Напомню, что электронное раскрытие (э-раскрытие – e-discovery) представляет собой процесс выявления и представления соответствующей электронной информации или данных одной или несколькими сторонами, участвующими в расследовании или судебном разбирательстве либо в аналогичных процедурах. В англосаксонских странах практика э-раскрытия сейчас оказывает колоссальное влияние на практику управления документами и информацией, ввиду очень высокой «цены вопроса» - что приходится учитывать и российским компаниям, действующим на зарубежных рынках или взаимодействующих с зарубежными партнёрами. Внутри России э-раскрытие пока такого значения не приобрело, однако в среднесрочной перспективе ситуация может измениться.
В настоящее время выходит на финишную прямую работа ещё над одной частью стандарта ISO/IEC 27050, которая вышла на стадию «проекта международного стандарта» (DIS) и прошла публичное обсуждение. Это ISO/IEC DIS 27050-4 «Информационные технологии - Выявление и раскрытие электронной информации – Часть 4: Техническая готовность» (Information technology — Electronic discovery — Part 4: Technical readiness) объёмом 28 страниц основного текста, см. https://www.iso.org/standard/74034.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:27050:-4:dis:ed-1:v1:en .
Над документом работает подкомитет SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1 «Информационные технологии» (Information technology).
Страница публичного обсуждения стандарта на сайте Британского института стандартов (BSI)
Во вводной части документа отмечается:
«Электронное раскрытие (э-раскрытие) может подвергать организации и заинтересованные стороны внутри и за пределами этих организаций коллективным и индивидуальным рискам, включая правовые, финансовые и этические. Настоящий документ содержит рекомендации по упреждающим мерам, которые могут помочь в обеспечении эффективного и надлежащего выполнения э-раскрытия и соответствующих процессов.По вопросу технической готовности, в частности, отмечается:
Настоящий документ следует читать вместе с ISO/IEC 27050-1, 27050-2 и 27050-3.
Мой комментарий: Речь идёт о следующих частях стандарта ISO/IEC 27050:
Э-раскрытие часто является движущей силой в ходе расследований, а также действий по сбору и обработке доказательств (описанных в стандарте ISO/IEC ISO/IEC 27037:2012 «Информационные технологии - Методы обеспечения безопасности - Руководство по выявлению, сбору, приобретению и обеспечению долговременной сохранности электронных доказательств» (Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence), см. https://www.iso.org/standard/44381.html и https://www.iso.org/obp/ui/#!iso:std:44381:en , а также http://rusrim.blogspot.com/2012/11/blog-post_14.html ; в России адаптирован как ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=179958 - Н.Х.). Кроме того, чувствительность и критичность данных иногда требуют таких мер защиты, как меры обеспечения безопасного хранения с целью защиты от утечки данных (они рассматриваются в стандарте ISO/IEC 27040:2015 «Информационные технологии – Методы обеспечения безопасности - Безопасность хранения данных» (Information technology - Security techniques - Storage security), см. https://www.iso.org/standard/44404.html и https://www.iso.org/obp/ui/#!iso:std:44404:en – Н.Х.).
- ISO/IEC 27050-1:2019 «Часть 1. Обзор и концепции» (Part 1: Overview and concepts), см. https://www.iso.org/standard/78647.html и https://www.iso.org/obp/ui/#!iso:std:78647:en
- ISO/IEC 27050-2:2018 «Часть 2: Руководство по стратегическому и оперативному управлению процессом э-раскрытия» (Part 2: Guidance for governance and management of electronic discovery), см. https://www.iso.org/standard/66230.html и https://www.iso.org/obp/ui/#!iso:std:66230:en
- ISO/IEC 27050-3:2020 «Часть 3: Кодекс практики э-раскрытия» (Part 3: Code of practice for electronic discovery) - см. https://www.iso.org/standard/78648.html и https://www.iso.org/obp/ui/#!iso:std:78648:en , а также http://rusrim.blogspot.com/2017/11/blog-post_18.html.
Следует отметить, что настоящий документ не является справочным или нормативным документом в отношении законодательно-нормативных требований к безопасности. Хотя в нём и подчеркивается важность подобного влияния, он не может устанавливать конкретные требования такого рода, поскольку они зависят от страны, типа деловой деятельности и т.д.
… Настоящий документ содержит рекомендации в отношении того, как организация может планировать, готовиться и реализовывать э-раскрытие с точки зрения как технологий, так и процессов.
Этот документ адресован как нетехническому, так и техническому персоналу, участвующему в какой-либо деятельности по э-раскрытию. Важно отметить, что настоящее руководство не предназначено и не может противоречить или подменять законодательно-нормативные акты в местных юрисдикциях, поэтому [при его применении – Н.Х.] следует проявлять осторожность с тем, чтобы обеспечить соблюдение имеющих большую силу требований соответствующей юрисдикции.»
«Техническая готовность означает наличие знаний, навыков, процессов и технологий, необходимых для решения конкретной задачи или проблемы. Для организации это не означает, что та всё знает и всё может делать; скорее, это понятие подразумевает адекватную готовность к выполнению поставленной задачи, в том числе в случает возникновения каких-либо непредвиденных обстоятельств,Содержание документа следующее:
В контексте электронного раскрытия техническая готовность означает, что организация хорошо подготовлена к решению задач, связанных с соответствующими элементами процесса э-раскрытия. Эта готовность также зависит от типа организации (например, юридическая фирма - по сравнению с компанией, занимающейся управлением документами), а также от той роли, которую организация играет в процессе э-раскрытия (представляющая либо получающая материалы сторона).
Цели готовности к э-раскрытию могут включать следующее:
- Соблюдение ограничений на доступ, использование, обработку и передачу данных, связанных с их конфиденциальностью, защитой персональных данных и другими причинами, которые установлены применимыми законами, нормативными актами, правилами и ожиданиями;
- Выявление потенциально относящихся к процессу э-раскрытия источников электронной информации (ESI);
- Обеспечение надлежащей защиты и сохранности потенциально относящейся к процессу э-раскрытия электронной информации;
- Представление отвечающей запросу электронной информации в форме, пригодной для использования запрашивающей стороной;
- Проведение процесса э-раскрытия в рамках установленных сроков.
ПредисловиеИсточник: сайт ИСО / сайт BSI
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения и обозначения
5. Основы э-раскрытия
6. Техническая готовность
7. Готовность к э-раскрытию
8. Дополнительные соображения
9. Сквозные аспекты э-раскрытия
Приложение A: Вопросник по хранению электронной информации
Библиография
https://www.iso.org/standard/74034.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:27050:-4:dis:ed-1:v1:en
https://standardsdevelopment.bsigroup.com/search?Term=27050-4
Комментариев нет:
Отправить комментарий