ИСО и МЭК: Работа над новой редакцией стандарта ISO/IEC FDIS 27017 «Меры и средства обеспечения информационной безопасности для сервисов облачных вычислений, основанные на стандарте ISO/IEC 27002» вышла на финальный этап

Сайт Международной организации по стандартизации (ИСО) в апреле 2026 года сообщил о начале голосования по финальному проекту новой, второй редакции стандарта ISO/IEC FDIS 27017 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Меры и средства обеспечения информационной безопасности для сервисов облачных вычислений, основанные на стандарте ISO/IEC 27002» (Information security, cybersecurity and privacy protection — Information security controls based on ISO/IEC 27002 for cloud services) объёмом 38 страниц основного текста, см. https://www.iso.org/standard/82878.html .

Документ разрабатывается техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Новая, существенно переработанная редакция заменит ныне действующий стандарт ISO/IEC 27017:2015.

О работе над новой редакцией я уже рассказывала здесь: https://rusrim.blogspot.com/2025/04/isoiec-dis-27017-isoiec-27002.html 

Во вводной части стандарта отмечается:

«Настоящий документ содержит рекомендации по основанным на стандарте ISO/IEC 27002 мерам обеспечения информационной безопасности, применимым при предоставлении и использовании облачных услуг. Данный документ включает:

• Дополнительные рекомендации по релевантным мерам контроля и управления, перечисленным в стандарте ISO/IEC 27002;
  
  Мой комментарий: Речь идёт о стандарте ISO/IEC 27002:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Меры и средства обеспечения информационной безопасности» (Information security, cybersecurity and privacy protection - Information security controls, см. https://www.iso.org/standard/75652.html и https://www.iso.org/obp/ui/en/#!iso:std:75652:en , а также мой пост http://rusrim.blogspot.com/2023/06/isoiec-270022022.html . 
  
  В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 27002-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Свод норм и правил применения мер обеспечения информационной безопасности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230363 , на основе редакции международного стандарта ISO/IEC 27002, выпущенной в 2013 году.
  
  
• Дополнительные меры контроля и управления, специфические для облачных сервисов, а также рекомендации в их отношении.

Данный документ предлагает меры контроля и управления как поставщикам облачных услуг, так и их клиентам.

Данный документ считается «горизонтальным» (универсально применимым для различных областей применения – Н.Х.), поскольку он закладывает основу и обеспечивает общее понимание вопросов безопасности при предоставлении и использовании облачных сервисов.

Данный документ применим ко всем типам моделей развертывания облачных услуг, включая частное облако. При применении данного документа в контексте частного облака, предлагаемые в нём меры контроля и управления и рекомендации остаются применимыми, хотя могут потребоваться корректировки для их адаптации к взаимоотношениям и возможностям внутренних подразделений организации.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Понятия, специфические для облачных вычислений
5. Специфические для облачных сервисов рекомендации, касающиеся организационных мер и средств контроля и управления
6. Специфические для облачных сервисов рекомендации, касающиеся кадровых мер и средств контроля и управления
7. Специфические для облачных сервисов рекомендации, касающиеся физических мер и средств контроля и управления
8. Специфические для облачных сервисов рекомендации, касающиеся технологических мер и средств контроля и управления
Приложение A: Расширенный набор мер и средств контроля и управления для облачных сервисов
Приложение B: Соответствие мер и средств контроля и управления настоящего стандарта и ISO/IEC 27017:2015
Приложение C: Мониторинг облачных сервисов
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/82878.html 

CEN: Опубликован новый европейский стандарт EN 18162:2026 «Информационное моделирование зданий - Применение цифровых двойников в контексте застроенной среды – Термины и определения»

Сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) в марте 2026 года сообщил публикации нового европейского стандарта EN 18162:2026 «Информационное моделирование зданий - Применение цифровых двойников в контексте застроенной среды – Термины и определения» (Building Information Modelling (BIM) - Digital twins applied to the built environment - Concept and definitions) объёмом 13 страниц, см. https://standards.cencenelec.eu/... 

Стандарт был подготовлен Техническим комитетом TC 442 «Информационное моделирование зданий» (Building Information Modelling, BIM) Европейского комитета по стандартизации (CEN).

Это не первый документ CEN по тематике информационного моделирования зданий. Ранее были опубликованы, в частности, следующие документы:

• Технический отчёт CEN/TR 18077:2024 «Информационное моделирование зданий и сооружений – Применение цифровых двойников в контексте застроенной среды – Варианты использования» (Building information modelling - Digital twins applied to the built environment - Use cases), см. https://standards.cencenelec.eu/... , а также мой пост http://rusrim.blogspot.com/2024/11/cen-centr-180772024.html 
  
  
• Технический отчёт CEN/TR 17920:2023 «Применение информационного моделирования зданий и сооружений (BIM) в отношении объектов инфраструктуры - Потребность в стандартизации и рекомендации» (BIM in infrastructure - Standardization need and recommendations), см. https://standards.cencenelec.eu/... , а также мой пост http://rusrim.blogspot.com/2023/04/cen-bim.html 
  
  
• Стандарт EN 17412-1:2020 «Информационное моделирование зданий и сооружений – Уровень информационной потребности - Часть 1: Понятия и принципы» (Building Information Modelling - Level of Information Need - Part 1: Concepts and principles), см. https://standards.cencenelec.eu/...5 

Во вводной части стандарта отмечается:

«Настоящий документ специфицирует понятия и определения. Он является первой частью серии стандартов, определяющих концептуальную структуру цифровых двойников в контексте застроенной среды. Документ содержит термины и определения, описывает взаимосвязь с информационным моделированием зданий и решает проблему нехватки стандартов для качественной спецификации цифровых двойников, которая может включать, где это уместно, геометрическое, атрибутивное, структурное и инфраструктурное качество.

Данный документ основан на опыте, извлечённом из практических примеров, и на документах других технических комитетов, включая  стандарт ISO/IEC 30173:2023 «Цифровой двойник - Понятия и терминология» (Digital twin - Concepts and terminology – о нём см. мой пост http://rusrim.blogspot.com/2024/02/isoiec-301732023.html - Н.Х. ).

Настоящий документ может быть использован при разработке других стандартов и для поддержки обмена информацией между различными заинтересованными сторонами. Данная инициатива направлена на описание экосистемы цифровых двойников, открывающей возможность получения еще большей полезной отдачи за счёт использования данных на благо общества.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Сокращения
5. Таксономия

5.1. Этапы и типы цифровых двойников активов (asset digital twin, ADTw)
5.2. Цифровые двойники процессов (process digital twin PDTw) в контексте застроенной среды

6. Заинтересованные в цифровых двойниках стороны (DTw) в контексте застроенной среды
Библиография

Источник: сайт CEN 
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:79828,1991542&cs=1944BB7AF7DE340F71053726936DA6611 

ИСО и МЭК: Продолжается работа над проектом новой редакции стандарта ISO/IEC 27560 «Структура документов об обработке персональных данных (ПДн)»

В апреле 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о проведении голосования по второму «проекту комитета» новой редакции стандарта ISO/IEC CD2 27560 «Структура документов об обработке персональных данных (ПДн)» (Structure of Personally Identifiable Information (PII) Processing Records), см. https://www.iso.org/standard/91775.html 

В рамках данного проекта осуществляется переработка в международный стандарт действующих технических спецификаций ISO/IEC TS 27560:2023 «Технологии защиты персональных данных – Структура информации в документе о согласии на обработку ПДн» (Privacy technologies - Consent record information structure) объёмом 60 страниц, см. https://www.iso.org/standard/80392.html и https://www.iso.org/obp/ui/en/#!iso:std:80392:en , а также мой пост https://rusrim.blogspot.com/2023/09/isoiec-ts-275602023.html . К сожалению, изменившееся название является двусмысленным – в отличие от вполне однозначного названия технических спецификаций.

Над стандартом работает подкомитет SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1. О ходе этой работы я уже писала на блоге здесь: https://rusrim.blogspot.com/2025/04/isoiec-awi-27560.html 

В аннотации на документ повторяются слова из вводной части действующих технических спецификаций:

«Настоящий документ специфицирует интероперабельную, открытую и расширяемую информационную структуру для документирования согласия субъектов ПДн на обработку ПДн. 

В данном документе содержатся требования и рекомендации по использованию квитанций о согласии и документов о согласии, связанных с согласием субъекта ПДн на обработку его ПДн, с целью поддержки:

• предоставления субъекту ПДн документа о согласии;
  
  
• обмена информацией о согласии между информационными системами;
  
  
• управления жизненным циклом задокументированного согласия.»

Источник: сайт ИСО
https://www.iso.org/standard/91775.html 
 

Арбитражная практика: Штраф за неисполнение требования Роскомнадзора об удалении персональных данных

Арбитражный суд г. Москвы в ноябре 2025 года вынес решение по делу №А40-220569/25-17-1614, в котором Роскомнадзор просил привлечь организацию к ответственности за неудаление персональных данных гражданина, размещенных на интернет-странице без соответствующего согласия.

Суть спора

В Роскомнадзор поступило обращение гражданина о том, что в сети «Интернет» в телеграм-канале были размещены его персональные данные в объёме: ФИО, должность, год рождения, сведения об образовании, сведения о прохождении военной службы, сведения о месте работы.

Гражданин утверждал, что размещение его персональных данных в телеграм-канале было осуществлено без его согласия, в связи с чем данная деятельность незаконна, так как рассматриваемый случай не подпадает под положения части 1 статьи 6 федерального закона «О персональных данных».

Гражданин подал в Роскомнадзор обращение с просьбой об оказании содействия в удалении его персональных данных, размещенных в интернете без соответствующего согласия.

Позиция Арбитражного суда г. Москвы

Роскомнадзор направил в феврале 2025 года в адрес компании Telegram Messenger Inc. письмо с требованием об удалении ПДн заявителя с указанной интернет-страницы.

Суд отметил, что согласно сведениям, содержащимся в системе электронного документооборота Роскомнадзора, письмо на электронный адрес Telegram Messenger Inc. было отправлено 26 февраля 2025 года, следовательно, исполнить требование об удалении ПДн заявителя с указанной интернет-страницы было необходимо до 11 марта 2025 года.

Вместе с тем, информация, размещенная на интернет-странице до настоящего времени не удалена (она не удалена и до сих пор - Н.Х.).

Для справки: Согласно ч. 5 ст. 13.11 КоАП РФ невыполнение оператором в сроки, установленные законодательством Российской Федерации в области персональных данных, требования субъекта персональных данных или его представителя либо уполномоченного органа по защите прав субъектов персональных данных об уточнении персональных данных, их блокировании или уничтожении в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, влечет наложение административного штрафа:

• на граждан в размере от двух тысяч до четырех тысяч рублей; 
  
  
• на должностных лиц - от восьми тысяч до двадцати тысяч рублей; 
  
  
• на индивидуальных предпринимателей - от двадцати тысяч до сорока тысяч рублей; 
  
  
• на юридических лиц - от пятидесяти тысяч до девяноста тысяч рублей.

Суд привлек компанию Telegram Messenger Inc. к административной ответственности по ч.5 ст.13.11 КоАП РФ с назначением административного штрафа в размере 50 тысяч рублей.

В апелляционной инстанции решение не обжаловалось.

Мой комментарий: Суд и Роскомнадзор применяют принцип экстерриториальности, закрепленный в ст. 5 федерального закона «О персональных данных» № 152-ФЗ. 

Суд в ходе рассмотрения дела проверил соблюдение процедуры:

• Обращение субъекта ПДн (гражданина) - проверка Роскомнадзором - установление факта нарушения (размещение без согласия) - направление законного требования оператору с установленным сроком исполнения (до 11.03.2025);
  
  
• Факт неисполнения требования был документально зафиксирован (скриншоты, акт проверки). 

Отмечу, что Telegram традиционно игнорирует судебные процессы в России, не назначая своих представителей и не обжалуя решения. 

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/