понедельник, 22 июня 2026 г.

CEN: Опубликован новый европейский стандарт EN 18235-1:2026 «Доверенные транзакции с данными - Часть 1: Терминология, концепции и механизмы»

25 марта 2026 года сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) сообщил о публикации в европейского стандарта EN 18235-1:2026 «Доверенные транзакции с данными - Часть 1: Терминология, концепции и механизмы» (Trusted data transactions - Part 1: Terminology, concepts and mechanisms) объёмом 13 страниц, см. https://standards.cencenelec.eu/... 

Стандарт подготовлен европейским комитетом по стандартизации CEN/CLC/JTC 25 «Управление данными, пространства данных, облачные технологии и периферийные вычисления» (Data management, Dataspaces, Cloud and Edge).


 Во вводной части стандарта отмечается:

«В настоящем документе представлены терминология, понятия и описание механизмов в области обмена данными, с акцентом на доверенные транзакции данных (trusted data transactions).

Эти элементы могут быть использованы при разработке поддерживающих доверенные транзакции данных стандартов и составляют основу для выявления ключевых аспектов и критериев, которые способствуют доверию в транзакции данных между заинтересованными сторонами.

Таким образом, эти элементы представляют собой идейный фундамент, на котором могут основываться доверенные транзакции данных, независимо от принятых архитектурных решений и/или технической реализации.»

Ключевые понятия определены следующим образом:

3.10. Транзакция с данными (data transaction) - результат соглашения между поставщиком данных и пользователем данных, заключённого с целью обмена, доступа и использования данных в обмен на денежное или неденежное вознаграждение.

3.20. Доверенная транзакция с данными (trusted data transaction) - транзакция с данными, основанная на наборе согласованных и проверяемых характеристик.

Примечание: Доверенная транзакция данных может включать, помимо прочего, такие элементы, как аутентификация, авторизация, шифрование, целостность, согласованность, возможность аудита, наблюдаемость, безопасность, надежность и соответствие законодательно-нормативным и иным установленным требованиям (комплайнс).

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Цели, заинтересованные стороны и понятия в сфере доверенных транзакций с данными,
Библиография

(Продолжение следует)

Источник: сайт CEN
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82029,3485479&cs=14B49B666571CE64AF1A54F7832E595CC 

воскресенье, 21 июня 2026 г.

CEN: Завершается работа над европейским стандартом prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (2)

(Окончание, начало см. http://rusrim.blogspot.com/2026/06/cen-pren-18235-2-2-1.html )

Более подробная информация о проекте стандарта prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (Trusted data transactions - Part 2: Trustworthiness requirements) размещена на сайте о стандартах iTeh Standards ( https://standards.iteh.ai/ ), который компания iTeh Inc., занимающаяся разработкой программного обеспечения и консультационными услугами, ведёт совместно со Словенским институтом стандартизации (Slovenian Institute of Standardization, SIST):

Обзор

Стандарт prEN 18235-2, озаглавленный «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия», разработан Европейским комитетом по стандартизации CEN для установления требований к участникам пространств данных в отношении обеспечения доверия. Он устанавливает основополагающие принципы и содержит практические рекомендации, призванные поддерживать доверенные транзакции с данными между организациями любого типа и размера. Определяя общие и поэтапные требования, данный стандарт направлен на обеспечение безопасности, прозрачности, надежности транзакций с данными и их соответствия законодательно-нормативным требованиям.

Данный стандарт подчеркивает ключевую роль доверия в деятельности по распространению данных, и предлагает вовлечённым в транзакции с данными организациям структурированный подход для обеспечения целостности, подотчетности и интероперабельности. Стандарт может использоваться любом участником пространств данных, способствуя эффективному и ответственному стратегическому управлению данными.

Ключевые вопросы

Основополагающие принципы доверенных транзакций с данными

  • Этапы транзакций с данными: Выделены шесть ключевых этапов: предоставление прав (grant rights), публикация, поиск и извлечение (discovery), переговоры, предоставление данных (data sharing) и доступ к данным и их использование.

  • Права на данные и качество данных: Установлены требования, гарантирующие законные права на распространение и использование данных, а также высокое качество данных.

  • Происхождение и «родословная» данных: Акцентируется внимание на отслеживании происхождения данных, их преобразований и прав собственности на данные для обеспечения их аутентичности и отслеживаемости.

  • Наблюдаемость и отслеживаемость: Установлены требования к обеспечению возможности мониторинга и протоколирования транзакций на протяжении всего их жизненного цикла для обеспечения подотчетности и разрешения споров.

  • Концепции обеспечения доверия: Стандарт определяет наборы правил, ролей и обязанностей, способствующие обеспечению доверия в экосистемах данных.

  • Интероперабельность: Стандарт способствует беспрепятственному обмену данными, которые охватывает различные пространства данных, посредством обеспечения согласованности стандартов и протоколов.

  • Стратегическое управление пространством данных: Данный принцип делает акцент на сводах правил и органах стратегического управления, которые управляют политиками решения правовых вопросов, ведения оперативной деятельности и обеспечения доверия в пространствах данных.

Требования в отношении обеспечения доверия

Стандарт содержит детальные требования, применимые ко всем этапам транзакций с данных, включая следующие: 

  • Идентификация участников: Защищённые, верифицируемые механизмы для идентификации и аутентификации сторон;

  • Политики, заявления и доказательства: Разработка четких и ясных политик и представление проверяемых заявлений, подкрепленных доказательствами; 

  • Верификация и согласование: Приведение заявлений и доказательств в соответствие с требованиями политики для обеспечения доверия;

  • Элементы договоров: Документирование и регистрация договоров об использовании данных, включая соответствующие условия и положения;

  • Управление доступом и авторизация: Обеспечение того, что только авторизованные пользователи имеют возможность доступа к данным и их использования в соответствии с предоставленными правами;

  • Наблюдаемость: Ведение непрерывного мониторинга состояния транзакций с данными с целью выявления любых отклонений и/или несанкционированной активности.

Применение

Требования к обеспечению доверия, установленные в стандарте prEN 18235-2, имеют множество практических применений, включая:

  • Рынки данных, на которых множество организаций осуществляют транзакции с чувствительными данными на основе установленных права и политик использования.

  • Межотраслевое сотрудничество в области данных, обеспечивающее безопасный и прозрачный обмен данными в таких секторах, как здравоохранение, финансы, интеллектуальное производство и государственное управление.

  • Органы стратегического управления пространства данных, ответственные за надзор над соблюдением политики, механизмами доверия и разрешением споров между участниками.

  • Поставщики технологий, разрабатывающие платформы для обмена данными, которым необходимо внедрять механизмы обеспечения доверия и обеспечивать соответствие признанным международным требованиям.

  • Обеспечение соответствия законодательно-нормативным требованиям для организаций, которые приводят свою практику обмена данными в соответствие с европейским законодательством и стандартами для снижения рисков, связанных с защитой персональных данных и безопасностью данных.

Внедрение этого стандарта способствует созданию доверенных цифровых экосистем, повышает интероперабельности данных и укрепляет доверие между поставщиками и потребителями данных.

Мой комментарий: В настоящее время также продолжается работа над третьей частью этого стандарта prEN 18235-3 «Доверенные транзакции с данными – Часть 3: Требования к интероперабельности» (Trusted data transactions - Part 3: Interoperability requirements), https://standards.cencenelec.eu/... 

В аннотации на этот документ отмечается:

«Настоящий документ устанавливает требования и содержит рекомендации по интероперабельности данных, механизмам обмена и распространения данных, а также по сервисам в рамках пространств данных.

Он охватывает требования, критерии и рекомендации по внедрению в отношении:

  • Контента наборов данных, ограничений на использование, лицензий, методологий сбора данных, качества данных и неопределенности в них, а также машиночитаемых форматов для поиска, доступа и использования данных;

  • Структур данных, форматов данных, словарей, классификационных схем, таксономий и перечней кодов, а также способов описания этих элементов общедоступным и согласованным образом;

  • Технических средств доступа к данным, таких как интерфейсы прикладного программирования, и условий их использования и качества обслуживания, которые обеспечивают возможность автоматического доступа и передачи данных между сторонами;

  • Средств обеспечения интероперабельности инструментов для автоматизации выполнения договоров об обмене данными (где это применимо).

Данный документ применим в любых организациях, участвующим в пространствах данных, независимо от их размера или типа.»

Источник: сайт iTeh Standards / сайт CEN / сайт BSI / сайт DIN
https://standards.iteh.ai/catalog/standards/cen/a784b8bb-9965-4812-a666-7abafcccf467/pren-18235-2?srsltid=AfmBOopCrANzqIw3YKIlf80bhwEqYqgiDOpeFa-O85EMQp6xBKf31wpi 
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:81918,3485479&cs=1C1EB61312912B8E7B7A8EAFDED9D339A 
https://standardsdevelopment.bsigroup.com/projects/2026-01215 
https://www.din.de/en/getting-involved/standards-committees/nia/projects/wdc-proj:din21:393892958 

О чём сегодня пишет французская архивная пресса: Выпуск «Архивной газеты» №277

Данная новость была опубликована 18 июня 2026 года на сайте и в новостной рассылке Ассоциация французских архивистов (Association des Archivistes Français, AAF).

Открыт предзаказ свежего номера №277 «Архивной газеты» (La Gazette des archives)

Мы рады сообщить, что 277-й номер «Архивной газеты» теперь доступен для предзаказа на сайте Ассоциация французских архивистов (AAF)! Координатором номера является главный редактор издания Магали Мойсан (Magalie Moysan).

В этом новом номере по разнообразной тематике, в состав которого входят 5 оригинальных статей и три описания примеров из практики, авторы исследуют роль архивов в сохранении коллективной памяти, рассматривая распространение документов и свидетельств в социальной сети Facebook, а также сбор Национальными Архивами Бразилии у частных лиц архивных материалов, относящихся к периоду военной диктатуры. 

Данный выпуск также отражает интерес архивистов к собственной истории и стремление к само-осознанию как профессии, будь то через рассказ о деятельности португальских архивистов, через изучение развития образа специализирующегося на хартиях архивиста в XIX веке или же через ретроспективный взгляд на важный момент в деятельности Ассоциации французских архивистов – мобилизацию сил против предложенного в то время европейского закона о защите персональных данных (GDPR).

Мой комментарий: Протест против закона о защите персональных данных был связан с тем, что закон не содержал достаточных исключений для архивов и фактически допускал возможность уничтожения/порчи архивных документов, под предлогом защиты ПДн, по инициативе заинтересованных физических лиц.

В номере уделяется особое внимание экспертизе ценности архивных документов, посредством аналитического описания двух примеров из практики: один пример посвящён методологии проведения во французских региональных архивах экспертизы ценности архивных документов, связанных деятельностью судебной системы; а второй - сбору Службой экономических и финансовых архивов (Service des archives économiques et financières, SAEF) архивных материалов, относящихся к пандемии COVID-19. Наконец, в заключительной статье рассматриваются цели и этапы распространения Национальными Архивами Франции (Archives nationales de France) архивных материалов в качестве открытых данных.

Мой комментарий: За последнее время, это чуть ли не первый случай, когда отраслевое европейское издание рассматривает на своих страницах по-настоящему важные для отрасли вопросы, а не занимается продвижение политической «повестки».

Источник: сайт Ассоциации французских архивистов
https://www.archivistes.org/publications/varia-106/ 

ИСО и МЭК: Продолжается работа над новой редакцией стандарта ISO/IEC DIS 27555 «Руководство по уничтожению персональных данных»

Как сообщил сайт Международной организации по стандартизации (ИСО), в конце мая началось публичное обсуждение повой, второй редакции стандарта ISO/IEC DIS 27555 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Руководство по уничтожению персональных данных» (Information security, cybersecurity and privacy protection - Guidelines on personally identifiable information deletion, см. https://www.iso.org/standard/92950.html и https://www.iso.org/obp/ui/en/#!iso:std:92950:en ) , которое продлится до конца июля 2026 года.

Над документом работает технический подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменит первую редакцию 2021 года, о которой см. мой пост http://rusrim.blogspot.com/2021/11/isoiec-275552021.html .

Первоначально стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 .

Во вводной части документа отмечается следующее:

«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.

Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.

В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция обеспечивает согласованное уничтожение персональных данных в рамках организации, включая уничтожение и приостановление обработки ПДн по индивидуальным запросам.

… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:

  • гармонизированную терминологию в области уничтожения персональных данных,

  • подход, обеспечивающий эффективное установление правил уничтожения,

  • необходимую документацию, и

  • достаточно общее определение ролей, обязанностей и процессов.

Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:

  • специфические правовые положения, установленные национальным законодательством или контрактами,

  • специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;

  • механизмы уничтожения,

  • надёжность, безопасность и уместность механизмов уничтожения,

  • конкретные методы деидентификации (обезличивания) данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7.  Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/92950.html
https://standardsdevelopment.bsigroup.com/projects/2025-03287