Готовящиеся технические отчеты ИСО: Документы в облаке

Данная заметка была опубликована на сайте подкомитета Международной организации по стандартизации (ИСО) TC46/SC11 «Управление документами» в разделе «Текущие проекты».

В настоящее время продолжается работа над техническим отчетом ISO/DTR 22428 «Информация и документация – Управление документами в облаке: Вопросы и проблемы» (Information and documentation - Records management in the cloud: Issues and concerns, см. также https://www.iso.org/standard/73173.html ). Он будет содержать рекомендации по внедрению базовой модели менеджмента вопросов безопасности, а также правовых и технических проблем, касающихся документов.

Основные элементы информационной безопасности описаны во многих стандартах и руководствах - таких, как ISO/IEC 27001 «Информационные технологии - Методы и средства обеспечения безопасности - Системы менеджмента информационной безопасности - Требования» (Information technology - Security techniques - Information security management systems – Requirements), - которые охватывают оборудование, программное обеспечение и т.д., а также некоторые новые схемы соглашений об уровне обслуживания между клиентами и поставщиками (например, документы Альянса облачной безопасности, Cloud Security Alliance), но очень мало пока что затронута тема хранящихся в облаке электронных активов.

В число ключевых аспектов модели, разрабатываемой подкомитетом TC46/SC11, также входят правовые вопросы и вопросы нормативного регулирования, с учетом того, что эта модель должна обеспечивать понимание хорошей практики для большинства стран, законодательно-нормативная база которых определит пути её практической реализации.

В техническом отчете будут описаны:

• Процессы управления жизненным циклом (на основе стандартов ISO1 5489, ISO 30301, ISO 17068 и др.);


• Эталонные архитектуры (reference architectures) управления электронными документами;


• Как оценивать основные факторы риска для облачных сервисов (с точки зрения как заинтересованных сторон, так и поставщиков облачных услуг).

Работа над этим документом включает описание вариантов применения, помогающих объяснить основные проблемы, возникающие в нетехнической среде, в том числе:

• Вопросы безопасности в отношении электронных документов;


• Законодательно-нормативные требования и требования стандартов;


• Оценка риска для документов в любом облачном контексте;


• Необходимость принять во внимание возможность сбоев и неудач при резервном копировании и обеспечении долговременной сохранности.

Цель работы заключается в том, чтобы подготовить практичный и понятный инструмент как для технической, так и для деловой облачной среды, предложив варианты применения и примеры основных используемых в мировой практике схем.

Мой комментарий: В настоящее время идёт голосование по очередной версии 30-страничного документа, которое завершится в апреле 2018 года. Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общие требования

• 4.1. Процесс управления жизненным циклом электронного документа в облаке
• 4.2. Метаданные при управлении документами на основе облачных сервисов.
• 4.3. Облачная эталонная архитектура для управления аутентичными электронными документами

5. Модель заинтересованных в облачных услугах сторон

• 5.1. Действующие лица
• 5.2. Пользователь электронных документов
• 5.3. Аудитор
• 5.4. Агент-специалист по управлению документами в облаке (RM agency)
• 5.5. Поставщики облачных услуг

6. Варианты использования облачных электронных документов

• 6.1. Коллективно используемые клиентами SaaS-приложения
• 6.2. Разработанные клиентами SaaS-приложения
• 6.3. Использование клиентом только инфраструктуры как услуги (IaaS)
• 6.4. Использование клиентом нескольких IaaS-услуг
• 6.5. Облачный сервис депозитарного доверенного хранения (escrow)
• 6.6. Варианты с участием агента-специалиста по управлению документами в облаке

7. Факторы риска для электронных документов в облаке

• 7.1. Риски облачных сервисов
• 7.2. Факторы риска для заинтересованных сторон
• 7.3. Риски облачных систем

8. Социальные и правовые риски, связанные с документами в облаке

• 8.1. Правовые факторы риска
• 8.2. Социальные риски

В описании области применения отмечается:

В настоящем техническом отчете описываются все риски и проблемные вопросы, которые могут возникнуть при управлении документами с использованием облачных сервисов. Технический отчет охватывает вопросы и проблемы, относящиеся к облакам всех типов - публичным, частным и гибридным. В нём также описываются риски, связанные с многоуровневой архитектурой облачных сервисов.

Из-за существующих серьезных технических, деловых и социально-правовых рисков стороны, заинтересованные в управлении документами с использованием облачных сервисов, должны заблаговременно выявлять эти риски и принимать меры по их смягчению. Настоящий технический отчет также содержит общие требования и указывает заинтересованные стороны и риски, связанные с управлением документами в облаке.

Целевая аудитория настоящего технического отчета включает архивистов и специалистов по управлению документами, которые используют облачные сервисы для управления документами; разработчиков развертываемого в облаке программного обеспечения для управления документами и поставщиков облачных услуг для управления документами.

Источник: сайт технического подкомитета ISO/TC 46/SC 11
https://committee.iso.org/sites/tc46sc11/home/projects/ongoing/records-in-the-cloud.html