Регламентом.

(6) Документы EDPS должны быть электронными по умолчанию, хотя возможны исключения. EDPS хранит документы, которые создаются или поступают, а затем управляются в ходе его деятельности. Все документы, независимо от формата и технологической среды, в рамках которой они собираются, создаются или поступают, - захватываются и хранятся в официальном электронном хранилище документов.

(7) Внутренние правила управления документами и архивами должны охватывать жизненный цикл документов и обеспечивать аутентичность, надёжность, целостность и пригодность к использованию документов и их метаданных во времени.

(8) Эффективное надлежащее управление документами и архивами позволяет EDPS 

• обеспечивать принятие обоснованных и эффективных решений; 
  
  
• реализовывать принцип подотчетности действий органов государственного управления; 
  
  
• выполнять обязательства по обеспечению прозрачности и исполнять законодательно-нормативные требования; 
  
  
• управлять деловыми рисками; 
  
  
• защищать права и исполнять обязанности EDPS, обеспечивать доказательную базу в случае судебных разбирательств; и 
  
  
• обеспечивать сохранность институциональной памяти.

(9) Внутренние правила управления документами и архивами должны согласовываться с обязанностью предоставлять доступ к документам EDPS в соответствии с принципами, положениями и ограничениями, установленными в Регламенте Еврокомиссии № 1049/2001 от 30 мая 2001 г. о доступе общественности к документам Европейского парламента, Совета и Еврокомиссии.

(10) Внутренние правила управления документами и архивами также должны обеспечивать исполнение обязательств по защите персональных данных, установленным в Регламенте Евросоюза 2018/1725 (это Регламент «о защите физических лиц в плане обработки персональных данных учреждениями, органами, ведомствами и агентствами Европейского союза, и о свободном перемещении таких данных» - иными словами, законодательство о защите ПДн в органах Евросоюза – Н.Х.). В соответствии с этим Регламентом EDPS обязан предоставлять субъектам ПДн информацию об обработке их персональных данных и содействовать осуществлению прав субъектов ПДн в соответствии со статьями 17–24 Регламента. Реализация этих прав должна быть сбалансирована с целями архивирования в общественных интересах.

(11) Все сотрудники EDPS подотчётны за создание и надлежащее управление документами, касающимися политик, процессов, процедур и действий, за которые они несут ответственность в соответствии с применимыми правилами и процедурами.

(12) Данные и информация в рамках EDPS должны быть доступны и должны как можно шире использоваться для способствования совместной работы сотрудников, для повышения эффективности поиска и повторного использования данных и информации, а также для содействия синергии ресурсов с целью повышения общей эффективности.

(13) Доступ к данным и информации может быть ограничен, если таких ограничений доступа требуют секретность/конфиденциальность информации или законодательно-нормативные требования. В частности, меры защиты, связанные со степенью конфиденциальности информации, с присутствием персональных данных или иными чётко определенными причинами, могут потребовать введения более ограниченного и целенаправленного доступа на основе принципа «необходимости знать».

(Продолжение следует)

Источник: портал EUR-Lex 
https://eur-lex.europa.eu/eli/proc_rules/2025/2608/oj 

Измерение эффективности информационной архитектуры управления документами, и пределы эффективности

Данный пост австралийского специалиста в области управления документами и информацией Карла Мелроуза (Karl Melrose – на фото) был опубликован 6 декабря 2025 года на его блоге Meta-IRM (Мета-управление информацией и документами).

Для меня ключевой мерой эффективности является то, насколько далеко вниз по иерархии Вы можете зайти, прежде чем потеряете возможность обобщить то, что видите, в виде определённой модели (шаблона).

Мой комментарий: Как я понимаю, говоря об «обобщении», Мелроуз фактически имеет в виду то, что процессы и структуры являются регламентированными, стандартизированными, повторяющимися, следующими определенной политике или концепции …

Причина, по которой нам нравится упорядочивание по функциональному признаку, заключается в том, что если бы мы могли заставить всех сотрудников его использовать, то смогли бы обобщить всё, что имеет для нас значение, в рамках единой модели (шаблона).

Способность обобщить информационную архитектуру на самом деле многое говорит нам о зрелости организации и осуществляемой ею деятельности. Зрелые организации, которые не подвержены большим изменениям, имеют структуру, которую легко обобщить. Не очень зрелые организации, или же организации, чьи деловые процессы часто меняются, обобщить гораздо сложнее, - поскольку у каждого сотрудника есть свой шаблон выполнения транзакций, а на прошлой неделе их было трое, - так что шаблоны упорядочения размножаются до тех пор, пока уже становится невозможно понять, что является шаблоном, а что просто шумом.

Это также определяет предел эффективности: упорядочение информации никогда не будет более зрелым, чем степень зрелости процессов, которые эта информация представляет. Сотрудники, которые каждый день приходят на работу и импровизируют, неизбежно будут импровизировать и свою информационную архитектуру. Это означает, что в информационной архитектуре всегда присутствует взаимосвязь между лидером и последователями: действительно хороший руководитель может направлять развитие информационной архитектуры, подталкивая свою группу к более зрелым методам работы, которые приводят к более повторяющимся и легче обобщаемым моделям информации. Действительно хороший информационный архитектор также может вести группу к более зрелым процессам, помогая им структурировать информацию, поддерживающую их работу, более единообразными способами.

Это означает, что информационная архитектура может служить индикатором для оценки зрелости управления документами. Именно в этом вопросе, на мой взгляд, мы [специалисты по управлению документами – Н.Х.] склонны совершать чудовищные ошибки. Мы думаем об этом с точки зрения некой модели управления документами, которая сидит у нас в голове, – и которая неизбежно построена на находящихся на виду инструментах управления документами, а не на том, насколько эффективно сотрудники управляют своими документами. Можно сказать так: политика - это хороший опережающий индикатор, который может быть конвертирован в некую степень зрелости, (пример - назначение старшего должностного лица, ответственного за управление документами), но я бы сказал, что возможность обобщения - гораздо более точный показатель зрелости. 

Вот простой тому пример: Если бы управление жизненным циклом было единственной целью, то наилучшим показателем зрелости было бы то, какую часть Ваших данных можно обобщить по единой модели (шаблону) — такому как «транзакция, классификация, дата уничтожения/передачи». Если Вы можете представить мне такой шаблон для 10% Ваших данных, то, полагаю, эта цифра расскажет нам больше о фактической зрелости, чем любые цифры о количестве политик, сотрудников и о величине расходов.

Я думаю, что эта идея обобщения также указывает на один из важнейших рычагов, которым мы обычно пренебрегаем, - и это руководители. С этой точки зрения, основная задача большинства руководителей заключается в составлении сводок о том, что делает их команда или что им следует делать, чтобы все понимали, над чем им следует работать, и чтобы у руководителя имелась определённая осведомленность о ходе работы. Эффективная информационная архитектура принимает этот фактор во внимание, поскольку, когда структура информации непосредственно влияет на работу руководства, руководство контролирует структуру - способность к обобщению говорит не только говорит нам о том, насколько хороша архитектура, но и говорит всем остальным, насколько зрелой является наша работа и насколько мы компетентны.

Здесь есть оговорка, которую мы все должны помнить: обобщение работы одного сотрудника не является обобщением работы другого. Функциональное упорядочение, хоть и является хорошей идеей, предназначено для того, чтобы упростить обобщение нашей [специалистов по управлению документами – Н.Х.] работы с использованием модели (шаблона). Оно не предназначена для упрощения обобщения работы других специалистов, поэтому они часто им не пользуются. Волшебство информационной архитектуры заключается в поиске способов структурировать информацию, которые можно содержательно обобщить таким образом, чтобы на этой основе поддерживать работу многих групп.

Карл Мелроуз (Karl Melrose)

Мой комментарий: На мой взгляд, автору стоило бы перевести данный пост с «философского» на простой и понятный английский язык :) Мне представляется, что основная мысль поста достаточно проста – упорядочивать информацию и документы нужно таким образом, чтобы и деловым подразделениям было удобно вести свою деятельность, и архивно-документационные службы могли эффективно справляться со своими непосредственными обязанностями. 

При наличии развитых информационных систем, это часто вопрос разработки и внедрения достаточно богатых и гибких схем метаданных, на основе которых появляется возможность представления информации в различных «разрезах», в сочетании с разработкой и внедрением средств поиска и категоризации документов и контента по их содержанию.

Сейчас в электронной среде нет необходимости загонять всех и вся в одну-единственную информационную архитектуру, которая может быть удобна одним специалистам и неудобна другим (а в худшем случае – неудобна всем). Современные (правда, не очень распространённые) технологии позволяют параллельно поддерживать несколько вариантов упорядочивания информации и документов без их дублирования, обычно опираясь на соответствующие метаданные. В качестве альтернативы, можно полагаться не столько на «статическое» упорядочивание, сколько на мощные и гибкие инструменты поиска, к которым в последнее время добавились инструменты на основе искусственного интеллекта.

Что касается зрелости определённой деятельности, то её уровень в первую очередь определяется на основании таких факторов, как эффективность, качество и стабильность / жизнестойкость. Стандартизация информационных структур самоцелью быть не должна (хотя она часто полезна), и избыточный акцент на неё может привести к погоне за ложными целями (скажем, за количеством охватываемой «шаблоном» информации). Стандартизация полезна лишь там и тогда, где и когда она прямо способствует эффективности, качеству и стабильности деятельности организации.

Источник: блог Meta-IRM 
https://metairm.substack.com/p/measuring-effectiveness-of-records 

CША: Национальный институт стандартов и технологий начал публичное обсуждений новой версии 1.2 «Концепции безопасной разработки программного обеспечения» (SSDF)

14 декабря 2025 американский Национальный институт стандартов и технологий (NIST) в своей новостной рассылке и на веб-сайте (см. https://csrc.nist.gov/pubs/sp/800/218/r1/ipd ) объявил о начале публичного обсуждения первоначального проекта новой версии публикации NIST SP 800-218 Rev.1 «Концепция безопасной разработки программного обеспечения (SSDF), версия 1.2: Рекомендации по смягчению рисков, связанных с уязвимостями программного обеспечения» (Secure Software Development Framework (SSDF) Version 1.2: Recommendations for Mitigating the Risk of Software Vulnerabilities) объёмом 57 страниц, см. https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218r1.ipd.pdf .

Публичное обсуждение продлится до 30 января 2026 года; замечания предлагается направлять по адресу ssdf@nist.gov . Документ заменит действующую версию 1.1 (публикация NIST SP 800-218, февраль 2022 года, см. https://csrc.nist.gov/pubs/sp/800/218/final ).

В извещении о начале публичного обсуждения отмечается следующее:

«Национальный институт стандартов и технологий (NIST) опубликовал первоначальный проект для публичного обсуждения специальной публикации NIST SP 800-218 Rev.1 «Концепция безопасной разработки программного обеспечения (SSDF), версия 1.2: Рекомендации по смягчению рисков, связанных с уязвимостями программного обеспечения», - в соответствии с исполнительным приказом (executive order) Президента США № 14306 от 6 июня 2025 года «Об усилении отдельных мер по укреплению кибербезопасности страны и о внесении поправок в исполнительные приказы Президента США №13694 и № 14144» (Sustaining Select Efforts To Strengthen the Nation's Cybersecurity and Amending Executive Order 13694 and Executive Order 14144, см. https://www.federalregister.gov/documents/2025/06/11/2025-10804/sustaining-select-efforts-to-strengthen-the-nations-cybersecurity-and-amending-executive-order-13694 ).

В настоящем документе описываются новые и улучшенные методы (практики), задачи и примеры безопасной и надёжной разработки, поставки и совершенствования программного обеспечения.

Лишь немногие модели жизненного цикла разработки программного обеспечения (software development life cycle, SDLC) явным образом детально рассматривают вопросы безопасности программного обеспечения, поэтому обычно приходится добавлять методы безопасной разработки программного обеспечения в каждую модель SDLC-модель. Публикация NIST SP 800-218 рекомендует использовать «Концепцию безопасной разработки программного обеспечения» (Secure Software Development Framework, SSDF), представляющую собой базовый набор высокоуровневых методов (практик) безопасной разработки программного обеспечения, которые могут быть интегрированы в каждую реализацию жизненного цикла разработки программного обеспечения (SDLC).

Следование таким методам и практикам должно помочь производителям программного обеспечения сократить количество уязвимостей в выпущенном ими ПО, смягчить потенциальные последствия эксплуатации [враждебными сторонами – Н.Х.] необнаруженных или неустраненных уязвимостей, и устранить первопричины уязвимостей, чтобы предотвратить их повторное возникновение в будущем. Поскольку данная Концепция включает общую терминологию в области безопасной разработки программного обеспечения, то закупающие программное обеспечение стороны также могут использовать её как для укрепления информационного взаимодействия с поставщиками в ходе процессов проведения закупок, так и в рамках иной управленческой деятельности.»

Содержание документа следующее:

Резюме для руководства
1. Введение
2. Концепция разработки безопасного программного обеспечения
Литература
Приложение A: Перечень обозначений, сокращений и аббревиатур
Приложение B. История изменений 

Основное место в документе (стр. 7-38) занимает Таблица 1 «Концепция разработки безопасного программного обеспечения (SSDF), версия 1.2», содержащая графы «Методы (практики)», «Задачи», «Характерные примеры реализации» и «Ссылки».

Источник: сайт NIST
https://csrc.nist.gov/pubs/sp/800/218/r1/ipd 
https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-218r1.ipd.pdf