Документ подготовлен техническим подкомитетом ИСО TC171/SC1 «Качество, долговременная сохранность и целостность информации» (Quality, preservation and integrity of information). В его основу лёг давно уже применяющийся во Франции национальный стандарт NF Z42-020:2012 «Функциональные характеристики компоненты «Электронный сейф», предназначенной для сохранения электронной информации в условиях, обеспечивающих её целостность во времени» (Spécifications fonctionnelles d'un composant Coffre-Fort Numérique destiné à la conservation d'informations numériques dans des conditions de nature à en garantir leur intégrité dans le temps).
Мой комментарий: В мире существует довольно много спецификаций и стандартов, устанавливающих требования к полнофункциональным системам управления документами (типа СЭД), соблюдение которых позволяет обеспечить долговременную сохранность документов без ущерба для их доказательной и юридической силы.
В отличие от них, данные спецификации, напротив, ставят своей задачей сформулировать минимальные требования к подсистеме хранения документов, соблюдение которых – даже в отсутствии развитых функциональных возможностей для управления документами – всё же позволит использовать электронные документы в качестве надлежащего доказательства в судах и при взаимодействии с контролирующими органами. Отсюда и название «электронный сейф» - этот инструмент в электронной среде решает те же задачи, что и стальной сейф в неэлектронной среде. Хранение документов в нём, а не в полноценном архиве может быть достаточным, с точки зрения законодательства, для обеспечения доверия к документам.
Вполне вероятно, что в Евросоюзе соответствие требованиям технических спецификаций ISO/TS 24574 станет одним из способов исполнения требований, предъявляемых к квалифицированным услугам электронного архивирования, предусмотренным в новой, второй редакции европейского закона eIDAS «Об электронной идентификации и услугах доверия для электронных транзакций на внутреннем рынке» (Регламент ЕС № 910/2014, его действующую редакцию см. по адресу https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=CELEX%3A02014R0910-20241018 ; аббревиатура eIDAS обычно расшифровывается как Electronic Identification, Authentication and Trust Services – «электронная идентификация, аутентификация и услуги доверия»).
«Государственные организации и частные компании в ходе своей деятельности всё чаще используют цифровой контент, как созданный ими самими, так и полученный от других сторон. Цифровой контент включает документы, данные, графические изображения и звукозаписи, которые можно коллективно назвать «цифровыми объектами». Такие объекты могут быть изначально электронными или являться результатом оцифровки бумажных документов.
От организаций и компаний ожидается, что в интересах исполнения нормативно-правовых требований и удовлетворения деловых потребностей, они будут использовать надёжную технологию, обеспечивающую сохранение с течением времени целостности всех типов цифрового контента. Таким образом, существует потребность в программном обеспечении, способном обеспечить целостность, конфиденциальность и доступность цифровых объектов во времени, включая офисные документы, PDF-файлы, результаты сканирования, графические изображения JPEG и т.д.
В настоящем документе определён минимальный состав функций электронного (цифрового) сейфа:
- поддержание целостности, конфиденциальности и доступности цифровых объектов во времени;
- сохранение сведений о цепочке ответственных хранителей (chain of custody);
- управление сроками хранения и установлением/снятием временных запретов на уничтожение, обеспечивающее невозможность уничтожения цифровых объектов в течение установленного периода времени;
- определение минимального состава элементов (фактически метаданных – Н.Х.), делающих возможным передачу цифровых объектов между двумя различными электронными сейфами;
- определение минимального состава элементов для обеспечения прослеживаемости работы программного обеспечения;
- управление репликацией цифровых объектов;
- обеспечение жизнеспособности деловых операций, непрерывности деловой деятельности и восстановления в случае катастроф;
- определение требований к шифрованию.
В данном документе рассматриваются только функциональные возможности для обеспечения целостности, прослеживаемости, конфиденциальности и доступности цифровых объектов любого типа. В нём не рассматриваются вопросы жизнеспособности цифровых объектов (т.е. электронный сейф не контролирует и не конвертирует форматы, в которых хранятся цифровые объекты).
Для того, чтобы у пользователей была уверенность в своём электронном сейфе, данное программное обеспечение, вне зависимости от его разработчика, должно иметь стандартный набор основных функциональных возможностей и поддерживать общепринятый минимум технических метаданных. Наличие этих основополагающих элементов также являются необходимым условием для обеспечения интероперабельности между различными электронными сейфами.
Настоящий документ адресован:
- разработчикам и интеграторам программного обеспечения, желающим разработать или интегрировать электронный сейф;
- поставщикам услуг (например, поставщикам доверенных услуг электронного хранения), которые ищут программное обеспечение для поддержки своих услуг;
- разработчикам программного обеспечения, желающим иметь хранилище для разработки программного обеспечения электронного сейфа;
- консультантам и аудиторам, которым нужен справочный документ для создания или аудита системы архивирования.
Настоящий документ задуман как дополнение других документов ИСО по вопросам электронного архивирования. В Приложении A приведен список этих документов и показаны их взаимосвязи с данным документом.
… В настоящем документе специфицированы минимальные функциональные требования к программному обеспечению электронного сейфа для обеспечения целостности, конфиденциальности и доступности хранящихся в нём цифровых объектов.
В настоящем документе не рассматриваются условия, в рамках которых функционирует электронный сейф, такие как вопросы обеспечения физической безопасности (системы пожаротушения, бронированные двери, датчики присутствия и т.д.), безопасность электроснабжения (генераторы и трансформаторы) или функционирование телекоммуникационных линий.»
Содержание документа следующее:
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Функциональные спецификации электронного сейфа
4.2. Способы реализации функций
4.3. Управление пользователями
4.4. Обязательные функции электронных сейфов
4.5. Параметры функций при вызове
4.6. Результаты выполнения функций
4.7. Метаданные
4.8. Контроль версий цифровых объектов
4.9. Хранение в течение установленных сроков и уничтожение/передача на архивное хранение
4.10. Вторичный хостинг
4.11. Резервное копирование
4.12. Технология хранения
4.13. Безопасность доступа, целостность и конфиденциальность передаваемых сообщений
4.14. Шифрование
4.15. Формат даты
4.16. Журналы аудита
4.17. Целостность цифровых объектов и журналы аудита
4.18. Нормативно-правовые требования
6. Реализация
Приложение A (справочное): Связь между настоящим документом и другими стандартами по вопросам управления документами и архивирования
Библиография
Источники: сайт ИСО
https://www.iso.org/standard/84638.html
https://www.iso.org/obp/ui/en/#!iso:std:84638:en
