среда, 31 августа 2022 г.

Ситуация с текстовыми сообщениями Секретной службы США

Заметка технического писателя-фрилансера Гэри МакГэфа (Gary McGath - на фото) была опубликована 30 июля 2022 года на его блоге «Сумасшедшая наука о файловых форматах» (Mad File Format Science), который посвящён «файловым форматам, проверке структуры файлов, программному обеспечению для архивации и прочим странным вещам».

Исчезновение текстовых сообщений Секретной службы США (Secret Service, полное название - United States Secret Service, USSS - эта спецслужба отвечает за безопасность первых лиц страны и членов их семей, а также за проведение соответствующих расследований – Н.Х.) от 6 января 2021 года (в этот день пришедшие на митинг сторонники потерпевшего поражение на выборах президента Трампа ворвались в Капитолий – Н.Х.) - это проблема обеспечения долговременной сохранности данных, поэтому я ненадолго выведу этот блог из долгой спячки, чтобы проанализировать её настолько хорошо, насколько это в моих силах.

Что мы знаем

Текстовые сообщения, пересылавшиеся между телефонами сотрудников Секретной службы 6 января 2021 года во время беспорядков в Вашингтоне, оказалось невозможным получить у этого органа исполнительной власти. Освещение ситуации в новостях является настолько плохим, что трудно понять, что это реально значит; вот эта статья CNN (см. https://www.cnn.com/2022/07/22/politics/secret-service-investigators-text-messages/index.html ) содержит больше подробностей, чем большинство отчетов, которые мне удалось найти.

Генеральный инспектор Департамента внутренней безопасности (Department of Homeland Security, DHS – Секретная служба подчиняется именно этому министерству – Н.Х.) запросил текстовые сообщения с телефонов 24 сотрудников Секретной службы, в числе которых были руководители и сотрудники охраны президента и вице-президента. В ответ на запрос был представлен только один документ, и Секретная служба заявила, что никаких других документов у неё нет. В десяти телефонах имелись метаданные, указывающие на передачу текстовых сообщений, но содержание самих сообщений не сохранилось. 20 июля 2022 года генеральный инспектор объявил о начале уголовного расследования по факту утраты сообщений.

Секретная служба сообщила, что сообщения были утрачены в результате «системной миграции», которая была проведена где-то между 6 января и 26 февраля 2021 года. Она также утверждает, что «ни одно из текстовых сообщений, которые хотело получить Управление генерального инспектора, не было потеряно в процессе миграции». Иными словами, Секретная служба утверждала, что не было утрачено никаких сообщений, относящихся к расследованию.

Обмен сообщениями и сроки хранения данных

Доступной для анализа информации немного. В зависимости от того, кому Вы верите, можно классифицировать ситуацию как угодно, от незначительной небрежности до преднамеренного сокрытия информации. Но давайте посмотрим, что мы можем извлечь из имеющихся сведений.

Термин «текстовые сообщения» (text messages) обычно означает обмен SMS-сообщениями, но я не нашёл ничего, что прямо говорило бы об этом. SMS-сообщения шифруются, но не сквозным образом; они уязвимы для атак типа man-in-the-middle (атака методом перехвата сообщений и подмены трафика – Н.Х.) и спуфинга (маскировка злоумышленника под законного пользователя – Н.Х.). Если Секретная служба серьёзно относится к слову «секретный» в своём названии и защищается от технически подкованных террористов, ей, как я полагаю, следует использовать что-то более безопасное. Однако за неимением другой информации, буду предполагать, что речь идёт об SMS-сообщениях (но см. ниже - возможно, также имел место обмен сообщениями iMessage – это система обмена мгновенными сообщениями между устройствами, выпускаемыми фирмой Apple – Н.Х.).

Федеральному органу исполнительной власти, имеющему дело с чувствительными данными, необходимо иметь политику в отношении сохранения данных. Он должен обеспечить, чтобы информация не терялась и не попадала в руки неавторизованных лиц. Закон США о государственных документах (Federal Records Act) во многих случаях требует наличия такой политики. SMS-сообщения обычно сохраняются только на устройствах отправителя и получателя, поэтому политика сохранения данных должна обратить на подобные сообщения особое внимание. Если телефоны как отправителя, так и получателя будут уничтожены, и резервные копии текстовых сообщений никогда так и не будут сделаны, то данные могут исчезнуть навсегда. Однако, похоже, произошло не это.

Резервное копирование данных перед миграцией было оставлено на усмотрение отдельных агентов Секретной службы (см. https://thehill.com/policy/national-security/3566592-jan-6-panel-says-secret-service-failed-to-deliver-erased-texts/ ). Это фактически означает отсутствие политики сохранения данных. Даже если бы каждый добросовестно предпринял усилия по созданию резервных копий, сохраненные сообщения оказались бы в самых разных местах; некоторые из них хранились бы на небезопасных серверах, а некоторые были бы безвозвратно утрачены.

Статья в газете «Вашингтон пост» (см. https://www.washingtonpost.com/technology/2022/07/29/jan6-texts-data-security/ ) комментирует: «Профессионалы в области кибербезопасности сказали, что политика была «крайне необычной», «смехотворной», «провалом управления», и что «ни одна другая организация никогда бы так не поступила»». В статье предполагается, что некоторые агенты могли скорее использовать систему iMessage на смартфонах iPhone, а не SMS-сообщения. Статья включает следующий чрезвычайно интересный фрагмент:

«В письме специальному комитету Палаты представителей Конгресса США по расследованию беспорядков официальные лица Секретной службы заявили (см. https://www.washingtonpost.com/nation/2022/07/19/secret-service-texts/?itid=lk_inline_manual_27 ), что ещё осенью 2020 года они начали планировать перевод всех устройств на Microsoft Intune - сервис «управления мобильными устройствами», известный как MDM, который коммерческие компании и другие организации могут использовать для централизованного управления своими компьютерами и телефонами.»

Звучит это так, как будто речь идет не о том, чтобы бросить старые телефоны в огонь, а просто об установке нового программного обеспечения. Установка программного обеспечения по идее не должна по умолчанию стирать существующие данные. И, конечно же, она не должна удалять данные настолько тщательно, чтобы криминалистическое программное обеспечение было не в состоянии найти хотя бы часть потерянных данных.

Напрашивается сравнение данной ситуации с несанкционированным использованием Хиллари Клинтон (Hillary Clinton) частного почтового сервера во время её работы в качестве госсекретаря США в 2016 году. Некоторые люди тогда слишком остро отреагировали на это, даже призывая к её казни, - однако ситуации похожи в том, что в обоих случаях имел место провал с обеспечением надлежащего обращения с чувствительными государственными документами. Нынешняя ситуация с куда большей вероятностью связана с реальной и, возможно, преднамеренной утратой ключевой по важности информации.

Есть поговорка: «Никогда не считай злым умыслом то, что можно объяснить глупостью». Является ли попадание в «чёрную дыру» сообщение Секретной службы результатом заметания следов или следствием грубой небрежности? Надеюсь, скоро мы это узнаем.

Гэри МакГэф (Gary McGath)

Источник: блог «Mad File Format Science»
https://madfileformatscience.garymcgath.com/2022/07/30/the-secret-service-text-message-situation/

При оказании государственных услуг электронный документ в машиночитаемом формате может быть преобразован в вид, облегчающий его восприятие человеком

Постановлением Правительства РФ от 15 августа 2022 года №1415 внесены изменения в следующие акты Правительства Российской Федерации:

  • В Требования к предоставлению в электронной форме государственных и муниципальных услуг, утверждённые постановлением Правительства Российской Федерации от 26 марта 2016 г. №236;

  • В Положение о федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)», утверждённое постановлением Правительства Российской Федерации от 24 октября 2011 года №861.

Теперь заявителю в качестве результата предоставления услуги обеспечивается по его выбору возможность (п.19 (г) Требований) «получения с использованием единого портала электронного документа в машиночитаемом формате, подписанного усиленной квалифицированной электронной подписью со стороны органа (организации) (далее - электронный документ в машиночитаемом формате)».

Требования также дополнены пунктом 19(3), в котором установлены возможности преобразования машиночитаемого документа «в вид, облегчающий его восприятие человеком».

Электронный документ в машиночитаемом формате может быть преобразован в вид, облегчающий его восприятие человеком, с использованием электронных вычислительных машин, единым порталом в соответствии с правилами, определенными органом (организацией), осуществившим формирование результата предоставления услуги в форме электронного документа, посредством автоматического формирования его визуального образа в машиночитаемом формате (визуальный образ документа).

Правила формирования единым порталом визуальных образов документов, являющихся результатами услуг, подлежат обязательному согласованию с федеральным органом исполнительной власти, осуществляющим функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий.

Визуальный образ документа не может быть использован в целях совершения юридически значимых действий без электронного документа в машиночитаемом формате, подписанного усиленной квалифицированной электронной подписью органа (организации).

Визуальный образ документа должен содержать визуализацию УКЭП органа (организации), которой ранее был подписан электронный документ в машиночитаемом формате, содержащую в том числе информацию о том, что такой документ подписан электронной подписью, а также о номере, владельце и периоде действия квалифицированного сертификата ключа проверки электронной подписи.

Визуальный образ документа, сформированный единым порталом в автоматическом, подписывается УКЭП ФОИВ, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, с визуализацией данной электронной подписи, содержащей информацию о том, что такой документ подписан электронной подписью, а также о номере, владельце и периоде действия квалифицированного сертификата ключа проверки электронной подписи.

«Положение о федеральной государственной информационной системе «Единый портал государственных и муниципальных услуг (функций)», утв. постановлением Правительства Российской Федерации от 24 октября 2011 года №861, дополнена нормой о том, что единый портал обеспечивает «возможность преобразования электронного документа в машиночитаемом формате, подписанного усиленной квалифицированной электронной подписью органа власти или организации и являющегося результатом предоставления государственной или муниципальной услуги, в визуальный образ документа, облегчающий восприятие такого электронного документа человеком, с использованием электронных вычислительных машин.».

Мой комментарий: Проблемы с машиночитаемыми документами вполне понятны – не каждый человек сможет с таким документом разобраться. Средства визуализации, конечно, нужны. Но у меня сразу возникает вопрос: как вообще можно называть «документом» нечто такое, что «не может быть использовано в целях совершения юридически значимых действий»?! Кто будет нести ответственность за последствия, если содержание человекочитаемого документа будет отличаться от имеющего юридическую силу машиночитаемого? Сколько интересных схем обмана будет придумано мошенниками, использующими веру простого человека в то, что выданная ему на руки визуализация – «тоже документ»?

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=424512

ИСО и МЭК: Опубликован технический отчёт ISO/IEC TR 24368:2022 «Искусственный интеллект – Обзор этических и социальных проблемных вопросов»

25 августа 2022 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового технического отчёта ISO/IEC TR 24368:2022 «Информационные технологии – Искусственный интеллект – Обзор этических и социальных проблемных вопросов» (Information technology - Artificial intelligence - Overview of ethical and societal concerns) объёмом 56 страниц, см. https://www.iso.org/standard/78507.html и https://www.iso.org/obp/ui/#!iso:std:78507:en

Документ подготовлен подкомитетом SC42 «Искусственный интеллект» (Artificial intelligence) Объединенного технического комитета ИСО/МЭК JTC1.

Во вводной части документа, в частности, отмечается:

«Искусственный интеллект (ИИ) способен революционизировать мир и принести большую пользу обществу, организациям и отдельным людям. Однако ИИ может также создавать значительные риски и неопределенности. Специалистам, исследователям, регулирующим органам и отдельным лицам следует знать об этических и социальных проблемах, связанных с системами и приложениями ИИ.

Связанные с ИИ потенциальные этические проблемы весьма разнообразны. Примеры связанных с ИИ этических и социальных проблем включают нарушение неприкосновенности частной жизни и безопасности, дискриминационные результаты и воздействие на автономию человека. В число источников этических и социальных проблем входят (не ограничиваясь ими):

  • несанкционированные средства или меры сбора, обработки или раскрытия персональных данных;

  • приобретение и использование необъективных, неточных или иным образом нерепрезентативных обучающих данных;

  • непрозрачность принятия решений при использовании машинного обучения (machine learning, ML) или их недостаточная документированность, также известная как отсутствие объяснимости;

  • отсутствие прослеживаемости;

  • недостаточное понимание социальных последствий внедрения технологий после их развёртывания.

ИИ может работать несправедливо и необъективно, особенно если он обучен на предвзятых или неподходящих данных, или же если модель или алгоритм не соответствуют решаемой задаче. Заложенные в алгоритмы ценности, а также выбор проблем, для решения которых используются системы и приложения ИИ, могут преднамеренно или непреднамеренно формироваться под влиянием собственных взглядов и когнитивных предубеждений разработчиков и заинтересованных сторон.

Дальнейшее развитие искусственного интеллекта может привести к расширению сферы использования существующих систем и приложений, к распространению их на новые области и к повышению уровня автоматизации в этих системах. Решение этических и социальных проблем до сих пор не поспевало за быстрой эволюцией ИИ. Соответственно, те, кто проектирует, разрабатывает, развёртывает ИИ, а также пользователи ИИ могут получить отдачу из гибкого применения этических концепций, принципов, инструментов и методов ИИ в плане снижения рисков, оценки этических факторов, передовых методов тестирования, оценки воздействия и анализа этичности. Данная задача может решаться с помощью инклюзивного, междисциплинарного, многопланового и межсекторального подхода, с вовлечением всех заинтересованных в ИИ сторон и с помощью международных стандартов, в которых рассматриваются вопросы, возникающие в связи с этическими и социальными проблемами ИИ, включая результаты деятельности технического подкомитета SC42 Объединенного технического комитета ИСО/МЭК JTC1.

… В настоящем документе представлен высокоуровневый обзор этических и социальных проблем, связанных с ИИ.

Кроме того, данный документ:

  • содержит информацию о принципах, процессах и методах в этой области;

  • предназначен для технологов, регуляторов, заинтересованных групп и для общества в целом;

  • не предназначен для продвижения каких-либо конкретных ценностей (систем ценностей).

Данный документ включает обзор международных стандартов, в которых рассматриваются вопросы, возникающих в связи с этическими и социальными проблемами ИИ.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Практика в области прав человека
6. Темы и принципы
7. Примеры практик создания и использования этичного и социально приемлемого ИИ
8. Соображения по созданию и использованию этичного и социально приемлемого ИИ
Приложение A: Документы по принципам искусственного интеллекта
Приложение B: Примеры использования
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/78507.html
https://www.iso.org/obp/ui/#!iso:std:78507:en  

вторник, 30 августа 2022 г.

Опубликована новая китайская статья об использовании технологий блокчейна в архивном деле


17 июля 2022 года в Китайской сети социальных наук (中国社会科学网, China Social Science Network, CSSN) была опубликована на китайском языке статья Хэ Сиюаня (何思源, He Siyuan), работающего на факультете управления информационными ресурсами Народного университета Китая в Пекине (中国人民大学), под названием «Совместное видение блокчейна и архивов: Создание и укрепление доверия» (区块链与档案界的共同愿景:信任构建, см. http://ex.cssn.cn/zx/bwyc/202207/t20220717_5417996.shtml ). 19 июля 2022 года был выложен перевод (возможно, автоматический) статьи на английский язык под названием «The common vision of blockchain and Archives: Trust Building», см. https://netfreeman.com/2022/200/202207191841563337.html .

Мой комментарий: Следует иметь в виду, что в китайской литературе термин «архивные документы» часто означает любые документы, а не только те, что подлежат длительному и постоянному хранению.


В аннотации отмечается следующее:

«В цифровую эпоху и в киберпространстве существующая система доверия к архивным документам подверглась небывалому воздействию и столкнулась  с беспрецедентными проблемами.

Появление технологий блокчейна открывает возможности для создания более надёжного механизма доверия, основанного на цифровых технологиях. В данной статье создание и укрепление доверия рассматривается как совместно видение архивного сообщества и сообщества специалистов в сфере технологий блокчейна и распределённых реестров.

В статье дана сводка основных атрибутов доверенных цифровых архивных документов, таких как аутентичность, надёжность, целостность, полнота и доступность, а также излагается логика обеспечения доверия и объясняется взаимная дополняемость методов блокчейна и методов архивного дела и управления документами - опираясь на базовую концепцию 5W1H (метод повышения эффективности управления проектами, получивший название от английского What, When, Why, Who, Where and How – «Кто? Что? Когда? Где? Как? Почему?», также известна как метод Киплинга – Н.Х.), с акцентом на ключевые вопросы применения блокчейна для обеспечении достоверности архивных документов, таких, как охват сети, варианты применения, синхронизации сети, участвующие узлы, выбор технологий и т.д. Также предлагаются стратегии дальнейшего развития.»

Ключевые слова: блокчейн, электронные (цифровые) архивы и архивные документы, достоверность, аутентичность, доверие.

Основные свойства заслуживающих доверия электронных архивных документов, по мнению автора, следующие:

Таблица 1. Основные свойства заслуживающих доверия электронных архивных документов

Свойство

Описание

Аутентичность

Документ соответствует цели, для которой он был создан; формируется и направляется в соответствии с тем, кто является его создателем и отправителем, а форма документа соответствует его предполагаемому создателю и отправителю. Документ завершён или отправлен в установленные сроки.

Надёжность

Содержание документа достоверно и полностью и точно отражает операции, действия или факты, которые он удостоверяет; и на него можно положиться в ходе деловой деятельности.

Целостность

Файл не изменён.

Полнота

Документация полна.

Доступность

Документы могут быть обнаружены, извлечены, представлены и интерпретированы таким образом, который заинтересованные стороны сочтут разумным, - и за разумное время.


Кстати говоря, любопытно, что в перечень стран, уделяющих внимание применению блокчейна в интересах архивной отрасли, вошли:  Китай, Корея, Индия,  Иран, Кыргызстан, Ботсвана, Зимбабве - и Республика Татарстан! Мои поздравления, дорогие коллеги из Татарстана, о вас в мире знают!

Статья, на мой взгляд, достаточно неплохая, и её вполне можно прочитать с помощью любого из популярных автопереводчиков (см., например https://translate.google.com/?sl=auto&tl=ru&op=translate или https://translate.yandex.ru/?lang=zh-ru ). Интерес представляет и список литературы (12 позиций).

Источники: сайт Китайской сети социальных наук
http://ex.cssn.cn/zx/bwyc/202207/t20220717_5417996.shtml  
https://netfreeman.com/2022/200/202207191841563337.html

США: Национальный центр компетенции по вопросам кибербезопасности NCCoE начал публичное обсуждение предварительного описания проекта по смягчению предвзятости искусственного интеллекта

Данная новость была распространена в новостной рассылке NIST 20 августа 2022 года.

Американский Национальный центр компетенции по вопросам кибербезопасности (National Cybersecurity Center of Excellence, NCCoE) при Национальном институте стандартов и технологий (NIST) опубликовал для публичного обсуждения предварительное описание нового проекта «Смягчение предвзятости искусственного интеллекта/машинного обучения в конкретном контексте: Формирование практики тестирования, оценки, проверки и валидации ИИ-систем» (Mitigating AI/ML Bias in Context: Establishing Practices for Testing, Evaluation, Verification, and Validation of AI Systems). Публикация этого описания проекта запускает процесс сбора отзывов общественности в отношении требований проекта, сферы охвата, а также аппаратных и программных компонентов для использования в лабораторной среде.

Документ объёмом 10 страниц доступен по адресу https://www.nccoe.nist.gov/sites/default/files/2022-08/ai-bias-mitigation-project-description-draft.pdf .

Мы хотим, чтобы Ваши отзывы об этом документе помогли улучшить проект. Период публичного обсуждения уже начался, он завершится 16 сентября 2022 года.

Для того, чтобы решить сложную проблему смягчения предвзятости / необъективности ИИ, в этом проекте будет применен комплексный социотехнический подход к тестированию, оценке, проверке и валидации (testing, evaluation, verification, and validation, TEVV) ИИ-систем в конкретном контексте. Этот подход свяжет технологию с общественными ценностями, с тем, чтобы разработать руководство по рекомендуемой практике внедрения автоматизированного принятия решений, поддерживаемого системами искусственного интеллекта/машинного обучения. Небольшая, но инновационная часть этого проекта будет заключаться в изучении взаимосвязи предвзятости и кибербезопасности и того, как они взаимодействуют друг с другом.

На начальном этапе проекта основное внимание будет уделено проверке концепции в рамках пилотного внедрения для принятия решений по андеррайтингу кредитов в секторе финансовых услуг. В будущем мы намерены рассмотреть другие варианты использования, такие как прием на работу и на учёбу. Результатом этого проекта станет бесплатное практическое руководство, которое будет опубликовано в серии специальных публикаций NIST SP 1800.

Предстоящий вебинар

Ранее мы объявили о проведении 31 августа 2022 года семинара по вопросам смягчения предвзятости ИИ в конкретном контексте (Mitigating AI Bias in Context on Wednesday), на который можно зарегистрироваться по адресу https://www.nccoe.nist.gov/get-involved/attend-events/workshop-mitigating-ai-bias-context/overview ). Теперь решено, что семинар будет чисто виртуальным через приложение WebEx. Он даст возможность обсудить данную тему и поработать над завершением описания этого проекта. Зарегистрироваться на семинар можно по указной выше ссылке. Мы надеемся увидеть Вас там!

Мы хотим узнать Ваше мнение!

Период общественного обсуждения данного проекта продлится до 16 сентября 2022 года. Текст описания проекта и инструкции по представлению отзывов см. на странице https://www.nccoe.nist.gov/projects/mitigating-aiml-bias-context .

Мы ценим и приветствуем Ваш вклад и с нетерпением ждём Ваших комментариев.

Мой комментарий: Во вводной части документа, в частности, отмечается:

«Предвзятость / необъективность в ИИ-системах характерна для многих областей применения, и может приводить к вредным последствиям вне зависимости от первоначальных намерений. Задачей этого проекта является разработка для конкретной области применения руководства по тестированию, оценке, проверке и валидации (TEVV) с целью выявления предвзятости; рекомендаций по устранению предвзятости; и рекомендуемой практики для людей, вовлечённых в автоматизированные процессы принятия решений в конкретном контексте (андеррайтинг кредитов для потребителей и малого бизнеса). Эти практики помогут добиться справедливых и положительных результатов, которые будут полезны пользователям сервисов искусственного интеллекта/машинного обучения, развёртывающим их организациям и обществу в целом.»

Содержание документа следующее:

1. Резюме для руководства
2. Сценарии
•    Сценарий 1. Предварительный анализ набора данных для выявления и устранения предвзятости / необъективности;
•    Сценарий 2. Анализ обучения модели по ходу процесса для выявления и устранения статистической необъективности;
•    Сценарий 3. Анализ логического вывода модели после процесса для выявления и устранения статистической необъективности.
•    Сценарий 4. Процесс принятия решений с участием человека (Human-in-the-loop, HITL) для выявления и смягчения когнитивных предвзятости / необъективности.
3. Высокоуровневая архитектура
4. Соответствующие стандарты и руководства
Приложение А: Литература
Приложение B: Акронимы и сокращения

Источник: новостная рассылка NIST / сайт NCCoE
https://www.nccoe.nist.gov/sites/default/files/2022-08/ai-bias-mitigation-project-description-draft.pdf
https://www.nccoe.nist.gov/projects/mitigating-aiml-bias-context

понедельник, 29 августа 2022 г.

Карл Мелроуз и его коллеги Майкл Аптон и Джуди Верно начали выпуск подкастов по теме управления информацией

Данный пост австралийского специалиста в области управления документами и информацией Карла Мелроуза (Karl Melrose – на фото) был опубликован 5 августа 2022 года на его блоге Meta-IRM (Мета-управление информацией и документами)

Одна из причин существования моего блога заключается в том, что мне нужно было писать о том, что я наблюдаю каждый день, чтобы понять смысл происходящего.

В течение последних 6 месяцев (или около того) я всё чаще разговаривал с парой моих друзей, Майклом и Джуди, о тех же вещах, о которых я пишу.

Мы подумали, что и другие люди, вероятно, также пытаются решать такие же проблемы, и что было бы полезно, если бы мы записали наши дискуссии – и вот результат.

Первый подкаст (длительностью 25 мин., на английском языке – Н.Х.) посвящён информационной архитектуре, см. https://www.youtube.com/channel/UC9wFnpNy7HZnPMFcylDKi7Q


Эпизод 1. Как сочетаются управление информацией и информационная архитектура. Выпуск первый из серии подкастов «Информационная революция», который ведут Карл Мелроуз (Karl Melrose, компания Leadership Through Data – семейная консультационная и обучающая компания «Лидерство посредством данных»), Джуди Верно (Judi Vernau, консультационная фирма Metataxis) и Майкл Аптон (Michael Upton, также из Metataxis).

Мы назвали нашу серию подкастов «Информационная революция», потому что в настоящее время в управлении документами и информацией происходит столь много и столь быстрых перемен, что, с нашей точки зрения, происходящее уже выходит за рамки эволюции.

В будущем мы хотели бы приглашать гостей для обсуждения конкретных вопросов. Если Вы хотите принять в этом участие, мы будем рады видеть Вас среди участников наших дискуссий - просто отправьте мне электронное письмо на адрес karl@meta-irm.com .

Мы только что выложили наш первый подкаст на сайте YouTube, а в ближайшие несколько дней мы разместим его в специализированном сервисе публикации подкастов, - так что следите за новостями.

Карл Мелроуз (Karl Melrose)

Источник: блог Meta-IRM / сайт YouTube
https://metairm.substack.com/p/michael-judi-and-i-started-an-information
https://www.youtube.com/channel/UC9wFnpNy7HZnPMFcylDKi7Q

Использование машиночитаемых доверенностей планируют сдвинуть на 1 сентября 2023 года

25 августа 2022 года на совещании межведомственной рабочей группы по развитию электронного документооборота в хозяйственной деятельности принято несколько важных решений.

Выступая на заседании, заместитель председателя Правительства Дмитрий Чернышенко отметил, что «развитие электронного документооборота в России находится на высоком уровне. Сильно вырос спрос на него со стороны бизнеса – на 15–20%. При этом электронный документооборот не ограничивается пределами России – это приоритетный вектор сотрудничества с нашими партнёрами. Будем масштабировать успешный опыт эксперимента с Республикой Беларусь и на другие страны. Наша основная задача – удовлетворить растущий спрос на системы ЭДО и впоследствии поддерживать их эффективное взаимодействие».

Как сообщил Дмитрий Чернышенко, в интересах бизнеса правительство решило продлить переходный период по использованию квалифицированной электронной подписи без использования машиночитаемых доверенностей (далее МЧД) до 1 сентября 2023 года. При этом он проинформировал, что с начала 2022 года на портале госуслуг их было выпущено уже 100 тысяч.

Как заявил заместитель министра по налогам и сборам Республики Беларусь Владимир Муквич, «Министерство по налогам и сборам Республики Беларусь выражает готовность обеспечить внедрение электронного документооборота при трансграничной торговле в возможно короткие сроки».

Заместитель министра транспорта России Дмитрий Баканов в свою очередь отметил, что «Ключевой предпосылкой необходимости перехода на ЭДО является большой объём бумажных документов – примерно 70 тыс. т используемой бумаги и до 5 млрд перевозочных документов в год».  

Для работы с электронными доверенностями ФНС России разработала сервис на базе распределённого реестра, что позволяет обеспечить автоматизированное информирование всех участников сети об изменениях, происходящих с доверенностями. К нему подключились уже все крупнейшие операторы электронного документооборота, банки и торговые площадки, органы государственной власти: Федеральное казначейство, ПФР, ФСС, Росалкогольрегулирование и др.

Руководитель ФНС Даниил Егоров подчеркнул значительную роль нотариата в данном процессе. «Очень важно, что в нашем эксперименте на базе распределённого реестра принимает участие нотариат. Это позволяет закрыть большой участок доверенностей, требующих нотариального заверения».

Мой комментарий: И все-таки с МЧД намудрили «по полной программе» - и здесь, как мне кажется, никакие отсрочки не помогут, поскольку имеет место попытка внедрения неоправданно переусложнённой, плохо проработанной в правовом отношении (и к тому же не имеющей аналогов в мире) технологии использования электронных подписей совместно с МЧД. При этом сами авторы этой идеи, по-моему, так до сих пор сами и не разобрались, чего, собственно, они этим хотят достигнуть.

Мой прогноз заключается в том, что технология МЧД, вполне возможно, будет внедрена нишево – например, при взаимодействии налогоплательщиков с ФНС – а про универсальное её внедрение в деловую деятельность и государственное управление забудут после пары переносов сроков и осознания того, какая объёмная, сложная и неоправданно трудоёмкая работа по повседневному управлению МЧД, - не имеющая аналогов ни в отечественной, ни в мировой исторической и современной практике работы с документами - ложится тяжким бременем буквально на все организации страны, перед которым бледнеют всякие там санкции недружественных стран!

Источник: сайт Правительства Российской Федерации
http://government.ru/news/46355/

ИСО: Начинается процесс переработки в стандарт технического отчёта ISO/TR 18128-2014 по оценке рисков в контексте управления документами

В 2014 году Международная организация по стандартизации (ИСО) опубликовала подготовленный техническим подкомитетом TC46/SC11 «Управление документами» технический отчёт ISO/TR 18128:2014 «Информация и документация – Оценка рисков для документных процессов и систем» (Information and documentation - Risk assessment for records processes and systems) объёмом 44 страницы, см. https://www.iso.org/standard/61521.html и https://www.iso.org/obp/ui/#!iso:std:61521:en , а также пост на блоге http://rusrim.blogspot.com/2014/03/iso-tr-18128-2014.html .

Этот документ был адаптирован в России как ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем»  объёмом 42 страницы, см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=210200 .

Когда спустя пять лет пришло время для регулярного пересмотра технического отчёта, было принято решение переработать документ в стандарт, поскольку он в любом случае содержит требования и рекомендации и, согласно обновлённым правилам ИСО, не может поэтому считаться техническим отчётом. Окончательное решение об этом было принято на пленарном заседании подкомитета TC46/SC11 в ноябре 2021 года.

В начале июля было открыто голосование по открытию нового проекта ISO/NP 18617 «Информация и документация – Риски для документов – Оценка риска в контексте управления документами» (Information and documentation - Records risks - Risk assessment for records management). Итоги голосования станут известны в начале октября 2022 года. В случае положительного результата, работать над стандартом будет существующая рабочая группа WG19 «Оценка рисков для документных процессов и систем» (Risk assessment for records processes and systems).

Поскольку речь идёт о сравнительно небольшой переделке уже существующего документа, на голосование сразу представлен готовый DIS-проект международного стандарта объёмом 38 страниц. Это означает, что в отсутствие серьёзных замечаний документ может быть утверждён в ускоренном режиме.

Во вводной части проекта документа, в частности, отмечается:

«Успешные организации идентифицируют все свои деловые риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам, к мерам и средствам контроля и управления и к системам (records risks - риски для документов).

Настоящий Международный стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски для документов.

Данная задача отличается от задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о создании или несоздании документов в качестве реакции на риски для основной деловой деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий Международный стандарт исходит из того, что организация создала отражающие её деловую деятельность документы с тем, чтобы удовлетворить потребности оперативной деятельности и иные нужды, и, по крайней мере, внедрила минимальный набор мер, обеспечивающих систематическое управление документами.

Последствием рисковых событий может быть утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.

… Результаты оценки рисков для документов следует включать в общую систему менеджмента риска организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.»


Процесс менеджмента риска

 «… Настоящий Международный стандарт должен помочь организациям в оценке рисков для документов, с тем, чтобы организации могли обеспечить непрерывное удовлетворение документов выявленным потребностям деловой деятельности до тех пор, пока это в этом сохраняется необходимость.

Данный Международный стандарт:

a)    Определяет методы выявления и документирования рисков, связанных с документами, документными процессами, мерами контроля и управления и системами;

b) Определяет методы анализа рисков для документов;

c) Содержит рекомендации по проведению оценки рисков для документов.

Данный Международный стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при выявлении и оценке рисков для документов.

При установлении границ ответственности организации следует учитывать сложную структуру взаимоотношений, партнёрств и договорных обязательств с цепочками поставок и поставщиками услуг аутсорсинга, что является характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объёма и содержания проекта оценки связанных с документами рисков.

В настоящем Международном стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается, поскольку соответствующие методы являются специфическими для каждой организации.

Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.»

Содержание проекта стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Основные понятия
5. Определение сферы охвата, контекста и критериев
6. Применение методов оценки риска
7. Идентификация рисков
8. Анализ рисков
9. Оценка рисков
Приложение A:
•    A.1. Введение в категоризацию методов согласно стандарту IEC 31010:2019
•    A.2. Применение категоризации методов согласно стандарту IEC 31010:2019
Приложение B:
•    B.1. Контрольный список неопределённостей
10. Библиография

Мой комментарий: Выше упомянут стандарт Международной электротехнической комиссии (МЭК) IEC 31010:2019 «Управление рисками – Методы оценки рисков» (Risk management - Risk assessment techniques) общим объёмом 268 страниц (стандарт двуязычный, содержит тексты на английском и французском языках; объём англоязычной части составляет 127 страниц), см. https://webstore.iec.ch/publication/59809 , https://www.iso.org/standard/72140.html и https://www.iso.org/obp/ui/#iso:std:iec:31010:ed-2:v1:en,fr . См. также мой пост об этом стандарте здесь: http://rusrim.blogspot.com/2019/07/iec-31010.html .

В России стандарт был адаптирован дважды (!) – как идентичный ГОСТ Р МЭК 31010-2021 «Надежность в технике. Методы оценки риска», см. https://protect.gost.ru/v.aspx?control=8&baseC=6&page=0&id=231059 и как неидентичный ГОСТ Р 58771-2019 «Менеджмент риска. Технологии оценки риска», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=226788 и мой пост http://rusrim.blogspot.com/2020/03/58771-2019.html ; кроме того, более ранняя редакция стандарта ISO/IEC 31010:2009 была адаптирована как ГОСТ Р ИСО/МЭК 31010-2011 «Менеджмент риска. Методы оценки риска», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=171417 .

Источник: сайт ИСО
https://isotc.iso.org/livelink/eb3/part/cib/ballotAction.do?method=doView&id=470756

воскресенье, 28 августа 2022 г.

Работа с документами, делать которую нам никогда не придется уговаривать людей

Данный пост австралийского специалиста в области управления документами и информацией Карла Мелроуза (Karl Melrose – на фото) был опубликован 2 августа 2022 года на его блоге Meta-IRM (Мета-управление информацией и документами)

Несмотря на все проблемы с управлением документами, у нас на самом деле нет проблем с созданием документов сотрудниками. Они делают это автоматически сотни раз на дню. Почему?

Думаю, для этого у них есть три основные причины:

  • Чтобы ничего не забыть,

  • Чтобы работу можно было передать от себя кому-то другому,

  • Чтобы можно было уведомить коллег о том, что нечто важное изменилось.

Всё это имеет непосредственную ценность для людей, от которых мы ожидаем выполнения работы.

Как же нам «вписаться» в это русло?

Карл Мелроуз (Karl Melrose)

Источник: блог Meta-IRM
https://metairm.substack.com/p/the-recordkeeping-that-we-never-have

МЭК: Опубликовано руководство IEC SRD 63233-1:2022 «Инвентаризация и сопоставление стандартов «умного города» - Часть 1: Методология»

В июне 2022 года сайт Международной электротехнической комиссии (МЭК) сообщил о публикации руководства по применению стандартов МЭК (Systems Reference Deliverable) IEC SRD 63233-1:2022 «Инвентаризация и сопоставление стандартов «умного города» - Часть 1: Методология» (Smart city standards inventory and mapping - Part 1: Methodology) объёмом 24 страницы, см. https://webstore.iec.ch/publication/63555 .

Во вводной части документа, в частности, отмечается:

«Проект разработки руководства по инвентаризации и сопоставлению стандартов умных городов IEC SRD 63233-1:2022 был инициирован с целью формирования систематического подхода к выявлению и сопоставлению стандартов умных городов с эталонными архитектурами, моделями и концепциями умных городов, а также для обеспечения базовой поддержки совместной работы разработчиков и пользователей стандартов.

Карты стандартов являются практической основой, помогающей организациям-разработчикам стандартов и пользователям непосредственно и мгновенно выявлять стандарты, необходимые для любых аспектов умных городов (услуги для населения, городская инфраструктура, стратегическое управление и т.д.). Карты стандартов также помогают выявить пробелы в стандартизации в экосистеме умных городов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Системный подход к созданию реестра и к сопоставлению стандартов
5. Создание реестра стандартов умного города
6. Сопоставление стандартов умного города
Приложение A (справочное): Ключевые слова для поиска и комбинации запросов для реестра стандартов умного города
Приложение B (справочное): Теги стандартов
Библиография

Источник: сайт МЭК
https://webstore.iec.ch/publication/63555

суббота, 27 августа 2022 г.

Что категории Вашей классификационной схемы говорят о нацеленности Вашей программы управления документами

Данный пост австралийского специалиста в области управления документами и информацией Карла Мелроуза (Karl Melrose – на фото) был опубликован 01 августа 2022 года на его блоге Meta-IRM (Мета-управление информацией и документами)

Классификация — это то, что мы делаем каждый день, даже не задумываясь об этом.

  • Еда.

  • Опасность.

  • Друг.

Всё это мы делаем не задумываясь, - и то, как мы классифицируем вещи, определяет то, как мы действуем. Однако классификация не работает без категорий (рубрик):

  • Еда - это категория вещей, которые мы можем съесть.

  • Опасность - это категория вещей, от которых нам следует держаться подальше.

  • Друг - это категория людей, которых мы знаем, которые нам нравятся и которым мы доверяем.

У управления документами есть свой собственный подход к категориям.

У нас есть категории, связанные с хранением - и когда мы их используем, это говорит о том, что наша программа управления документами нацелена на обеспечение сохранности в течение установленных сроков.

Когда мы используем деловые функции, виды деятельности и деловые операции/транзакции (function – activity - transaction, FAT), это говорит о том, что наша программа управления документами ориентирована на нашу организацию.

У управления документами есть огромная проблема с вовлечением и действиями конечных пользователей.

Многие ли люди, когда входят в документную систему, видят там нечто такое, что говорит им: «Это для вас»?

Карл Мелроуз (Karl Melrose)

Источник: блог Meta-IRM
https://metairm.substack.com/p/what-do-your-categories-say-your