воскресенье, 18 мая 2025 г.

ИСО и МЭК: Завершается работа над стандартом ISO/IEC DIS 27565 по защите персональных данных посредством использования метода доказательств с нулевым раскрытием конфиденциальных сведений

В декабре 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о проведении публичного обсуждения проекта международного стандарта ISO/IEC DIS2 27565 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни – Руководство по защите персональных данных посредством использования метода доказательств с нулевым раскрытием конфиденциальных сведений» (Information security, cybersecurity and privacy protection — Guidelines on privacy preservation based on zero-knowledge proofs) объёмом 36 страниц основного текста, см. https://www.iso.org/standard/80398.html . Публичное обсуждение завершилось в марте 2025 года.

Стандарт готовит технический подкомитет ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Во вводной части документа отмечается:

«Технология доказательств с нулевым раскрытием конфиденциальных сведений (zero-knowledge proof, ZKP) является одним из технологий усиления защиты неприкосновенности частной жизни / персональных данных (Privacy Enhancing Technologies, PET), которые обеспечивают защиту неприкосновенности частной жизни (персональных данных) посредством устранения необходимости подвергать риску или раскрывать персональные данные (ПДн), реализуя при этом желаемые функциональные возможности. Технология ZKP принадлежит к числу PET-технологий и может использоваться для соблюдения принципов «ограничения сбора ПДн», «обработки ПДн на основе согласия пользователя, которому даётся право выбора» и «ограничения раскрытия ПДн», сформулированных в стандарте ISO 29100.

Мой комментарий: Здесь упомянут стандарт ISO/IEC 29100:2024 «Информационные технологии - Методы и средства обеспечения безопасности - Концепция защиты персональных данных» (Information technology - Security techniques - Privacy framework), см. https://www.iso.org/standard/85938.html и https://www.iso.org/obp/ui/en/#!iso:std:85938:en , а также мой пост http://rusrim.blogspot.com/2024/03/isoiec-291002024.html

В предыдущей редакции этот стандарт в России был адаптирован дважды: как межгосударственный стандарт ГОСТ ISO/IEC 29100-2021 «Информационные технологии. Методы и средства обеспечения безопасности. Основы защиты персональных данных», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=230564 ; и как национальный стандарт ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307 .

Технология ZKP также позволяет также проводить валидацию данных, хранящиеся в авторитетном и/или аутентичном источнике данных, если они известны как доказывающей, так и проверяющей стороне. Это даёт возможность лучше исполнять законодательно- нормативные требования, раскрывая одни лишь необходимые данные.

… В настоящем документе содержатся рекомендации по использованию технологии доказательств с нулевым раскрытием конфиденциальных сведений (ZKP) для улучшения защиты неприкосновенности частной жизни (персональных данных) за счёт снижения рисков, связанных с раскрытием или передачей персональных данных между организациями и пользователями, посредством минимизации передаваемой информации.

Документ включает ряд функциональных требований к технологии ZKP, относящихся к нескольким различным вариантам её использования в деловой деятельности, а также описывает, каким образом можно применять различные модели ZKP для безопасного удовлетворения этих функциональных требований.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Введение в доказательства с нулевым раскрытием конфиденциальных сведений (ZKP)
6. Варианты использования ZKP
7. Защита неприкосновенности частной жизни (персональных данных) с использованием ZKP
8. Функциональные варианты использования
9. Примеры использования в деловой деятельности
Приложение A (справочное): Факторы, способствующие и препятствующие разработке и внедрению ZKP
Приложение B (справочное): Пример проверки согласованности двух документов
Приложение C (справочное): Пример выборочного раскрытия
Приложение D (справочное): Пример защищённого сравнения двух чисел
Приложение E (справочное): Пример применения ZKP с использованием подтверждающих права и полномочия электронных сведений / атрибутов (digital credentials)
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/80398.html
https://knowledge.bsigroup.com/products/draft-bs-iso-iec-27565-information-security-cybersecurity-and-privacy-protection-guidelines-on-privacy-preservation-based-on-zero-knowledge-proofs
https://www.iso27001security.com/html/27565.html

суббота, 17 мая 2025 г.

Росстандарт: Опубликован стандарт ГОСТ Р 57193-2025 «Системная и программная инженерия. Процессы жизненного цикла систем»

На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в апрельском 2025 года разделе ( https://protect.gost.ru/default.aspx?control=6&month=4&year=2025 ) выложен новый стандарт ГОСТ Р 57193-2025 (ISO/IEC/IEEE 15288:2023) «Системная и программная инженерия. Процессы жизненного цикла систем» объёмом 90 страниц, вступающий в силу 30.06.2025 года, см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=266010 .

Стандарт подготовлен ООО «Информационно-аналитический вычислительный центр» (ООО ИАВЦ) и Комиссией Российской академии наук по техногенной безопасности; внесён Техническим комитетом по стандартизации ТК 022 «Информационные технологии».

Документ разработан на основе международного стандарта ISO/IEC/IEEE 15288:2023 «Системная и программная инженерия. - Процессы жизненного цикла систем» (Systems and software engineering - System life cycle processes), см. https://www.iso.org/standard/81702.html и https://www.iso.org/obp/ui/en/#!iso:std:81702:en .

Во вводной части стандарта отмечается:

«Настоящий стандарт устанавливает общие основы описаний процессов и применяется в отношении жизненного цикла систем (ЖЦС), создаваемых человеком. Настоящий стандарт определяет с инженерной точки зрения множество системных процессов и соответствующую терминологию. Процессы могут быть применены на любом уровне иерархии в структуре рассматриваемой системы. Выбранные из них множества могут быть использованы в течение жизненного цикла (ЖЦ) для управления и осуществления стадий и этапов ЖЦС. Это реализуется путем вовлечения всех участников, заинтересованных в достижении конечных целей создания и применения систем. Системные процессы также могут быть рассмотрены с точки зрения совершенствования самих процессов ЖЦ, используемых в пределах организации или проекта (т. е. в этом случае сам процесс может быть определен и рассмотрен как система).

Приложение А содержит нормативное руководство относительно приспосабливания процессов ЖЦС. В приложении Б приведен пример перечня угроз нарушения надежности реализации процесса, а в приложении В даны ссылки на типовые показатели, модели и методы прогнозирования рисков в условиях возможных угроз. В приложении Г сформулированы рекомендации по количественному определению допустимых вероятностных значений рисков, а в приложении Д даны ссылки на перечни рекомендуемых методик системного анализа. В приложении Е изложены особенности в применении процессов ЖЦ к системе систем.

Настоящий стандарт предназначен для использования:

  • организацией - для формирования среды необходимой поддержки процессов. Эти процессы могут поддерживаться инфраструктурой, методами, процедурами, методиками, иными различными способами, инструментальными средствами и обученным персоналом. Организация может использовать данную среду в интересах выполнения и управления проектами, для создания, эксплуатации, модернизации и развития систем;

  • в рамках проекта, осуществляемого организацией - для выбора, структуризации и применения элементов окружающей среды в интересах разработки и производства продукции и/или услуг;

  • заказчиком и поставщиком - для разработки соглашения, касающегося процессов и их реализации. В контексте настоящего стандарта с использованием соответствующего соглашения осуществляются отбор, согласование и выполнение конкретных процессов и действий;

  • системными аналитиками и оценщиками процессов - для использования в качестве эталонных ориентиров при выполнении работ по системному анализу, оценке процессов, поиску путей улучшения процессов, обеспечения и повышения качества, безопасности и эффективности систем.

Процессы в настоящем стандарте могут быть установлены с использованием бизнес-среды, состоящей из методов, процедур, методик и способов, инструментальных средств и обученного персонала.

Настоящий стандарт распространяется на полный ЖЦС, включая замысел, разработку, производство, эксплуатацию и снятие с эксплуатации систем, а также приобретение и поставку систем, осуществляемые внутри или вне организации. Процессы жизненного цикла, описанные в настоящем стандарте, могут быть применены однократно, многократно и рекурсивно по отношению к системе и ее элементам.

Существует широкий круг систем, отличающихся сточки зрения области применения, назначения, сложности, масштаба, новизны, адаптируемости, количественных характеристик, места расположения, рассматриваемого фрагмента времени в жизни и эволюции. Настоящий стандарт применим для систем единичного и массового производства и систем, адаптируемых по требованиям заказчика. Это также относится к полностью автономной системе и системам, которые встраиваются в иные или комплексируются с иными, более сложными и интегрирующими системами, именуемыми системами систем. Пользователи настоящего стандарта ответственны за выбор модели ЖЦ для конкретной системы, формулирование конкретных целей и выходных результатов процессов, выбор и применение соответствующих методов, моделей и методик с учетом специфики системы, содержания и качества выполняемых действий (задач).

Для определения содержания информационных объектов (документации) в процессах ЖЦС см. ГОСТ Р 56713.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины, определения и сокращения
4. Соответствие
5. Основные понятия
6. Процессы жизненного цикла системы
Приложение А (обязательное): Процесс приспосабливания
Приложение Б (справочное): Пример перечня угроз нарушения надежности реализации процесса
Приложение В (справочное): Типовые показатели, модели и методы прогнозирования рисков
Приложение Г (справочное): Рекомендации по количественному определению допустимых вероятностных значений рисков
Приложение Д (справочное): Рекомендации по перечню методик системного анализа
Приложение Е (справочное): Особенности в применении процессов жизненного цикла к системе систем
Библиография

Источник: сайт Росстандарта
https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=266010


Судебная практика: Банк оштрафовали за пересылку персональных данных через иностранный мессенджер

Мировой судья судебного участка №425 района Хамовники города Москвы, исполняющий обязанности мирового судьи судебного участка №365 района Хамовники гор. Москвы, рассмотрел в апреле 2025 года дело №5-755/2025 (УИД 77MS0365-01-2025-001385-15) об административном правонарушении, предусмотренном ст. 13.11.2 Кодекса РФ об административных правонарушениях в отношении общества ПАО «БАНК УРАЛСИБ».

ПАО «БАНК УРАЛСИБ» осуществил «незаконное использование принадлежащих иностранным юридическим лицам и/или иностранным гражданам информационных систем и/или программ для электронных вычислительных машин, которые предназначены и/или используются для обмена электронными сообщениями исключительно между пользователями этих информационных систем и/или программ для электронных вычислительных машин, при котором отправитель электронного сообщения определяет получателя или получателей электронного сообщения и не предусматривается размещение пользователями общедоступной информации в с интернете»

Конкретно, Банк УРАЛСИБ в августе 2024 года использовал иностранный менеджер, включенный в перечень Роскомнадзора, для передачи информации гражданке о её задолженности в банке, используя при этом персональные данные заявителя.  

В августе 2024 года на номер телефона гражданки, посредством иностранного мессенджера, поступило сообщение от банка, содержащее информацию относительно взыскания просроченной задолженности, где были указаны персональные данные.

Роскомнадзор в рамках рассмотрения обращения заявителя в сентябре 2024 года направил в адрес банка запрос, в том числе в части пояснений относительно факта использования сотрудниками банка иностранного мессенджера, включенного в соответствующий перечень. Банк признал указанные в обращении факты и объяснил свои действия поиском способа проинформировать клиента.

Банк УРАЛСИБ нарушил ч.8 ст.10 федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», то есть совершил административное правонарушение, ответственность за которое предусмотрена ст. 13.11.2 КоАП РФ.

В суде представитель банка просил прекратить производство по делу в связи с отсутствием состава и события правонарушения, поскольку, несмотря на то, что фамилия и инициалы гражданина относятся к персональным данным, без дополнительной информации определить принадлежность ПДн к конкретному субъекту невозможно. Фамилия в напечатанном сотрудником банка сообщении не указывалась, таким образом автоматизированная обработка персональных данных не осуществлялась.

В ходе судебного заседания в качестве свидетеля был допрошен главный специалист – эксперт отдела по защите прав субъектов персональных данных, которая показала, что в действиях банка имеется состав правонарушения, предусмотренного ст. 13.11.2 КоАП РФ, мессенджер входит в перечень информационных систем и/или программы для электронных вычислительных машин, указанных в ч.8 ст.10 федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», указанная информация также размещена на сайте Роскомнадзора в свободном доступе, скриншот которого прилагается, при этом Банк использовал указанный мессенджер для обмена сообщениями.

Кроме того, любая информация, переданная через мессенджеры, электронную почту и иные электронные информационные системы являются автоматизированной обработкой, независимо от способа набора текста. В сообщении сотрудника банка раскрыта информация об имени и отчестве физического лица, номере его телефона. Данная информация достаточна для идентификации субъекта персональных данных.

Таким образом, вина ПАО «БАНК УРАЛСИБ» подтверждается имеющимися в материалах дела документами.  

Факт совершения банком административного правонарушения, предусмотренного ст. 13.11.2 Кодекса Российской Федерации об административных правонарушениях, подтверждается исследованными в судебном заседании доказательствами, а именно:

  • Протоколом об административном правонарушении;

  • Обращением, поступившим на официальный Интернет-портал Правительства РФ по факту обращений банка к гражданке через мессенджер;

  • Скриншотом сообщения сотрудника банка через мессенджер, адресованного гражданке на номер телефона;

  • Запросом Роскомнадзора, адресованного в банк о предоставлении информации по факту обращения;

  • Ответом банка на запрос Роскомнадзора, из которого следует, что с клиентом было осуществлено взаимодействие посредством мессенджера в рамках поиска неконтактных клиентов с корпоративного номера телефона банка, используемого сотрудником банка;

  • Скриншотом с сайта Роскомнадзора, в котором опубликован перечень информация о перечне информационных систем и/или программы для электронных вычислительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации».

Совокупность вышеприведенных доказательств по делу у суда не вызывает сомнений, они последовательны, непротиворечивы и полностью согласуются между собой.

Суд находит их относимыми, допустимыми, достоверными и достаточными для разрешения настоящего дела

Суд пришел к выводу о том, что банк совершил использование иностранного мессенджера, включенного в перечень информационных систем и/или программ для электронных вычислительных машин, указанных в ч. 8 ст. 10 Федерального закона от 27.07.2006 №149-ФЗ «Об информации, информационных технологиях и о защите информации», для предоставления информации, содержащей персональные данные гражданина Российской Федерации, и квалифицирует действия банка по ст. 13.11.2 Кодекса  РФ об административных правонарушениях.

Довод защитника о том, что сообщение, написанное сотрудником банка и отправленное посредством мессенджера, не содержит персональных данных субъекта, суд не принимает во внимание.

В соответствии с п. 1 ст. 3 Федерального закона от 27.07.2006 №152-ФЗ «О персональных данных» персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Принимая во внимание, что в сообщении, направленном посредством мессенджера, определен номер телефона, содержатся ее полное имя и отчество, суд пришёл к выводу, что сотрудником банка в совокупности была указана информация, содержащая персональные данные гражданина РФ.

Суд не нашел оснований для удовлетворения заявленного ходатайства о прекращении производства по делу в связи с отсутствием состава административного правонарушения.

Рассматривая ходатайство представителя банка о признании правонарушения малозначительным и освобождении юридического лица от административной ответственности, суд пришёл к выводу о том, что оснований для его удовлетворения не имеется, поскольку наступление вредных последствий не является квалифицирующим признаком объективной стороны административного правонарушения, ответственность за которое установлена ст. 13.11.2 Кодекса Российской Федерации об административных правонарушениях, отсутствие указанных последствий не свидетельствует о малозначительности совершенного правонарушения.

По мнению суда, существенная угроза охраняемым общественным отношениям заключается в данном случае не в наступлении каких-либо материальных последствий правонарушения, а в пренебрежительном отношении банка к исполнению своих публично-правовых обязанностей и игнорировании требований законодательства о защите персональных данных.

Мировой судья признал банк виновным в совершении административного правонарушения, предусмотренного ст. 13.11.2 Кодекса РФ об административных правонарушениях и назначить административное наказание в виде штрафа в размере 200 тысяч рублей.

Источник: Портал единого информационного пространства мировых судей города Москвы
https://mos-sud.ru/365/cases/admin/details/c5c5060e-244a-4a63-8c7b-3eea5b51644c?uid=77MS0365-01-2025-001385-15&formType=fullForm

пятница, 16 мая 2025 г.

В журнале «Архейон» опубликована в свободном доступе статья Джеффри Ео «Искусственный интеллект и варианты будущего архивной теории и практики»

Данный пост эксперта в области управления электронными документами, эксперта ИСО от США Энди Поттера (Andy Potter - на фото) был опубликован 23 апреля 2025 года в социальной сети LinkedIn в учётной записи технического подкомитета ИСО TC46/SC11 «Управление документами».

Лекция Конарского 2024 года: Джеффри Ео об искусственном интеллекте и будущем архивов

На третьей лекции, посвящённой памяти видного польского архивиста проф. Казимира Конарского (Kazimierz Konarski), прочитанной Джеффри Ео (Geoffrey Yeo) в Варшавском политехническом университете 23 октября 2024 года, рассматривались последствия искусственного интеллекта для архивной теории и практики. Текст лекции (на английском языке) был опубликован в виде статьи и свободно доступен на сайте польского журнала «Архейон» (Archeion, см. https://ejournals.eu/en/journal/archeion/issue/125 ).

Мой комментарий: Предыдущие лекции им. Конарского также читали (на английском языке) видные учёные:
  • В 2022 году - Лючиана Дюранти (Luciana Duranti) на тему «Почему ставший цифровым мир нуждается в архивной теории больше, чем когда-либо прежде» (Why a world gone digital needs archival theory more than ever before), см. https://www.youtube.com/watch?v=vbOY3TXNan8

  • В 2023 году – Лора Миллар (Laura Millar) на тему «Управление «бесформенной массой» в цифровую эпоху» (Managing “The Shapeless Mass” in the Digital Age), см. https://www.youtube.com/watch?v=pXYwYfxPcRg

Выступает Джеффри Ео
, см. https://www.youtube.com/watch?v=U8c_H0puVH4 (есть возможность включить субтитры и перевод на русский язык)

В лекции шла речь о том, каким образом ИИ трансформирует архивную работу от экспертизы ценности и доступа и до контекста и доверия, а также были подняты критически-важные вопросы о концептуальной преемственности (conceptual continuity), автоматизации и эволюционирующей природе документов.

Мой комментарий:
23-страничная статья Джеффри Ео (Geoffrey Yeo) «Искусственный интеллект и варианты будущего архивной теории и практики» (Artificial intelligence and the future(s) of archival theory and practice), Archeion, №125, 2024 г., стр. 10-32, доступна по адресу
https://doi.org/10.4467/26581264ARC.24.008.20572 , прямая ссылка на PDF-файл: https://ejournals.eu/en/journal_article_files/full_text/019344ac-a024-70e3-b6a2-6ce8fac87805/download . Также видеозапись лекции доступна по адресу https://www.youtube.com/watch?v=U8c_H0puVH4 .

В данной лекции представлен стратегический обзор воздействия ИИ на создание, управление, использование и обеспечение долговременной сохранности документов. В ней рассматриваются как потенциал, так и ограниченность автоматизации в архивных условиях, а также обсуждаются проблемы, связанные с высокотехнологичными фальшивками («дипфейками»), аутентичностью и документированием систем высокого риска.

Мой комментарий: В лекции большое внимание было уделено критическому разбору Закона об ИИ, вступившего в силу в Евросоюзе. Джеффри Ео также размышлял о том, может ли распространение ИИ повлиять на наши теоретические представления об архивах.


Джеффри Ео (Geoffrey Yeo) является почётным научным сотрудником факультета информатики Университетского колледжа Лондона (University College London). Ео - признанный на международном уровне теоретик и преподаватель архивного дела, являющийся автором авторитетных публикаций о природе документов, архивном контексте и цифровой непрерывности (digital continuity). Его труды легли в основу понимания и практики архивного дела и управления документами, преодолев при этом границы учреждений и дисциплин.

Энди Поттер (Andy Potter)

Источник: сайт LinkedIn
https://www.linkedin.com/feed/update/urn:li:activity:7320500761342140416
https://www.umcs.pl/pl/galeria-mediow,4431,konarski-lectures-i-geoffrey-yeo,154826.chtm