ИСО и МЭК: Опубликован стандарт ISO/IEC 27006-1:2024 «Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности – Часть 1: Общие положения»

В марте 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации нового стандарта ISO/IEC 27006-1:2024 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Требования к органам, осуществляющим аудит и сертификацию систем менеджмента информационной безопасности – Часть 1: Общие положения» (Information security, cybersecurity and privacy protection - Requirements for bodies providing audit and certification of information security management systems - Part 1: General) объёмом 54 страницы, см. https://www.iso.org/standard/82908.html и https://www.iso.org/obp/ui/en/#!iso:std:82908:en .

Стандарт подготовлен техническим подкомитетом ISO/IEC JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection).

Во вводной части документа отмечается следующее:

«Настоящий документ устанавливает требования и предоставляет рекомендации для органов, проводящих аудит и сертификацию системы менеджмента информационной безопасности (СМИБ), в дополнение к требованиям, содержащимся в стандарте ISO/IEC 17021-1.

Мой комментарий: Здесь упомянут стандарт ISO/IEC 17021-1:2015 «Оценка соответствия - Требования к органам, проводящим аудит и сертификацию систем менеджмента - Часть 1: Требования» (Conformity assessment - Requirements for bodies providing audit and certification of management systems - Part 1: Requirements, см. https://www.iso.org/standard/61651.html и https://www.iso.org/obp/ui/en/#!iso:std:61651:en ), который в России адаптирован как ГОСТ Р ИСО/МЭК 17021-1-2017 «Оценка соответствия. Требования к органам, проводящим аудит и сертификацию систем менеджмента. Часть 1. Требования», см. https://protect.gost.ru/document.aspx?control=7&id=218000 .   

Соответствие требованиям, содержащимся в данном документе, демонстрируется проводящими сертификацию СМИБ органами, с точки зрения их компетентности и надёжности. Содержащиеся в данном документе рекомендации содержат дополнительную интерпретацию этих требований для органов, проводящих сертификацию СМИБ.»

Примечание: Данный документ можно использовать в качестве источника критериев для аккредитации, коллегиальной оценки и иных процессов аудита.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Принципы
5. Общие требования
6. Структурные требования
7. Требования к ресурсам
8. Требования к информации
9. Требования к процессам
10. Требования к органам по сертификации в отношении системы менеджмента
Приложение A: Знания и навыки для проведения аудита и сертификации СМИБ
Приложение B: Дополнительные соображения относительно компетентности
Приложение C: Время на проведение аудита
Приложение D: Методы расчета времени на проведение аудита
Приложение E: Руководство по проверке реализованных мер и средств контроля и управления согласно стандарту ISO/IEC 27001:2022, Приложение A
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/82908.html
https://www.iso.org/obp/ui/en/#!iso:std:82908:en

ИСО и МЭК: Опубликован стандарт ISO/IEC 5212:2024 «Использование данных – Руководство по использованию данных»

В апреле 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации стандарта ISO/IEC 5212:2024 «Информационные технологии - Использование данных - Руководство по использованию данных» (Information technology - Data usage - Guidance for data usage) объёмом 36 страниц, см. https://www.iso.org/standard/80999.html и https://www.iso.org/obp/ui/en/#!iso:std:80999:en .

Стандарт разработан техническим подкомитетом SC32 «Управление и обмен данными» (Data management and interchange) Объединённого технического комитета ИСО/МЭК JTC1 «Информационные технологии». О работе над ним я уже рассказывала здесь: http://rusrim.blogspot.com/2024/04/isoiec-fdis-5212.html .

Во вводной части документа отмечается:

«Настоящий документ представляет собой высокоуровневый, основанный на принципах рекомендательный международный стандарт. В нём описана концепция, включающая соответствующие компоненты и понятия, на которую могут ссылаться использующие данные организации, лица и системы. Концепцию и понятия, изложенные в настоящем стандарте, следует рассматривать вместе с терминами и определениями, содержащимися в стандарте ISO/IEC 5207 «Информационные технологии - Использование данных - Терминология и варианты использования» (Information technology - Data usage - Terminology and use cases), см. https://www.iso.org/standard/80998.html .

Организации вне зависимости от их типа (включая коммерческие организации, государственные органы и учреждения, некоммерческие организации), размера и целей, полагаются на использование данных при ведении повседневных деловых операций, и всё сильнее зависят от полагающихся на данные систем, таких как ИТ-системы, облачные вычисления, большие данные, интернет вещей и искусственный интеллект.

Существует множество подходов к использованию данных, начиная от наиболее сложных, применимых в отношении высокочувствительной и конфиденциальной информации, персональных данных, - и заканчивая самыми простыми системами сбора данных. В каждом сценарии использования данных могут применяться различные подходы к обеспечению целостности системы, качества данных, предоставляемых пользователям данных возможностей и к стратегическому управлению, осуществляемому организацией в отношении данных.

Данный документ был разработан с использованием основанного на принципах подхода, с тем, чтобы способствовать внедрению организациями стратегического управления данными для управления рисками на каждом этапе использования, обмена или совместного использования данных. Такой подход помогает организациям, стремящимся получить от данных больше отдачи, знаний и представлений, - одновременно обеспечивая концептуальные рамки для пользователей данных. Поскольку данные необходимы для широкого круга ролей в организации, крайне важно, чтобы все пользователи имели базовые представления об использовании данных с целью обеспечения надлежащего управления данными. Существует риск того, что, поскольку данные используются в организациях повсеместно, то действия пользователей, не имеющих соответствующих знаний, опыта и понимания контекста могут непреднамеренно привести к некорректному использованию данных.

В совместном использовании или обмене данными могут участвовать множество лиц, систем и/или организаций, использующих различные процессы и процедуры. Более того, каждое лицо или организация, участвующее в совместном использовании или обмене данными, может использовать различные подходы к обеспечению безопасности, защиты чувствительных и персональных данных, а также к решению правовых вопросов.

Хотя деятельностью по использованию данных можно управлять с помощью различных механизмов и инструментов стратегического управления, таких как официальные контракты или соглашения о совместном использовании данных, - существует множество этапов использования данных, которые может быть сложно формализовать.

В настоящем документе используется методология выявления и управления рисками, которой может воспользоваться любой пользователь данных, будь то физическое лицо или организация. Данная методология может быть полезна для организаций, применяющих существующие процессы стратегического управления данными и технологиями, вроде тех, что описаны в международных стандартах по вопросам стратегического управления информационными технологиями, таких как ISO/IEC 38500:2024 «Информационные технологии - Стратегическое управление ИТ в организации» (Information technology - Governance of IT for the organization) или все части серии ISO/IEC 38505 «Информационные технологии - Стратегическое управление информационными технологиями / данными» (Information technology - Governance of IT / data).

Помимо того, организации могут подумать о пригодности для поддержки их возможностей по стратегическому управлению требований к ИТ-системам, безопасности и хранению данных, которые рассматриваются в стандартах ISO/IEC 27001, ISO/IEC 27701 и ISO/IEC 27040.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Введение в использование данных
6. Подготовка среды данных для использования, совместного использования и обмена данными
7. Рекомендации по использованию, совместному использованию и обмену данными
8. Использование, совместное использование и обмен данными
9. Вопросы, возникающие после использования данных
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/80999.html
https://www.iso.org/obp/ui/en/#!iso:std:80999:en

Новая статья: Архивная точка зрения на обучающие данные для ИИ

29 марта 2024 года в публикуемом издательством Cell Press онлайн-журнале Patterns («Закономерности») была опубликована любопытная статья Миры Десаи (Meera A. Desai), Ирен Паскетто (Irene V. Pasquetto), Эбигейл Джейкобс (Abigail Z. Jacobs) и Даллас Кард (Dallas Card) под названием «Архивная точка зрения на обучающие данные» (An archival perspective on pretraining data).

Статья объёмом 11 страниц доступна как для чтения онлайн ( https://doi.org/10.1016/j.patter.2024.100966 ), так и для скачивания в виде PDF-файла ( https://www.cell.com/action/showPdf?pii=S2666-3899%2824%2900074-6 ).

Статья наиболее интересна тем, что эта одна из крайне редких публикаций, в которых архивисты не просто пытаются выйти за рамки традиционных документов и обратить внимание на данные, но и изучают наборы данных, используемые для обучения моделей искусственного интеллекта.

Ниже приведен перевод двух вводных и заключительного разделов статьи:

Общая картина

Большие языковые модели (large language models, LLM) стали применяться повсеместно, при этом они крайне зависимы от данных, на которых они обучаются. Эти обучающие наборы данных сами по себе являются самостоятельными артефактами, которые – помимо их роли в формировании результатов модели - повторно используются, надстраиваются и легитимизуются.

Мы изучаем сходство между обучающими наборами данных и архивами: и те, и другие представляют собой коллекции разнообразных социокультурных материалов, которые опосредуют производство знаний и тем самым наделяют властью тех, кто отбирает, документирует и контролирует доступ к ним.

Мы обсуждаем ограниченность существующих подходов к комплектованию обучающих наборов данных и задаёмся вопросом, какие голоса становятся слышны сильнее или же заглушаются? Кому причиняется ущерб? Чьи точки зрения принимаются или подразумеваются по умолчанию?

Мы подчёркиваем необходимость в проведении дополнительных исследований этих наборов данных и методов, с помощью которых они формируются, и предлагаем возможные пути продвижения вперёд, опираясь на идеи архивной науки.

Краткое содержание

Наряду с бурным ростом исследований и разработок, связанных с большими языковыми моделями, одновременно наблюдается и рост усилий по созданию обучающих наборов данных - масштабных коллекций текстов, обычно взятых из Интернета.

Опираясь на результаты архивной науки, мы анализируем обучающие наборы данных, рассматривая их как неформальные архивы — неоднородные коллекции разнообразных материалов, которые опосредуют доступ к знаниям.

Мы используем эту концептуальную структуру для того, чтобы выявить влияние создания и использования обучающих данных за рамками прямого формирования поведения модели, - и показать, как выбор того, что именно включается в состав обучающих данных, обязательно включает в себя субъективные решения, касающиеся ценности. При этом архивная точка зрения помогает нам определить возможности для исследователей, которые изучают социальные последствия технологий, внести свой вклад в решение проблем, а также компромиссы, которые возникают при формировании обучающих наборов данных такого масштаба.

Заключение

Отбор обучающих данных для пребольших языковых моделей (LLM) в основном рассматривался как инженерная деятельность. Однако курирование обучающих данных -это также политический процесс, в котором как сам артефакт (обучающие данные), так и любые модели, обученные на нём, будут иметь культурные и политические последствия, которые, как правило, редко принимаются во внимание.

Мы исходим их архивной точки зрения на обучающие данные, предлагая рассматривать их возможности как неформальных архивов, а также процессы их формирования.

Мы обращаем внимание на то, как распространённые практики разработки LLM-моделей организованы вокруг решения конкретных проблем, таких как смягчение конкретных рисков для неприкосновенности частной жизни, - которые на деле оказываются практиками экспертизы ценности.

Архивная точка зрения указывает на источники власти при принятии инженерных решений, связанных с обучающими данными. В конечном счете, такой концептуальный подход предлагает путь вперед для изучения не только данных, но и систем, которые их производят.

Источник: сайт издательства Cell Press
https://doi.org/10.1016/j.patter.2024.100966
https://www.cell.com/action/showPdf?pii=S2666-3899%2824%2900074-6  

ИСО и МЭК: Опубликована новая редакция технического отчёта ISO/IEC TR 24030:2024 «Искусственный интеллект (ИИ) – Варианты применения»

В начале апреля 2024 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой, второй редакции технического отчёта ISO/IEC TR 24030:2024 «Информационные технологии – Искусственный интеллект (ИИ) – Варианты применения» (Information technology - Artificial intelligence (AI) - Use cases) объёмом 178 страниц, см. https://www.iso.org/standard/84144.html и https://www.iso.org/obp/ui/en/#!iso:std:84144:en .

Технический отчёт, подготовленный техническим подкомитетом SC42 «Искусственный интеллект» (Artificial Intelligence) Объединённого технического комитета ИСО/МЭК JTC1, заменил ранее действовавший документ ISO/IEC TR 24030:2021.

В аннотации на документ отмечается:

«Технический отчёт ISO/IEC TR 24030 представляет собой всесторонний документ, в котором собраны варианты использования искусственного интеллекта (ИИ) в различных областях применения. Он охватывает широкий спектр приложений, иллюстрируя применимость и потенциал ИИ в различных секторах и внося значительный вклад в область стандартизации ИИ.

Данный технический отчет играет ключевую роль в демонстрации разнообразных применений ИИ, содействуя разработке стандартов в области ИИ, а также сотрудничеству и пониманию потенциала и проблем ИИ в различных отраслях экономики.

… В настоящем документе представлена подборка репрезентативных вариантов использования приложений ИИ в различных областях.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Приложения
6. Варианты использования
7. Краткие сводные описания вариантов использования
Приложение A: Шаблон для описания варианта использования
Приложение B: Перечень вариантов использования, содержащихся в технических отчётах ISO/IEC TR 24030:2021 и ISO/IEC TR 24030:2024
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/84144.html
https://www.iso.org/obp/ui/en/#!iso:std:84144:en