воскресенье, 20 сентября 2020 г.

ИСО и МЭК: Завершается работа над стандартом технической готовности к э-раскрытию ISO/IEC 27050-4


Я уже рассказывала на своём блоге о международном стандарте э-раскрытия из нескольких частей ISO/IEC 27050 «Информационные технологии - Выявление и раскрытие электронной информации» (Information technology - Electronic discovery) – см. http://rusrim.blogspot.com/2019/12/isoiec-27050-1.html и http://rusrim.blogspot.com/2019/12/isoiec-27050-1.html ; и о российской адаптации его первой части как ГОСТ Р ИСО/МЭК 27050-1-2019 «Информационные технологии. Методы обеспечения безопасности. Выявление и раскрытие электронной информации. Часть 1. Обзор и концепции», см. http://rusrim.blogspot.com/2019/12/27050-1-2019.html .

Напомню, что электронное раскрытие (э-раскрытие – e-discovery) представляет собой процесс выявления и представления соответствующей электронной информации или данных одной или несколькими сторонами, участвующими в расследовании или судебном разбирательстве либо в аналогичных процедурах. В англосаксонских странах практика э-раскрытия сейчас оказывает колоссальное влияние на практику управления документами и информацией, ввиду очень высокой «цены вопроса» - что приходится учитывать и российским компаниям, действующим на зарубежных рынках или взаимодействующих с зарубежными партнёрами. Внутри России э-раскрытие пока такого значения не приобрело, однако в среднесрочной перспективе ситуация может измениться.

В настоящее время выходит на финишную прямую работа ещё над одной частью стандарта ISO/IEC 27050, которая вышла на стадию «проекта международного стандарта» (DIS) и прошла публичное обсуждение. Это ISO/IEC DIS 27050-4 «Информационные технологии - Выявление и раскрытие электронной информации – Часть 4: Техническая готовность» (Information technology — Electronic discovery — Part 4: Technical readiness) объёмом 28 страниц основного текста, см. https://www.iso.org/standard/74034.html и https://www.iso.org/obp/ui/#iso:std:iso-iec:27050:-4:dis:ed-1:v1:en .

Над документом работает подкомитет SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединенного технического комитета ИСО/МЭК JTC1 «Информационные технологии» (Information technology).

Страница публичного обсуждения стандарта на сайте Британского института стандартов (BSI)

Во вводной части документа отмечается:
«Электронное раскрытие (э-раскрытие) может подвергать организации и  заинтересованные стороны внутри и за пределами этих организаций коллективным и индивидуальным рискам, включая правовые, финансовые и этические. Настоящий документ содержит рекомендации по упреждающим мерам, которые могут помочь в обеспечении эффективного и надлежащего выполнения э-раскрытия и соответствующих процессов.

Настоящий документ следует читать вместе с ISO/IEC 27050-1, 27050-2 и 27050-3.

Мой комментарий: Речь идёт о следующих частях стандарта ISO/IEC 27050:
Э-раскрытие часто является движущей силой в ходе расследований, а также действий по сбору и обработке доказательств (описанных в стандарте ISO/IEC ISO/IEC 27037:2012 «Информационные технологии - Методы обеспечения безопасности - Руководство по выявлению, сбору, приобретению и обеспечению долговременной сохранности электронных доказательств» (Information technology - Security techniques - Guidelines for identification, collection, acquisition and preservation of digital evidence), см. https://www.iso.org/standard/44381.html и https://www.iso.org/obp/ui/#!iso:std:44381:en , а также http://rusrim.blogspot.com/2012/11/blog-post_14.html ; в России адаптирован как ГОСТ Р ИСО/МЭК 27037-2014 «Информационная технология. Методы и средства обеспечения безопасности. Руководства по идентификации, сбору, получению и хранению свидетельств, представленных в цифровой форме», http://protect.gost.ru/v.aspx?control=8&baseC=6&id=179958  - Н.Х.). Кроме того, чувствительность и критичность данных иногда требуют таких мер защиты, как меры обеспечения безопасного хранения с целью защиты от утечки данных (они рассматриваются в стандарте ISO/IEC 27040:2015 «Информационные технологии – Методы обеспечения безопасности - Безопасность хранения данных» (Information technology - Security techniques - Storage security), см. https://www.iso.org/standard/44404.html и https://www.iso.org/obp/ui/#!iso:std:44404:enН.Х.).

Следует отметить, что настоящий документ не является справочным или нормативным документом в отношении законодательно-нормативных требований к безопасности. Хотя в нём и подчеркивается важность подобного влияния, он не может устанавливать конкретные требования такого рода, поскольку они зависят от страны, типа деловой деятельности и т.д.

… Настоящий документ содержит рекомендации в отношении того, как организация может планировать, готовиться и реализовывать э-раскрытие с точки зрения как технологий, так и процессов.

Этот документ адресован как нетехническому, так и техническому персоналу, участвующему в какой-либо деятельности по э-раскрытию. Важно отметить, что настоящее руководство не предназначено и не может противоречить или подменять законодательно-нормативные акты в местных юрисдикциях, поэтому [при его применении – Н.Х.] следует проявлять осторожность с тем, чтобы обеспечить соблюдение имеющих большую силу требований соответствующей юрисдикции.»
По вопросу технической готовности, в частности, отмечается:
«Техническая готовность означает наличие знаний, навыков, процессов и технологий, необходимых для решения конкретной задачи или проблемы. Для организации это не означает, что та всё знает и всё может делать; скорее, это понятие подразумевает адекватную готовность к выполнению поставленной задачи, в том числе в случает возникновения каких-либо непредвиденных обстоятельств,

В контексте электронного раскрытия техническая готовность означает, что организация хорошо подготовлена к решению задач, связанных с соответствующими элементами процесса э-раскрытия. Эта готовность также зависит от типа организации (например, юридическая фирма - по сравнению с компанией, занимающейся управлением документами), а также от той роли, которую организация играет в процессе э-раскрытия (представляющая либо получающая материалы сторона).

Цели готовности к э-раскрытию могут включать следующее:
  • Соблюдение ограничений на доступ, использование, обработку и передачу данных, связанных с их конфиденциальностью, защитой персональных данных и другими причинами, которые установлены применимыми законами, нормативными актами, правилами и ожиданиями;

  • Выявление потенциально относящихся к процессу э-раскрытия источников электронной информации (ESI);

  • Обеспечение надлежащей защиты и сохранности потенциально относящейся к процессу э-раскрытия электронной информации;

  • Представление отвечающей запросу электронной информации в форме, пригодной для использования запрашивающей стороной;

  • Проведение процесса э-раскрытия в рамках установленных сроков.
Содержание документа следующее:
Предисловие
Введение
1. Область определения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения и обозначения
5. Основы э-раскрытия
6. Техническая готовность
7. Готовность к э-раскрытию
8. Дополнительные соображения
9. Сквозные аспекты э-раскрытия
Приложение A: Вопросник по хранению электронной информации
Библиография
Источник: сайт ИСО / сайт BSI
https://www.iso.org/standard/74034.html
https://www.iso.org/obp/ui/#iso:std:iso-iec:27050:-4:dis:ed-1:v1:en
https://standardsdevelopment.bsigroup.com/search?Term=27050-4

Комментариев нет:

Отправить комментарий