CEN: Завершается работа над европейским стандартом prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (2)

(Окончание, начало см. http://rusrim.blogspot.com/2026/06/cen-pren-18235-2-2-1.html )

Более подробная информация о проекте стандарта prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (Trusted data transactions - Part 2: Trustworthiness requirements) размещена на сайте о стандартах iTeh Standards ( https://standards.iteh.ai/ ), который компания iTeh Inc., занимающаяся разработкой программного обеспечения и консультационными услугами, ведёт совместно со Словенским институтом стандартизации (Slovenian Institute of Standardization, SIST):

Обзор

Стандарт prEN 18235-2, озаглавленный «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия», разработан Европейским комитетом по стандартизации CEN для установления требований к участникам пространств данных в отношении обеспечения доверия. Он устанавливает основополагающие принципы и содержит практические рекомендации, призванные поддерживать доверенные транзакции с данными между организациями любого типа и размера. Определяя общие и поэтапные требования, данный стандарт направлен на обеспечение безопасности, прозрачности, надежности транзакций с данными и их соответствия законодательно-нормативным требованиям.

Данный стандарт подчеркивает ключевую роль доверия в деятельности по распространению данных, и предлагает вовлечённым в транзакции с данными организациям структурированный подход для обеспечения целостности, подотчетности и интероперабельности. Стандарт может использоваться любом участником пространств данных, способствуя эффективному и ответственному стратегическому управлению данными.

Ключевые вопросы

Основополагающие принципы доверенных транзакций с данными

• Этапы транзакций с данными: Выделены шесть ключевых этапов: предоставление прав (grant rights), публикация, поиск и извлечение (discovery), переговоры, предоставление данных (data sharing) и доступ к данным и их использование.
  
  
• Права на данные и качество данных: Установлены требования, гарантирующие законные права на распространение и использование данных, а также высокое качество данных.
  
  
• Происхождение и «родословная» данных: Акцентируется внимание на отслеживании происхождения данных, их преобразований и прав собственности на данные для обеспечения их аутентичности и отслеживаемости.
  
  
• Наблюдаемость и отслеживаемость: Установлены требования к обеспечению возможности мониторинга и протоколирования транзакций на протяжении всего их жизненного цикла для обеспечения подотчетности и разрешения споров.
  
  
• Концепции обеспечения доверия: Стандарт определяет наборы правил, ролей и обязанностей, способствующие обеспечению доверия в экосистемах данных.
  
  
• Интероперабельность: Стандарт способствует беспрепятственному обмену данными, которые охватывает различные пространства данных, посредством обеспечения согласованности стандартов и протоколов.
  
  
• Стратегическое управление пространством данных: Данный принцип делает акцент на сводах правил и органах стратегического управления, которые управляют политиками решения правовых вопросов, ведения оперативной деятельности и обеспечения доверия в пространствах данных.

Требования в отношении обеспечения доверия

Стандарт содержит детальные требования, применимые ко всем этапам транзакций с данных, включая следующие: 

• Идентификация участников: Защищённые, верифицируемые механизмы для идентификации и аутентификации сторон;
  
  
• Политики, заявления и доказательства: Разработка четких и ясных политик и представление проверяемых заявлений, подкрепленных доказательствами; 
  
  
• Верификация и согласование: Приведение заявлений и доказательств в соответствие с требованиями политики для обеспечения доверия;
  
  
• Элементы договоров: Документирование и регистрация договоров об использовании данных, включая соответствующие условия и положения;
  
  
• Управление доступом и авторизация: Обеспечение того, что только авторизованные пользователи имеют возможность доступа к данным и их использования в соответствии с предоставленными правами;
  
  
• Наблюдаемость: Ведение непрерывного мониторинга состояния транзакций с данными с целью выявления любых отклонений и/или несанкционированной активности.

Применение

Требования к обеспечению доверия, установленные в стандарте prEN 18235-2, имеют множество практических применений, включая:

• Рынки данных, на которых множество организаций осуществляют транзакции с чувствительными данными на основе установленных права и политик использования.
  
  
• Межотраслевое сотрудничество в области данных, обеспечивающее безопасный и прозрачный обмен данными в таких секторах, как здравоохранение, финансы, интеллектуальное производство и государственное управление.
  
  
• Органы стратегического управления пространства данных, ответственные за надзор над соблюдением политики, механизмами доверия и разрешением споров между участниками.
  
  
• Поставщики технологий, разрабатывающие платформы для обмена данными, которым необходимо внедрять механизмы обеспечения доверия и обеспечивать соответствие признанным международным требованиям.
  
  
• Обеспечение соответствия законодательно-нормативным требованиям для организаций, которые приводят свою практику обмена данными в соответствие с европейским законодательством и стандартами для снижения рисков, связанных с защитой персональных данных и безопасностью данных.

Внедрение этого стандарта способствует созданию доверенных цифровых экосистем, повышает интероперабельности данных и укрепляет доверие между поставщиками и потребителями данных.

Мой комментарий: В настоящее время также продолжается работа над третьей частью этого стандарта prEN 18235-3 «Доверенные транзакции с данными – Часть 3: Требования к интероперабельности» (Trusted data transactions - Part 3: Interoperability requirements), https://standards.cencenelec.eu/... 

В аннотации на этот документ отмечается:

«Настоящий документ устанавливает требования и содержит рекомендации по интероперабельности данных, механизмам обмена и распространения данных, а также по сервисам в рамках пространств данных.

Он охватывает требования, критерии и рекомендации по внедрению в отношении:

• Контента наборов данных, ограничений на использование, лицензий, методологий сбора данных, качества данных и неопределенности в них, а также машиночитаемых форматов для поиска, доступа и использования данных;
  
  
• Структур данных, форматов данных, словарей, классификационных схем, таксономий и перечней кодов, а также способов описания этих элементов общедоступным и согласованным образом;
  
  
• Технических средств доступа к данным, таких как интерфейсы прикладного программирования, и условий их использования и качества обслуживания, которые обеспечивают возможность автоматического доступа и передачи данных между сторонами;
  
  
• Средств обеспечения интероперабельности инструментов для автоматизации выполнения договоров об обмене данными (где это применимо).

Данный документ применим в любых организациях, участвующим в пространствах данных, независимо от их размера или типа.»

Источник: сайт iTeh Standards / сайт CEN / сайт BSI / сайт DIN
https://standards.iteh.ai/catalog/standards/cen/a784b8bb-9965-4812-a666-7abafcccf467/pren-18235-2?srsltid=AfmBOopCrANzqIw3YKIlf80bhwEqYqgiDOpeFa-O85EMQp6xBKf31wpi 
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:81918,3485479&cs=1C1EB61312912B8E7B7A8EAFDED9D339A 
https://standardsdevelopment.bsigroup.com/projects/2026-01215 
https://www.din.de/en/getting-involved/standards-committees/nia/projects/wdc-proj:din21:393892958 

О чём сегодня пишет французская архивная пресса: Выпуск «Архивной газеты» №277

Данная новость была опубликована 18 июня 2026 года на сайте и в новостной рассылке Ассоциация французских архивистов (Association des Archivistes Français, AAF).

Открыт предзаказ свежего номера №277 «Архивной газеты» (La Gazette des archives)

Мы рады сообщить, что 277-й номер «Архивной газеты» теперь доступен для предзаказа на сайте Ассоциация французских архивистов (AAF)! Координатором номера является главный редактор издания Магали Мойсан (Magalie Moysan).

В этом новом номере по разнообразной тематике, в состав которого входят 5 оригинальных статей и три описания примеров из практики, авторы исследуют роль архивов в сохранении коллективной памяти, рассматривая распространение документов и свидетельств в социальной сети Facebook, а также сбор Национальными Архивами Бразилии у частных лиц архивных материалов, относящихся к периоду военной диктатуры. 

Данный выпуск также отражает интерес архивистов к собственной истории и стремление к само-осознанию как профессии, будь то через рассказ о деятельности португальских архивистов, через изучение развития образа специализирующегося на хартиях архивиста в XIX веке или же через ретроспективный взгляд на важный момент в деятельности Ассоциации французских архивистов – мобилизацию сил против предложенного в то время европейского закона о защите персональных данных (GDPR).

Мой комментарий: Протест против закона о защите персональных данных был связан с тем, что закон не содержал достаточных исключений для архивов и фактически допускал возможность уничтожения/порчи архивных документов, под предлогом защиты ПДн, по инициативе заинтересованных физических лиц.

В номере уделяется особое внимание экспертизе ценности архивных документов, посредством аналитического описания двух примеров из практики: один пример посвящён методологии проведения во французских региональных архивах экспертизы ценности архивных документов, связанных деятельностью судебной системы; а второй - сбору Службой экономических и финансовых архивов (Service des archives économiques et financières, SAEF) архивных материалов, относящихся к пандемии COVID-19. Наконец, в заключительной статье рассматриваются цели и этапы распространения Национальными Архивами Франции (Archives nationales de France) архивных материалов в качестве открытых данных.

Мой комментарий: За последнее время, это чуть ли не первый случай, когда отраслевое европейское издание рассматривает на своих страницах по-настоящему важные для отрасли вопросы, а не занимается продвижение политической «повестки».

Источник: сайт Ассоциации французских архивистов
https://www.archivistes.org/publications/varia-106/ 

ИСО и МЭК: Продолжается работа над новой редакцией стандарта ISO/IEC DIS 27555 «Руководство по уничтожению персональных данных»

Как сообщил сайт Международной организации по стандартизации (ИСО), в конце мая началось публичное обсуждение повой, второй редакции стандарта ISO/IEC DIS 27555 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Руководство по уничтожению персональных данных» (Information security, cybersecurity and privacy protection - Guidelines on personally identifiable information deletion, см. https://www.iso.org/standard/92950.html и https://www.iso.org/obp/ui/en/#!iso:std:92950:en ) , которое продлится до конца июля 2026 года.

Над документом работает технический подкомитет SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии». Он заменит первую редакцию 2021 года, о которой см. мой пост http://rusrim.blogspot.com/2021/11/isoiec-275552021.html .

Первоначально стандарт был подготовлен на основе немецкого стандарта DIN 66398:2016-05 «Руководство по разработке политики установления сроков хранения и уничтожения персональных данных» (Leitlinie zur Entwicklung eines Löschkonzepts mit Ableitung von Löschfristen für personenbezogene Daten, см. https://www.beuth.de/de/norm/din-66398/249218525 ), о котором я рассказывала здесь: http://rusrim.blogspot.com/search?q=27555 .

Во вводной части документа отмечается следующее:

«Многие функциональные процессы и ИТ-приложения используют персональные данные (personally identifiable information, PII), на которые распространяются различные законодательно-нормативные и иные обязательные требования, касающиеся обеспечения неприкосновенности частной жизни. В этой связи организациям необходимо обеспечить, чтобы персональные данные не хранились дольше, чем это необходимо, и чтобы она удалялись в надлежащее время. Это может потребовать от организаций соблюдения прав субъектов персональных данных, таких, как право добиваться их уничтожения («право быть забытым»). Стандарт ISO/IEC 29100 определяет для персональных данных принципы «минимизации данных» и «ограничения использования, хранения и раскрытия», соблюдение которых может быть обеспечено с использованием уничтожения в качестве меры безопасности.

Уничтожение персональных данных требует набора тщательно разработанных, четких и легко понимаемых правил уничтожения, учитывающих соответствующие сроки хранения, которые удовлетворяют требованиям множества заинтересованных сторон. Эти правила также должны соответствовать требованиям, вытекающим из сводов практики и других стандартов. Механизмы уничтожения должны быть корректно реализованы и надлежащим образом эксплуатироваться. Чтобы обеспечить соответствующее законодательно-нормативным требованиям уничтожение персональных данных, оператору персональных данных необходимо разработать политики и процедуры уничтожения, включающие набор правил и устанавливающие ответственность за соответствующие процессы. Шансы на успех разработки и реализации этих политик и процессов могут быть увеличены, если оператор персональных данных будет использовать общепризнанный подход к их разработке и внедрению.

В настоящем документе предлагается концепция разработки и реализации политик и процедур уничтожения персональных данных, которая может быть внедрена в организации. Данная концепция обеспечивает согласованное уничтожение персональных данных в рамках организации, включая уничтожение и приостановление обработки ПДн по индивидуальным запросам.

… В настоящем документе содержатся рекомендации по разработке и реализации политик и процедур уничтожения персональных данных, в организациях, описывающие:

• гармонизированную терминологию в области уничтожения персональных данных,
  
  
• подход, обеспечивающий эффективное установление правил уничтожения,
  
  
• необходимую документацию, и
  
  
• достаточно общее определение ролей, обязанностей и процессов.

Настоящий документ предназначен для использования организациями, в которых хранятся или обрабатываются персональные данные. В нём не рассматриваются:

• специфические правовые положения, установленные национальным законодательством или контрактами,
  
  
• специфические правила уничтожения для определенных типов персональных данных, которые определяются осуществляющими обработку персональных данных операторами персональных данных;
  
  
• механизмы уничтожения,
  
  
• надёжность, безопасность и уместность механизмов уничтожения,
  
  
• конкретные методы деидентификации (обезличивания) данных.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обозначения и сокращения
5. Концепция уничтожения
6. Типы (clusters) персональных данных
7.  Установление сроков хранения / уничтожения (deletion periods)
8. Классификация указаний по срокам хранения / уничтожения данных (deletion classes)
9. Требования к исполнению правил уничтожения
10. Ответственность
Библиография

Источники: сайт ИСО / сайт BSI
https://www.iso.org/standard/92950.html
https://standardsdevelopment.bsigroup.com/projects/2025-03287 

CEN: Завершается работа над европейским стандартом prEN 18235-2 «Доверенные транзакции с данными - Часть 2: Требования к обеспечению доверия» (1)

(Продолжение)

Сайт Европейского комитета по стандартизации CEN (от фр. Comité Européen de Normalisation) в феврале 2026 года сообщил о завершении публичного обсуждения европейского стандарта prEN 18235-2 «Доверенные транзакции с данными – Часть 2: Требования к обеспечению доверия» (Trusted data transactions - Part 2: Trustworthiness requirements) объёмом 25 страниц, см. https://standards.cencenelec.eu/... 

Над стандартом работает европейский комитет по стандартизации CEN/CLC/JTC 25 «Управление данными, пространства данных, облачные технологии и периферийные вычисления» (Data management, Dataspaces, Cloud and Edge).
 

Во вводной части стандарта отмечается:

«Настоящий документ содержит требования и рекомендации по обеспечению доверия для участников информационного пространства, поддерживающие доверенные транзакции с данными.

В частности, он устанавливает набор основополагающих принципов для доверенных транзакций с данными; общие требования и рекомендации, применимые ко всем этапам доверенной транзакции с данными; а также специфические требования для каждого этапа доверенной транзакции с данными.

Данный документ применим в участвующих в пространствах данных организациях всех видов, вне зависимости от их типа и размера.»

Содержание документа следующее:

Европейское предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения 
4. Принципы доверенных транзакций с данными
5. Требования к обеспечению доверия

5.1. Введение
5.2. Общие требования
5.3. Предоставляемые права 
5.4. Публикация
5.5. Поиск и извлечение
5.6. Переговоры
5.7. Предоставление данных
5.8. Доступ к данным и их использование

Приложение A (справочное): Концепции обеспечения доверия (trust frameworks)
Приложение ZA (справочное): Взаимосвязь между данным европейским стандартом и требованиями к интероперабельности Регламента (ЕС) 2023/2854 Европейского парламента и Совета от 13 декабря 2023 года о гармонизированных правилах справедливого доступа к данным и их использования, также вносящий поправки в Регламент (ЕС) 2017/2394 и Директиву (ЕС) 2020/1828 («Закон о данных») (Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828 (Data Act)), которые планируется охватить.
Библиография

(Окончание следует, см. http://rusrim.blogspot.com/2026/06/cen-pren-18235-2-2-2.html )

Источник: сайт CEN / сайт BSI / сайт DIN
https://standards.cencenelec.eu/ords/f?p=CEN:110:::::FSP_PROJECT,FSP_ORG_ID:82007,3485479&cs=1070928C2E39633009E24B400A15D7B4A 
https://standardsdevelopment.bsigroup.com/projects/2025-03860 
https://www.din.de/en/getting-involved/standards-committees/nia/drafts/wdc-beuth:din21:398257912