четверг, 23 мая 2019 г.

Технология блокчейна является технологией управления документами! Часть 1


Статья известного американского специалиста, профессора университета Сан-Хосе (San Jose State University, штат Калифорния, США) Патриции Фрэнкс (Patricia C. Franks – на фото), была опубликована на сайте IG GURU ( https://igguru.net/ ) 1 мая 2019 года.

Специалистам по управлению документами и информацией и раньше часто приходилось разбираться с последствиями внедрения трансформирующих технологий на программы и практики управления документами и информацией. В 19-м веке это было изобретение пишущей машинки. В течение 20-го века появились программируемые компьютеры и ПК. В начале 21-го века это были технологии социальных сетей. Сегодня нам приходится иметь дело, помимо прочего, с большими данными и искусственным интеллектом.

Неудивительно поэтому, что занимающиеся управлением документами и информацией профессионалы в настоящее время изучают влияние технологий блокчейна и распределенных реестров. В данной статье дан краткий обзор технологий блокчейна (Blockchain) и распределенных реестров (Distributed Ledger Technologies, DLT), адресованный специалистам по управлению документами и информацией.

Основы технологии блокчейна и распределенных реестров

Нет какого-то единого общепринятого определения блокчейна. В 2016 году Дон и Алекс Тэпскотты (Don and Alex Tapscott) говорили о блокчейне как о «неподверженном порче реестре экономических транзакций, который можно использовать для документирования не только финансовых транзакций, но и любых активов» (Tapscott, 2016).

В 2018 году американский Национальный институт стандартов и технологий (NIST) описал распределенный регистр как состоящий из «подписанных криптографическим образом транзакций, которые сгруппированы в блоки, причем каждый блок, после проверки и принятия решения на основе консенсуса, криптографически связывается с предыдущим» (NIST, 2018 – см. также мой пост http://rusrim.blogspot.com/2018/10/nist_8.html - Н.Х.). Каждый из узлов блокчейн-сети хранит собственный экземпляр одного и того же реестра, и конфликты разрешаются автоматически в соответствии с установленными правилами. Распределенный реестр представляет собой неподверженный изменениям единственный источник истины. Следовательно, использование распределенного реестра означает распределенное доверие.

Полезно представлять себе распределенный реестр как базу данных, которая совместно используется и синхронизируется на основе консенсуса многочисленными сайтами, учреждениями или географическими регионами. Однако между традиционной базой данных и распределенным реестром существуют различия, отражённые в Таблице 1.

Таблица 1: Сопоставление традиционной базы данных и распределённого реестра

Был опубликован ряд древовидных схем принятия решений. Все они предполагают, что Вы, отвечая на вопросы, в конечном итоге приходите к одному из двух возможных результатов: 1) Вам следует использовать традиционную базу данных; или 2) Вам может подойти распределенный реестр. Обратите внимание на слово «может» - даже если Вы получите рекомендацию использовать распределенный реестр, Вам следует принять во внимание следующие вопросы:
  • Может ли в будущем возникнуть необходимость изменить или удалить какие-либо из хранимых данных?

  • Будут ли храниться персональные и/или «чувствительные» данные?

  • Будут ли храниться «большие данные»?
Если Вы подумываете об использовании распределенного реестра, то в случае положительного ответа на какой-либо их этих вопросов Вам стоит рассмотреть альтернативные варианты хранения, например, хранение в блокчейне только хешей данных, а самих данных – вне блокчейн-цепочки.

(Окончание следует)

Патриция Фрэнкс (Patricia C. Franks)

Источник: сайт IG GURU
https://igguru.net/2019/05/01/blockchain-technology-is-recordkeeping-technology/

Новые технические спецификации ETSI, относящиеся к обеспечению доверия к усиленным электронным подписям в длительной перспективе


Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) подготовил к публикации две новые технические спецификации, выход в свет которых ожидается в ближайшее время.

Технические спецификации ETSI TS 119 511 «Электронные подписи и инфраструктуры - Требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность электронных цифровых подписей или произвольных данных с использованием технологии ЭЦП» (Electronic Signatures and Infrastructures (ESI); Policy and security requirements for trust service providers providing long-term preservation of digital signatures or general data using digital signature techniques).

Опубликованный в декабре 2018 года проект документа объёмом 34 страницы доступен по адресу https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf

Спецификации опираются на европейский закон eIDAS, полное название которого -  «Регламент № 910-2014 Европейского парламента и Совета от 23 июля 2014 года «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке, и об отмене Директивы 1999/93/EC»» (Regulation (EU) No 910/2014 of the European Parliament and of the Council of 23 July 2014 on electronic identification and trust services for electronic transactions in the internal market and repealing Directive 1999/93/EC, см. http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2014.257.01.0073.01.ENG , об этом законе см. также пост http://rusrim.blogspot.ru/2014/09/blog-post_95.html - Н.Х.).

Во вводной части документа, в частности, отмечается следующее:
«С одной стороны, основанные на криптографических механизмах электронные цифровые подписи (также усиленные электронные подписи - digital signatures – Н.Х.), а также отметки времени всё чаще используются в нашей повседневной жизни и являются краеугольным камнем для электронной коммерции.

С другой стороны, хорошо известно, что надёжность и пригодность криптографических механизмов со временем меняется, и необходимо использовать подходящие механизмы обеспечения долговременной сохранности, способные поддерживать статус верности/действительности подписанного объекта в течение длительных периодов времени, в рамках которых могут применяться различные технологии хранения и криптографические алгоритмы.

Потребность в обеспечения долговременной сохранности, среди прочего, признается европейским законом eIDAS, в преамбуле которого в п.(61) говорится: «Настоящий Регламент должен обеспечивать долговременную сохранность информации, с целью обеспечить юридическую силу электронных подписей и электронных печатей в течение длительных периодов времени и гарантировать возможность их проверки независимо от будущих технологических изменений».

Далее, в статье 34 закона eIDAS сказано, что «квалифицированная услуга по обеспечению долговременной сохранности квалифицированных электронных подписей может оказываться только квалифицированным поставщиком услуг доверия, использующим процедуры и технологии, способные продлить период доверия к квалифицированной электронной подписи за пределы периода её технологической действительности»; и что «Еврокомиссия может, посредством  принятия подзаконных нормативных актов, устанавливать номера базовых стандартов для квалифицированных услуг по обеспечению долговременной сохранности квалифицированных электронных подписей».

Настоящий документ направлен на удовлетворение общих потребностей международного сообщества в обеспечении доверия и уверенности в услугах по обеспечению долговременной сохранности, которые могут использоваться для сохранения статуса верности ЭЦП/УЭП или для обеспечения сохранности электронных объектов с использованием методов ЭЦП/УЭП, - учитывая, среди прочего, применимые требования из статей 34 и 40 закона eIDAS, устанавливающие правовые рамки для квалифицированной услуги по обеспечению долговременной сохранности квалифицированных электронных подписей и, соответственно, квалифицированных электронных печатей.

… Настоящий документ основан на общих политических требованиях, установленных европейским стандартом EN 319 401, в котором сформулированы требования политики и требования по безопасности к поставщикам услуг доверия, обеспечивающих долговременную сохранность ЭЦП/УЭП и произвольных данных (то есть подписанных и неподписанных данных), с использованием технологии ЭЦП.

Мой комментарий: Речь идёт о подготовленном ETSI стандарте ETSI EN 319 401 «Электронные подписи и инфраструктуры: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and Infrastructures (ESI); General Policy Requirements for Trust Service Providers), самая свежая редакция которого выложена по адресу https://www.etsi.org/deliver/etsi_en/319400_319499/319401/02.02.01_60/en_319401v020201p.pdf .

В настоящем документе рассматриваются два основных случая:
  • Обеспечение сохранения на протяжении длительных периодов времени, с использованием технологии ЭЦП, способности проверять электронную цифровую подпись, поддерживать ее статус верности и получать подтверждение неизменности соответствующих подписанных данных с момента представления их в службу обеспечения сохранности, - даже если со временем ключ подписания (закрытый ключ) будет скомпрометирован, истечёт срок действия сертификата или станут возможными криптографические атаки на алгоритм подписания или алгоритм хеширования, используемые в представленной подписи.

  • Предоставление доказательства существования электронных объектов (как подписанных, так и неподписанных) с использованием технологии ЭЦП (электронные цифровые подписи, отметки времени, записи с подтверждающими сведениями -  evidence records, и т.д.).

    Примечание: В данном случае, даже если основным сохраняемым объектом является подпись, он обрабатывается так же, как и любой другой файл. В настоящем документе не рассматривается доказывание существования электронного объекта без использования технологий ЭЦП.
Как следует из последнего примечания, документ ограничивается узкотехническим подходом, игнорируя традиционные архивные и судебные методы подтверждения подлинности на основе в одном случае – архивной взаимосвязи документов, а в другом – совокупности косвенных доказательств.

В документе поясняется, что сервис обеспечения сохранности – это не сервис подтверждения верности усиленной электронной подписи, и его главная задача – сохранить в длительной перспективе все необходимые для проверки подписи данные.

В выложенном проекте видно, что до конца не согласован следующий интересный момент: что делать поставщику услуг, если он по каким-либо причинам не смог обеспечить сохранность всех необходимых для перепроверки подписи данных? Пока что рассматриваются три варианта:
  • Признать провал усилий по обеспечении сохранности подписи,

  • Делать то, что в силах поставщика услуг – сохранять ту информацию, которую ему удалось собрать,

  • Постараться, при возможности, впоследствии собрать недостающую информацию.
Замечу, что без привлечения архивных / судебных методов, данную проблему вряд ли удастся решить.

В документе рассмотрены три варианта услуги: с хранением у себя соответствующих данных, с временным их хранением и без хранения.

Содержание проекта документа следующее:
Предисловие
Использование модальных глаголов
Введение
1. Область применения
2. Литература
3. Определения терминов, символов и сокращений
4. Общие понятия
5. Оценка рисков
6. Политики и практики
7. Менеджмент и оперативная деятельность поставщика услуг обеспечения сохранности
8. Протоколы оперативной деятельности и оповещения
9. Процесс обеспечения сохранности
Приложение A (нормативное): Квалифицированный сервис обеспечения сохранности для квалифицированных электронных подписей в соответствии со ст.34 закона eIDAS
Приложение B (нормативное): Перекрестные ссылки требований на положения закона eIDAS
Технические спецификации ETSI TS 119 512 «Электронные подписи и инфраструктуры – Протоколы для поставщиков услуг доверия, оказывающих услуги по обеспечению долговременной сохранности данных» (Electronic Signatures and Infrastructures (ESI); Protocols for trust service providers providing long-term data preservation services).

Источник: сайт ETSI
https://docbox.etsi.org/ESI/Open/Latest_Drafts/TS_119_511_v0.0.5_preservation-policy.pdf

среда, 22 мая 2019 г.

ИСО: Какие национальные стандарты технический подкомитет TC46/SC11 «Управление документами» мог бы взять за основу будущих проектов? Часть 2


(Окончание, начало см. http://rusrim.blogspot.com/2019/05/tc46sc11-1.html )

Италия

Новый проект стандарта UNI, пока ещё без номера, «Информация и документация – Управление документами – Словарь» (Informazione e documentazione – Gestione documentale – Vocabolario).

Планируется разработать национальный итальянский терминологический стандарт для области управления документами, в котором будут изжиты все серьёзные несоответствия и ошибки (!), характерные для международного стандарта ISO 30300.

Звучит это очень интригующе, и мне будет очень интересно посмотреть на конечный результат – прежде всего на то, как и какие определения будут отличаться от определений, предлагаемых в стандартах ИСО.

Стандарт UNI 11386:2010 «Поддержка интероперабельности при обеспечении сохранности и извлечении электронных объектов» (Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali (SInCRO), английское самоназвание: Supporting Interoperability in Preservation and Retrieval of Digital Objects), см. http://store.uni.com/catalogo/index.php/uni-11386-2010.html

Настоящий стандарт определяет структуру набора данных, поддерживающего процесс замещающего сканирования (в оригинале: conservazione sostitutiva – замещающее сохранение). В частности, он уточняет и интегрирует ряд положений, содержащихся в техническом регламенте хранения электронных документов, введённого решением №11/2004 от 19 февраля 2004 года Национального центра по информатике в государственных и муниципальных органах (Centro Nazionale per Informatica nella Pubblica Amministrazione, CNIPA) – см. https://www.agid.gov.it/sites/default/files/repository_files/circolari/deliberazione-cnipa-19-02-04_0.pdf , определяющих информационные элементы, необходимые для создания «индекса хранения» (indice di conservazione - так называемого «закрывающего файла», file di chiusura) и описывающих как семантику, так и структуру с помощью формального языка XML.

Цель стандарта заключается в том, чтобы дать заинтересованным сторонам возможность использовать общую структуру данных для обеспечения удовлетворительной степени интероперабельности в процессах миграции, благодаря применению специально разработанной XML-схемы.

Стандарт UNI 11536:2014 «Квалификации специалистов в области обработки данных и документов – Профессиональный профиль архивиста – Требования к знаниям, навыкам и компетенциям» (Qualificazione delle professioni per il trattamento di dati e documenti – Figura professionale dell'archivista – Requisiti di conoscenza, abilità e competenza, самоназвание на английском языке: Qualifying professions focused on processing data and documents – Professional archivist's profile – Defining requirements on knowledge, skills and competences), см. http://store.uni.com/catalogo/index.php/uni-11536-2014.html

Настоящий стандарт определяет требования к знаниям, навыкам и технико-культурным компетенциям, необходимым для выполнения профессиональной деятельности архивиста в соответствии с Европейской системой квалификаций (European Qualifications Framework, EQF). При этом специалисты по управлению документами и архивисты считаются представителями одной профессии.

До этого стандарта мне очень хотелось бы добраться – и сопоставить его с профессиональными и учебными стандартами для архивистов, которые разрабатывают в нашей  стране :)

Интересную статью (на английском языке) известного итальянского специалиста в области управления документами и архивного дела Джованни Мичетти (Giovanni Michetti), сопоставляющую данный стандарт с Европейской системой квалификаций, можно найти по адресу: http://www.ica-sae.org/proceedings/beijing2013/Michetti.pdf . Статья, опубликованная в 2014 году, называется «Знания, навыки и компетенции: Итальянский стандарт должен определить профиль архивиста в соответствии с Европейской системой квалификаций (Knowledge, skills, and competences: An Italian standard to define the archivist’s profile within the European Qualifications Framework).

По словам Мичетти, стандарт представляет собой иерархическую схему. На первом уровне выделены три основные миссии архивиста, в рамках каждой из которых указаны основные функции:

Миссия: Управление документами на протяжении всего их жизненного цикла, начиная от проектирования, создания и упорядочивания до стадии длительного или постоянного хранения. Функции:

1. Управление документами
2. Обеспечение защиты
3. Экспертиза ценности и уничтожение/передача на архивное хранение
4. Упорядочение и описание
5. Обеспечение долговременной сохранности
6. Проектирование и экспертиза ценности информационных систем и приложений

Миссия: Предоставление доступа к документам, внедрение и оказание услуг/сервисов для пользователей, продвижение знаний об архивных ресурсах поощрение обучения и образования. Функции:

7. Услуги для пользователей
8. Информационно-пропагандистская деятельность, обучение и образование
9. Исследования

Миссия: Менеджмент и оперативное оказание архивно-документационных услуг, планирование их развития и стратегическое управление соответствующими ресурсами. Функции:

10. Стратегическое управление и администрирование

В список вошли все функции, имеющие непосредственное отношение к профессии архивиста. Для каждой функции стандарт даёт краткое описание. В стандарте отмечается, что каждый отдельный архивист не обязан выполнять абсолютно все эти функции, и уже тем более ежедневно; и что приветствуется специализация в отдельных областях.

Для функций, в свою очередь, названы соответствующие виды деятельности, от двух до шести.

Далее, стандарт предлагает таблицы, показывающие взаимосвязь компетенций, навыков и знаний для каждого из видов деятельности. В статье приведены примеры таких таблиц.

Источник: сайт итальянского национального органа по стандартизации UNI
http://store.uni.com/catalogo/index.php/uni-11386-2010.html
http://store.uni.com/catalogo/index.php/uni-11536-2014.html

Порядок исключения юридических лиц из реестра таможенных перевозчиков


Приказом Федеральной таможенной службы (ФТС России) от 19 февраля 2019 года № 289 утвержден «Порядок исключения юридических лиц из реестра таможенных перевозчиков», который вступил в силу с 22 апреля 2019 года.

Исключение юридического лица из реестра осуществляется на основании решения (п.2), которое принимается должностным лицом структурного подразделения ФТС России, в компетенцию которого входит рассмотрение вопросов о включении юридических лиц в реестр (п.3) и оформляется приказом ФТС России (п.4).

Приказ направляется уполномоченным должностным лицом ФТС России на согласование в заинтересованные структурные подразделения ФТС России (п.5).

Согласование приказа осуществляется структурными подразделениями ФТС России в срок не более 2 рабочих дней с даты его поступления (п.6). Приказ подписывается руководителем ФТС России (лицом, его замещающим) или уполномоченным им должностным лицом (п.7).

Копия приказа направляется уполномоченным должностным лицом ФТС России не позднее одного рабочего дня, следующего за днем его получения, юридическому лицу, в отношении которого принято решение (п.8).

Указанный документ направляется в форме электронного документа, подписанного усиленной квалифицированной электронной подписью уполномоченного должностного лица ФТС России, с использованием личного кабинета или Единого портала государственных и муниципальных услуг (функций) (п.9).

В случае отсутствия возможности направления копии приказа в электронной форме в связи с неисправностью используемых таможенными органами информационных систем, вызванной техническими сбоями, она направляется посредством сети «Интернет» на адрес электронной почты, указанный юридическим лицом в заявлении о включении в реестр (п.10).

Решение подлежит внесению уполномоченным должностным лицом ФТС России в Единую автоматизированную информационную систему таможенных органов в день получения приказа об исключении (п.11).

Мой комментарий: Направлений приказа об исключении из реестра на бумаге не предусмотрено.

В документе, однако, не уточнен достаточно важный момент: означает ли исключение из реестра полное удаление информации о перевозчике, или только лишь добавление данных о том, что он был в реестре определенное время, но его исключили.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=320785