Как Вы, наверное, знаете, если следите за моими постами, рабочая группа WG1 европейского технического комитета по стандартизации CEN TC 468 в настоящее время работает над техническими спецификациями (TS) «Функциональные требования к сервисам электронного архивирования» (Functional requirements for the electronic archiving services).
Как и в случае прочих доверительных услуг (services de confiance), поставщики новой европейской доверительной услуги (сервиса) электронного архивирования должны будут реализовать требования, изложенные в (обязательном для применения – Н.Х.) европейском стандарте ETSI EN 319 401.
Мой комментарий: Речь идёт о выпущенном Европейским институтом телекоммуникационных стандартов (ETSI) стандарте ETSI EN 319 401 «Электронные подписи и инфраструктуры [доверия]: Общие требования к политике поставщиков доверенных услуг» (Electronic Signatures and [Trust] Infrastructures (ESI); General Policy Requirements for Trust Service Providers). Действующей является версия 2.3.1 (май 2021 года), доступная по адресу https://www.etsi.org/deliver/etsi_en/319400_319499/319401/02.03.01_60/en_319401v020301p.pdf , а также ожидает утверждения новая версия 3.1.0 (март 2024 года), доступная здесь: https://www.etsi.org/deliver/etsi_en/319400_319499/319401/03.01.00_20/en_319401v030100a.pdf .
Данный обязательный стандарт определяет требования к практике функционирования и управления доверительными услугами. Существует множество требований, относящихся к следующим аспектам:
- оценка риска,
- документирование политик и практик,
- условия предоставления услуги,
- политика информационной безопасности,
- описание внутренней организации поставщика доверительных услуг (Trust Service Provider, TSP),
- используемые кадровые ресурсы,
- управление активами,
- управление доступом,
- криптографические меры и средства,
- физическая и экологическая безопасность,
- безопасность операций,
- сетевая безопасность,
- менеджмент инцидентов,
- сбор доказательств,
- менеджмент непрерывности деловой деятельности,
- прекращение деятельности TSP-поставщика и план прекращения деловой деятельности,
- обеспечение исполнения законодательно-нормативных требований.
Мой комментарий: Данный перечень отражает содержание разделов 6 и 7 ETSI EN 319 401 действующей версии 2.3.1. В новой версии 3.1.0 есть два отличия:
- название пункта 7.9 изменено с «Менеджмент инцидентов» на «Уязвимости и менеджмент инцидентов»;
- добавлен пункт 7.14 «Цепочки поставок».
Как можно видеть, этот стандарт не охватывает функциональные аспекты доверительного сервиса электронного архивирования, которые будут отражены в технических спецификациях, разрабатываемых в настоящее время рабочей группой CEN/TC 468/WG1.
Если Вы являетесь поставщиком услуги электронного архивирования, имеющей французскую национальную сертификацию «марка NF461» (о ней см. подборку постов на моём блоге: http://rusrim.blogspot.com/search/label/NF%20461 – Н.Х.) или стремящейся эту сертификацию получить – то, если Вы хотели бы оказывать новую доверительную услугу электронного архивирования, Вам стоит сопоставить технические и инфраструктурные требования «марки NF 461» с требованиями стандарта ETSI EN319 401.
Примечание: Текст стандарта сейчас обновляется, чтобы учесть новые требования европейской Директивы NIS2.
Мой комментарий: Здесь упоминается «Директива №2022/2555 Европейского парламента и Совета от 14 декабря 2022 года о мерах по обеспечению высокого общего уровня кибербезопасности во всем Евросоюзе, вносящая поправки в Регламент №910/2014 и Директиву №2018/1972, и отменяющая Директиву № 2016/1148 (Директива NIS2)» (Directive (EU) 2022/2555 of the European Parliament and of the Council of 14 December 2022 on measures for a high common level of cybersecurity across the Union, amending Regulation (EU) No 910/2014 and Directive (EU) 2018/1972, and repealing Directive (EU) 2016/1148 (NIS 2 Directive) (Text with EEA relevance)), см. https://eur-lex.europa.eu/eli/dir/2022/2555/oj
До неё действовала Директива 2016/1148 от 6 июля 2016 года «О мерах по обеспечению единого высокого уровня безопасности сетей и информационных систем в Евросоюзе» (Directive (EU) 2016/1148 of the European Parliament and of the Council of 6 July 2016 concerning measures for a high common level of security of network and information systems across the Union), известная как «Директива NIS», см. http://eur-lex.europa.eu/legal-content/EN/TXT/PDF/?uri=CELEX:32016L1148&from=EN
Нужна помощь? Свяжитесь со мной.
Кристиан Дюбур (Christian Dubourg)
Источник: сайт LinkedIn
https://www.linkedin.com/posts/christian-d-0a9a38a_eidas2-archivage-activity-7188833496394588160-jSHd
Комментариев нет:
Отправить комментарий