суббота, 29 февраля 2020 г.

Ассоциация IEEE и МЭК выпустили стандарт IEEE/IEC 82079-1-2019 подготовки информации (инструкций) по использованию продуктов


Международная ассоциация специалистов по электротехнике и радиоэлектронике IEEE (от Institute of Electrical and Electronics Engineers – «Институт инженеров по электротехнике и радиоэлектронике») и Международная электротехническая комиссия (МЭК – International Electrotechnical Commission, IEC) в мае 2019 опубликовали любопытный стандарт IEC/IEEE 82079-1:2019 «Подготовка информации (инструкций) по использованию продуктов – Часть 1: Принципы и общие требования» (Preparation of information for use (instructions for use) of products - Part 1: Principles and general requirements) объёмом 134 страницы, см. https://www.iso.org/standard/71620.html и https://www.iso.org/obp/ui/#!iso:std:71620:en .

Документ заменил ранее действовавшую редакцию 2012 года.

Во вводной части документа отмечается:
«Информация по использованию является частью продукта любого типа, который она поддерживает. Продуктом может быть система, услуга, товары, программное обеспечение, информация или их комбинация. Люди полагаются на эту информацию в том, что касается безопасного, эффективного и продуктивного использования продуктов, - если только они не прошли обучение у инструктора-человека или если функции не являются полностью интуитивными. Запутывающая информация о продукте и неадекватные инструкции являются основными источниками разочарования потребителей и квалифицированных специалистов. Некорректная информация может привести к риску причинения вреда или ущерба, приводящих к судебному преследованию или претензиям в отношении поставщика или владельца бренда.

Информация по использования включает сведения трёх типов: это концептуальная информация, которую должна понять целевая аудитория; инструктивная информация, которой необходимо следовать или которую нужно принимать во внимание; и справочная информация, к которой следует обращаться при необходимости. Информация по использованию может включать в себя различные информационные продукты, отбираемые, представляемые и доставляемые на различных носителях с целью удовлетворения потребностей различных целевых аудиторий.

Некоторые специфические для конкретного продукта информационные требования (например, формулировка предупреждений или расположение этикеток) установлены в стандартах для отдельных типов или классов продуктов; однако эти стандарты не предлагают полного набора требований к информации по использованию. Настоящий документ содержит принципы и общие требования в отношении передачи информации пользователям, которые применимы как к сложным и критически-важным для безопасности системам (например, промышленным предприятиям), так и к простым потребительским товарам (например, банкам с краской), программному обеспечению и специализированному испытательному оборудованию. Информация по использованию необходима всем людям (квалифицированным и неквалифицированным), кто впервые сталкивается с продуктом, будь то при сборке его из комплектующих частей, установке, эксплуатации, техническом обслуживании или утилизации.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Исполнение требований к информации по использованию продуктов
5. Принципы
6. Процесс менеджмента информации
7. Содержание информации по использованию продуктов
8. Структура информации по использованию продуктов
9. Носитель и формат информации по использованию продуктов
10. Профессиональные компетенции
Приложение A (справочное): Руководство по оценке
Библиография
Среди основных терминов можно найти следующие:
3.10 Документ (document) - фиксированный и структурированный объём информации, предназначенной для восприятия человеком, которой можно управлять и обмениваться между пользователями и системами как единым целым

[Источник: Стандарт IEC 61082-1:2014, 3.1.1]

3.11 Документация (documentation) – собрание документов, относящихся к определённой теме

3.17 Информации по использованию продуктов (information for use), инструкции по использованию продуктов (instructions for use) – предоставленная поставщиком информация, передающая целевой аудитории концепции, процедуры и справочные материалы, нужные для безопасного, эффективного и продуктивного использования поддерживаемого продукта в течение его жизненного цикла

Пример: Пошаговые инструкции, информация об устранении неполадок, информация об обслуживании, инструкции по эксплуатации и техническому обслуживанию, а также инструкции по сборке.

Примечание 1: Термин «Инструкции по использованию, процедуры безопасного, эффективного и действенного использования поддерживаемого продукта» ранее использовался для охвата всего контента, входящего в состав информации по использованию.

Примечание 2: Данное понятие не включает дополнительную информацию, которая выходит за рамки информации по использованию.

[Источник: Стандарт IEC 61082-1:2014, 3.1.3.]
Источник: сайт ИСО
https://www.iso.org/standard/71620.html
https://www.iso.org/obp/ui/#!iso:std:71620:en

Судебная практика: Нарушение работодателем срока предоставления документов и порядка их заверения


Думаю, что у многих коллег достаточно часто встречающаяся формулировка о заверении копий документов «надлежащим образом» вызывает раздражение, поскольку, как правило, не уточняется, что считается надлежащим заверением, а что нет.

Первомайский районный суд города Омска в феврале 2019 года рассмотрел дело №2 – 230/2019, в котором сотрудница учреждения здравоохранения Омской области «Центр медицинской реабилитации» просила признать незаконными действия работодателя по нарушению срока выдачи ей документов, возложении обязанности по выдаче документов надлежащим образом заверенных и взыскании компенсации морального вреда.
Для справки: В соответствии со ст.62 Трудового Кодекса РФ, по письменному заявлению работника работодатель обязан не позднее трех рабочих дней со дня подачи этого заявления выдать работнику трудовую книжку в целях его обязательного социального страхования (обеспечения); копии документов, связанных с работой (копии приказа о приеме на работу, приказов о переводах на другую работу, приказа об увольнении с работы; выписки из трудовой книжки; справки о заработной плате, о начисленных и фактически уплаченных страховых взносах на обязательное пенсионное страхование, о периоде работы у данного работодателя и другое). Копии документов, связанных с работой, должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.
Суть спора

Гражданка была в своё время принята на работу в Центр медицинской реабилитации Министерства здравоохранения Омской области на основании трудового договора на должности врача по лечебной физкультуре.

Она обратилась с заявлением на имя главного врача центра о выдаче ей надлежащим образом заверенных копий документов:
  • Расчетных листков по заработной плате с января по ноябрь 2018 года включительно;

  • Оценочных листов выполнения показателей эффективности деятельности врача, начиная с января по ноябрь 2018 года включительно;

  • Приказа о принятии на работу;

  • Трудового договора, со всеми изменениями и дополнениями;

  • Должностной инструкции врача.
Работодатель направил по почте запрошенные гражданкой копии заверенных документов, в том числе:
  • Приказ о приеме на работу;

  • Трудовой договор;

  • Дополнительные соглашения к трудовому договору с приложениями критериев оценки эффективности деятельности врача лечебной физкультуры;

  • Должностную инструкцию врача по лечебной физкультуре;

  • Оценочные листы за выполнение показателей эффективности деятельности врача по лечебной физкультуре за период с января по ноябрь 2018 года;

  • Акт отказа работника от подписания документов;

  • Расчетные листки по заработной плате за период с января по ноябрь 2018.
Гражданка отметила, что запрашиваемые документы были предоставлены ей за пределами срока, установленного ст.62 ТК РФ, при этом представленные копии были оформлены ненадлежащим образом.

Позиция Первомайского районного суда города Омска

Суд отметил, что перечень документов (копий документов), перечисленных в ч.1 ст.62 ТК РФ, не является исчерпывающим. Помимо названных в ст.62 ТК РФ работодатель обязан по письменному требованию работника выдать ему и другие документы, связанные с трудовой деятельностью.

По мнению суда, при реализации ст.62 ТК РФ, не устанавливающей определенного перечня документов, применяется общий порядок выдачи копий, установленный Указом Президиума Верховного Совета СССР от 4 августа 1983 года №9779-X «О порядке выдачи и свидетельствования предприятиями, учреждениями и организациями копий документов, касающихся прав граждан».

В соответствии с Указом, государственные и общественные предприятия, учреждения и организации выдают по заявлениям граждан копии документов, исходящих от этих предприятий, учреждений и организаций, если такие копии необходимы для решения вопросов, касающихся прав и законных интересов обратившихся к ним граждан. Копии выдаются на бланках предприятий, учреждений и организаций. Верность копии свидетельствуется подписью руководителя или уполномоченного на то должностного лица и печатью. На копии указывается дата ее выдачи и делается отметка о том, что подлинный документ находится в данном предприятии, учреждении, организации.

Оценивая качество заверения копий, суд сослался на следующие положения ГОСТов:
  • В подпункте 25 пункта 3.1 ГОСТ Р 7.0.8-2013 «Система стандартов по информации, библиотечному и издательскому делу. Делопроизводство и архивное дело. Термины и определения» (утв. приказом Росстандарта от 17.10.2013 N 1185-ст) указано, что заверенной копией документа является копия, на которой проставлены реквизиты, обеспечивающие её юридическую значимость;

  • Пунктом 5.26 ГОСТ Р 7.0.97-2016 «Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов» (утв. приказом Росстандарта от 08.12.2016 №2004-ст) предусмотрено, что отметка о заверении копии оформляется для подтверждения соответствия копии документа (выписки из документа) подлиннику документа. Отметка о заверении копии проставляется под реквизитом «Подпись» и включает: слово «Верно»; наименование должности лица, заверившего копию; его собственноручную подпись; расшифровку подписи (инициалы, фамилию); дату заверения копии (выписки из документа).
По мнению суда, поскольку расчетные листки по заработной плате, оценочные листы за выполнение показателей эффективности деятельности врача, приказа о принятии на работу; трудовой договор, со всеми изменениями и дополнениями; должностная инструкция относятся к документам, связанным с работой гражданки, то в силу ст.62 ТК РФ их копии должны быть предоставлены работодателем по письменному заявлению не позднее трех рабочих дней со дня подачи соответствующего заявления. При этом копии и сведения документов о работе должны быть заверены надлежащим образом и предоставляться работнику безвозмездно.

Судом было установлено, что пакет затребованных документов был направлен работодателем за пределами срока, установленного ст.62 ТК РФ - копии направленных ответчиком документов датированы 29.11.2018 года. Доказательств, безусловно подтверждающих выдачу гражданке указанных документов в установленный законом срок, работодателем не представлено.

На этом основании суд пришел к выводу о том, что ответчиком допущено нарушение положений ст.62 ТК РФ, выразившееся в непредставлении работнику в установленный срок копий документов, связанных с работой.

Как установлено судом, по запросу гражданки выданы оформленные как копии расчетные листы, которые не содержат даты заверения копии, в копиях оценочных листов фамилия и должность заверившего копию лица нечитаема, ненадлежащим образом оформлена также копия должностной инструкции.

В процессе судебного разбирательства работодатель передал гражданке надлежащим образом заверенные копии следующих документов:
  • Приказ о приеме на работу;

  • Трудовой договор;

  • Дополнительные соглашения к трудовому договору с приложениями критериев оценки эффективности деятельности врача лечебной физкультуры.
В то же время, не были представлены надлежащим образом заверенные копии иных запрошенных документов:
  • Должностная инструкция врача по лечебной физкультуре;

  • Оценочные листы за выполнение показателей эффективности деятельности врача по лечебной физкультуре за период с января по ноябрь 2018;

  • Расчетные листки по заработной плате за период с января по ноябрь 2018 года.
Суд пришел к выводу, что центр обязан представить сотруднице надлежащим образом заверенные копии расчетных листков, оценочных листков, должностной инструкции врача, поскольку указанные документы непосредственно связаны с ее деятельностью у ответчика. Ранее указанные документы были представлены ей в копиях, оформленных  ненадлежащим образом.

Судом установлено, что неправомерными действиями ответчика, выразившимися в несвоевременной выдаче запрашиваемых работником документов, нарушены трудовые права истца, - следовательно, требования истца о компенсации ответчиком причиненного ей морального вреда являются обоснованными и подлежащими удовлетворению. С учетом обстоятельств дела, требований разумности и справедливости, степени причиненных истцу страданий суд счёл возможным взыскать с ответчика в пользу истца в счет компенсации морального вреда 3 тысяч рублей.

Суд частично удовлетворил исковые требования гражданки, признал незаконными действия «Центра медицинской реабилитации», выразившиеся в нарушении срока выдачи копий документов. Суд обязал Центр выдать гражданке надлежащим образом заверенные копии.

Судебная коллегия по гражданским делам Омского областного суда в мае 2019 года (дело №33-3229/2019) оставила без изменения решение Первомайского районного суда г. Омска, а апелляционную жалобу Бюджетного учреждения здравоохранения Омской области «Центр медицинской реабилитации» - без удовлетворения.

Источник: сайт Первомайского районного суда города Омска/Консультант Плюс
https://pervomaycourt--oms.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=13216825&delo_id=1540005&new=0&text_number=1
http://www.consultant.ru/cons/cgi/online.cgi?rnd=D7D613F101BA922C7B677F8ECBF4B5C7&req=doc&base=SOSB&n=265460

пятница, 28 февраля 2020 г.

Новый аналитический отчёт консорциума 3DPDF «Осознание роли блокчейна и связанных с ним рисков в доверенных системах»


30 января 2020 года сайт IGGuru.net опубликовал коротенькую новость о выходе в свет нового аналитического отчёта консорциума 3DPDF (3DPDF Consortium) под названием «Осознание роли блокчейна и связанных с ним рисков в доверенных системах» (White Paper: Understanding Blockchain’s Role and Risks in Trusted Systems) объёмом 49 страниц, который можно скачать по адресу http://3dpdfconsortium.org/wp-content/uploads/2020/01/ECM_Standards_Blockchain_WhitePaper-Final.pdf

В новости было сказано следующее:
«Работу над этом свежим документом о роли и рисках блокчейна в системах возглавляла известный специалист по управлению документами и информацией и стратегическому управлению информацией д-р Патриция (Пэт) Фрэнкс (Dr. Pat Franks - на фото), которая является профессором Университета Сан-Хосе (San Jose State University).

Документ доступен здесь: http://3dpdfconsortium.org/white-papers/ ».
В аннотации к отчёту на сайте консорциума 3DPDF отмечается:
«В данном аналитическом отчёте («белой книге») изучается концепция заслуживающей доверия информации (trusted information) в связи с использованием технологии блокчейна как одной из форм технологий распределенных реестров (Distributed Ledger Technologies, DLT).

Документ содержит рекомендации для специалистов по стратегическому/полномасштабному управлению информацией, отвечающих в своих организациях за информационные активы.

В отчёте выделяются ключевые особенности текущего рынка, а также существующие проблемы и возможности. Он предлагает специалистам отрасли сведения и анализ, касающиеся потенциального использования DLT-технологий (которые проходят в данном отчёте под названием «блокчейн») для таких вариантов применения, как выборы, управление идентификацией при осуществлении онлайн-транзакций, управление цепочками поставок / борьба с контрафактом продуктов питания, бизнес-процессы и потоки работ (workflow) и Интернет вещей (IoT).

Данный отчёт представляет собой аналитический ресурс для руководителей высшего звена и специалистов по стратегическому управлению информацией государственных органов и коммерческих организаций при изучении технологий распределённых реестров, разработке стратегий использовании DLT-технологий и/или планировании программ, связанных с этими технологиями. Отчёт описывает ключевые особенности рынка на данный момент, а также известные (на момент публикации) проблемы и возможности.»
Содержание аналитического отчёта следующее:
Краткое резюме для руководства
Введение
Термины и определения
Концепции
Блокчейн и жизнестойкость
Формы технологий блокчейна
Стратегическое/полномасштабное управление информацией
Варианты применения
Соображения относительно рисков и аудита
Выводы
Приложения
Библиография
О консорциуме 3DPDF
О процессе подготовки и утверждения аналитического отчёта
В резюме для руководства подчёркивается: «Сегодня во всём мире организации изучают возможности применения технологии блокчейна для создания доверия при взаимодействии с гражданами и потребителями, для защиты данных и снижения эксплуатационных расходов. Настоящий аналитический отчёт, являющийся результатом многолетнего сотрудничества между представителями государственного и частного секторов, поможет читателю понять проблемы, возможности, преимущества и риски, связанные с передачей доверия от учреждений к технологическим решениям на основе технологий блокчейна и распределенных реестров.»

Источник: сайт IGGuru.net / сайт консорциума 3DPDF
https://igguru.net/2020/01/30/white-paper-understanding-blockchains-role-and-risks-in-trusted-systems-via-3dpdf-consortium/ 
http://3dpdfconsortium.org/white-papers/
http://3dpdfconsortium.org/wp-content/uploads/2020/01/ECM_Standards_Blockchain_WhitePaper-Final.pdf

9-я проводимая раз в три года конференция DLM-форума пройдёт в Берлине с 9 по 11 сентября 2020 года


Данная новость была опубликована 19 февраля 2020 года на веб-сайте DLM-форума.

Федеральный архив Германии рад пригласить участников DLM-форума на 9-ю проводимую раз в три года конференцию в Берлине, которая пройдёт 9-11 сентября 2020 года.

Добро пожаловать в «Город Свободы»! Берлин, столица Германии - это оживленный мегаполис в центре Европы. Откройте для себя город, богатый историей и историческими достопримечательностями, но в то же время современный, в котором бьётся пульс нашего времени.

Посетите знаменитые достопримечательности, такие как Бранденбургские ворота, Рейхстаг, телебашня и Потсдамская площадь. Различные музеи и галереи - не только Музейного острова, но и по всему Берлину, - приглашают Вас познакомиться с хранящимися в них произведениями искусства и сокровищами культуры. После захода солнца захватывающая ночная жизнь Берлина, с барами, клубами и концертами на любой вкус, ждет всех ищущих развлечений ночных «сов».

Главными темами конференции в Берлине станут сила данных: инновационные концепции, ориентированные на данные; новые услуги и сервисы для клиентов. Также будут возможности для общения участников между собой. Конференция DLM-форума, которая проводится каждые три года, является хорошей возможностью для того, чтобы обсудить новые проблемы и опыт в области управления информацией и обеспечения долговременной сохранности электронных данных.

Ждём вас в Берлине!

Источник: сайт DLM-форума
http://www.dlmforum.eu/index.php/home/all-events/111-dlm-forum-9th-triennial-conference-in-berlin-9-11-september-2020

Новое в законе об электронной подписи: Выдача сертификатов и идентификация заявителей


Уже много лет специалисты в области инфраструктуры открытых ключей (PKI) подчеркивали, что процедуры выдачи удостоверяющими центрами сертификатов ключей проверки подписи и идентификации его владельцев ненадежны, что позволяет получать сертификаты неуполномоченным лицам.

Федеральный закон от 27 декабря 2019 года №476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» внёс изменения в две статьи закона: ст.13 «Удостоверяющий центр» и ст.18. «Выдача квалифицированного сертификата» (по данной статье см. отдельный пост – Н.Х.), уточнив порядок выдачи сертификатов.

В статью 2 «Основные понятия, используемые в настоящем Федеральном законе» включено понятие «заявитель» (п.16), под которым понимаются:
  • Коммерческая организация;

  • Некоммерческая организация;

  • Индивидуальный предприниматель;

  • Физическое лицо, не зарегистрированное в качестве индивидуального предпринимателя, но осуществляющее профессиональную деятельность, приносящую доход, в соответствии с федеральными законами на основании государственной регистрации и (или) лицензии, в силу членства в саморегулируемой организации;

  • Любое иное физическое лицо;

  • Лица, замещающие государственные должности РФ или государственные должности субъектов РФ;

  • Должностные лица государственных органов, органов местного самоуправления;

  • Работники подведомственных таким органам организаций;

  • Нотариусы и уполномоченные на совершение нотариальных действий лица.
Именно они будут обращаться с соответствующим заявлением на выдачу сертификата ключа проверки электронной подписи в удостоверяющий центр в качестве его будущего владельца.

Удостоверяющий центр (ст.13 п.1 ч.2) «создает сертификаты ключей проверки электронных подписей и выдает такие сертификаты заявителям при условии идентификации заявителя». В прежней версии закон говорил о выдаче сертификатов «лицам, обратившимся за их получением (заявителям), при условии установления личности получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата».

Идентификация заявителя проводится:
  • При его личном присутствии;

  • Посредством идентификации заявителя без его личного присутствия с использованием квалифицированной электронной подписи при наличии действующего квалифицированного сертификата;

  • Посредством идентификации заявителя - гражданина РФ с применением информационных технологий без его личного присутствия путем предоставления информации, указанной в документе, удостоверяющем личность гражданина РФ за пределами территории РФ, содержащем электронный носитель информации с записанными на нем персональными данными владельца паспорта, включая биометрические персональные данные;

  • Путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы в порядке, установленном Федеральным законом от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации».
Мой комментарий: Совершенно ясно, что данные требования выполнимы только для физических лиц. Больше всего сомнений у меня вызывает вариант, связанный с применением ещё действующей квалифицированной электронной подписи. Если злоумышленники, например, до неё один раз «доберутся», у них не возникнет проблем для многократного перевыпуска сертификата во всех УЦ страны.

В случае, если физическое лицо для предоставления своих биометрических персональных данных в целях проведения идентификации без личного присутствия отказывается от использования шифровальных (криптографических) средств, удостоверяющий центр обязан отказать такому лицу в проведении идентификации.

Мой комментарий: Необходимо также отметить, что требования по идентификации заявителя дословно повторены в ст.18 закона.

При этом УЦ обязан (ч.2): «незамедлительно информировать владельца квалифицированного сертификата о выявленных случаях приостановления (прекращения) технической возможности использования ключа электронной подписи, не предусмотренных соглашением сторон, или возникновения у аккредитованного удостоверяющего центра обоснованных сомнений в получении поручения от уполномоченного соглашением сторон лица об использовании ключа электронной подписи (при осуществлении аккредитованным УЦ деятельности, предусмотренной частью 2.2 статьи 15 настоящего Федерального закона).»

Теперь УЦ вправе наделить третьих лиц (ч.4) полномочиями:
  • По вручению сертификатов ключей проверки электронных подписей от своего имени;

  • По приему заявлений на выдачу сертификатов.
При совершении порученных УЦ действий доверенное лицо обязано идентифицировать заявителя при его личном присутствии. Ранее закон содержал требование:
«установить личность получателя сертификата (заявителя) либо полномочия лица, выступающего от имени заявителя, по обращению за получением данного сертификата в соответствии с порядком реализации функций удостоверяющего центра и исполнения его обязанностей, установленным наделившим указанное доверенное лицо полномочиями по вручению сертификатов ключей проверки электронной подписи удостоверяющим центром»
Мой комментарий: Ключевым в данном случае является требование личного присутствия заявителя. Однако, как мне кажется, проблема может возникнуть с вечно занятыми первыми лицами коммерческих организаций. Если сейчас взаимодействие с УЦ шло через уполномоченных лиц, то теперь придётся организовать их личную явку. Перестройка всей этой работы может потребовать серьёзных усилий.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=341757 

четверг, 27 февраля 2020 г.

Аудиозапись интервью с электронным архивистом Стэнфордского университета (США) Питером Чаном об архивации электронной почты


Заметка под названием «Питер Чен: Проблемы, стоящие перед архивистами, собирающими электронные письма» (Peter Chan - challenges facing archivists collecting emails) была опубликована 2 февраля 2020 года на сайте Радио Новой Зеландии (RNZ) – независимой общественной мультимедийной организации Новой Зеландии. Надеюсь, этот материал будет полезен коллегам, владеющим английским языком.

Корреспондент «Радио Новая Зеландия» Лора Доуни (Laura Dooney) посетила библиотеку им. Александра Тернбулла (подразделение Национальной библиотеки Новой Зеландии – Н.Х.), чтобы поговорить с Питером Ченом, и узнать его мнение о том, почему так важны сбор и сохранение электронной переписки.

Аудиозапись продолжительностью 15 минут доступна по адресу https://podcast.radionz.co.nz/sro/sro-20200202-1440-peter_chan_-_challenges_facing_archivists_collecting_emails-128.mp3

Питер Чен

Люди, занимающиеся сбором и архивацией нашей истории, вынуждены решать проблему того, как собирать и сохранять миллионы электронных писем - стремясь сохранить эту часть нашего культурно-исторического наследия.

30 и 31 января 2020 года в рамках празднования столетия библиотеки им. Александра Тернбулла (Alexander Turnbull Library) прошёл симпозиум по архивированию электронной почты.

Основным докладчиком был электронный архивист Стэнфордского университета (Stanford University, США) Питер Чен, который считается одним из лучших в своей области.

Г-н Чен руководил созданием программного обеспечения с открытым исходным кодом, помогающего сортировать электронные письма и облегчающего доступ и поиск для исследователей - оно называется ePADD (о нём см. https://library.stanford.edu/projects/epadd ).

Это программное обеспечение используется и Национальной библиотекой Новой Зеландии, в рамках её усилий по архивации цифровой истории страны.

Источник: сайт «Радио Новая Зеландия»
https://www.rnz.co.nz/national/programmes/standing-room-only/audio/2018732395/peter-chan-challenges-facing-archivists-collecting-emails

США: Национальный институт стандартов и технологий опубликовал вторую редакцию руководства NIST SP 800-171 по защите контролируемой несекретной информации в нефедеральных системах и организациях


Американский Национальный институт стандартов и технологий (National Institute of Standards and Technology, NIST) в конце февраля 2020 года опубликовал окончательный текст второй редакции специальной публикации NIST SP 800-171 «Защита контролируемой несекретной информации в нефедеральных системах и организациях» (NIST Special Publication 800-171, Revision 2, Protecting Controlled Unclassified Information in Nonfederal Information Systems and Organizations), который доступен по адресу https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-171r2.pdf . Объём документа 113 страниц (для сравнения – объём первой редакции, о которой я рассказывала здесь: http://rusrim.blogspot.com/2015/07/blog-post_15.html , был «всего лишь» 76 страниц).

В аннотации, в частности, сказано:
«Защита контролируемой несекретной информации (controlled unclassified information, CUI) в то время, когда она находится в нефедеральных системах и организациях, имеет первостепенное значение для федеральных органов исполнительной власти и может напрямую повлиять на способность органов федерального правительства выполнять свои миссии и осуществлять деловые операции.

Настоящая публикация предоставляет федеральным органам исполнительной власти набор рекомендуемых требований по безопасности, направленных на защиту конфиденциальности такой информации:

1. Когда такая информация хранится в нефедеральных системах и организациях;

2. Когда системы, в которых находятся контролируемая несекретная информация, не используются и не управляются подрядчиками федеральных органов исполнительной власти или иными организациями от имени этих федеральных органов; и

3. Когда для категории или подкатегории CUI, включённой в Реестр CUI (CUI Registry) нет специфических требований по защите конфиденциальности CUI-информации, установленных законом, нормативным актом или общегосударственной политикой.

Во второй редакции документа внесены незначительные редакционные изменения в главы 1 и 2, а также в глоссарий, список сокращений и список литературы (в приложениях). Базовые и производные требования по безопасности в главе 3 остались без изменений.»
Содержание документа следующее:
Глава 1. Введение
1.1. Назначение и область применения
1.2. Целевая аудитория
1.3. Структура настоящей специальной публикации

Глава 2. Основные положения
2.1. Основные допущения
2.2. Разработка требований по безопасности

Глава 3. Требования
3.1. Меры управления доступом
3.2. Ознакомление и обучение
3.3. Аудит и подотчётность
3.4. Менеджмент конфигурации
3.5. Идентификация и аутентификация
3.6. Реагирование на инциденты
3.7. Техническая поддержка
3.8. Защита носителей информации
3.9. Защита от действий персонала
3.10. Физическая защита
3.11. Оценка рисков
3.12. Оценка положения дел с обеспечением безопасности
3.13. Защита систем и каналов связи
3.14. Обеспечение целостности систем и информации

Приложение A: Литература
Приложение B: Глоссарий
Приложение C: Сокращения
Приложение D: Таблицы соответствия требований и мер безопасности
Приложение E: Таблицы степени обязательности и возможности кастомизации мер и средств обеспечения безопасности
Источник: сайт NIST
https://csrc.nist.gov/publications/detail/sp/800-171/rev-2/final 

Конференция ВНИИДАД: Внедрение системы долгосрочного хранения цифровых документов в условиях высокой децентрализации


7 ноября 2019 года на XXVI Международной научно-практической конференции «Документация в информационном обществе: делопроизводство и архивное дело в условиях цифровой трансформации» заместитель директора Исторического архива Кёльна (Германия) Ульрих Фишер представил доклад «Внедрение системы долгосрочного хранения цифровых документов в условиях высокой децентрализации».

Выступает Ульрих Фишер

Видеозапись доклада выложена по адресу: https://www.youtube.com/watch?v=i4gPmLr5yq8



Источник: YouTube
https://www.youtube.com/watch?v=i4gPmLr5yq8

среда, 26 февраля 2020 г.

США: Национальные Архивы ищут новую облачную платформу для управления документами


Данная заметка была опубликована 5 февраля 2020 года на сайте MeriTalk - государственно-частного партнерства, занимающегося информированием и аналитической работой в интересах повышения эффективности государственных

Здание Национальных Архивов США (Фото: Shutterstock)

Национальные Архивы США (NARA) ищут новые облачные сервисы, которые помогли бы им достичь намеченную на 2022 год цель в полной мере перейти на управление документами в электронной среде.

Запрос NARA на сайте правительства США

В опубликованном 30 января 2020 года запросе на информацию (RFI, https://beta.sam.gov/opp/1fb0afff7ec6468a92e553ed92d74bd8/view#general ) Национальные Архивы объясняют, что совместный меморандум Административно-бюджетного управления президентской администрации и Национальных Архивов OMB/NARA M-19-21 «Переход к электронным документам» (Transition To Electronic Records, https://www.whitehouse.gov/wp-content/uploads/2019/06/M-19-21.pdf ) требует от ведомства перейти на электронное управление документами. Для этого абсолютно необходима новая облачная среда для размещения документов.

«От Национальных Архивов требуется большая гибкость и эффективность в части закупки и предоставлении своих облачных услуг конечным пользователям, включая новые услуги по мере того, как те становятся доступными через поставщиков облачных услуг (cloud service provider, CSP)», - говорится в извещении. «Другие федеральные органы исполнительной власти, передающие свои документы на архивное хранение в NARA, могут передавать их из различных сред облачного хостинга, и Национальные Архивы должна быть готовы к тому, чтобы обеспечить эффективную передачу самих документов вместе с ответственностью за их сохранность и прав на них».

Национальные Архивы надеются заменить свой ныне действующий контракт на корпоративное облако на новый контракт с поставщиком одной или нескольких облачных услуг, включающий в себя возможность использовать «инфраструктуру как услугу» (IaaS), «платформу как услугу» (PaaS) и программное обеспечение как услугу» (SaaS). Ведомство будет использовать ответы на данный запрос о предоставлении информации при разработке своей стратегии маркетинговых исследований и стратегии закупки нового облака.

Ответы на запрос должны быть представлены до 20 февраля.

Источник: сайт MeriTalk
https://www.meritalk.com/articles/nara-seeking-new-cloud-platform-for-records-management/

Утверждена Инструкция по применению Перечня типовых управленческих архивных документов


Приказом Федерального архивного агентства № 237 от 20 декабря 2019 года утверждена
«Инструкция по применению Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения», которая вступает в силу 25 февраля 2020 года.

Инструкция, прежде всего, дает общее представление о том, для чего, по мнению Росархива, нужен Перечень, и кто в первую очередь должен его использовать в своей деятельности. Предполагается, что это:
  • Экспертные комиссии, делопроизводственных и архивных служб государственных органов, органов местного самоуправления, организаций, а также

  • Экспертно-проверочных комиссий федеральных государственных архивов, уполномоченных органов исполнительной власти субъектов РФ в сфере архивного дела, государственных и муниципальных архивов, научных организаций, включенных в Перечень федеральных органов исполнительной власти и организаций, осуществляющих депозитарное хранение документов Архивного фонда РФ, находящихся в федеральной собственности.
Инструкция устанавливает, что Перечень:
  • Является нормативным правовым актом, устанавливающим сроки хранения типовых управленческих архивных документов, образующихся в процессе деятельности организаций, на основе требований действующего законодательства, иных нормативных правовых актов с учетом практических задач хранения документов и их исторической ценности» (п.2.1);

  • Включает виды документов, образующихся при документировании однотипных (общих для большинства организаций) управленческих функций, выполняемых организациями независимо от их организационно-правовых форм и форм собственности (п.2.2).
Ключевым разделом инструкции, с моей точки зрения, является раздел «IV. Определение сроков хранения документов». Правда, про определение сроков хранение в данном разделе практически ничего не сказано, просто разъясняется, как применять и трактовать то, что указано в перечне.

Сроки хранения архивных документов независимо от места их хранения исчисляются с 1 января года, следующего за годом, в котором они были закончены делопроизводством. Временные сроки хранения реестров, книг, журналов исчисляются с 1 января года, следующего за годом, в котором было завершено их ведение (п.4.1).

Мой комментарий: Мне совсем понятно, зачем в подзаконном акте повторять нормы законодательства.
Федеральный закон от 22.10.2004 № 125-ФЗ «Об архивном деле в Российской Федерации»

Статья 21.1. Установление и исчисление сроков хранения архивных документов

1. Сроки хранения архивных документов устанавливаются федеральными законами, иными нормативными правовыми актами Российской Федерации, а также перечнями документов, предусмотренными частью 3 статьи 6 и частями 1 и 1.1 статьи 23 настоящего Федерального закона.

2. Сроки хранения архивных документов независимо от места их хранения исчисляются с 1 января года, следующего за годом, в котором они были закончены делопроизводством (в значении, предусмотренном пунктом 17 статьи 3 настоящего Федерального закона).
Сроки хранения не зависят от вида носителя и ограничения доступа к ним (п.4.2).

4.3. Сроки временного хранения (1 год, 3 года, 5 лет, 6 лет, 10 лет, 15 лет, 45 лет, 50 лет и 75 лет), установленные Перечнем, должны соблюдаться всеми организациями независимо от их организационно-правовых форм и форм собственности. После истечения сроков временного хранения документы подлежат уничтожению. Уничтожение документов до истечения сроков их временного хранения запрещается. Нарушение требований о хранении документов влечет за собой ответственность, предусмотренную законодательством Российской Федерации.

Мой комментарий: А вот с требованием о соблюдении сроков хранения я не согласна. Постоянно выявляются факты, когда сроки хранения, установленные Перечнями, противоречат срокам хранения, установленным законами РФ. Росархив вместо того, чтобы разъяснить, как действовать в таких случаях, требует нарушались нормы законов!

Кроме того, Росархив делает вид, что ему неизвестно о том, что сроки и порядок хранения документов организациями целого ряда отраслей по закону устанавливаются банком России.

Документы временного срока хранения не являются архивными документами :) , и  в Перечне архивных документов им не место.

Срок хранения «Постоянно», установленный для определенных видов документов, означает, что, если они образовавшиеся в деятельности источников комплектования государственных или муниципальных архивов, они включаются в состав Архивного фонда Российской Федерации и подлежат передаче на постоянное хранение после истечения сроков их временного хранения в организациях (п.4.4):
  • 15 лет для документов федеральных органов государственной власти, иных государственных органов РФ (в том числе органов прокуратуры РФ, Центральной избирательной комиссии РФ, Счетной палаты РФ, Центрального банка РФ (Банка России), а также для документов государственных внебюджетных фондов, государственных корпораций, государственных компаний и федеральных организаций;

  • 10 лет для документов органов государственной власти, иных государственных органов субъектов РФ и организаций субъектов РФ;

  • 5 лет для документов органов местного самоуправления и муниципальных организаций.

  • Негосударственные организации передают их в сроки, определенные договором.
Мой комментарий: Все, конечно прекрасно, но это означает, что эти же сроки ведомственного хранения распространяются и на электронные документы – что, вообще говоря, глупо. Об этом знают немногочисленные российские электронные архивисты, а вот авторам Перечня об этом, видно, пока ещё не сказали :)

Напомню также, что срок хранения «постоянно» вовсе не гарантирует того, что документы будут приняты на хранение государственными и муниципальными архивами. Очень часто организации тратят немалые средства на хранение документов, которые никому не нужны - и ни Росархив, ни государственные и муниципальные архивы не несут ответственности за экономический ущерб, который их бестолковость наносит организациям.

В организациях, которые не являются источниками комплектования государственных или муниципальных архивов эти документы хранятся не менее 10 лет.

Мой комментарий: Если документ не нужно хранить более 10 лет, не нужно ставить ему срок хранения «постоянно» - хотя бы для того, чтобы не дискредитировать Перечень ещё больше.

Также разъясняется, что подразумевается под следующими сроками хранения:
  • Срок хранения «До ликвидации организации» -  документы хранятся в организации до её ликвидации, независимо от того, выступает или не выступает эта организация источником комплектования государственного или муниципального архива. При ликвидации организации эти документы подлежат экспертизе ценности на предмет возможного включения в состав Архивного фонда РФ (п.4.5).

    Мой комментарий: Законодательство РФ не предусматривает подобной экспертизы в случае ликвидации организации, не являющейся источником комплектования,-  но мечтать, конечно, не вредно!

  • Срок хранения «До минования надобности» - организация сама определяет их срок хранения, однако этот срок не может быть менее одного года. Этот срок хранения установлен для таких документов, как проекты локальных нормативных актов организации, документы, присланные для сведения, копии документов (п.4.6).

    Мой комментарий: Я ни разу не встречала судебного решения, в котором организацию наказали бы за несвоевременное уничтожение документов с таким сроком хранения – и, думаю, и не увижу :)

  • Срок хранения «До замены новыми» применяется, как правило, к копиям нормативных документов, которые присылаются в организацию для использования в работе, и означает, что они хранятся до их отмены и замены новыми (п. 4.7.).
Срок хранения 50/75 лет, установленный для документов по личному составу, означает следующее (п.4.8):
  • Срок хранения указанных документов, законченных делопроизводством до 1 января 2003 года, составляет 75 лет;

  • Срок хранения указанных документов, законченных делопроизводством после 1 января 2003 года, составляет 50 лет;

  • По истечении данных сроков хранения документы по личному составу, образовавшиеся в процессе деятельности источников комплектования государственных и муниципальных архивов, подлежат экспертизе ценности;

  • Документы по личному составу, образовавшиеся в связи с прохождением гражданами государственной службы, не являющейся государственной гражданской службой, хранятся в государственных органах, в которых граждане проходили государственную службу, не являющуюся государственной гражданской службой, в течение 75 лет после прекращения государственной службы с проведением экспертизы ценности документов после истечения указанного срока хранения.
Мой комментарий: В связи с включением в Трудовой Кодекс новых норм, связанных с передачей данных о трудовой деятельности в Пенсионный Фонд РФ, возможно, изменится состав документов и сроки их хранения. Правда, Росархив об этом узнает лишь в следующем столетии :)

Отметка «ЭПК», проставленная к срокам хранения отдельных видов документов, означает, что они могут быть отобраны на постоянное хранение по результатам экспертизы их ценности (п.4.9).

Снижение сроков хранения, установленных Перечнем, запрещается (п. 4.10). Организации вправе продлевать сроки временного хранения при проведении экспертизы ценности. Повышение установленных Перечнем сроков хранения допускается в тех случаях, когда это обусловлено особенностями работы конкретной организации и ее практическими потребностями (п.4.11).

Мой комментарий: Установление в Перечне сроков хранения, превышающих те, что установлены для соответствующих видов документов законодательством, незаконно. Что касается продления сроков хранения, то не всегда это законно, и особенно осторожными следует быть с документами, содержащими персональные данные, для которых цели обработки ПДн достигнуты.

Перечень используется федеральными органами государственной власти, иными государственными органами Российской Федерации, органами местного самоуправления (п.5.1):
  • При подготовке ими перечней документов, образующихся в процессе их деятельности, а также в процессе деятельности подведомственных им организаций, с указанием сроков их хранения, типовых и примерных номенклатур дел для территориальных органов и подведомственных организаций;

  • Всеми организациями при разработке индивидуальных номенклатур дел.
При разработке перечней используется (п.5.2):
  • Структура Перечня;

  • Видовой состав документов, отраженный в его статьях,

  • Сроки хранения документов.
Сроки хранения документов в перечнях не могут быть ниже тех сроков, которые установлены Перечнем для документов того же вида.

При подготовке номенклатур дел используются (п.5.3):
  • Приведенный в перечне видовой состав документов;

  • Установленные перечнем сроки их хранения. Наименования видов документов конкретизируются.
К сроку хранения дается ссылка на статью Перечня. При наличии других перечней, типовых или примерных номенклатур дел дается ссылка на соответствующий перечень (номенклатуру).

Документы должны приниматься на хранение в государственные, муниципальные архивы, как правило, в виде подлинников. При их отсутствии могут приниматься заверенные копии (п.5.4).

Мой комментарий: Последний, юридически безграмотный пункт вообще никакого отношения к Перечню не имеет. Зачем его включили в документ, можно лишь догадываться …

С моей точки зрения, большую часть пунктов Инструкции можно было включить в Перечень в виде комментариев, поскольку на нормы, регламентирующие порядок использования этого документа, они явно «не тянут».

Проблема грамотного установления сроков хранения давняя и, к сожалению, данный документ вряд ли будет способствовать её решению.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=345467

вторник, 25 февраля 2020 г.

В мае 2020 года в Хорватии состоится очередная встреча-конференция членов DLM-форума


DLM-форум давно уже не тот, что прежде, но, как говорится, «старая любовь не ржавеет», - и я продолжаю следить за его деятельностью, тем более, что на организуемых им конференциях по-прежнему встречаются заслуживающие внимания доклады. Данный пост подготовлен на основе заметки, опубликованной на датском сайте Digitalbevaring.dk в разделе «События».

Государственный архив Хорватии приглашает членов DLM-форума в Загреб принять участие в ежегодной пленарной встрече-конференции участников форума, которая пройдёт 27-28 мая 2020 года.

DLM-форум - это сообщество, в котором представлены государственные архивы, органы власти, коммерческие организации, научные и образовательные учреждения, а также волонтерский сектор. Члены DLM-форума обмениваются профессиональным опытом и знаниями в области архивного дела, управления документами и жизненным циклом документов и информации.


Источники дополнительной информации:
Мой комментарий: В приглашении представить на конференцию свои доклады, в частности, отмечается:
Искусственный интеллект и управление электронными документами

Цель встречи в Загребе – собрать вместе всех тех в нашем сообществе, кто активно занимается и интересуется темами в области искусственного интеллекта (ИИ), а также потенциальными возможностями его применения для управления электронными документами.

Мы хотели бы представить широкий спектр докладов (включая критические размышления), обсуждающе связанные с искусственным интеллектом вопросы и возможности его использования для управления электронными документами.

Возможные темы докладов включают следующие (но не ограничиваются ими):
  • Концепции, развитие и текущие тенденции в области искусственного интеллекта, которые могут быть применимы к управлению электронными документами;

  • Возможности, которые искусственный интеллект открывает в области архивного дела и в сфере сохранения культурно-исторического наследия в целом;

  • Представление проектов, подходов и результатов применения искусственного интеллекта в интересах управлении электронными документами;

  • Этические проблемы и проблемы законодательно-нормативного регулирования, встающие в связи с внедрением искусственного интеллекта.
Источник: сайт Digitalbevaring.dk / сайт конференции
https://digitalbevaring.dk/begivenhed/dlm-forum-aarlige-generalforsamling/
http://www.dlmforum.eu/files/events/2020Zagreb/DLM_Meeting_Zagreb_2020_Call_for_papers.pdf

Конференция ВНИИДАД: Подходы к проведению экспертизы ценности электронных документов


8 ноября 2019 года на XXVI Международной научно-практической конференции «Документация в информационном обществе: делопроизводство и архивное дело в условиях цифровой трансформации» Всероссийского научно-исследовательского института делопроизводства и архивного дела (ВНИИДАД) (программа конференции см.: http://www.vniidad.ru/Downloads/conferens26/programma.pdf ) с докладом «Подходы к проведению экспертизы ценности электронных документов» выступила старший советник Отдела специальных архивов Архива Республики Словении Министерства культуры Республики Словении Аида Шкоро-Бабич.

Выступает Аида Шкоро Бабич

Видеозапись доклада выложена по адресу: https://www.youtube.com/watch?v=X7ihrSvyUp4



Источник: сайт ВНИИДАД / YouTube
http://www.vniidad.ru/Downloads/conferens26/programma.pdf
https://www.youtube.com/watch?v=X7ihrSvyUp4

понедельник, 24 февраля 2020 г.

Чем новая редакция стандарта э-раскрытия ISO/IEC 27050-1 отличается от предыдущей, на основании которой выпущен ГОСТ?


Как я уже рассказывала, совсем недавно почти одновременно были опубликованы два документа:
  • Вторая редакция международного стандарта ISO/IEC 27050-1:2019 «Информационные технологии - Выявление и раскрытие электронной информации - Часть 1. Обзор и концепции» (Information technology - Electronic discovery - Part 1: Overview and concepts) – о нём см. http://rusrim.blogspot.com/2019/12/isoiec-27050-1.html ; и

  • Российский стандарт ГОСТ Р ИСО/МЭК 27050-1-2019 «Информационные технологии. Методы обеспечения безопасности. Выявление и раскрытие электронной информации. Часть 1. Обзор и концепции», подготовленный на основе первой редакции ISO/IEC 27050-1, выпущенной в 2016 году – о нём см. http://rusrim.blogspot.com/2019/12/27050-1-2019.html
Думаю, вполне естественно, что наших специалистов волнует, не получили ли они очередной раз морально устаревший документ. Этот вопрос беспокоил и меня как участника работы над данным ГОСТом, поэтому, как только текст новой редакции международного стандарта попал в мои руки, я не поленилась сверить тексты первой и второй редакций.

Скажу сразу об общем итоге – различия между двумя документами незначительные, большинство из них связано с исполнением требований ИСО к английскому языку стандартов (и они вообще никак не влияют на русский текст). Единственное сколько-нибудь содержательное изменение внесено в определение одного из терминов (об этом ниже).

В будущем, возможно, в России будет адаптирована и новая редакция ISO/IEC 27050-1, однако, с моей точки зрения, ГОСТ Р ИСО/МЭК 27050-1-2019 вполне ей адекватен, и им можно смело пользоваться.

Подробно выявленные изменения описаны ниже.

Различия между первой и второй редакциями ISO/IEC 27050-1

Раздел 1. Область применения:

В последнем абзаце убраны слова «Стандарт может использоваться в той мере, в какой он не противоречит законам и нормативным актам соответствующей юрисдикции, поэтому необходимо позаботиться об обеспечении соответствия действующим законодательно-нормативным требованиям.» О причине несложно догадаться – ИСО сейчас требует избегать формулировок, которые могут быть истолкованы как «попытки писать законы», поэтому даже вполне невинные (и очевидные) высказывания вроде этого становятся жертвой самоцензуры.

Раздел 2. Нормативные ссылки:

Ранее нормативных ссылок не было, а теперь в разряд таковых переведена ссылка на стандарт ISO/IEC 27000.

Раздел 3. Терминология:

Исчезло определение термина «нормативно-правовой документ, регламентирующий уничтожение/передачу документов» (disposition authority).

Убраны определения терминов «энергонезависимое хранилище данных» (non-volatile storage) и «энергозависимое хранилище данных» (volatile storage). Взамен в определение термина «сохранение» (store) добавлено примечание:
Примечание 1: Под «энергонезависимым хранилищем данных» (non-volatile storage) понимается такое, содержимое которого сохраняется даже после отключения питания, в то время. как под «энергозависимым хранилищем данных» (volatile storage) понимается такое, содержимое которого не сохраняется после отключения питания.
Удалено определение термина «файловый формат раскрытия данных» (production file format).

Вследствие удаления ряда терминов появились ошибки в перекрестных ссылках на термины в данном разделе.

Содержательно изменилось определение термина «очистка носителей информации» (при переводе глагол преобразован в существительное):
Было: 3.23. Очистка носителей информации (sanitization) - Процесс удаления информации с носителей таким образом, чтобы восстановление данных было невозможным при заданном уровне усилий.

Стало: 3.20. Очистка носителей информации (sanitization) – Процесс, делающий доступ к целевым данным на носителе информации невозможным при заданном уровне усилий
Как следствие, термин «очистка» уже не подразумевает именно уничтожение информации, и охватывает, например, криптографическое стирание (т.е. уничтожение ключей шифрования без уничтожения самой информации).

Раздел 5. Общая структура и содержание стандартов серии ИСО/МЭК 27050

Данный небольшой раздел, описывающий входящие в состав серии ISO/IEC 27050 документы, их взаимосвязи и назначение, был полностью переработан. Исчезла диаграмма, удалено упоминание об ISO/IEC 27050-4.

Разделы с 6 по 9

В эти разделы внесены минимальные изменения редакционного характера. Из раздела 6 также удалены все упоминания о стандарте ISO/IEC 27050-4, работа над которым пока что продолжается.

Библиография

Скорректированы ссылки на некоторые стандарты (в т.ч. уточнены гиперссылки). Ссылка на ISO/IEC 27000 перемещена в раздел нормативных ссылок, добавлены ссылки на опубликованные с момент выхода первой редакции стандарты ISO/IEC 27050-2 и ISO/IEC 27050-3.

Источник: сайт ИСО


Новое в законе об электронной подписи: Изменение в системе аккредитованных удостоверяющих центров


Кардинальным новшеством федерального закона от 27 декабря 2019 года №476-ФЗ «О внесении изменений в Федеральный закон «Об электронной подписи» и статью 1 Федерального закона «О защите прав юридических лиц и индивидуальных предпринимателей при осуществлении государственного контроля (надзора) и муниципального контроля» является выделение четырёх групп аккредитованных удостоверяющих центров (УЦ) (ст.15 ч.1) и возможность хранения ими ключей электронной подписи (ч.2.2). Это:
  • УЦ, получившие аккредитацию;

  • УЦ федерального органа исполнительной власти, уполномоченного на осуществление государственной регистрации юридических лиц (далее УЦ ФНС);

  • УЦ федерального органа исполнительной власти; уполномоченного на правоприменительные функции по обеспечению исполнения федерального бюджета, кассовому обслуживанию исполнения бюджетов бюджетной системы РФ (далее УЦ Федерального казначейства);

  • УЦ Банка России.
Эти УЦ, помимо ранее имевшихся полномочий, будут осуществлять:
  • Хранение ключа электронной подписи, ключ проверки которой содержится в квалифицированном сертификате, с обеспечением его защиты от компрометации и (или) несанкционированного использования, - в том числе создание подписей при помощи указанного ключа по поручению владельца квалифицированного сертификата с использованием средств электронной подписи, имеющих подтверждение соответствия требованиям, установленным в соответствии с пунктом 2.1 части 5 статьи 8 настоящего федерального закона;

  • Информирование владельца квалифицированного сертификата об использовании указанного ключа ЭП и предоставление по требованию владельца истории использования указанного ключа ЭП.
Мой комментарий: Наверное, хорошо, что новая редакция закона прямо допускает возможность удалённого подписания «по поручению». В то же время не нужно строить иллюзий – в период, когда специалисты по информационной безопасности с трудом успевают за хакерами, такая практика связана с высокими рисками, и сильно поощрять её не стоит.

Я буду с нетерпением ждать судебных решений по спорам владельцев сертификатов подписи с доверенными третьими сторонами, которым они поручили организовать такое подписание. Думаю, и судьям будет интересно сформулировать принципы, по которым будет распределяться ответственность за ущерб.

Уполномоченным федеральным органом по согласованию с федеральным органом исполнительной власти в области обеспечения безопасности устанавливаются требования к (ч.2.3):
  • Форме поручения владельца квалифицированного сертификата;

  • Порядку передачи поручения владельца квалифицированного сертификата аккредитованному удостоверяющему центру, в том числе с учетом возможности осуществления процедуры дополнительной аутентификации владельца путем предоставления сведений из единой системы идентификации и аутентификации и информации из единой биометрической системы;

  • Правилам хранения поручения.
В случае принятия решения о прекращении своей деятельности аккредитованного удостоверяющего центра (п.3 ч.4):
 «ключи электронной подписи, хранимые аккредитованным удостоверяющим центром по поручению владельцев квалифицированных сертификатов электронной подписи, подлежат уничтожению в порядке, установленном федеральным органом исполнительной власти в области обеспечения безопасности».
Удостоверяющий центр ФНС вправе наделить доверенных лиц полномочиями на прием заявлений о получении квалифицированного сертификата юридического лица и выполнение требований ст.18 настоящего федерального закона от имени УЦ на создание ключа электронной подписи (при условии исключения возможности доступа работников таких доверенных лиц к ключам электронных подписей заявителей), а также на хранение ключей квалифицированных электронных подписей для дистанционного использования и на создание при помощи указанных ключей электронных подписей для электронных документов (ч.6.1).

При вручении созданного УЦ квалифицированного сертификата указанное доверенное лицо обязано установить личность владельца сертификата (заявителя).

Доверенные лица в установленном Правительством РФ порядке определяются ФОИВ из числа удостоверяющих центров, получивших аккредитацию при условии их соответствия дополнительным требованиям, установленным Правительством РФ, и организационно-техническим требованиям в области информационной безопасности, установленным федеральным органом исполнительной власти в области обеспечения безопасности.

Уполномоченный федеральный орган совместно с федеральным органом исполнительной власти в области обеспечения безопасности осуществляет проверки соблюдения требований аккредитованными удостоверяющими центрами ФНС, Казначейства и Банка России. В рамках проведения таких проверок не могут быть осуществлены приостановка, прекращение аккредитации таких УЦ (ч.6.2).

Кроме того, теперь за неисполнение обязанностей, установленных настоящим федеральным законом и иными принимаемыми в соответствии с ним нормативными правовыми актами, а также порядком реализации функций аккредитованного УЦ и исполнения его обязанностей, гражданско-правовую, административную и (или) уголовную ответственность несут (ч.7):
  • Аккредитованный удостоверяющий центр;

  • Работник аккредитованного УЦ;

  • Доверенные лица и их работники.
Законодатель также обязал УЦ бесплатно обеспечивать физических лиц шифровальными (криптографическими) средствами:
8. Аккредитованный удостоверяющий центр на безвозмездной основе обеспечивает физических лиц шифровальными (криптографическими) средствами, указанными в части 19 статьи 14.1 Федерального закона от 27 июля 2006 года №149-ФЗ «Об информации, информационных технологиях и о защите информации", для проведения идентификации физических лиц в аккредитованном удостоверяющем центре на основе предоставления биометрических персональных данных без личного присутствия посредством информационно-телекоммуникационной сети «Интернет».
Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=341757 

воскресенье, 23 февраля 2020 г.

«Интернет вещей» и блокчейн - компоненты нового комплекта (стека) вычислительных технологий


Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 5 февраля 2020 года на блоге компании Formtek.

В то время, как деловые приложения продолжают двигаться в сторону централизованных вычислений в облачной среде, «Интернет вещей» движется в ином направлении, где основное внимание уделяется децентрализованным периферийным вычислениям (decentralized edge computing). У самого по себе децентрализованного интернета вещей есть проблемы, связанные с обеспечением безопасности и зашиты персональных данных, когда в сети взаимодействует друг с другом большое число устройств, - но эти проблемы могут быть решены путем объединения интернета вещей с блокчейном.

Комбинация интернета вещей с блокчейном выглядит идеальной парой: блокчейн децентрализован и предназначен для решения вопросов обеспечения доверия и безопасности при управлении данными и обмене ими. Криптография блокчейна заменяет доверие, обеспечиваемое монолитным центральным сервером. Блокчейн может сформировать структуру, позволяющую устройствам интернета вещей взаимодействовать и координировать транзакции.

Консультант компании Frontline Contracting Фарай Мажанду (Farai Mazhandu,   https://www.iotforall.com/author/faraimazhandu/ ) пишет, что «блокчейн позволяет обмениваться данными в реальном времени, историей этих данных и любыми изменениями в них. Блокчейн стремится улучшить положение дел с целостностью данных, собирая данные непосредственно из первоисточника посредством устройств интернета вещей и иных цифровых систем, - имея возможность прийти к консенсусу о том, какая версия данных является правильной».

Технологии блокчейна и интернета вещей, вероятно, будут ключевыми компонентами «вычислительного стека» следующего поколения. Вице-президент по инженерным разработкам компании BCG Digital Ventures Шива Каннан (Siva Kannan, https://www.ep3foundation.org/siva-kannan ) считает, что «создание нового стека технологий жизненно важно: комбинирование входящих в стек технологий - единственный способ полностью раскрыть потенциал каждой из них» (см. https://medium.com/bcgdv-engineering/iot-blockchain-6af15b0f8210 ).

Дик Вейсингер (Dick Weisinger)

Источник: блог компании Formtek
https://formtek.com/blog/iot-and-blockchain-components-of-a-new-computing-stack/ 

Судебная практика: Жилищный инспектор отвечает лишь за подготовку проектов ответов на обращения граждан, и штрафовать его нельзя


Октябрьский районный суд г. Ижевска в сентябре 2017 года вынес решение по делу №12-593/2017, в котором выяснялся вопрос, может ли быть привлечен к административной ответственности главный государственный жилищный инспектор Государственной жилищной инспекции при Министерстве энергетики, жилищно-коммунального хозяйства и государственного регулирования тарифов Удмуртской Республики, по ст.5.59 КоАП «Нарушение порядка рассмотрения обращений граждан», который отвечал лишь за подготовку проектов ответов на обращения граждан.

Суть спора

При проведении плановой проверки детельности Государственной жилищной инспекции было установлено, что в инспекцию поступило два обращения граждан, в которых они указали на незаконную перепланировку квартир.

Обращения были расписаны Главному государственному жилищному инспектору с заданием рассмотреть, провести проверку и подготовить ответ. В установленные сроки проверки не были окончены, сроки их проведения не были продлены, о продлении срока проверки граждане не были уведомлены.

Органы прокуратуры сочли, что Главный государственный жилищный инспектор осуществляет функции представителя власти, поэтому является должностным лицом. Она не обладает правом подписания ответов гражданам, но ей было вменено в вину необеспечение своевременного, объективного и всестороннего рассмотрения обращений, что входит в ее обязанности.

Постановлением мирового судьи судебного участка №3 Октябрьского района г. Ижевска, исполняющего обязанности мирового судьи судебного участка №1 Октябрьского района г. Ижевска, в декабре 2016 года гражданка была признана виновной в совершении административного правонарушения, предусмотренного ст.5.59 КоАП РФ. Она являлась должностным лицом и в нарушение требований федерального закона от 02.05.2006 года №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» в октябре 2016 года по месту исполнения обязанностей не обеспечила своевременное, объективное и всестороннее рассмотрение обращений двух граждан, за что и была подвергнута наказанию в виде административного штрафа в размере 5 тысяч руб.

Позиция гражданки

Гражданка подала жалобу, в которой она просила отменить вышеуказанное постановление, поскольку она не является должностным лицом и не обладает полномочиями на подписание ответов гражданам. Таким образом, состав административного правонарушения в её действиях отсутствует.

Гражданка отметила, что мировым судьей не была установлена её вина в нарушении сроков ответа на обращения граждан. Поскольку по обращениям граждан необходимо проведение проверки, включающей несколько этапов, направление запросов, длительность ответа на которые зависит в том числе и от пробега почты, «выход в адрес», причём в жилое помещение собственник может инспектора не пустить, - месячного срока для проведения проверки может оказаться недостаточно.

Позиция Октябрьского районного суда г. Ижевска

Суд отметил, что в силу примечания к ст.2.4 КоАП РФ, под должностным лицом в настоящем Кодексе следует понимать лицо, постоянно, временно или в соответствии со специальными полномочиями осуществляющее функции представителя власти, то есть наделенное в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от него, а равно лицо, выполняющее организационно-распорядительные или административно-хозяйственные функции в государственных органах, органах местного самоуправления, государственных и муниципальных организациях, а также в Вооруженных Силах РФ, других войсках и воинских формированиях РФ.

Согласно должностному регламенту главного государственного жилищного инспектора гражданка была наделена в установленном законом порядке распорядительными полномочиями в отношении лиц, не находящихся в служебной зависимости от нее (составляет и выдает предписания об устранении выявленных нарушений собственникам, владельцам и управляющим компаниям жилищного фонда, контролирует исполнение предписаний, составляет протоколы об административных правонарушениях в соответствии с КоАП РФ – пункт 10 должностного регламента).

Должность входит в перечень должностных лиц Государственной жилищной инспекции, осуществляющих региональный государственный жилищный надзор, лицензионный контроль, утвержденный Постановлением Правительства УР от 22.12.2014 №538.

В связи этим суд сделал вывод о том, что она. является субъектом вменяемого правонарушения. В силу п.10 должностного регламента главного государственного жилищного инспектора, он проводит по обращениям граждан проверки в установленном порядке и готовит проекты ответов в установленные сроки. Таким образом, необеспечение своевременного, объективного и всестороннего рассмотрения обращений граждан может быть ему вменено в вину.

Суд оставил по существу без изменения постановление мирового судьи о привлечении к административной ответственности по ст.5.59 КоАП РФ в отношении гражданки оставить, а жалобу гражданки – без удовлетворения.

Позиция Верховного Суда Удмуртской Республики

Заместитель Председателя Верховного Суда Удмуртской Республики в феврале 2018 года (Постановление №4а-2) отметил, что задачами производства по делам об административных правонарушениях являются всестороннее, полное, объективное и своевременное выяснение обстоятельств каждого дела, разрешение его в соответствии с законом, обеспечение исполнения вынесенного постановления, а также выявление причин и условий, способствовавших совершению административных правонарушений (ст. 24.1 КоАП РФ).

Решение вопроса о лице, совершившем противоправное деяние, имеет основополагающее значение для всестороннего, полного и объективного рассмотрения дела и своевременного привлечения виновного к административной ответственности.

При этом установление виновности предполагает доказывание не только вины лица, но и его непосредственной причастности к совершению противоправного действия (бездействия), то есть объективной стороны деяния. Следовательно, необходимо доказать, что именно это лицо совершило данное административное правонарушение.

Ст. 4 федерального закона от 2 мая 2006 г. №59-ФЗ «О порядке рассмотрения обращений граждан Российской Федерации» предусмотрено, что должностным лицом является лицо, постоянно, временно или по специальному полномочию осуществляющее функции представителя власти либо выполняющее организационно-распорядительные, административно-хозяйственные функции в государственном органе или органе местного самоуправления.

Согласно должностному регламенту главного государственного жилищного инспектора лицо, замещающее указанную должность, обязано рассматривать обращения граждан, проводить по ним проверки в установленном порядке и готовить проекты ответов в установленные сроки. Ответ на обращение подписывается руководителем государственного органа или органа местного самоуправления, должностным лицом либо уполномоченным на то лицом.

Ответ на одно из обращений был подписан Заместителем начальника Государственной жилищной инспекции при Министерстве энергетики, жилищно-коммунального хозяйства и государственного регулирования тарифов Удмуртской Республики. В свою очередь главный государственного жилищный инспектор отвечает лишь за подготовку проектов ответов на обращения граждан.

Таким образом, вывод о том, что гражданкой совершены действия, образующие состав административного правонарушения, предусмотренного ст. 5.59 КоАП РФ, не является обоснованным.

Суд отменил постановление и.о. мирового судьи и решение судьи Октябрьского районного суда г. Ижевска, вынесенные в отношении гражданки, а производство по данному делу прекратил в связи с отсутствием в её действиях состава административного правонарушения.

Источник: Консультант Плюс/ сайт Октябрьского районного суда г. Ижевска
https://oktyabrskiy--udm.sudrf.ru/modules.php?name=sud_delo&srv_num=1&name_op=doc&number=42699387&delo_id=1502001&new=&text_number=1 
http://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=SOPV;n=389674

суббота, 22 февраля 2020 г.

Мнение: Революционные инновации не могут быть стратегией


Данная заметка Дика Вейсингера (Dick Weisinger – на фото) была опубликована 4 февраля 2020  года на блоге компании Formtek.

В чем разница между революционными / прорывными / трансформационными переменами (disruption) и инновациями?

В случае революционных перемен резко изменяется то, как мы думаем о объекте перемен, познаём или делаем его. При этом нечто уже имеющееся у нас превращается во что-то новое, обычно более эффективное и стоящее. Революция разрушает, но она также и создаёт.

Понятие инновации касается идей, переход от одной концепции к чему-то новому. Примерами является идея или изобретение, которое можно воплотить в продукт, удовлетворяющий определённую потребность. В случае инновации задача или проблема решается ранее не существовавшим способом. Это может быть как небольшая модификация, которая делает продукт лучше и удобнее в использовании, так и нечто большее, способное привести к созданию целой новой отрасли.

Революционные перемены и инновации - не одно и то же, но инновации потенциально могут стать революционными. Новые продукты и идеи часто имеют тенденцию снижать потребность в существующих продуктах и услугах, ранее решавших ту же или взаимосвязанную задачу.

В деловой деятельности революционными инновациями (disruptive innovation, https://en.wikipedia.org/wiki/Disruptive_innovation ) являются те инновации, что создают новые рынки, которые разрушают прежние, вытесняя устоявшиеся направления деловой деятельности и компании, продукты и альянсы.

Клейтон Кристенсен (Clayton Christensen – 1952-2020, профессор делового администрирования в Гарвардской школе бизнеса (США); наиболее известен своей теорией «революционных/прорывных/трансформационных инноваций» (disruptive innovation), впервые сформулированной в опубликованной в 1997 году книге «Дилемма инноватора: Как из-за новых технологий погибают сильные компании» (The Innovator's Dilemma: When New Technologies Cause Great Firms to Fail) – Н.Х.) писал в своей фундаментальной книге по прорывным инновациям, что «прорывные инновации изначально не конкурируют с лидерами рынка за массового потребителя, поскольку они уступают тому, кто уже есть на рынке. Эти продукты привлекательны для недообслуживаемой части рынка, по более низким ценам. Со временем продвигающая прорывные технологии сторона получает доход, инвестирует его в дополнительные функциональные возможности продуктов / предложений и начинает привлекать массового потребителя. Таким образом, прорывные инновации - это процесс».

Проблема заключается в том, что революционные инновации не являются стратегией. Изучение примеров инноваций такого рода показало, что только впоследствии можно будет оглянуться на новые идеи и действия и ретроспективно отнести их к революционным инновациям.

Сорен Каплан (Soren Kaplan, https://playbook.amanet.org/author/skaplan/ ), автор известной книги «Скачкообразное развитие: Использование силы сюрприза для прорывов в деловой деятельности» (Leapfrogging: Harness the Power of Surprise for Business Breakthroughs), пишет, что «инновации не бывают революционными «под заказ», так инновации не работают в реальном мире, когда Вы находитесь в процессе их внедрения - только ретроспективно об их революционности скажут летописцы» (см. https://playbook.amanet.org/disruptive-innovation-not-a-strategy/ ).

Дик Вейсингер (Dick Weisinger)

Мой комментарий: Думаю, жизнь всё-таки немножечко сложнее. Действительно, многие изменившие нашу жизнь нововведения первоначально не казались столь революционными (тот же Интернет, сыгравший трансформирующую роль лишь спустя десятилетия после своего создания). Однако революционность других была изначально вполне очевидна (это практически любой крупномасштабный инфраструктурный проект по строительству дорог, мостов, прокладке линий связи, коммунальных сетей и т.п.), о ней нередко позволяет судить уже накопленный исторический опыт или опыт внедрения где-то ещё.

Поэтому я полагаю, что в некоторых случаях частью стратегии всё-таки могут быть конкретные перемены, изначально воспринимаемые как революционные. Понимание их далеко идущего трансформирующего характера, связанных с ними рисков и отдачи имеет существенное значение для планирования действий, направленных на реализацию стратегии, да и для «выбивания» необходимого финансирования и ресурсов тоже. Другое дело, что революционность ещё не гарантирует успешность :)

Источник: блог компании Formtek
https://formtek.com/blog/disruptive-innovation-its-not-a-strategy/

Первый вебинар «Фонда соединения Европы» (Connecting Europe Facility, CEF) по электронной архивации на тему «Введение в Единые спецификации для информационных пакетов»


Данная новость была опубликована 20 февраля 2020 года на сайте Европейской Комиссии.

27 февраля 2020 года с 10:00 до11:00 по центральноевропейскому времени (CET – т .е .с 12 до 13 часов по московскому времени – Н.Х) в реальном времени будет проведен веб-семинар, на котором будет представлена информация о «Единых спецификациях для информационных пакетов» (Common Specification for Information Packages, CSIP – о них я рассказывала здесь: https://rusrim.blogspot.com/2019/06/e-ark.html - Н.Х.). За вебинаром последует интерактивная сессия вопросов и ответов.


На этом первом из обучающих вебинаров CEF по типовому блоку электронной архивации (eArchiving Building Block), Карин Бреденберг (Karin Bredenberg) представит «Единые спецификации для информационных пакетов» (Common Specification for Information Packages, CSIP). Они являются основой архивной интероперабельности в рамках данного типового блока. Соответствующие стандарту OAIS спецификация предлагают унифицированный набор правил для упаковки любых данных и метаданных в единый концептуальный информационный пакет, который можно беспрепятственно передавать между системами, сохранять и повторно использовать в долгосрочной перспективе.

Вебинар и последующая за ним интерактивная сессия вопросов и ответов дадут участниками возможность:
  • Узнать об основах «Единых спецификаций для информационных пакетов» (Common Specification for Information Packages, CSIP);

  • Прослушать краткое введение в «Стандарт кодирования и передачи метаданных» (Metadata Encoding and Transmission Standard, METS, http://www.loc.gov/standards/mets/ ), на который опирается использование информационных пакетов; и

  • Понять взаимосвязь описания информационного пакета с более широким по содержанию типовым блоком электронной архивации CEF (CEF eArchiving Building Block).
Вы можете заранее задавать вопросы и предложить темы для обсуждения, используя раздел комментариев на странице сайта либо отправив электронное письмо по адресу CEF-BUILDING-BLOCKS@ec.europa.eu .
Зарегистрироваться на участие в вебинаре можно по адресу: https://ec.europa.eu/eusurvey/runner/CEFeArchivingWebinar

Предыстория

Типовой «строительный блок» электронной архивации CEF включает спецификации, базовое программное обеспечение, обучение и услуги службы поддержки по вопросам электронной архивации, включая обеспечение долговременной электронной сохранности. Чтобы помочь пользователям извлечь пользу из функций типового блока, CEF проводит серию обучающих вебинаров, на которых будет рассказано о его основных функциональных возможностях и предоставлена другая информация по электронной архивации.

Мы благодарим тех из Вас, кто воспользовался возможностью принять участие в семинаре CEF по электронной архивации в Брюсселе 3- 4 декабря 2019 года (см. https://ec.europa.eu/cefdigital/wiki/x/BIXuBw ). С кратким отчётом об этом семинаре можно познакомиться здесь: https://ec.europa.eu/cefdigital/wiki/x/1wU9Cg . Посмотреть видеозаписи и скачать презентации сделанные в рамках мероприятия докладов можно по адресу: https://ec.europa.eu/cefdigital/wiki/x/BIXuBw .

Источник: сайт Еврокомиссии
https://ec.europa.eu/cefdigital/wiki/pages/viewpage.action?pageId=195692094