четверг, 28 февраля 2019 г.

Опубликован очередной стандарт ИСО/МЭК, затрагивающий вопросы защиты персональных данных


В конце января 2019 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации стандарта ISO/IEC 19086-4:2019 « Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 4: Компоненты безопасности и защиты персональных данных» (Cloud computing - Service level agreement (SLA) framework - Part 4: Components of security and of protection of PII), см. https://www.iso.org/standard/68242.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en .

О первом стандарте серии ISO/IEC 19086 и о структуре серии я уже писала здесь: http://rusrim.blogspot.com/2016/09/blog-post_69.html

Как отмечается во вводной части, настоящий документ определяет компоненты, относящиеся к информационной безопасности и защите персональных данных, а также количественные (Cloud Service Level Objective, SLO) и качественные (Cloud Service Qualitative Objective. SQO) показатели для соглашений о качестве облачных услуг, включая соответствующие требования и рекомендации.

Настоящий документ создан в интересах и предназначен для использования как поставщиками облачных услуг (Cloud Service Provider, CSP), так и их потребителями (Cloud Service Consumer, CSC).

В главе 7 документа описаны 13 компонент информационной безопасности, а именно. компоненты:
  • 7.1 Политики информационной безопасности

  • 7.2 Организации информационной безопасности

  • 7.3 Менеджмента активов

  • 7.4 Контроля доступа

  • 7.5 Криптографии

  • 7.6 Физической и экологической безопасности

  • 7.7 Безопасности операций

  • 7.8 Безопасности коммуникаций

  • 7.9 Закупки, развития и технической поддержки систем

  • 7.10 Взаимодействия с поставщиками

  • 7.11 Менеджмента инцидентов информационной безопасности

  • 7.12 Менеджмента непрерывности деловой деятельности

  • 7.13 Исполнения законодательно-нормативных требований
В главе 8 описаны 9 компонент защиты персональных данных, а именно компоненты:
  • 8.1 Согласия и выбора

  • 8.2 Определения целей обработки и из законности

  • 8.3 Минимизации сбора и обработки персональных данных

  • 8.4 Управления персональными данными, отслеживания сроков их хранения и ограничения их раскрытия

  • 8.5 Точности и качества

  • 8.6 Открытости, прозрачности и извещения

  • 8.7 Участия и доступа физических лиц

  • 8.8 Подотчётности

  • 8.9 Исполнения законодательно-нормативных требований о защите персональных данных
Высокоуровневое краткое описание каждой их компонент (обычно не более страницы текста) включает общее описание, целевые показатели и ссылки на соответствующие документы, содержащие требования и рекомендации.

Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Взаимосвязь с другими частями Концепция соглашений о качестве услуг облачных вычислений
6. Обзор
7. Компоненты информационной безопасности
8. Компоненты защиты персональных данных
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/68242.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-4:ed-1:v1:en

Чиновников будут наказывать за непредставление сведений в федеральный реестр инвалидов


Федеральный закон от 6 февраля 2019 года № 7-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» дополнил КоАП статьей 13.19.4 «Нарушение порядка представления сведений в федеральный реестр инвалидов и размещения указанных сведений в данном реестре».

Непредставление должностным лицом сведений, подлежащих включению в федеральный реестр инвалидов, неразмещение или нарушение установленных законодательством Российской Федерации порядка и/или сроков их размещения в реестре, размещение их в данном реестре не в полном объеме либо размещение в данном реестре заведомо недостоверных сведений - влечет наложение административного штрафа в размере от 10 до 20 тысяч рублей.

Повторное совершение должностным лицом административного правонарушения
влечет наложение административного штрафа в размере от 20 до 30 тысяч рублей.

Сведения из реестра используются, в том числе, при оказании государственных и муниципальных услуг, и их отсутствие или искажение может привести к невозможности их предоставления инвалидам либо принятию неправильного решения.
Для справки: Федеральным законом «О социальной защите инвалидов в Российской Федерации» (в редакции федерального закона от 1 декабря 2014 г. № 419-ФЗ) статьей 5.1 была введена обязанность формирования реестра инвалидов. Поставщиками информации в реестр являются:
  • Фонд социального страхования;

  • Пенсионный фонд;

  • Федеральные органы исполнительной власти;

  • Исполнительные органы государственной власти субъектов РФ;

  • Федеральные учреждения медико-социальной экспертизы и

  • Иные организации, участвующими в предоставлении государственных услуг инвалидам.
В соответствии с «Правилами формирования и ведения федерального реестра инвалидов и использования содержащихся в нем сведений», утвержденными постановлением Правительства Российской Федерации от 16 июля 2016 г. № 674, представление поставщиками информации сведений в реестр осуществляется в электронной форме в режиме реального времени одновременно с внесением ответственными лицами информации в государственные информационные системы, операторами которых являются поставщики информации (см.6 http://rusrim.blogspot.com/2016/08/blog-post_35.html ).
В пояснительной записке к законопроекту отмечалось, что в 2018 году в реестре обеспечивалось размещение следующей информации:
  • Федеральными учреждениями медико-социальной экспертизы, подведомственными Минтруду России и ФМБА России, - сведений из документов, подтверждающих инвалидность, и разработанных ими программ реабилитации;

  • Пенсионным фондом РФ - сведений о пенсиях и выплатах;

  • Фондом социального страхования РФ - сведений о технических средствах реабилитации, отдельных выплатах и санаторно-курортном лечении, предоставляемых в рамках набора социальных услуг;

  • Рострудом - сведений об оказании услуг в сфере содействия занятости и отдельных выплатах;

  • Минздравом России - сведений о высокотехнологичной медицинской помощи, лекарственном обеспечении лиц, больных гемофилией, муковисцидозом, гипофизарным нанизмом, болезнью Гоше, злокачественными новообразованиями лимфоидной, кроветворной и родственных им тканей, рассеянным склерозом, лиц после трансплантации органов и/или тканей, операциях кохлеарной имплантации и санаторно-курортном лечении в подведомственных учреждениях;

  • Минобрнауки России - отдельных сведений о получении образования инвалидов.
При этом проведенный Пенсионным фондом анализ хода размещения сведений в период с 1 января по май 2018 г. выявил, что отдельными субъектами РФ данная работа осуществляется не на должном уровне, что «не позволяет Минтруду России в полной мере обеспечивать оценку эффективности реализации мероприятий по реабилитации инвалидов и использовать сведения реестра при формировании федерального бюджета».

В записке отмечается, что «несвоевременное представление сведений в реестр может привести к невозможности оказания услуг инвалидам при переходе к их предоставлению в электронном виде на основании сведений из реестра».

Кроме того, отмечалось, что в ходе проверочных мероприятий в Республике Дагестан было выявлено искажение сведений об инвалидности, размещенных в реестре, и сведений Пенсионного фонда РФ, на основании которых граждане получают выплаты и пенсии (несоответствие группы инвалидности и срока, на который она установлена).

Мой комментарий: Пояснительная записка к законопроекту фактически свидетельствует о том, что исполнение требований об оперативном размещении информации в реестре инвалидов повсеместно нарушаются. Поможет ли установление штрафов исправить ситуацию - посмотрим.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=317568
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=PRJ;n=176647  

среда, 27 февраля 2019 г.

Установление сроков хранения по методу «больших корзин»: Цели, проблемы, результаты, часть 2


(Окончание, начало см. http://rusrim.blogspot.com/2019/02/1_26.html )

Результаты исследования

Опрошенные сообщили, что их перечни на основе «больших корзин» соответствовали правовым и деловым требованиям их организаций, и были хорошо приняты пользователями, которые сочли их более понятными и удобными для применения, чем их гранулярные предшественники.

Проблемы традиционных детальных перечней

Большинство опрошенных использовали подход «больших корзин» для того, чтобы заменить слишком сложный и неудобный перечень, который использовался в их организации в течение определённого времени и нуждался в пересмотре. Они отметили, что их старые детальные перечни были сложны для понимания и применения, требовали больших трудозатрат на пересмотр и актуализацию, устанавливали разные сроки хранения для одних и тех же типов документов, создаваемых различными подразделениями; включали устаревшие и временные серии документов, и - несмотря на свои чрезмерные объёмы - были неполными.

Большинство респондентов сообщило, что их последовательное внедрение старых детальных перечней не обеспечивалось. В некоторых организациях эти перечни игнорировались пользователями - возможно, из-за того, что сроки хранения были слишком сложными и трудными для применения. Несколько специалистов отметило, что многие сотрудники даже не знали о том, что в их организации имелся перечень видов документов с указанием сроков хранения.

Преимущества «больших корзин»

Опыт опрошенных коллег подтверждает, что метод «больших корзин» способен значительно сократить количество статей в перечне. Хотя это сокращение отчасти может быть связано с удалением устаревших и дублирующих статей (что можно сделать и традиционном перечне, «почистив» его), но консолидация в «большие корзины» предусматривает тщательный анализ и систематическую группировку серий документов, связанных с определенными деловыми операциями и видами деятельности. Такая консолидация является определяющей характеристикой метода «больших корзин» и главной причиной его эффективности. При наличии меньшего числа вариантов пользователи с большей вероятностью выберут правильный срок хранения для документов, находящихся на их ответственном хранении или под их надзором и контролем.

Все респонденты согласились с тем, что их перечни на основе «больших корзин» упрощают обучение по сравнению с их гранулярными предшественниками.

В ряде случаев инициативы внедрения «больших корзин» позволили сократить разнообразие сроков хранения, назначаемых конкретным сериям документов, путем стандартизации, где возможно, сроков для документов временного срока хранения - например, используя сроки 3 года, 7 лет и 10 лет.

Мой комментарий: 7 лет – очень распространенный в США срок хранения документов, имеющих отношение к налогам. Он столь же общеупотребителен, как наш 5-летний срок хранения похожего происхождения :)

Избыточно-длительное хранение, часто упоминаемое в качестве недостатка метода «больших корзин», не было проблемой. Никто из опрошенных не сообщил о сопротивлении в связи с возможностью того, что некоторые документы могут храниться дольше, чем необходимо. Некоторые респонденты отметили, что заинтересованные стороны не только не были обеспокоены перспективой избыточно длительного хранения, но, напротив, положительно отнеслись к идее более длительного хранения. Ряд респондентов сообщил, что их ИТ-подразделения не возражали против избыточно длительного хранения электронных документов, хранящихся на их серверах или под их контролем.

Мой комментарий: Автор, с моей точки зрения, задал неправильные вопросы и, соответственно, сделал неточные выводы. Об избыточно длительном хранении стоило узнать мнение юристов, которые хорошо знают, к каким катастрофическим последствиям оно иногда способно привести в рамках процедуры э-раскрытия в случае судебного спора. Опять-таки следовало уточнить, о чём идёт речь – об удлинении срока хранения на несколько месяцев или на несколько лет.  Первое, очевидно, практически никогда не имеет никакого существенного значения.

Подобно своим детальным аналогам, перечни на основе «больших корзин» требуют периодического пересмотра и актуализации. Обновлять перечни на основе «больших корзин» должны быть проще, поскольку они не включают в себя исчерпывающие списки всех серий документов. Новая серия документов может быть добавлена в существующую «корзину» путем интерпретации её описания; её не обязательно явным образом называть в какой-либо статье.

Номенклатуры дел всё ещё нужны

Критики метода «больших корзин» утверждали, что консолидация уничтожает самобытность серий документов по сравнению с традиционными перечнями, которые включают подробные списки серий документов, привязанные к подробным планам размещения документов в дела (file plans – инструменты, во многом похожие на наши номенклатуры дел, и ещё больше – на классификационные схемы в некоторых продвинутых СЭД – Н.Х.). Касаясь этого вопроса, ряд представителей организаций с хорошо разработанными номенклатурами отметил, что перечни и номенклатуры дел служат разным целям. Метод «больших корзин» не устраняет серии документов и не делает ненужными номенклатуры дел. Он всего лишь обеспечивает единообразное установление сроков хранения сразу для нескольких серий документов. Номенклатуры дел остаются полезными для организации документов.

Сложности и проблемы

По большей части, опрошенные в ходе настоящего исследования специалисты по управлению документами были удовлетворены своими инициативами внедрения «больших корзин», но при этом ими были отмечены определенные проблемы и поводы для беспокойства, перечисленные ниже.

Базы данных требуют модификации

Все респонденты описали свои перечни на основе «больших корзин» как технологически-нейтральные, однако большинство организаций не полностью внедрило указания по установлению и отслеживанию сроков хранения электронных документов (имеются в виду указания и рекомендации Национальных Архивов США – Н.Х.). Перечни на основе «больших корзин» чаще применяются в отношении электронной почте и электронных документам, сохраненным на сетевых дисках, чем к базам данных, которые могут потребовать модификации для добавления необходимых для работы со сроками хранения функциональных возможностей.

Некоторая гранулярность сохраняется

Ряд респондентов сообщил, что их перечни на основе «больших корзин» включают в себя некоторые разделы в традиционном стиле с подробными списками серий документов, не поддающихся консолидации в «большие корзины».

Отслеживание условных сроков хранения проблематично

Некоторые респонденты стремились минимизировать количество условных сроков хранения, которые может быть трудно реализовать в контексте «больших корзин», и они отметили, что полное исключение условных сроков, отсчет которых инициируется событиями-триггерами, может оказаться невозможным для проектных, кадровых документов, досье (кейсов), документов о клиентах и для других серий документов, которые необходимо сохранить в течение нескольких лет после закрытия вопроса, к которому они относятся.

Разработка перечней и переход на их использование сложны

Хотя правила хранения могут быть упрощены, разработка и внедрение перечней на основе «больших корзин» является сложным и трудоемким делом. Хотя их специально и не просили давать советы потенциальным разработчикам перечней, все опрошенные отметили вопросы, на которые следует обратить внимание. Важнейшую роль играют поддержка высшего руководства и заинтересованность соответствующих сторон. Следует провести обучение пользователей. Нужно проработать механизм перекрестных ссылок, облегчающий переход от старого перечня на новый. Новые правила хранения должны быть применены в отношении более старых документов, находящихся на внеофисном хранении, часть которых, возможно, могла быть неточно идентифицирована при передаче на внеофисное хранение.

Дополнительное внимание требуется в отношении персональных данных

Поскольку большинство опрошенных работали в американских организациях и учреждениях, не осуществляющих глобальных операций, их не беспокоили последствия избыточно длительного хранения для соответствия требования законодательства о защите персональных данных, действующего странах Евросоюза и ряде других стран. Такое законодательство обычно требует уничтожения персональных данных по достижении целей обработки, для которой эта информация была первоначально создана или собрана. На момент проведения собеседований новое европейское законодательство (GDPR) ещё не вступило в силу, но респонденты знали о нём.

Автоматизация не распространена

Хотя преимущества подхода «больших корзин» при автоматизации отслеживания сроков хранения электронных документов широко обсуждались, менее четверти опрошенных сообщили о том, что они используют приложение для управления документами или иное программное обеспечение для управления сроками хранения электронных документов.

Перспективы дальнейших исследований

Исследование для AIEF было ограничено общением с опытными профессионалами в области управления информацией, которые восприняли концепцию управления сроками хранения по методу «больших корзин», вложили значительное время и усилия в разработку перечней и, в целом, были удовлетворены результатом. Никто из опрошенных не сожалел о решении использовать метод «больших корзин». И хотя несколько респондентов отметило, что их перечни включали отдельные гранулированные разделы, вопрос о возврате к традиционным перечням не поднимался.

Как уже отмечалось, интервьюируемые сами предложили себя для участия в проекте, исходя их данного автором исследования описания, что, возможно, привлекло как раз респондентов с положительным опытом успешных инициатив использования «больших корзин». Было бы интересно узнать мнение тех специалистов по управлению документами, которые пытались разработать перечни на основе «больших корзин», но по каким-то причинам не смогли этого сделать; или же тех, что после внедрения перечня на основе «больших корзин» впоследствии вернулись к традиционному подходу - либо полностью отказавшись от него, либо пойдя по пути включения гранулярных модификаций, изменивших характер перечня. Публикации по тематике управления документами, посты на форумах и другие источники не содержат сведений о таких событиях.

Читайте полный текст отчета

Полный, 42-страничный отчет «Опыт управления документами с установлением сроков хранения по методу «больших корзин»: Положение дел на 2018 год» (Records Management Experience with Big Bucket Retention: A Status Report (2018)), выпущенный в августе 2018 года, доступен для бесплатной загрузки с веб-сайта Международного образовательного фонда ARMA по адресу http://armaedfoundation.org/wp-content/uploads/2018/08/AIEF-Research-Paper-Saffady-Big-Buckets-2018-081518.pdf .

Уильям Саффади (William Saffady)

Источник: сайт ARMA International
https://magazine.arma.org/2018/12/big-bucket-retention-objectives-issues-outcomes/  

ИСО: Опубликованы технические спецификации ISO/IEC TS 19608:2018 по разработке функциональных требований к обеспечению безопасности и защиты персональных данных


В октябре 2018 года Международная организации по стандартизации (ИСО) опубликовала новые технические спецификации ISO/IEC TS 19608:2018 «Руководство по разработке функциональных требований к безопасности и защите персональных данных на основе ISO/IEC 15408» (Guidance for developing security and privacy functional requirements based on ISO/IEC 15408) объёмом 54 страницы, см. https://www.iso.org/standard/65459.html и https://www.iso.org/obp/ui/#!iso:std:65459:en (я их упоминала здесь: http://rusrim.blogspot.com/2017/07/blog-post_17.html ). Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Методы и средства обеспечения безопасности информационных технологий».

Мой комментарий: Документ ссылается на известный стандарт ISO/IEC 15408 «Информационные технологии - Методы и средства обеспечения безопасности - Критерии оценки безопасности информационных технологий» (Information technology - Security techniques - Evaluation criteria for IT security), 3-я редакция которого была выпущена в 3-х частях в 2008-2009 годах. Данный стандарт адаптирован в России в виде ГОСТов.

Во вводной части документа отмечается следующее:
Настоящий документ содержит рекомендации по следующим вопросам:
  • Отбор и формулирование функциональных требований безопасности (security functional requirements, SFR) из ISO/IEC 15408-2 для защиты персональных данных (Personally Identifiable Information, PII);

    Мой комментарий: Стандарт ISO/IEC 15408-2 адаптирован в России как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=176946

  • Процедура согласованного определения функциональных требований по защите персональных данных и по безопасности; а также

  • Разработка функциональных требований по защите неприкосновенности частной жизни (персональных данных) в качестве расширенных компонентов на основе принципов защиты неприкосновенности частной жизни, установленных стандартом ISO/IEC 29100, посредством парадигмы, описанной в ISO/IEC 15408-2.

    Мой комментарий: Свободно распространяемый стандарт ISO/IEC 29100 адаптирован в России как ГОСТ Р ИСО/МЭК 29100-2013 «Информационная технология. Методы и средства обеспечения безопасности. Основы обеспечения приватности», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=178307  
Целевая аудитория настоящего документа следующая:
  • разработчики, внедряющие обрабатывающие персональные данные продукты или системы, которые хотят пройти оценку безопасности этих продуктов на основе ISO/IEC 15408. Они найдут в документе рекомендации по выбору функциональных требований безопасности для цели безопасности их продукта или системы, соответствующих принципам защиты персональных данных, установленных стандартом ISO/IEC 29100;

  • авторы профилей защиты, которые охватывают вопросы защиты персональных данных; а также

  • оценщики, использующие стандарты ISO/IEC 15408 и ISO/IEC 18045 для оценки безопасности.
Предполагается, что настоящий документ полностью соответствует ISO/IEC 15408; однако в случае любого несоответствия между настоящим документом и ISO/IEC 15408, последний, как нормативный стандарт, имеет приоритет.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Назначение и структура настоящего документа
6. Определение требований
7. Принципы защиты неприкосновенности частной жизни (персональных данных)
8. Сводка с указанием расширенных компонентов и соответствующих принципов защиты неприкосновенности частной жизни
Приложение A: Существующие компоненты, используемые для исполнения требований к защите неприкосновенности частной жизни (персональных данных)
Приложение B: Расширенные компоненты для защиты неприкосновенности частной жизни в существующих профилях защиты
Приложение C: Примеры расширенных компонентов для защиты неприкосновенности частной жизни
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/65459.html
https://www.iso.org/obp/ui/#!iso:std:65459:en

Правила предоставления сведений о государственной регистрации актов гражданского состояния физическому лицу


Постановлением Правительства РФ от 29 декабря 2018 года № 1746 утверждены «Правила предоставления сведений о государственной регистрации актов гражданского состояния, содержащихся в Едином государственном реестре записей актов гражданского состояния, и признании утратившими силу некоторых актов Правительства Российской Федерации».

Сведения о государственной регистрации актов гражданского состояния предоставляются физическим лицам, указанным в абзаце шестом пункта 1 статьи 13.2 федерального закона «Об актах гражданского состояния», оператором в электронной форме посредством федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» и региональных порталов государственных и муниципальных услуг (п.3).
Федеральный закон от 15.11.1997 № 143-ФЗ «Об актах гражданского состояния»

Статья 13.2. Предоставление сведений, содержащихся в Едином государственном реестре записей актов гражданского состояния


Сведения о государственной регистрации актов гражданского состояния, содержащиеся в Едином государственном реестре записей актов гражданского состояния, предоставляются лицу в части сведений, содержащихся в записях актов гражданского состояния, составленных в отношении указанного лица и в отношении каждого из его детей, не достигших совершеннолетия.
Сведения предоставляются физическим лицам в виде выписок из Единого государственного реестра записей актов гражданского состояния о составлении записи акта гражданского состояния, внесении в нее изменений и (или) исправлений, ее восстановлении или об аннулировании (п.36) на основании его запроса (п.37) в отношении только его и его несовершеннолетних детей (п.41).

Сведения предоставляются физическим лицам (п.42):
  • Однократно;

  • По подписке на сведения Единого государственного реестра записей актов гражданского состояния - многократно.
Мой комментарий: Я не вижу разумных оснований ограничивать граждан в праве запрашивать сведения неоднократно – для этого могут быть причины, и я не думаю, что в электронной среде повторное исполнение запроса (особенно при наличии средств автоматизации) потребует каких-то заметных усилий. По-моему, подобные положения – рецидив «бумажного» мышления :)

Сведения предоставляются в течение одного рабочего дня со дня получения оператором запроса и положительного результата его рассмотрения (п.43).

При оформлении физическим лицом подписки на сведения они предоставляются ему в течение одного рабочего дня со дня их включения в Единый государственный реестр записей актов гражданского состояния.

При подписке прекращение предоставления сведений осуществляется путем направления физическим лицом оператору запроса (п.45).

Запросы формируются физическим лицом в форме электронного документа с использованием личного кабинета физического лица на едином портале государственных и муниципальных услуг и региональных порталов государственных и муниципальных услуг и подписываются электронной подписью физического лица, вид которой определяется в соответствии с частью 2 статьи 21.1 федерального закона «Об организации предоставления государственных и муниципальных услуг» (п.46).

При получении запросов оператор осуществляет в автоматическом режиме обработку каждого из запросов и направление физическому лицу сообщения, содержащего входящий регистрационный номер и дату регистрации запроса, а также предельную дату его рассмотрения оператором (п.47).

Оператор осуществляет в автоматическом режиме с использованием федеральной государственной информационной системы ведения Единого государственного реестра записей актов гражданского состояния рассмотрение каждого из запросов физического лица в течение одного рабочего дня со дня его получения на предмет соответствия запроса положениям настоящих Правил (п.48).

В случае положительного результата рассмотрения запроса оператор осуществляет (п.49):
  • их предоставление;

  • направление уведомления о критериях предоставления сведений;

  • направляет уведомление об отсутствии сведений в Едином государственном реестре записей актов гражданского состояния
В случае отрицательного результата рассмотрения запросов, оператор направляет уведомление об отклонении такого запроса с указанием причин отклонения (52).

Сообщение о регистрации запроса формируется оператором в федеральной государственной информационной системе ведения Единого государственного реестра записей актов гражданского состояния, подписывается усиленной квалифицированной электронной подписью оператора и направляется в личный кабинет на едином портале государственных и муниципальных услуг и региональных порталов государственных и муниципальных услуг (п.53).

Выписки из Единого государственного реестра записей актов гражданского состояния и документы формируются оператором в федеральной государственной информационной системе ведения Единого государственного реестра записей актов гражданского состояния, подписываются усиленной квалифицированной электронной подписью лица, уполномоченного в установленном порядке действовать от имени оператора, и направляются в личный кабинет на едином портале государственных и муниципальных услуг и региональных порталов государственных и муниципальных услуг (п.54).

Сведения о государственной регистрации актов гражданского состояния при оформлении подписки на сведения предоставляются физическому лицу однократно (п.55).

Мой комментарий: п.55 противоречит п.42, в котором сказано, что при подписке граждане получают сведения многократно - или я чего-то не поняла? Могу лишь высказать гипотезу: при подписке можно получить несколько извещений о разных событиях, но каждое придёт только один раз :)

При оформлении подписки на сведения оператор прекращает предоставление сведений о государственной регистрации актов гражданского состояния в течение одного рабочего дня со дня (п.56):
  • Положительного рассмотрения запроса о прекращении предоставления сведений или государственной регистрации смерти физического лица - в части всех сведений о государственной регистрации актов гражданского состояния;

  • Достижения ребенком физического лица совершеннолетия, или лишения физического лица родительских прав, или аннулирования записи акта гражданского состояния об установлении отцовства (для физического лица, являющегося отцом несовершеннолетнего ребенка) - в части сведений о государственной регистрации актов гражданского состояния в отношении ребенка физического лица.
В день прекращения предоставления сведений физическому лицу (за исключением случая смерти такого физического лица) оператор направляет ему уведомление о прекращении их предоставления (п.57).

Оператор обеспечивает с использованием федеральной государственной информационной системы ведения Единого государственного реестра записей актов гражданского состояния (п.58):
  • Учет запросов физических лиц, а также сообщений и документов, направленных им оператором;

  • Ведение реестра физических лиц, получающих сведения о государственной регистрации актов гражданского состояния с указанием периода их получения;

  • Ведение реестра предоставленных сведений указанием физического лица, которому они предоставлены и критериев их предоставления.
Мой комментарий: Данный документ, к сожалению, не устанавливает порядок предоставления сведений из Единого государственного реестра записей актов гражданского состояния, касающейся информации о родственниках. Понятно, что в таком случае потребуется предоставление гражданами дополнительных документов, доказывающих родство.

Обращает также внимание, что предусмотрено предоставление сведений в течение одного рабочего дня. Это рекордно короткий срок исполнения запроса гражданина в нашей истории :)

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=315334

вторник, 26 февраля 2019 г.

Установление сроков хранения по методу «больших корзин»: Цели, проблемы, результаты, часть 1


Статья д-ра Уильяма Саффади (William Saffady – на фото), много лет проработавшего профессором Университета Лонг-Айленда, была опубликована 7 декабря 2018 года на сайте международной ассоциации специалистов по управлению документами и информацией ARMA International в разделе публикаций в журнале ассоциации «Управление информацией» (Information management Journal).

Спустя пятнадцать лет после того, как Национальные Архивы США предложили метод «больших корзин» в качестве стратегии повышения эффективности делопроизводства в федеральных органах исполнительной власти, этот метод стал широко распространённым. Данная статья суммирует результаты основного на собеседованиях со специалистами исследования, в рамках которого изучались цели, проблемные вопросы и результаты текущих инициатив по применению метода «больших корзин» в 14 организациях. Идея исследования была предложена, а само исследование поддержано Международным образовательным фондом ассоциации ARMA International (ARMA International Educational Foundation, AIEF, http://armaedfoundation.org/ ).

В оригинале «большие корзины» часто называются «большими вёдрами» (Big Bucket) – Н.Х.

Традиционные перечни видов документов с указанием сроков их хранения содержат детальные списки (иногда называемые «гранулярными») серий документов (которые приблизительно соответствуют нашим позициям в номенклатуре дел – Н.Х.) с соответствующими инструкциями по их хранению и уничтожению/передаче на архивное хранение. Каждой такой серии документов присваивается цифровой или буквенно-цифровой код в качестве её уникального идентификатора. В соответствии с устоявшейся практикой, описанной в учебниках по управлению документами, выявление имеющихся серий документов часто осуществляется путем проведения инвентаризации, в ходе которой собирается информация о характеристиках и деловом назначении документов, поддерживаемых всей организацией либо её частью.

Результаты инвентаризации преобразуются, с определённым редактированием, в перечень видов документов с указанием сроков хранения (retention schedule – отмечу, что данный термин может использоваться также и в отношении документов одного вида, и тогда я переводу его как «указания в отношении сроков хранения и действий по их истечении» - Н.Х.). В зависимости от обстоятельств, традиционный перечень может содержать сотни или даже тысячи статей, и может устанавливать разнообразные сроки хранения для документов, относящихся к конкретному подразделению или направлению деятельности (функции).

Концепция «больших корзин» (Big Bucket)

В отличие от традиционных перечней, перечни, составленные на основе подхода «больших корзин» группируют вместе документы, относящиеся к достаточно широким категориям, которые соответствуют основным видам деятельности организации, деловым функциям или рабочим процессам. Каждой категории (сегменту) присваивается идентификационный код. Отдельные серии документов упоминаются в описании каждой категории, но обычно лишь в качестве иллюстративных примеров, а не в качестве исчерпывающего перечня.

В отличие от традиционных перечней, в которых для связанных с одной и той же деловой функцией серий документов могут быть установлены разные сроки хранения, - для всех документов, относимым к одной категории «больших корзин» (и изначально имеющих одинаковые или близкие сроки хранения) устанавливается единый срок хранения. Этот срок хранения выбирается на основе того из требований к срокам хранения серий документов, охватываемой данной категорией «больших корзин», которое предусматривает наиболее длительное хранение.

Происхождение метода «больших корзин»

Метод «больших корзин» для установления сроков хранения документов был первоначально разработан и внедрен органами федерального правительства США для решения проблем, присущих традиционным методологиям установления и отслеживания сроков хранения. В отчете, подготовленном для Национальных Архивов (NARA) в 2001 году, отмечалось, что федеральные органы исполнительной власти плохо понимают принципы установления сроков хранения; что многим важным документам, в том числе большинству электронных документов, сроки хранения не установлены; что ряду важных документов сроки хранения установлены неправильно; и что некоторые ведомственные перечни устарели.

Национальные Архивы представляют новую стратегию

В 2003 году Национальные Архивы изложили свою стратегию реорганизации управления документами в федеральных органах исполнительной власти с целью решения проблем, связанных с управлением электронными документами, широким распространением электронной почты, сокращением персонала служб управления документами федеральных органов, и с иными технологическими и административными изменениями.

В числе тактических решений, способствующих реализации стратегии, Национальные Архивы назвали усовершенствованный подход к установлению и отслеживанию сроков хранения, включающих «гибкий выбор сроков хранения» (flexible scheduling), позволяющий федеральным органам исполнительной власти устанавливать сроки хранения «на любом уровне агрегации документов, который соответствует их деловым потребностям». Эта идея была уточнена и расширена в серии Бюллетеней NARA (являются для федеральных органов исполнительной власти обязательными для исполнения нормативными документами – Н.Х.), выпущенных в период с 2005 по 2010 год.

Мой комментарий: Следует обратить внимание на следующую важную особенность практики отслеживания сроков хранения в американских органах исполнительной власти. Если у нас истечение срока хранения позволяет провести уничтожение документов, но не обязывает это делать, то в США по истечении сроков хранения документы в обязательном порядке должны быть уничтожены. Соответственно, американским органам трудно обеспечивать гибкость по принципу «отхраним чуть дольше, ничего страшного».

К середине 2000-х годов интерес к срокам хранения на основе «больших корзин» распространился на более широкое сообщество специалистов по управлению документами. В докладах и статьях (которые цитируются в полном отчёте AIEF), специалисты по управлению информацией объясняли метод «больших корзин»  и обсуждали его практические преимущества - в частности, повышенную вероятность того, что пользователи будут правильно классифицировать документы с точки зрения сроков хранения ввиду меньшего выбора; упрощение обучения пользователей, а также упрощения анализа и актуализации перечней при включении в них новых серий документов.

В этих публикациях также анализировались контраргументы, особенно возможность сохранения определенных документов, в том числе содержащих персональные данные, дольше, чем это необходимо; и осложнения, связанные с условными сроками хранения (когда отсчет срока хранения начинается с момента наступления определенного события, и этот момент может довольно сложно предсказать заранее – Н.Х.).

«Большие корзины» получают признание

Среди участников популярного профессионального форума – листа рассылки Records Management Listserv интерес к «большим корзинам» достиг пика в 2007 году, когда термин «корзина» встречался в теме 87 сообщений, во многих из которых были высказаны очень твёрдые мнения. Однако по мере того, как концепция «больших корзин» становилась все более известной и общепринятой в качестве эффективной альтернативы традиционным подходам, шумиха вокруг неё уменьшилась. Количество сообщений на этом форуме со словом «корзина» в теме резко сократилось до 28 в 2008 году, и еще более резко снизилось в последующие годы. В 2014 году было только 1 такое сообщение, а в 2015 году их не было вообще.

Мой комментарий: Хотя упомянутая тенденция имела место, всё же нужно отметить, что 2007 год вообще был годом максимальной активности на форуме Listserv, который к настоящему времени, откровенно говоря, совсем зачах. Соответственно, абсолютные цифры очень сильно преувеличивают падение «обсуждаемости» «больших корзин», и особенно доверять им я бы не стала…

Концепция «больших корзин» кратко упоминается в учебниках по управлению документами, а статьи на эту тему по-прежнему время от времени публикуются в профессиональных журналах. По большей части эти книги и статьи повторяют о преимуществах и проблемах всё то, что было отмечено в более ранних публикациях. В них не содержится какой-либо новой информации о текущем положении дел с применением метода «больших корзин».

В исследовании для AIEF рассматривается текущее положение дел

Устраняя этот пробел, в отчете о проведенном мною по заказу Международного образовательного фонда ассоциации ARMA International (AIEF) исследовании представлены результаты анализа телефонных интервью с 14 специалистами по управлению информацией, которые на основе подхода «больших корзин» либо переделали существующий перечень, либо разработали новый перечень «с нуля».

В собеседования, проведенные в первом квартале 2018 года, основное внимание было уделено обстоятельствам, при которых перечни на основе «больших корзин» были разработаны, особенностям тех перечней, которые они заменили; объёму и сфере охвата созданных перечней; полученной отдаче; сложностям и проблемам, имевшим место во время разработки и внедрения перечней; а также сопротивлению или принятию перечней пользователями. Собеседования были спланированы таким образом, чтобы собрать «с мест» сведения о целях, сложностях, озабоченностях, проблемах и результатах инициатив по внедрению «больших корзин».

Охвачены различные сектора

В соответствии с поставленной целью, в рамках исследования не было попыток использовать статистически сбалансированную выборку респондентов. Участники, подбор которых осуществлялся посредством объявлений в списке рассылки Listserv в группе «Управления документами следующего поколения» (Next Generation Records Management) в социальной сети LinkedIn, сами предлагали себя, - но они действительно представляли важные сегменты сообщества специалистов по управлению информацией:
  • 7 сообщили об инициативах по применению «больших корзин» в коммерческих компаниях;

  • Один из опрошенных рассказал об инициативе по внедрению «больших корзин» в некоммерческой организации;

  • С 6 респондентами мы обсудили разработку и внедрение «больших корзин» в органах исполнительной власти – 2 представляли федеральных агентства, 3 – органы и учреждения штатов (в том числе один специалист представлял университетскую систему штата), и 2 – местные органы власти;

  • 11 опрошенных работали в Соединенных Штатах, хотя четверо из представителей частного сектора были из компаний, ведущих международные операции. Двое интервьюируемых работали в Канаде, и ещё один специалист - в Великобритании;

  • Поскольку некоторые респонденты рассказали о своем опыте применения «больших корзин» как на текущей, так и на предыдущей работе, то число представленных в опросе организаций превышало 14.
Перечни на разных этапах внедрения

Девять респондентов поделились опытом, связанным с полностью разработанными на основе метода «больших корзин» перечнями. Эти перечни в большинстве случаев были составлены в течение последних нескольких лет. Пятеро респондентов рассказали о перечнях, которые находились в стадии разработки, но близились к завершению. В некоторых случаях эти перечни вводились по частям и были частично внедрены. Все респонденты отметили, что их перечни на основе «больших корзин» были разработаны для полной замены их гранулярных предшественников.

(Окончание следует, см. http://rusrim.blogspot.com/2019/02/2_27.html )

Уильям Саффади (William Saffady)
Источник: сайт ARMA International
https://magazine.arma.org/2018/12/big-bucket-retention-objectives-issues-outcomes/  

ИСО: Подходит к концу работа над стандартом ISO/IEC 27552, расширяющим систему менеджмента информационной безопасности на вопросы менеджмента неприкосновенности частной жизни (персональных данных)


Как сообщает сайт ИСО, в настоящее время завершается работа над проектом международного стандарта ISO/IEC DIS 27552 «Меры и средства обеспечения безопасности. Расширение ISO/IEC 27001 и ISO/IEC 27002 в плане менеджмента неприкосновенности частной жизни – Требования и рекомендации» (Security techniques -- Extension to ISO/IEC 27001 and ISO/IEC 27002 for privacy information management -- Requirements and guidelines) объёмом 71 страница, см. https://www.iso.org/standard/71670.html и https://www.iso.org/obp/ui/#!iso:std:71670:en .

Ранее я уже писала об этом проекте, см. http://rusrim.blogspot.com/2017/10/blog-post_9.html и http://rusrim.blogspot.com/2017/12/2_13.html

В настоящем документе устанавливаются требования и даются рекомендации по разработке, внедрению, эксплуатации и постоянному совершенствованию системы менеджмента информации, относящейся к неприкосновенности частной жизни (Privacy Information Management System, PIMS - или «системы менеджмента персональных данных», что по сути одно и то же – Н.Х.) в виде расширения положений стандартов ISO/IEC 27001 и ISO/IEC 27002 на вопросы менеджмента неприкосновенностью частной жизни в контексте организации.

В частности, данный документ устанавливает связанные с PIMS требования и даёт рекомендации для операторов и обработчиков персональных данных (PII), несущих ответственность и подотчётных за обработку персональных данных.

Данный документ применим в организациях всех типов и размеров, включая государственные и частные компании, государственные органы и учреждения и некоммерческие организации, которые являются операторами персональных данных и/или их обработчиками и ведут обработку персональных данных в рамках системы менеджмента информационной безопасности.

Исключение каких-либо требований, установленных в главе 5 настоящего документа («Специфические для PIMS требования, связанные с ISO/IEC 27001») недопустимо в случае, когда организация заявляет о своём соответствии настоящему стандарту.

Содержание документа следующее:
0. Введение
1. Область применения
2. Нормативные ссылки
3. термины, определения и сокращения
4. Общие положения
5. Специфические для системы менеджмента персональных данных PIMS требования, связанные с ISO/IEC 27001
6. Специфические для системы менеджмента персональных данных PIMS рекомендации, связанные с ISO/IEC 27002
7. Дополнительные рекомендации ISO/IEC 27002 для операторов персональных данных 
8. Дополнительные рекомендации ISO/IEC 27002 для обработчиков персональных данных 
Приложение A (нормативное): Специфические для PIMS базовые цели и меры управления (для операторов персональных данных)
Приложение B (нормативное): Специфические для PIMS базовые цели и меры управления (для обработчиков персональных данных)
Приложение C (справочное): Сопоставление с положениями европейского закона о защите персональных данных GDPR
Приложение D (справочное): Сопоставление с ISO/IEC 29100
Приложение E (справочное): Сопоставление с ISO/IEC 27018 и ISO/IEC 29151
Приложение F (справочное): Термины и альтернативные термины
Приложение G (справочное): Как применять ISO/IEC 27552 в отношении ISO/IEC 27001 и ISO/IEC 27002
Библиография
Мой комментарий: Тема защиты персональных данных, ввиду очень жёсткого европейского законодательства и появляющегося не менее, если не более жёсткого соответствующего законодательства в других юрисдикциях (например, в Китае), становится всё более актуальной, порой непосредственно влияя на применимость в конкретной юрисдикции определенных технологий и методов работы. Соответственно, эта тема рассматривается практически во всех стандартах инновационных технологий, и меня не удивит, если она также станет типовым компонентом всех систем менеджмента ИСО. Появление же этого блока в системе менеджмента информационной безопасности давно назрело и вряд ли кого удивит :)

Источник: сайт ИСО
https://www.iso.org/standard/71670.html
https://www.iso.org/obp/ui/#!iso:std:71670:en

Приёма на целевое обучение специальность «Документоведение и архивоведение» не удостоилась


Распоряжением Правительства от 11 февраля 2019 г. № 186-р утвержден перечень специальностей, направлений подготовки, по которым будет проводиться прием на целевое обучение по образовательным программам высшего образования в пределах установленной квоты.

В перечень специальностей для целевого приёма в вузы включено 131 направление бакалавриата, 107 направлений магистратуры, 89 специальностей специалитета, 30 направлений подготовки в аспирантуре.

Д.А.Медведев подчеркнул на совещании, что с принятием списка «мы не только обеспечиваем конкурентные условия отбора подготовленных абитуриентов, которые будут поступать на конкурсных условиях, но и будем готовить профессионалов, которые по окончании высшего учебного заведения пойдут работать по специальности в тот регион, где на них есть спрос. А если выпускник не устроится на работу, то он сам или компания, которая с ним подпишет договор, должны будут компенсировать бюджетные средства».

Такой перечень специальностей подготовлен впервые. Премьер отметил, что «он может меняться в зависимости от того, насколько мы будем рассматривать ту или иную специальность в качестве важной для экономики или социальной сферы в нашей стране. В том числе после того, как мы утвердим квоты на бюджетные места в вузах по этому списку специальностей и этот механизм полностью заработает, чтобы можно было понять, что из представленного работает лучше, а что – хуже. Но в любом случае список очень внушительный, я его приводить не буду, он затрагивает все ключевые специальности, которые есть в стране».

Татьяна Голикова на совещании отметила, что «если раньше квоты целевого приёма устанавливались учредителями вузов, то теперь, с 1 января 2019 года, Правительство будет их устанавливать в пределах тех контрольных цифр, которые мы же и установим. Важно, что такими же полномочиями наделены субъекты Федерации и даже муниципальные образования, в ведении которых есть высшие учебные заведения». Она сообщила, что квоты на бюджетные места в вузах по списку специальностей для целевого обучения в бакалавриате, магистратуре и аспирантуре будут тоже утверждены в ближайшее время.

Мой комментарий: А теперь о главном. Наша специальность ОКСО 7.46.03.02 — Документоведение и архивоведение, к сожалению, «в списках не значится». Из этого можно сделать неутешительный вывод о том, что наша профессия не рассматривается государством как важная и востребованная… При этом, однако, в списке присутствуют другие, достаточно близкие «информационные» профессии, такие, как информатика в разных видах, информационные системы и технологии, информационная безопасность, управление качеством, а также музейное дело и библиотечно-информационная деятельность!

Удивляет ли меня такое отношение? Честно говоря, нет: руководство архивно-документационной отрасли и подчиненная ему отраслевая наука до сих пор живут в последней четверти ушедшего века, и, соответственно, не в состоянии донести до руководства страны, чем отрасль может быть полезна в новых условиях электронного государства и цифровой экономики. Вузы же продолжают тысячами выпускать ориентированных на работу с бумажной организационно-распорядительной документацией делопроизводителей, которым всё реже находится место хоть в сколько-нибудь важных программах и проектах…

Для полноты картины отмечу, что даже в странах, где специалисты в области управления документами и архивного дела сумели воспользоваться благоприятными возможностями и существенно поднять свой статус, им сейчас постоянно приходится переучиваться, вновь и вновь доказывать нужность своих знаний и навыков, искать возможности для сотрудничества с представителями других профессий. Намёк, думаю, понятен …

Источник: Консультант Плюс / сайт Правительства Российской Федерации
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=317830
http://government.ru/news/35689/
http://government.ru/docs/35693/

понедельник, 25 февраля 2019 г.

Росстандарт: Выложен текст новой, исправленной редакции стандарта требований к оформлению организационно-распорядительных документов ГОСТ Р 7.0.97-2016


На сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/  ) в февральском 2019 года разделе ( http://protect.gost.ru/default.aspx?control=6&month=2&year=2019 ) выложен полный текст новой редакции стандарта ГОСТ Р 7.0.97-2016 «Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов» объёмом 32 страницы, начавший действовать с 1 июля 2018 года, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=197990

Данная редакция документа (февраль 2019 г.) включает Изменение №1. утвержденное в мае 2018 года (см. http://protect.gost.ru/document1.aspx?control=31&baseC=6&id=230801  
). Настоящая редакция заменяет все предыдущие издания данного стандарта.

Изменения следующие:
Изменение N1 ГОСТ Р 7.0.97—2016 Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов (Утверждено и введено в действие Приказом Федерального агентства по техническому регулированию и метрологии от 14.05.2018 № 244-ст, дата введения 2018.07.01)

Пункт 3.3 изложить в новой редакции:
«3.3 Для создания документов необходимо использовать свободно распространяемые бесплатные шрифты.

Для оформления документов рекомендуется использовать размеры шрифтов № 12,13.14.

При составлении таблиц допускается использовать шрифты меньших размеров».
Мой комментарий: В предыдущей версии стандарта были указаны конкретные шрифты, которые следовало использовать, а именно Times New Roman 13 и 14 пунктов; Arial 12 и 13 пунктов; Verdana 12 и 13 пунктов; Calibri 14 пунктов и приближенные к ним.

Пункт 5.18. Первый абзац изложить в новой редакции:
«5.18 Текст документа составляется на русском языке как государственном языке Российской Федерации. В органах государственной власти, органах местного самоуправления, государственных учреждениях республик наряду с государственным языком Российской Федерации могут употребляться государственные языки республик. В деятельности государственных органов, организаций, предприятий и учреждений Российской Федерации используются государственный язык Российской Федерации, государственные языки республик и иные языки народов Российской Федерации».
Мой комментарий: теперь в стандарте предусмотрена возможность использования не только государственных языков республик, но и иных языков народов России.

Пункт 6.8 изложить в новой редакции:
«6.8 В органах власти и организациях республик Российской Федерации, использующих наряду с русским языком как государственным языком Российской Федерации государственный язык (государственные языки) республик, используются бланки документов на русском языке и государственном языке (государственных языках) республик: угловые (реквизиты бланка располагаются на одном уровне, на русском языке — слева, на государственном языке (государственных языках) республик — справа) или продольные (реквизиты бланка на русском языке — сверху, реквизиты бланка на государственном языке (государственных языках) республик— ниже).

Для переписки с иностранными корреспондентами используют бланки на двух языках — русском и английском (приложение В.8) или ином иностранном языке».
Источник: сайт Росстандарта
http://www.gost.ru/

ИСО: Опубликована 2-я часть стандарта э-раскрытия ISO/IEC 27050, содержащая руководство по стратегическому и оперативному управлению процессом э-раскрытия


В сентябре 2018 года Международная организации по стандартизации (ИСО) опубликовала стандарт ISO/IEC 27050-2:2018 «Информационные технологии – Выявление и раскрытие электронной информации – Часть 2: Руководство по менеджменту и управлению э-раскрытием» (Information technology - Electronic discovery - Part 2: Guidance for governance and management of electronic discovery) объёмом 15 страниц, см. https://www.iso.org/standard/66230.html и https://www.iso.org/obp/ui/#!iso:std:66230:en . Документ подготовлен техническим подкомитетом ИСО/МЭК JTC1/SC27 «Методы и средства обеспечения безопасности информационных технологий».

Во вводной части стандарта отмечается следующее:
«Настоящий документ содержит рекомендации как для связанных, так и для несвязанных с информационными технологиями лиц на уровне высшего руководства организации, включая лиц, ответственных за соблюдение законодательно-нормативных требований, а также отраслевых стандартов.

Стандарт описывает, как такие представители руководства могут выявлять и принимать на себя ответственность за менеджмент связанных с э-раскрытием рисков, устанавливать политику и обеспечивать соблюдение соответствующих внешних и внутренних требований. В нём также содержатся предложения о том, как формировать такие политики в виде, позволяющих опираться на них при управлении процессами. Кроме того, стандарт содержит рекомендации о том, как реализовать и контролировать э-раскрытие в соответствии с установленными политиками.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Основы э-раскрытия
6. Стратегическое управление (governance) э-раскрытием
7. Оперативное управление (management) э-раскрытием
8. Риски и факторы, связанные с условиями ведения деловой деятельности
9. Обеспечение соблюдения законодательно-нормативных требований и анализ эффективности э-раскрытия
Библиография
Источник: сайт ИСО
https://www.iso.org/standard/66230.html
https://www.iso.org/obp/ui/#!iso:std:66230:en

Правила предоставления сведений о государственной регистрации актов гражданского состояния уполномоченным органам


Постановлением Правительства РФ от 29 декабря 2018 года № 1746 утверждены «Правила предоставления сведений о государственной регистрации актов гражданского состояния, содержащихся в Едином государственном реестре записей актов гражданского состояния, и признании утратившими силу некоторых актов Правительства Российской Федерации».

Сведения о государственной регистрации предоставляются:
  • Органам, указанным в пункте 1 статьи 13.2 федерального закона «Об актах гражданского состояния», оператором федеральной государственной информационной системы ведения Единого государственного реестра записей актов гражданского состояния в электронной форме посредством использования единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия (п.2).

  • Физическим лицам, указанным в абзаце шестом пункта 1 статьи 13.2 федерального закона «Об актах гражданского состояния», оператором в электронной форме посредством федеральной государственной информационной системы «Единый портал государственных и муниципальных услуг (функций)» и региональных порталов государственных и муниципальных услуг (п.3) (об этом будет отдельный пост – Н.Х.)
Сведения о государственной регистрации предоставляются уполномоченным органам на его основании запроса, направляемого однократно оператору (п.4).

Предоставление сведений осуществляется в целях реализации полномочий соответствующих уполномоченных органов, установленных нормативными правовыми актами РФ и (или) принятыми в соответствии с нормативными правовыми актами РФ, устанавливающими полномочия субъектов РФ по предметам совместного ведения с РФ, нормативными правовыми актами субъекта РФ.

Запрос уполномоченного органа о предоставлении сведений составляется в форме документа на бумажном носителе и подписывается лицом, уполномоченным действовать от имени уполномоченного органа (п.7).

Оператор осуществляет рассмотрение запроса уполномоченного органа и прилагаемых к нему документов в течение 3 рабочих дней со дня их получения на предмет соответствия настоящим Правилам (п.8). Он не дает оценку необходимости предоставляемых сведений в целях реализации полномочий уполномоченного органа.

В случае положительного результата рассмотрения запроса оператор в течение одного дня со дня его рассмотрения предоставляет уполномоченному органу сведения, а также направляет ему уведомление об их предоставлении (п.9).

В случае отрицательного результата рассмотрения запроса оператор в течение одного дня направляет в уполномоченный орган уведомление об отклонении запроса уполномоченного органа о предоставлении сведений с указанием причин отклонения (п.10).

Уведомления подписываются усиленной квалифицированной электронной подписью лица, уполномоченного действовать от имени оператора, и направляются оператором в уполномоченный орган на адрес электронной почты, указанный в запросе (п.11).

В документе также установлен порядок изменения информации об уполномоченном органе (п.12), а также прекращении предоставления сведений в случае прекращении его полномочий, либо принятии решения о реорганизации и (или) ликвидации уполномоченного органа (п.15).

Сведения, предоставляемые уполномоченному органу, подписываются усиленной квалифицированной электронной подписью оператора (п.20). Они предоставляются ежедневно, ежемесячно, поквартально и ежегодно (п.24). Период определяется уполномоченным органом и может быть изменен им самостоятельно с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия.

Сведения предоставляются исходя из следующих критериев (п.25): записи актов гражданского состояния
  • Составленные за период;

  • Составленные за период, с учетом внесенных в соответствующий период изменений и исправлений;

  • Составленные за период, а также в которые внесены изменения и исправления в соответствующий период;

  • В которые внесены изменения и исправления в соответствующий период.
Критерии, по которым уполномоченному органу предоставляются сведения, определяются и изменяются им самостоятельно с использованием единой системы межведомственного электронного взаимодействия и подключаемых к ней региональных систем межведомственного электронного взаимодействия.

Сведения предоставляются в части записей актов гражданского состояния, составленных в форме электронного документа в Едином государственном реестре записей актов гражданского состояния (п.28) и однократно (п.29).

Повторное предоставление уполномоченному органу сведений осуществляется в случае официально подтвержденной утраты (в том числе искажения) ранее полученных сведений по запросу об их повторном предоставлении (п.30).

Мой комментарий: Я не понимаю, кому и зачем нужно отслеживать повторность предоставления сведений и изучать причины этого. Не проще ли просто отвечать на все запросы? Складывается впечатление, что кое-кто не понимает, что новые технологии позволяют нам отказаться от методов работы, популярных во времена царя Гороха! :)

Запрос о повторном предоставлении сведений составляется в форме документа на бумажном носителе и подписывается лицом, уполномоченным действовать от имени уполномоченного органа (п.31).

Оператор обеспечивает с использованием федеральной государственной информационной системы ведения Единого государственного реестра записей актов гражданского состояния (п.34):
  • Учет запросов, полученных от уполномоченных органов, и уведомлений, направленных оператором в уполномоченные органы;

  • Ведение реестра уполномоченных органов, получающих сведения с указанием их полномочий, для реализации которых они ему предоставляются и периода получения указанных сведений;

  • Ведение реестра предоставленных сведений с указанием уполномоченного органа, которому они были предоставлены, периода и критериев их предоставления, определенных уполномоченным органом.
Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=315334

воскресенье, 24 февраля 2019 г.

ИСО: Продолжается работа над стандартом эталонной архитектуры больших данных ISO/IEC 20547-3


В последнее время стало привычным, что стандартизация новых и нарождающихся технологий начинается с терминологического стандарта и стандарта эталонной архитектуры. Последний часто определяет не только технические, но и правовые аспекты использования технологии, выделяя проблемные области – что особенно интересно для специалистов, как говорится, «смежных» профессий, таких, как право или управление документами и информацией.

В настоящее время в Международной организации по стандартизации (ИСО) подходит к завершению работа над стандартом ISO/IEC DIS 20547-3:2018 «Информационные технологии – Эталонная архитектура больших данных - Часть 3: Эталонная архитектура» (Information technology - Big data reference architecture -- Part 3: Reference architecture) объёмом 58 страниц, см. https://www.iso.org/standard/71277.html и https://www.iso.org/obp/ui/#!iso:std:71277:en . Одновременно готовится к публикации «парный» терминологический стандарт ISO/IEC FDIS 20546 «Информационные технологии – Большие данные – Основные положения и словарь» (Information technology - Big data - Overview and vocabulary), см. https://www.iso.org/contents/data/standard/06/83/68305.html

В аннотации ISO/IEC DIS 20547-3 отмечается:
«Настоящий документ определяет эталонную архитектуру больших данных (big data reference architecture, BDRA). Эталонная архитектура включает в себя роли в сфере больших данных, виды деятельности, функциональные компоненты и их взаимосвязи.

Приведенная в настоящем документе эталонная архитектура определяет:
  • Концептуальную модель для экосистемы больших данных, определяющую роли / суб-роли и их взаимоотношения в этой экосистеме;

  • Описание типов действий, связанных с ролями и суб-ролями в экосистеме больших данных.
Главная задача данной эталонной архитектуры заключается в том, чтобы способствовать единому пониманию текущих архитектур и направлений развития в будущем среди различных продуктов, организаций и дисциплин.»
Содержание документа следующее:
Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Условные обозначения
5. Концепции эталонной архитектуры больших данных
6. Пользовательская точка зрения
7. Сквозные аспекты
8. Функциональная точка зрения
Библиография
Мой комментарий: С моей точки зрения, данная эталонная архитектура слабенькая в том плане, что она почти не затрагивает правовые вопросы, в том числе и такую «жареную» тему, как соблюдение законодательства о защите персональных данных (о которой лишь очень поверхностно сказано в главе 7).  Раздел 7.1 «Безопасность и защита неприкосновенности частной жизни» составляет ровно 9 строк …

С моей точки зрения, если защиту персональных данных не заложить уже на стадии концептуального проектирования решений (особенно тех, что предназначены для использования коммерческими, а не государственными структурами) – а это значит, и в полноценную эталонную архитектуру, то их жизнь впоследствии может оказаться недолгой, но мучительной (в Европе сейчас максимальное наказание – 4% от глобального оборота коммерческой организации).

Помимо персональных данных, есть и другие важные вопросы, такие, как документирование работы решений и возможность объяснить получаемые результаты, в т.ч. доказать их непредвзятый и недискриминационный характер; устойчивость функционирования решения при малых возмущениях в данных и алгоритмах; миграция решений в случае морального устаревания через ~10 лет; необходимость архивации первичных больших данных и её методы …

Источник: сайт ИСО
https://www.iso.org/standard/71277.html
https://www.iso.org/obp/ui/#!iso:std:71277:en

Судебная практика: Руководителя управляющей компании нельзя оштрафовать за ненадлежащее рассмотрение обращения гражданина


Судья Верховного Суда Российской Федерации в октябре 2018 года (Постановление № 88-АД18-3) подтвердил, что обращения собственника помещения в Управляющую компанию по поводу содержания многоквартирного дома, находящегося в управлении общества, не может рассматриваться по нормам федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

Суть спора

На имя директора ООО «Управляющая компания «Шегарское»», поступило обращение одного из собственников, именуемое претензией, по вопросу ненадлежащего содержания многоквартирного дома, находящегося в управлении общества, а также о проведении комплекса мероприятий по устранению грызунов, которое было рассмотрено с нарушением требований федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации».

Постановлением мирового судьи судебного участка Шегарского судебного района Томской области в ноябре 2017 года, оставленным без изменения решением судьи Шегарского районного суда Томской области в декабре 2017 года и постановлением заместителя председателя Томского областного суда в марте 2018 года, директор общества был признан виновным в совершении административного правонарушения, предусмотренного статьей 5.59 Кодекса Российской Федерации об административных правонарушениях, и подвергнут административному наказанию в виде административного штрафа в размере 5 тысяч рублей.

Позиция Верховного Суда Российской Федерации

Суд отметил, что в ходе рассмотрения данного дела защитник последовательно приводил доводы о том, что директор не является субъектом вменяемого ему административного правонарушения, поскольку руководимое им общество не является организацией, осуществляющей публично значимые функции.

Отклоняя данные доводы, судебные инстанции сочли, что деятельность по управлению многоквартирными домами, которую ведет общество, затрагивает права и законные интересы значительного числа граждан, ввиду чего направлена на выполнение публично значимых функций.

По мнению суда, возможность вступать в диалог с субъектами, осуществляющими функции публичной власти, в целях отстаивания как индивидуального (частного), так и публичного интереса, связанного с поддержанием и обеспечением законности и конституционного правопорядка (обусловленная правом гражданина участвовать в предоставленных законом пределах в принятии и реализации решений, затрагивающих его интересы, и контроле за их исполнением), является неотъемлемой характеристикой нормативного содержания конституционных основ взаимоотношений личности с обществом и государством и элементом конституционных гарантий защиты прав личности всеми не противоречащими закону средствами (постановление Конституционного Суда Российской Федерации от 18.07.2012 № 19-П).

Суд отметил, что в определении от 27.06.2017 № 1361-О Конституционный Суд РФ указал, что часть 4 статьи 1 Закона № 59-ФЗ не позволяет распространять положения данного закона на гражданско-правовые отношения, возникающие между гражданами и юридическими лицами, в том числе созданными публично-правовыми образованиями.

ООО «Управляющая компания «Шегарское» является юридическим лицом, основной целью деятельности которого, согласно уставу, является извлечение прибыли, на основании договора общество осуществляет управление многоквартирным домом, собственник одной из квартир в котором обратился к директору общества с претензией.

Данных о том, что общество следует отнести к организациям, осуществляющим публично значимые функции, из материалов данного дела не усматривается.

В рассматриваемом случае правоотношения собственника помещений в многоквартирном доме с управляющей организацией носят гражданско-правовой характер, и требования федерального закона от 02.05.2006 № 59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» на них не распространяются.

Вывод судебных инстанций о том, что директор общества является субъектом вменяемого ему административного правонарушения, предусмотренного статьей 5.59 Кодекса Российской Федерации об административных правонарушениях, обоснованным признать нельзя.

Суд отменил постановление мирового судьи судебного участка Шегарского судебного района Томской области, решение судьи Шегарского районного суда Томской области и постановление заместителя председателя Томского областного суда, вынесенные в отношении директора общества по делу об административном правонарушении, предусмотренном статьей 5.59 Кодекса Российской Федерации об административных правонарушениях.

Мой комментарий: Отмечу, что прокуратура пока продолжает привлекать к ответственности руководители управляющих компаний. Вот новости за ноябрь 2018 года:
С другой стороны, с моей точки зрения, обращение в прокуратуру было достаточно действенной мерой для воздействия на недобросовестных руководителей; теперь же получается, что на них даже пожаловаться некому…

Источник: Консультант Пдюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=ARB002;n=559677

суббота, 23 февраля 2019 г.

ИСО: Опубликован стандарт эталонной архитектуры «интернета вещей» ISO/IEC 30141:2018


Совсем недавно я рассказывала о подготовленном техническим подкомитетом ИСО/МЭК JTC1/SC41 «Интернет вещей и взаимосвязанные технологии» (Internet of Things and related technologies) терминологическом стандарте ISO/IEC 20924:2018 «Информационные технологии – Интернет вещей (IoT) – Словарь» (Information technology – Internet of Things (IoT) – Vocabulary), см. http://rusrim.blogspot.com/2019/01/isoiec-20924.html . Сегодня я продолжаю тему стандартизации «интернета вещей».

В августе 2018 года Международная организация по стандартизации (ИСО) опубликовала стандарт ISO/IEC 30141:2018 «Интернет вещей – Эталонная архитектура» (Internet of Things (loT) - Reference Architecture) объёмом 84 страницы, см. https://www.iso.org/standard/65695.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:30141:ed-1:v1:en , также подготовленный техническим подкомитетом ИСО/МЭК JTC1/SC41.

В аннотации на документ отмечается:
«Уже сегодня «интернет вещей» (IoT) широко используется в промышленности и обществе, и он будет развиваться в течение многих предстоящих лет. Различные приложения и сервисы IoT используют методы IoT для обеспечения возможностей, которые были нереализуемыми ещё несколько лет тому назад.

Интернет вещей - одна из самых динамичных и интересных областей ИКТ. Он подразумевает соединение физических объектов («вещей») с ИТ-системами через сети. Основой для интернета вещей являются электронные устройства, которые взаимодействуют с физическим миром. Датчики собирают информацию о физическом мире, а исполнительные механизмы могут воздействовать на физические объекты. Как датчики, так и исполнительные механизмы могут быть представлены в различной форме, такой, как термометры, акселерометры, видеокамеры, микрофоны, реле, нагреватели или промышленное оборудование для производства или управления процессом.

Мобильные технологии, облачные вычисления, большие данные и «глубокая аналитика» (deep analytics  - прогнозирующая, когнитивная, выполняемая в режиме реального времени и контекстуализированная) играют важную роль, собирая и обрабатывая данные для достижения окончательного результата - управления физическими объектами, посредством предоставления контекстуализированной прогнозной информации в режиме реального времени, которая оказывает влияние на физические и виртуальные объекты.

Интернет вещей может быть интегрирован в существующие технологии. Измерения в режиме реального времени, полученные путем добавления датчиков к уже существующей технологии, могут улучшить ее функциональные возможности и снизить стоимость операций (например, интеллектуальное управление дорожным движением способно адаптироваться к условиям движения, уменьшая заторы и снижая загрязнение воздуха). Генерируемые датчиками интернета вещей данные могут поддерживать новые бизнес-модели и способствовать адаптации продуктов и услуг ко вкусам и потребностям клиента. Помимо приложений, технология должна обеспечивать надзор и адаптацию самой системы «интернета вещей».

...  Настоящий документ содержит стандартизированную эталонную архитектуру интернета вещей на основе общей терминологии, многократно используемых проектных решений и наилучшей отраслевой практики. В нём использован подход «сверху вниз», начиная с определения наиболее важных характеристик интернета вещей, абстрагирования их в типовую концептуальную модель, выведение из этой модели высокоуровневых основ системы с последующим разбиением этой модели на четыре представления архитектуры (функциональное, системное, сетевое и пользовательское), отражающие различные точки зрения.

Настоящий документ служит основой для разработки (спецификации) контекстно-ориентированных архитектур интернета вещей и, следовательно, реальных систем. Контексты могут быть разного рода, однако они должны обязательно включать контекст деловой деятельности, нормативно-правовой контекст и технологический контекст (например, учитывать особенности отраслевых «вертикалей», технологические требования и/или национальные наборы требований).»
Содержание документа следующее:
Предисловие
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Соответствие эталонной архитектуре «интернета вещей» (IoT RA)
6. Цели и задачи эталонной архитектуры «интернета вещей»
7. Характеристики систем интернета вещей (IoT)
8. Концептуальная модель интернета вещей
9. Эталонная модель интернета вещей
10. Точки зрения эталонной архитектуры «интернета вещей»
11. Доверие к интернету вещей
Приложения
Библиография
Мой комментарий: Для меня наибольший интерес представляли правовые вопросы и вопросы доверия, например, раздел 7.2 "Доверие к системе интернета вещей". В этом разделе выделены такие аспекты доверия, как доступность, конфиденциальность, целостность, защита персональных данных, надёжность, жизнестойкость, безопасность. С моей точки зрения, как специалиста по управлению документами, упущена аутентичность т.е. точное знание происхождения данных (а также, возможно, компонентов системы!) и истории их хранения и обработки. Также интересен раздел 11 "Доверие к интернету вещей", в котором свойства, перечисленные в 7.2, рассмотрены более подробно.

В целом же документ, на мой взгляд, уделяет правовым вопросам (за исключением защиты персональных данных) недостаточное внимание – а таких вопросов довольно много. Совершенно не рассматривается вопрос документирования функционирования интернета вещей и деятельности в нём действующих лиц, не говоря уже о долговременном хранении такого рода документов и информации, где это обусловлено существующими законодательно-нормативными требованиями и потребностями деловой деятельности. Остается надеяться, что эти вопросы будут рассмотрены в каких-то других документах …

Источник: сайт ИСО
https://www.iso.org/standard/65695.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:30141:ed-1:v1:en

Судебная практика: Получение информации об обучении ребенка и защита персональных данных


Споры, связанные с установление прав родителей, сейчас достаточно распространены и, как правило, ведут к многочисленным судебным разбирательствам, прежде всего потому, что родители не могут или просто не хотят договариваться.

Судебная коллегия по административным делам Московского городского суда рассмотрела дело № 33а-8695/2018 в ноябре 2018 года, в котором отец ребенка через суд предъявил претензии к Департаменту образования города Москвы за то, что тот не сообщил ему информацию об обучении его дочери.

Суть спора

Гражданин обратился в суд с административным иском к Департаменту образования города Москвы, в котором просил восстановить его права, нарушенные решением об отказе в предоставлении ему информации о том, какое образовательное учреждение посещает его дочь, её фамилию, реквизиты полиса обязательного медицинского страхования, а также данные о классном руководителе и директоре указанного образовательного учреждения.

Требования были мотивированы тем, что после установления судом его отцовства он имеет право на получение запрошенных им сведений.

Позиция Мещанского районного суда г. Москвы

Мой комментарий: Отмечу, что сведения по данному вопросу максимально деперсонифицированы (чего требует законодательство), однако оставшаяся в судебном решении информация позволяет установить некоторые факты в связи с данным делом. Гражданин не просто через суд добился установления отцовства. В метрику ребенка в качестве отца был записан другой человек, и гражданин добился аннулирования этой записи и выдачи повторного свидетельства о рождении с указанием своих данных, и судом также был определен порядок его общения с ребенком. Не думаю, что все эти разбирательства доставили удовольствие маме ребенка, да и всей его семье.

Гражданин обратился по вопросу предоставления информации об обучении ребенка в образовательной организации города Москвы в Департамент образования города Москвы, через официальный сервер Правительства города Москвы. Начальником Управления по работе с обращениями граждан ему был дан ответ, что такие сведения, согласно федеральному закону от 27 июля 2006 года «О персональных данных», могут быть предоставлены только с письменного согласия субъекта персональных данных или его законного представителя, либо по официальному запросу правоохранительных органов.

Дополнительно гражданину были разъяснены положения Семейного кодекса РФ, касающиеся воспитания и образования детей, в части, что такие вопросы решаются родителями по их взаимному согласию и исходя из интересов детей.

Суд пришел к выводу о том, что ответ Департамента образования города Москвы является мотивированным и предоставляет гражданину возможность получения информации в отношении его дочери в установленном законом порядке.

Решением Мещанского районного суда г. Москвы в феврале 2018 года в удовлетворении заявленных требований было отказано.

Позиция Судебной коллегии по административным делам Московского городского суда

Суд отметил, что закон требует наличия у Департамента образования города Москвы согласия на обработку персональных данных ребенка, не являющегося в силу возраста дееспособным. Такие данные могут обрабатываться только с согласия законного представителя ребёнка (часть 6 статьи 9) либо в случае запроса правоохранительных органов или суда.

Представленные гражданином документы свидетельствуют о том, что между родителями ребенка не достигнуто соглашения по вопросу обработки персональных данных, такой спор между ними не разрешен судом, а Департамент образования города Москвы этот спор разрешать не вправе.

Суд отметил, что гражданин не доказал факт нарушения своих прав, свобод и законных интересов со стороны Департамента образования города Москвы, а решение последнего основано на действующем законодательстве, включая подзаконные нормативные акты, регулирующие порядок и форму получения согласия на обработку персональных данных, действовавших ранее и в настоящее время.

Судебная коллегия по административным делам Московского городского суда оставила без изменения решение Мещанского районного суда г. Москвы, а апелляционную жалобу гражданина без удовлетворения.

Мой комментарий: Вместо того, чтобы налаживать отношения с матерью ребенка гражданин, с моей точки зрения, использует свои восстановленные судом права несколько своеобразно…

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=RAMSMARB;n=1558823