вторник, 2 января 2024 г.

ИСО: Начато публичное обсуждение стандарта ISO/DIS 4669-2 «Установление грифов конфиденциальности информации, её маркировка и обработка – Часть 2: Функциональные и технические требования для ICMH-решений»

Данный пост подготовлен на основе новости, опубликованной 24 ноября 2023 года на веб-сайте технического подкомитета ИСО TC46/SC11 «Управление документами» (Archives/records management).

Как сообщил сайт Международной организации по стандартизации (ИСО), 23 ноября 2023 года было открыто публичное обсуждение и голосование национальных органов по стандартизации по проекту нового международного стандарта ISO/DIS 4669-2 «Управление контентом - Установление грифов конфиденциальности информации, её маркировка и обработка – Часть 2: Функциональные и технические требования для ICMH-решений» (Document management - Information classification, marking and handling - Part 2: Functional and technical requirements for ICMH solutions) объёмом 17 страниц, см. https://www.iso.org/standard/83478.html и https://www.iso.org/obp/ui/en/#!iso:std:83478:en . Голосование продлится до 15 февраля 2024 года.

Стандарт подготовлен техническим подкомитетом ИСО TC171/SC1 «Качество, долговременная сохранность и целостность информации» (Quality, preservation and integrity of information).

Ранее была опубликована первая часть данного стандарта -  ISO 4669-1:2023 «Управление контентом - Установление грифов конфиденциальности информации, её маркировка и обработка - Часть 1: Требования» (Document management - Information classification, marking and handling - Part 1: Requirements) объёмом 38 страниц, см. https://www.iso.org/standard/80233.html и https://www.iso.org/obp/ui/#!iso:std:80233:en (а также мой пост http://rusrim.blogspot.com/2023/06/iso-4669-12023-1.html - Н.Х.).

Мой комментарий: Если в основу первой части ISO 4669 лёг солидный британский стандарт BS 10010:2017 «Установление грифов конфиденциальности информации, её маркировка и обработка – Спецификации» (Information classification, marking and handling. Specification, https://shop.bsigroup.com/ProductDetail?pid=000000000030330941 – о нём см. также мой пост http://rusrim.blogspot.com/2017/05/bs-100102017.html ), то вторую часть писали коллеги из Юго-Восточной Азии, и сделали они это далеко не лучшим образом.

Проект ISO/DIS 4669-2 переполнен странными обязательными для исполнения требованиями, которые не согласуются ни с содержанием ISO 4669-1, ни с известной национальной и международной практикой. И хотя авторы проекта проделали определённую работу, устранив наиболее вопиющие из недостатков предыдущей версии проекта, результат пока что, с моей точки зрения, далек от того качества, которое ожидается от стандартов ИСО. Если документ примерно в таком виде будет утверждён и опубликован, то, думаю, его адаптация в России – в отличие от ISO 4669-1 – будет нецелесообразной.

Во вводной части стандарта отмечается:

«В настоящем документе определены функциональные и технические требования к решениям, решающим задачи установления грифов конфиденциальности чувствительного контента и его маркировки, обработки и распространения. Он дополняет стандарт ISO 4669-1, специфицирующий требования к установление грифов конфиденциальности информации, её маркировке и обработке (information classification, marking and handling, ICMH).

В данном документе рассматриваются решения, которые управляют контентом и распространяют его только в цифровом формате, - как внутри, так и за пределами владеющей контентом организации.

В документе рассматривается распространение цифрового контента идентифицированным получателям и распространение подтверждающих полномочия документов (credentials), используемых для доступа к контенту, хранящемуся в защищенных централизованных системах.

Распространение контента с помощью физических носителей в документе не рассматривается.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Функциональные требования
5. Технические требования
Приложение A: Примеры установления грифов конфиденциальности и прикладные технологии
Библиография

В новости под названием «Технический подкомитет ИСО TC171/SC1: Формирование будущего управления чувствительным контентом» (Shaping the Future of Sensitive Document Management), опубликованной 24 ноября 2023 года на веб-сайте технического подкомитета ИСО TC46/SC11 «Управление документами», говорится следующее:

Стандарт ISO 4669 «Управление контентом - Установление грифов конфиденциальности информации, её маркировка и обработка» (Document management - Information classification, marking and handling) определяет основные концепции и рассматривает потребности организаций в обработке чувствительных конфиденциальных данных (sensitive data). Данная вторая часть стандарта дополняет его первую часть и определяет функциональные и технические характеристики решений, удовлетворяющих этим потребностям. В настоящем документе рассматриваются решения, которые управляют контентом и распространяют его только в цифровом формате, - как внутри, так и за пределами владеющей контентом организации.

Начато голосование по проекту международного стандарта (draft international standard, DIS), в котором излагаются функциональные требования к решениям, предназначенным для обработки и обмена конфиденциальными материалами. Данный документ призван стать путеводной звездой для разработчиков программного обеспечения, поставщиков услуг и конечных пользователей, давая им возможность создавать или предлагать современные решения, соответствующие самым высоким стандартам защиты персональных данных, безопасности и отслеживания.

Введение: Типовые рамки для заслуживающих доверия решений

Этот документ служит всесторонним руководством для разработчиков программного обеспечения и поставщиков услуг, предлагая функциональные требования, соблюдение которых повышает уровень доверия к доступным на рынке решениям. Сосредотачивая основное внимание на вопросах установление грифов конфиденциальности, маркировке, обработке и обмене конфиденциальными документами, стандарт стремится расширить возможности целевого сообщества посредством предоставления инструментов, необходимые для навигации в сложном ландшафте распространения цифрового контента.

Ключевые цели:

  • Рекомендации для разработчиков программного обеспечения и поставщиков услуг: Основная цель настоящего документа — помочь разработчикам программного обеспечения и поставщикам услуг в создании передовых решений, соответствующих мировым стандартам. Соответствуя сформулированным в настоящем документе требованиям, эти решения не только оправдают ожидания пользователей, но и будут способствовать общему развитию отрасли.

  • Повышение доверия к рынку: Соответствие сформулированным в настоящем документе функциональным и техническим требованиям приведёт не только к созданию робастных решений, но также повысит уровень доверия к доступным на рынке программным решениям. Пользователи смогут с уверенностью полагаться на то, что соответствующие этим стандартам решения обеспечат безопасную обработку конфиденциальных документов.

  • Сравнительный анализ: Настоящий документ облегчает проведение сравнительного анализа различных программных решений. Он предоставляет конечным пользователям ценные рекомендации по выбору решений, обеспечивающих оптимальную защиту, защиту персональных данных, безопасность и прослеживаемость при обработке и распространении конфиденциальных документов.

Область применения и дополняемость:

Настоящий документ дополняет ISO 4669-1, определяя требования к установлению грифов конфиденциальности информации, её маркировке и обработке (information classification, marking, and handling, ICMH). Основное внимание уделяется решениям для управления цифровым контентом и его распространения внутри и за пределами владеющей контентом организации. Обратите внимание, что распространение контента на физических носителях явным образом исключено из числа рассматриваемых вопросов.

Ваше участие имеет значение:

Голосование по проекту международного стандарта уже открыто, что дает национальным органам по стандартизации-членам ИСО 12-недельный период для представления своих отзывов. Мы призываем каждый национальный орган принять активное участие в обсуждении, поскольку ваши идеи и опыт имеют решающее значение для формирования будущего решений для обработки и обмена чувствительными конфиденциальными документами.

Источник: сайт ИСО / сайт BSI
https://committee.iso.org/sites/tc46sc11/home/news/content-left-area/news-about-standarization-in-t-1/iso-tc-171-sc-1-shaping-the-futu.html
https://www.iso.org/standard/83478.html
https://www.iso.org/obp/ui/en/#!iso:std:83478:en
https://standardsdevelopment.bsigroup.com/projects/2021-02853#/section


Комментариев нет:

Отправить комментарий