Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 4: Рынки, память и машинная логика (2)

(Продолжение, предыдущую часть см. https://rusrim.blogspot.com/2026/02/4-1.html )

Журналы аудита как архитектура для создания и сохранения доказательств

Если в других секторах экономики термин «журнал аудита» (audit trail) используется довольно вольно, то в финансовой сфере он имеет точное значение. Именно архитектура для создания и сохранения доказательств (evidential architecture) обеспечивает регуляторам возможность точно реконструировать действия системы.

На практике это означает:

• Каждое связанное с торговым распоряжением событие должно документироваться / протоколироваться,
  
  
• Каждое изменение должно отслеживаться,
  
  
• Каждое исполнение должно быть связано с его первоисточником,
  
  
• Каждое действие системы должно быть запротоколировано,
  
  
• Каждое изменение в логике алгоритмов должно быть задокументировано,
  
  
• Все отметки времени должна быть синхронизированы [с эталонным временем – Н.Х.] в рамках экосистемы.

Это не вопрос удобства, а фундамент целостности рынка. Без журналов аудита регулирующие органы не могут определить, что представляла собой аномалия – разовый сбой, результат ошибочной стратегии или же результат преднамеренной манипуляции.

Именно поэтому возможность реконструкция истории торгов стала самостоятельным формальным понятием. В 2016 году в Соединенных Штатах Комиссией по торговле товарными фьючерсами (Commodity Futures Trading Commission, CFTC) был предложен проект нормативного акта «Регулирование автоматизированной торговли» (Regulation Automated Trading, Reg AT, см. https://www.federalregister.gov/documents/2016/11/25/2016-27250/regulation-automated-trading ), который прямо потребовал от занимающихся алгоритмической торговлей компаний вести документацию о разработке и тестировании, журналы изменений и дела по контролю и управлению рисками. Несмотря на то, что правила Reg AT так и не вступили в силу в полной мере (В 2020 году CFTC отозвала проект Reg AT и заменила его новым предложением под названием «Принципы оценки рисков электронной торговли» (Electronic Trading Risk Principles) – Н.Х.), его основные идеи закрепились в практике деятельности рынков и перешли в более поздние рекомендации регулирующих органов. Логика документирования сохранилась, пусть даже сами правила Reg AT так и не были утверждены.

Именно посредством журналов аудита обеспечение сохранности алгоритмов постепенно становится нормой.

Мой комментарий: Журналы аудита всё-таки больше ориентированы на документирование результатов работы алгоритмов, а не на обеспечение сохранности самих алгоритмов – если только не причислять к числу журналов аудита документацию, отражающую разработку, тестирование, внедрение, мониторин и обновление алгоритмов.

Досье разработчика и след оперативной деятельности

Одна из наиболее очевидных параллелей между финансовым регулированием и Законом Евросоюза об искусственном интеллекте (ИИ) заключается в том, как они проводят грань между проектной документацией и свидетельствами оперативной деятельности (эксплуатации). В финансовом секторе этот слой проектно-конструкторской документации не всегда представлен в виде формального, унифицированного «досье разработчика» (developer file). Тем не менее, регуляторы уже давно ожидают от занимающихся автоматизированной или алгоритмической торговлей компаний ведения документации о разработке и тестировании. В различных юрисдикциях сюда входят:

• документация по архитектуре алгоритма и его целевому поведению,
  
  
• описания стратегии, логики и механизмов контроля и управления рисками,
  
  
• материалы тестирования и документы о валидации системы,
  
  
• оценки поведения и производительности моделей и потенциальных точек отказа,
  
  
• настройки конфигурации и параметры развертывания,
  
  
• документацию по контролю над изменениями,
  
  
• история версий и свидетельства / доказательства обновления программного обеспечения.

Эти материалы обычно не собраны в рамках единой обязательной структуры, а рассеяны по требованиям к ведению документации, по руководствам надзорных органов и ожиданиям в отношении контроля рисков. В совокупности, однако, они образуют доказательную базу, относящуюся к процессу разработки. Это повествование о том, как алгоритм возник и эволюционировал, зафиксированное в документации, которую регулирующие органы могут запросить, когда им необходимо понять, почему система вела себя определенным образом.

В то же время, системы, работающие в режиме промышленной эксплуатации, создают свой собственный доказательный слой: след оперативной деятельности, который включает в себя журналы аудита, отметки времени, события подачи и исполнения заявок, и «флаги» присутствия аномалий.

Совместно эти два слоя дают возможность регулирующим органам реконструировать как намерения разработчиков алгоритма, так и результаты его работы. Закон Евросоюза об ИИ отражает это разделение посредством разделения субъектов на поставщиков (providers) и внедряющие стороны (deployers). В финансовом регулировании это выражается через понятия «разработчики систем» (system developers) и «инфраструктура для реальной торговли» (live trading infrastructure).

Архитектура та же, лишь названия разные.

(Окончание следует)

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-874 

Как сохранить действительность электронных подписей на долгие годы: Краткое руководство от компании Docbyte

Данная заметка, подготовленная бельгийской компанией Docbyte, была опубликован 27 января 2026 года в социальной сети LinkedIn.

Электронные подписи стали краеугольным камнем современных деловых транзакций, обеспечивая удобство, безопасность и правовое признание. Для того чтобы эти подписи оставались действительными и проверяемыми с течением времени, необходимы планирование и использование передовых практик.

Почему важно сохранять действительность электронных подписей?

Электронные подписи являются обязывающими и имеют юридическую силу в Евросоюзе в соответствии с законом eIDAS (это Регламент (ЕС) №2024/1183 Европейского Парламента и Совета, вносящего поправки в Регламент (ЕС) №910/2014 в отношении создания Европейской системы цифровой идентификации» (Regulation (EU) 2024/1183 of the European Parliament and of the Council amending Regulation (EU) No 910/2014 as regards establishing the European Digital Identity Framework), см. https://eur-lex.europa.eu/eli/reg/2024/1183/oj  - Н.Х.). Без использования надлежащих методов обеспечения долговременной сохранности действительность подписи может быть со временем поставлена под сомнение по следующим причинам:

• Изменения в технологиях и форматах файлов,
  
  
• Истечение срока действия цифровых сертификатов,
  
  
• Потеря целостности данных.

Усилия по сохранению в длительной перспективе действительности электронных подписей обеспечивают их долговременную аутентичность, целостность и юридическую силу, что имеет решающее значение для аудитов, соблюдения законодательно-нормативных требований и разрешения споров.

Мой комментарий: Меня удивляет язык законодательства Евросоюза, говорящий о «долговременной сохранности электронных подписей», в то время, как на само деле необходимо решать задачу обеспечения долговременной сохранности подписанных усиленными электронными подписями документов без ущерба для их юридической и доказательной силы. При использовании усиленных электронных подписей, подпись и подписанный документ неразрывно взаимосвязаны :)

Наилучшие практики сохранения действительности электронных подписей

• Использование квалифицированных электронных подписей (Qualified Electronic Signature, QES),
  
  
• Внедрение (или использование сервисов – Н.Х.) квалифицированного электронного архивирования (Qualified Electronic Archiving, QeA),
  
  
• Использование отметок времени,
  
  
• Мониторинг криптографических стандартов,
  
  
• Использование заслуживающих доверия решений для цифрового архивирования, такие как Docbyte Vault ( https://www.docbyte.com/the-docbyte-vault/ ),
  
  
• Регулярная валидация и аудит подписей,
  
  
• Обучение персонала.

Усилия по сохранению действительности электронных подписей с течением времени являются стратегическими инвестициями в деятельность по обеспечению исполнения законодательно-нормативных требований, в доверие и в эффективность оперативной деятельности. Квалифицированное электронное архивирование и отметки времени являются центральными элементами, наряду с постоянно проводимой валидацией и стратегическим управлением.

Полное руководство по сохранению электронных подписей с течением времени от компании Docbyte (How to Preserve Electronic Signatures Over Time: A Complete Guide) доступно по адресу https://www.docbyte.com/how-to-preserve-electronic-signatures/ .

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/how-preserve-electronic-signatures-over-time-quick-guide-docbyte-tukhe/ 

Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 4: Рынки, память и машинная логика (1)

Данный пост эксперта в области управления электронными документами, эксперта ИСО от США Энди Поттера (Andy Potter - на фото) был опубликован 1 декабря 2025 года в социальной сети Substack.

Как финансовые регуляторы решили проблему реконструкции истории событий задолго до появления ИИ

(Продолжение, предыдущую часть см. https://rusrim.blogspot.com/2026/02/3-2.html )

Когда меня спрашивают, откуда приходит практика обеспечения сохранности алгоритмов, я указываю не на информатику и не лаборатории ИИ, а на финансовый сектор.

Задолго до того, как стратегическое управление ИИ стало приоритетом политик, финансовые регуляторы уже сталкивались с последствиями автоматизированного принятия решений, к тому же на скоростях, далеко превосходящих человеческое понимание. Финансовые рынки быстро осознали, что как только машины начинают формировать результаты, надзор рушится, если не будет обеспечена возможность воспроизвести (реконструировать) то, что сделала машина. Не оценить, не сделать какую-то аппроксимацию – а воспроизвести.

Именно здесь идея воспроизводимости (реконструируемости) впервые перешла из теории в практику деятельности регуляторов.

Финансовые рынки первыми усвоили урок

У финансовых рынков всегда была аллергия на непрозрачность, и появление автоматизированной торговли только усугубило ситуацию. К началу 2000-х годов регуляторы увидели, что ведущие торги компании создают системы, способные выполнять тысячи действий в секунду, и что ни одна состоящая из людей группа наблюдения не сможет справиться с ними в отсутствие документальной основы, фиксирующей историю поведения системы.

Решение заключалось не в том, чтобы замедлить деятельность финансовых рынков. А в том, чтобы заставить эти рынки запоминать историю своей деятельности.

Одним из первых шагов стала Система журнала аудита торговых распоряжений / поручений (Order Audit Trail System, OATS) Управления по регулированию финансовой индустрии (Financial Industry Regulatory Authority, FINRA, http://finra.org - американская саморегулируемая организация, регулирующая деятельность торгующих ценными бумагами фирм – Н.Х.). FINRA потребовала от компаний уведомлять через систему OATS о каждом событии, связанном с распоряжением, с точными отметками времени, с тем, чтобы регуляторы могли восстановить весь жизненный цикл сделки. Когда впоследствии система OATS была заменена на систему «Консолидированный журнал аудита» (Consolidated Audit Trail, CAT), общая идея осталась прежней, но её реализация значительно расширилась: регуляторам требовался единый, кросс-рыночный доказательный «след», достаточно надежный для поддержки наблюдения, обеспечения исполнения законодательно-нормативных требований и для ретроспективной реконструкции истории событий.

Евросоюз тем временем выработал собственный подход, нашедший отражение в Директиве MiFID II.

Мой комментарий: MiFID II – это Директива 2014/65/ЕС Европейского парламента и Совета от 15 мая 2014 года о рынках финансовых инструментов (Directive 2014/65/EU of the European Parliament and of the Council of 15 May 2014 on markets in financial instruments amending Directive 2002/92/EC and Directive 2011/61/EU), https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02014L0065-20250117 

Теперь компании обязаны снабжать связанные с распоряжениями события отметками времени с точностью до миллисекунды, следуя при этом строгим правилам синхронизации часов. Это делается не потому, что регуляторы ценят точность как таковую, а потому, что реконструкция поведения на рынке зависит от достоверности времени.

Стоит раз обратить на это внимание, и закономерности станут очевидными. Финансовые рынки стали одной из первых областей, где сохранение памяти стала обязательным требованием регулятора.

Мой комментарий: Вообще-то во все времена абсолютно все регуляторы требовали «сохранения памяти» в виде разнообразных документов и документированной информации – вся их надзорно-контрольная деятельность опирается именно на них. Новым на финансовых рынках стало лишь приспособление регуляторов к особенностям сначала электронной торговли, а впоследствии – высокоскоростной электронной торговли.

(Продолжение следует)

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-874 

Совершенствуется правовое регулирование функционирования государственных информационных систем

Федеральный закон от 29 декабря 2025 года №568-ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации»» ввел «дополнительные меры нормативно-правового характера, направленные на обеспечение эффективности создания и последующего учета государственных информационных систем».

В статье 13 «Информационные системы» (ч.1) уточнено, что государственные информационные системы включают в себя:

• Федеральные информационные системы, созданные на основании федеральных законов, актов Президента РФ, Правительства РФ. Требования к актам Правительства РФ, на основании которых создаются федеральные информационные системы, устанавливаются Правительством РФ;
  
  
• Региональные информационные системы, созданные на основании законов субъектов РФ, актов высших должностных лиц субъектов РФ, органов государственной власти субъектов РФ.

Статья также дополнена частями 1.1, 1.2 и 5.1 следующего содержания:

1.1. Государственные органы в целях организационного, информационного, документационного, финансового и технического обеспечения своей деятельности создают информационные системы, не являющиеся государственными информационными системами (далее - иные информационные системы государственных органов). Иные информационные системы государственных органов создаются на основании правовых актов государственных органов.

1.2. Правительство РФ устанавливает требования к порядку создания и эксплуатации иных информационных систем государственных органов.

5.1. Для обеспечения создания и эксплуатации государственных информационных систем, иных информационных систем государственных органов допускается использование технических средств, программ для электронных вычислительных машин и баз данных, доступ к которым предоставляется с использованием информационно-телекоммуникационных сетей, в порядке, установленном Правительством РФ, при соблюдении требований о защите информации, установленных статьей 16 настоящего Федерального закона.

Статья 16 «Защита информации» дополнена частью 7 следующего содержания:

7. Операторы государственных информационных систем, иных информационных систем государственных органов, государственных унитарных предприятий, государственных учреждений обязаны в порядке, определенном федеральным органом исполнительной власти в области обеспечения безопасности, обеспечивать взаимодействие с государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации, включая информирование его о компьютерных инцидентах, повлекших неправомерную передачу содержащейся в указанных информационных системах информации.

Федеральный закон вступит в силу с 1 сентября 2026 года.

Мой комментарий: Появились три ключевых нововведения:

• Закон уточняет, что государственные информационные системы (ГИС) делятся на федеральные (созданные по решению федерального уровня) и региональные (созданные субъектом РФ);
  
  
• Вводится принципиально новая категория - «иные информационные системы государственных органов» (ИИС). Это системы, которые госорган создает для своих внутренних нужд (документооборот, учет, планирование), но которые формально не являются ГИС. Теперь их создание и эксплуатация должны регулироваться актами самого органа, но в рамках требований, которые установит Правительство РФ;
  
  
• Самое значимое изменение с точки зрения обеспечения безопасности - это распространение обязанности по обеспечению взаимодействия с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА) не только на операторов ГИС, но и на операторов ИИС, а также на государственные учреждения и унитарные предприятия. Фактически создается единый обязательный контур обеспечения безопасности для всего государственного сектора.

Появилась норма (п.5.1 ст.13), разрешающая использовать при создании и эксплуатации ГИС и ИИС облачные инфраструктуры. Порядок их использования будет регламентирован Правительством РФ.

Тысячи организаций государственного сектора (особенно учреждения и ГУПы) будут вынуждены в сжатые сроки (до 1 сентября 2026 года) технически и организационно подключиться к ГосСОПКА, а также привести свои ИИС в соответствие с новыми правилами. Это потребует значительных усилий и расходов.

Установление федеральных требований к ИИС и их облачной инфраструктуре может ограничить самостоятельность их владельцев в выборе ИТ-решений.

Как обычно, практический эффект новых норм будет полностью зависеть от качества и разумности подзаконного регулирования :)

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=523114