ИСО и МЭК: Опубликована вторая редакция стандарта ISO/IEC 25040:2024 «Требования и оценка качества систем и программного обеспечения (SQuaRE) – Концепция оценки качества»

В сентябре 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, второй редакции стандарта ISO/IEC 25040:2024 «Системная и программная инженерия - Требования и оценка качества систем и программного обеспечения (SQuaRE) – Концепция оценки качества» (Systems and software engineering - Systems and software Quality Requirements and Evaluation (SQuaRE) - Quality evaluation framework) объёмом 36 страниц, см. https://www.iso.org/standard/83467.html и https://www.iso.org/obp/ui/en/#!iso:std:83467:en . Данный документ заменил ранее действовавшую редакцию ISO/IEC 25040:2011.

Стандарт подготовлен подкомитетом SC7 «Системное проектирование и разработка программного обеспечения» Объединённого технического комитета ИСО/МЭК JTC1.

В России стандарт был адаптирован как ГОСТ Р ИСО/МЭК 25040-2014 «Информационные технологии. Системная и программная инженерия. Требования и оценка качества систем и программного обеспечения (SQuaRE). Процесс оценки», см. https://protect.gost.ru/document.aspx?control=7&id=187329

Во вводной части документа отмечается:

«В настоящем документе описана концепция оценки качества продуктов ИКТ (информационно-коммуникационных технологий) (включая программные продукты), данных и ИТ-услуг, которая включает в себя соответствующие понятия, требования и рекомендации по внедрению и совершенствованию её процессов.

Данный документ может использоваться всеми, кому необходимо проводить оценку качества целевых объектов, включая организации-разработчики (интеграторы, разработчики и группа обеспечения качества), приобретателей, поставщиков ИТ-услуг и независимых оценщиков.

В данном документе не рассматриваются конкретные методы тестирования для оценки качества и не даются рекомендации по использованию результатов оценки.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Понятия и концепции оценки качества
5. Эталонная модель процесса оценки качества
Приложение A: Источники измерений
Приложение B: Примеры четырех типов оценки качества
Приложение C: Реализация процесса оценки качества на протяжении процессов жизненного цикла системы / программного обеспечения
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/83467.html
https://www.iso.org/obp/ui/en/#!iso:std:83467:en

Арбитражная практика: Организация оштрафована за нарушение законодательства о защите информации и транспортной безопасности

Арбитражный суд Хабаровского края в декабре 2022 года вынес решение по делу №А73-18014/2022, в котором рассматривался вопрос о привлечении общества АО «Ванинский морской торговый порт» (АО «Порт Ванино») к ответственности за нарушение законодательства о защите информации и транспортной безопасности.

Суть спора

В августе 2022 года Ванинской транспортной прокуратурой совместно с сотрудниками УФСБ России по Хабаровскому краю на основании решения и.о. Ванинского транспортного прокурора была проведена проверка исполнения обществом АО «Ванинский морской торговый порт» законодательства о защите информации и транспортной безопасности.

В ходе проверки был выявлен факт нарушения требований о защите информации, установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами РФ.

Результаты проверки были зафиксированы в акте осмотра, при проведении проверки осуществлялась фотосъемка. Материалы проверки и административного производства были направлены в УФСБ России по Хабаровскому краю для принятия решения. Порту было назначено административное наказание по части 6 статьи 13.12 КоАП РФ в виде штрафа в размере 15 тыс. руб.

Не согласившись с этим постановлением, общество АО «Порт Ванино» обратилось в Арбитражный суд с заявлением об оспаривании его законности.

Для справки: Кодекс Российской Федерации об административных правонарушениях

Статья 13.12. Нарушение правил защиты информации

6. Нарушение требований о защите информации (за исключением информации, составляющей государственную тайну), установленных федеральными законами и принятыми в соответствии с ними иными нормативными правовыми актами Российской Федерации, за исключением случаев, предусмотренных частями 1, 2 и 5 настоящей статьи, -

- влечет наложение административного штрафа

• на граждан в размере от 500 до 1 тысячи рублей;
  
  
• на должностных лиц - от 1 до 2 тысяч рублей;
  
  
• на юридических лиц – от10до 15 тысяч рублей.

Позиция Арбитражного суда Хабаровского края

Суд отметил, что в ходе проверки персональных компьютеров, расположенных в здании АО «Порт Ванино», было установлено, что на автоматизированном рабочем месте департамента корпоративной безопасности, а также начальника отдела обеспечения режима были выявлены факты нарушения правил обращения со сведениями о результатах проведенной оценки уязвимости, а также содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры, которые являются информацией ограниченного доступа.

Для справки: Постановлением Правительства РФ от 24 ноября 2015 года №1257 были утверждены «Правила обращения со сведениями о результатах проведенной оценки уязвимости объектов транспортной инфраструктуры, судов ледокольного флота, используемых для проводки по морским путям, судов, в отношении которых применяются правила торгового мореплавания и требования в области охраны судов и портовых средств, установленные международными договорами Российской Федерации, а также со сведениями, содержащимися в планах и паспортах обеспечения транспортной безопасности объектов транспортной инфраструктуры и (или) транспортных средств, которые являются информацией ограниченного доступа» (подпункт "б" пункта 2). Документ утратил силу с 1 марта 2023 года в связи с изданием Постановления Правительства РФ от 14.11.2022 №2051.

Пунктами 5, 10 данных Правил было установлено, что накопление, обработка, хранение и передача информации ограниченного доступа осуществляются на бумажных и иных материальных носителях информации или картриджах, магнитных, оптических, магнитооптических накопителях и иных технических средствах накопления, обработки, хранения и передачи данных.

Работа с носителями информации ограниченного доступа выполняется при помощи специально выделенных для этих целей средств вычислительной техники или оборудования, не подключенных к информационно-телекоммуникационным сетям и находящихся в помещениях субъекта транспортной инфраструктуры, в которые возможность доступа сторонних лиц должна быть исключена.

На одном автоматизированном рабочем месте в результате поиска были найдены документы в электронной форме

• «План обеспечения транспортной безопасности объекта транспортной инфраструктуры (изменения)» порта Посьет, субъект транспортной инфраструктуры АО «Торговый порт Посьет», объект транспортной инфраструктуры «Угольный Терминал АО «торговый порт Посьет»;
  
  
• «План обеспечения транспортной безопасности транспортного средства «Клемез» ООО «АКВИЛОН»;
  
  
• «План обеспечения транспортной безопасности объекта транспортной инфраструктуры железнодорожной станции Ванино Дальневосточной железной дороги - филиала ОАО «РЖД»;
  
  
• «План обеспечения транспортной безопасности морского терминала «Объединенный грузовой район ОАО «Ванинский морской торговый порт»;
  
  
• «Отчет об оценке уязвимости объекта транспортной инфраструктуры «Объединенный грузовой район» АО «Ванинский морской торговый порт»;
  
  
• «Схема размещения и состав оснащения Контрольно-пропускных пунктов и постов объектов транспортной инфраструктуры на границах зоны транспортной безопасности объекта транспортной инфраструктуры и (или) её частей, секторов, критических элементов объекта транспортной инфраструктуры и постов объекта транспортной инфраструктуры», которые относятся к информации ограниченного доступа.

На втором автоматизированном рабочем месте в результате поиска были найдены документы в электронном формате:

• «Отчет об оценке уязвимости объекта транспортной инфраструктуры «Объединенный грузовой район АО «Порт Ванино»;
  
  
• «План обеспечения транспортной безопасности транспортного средства «Клемез» ООО «АКВИЛОН».

Указанные автоматизированные рабочие места не являются специально выделенным для целей работы с носителями информации ограниченного доступа. Средства вычислительной техники, подключены к информационно-телекоммуникационной сети Интернет, находятся в помещении, в которое возможность доступа сторонних лиц не исключена, найденные электронные образы указанных документов представляют собой полную версию оценки уязвимости и планов обеспечения транспортной безопасности акваторий морских портов, находятся в электронных папках на компьютере, доступ к которым не ограничен, что позволило их свободно открыть в ходе проверки.

Таким образом, работа со сведениями о результатах проведенной оценки уязвимости, а также содержащимися в планах обеспечения транспортной безопасности объектов транспортной инфраструктуры осуществлялась работниками АО «Порт Ванино» в нарушение требований о защите информации, установленных Федеральными законами «Об информации, информационных технологиях и о защите информации», «О транспортной безопасности» и принятыми в соответствии с ними Правилами обращения с информацией ограниченного доступа в сфере транспортной безопасности.

Акционерное общество «Порт Ванино», как субъект транспортной инфраструктуры, не приняло всех зависящих мер по защите информации ограниченного доступа.

Судом было установлено, что общество АО «Порт Ванино» ранее уже привлекалось к административной ответственности по ч. 2 ст. 13.13 КоАП РФ постановлением СЭБ УФСБ России по Хабаровскому краю в декабре 2021 года, что подтверждается решением Арбитражного суда от 17.06.2022г. по делу №А73-205/2022.

Арбитражный суд отказал в удовлетворении заявленных требований АО «Ванинский морской торговый порт» о признании незаконным и отмене постановления отдела в р.п. Ванино УФСБ России по Хабаровскому краю о назначении административного наказания по части 6 статьи 13.12 КоАП РФ в виде штрафа в размере 15 тыс. руб.

Позиция Шестого арбитражного апелляционного суда

Шестой арбитражный апелляционный суд в феврале 2023 года при рассмотрении дела отметил, что ссылка порта на то, что найденные электронные образы спорных документов представляют собой не планы, а только проекты, не принимается во внимание судебной коллегией, поскольку материалами настоящего дела подтверждено, что они представляют собой полную версию оценки уязвимости и планов обеспечения транспортной безопасности акваторий морских портов, находятся в электронных папках на компьютере, доступ к которым не ограничен.

Суд подчеркнул, что в рассматриваемом случае портом не были представлены доказательства наличия объективных препятствий для соблюдения им требований действующего законодательства. Общество не проявило достаточную степень заботливости и осмотрительности, которая была необходима для соблюдения закона, что указывает на наличие вины в совершении вмененного ему административного правонарушения.

Шестой арбитражный апелляционный суд оставил без изменения решение Арбитражного суда Хабаровского края, а апелляционную жалобу - без удовлетворения.

Мой комментарий: На сегодняшний день подобное отношение к вопросам безопасности может привести к довольно-таки печальным последствиям, поэтому всем организациям, с мой точки зрения, необходимо проанализировать положение дел с защитой конфиденциальной информации и принять соответствующие меры по обеспечению её надлежащей защиты.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

ИСО: Опубликован новый стандарт ISO/PAS 8800:2024 «Дорожные транспортные средства - Безопасность и искусственный интеллект»

В декабре 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новых публично доступных спецификаций ISO/PAS 8800:2024 «Дорожные транспортные средства - Безопасность и искусственный интеллект» (Road vehicles - Safety and artificial intelligence) объёмом 184 страницы, см. https://www.iso.org/standard/83303.html и https://www.iso.org/obp/ui/en/#!iso:std:83303:en .

Документ подготовлен техническим подкомитетом TC22/SC32 «Дорожный транспорт - Электрические и электронные компоненты и общие системные аспекты» (Road vehicles - Electrical and electronic components and general system aspects).

Мой комментарий: Для широкой аудитории в данном документе может представлять интерес обширный терминологический раздел, содержащий много любопытных терминов и определений, отсутствующих в базовом терминологическом стандарте для искусственного интеллекта ISO/IEC 22989.

Во вводной части стандарта отмечается:

«Настоящий документ применяется к связанным с безопасностью системам, включающим в свой состав одну или несколько электрических и/или электронных систем, использующих технологию искусственного интеллекта (ИИ); и которые устанавливаются на серийных дорожно-транспортных средствах (за исключением мопедов).

В документе не рассматриваются уникальные электрические/электронные системы в специальных транспортных средствах, такие, например, как системы, предназначенные для водителей с ограниченными возможностями.

В данном документе рассматривается смягчение риска нежелательного, влияющего на безопасность поведения на уровне транспортного средства, возникающего вследствие недостатков получаемых результатов, систематических ошибок и случайных аппаратных ошибок в ИИ-элементах транспортного средства. Сюда входит взаимодействие с ИИ-элементами, которые не являются частью самого транспортного средства, но которые могут оказывать прямое или косвенное влияние на безопасность транспортного средства.

Пример 1: Примерами ИИ-элементов транспортного средства являются обученную ИИ-модель и ИИ-система.

Пример 2: Непосредственное влияние на безопасность может оказывать обнаружение объектов внешними по отношению к транспортному средству элементами.

Пример 3: Косвенное влияние на безопасность может быть связано с мониторингом окружения, осуществляемым внешними по отношению к транспортному средству элементами.

В данном документе не рассматривается разработка ИИ-элементов, которые не являются частью транспортного средства. Такие элементы могут соответствовать специфическим для конкретной области требованиям руководств по безопасности. Данный документ можно использовать в качестве справочного материала, если отсутствуют такие специфические для конкретной области руководства.

В данном документе описываются имеющие отношение к безопасности свойства ИИ-систем, которые можно использовать для подготовки убедительного заявления в составе гарантий безопасности, касающегося отсутствия неразумного риска.

Данный документ не содержит конкретных рекомендаций для программных инструментов, использующих методы ИИ.

В данном документе основное внимание уделяется подклассу методов ИИ, известному как «машинное обучение» (МО). Хотя документ охватывает принципы устоявшихся и хорошо изученных классов МО, он не фокусирует внимание на деталях каких-либо конкретных методов ИИ, таких, например, как глубокие нейронные сети.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Требования к соответствию
6. ИИ в контексте проектирования безопасности систем дорожного транспорта и базовые понятия
7. Менеджмент безопасности ИИ
8. Аргументы по обеспечению уверенности для ИИ-систем
9. Разработка требований безопасности в отношении ИИ
10. Выбор мер для ИИ-технологий, архитектуры и разработки
11. Соображения, связанные с данными
12. Верификация и валидация ИИ-системы
13. Анализ безопасности ИИ-систем
14. Меры в период эксплуатации
15. Уверенность в использовании концепций разработки ИИ и ы программных инструментах, используемых для разработки ИИ-моделей
Приложения
Библиография

Источники: сайт ИСО
https://www.iso.org/standard/83303.html
https://www.iso.org/obp/ui/en/#!iso:std:83303:en

Арбитражная практика: Подписанные УКЭП акты на услуги по аренде спецтехники суд признал надлежащими доказательствами

Арбитражный суд Нижегородской области в марте 2024 года рассмотрел дело №А43-4344/2024, в котором суду пришлось изучить вопрос о применении усиленной квалифицированной электронной подписи контрагентом в сделке с деловым партнером, с которым не было подписано соглашения о переходе на электронный документооборот.

Суть спора

В марте 2023 года между обществами ООО «Автобан 52» (арендодатель) и ООО «МК № 26 Центр» (арендатор) был заключен договор аренды техники, по условиям которого арендодатель предоставляет арендатору за плату по временное владение и пользование транспортные средства, строительную технику и оборудование, механизмы, а также оказывает услуги по ее управлению и техническому содержанию и эксплуатации согласно заявке арендатора.

Поскольку арендатор не оплатил аренду в полном объеме, ООО «Автобан 52» обратился с иском в суд.

Позиция Арбитражного суда Нижегородской области

Суд отметил, что объём оказанных услуг подтверждается актами оказанных услуг, справками для расчетов за выполненные услуги, составляемыми по окончании каждого отчетного периода. В рамках заключенного договора сторонами были подписаны 6 актов на услуги по аренде спецтехники, также в одностороннем порядке со стороны арендодателя подписаны ещё 2 акта.

Ответчиком в нарушение условий договора оплата в полном объеме не была произведена, задолженность составила почти 1,4 млн. руб.

В подтверждение факта предоставления техники и ее использования ответчиком в отраженном в актах объеме истцом в материалы дела представлены рапорты за период март 2023 года - июль 2023 года на оказание услуг по предоставлению спецтехники, содержащие подпись представителя арендатора. В связи с этим у ответчика возникла обязанность по уплате арендных платежей.

Суд взыскал с ООО «МК № 26 Центр» в пользу ООО «Автобан 52» долга в размере почти 1,4 млн. руб.

Позиция Первого арбитражного апелляционного суда

Первый арбитражный апелляционный суд в июле 2024 года отметил, что возражения заявителя по существу сводятся к утверждению о недоказанности факта оказания истцом услуг на спорную сумму, поскольку в дело не представлены двусторонние акты приемки выполненных работ либо направленные ответчику односторонние акты; представленные в дело акты либо подписаны электронно-цифровой подписью (что не предусмотрено договором), либо не подписаны вовсе; цена услуг, отраженных в актах не соответствует договорной.
 
Такая правовая позиция изложена в определении Верховного Суда Российской Федерации от 18.01.2018 № 305-ЭС17-13822 по делу № А40-4350/2016.

В обоснование заявленных требований истец представил в дело акты на услуги по аренде спецтехники, которые были подписаны со стороны ООО «МК № 26 Центр» путем утверждения их электронно-цифровой подписью (в очередной раз суды используют старую терминологию- Н.Х.).

Довод ответчика о том, что документы, подписанные квалифицированной электронной подписью, являются недопустимыми доказательствами, был отклонён апелляционным судом.

Если ответчик считал, что стороны не согласовали электронный документооборот, то был вправе не подписывать спорные акты путем проставления электронной подписи. Подписание обществом ООО «МК № 26 Центр» указанных документов квалифицированной электронной подписью и последующее отрицание соглашения об электронном документообороте в судах опровергает предшествующее поведение ответчика, что не может быть признано соответствующим добросовестному поведению и является нарушением принципа эстоппеля.

Принцип эстоппеля вытекает из общих начал гражданского законодательства и является частным случаем проявления принципа добросовестности, согласно которому при установлении, осуществлении и защите гражданских прав и при исполнении гражданских обязанностей участники гражданских правоотношений должны действовать добросовестно; никто не вправе извлекать преимущество из своего незаконного или недобросовестного поведения.

Также в дело представлены составленные истцом в одностороннем порядке 2 акта. При этом истец пояснил, что от подписания данных актов ответчик уклонился.

Наряду с этим в дело представлены рапорты на оказание услуг по предоставлению спецтехники по договору, в том числе за июль 2023 года, в которых проставлены подписи представителей ООО «МК № 26 Центр», подтверждающие количество отработанных техникой машино-часов в спорный период.

Сведения, отраженные в рапортах, соотносятся с содержанием актов выполненных работ за спорный период. При этом рапорты, оформленные в отношении объема услуг по подписанным ответчиком актам, заполнены теми же лицами, что рапорт за июль, от подписания актов за который ответчик уклонялся.

Первый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда Нижегородской области, а апелляционную жалобу ООО «МЕХ-КОЛОННА № 26 ЦЕНТР» – без удовлетворения.

Позиция Арбитражного суда Волго-Вятского округа

Арбитражный суд Волго-Вятского округа в ноябре 2024 года отметил, что общество считает, что доказательством исполнения договора со стороны ООО «Автобан 52» являются акты по форме № ЭСМ-7. Представленные в дело акты, по мнению заявителя, не соответствуют условиям договора, порядок сдачи и приемки оказанных услуг не предусматривает подписание документов посредством электронного документооборота.

Документы, подписанные квалифицированной электронной подписью, вопреки позиции кассатора, являются в данном случае допустимыми доказательствами. Суды обоснованно исходили из необходимости применения к спорной ситуации принципа эстоппеля и правила venire contra factum proprium (никто не может противоречить собственному предыдущему поведению). Ответчик, ссылаясь на отсутствие соглашения об электронном документообороте при рассмотрении настоящего спора, был вправе не подписывать спорные акты соответствующим способом.

Арбитражный суд Волго-Вятского округа оставил без изменения решение Арбитражного суда Нижегородской области и постановление Первого арбитражного апелляционного суда, а кассационную жалобу ООО «МЕХ-КОЛОННА № 26 ЦЕНТР» – без удовлетворения.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/