Положение о государственной информационной системе по предупреждению, выявлению и пресечению ограничивающих конкуренцию соглашений

Правительство Российской Федерации постановлением №1933 от 28 ноября 2025 года утвердило «Положение о государственной информационной системе по предупреждению, выявлению и пресечению ограничивающих конкуренцию соглашений».

Содержание положения:

I. Общие положения

II. Цели, задачи, принципы функционирования системы по предупреждению

III. Структура системы по предупреждению

IV. Основные функции системы по предупреждению

V. Участники информационного взаимодействия

VI. Требования к техническим и программным средствам системы по предупреждению

VII. Взаимодействие системы по предупреждению с информационными системами

VIII. Защита информации системы по предупреждению

«Положение» определяет задачи, функции и принципы функционирования государственной информационной системы по предупреждению, выявлению и пресечению ограничивающих конкуренцию соглашений (система по предупреждению), её пользователей и их полномочия, перечни источников обрабатываемой информации и видов информации, представляемой в ГИС в обязательном порядке, и иные вопросы её функционирования.

Целью создания системы является информационное обеспечение деятельности федерального антимонопольного органа по предупреждению, выявлению и пресечению ограничивающих конкуренцию соглашений с помощью цифровых технологий, элементов искусственного интеллекта на торгах (п.6).

Система включает в себя совокупность 11 подсистем - программно-технологических компонентов (п.8), в том числе следующих:

• «подсистема выявления признаков правонарушений» - подсистема, предназначенная для автоматизированного анализа данных о торгах, полученных из ИС, в соответствии с настраиваемыми критериями;
  
  
• «подсистема интеграции с внешними информационными системами» - подсистема, предназначенная для обеспечения информационного взаимодействия системы с ИС;
  
  
• «подсистема аналитики и визуализации» - подсистема, предназначенная для построения аналитических отчетов различного вида на основе результатов, полученных из подсистем, статистических данных, заполненных внутренними пользователями системы по предупреждению, а также сведений, полученных из ИС;
  
  
• «подсистема поиска аффилированности» - подсистема, предназначенная для выявления аффилированности лиц;
  
  
• «подсистема машинного обучения (искусственного интеллекта)» - подсистема, предназначенная для выявления закономерностей и зависимостей и применения их для предсказания исходов или принятия решений;
  
  
• «подсистема сбора открытых данных» - подсистема, предназначенная для сбора и анализа открытых данных о ценовой информации на товары и услуги.

Проектирование и разработка подсистем осуществляются с использованием единой цифровой платформы РФ «ГосТех». Для разрабатываемых компонентов системы обеспечена возможность их повторного использования на платформе «ГосТех» (п.9).

Алгоритмы и критерии, на основе которых осуществляется автоматизированная обработка информации и документов утверждаются оператором системы по предупреждению (п.11).

Хранение информации в системе должно обеспечиваться на постоянной основе, за исключением информации, указанной в пунктах 17 и 18 настоящего «Положения» (п.16).

Срок хранения информации и документов, указанных в подпункте "а" пункта 10 настоящего Положения, в рамках расследований по признакам нарушения антимонопольного законодательства в части ограничивающих конкуренцию соглашений определяется оператором системы по предупреждению (п.17). (Это аналитическая и статистическая информации, включая информацию о вероятности (рисках) заключения и реализации ограничивающих конкуренцию соглашений при осуществлении предпринимательской деятельности на товарных рынках и при проведении торгов - Н.Х.).

Действия внутренних пользователей системы, осуществляемые в целях получения доступа к информации, требующего авторизации в Единой системе идентификации и аутентификации, протоколируются в техническом журнале системы, ведение которого обеспечивает оператор системы. Срок хранения информации в техническом журнале системы составляет 36 месяцев с момента осуществления соответствующего действия (п.18).

Перечень информации, содержащейся в техническом журнала, а также его порядок ведения утверждаются оператором системы.

Мой комментарий: Документ создает правовую основу для внедрения в деятельности регулятора современного инструмента, основанного на технологиях искусственного интеллекта и больших данных. 

Согласно п.11, алгоритмы и критерии автоматизированной обработки утверждаются исключительно оператором системы. Это потенциально создаёт проблему «черного ящика», когда коммерческие организации просто не будут понимать, по каким правилам система определяет их «рискованность». 

Подобная непрозрачность может привести к судебным спорам по оспариванию решений, принятых на основе сделанных системой выводов. В данном случае необходимо, чтобы при обработке и анализе данных применялся объяснимый ИИ, способный в любой момент времени представить подробные документированные объяснения по своим выводам и выявленным «нарушениям».

Эффективность системы сильно зависит от качества и полноты входных данных. Неполные, некорректные или несвоевременные данные из внешних информационных систем (торговых площадок, статистики) могут привести к ложным выводам, сделанным ИИ. 

Система станет хранилищем огромного массива высококонфиденциальных коммерческих сведений и персональных данных. «Положение» содержит отсылки к мерам по защите информации (раздел VIII), но не детализирует эти меры. 

Пункт 17 оставляет на усмотрение оператора срок хранения ключевой аналитической информации, что противоречит требованию Закона о персональных данных №152-ФЗ в отношении хранения персональных данных только до достижения целей их обработки, - и создаёт риск неограниченного накопления и незаконного использования таких данных.  С моей точки зрения, было бы правильно установить четкие, разумные и дифференцированные сроки хранения для всех категорий информации, которая будет обрабатываться в системе. 

Существует также опасность того, что выдаваемые системой результаты анализа будут восприниматься сотрудниками ФАС некритически, что способно привести к неоправданным санкциям и судебным спорам.

Эффективная работа с такой сложной аналитической системой потребует от внутренних пользователей (сотрудников ФАС) новых компетенций и навыков работы с данными и интерпретации результатов ИИ, - поэтому регулятору необходимо обратить особое внимание на обучение персонала, в том числе и по вопросам правового характера.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=520963

Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 5: Формирование информационного пакета для сохранения алгоритмов (1)

Данный пост эксперта в области управления электронными документами, эксперта ИСО от США Энди Поттера (Andy Potter - на фото) был опубликован 11 декабря 2025 года в социальной сети Substack.

От фрагментов памяти к целостной архитектуре стратегического управления автоматизированными системами

К тому моменту, когда я дошёл до этой части серии постов, начала вырисовываться чёткая сквозная линия. Везде - в политике в области ИИ, в регулировании рынка, в автоматизации государственного сектора и исследованиях в области цифрового наследия - постоянно встаёт одна и та же нерешённая проблема. Поэтому у меня есть такое умеренно-амбициозное предложение: если уж мы намереваемся использовать наши системы, то мы должны по крайней мере определить, какие доказательства должны быть сохранены, чтобы эти действия оставались понятными.

Мы часто говорим о прозрачности и подотчётности как о каких-то абстрактных добродетелях, но на практике они опираются на нечто очень конкретное, а именно, на выживание нужных документов - не всех документов, не идеального архива, а просто того количества адекватных свидетельств и доказательств, которых будет достаточно для реконструирования того, как вела себя система и почему.

Осознание этого подтолкнуло меня к идее о том, что я называю «пакетом для обеспечения сохранности алгоритмов» (algorithm preservation package). Это не юридический термин и не техническая концепция (по крайней мере, пока что), а способ описания ключевых компонентов памяти, необходимых современным автоматизированным системам, если мы хотим осуществлять стратегическое управление ими, проводить их аудит и доверять им во времени.

Данный пакет включает три слоя:

• слой сведений о разработке и проектировании (далее «слой проектирования» - design layer);
  
  
• слой сведений об эксплуатации (далее «слой эксплуатации» - operational layer);
  
  
• слой сведений о контексте (далее «контекстуальный слой» - contextual layer).

Каждый слой сохраняет различные аспекты поведения машины. Совместно они создают «след» системы, достаточно жизнеспособный, чтобы пережить сбои, расследования и аудиты по мере течения времени.

Это не какая-то схема, а фундамент.

Слой проектирования: Сохранение истории того, как создавалась система

Это слой, который большинство коллег упускает из виду. Мы часто относимся к системам ИИ так, словно они родились на свет уже готовыми. Однако у каждой системы есть история развития. Принимались решения о выборе вариантов, были выбраны модели, сформированы данные и настроены параметры. Были приняты или проигнорированы риски. Появились многочисленные версии. Группы специалистов вели дебаты и иногда шли на компромиссы.

Всё это становится невидимым, как только система запускается в эксплуатацию, и слой проектирования призван сохранить данные сведения.

Слой проектирования включает в себя:

• описание назначения и предполагаемого использования системы,
  
  
• архитектуру модели и её обоснование,
  
  
• сведения о стратегическом управление обучающими данными и критерии их отбора,
  
  
• решения в отношении предварительной обработки данных,
  
  
• результаты тестирования и валидации,
  
  
• ожидания в отношении показателей производительности и соответствующие ограничения, 
  
  
• результаты оценок риска и выбранные варианты смягчения рисков,
  
  
• историю управления изменениями,
  
  
• «снимки» конфигурации,
  
  
• заметки разработчиков и документы о принятых ими решениях,
  
  
• документацию по оценке этичности и справедливости.

Именно здесь основная «нагрузка» ложится на сведения, который Патриция Фрэнкс (Pat Franks) относит к «параданным» (paradata). Параданные документирует действия, которые сформировали систему: решения, преобразования, калибровки, уточнения и компромиссы, которые привели к созданию конечного артефакта.

Одной частью этого слоя является официальная инженерная документация. Другая часть спрятана в электронных письмах, средствах отслеживания проблем (issue trackers), репозиториях программного обеспечения, журналах тестирования, карточках моделей и внутренних служебных записках. Без должного внимания к нему слой проектирования может испариться, оставляя позади систему, которая функционирует, но которую невозможно понять.

Это урок, следующий как из архивной теории, так и из практики регулирования рынка. Невозможно воссоздать действие, если отсутствуют свидетельства приведших к нему обстоятельств.

Сопоставление «пакета для обеспечения сохранности алгоритмов» со сдаточным информационным SIP-пакетом и архивным информационным AIP-пакетом в концепции открытой архивной информационной системы (OAIS)

Не нужно путать «пакеты для обеспечения сохранности алгоритмов» с традиционными контейнерами (информационными пакетами) в концепции открытой архивной информационной системы (OAIS). В сдаточные (SIP) и архивные (AIP) информационные пакеты упаковывают стабильные цифровые объекты для передачи и хранения – при этом предполагается, что объект уже зафиксирован (защищен от внесения изменений – Н.Х.) и готов к передаче на архивное хранение.

Пакеты для обеспечения сохранности алгоритмов работают иначе. В них доказательная база захватывается в тот период, когда системы активны и эволюционируют – обеспечивая в реальном времени сохранение сведений о поведении, логических обоснованиях и путях принятия решений. Это не просто контейнерный формат; это концептуальная структура документации о жизненном цикле, которая находится по ходу деловых процессов «выше по течению», чем OAIS.

Это можно представить себе следующим образом: SIP- и AIP-пакеты сохраняют объекты, в то время, как пакеты для обеспечения сохранности алгоритмов сохраняют сведения о действиях.

(Продолжение следует)

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-05f 

Выложены видеозаписи и презентации докладов на конференции «Европейские дни PDF 2025 года»

Данная заметка была выложена 27 октября 2025 года на сайте Ассоциации PDF (PDF Association).

Ожидание закончилось! Видеозаписи и презентации ко всем докладам на конференции «Европейские дни PDF 2025 года» (PDF Days Europe 2025) теперь доступны онлайн!

Время пришло! Видеозаписи всех докладов на конференции «Европейские дни PDF 2025 года» и презентации к ним наконец-то доступны.

Мой комментарий: О конференции «Европейские дни PDF 2025 года», прошедшей 15-16 сентября 2025 года в Берлине, см. также переводы постов американского коллеги Эндрю Поттера (Andrew Potter) здесь:

• https://rusrim.blogspot.com/2025/09/pdf-2025-pdf-days-europe-2025.html 
  
  
• https://rusrim.blogspot.com/2025/09/blog-post_89.html 
  
  
• https://rusrim.blogspot.com/2025/10/pdf.html 
  
  
• https://rusrim.blogspot.com/2025/09/pdf.html 
  
  
• https://rusrim.blogspot.com/2025/09/pdfa-1.html 

Чтобы найти нужные Вам материалы, обратитесь к веб-станице с программой конференции ( https://pdfa.org/agenda/pdf-days-europe-2025/ ), к архиву презентаций ( https://pdfa.org/presentation/ ) или же посмотрите наш плейлист на сайте YouTube ( https://youtube.com/playlist?list=PLfGR40SWnakhgSxXc8y70j7Juo8plKQEU&si=nDLmWIGbl9ObTLmr )!

Плейлист на сайте YouTube

Ниже приведена (очень!) краткая сводная информация о докладах.

Конференция «Европейские дни PDF 2025 года» началась с пленарного доклада профессора д-ра Филиппа Хакера (Phillipp Hacker) на тему «Роль ИИ в быстром изменении процессов создания контента, управления им и обеспечения его аутентичности» (The role of AI in rapidly reshaping content creation, management, and authenticity, https://pdfa.org/presentation/the-role-of-ai-in-rapidly-reshaping-content-creation-management-and-authenticity/ ), в котором были обозначены риски для документов и контента в мире повсеместного использования ИИ, где эффективность, происхождение и доверие являются доминирующими темами.

Проблема использования возможностей ИИ без принесения в жертву надёжности постоянно звучала в докладах и в кулуарных беседах, являясь контекстом для дискуссий о метаданных, подписях, верификации и ответственности разработчиков инструментов и владельцев контента.

Доклад «PDF 2030» ( https://pdfa.org/presentation/pdf-2030/ ) пригласил слушателей задуматься о том, как изменения платформ, ожидания пользователей и новые стандарты должны определять приоритеты. В докладе «Современные невидимые чернила: Понимание скрытой информации в PDF» (Modern invisible ink – Understanding hidden information in PDF, https://pdfa.org/presentation/modern-invisible-ink-understanding-hidden-information-in-pdf/ ) были подробно рассмотрела реальные особенности контента, которые пользователям не видны, но который системы обработки данных «вниз по потоку» должны корректно обрабатывать; «скрытые» структуры, которые могут как способствовать оптимизации рабочих процессов, так и (в случае неправильной обработке) создавать риски. Тем временем в докладе «PDF с тегами в дикой природе: Доступность и извлечение в больших масштабах» (Tagged PDF in the Wild: Accessibility and extraction at scale), https://pdfa.org/presentation/tagged-pdf-in-the-wild/ ) были представлены взятые из практики свидетельства на основе реальных документов о тенденциях использования механизмов повторного использования и доступности PDF-файлов.

В докладе «PDF для коллективной работы» (Collaborative PDF, https://pdfa.org/presentation/collaborative-pdf/ ) рассматривался вопрос о том, как в будущем, используя более развитые модели совместного редактирования, аннотирования и рецензирования, можно будет работать в рамках надежных, интероперабельных рабочих процессов с PDF-файлами. В докладе «Криминалистический анализ PDF-файлов и проблема метаданных» (PDF Forensics and the Metadata conundrum, https://pdfa.org/presentation/pdf-forensics-and-the-metadata-conundrum/ ) показана двойственная природа описательных данных - они жизненно важны для э-раскрытия и исполнения законодательно-нормативных требований, но они также являются источником проблем, связанных с защитой персональных данных и со стратегическим управлением. В докладе «Понимание структуры таблиц в PDF и извлечение из них данных» (Understanding the structure of PDF tables and extracting data from them, https://pdfa.org/presentation/understanding-the-structure-of-pdf-tables-and-extracting-data-from-them/ ) была рассмотрена одна из самых насущных проблем в данной области: получение надежных, семантически значимых табличных данных из разнородных документов.

Темы безопасности и аутентичности также всё время звучали в ходе мероприятия. В докладе «Безопасность и аутентичность документов» (Document security and authenticity, https://pdfa.org/presentation/document-security-and-authenticity/ ) были рассмотрены модели угроз и цепочки доверия в мире, где ввод документов осуществляется как людьми, так и машинами, - а в докладе «HTML и PDF: Заклятые друзья-враги» (HTML and PDF, best of Frenemies, https://pdfa.org/presentation/html-and-pdf-best-of-frenemies/ ) обосновывалась необходимость сосуществования в рамках практической деятельности и использования сильных сторон каждого формата, а не навязывания ложного выбора. В докладе «За пределами автоматизации» (Beyond Automation, https://pdfa.org/presentation/beyond-automation/ ) приводились аргументы в пользу подходов к обеспечению доступности, которые бы учитывают потребности пользователей. В совокупности эта группа докладов привлекла внимание к серьезной истине: «умные» конвейеры имеют смысл только в том случае, если их результаты надёжны, воспринимаемы и проверяемы как людьми, так и системами.

Во второй день конференции основное внимание уделялось вопросам доступности и производственным реалиям. Утреннее заседание открыл пленарный доклад Александра Пфингстля (Alexander Pfingstl) «Доступные цифровые документы» (Accessible Digital Documents, https://pdfa.org/presentation/accessible-digital-documents/ ). В докладе «Работа с методами создания доступных PDF-файлов» (Working with Techniques for accessible PDF, https://pdfa.org/presentation/how-to-work-with-the-techniques-for-accessible-pdf/ ) были связаны воедино рекомендации стандартов и практический опыт работы по созданию и корректировке PDF-файлов, - в то время, как в докладе «Когда PDF-файлы критически важны для производства» (When PDF is production critical, https://pdfa.org/presentation/when-pdf-is-production-critical/ ) были затронуты вопросы масштабируемости и надежности в корпоративных процессах печати. В докладе «Упрощение процесса проектирования» (Making it easier to design, https://pdfa.org/presentation/making-it-easier-to-design/ ) было обращено внимание на разрыв между инструментами проектирования и системами печати. Доклад «В защиту инкрементального сохранения» (In Defense of the Incremental Save, https://pdfa.org/presentation/in-defense-of-the-incremental-save/ ) напомнил всем о ценности этой давно существующей функциональной возможности формата PDF.

Как и ожидалось, большое внимание привлекла тема искусственного интеллекта, затронутая в докладах «Расширение возможностей будущего формата PDF с помощью ИИ» (Empowering the Future of PDF with AI,  https://pdfa.org/presentation/empowering-the-future-of-pdf-with-ai/ ) и «PDF, ИИ и защита персональных данных: Может ли интеллектуальное быть безопасным?» (PDF, AI, and Data Protection: Can Smart Be Safe?” ( https://pdfa.org/presentation/pdf-ai-and-data-protection-can-smart-be-safe/ ). В обоих случаях подчеркивалась важность проектирования, ориентированного на защиту персональных данных, и четкая грань между удобством инструментов генеративного ИИ и проверяемой истиной. В докладе «ИИ и доступность PDF-файлов» (AI and PDF Accessibility, https://pdfa.org/presentation/ai-and-pdf-accessibility/ ) внимание было сфокусировано на потенциале ИИ в плане способствования инклюзивности и доступности документов. 

В докладе «Создание снабженных тегами и доступных PDF-файлы с помощью LaTeX - переосмысление» (Tagged and Accessible PDF with LaTeX - revisited, https://pdfa.org/presentation/tagged-and-accessible-pdf-with-latex-revisited/ ) сообщалось об  устойчивом прогрессе в издательском деле в сфере точных наук (STEM), где все большее значение приобретают семантически насыщенные выходные данные, поддерживающие MathML. В докладе «Валидация XMP-метаданных в PDF» (PDF XMP Metadata Validation, https://pdfa.org/presentation/pdf-xmp-metadata-validation-with-relax-ng-schemas-and-the-podofo-library/ ) было представлено решение с открытым исходным кодом для XMP-валидации в PDF-файлах на соответствие нескольким подмножествам стандарта PDF. В рамках докладов «Разрушение хорошего» (Breaking Good, https://pdfa.org/presentation/breaking-good/ ) и «PDF между строк: Спецификация формата, де-факто стандарты, и предстоящий сдвиг в сторону удобства работы пользователя» (PDF Between the Lines: Specification, De Facto Standards, and the Coming UX Shift” ( https://pdfa.org/presentation/pdf-between-the-lines-specification-de-facto-standards-and-the-coming-ux-shift/ ) участникам было предложено взглянуть за рамки формальных спецификаций и оценить реальное положение дел с интероперабельностью и ожиданиями пользователей, обеспечив тем самым совместную эволюцию спецификаций, реализаций и удобства работы пользователей.

В докладе «Основные преимущества членства в Ассоциации PDF» (PDF Association Membership Benefits 101, https://pdfa.org/presentation/pdf-association-membership-benefits-101/ )  было рассказано о том, как членство в Ассоциации PDF открывает доступ к стандартам в процессе разработки, к сотрудничеству с экспертами, а также маркетинговые возможности благодаря повышению узнаваемости и расширению сети контактов.

Источник: сайт Ассоциации PDF
https://pdfa.org/recordings-from-pdf-days-europe-2025-are-now-available/ 

ИСО: Опубликована очередная, четвёртая редакция терминологического стандарта ISO 22300:2025 «Безопасность и жизнестойкость – Словарь»

В ноябре 2025 года сайт Международной организации по стандартизации (ИСО) сообщил о публикации очередной, четвёртой редакции стандарта ISO 22300:2025 «Безопасность и жизнестойкость – Словарь» (Security and resilience – Vocabulary) объёмом 26 страниц, см. https://www.iso.org/standard/85749.html и https://www.iso.org/obp/ui/en/#!iso:std:85749:en . Стандарт заменил ранее действовавшую редакцию ISO 22300:2021.

Стандарт подготовлен техническим комитетом TC 292 «Безопасность и жизнестойкость» (Security and resilience). Всего он содержит 130 терминов. Содержание стандарта полностью доступно по адресу https://www.iso.org/obp/ui/en/#!iso:std:85749:en .

Во вводной части стандарта отмечается:

«В настоящем документе определены общие термины, относящиеся к вопросам безопасности и жизнестойкости.

Данный документ предоставляет общий языковой профиль, способствующий общему пониманию и поддержанию согласованности базовой терминологии.

Темы безопасности и жизнестойкости охватывают широкий спектр дисциплин. В некоторых случаях может потребоваться дополнение лексики, представленной в данном документе.

Настоящий документ может использоваться в качестве справочного материала компетентными органами, а также специалистами, участвующими в системах стандартизации, с целью обеспечения лучшего и более точного понимания соответствующих текстов, переписки и сообщений.

… Настоящий документ определяет термины, относящиеся к вопросам безопасности и жизнестойкости.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения

3.1. Термины, относящиеся к безопасности и жизнестойкости
3.2. Термины, относящиеся к риску
3.3. Термины, относящиеся к системам менеджмента

Библиография
Указатель

Источник: сайт ИСО
https://www.iso.org/standard/85749.html   
https://www.iso.org/obp/ui/en/#!iso:std:85749:en 
 

Арбитражная практика: Использование маскирующегося под человека робота-коллектора противоречит законодательству

Арбитражный суд Республики Саха (Якутия) в августе 2023 года вынес решение по делу №А58-4021/2023, в котором суд признал, что использование робота-коллектора в ходе взаимодействия по телефону по поводу просроченной задолженности, в ситуации, когда должник или третье лицо не подозревают, что диалог происходит не с человеком - сотрудником ПАО «Сбербанк», а с компьютерной программой, имеющей признаки искусственного интеллекта, - противоречит требованиям, установленным законодательством.

Суть спора

В Управление Федеральной службы судебных приставов (УФССП) по Республике Саха (Якутия) в январе 2023 года поступило обращение гражданки о противоправных действиях общества ПАО «Сбербанк», выразившихся в осуществлении с ней взаимодействия с нарушением установленных законом условий. 

Гражданка сообщила, что ей на телефонный номер поступают многочисленные звонки от ПАО «Сбербанк», направленные на возврат просроченной задолженности её матери.

По результатам сверки данных таблиц коммуникаций и детализации услуг оператора сотовой связи было установлено, что банк осуществлял взаимодействие с гражданкой в целях возврата просроченной задолженности с нарушением установленных законом условий взаимодействия.

Управление, рассмотрев материалы дела об административном правонарушении, вынесло постановление о признании общества ПАО «Сбербанк» виновным в совершении правонарушения, предусмотренного частью 1 статьи 14.57 Кодекса Российской Федерации об административных правонарушениях (КоАП), с назначением наказания в виде наложения административного штрафа в размере 100 тыс. рублей.

ПАО «Сбербанк», не согласившись с постановлением, обратилось с заявлением в арбитражный суд о признании незаконным и отмене постановления по делу об административном правонарушении.

Позиция Арбитражного суда Республики Саха (Якутия)

ПАО «Сбербанк» представил доводы о том, что нарушения требований Федеральный закон от 03 июля 2016 года № 230-ФЗ «О защите прав и законных интересов физических лиц при осуществлении деятельности по возврату просроченной задолженности и о внесении изменений в Федеральный закон «О микрофинансовой деятельности и микрофинансовых организациях» не было допущено, поскольку Сбербанк использовал в своей деятельности робота-коллектора, который, по мнению банка, является средством передачи голосовых уведомлений и, следовательно, относится к голосовым и иным сообщениям, передаваемым по сетям электросвязи. Также, по мнению банка, не является взаимодействием факт того, что абонент «бросил трубку», имелась «помеха связи», абонент «не ответил на звонок» (не доступен/заблокирован), «телефон не принадлежит клиенту» - следовательно, информация о просроченной задолженности не донесена, информационный обмен не состоялся.

По мнению суда, перечень способов взаимодействия с должником, законодательно закрепленный в законе №230-ФЗ, может быть дополнен другими способами, которые должник и кредитор (или лицо, действующее от его имени и в его интересах) определяют самостоятельно, но с их обязательным отражением в заключаемом между ними письменном соглашении.

В ходе взаимодействия по поводу просроченной задолженности по номеру телефона с использованием робота-коллектора должник или третье лицо не подозревают, что диалог происходит не с человеком, а с компьютерной программой, которая при этом выдает себя за человека, задает третьему лицу вопросы, на которые получает ответы, а также воспринимает произносимую в ответ речь, то есть ведет себя как человек.

Суд отметил, что использование названного метода взаимодействия с применением искусственного интеллекта не относится ни к одному из способов, установленных частью 1 статьи 4 закона №230-ФЗ, то есть является иным способом взаимодействия, для использования которого необходимо письменное соглашение, заключенное между должником и кредитором и/или лицом, действующим в его интересах.

При этом соглашения об использовании иного способа взаимодействии с должником, предусмотренного частью 2 статьи 4 Закона №230-ФЗ, подписано не было.

Таким образом, с учетом того, что законодателем четко конкретизированы способы взаимодействия кредитора с гражданами, в отсутствие соответствующего соглашения примененный ПАО Сбербанк способ взаимодействия с использованием робота-коллектора, направленный на возврат просроченной задолженности, противоречит требованиям, установленным частью 2 статьи 4 Закона №230-ФЗ.

Арбитражный суд отказал в удовлетворении требования ПАО «Сбербанк России».

Четвертый арбитражный апелляционный суд оставил без изменения решение Арбитражного суда Республики Саха (Якутия), а апелляционную жалобу - без
удовлетворения.

Арбитражный суд Восточно-Сибирского округа в январе 2024 года оставил без изменения решение Арбитражного суда Республики Саха (Якутия) и постановление Четвёртого арбитражного апелляционного суда по тому же делу, а кассационную жалобу - без удовлетворения.

Мой комментарий: Суд отметил, что использование робота, маскирующегося под человека, вводит абонента в заблуждение и нарушает его право на прозрачность коммуникаций. Данное судебное решение, в отсутствие иных прецедентов, является для банков сигналом о том, что им стоит задуматься о пересмотре практики использования роботов-коллекторов:

• Необходимо исключить применение систем, имитирующих человеческое общение, без письменного согласия должника;
  
  
• Если используется автоматизированное информирование, оно должно быть прозрачным: абонент должен сразу понимать, что общается с роботом, и иметь возможность отказаться от таких звонков.

В договоры с клиентами стоит включить пункты, разрешающие взаимодействие через автоматизированные системы (роботы, чат-боты и т.д.), с четким описанием их функционала.

Источник: Официальный сайт Верховного Суда Российской Федерации / Электронное правосудие по экономическим спорам
http://www.arbitr.ru/

ИСО и МЭК: Начато публичное обсуждение проекта стандарта ISO/IEC DIS 27091 «Искусственный интеллект – Защита персональных данных»

В январе 2026 года сайт Международной организации по стандартизации (ИСО) сообщил о начале публичного обсуждения проекта нового стандарта ISO/IEC DIS 27091 «Кибербезопасность и защита неприкосновенности частной жизни (персональных данных) – Искусственный интеллект – Защита персональных данных» (Cybersecurity and Privacy - Artificial Intelligence - Privacy protection) объёмом 31 страница основного текста, см. https://www.iso.org/standard/56582.html и https://www.iso.org/obp/ui/en/#!iso:std:56582:en .

Над стандартом работает технический подкомитет ИСО/МЭК JTC1/SC27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection). Я уже рассказывала о работе над этим документом здесь: https://rusrim.blogspot.com/2024/07/isoiec-27091.html 

В аннотации на документ отмечается:

«Настоящий документ содержит рекомендации для организаций по обработке рисков для неприкосновенности частной жизни (персональных данных), связанных с системами искусственного интеллекта (ИИ) и моделями машинного обучения (МО).

Приведенные в настоящем документе рекомендации помогают организациям выявлять риски для персональных данных на протяжении всего жизненного цикла систем ИИ и описывают механизмы для оценки последствий и для обработки таких рисков.

Данный документ применим в организациях любого типа и размера, включая государственные и частные компании, государственные учреждения и некоммерческие организации, которые разрабатывают или используют системы искусственного интеллекта.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Концепция анализа систем ИИ на предмет защиты персональных данных
6. Защита персональных данных для моделей ИИ
7. Защита персональных данных в жизненном цикле системы ИИ
Приложение A: Дополнительная информация для анализа систем ИИ на предмет защиты персональных данных
Приложение B: Шаблон для описания вариантов использования
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/56582.html 
https://www.iso.org/obp/ui/en/#!iso:std:56582:en 

ИСО: Опубликована новая редакция стандарта ISO 14533-3:2025 усиленной электронной подписи для PDF-файлов PAdES, способствующей перепроверке в длительной перспективе

В октябре 2025 года года сайт Международной организации по стандартизации (ИСО) сообщил о публикации новой редакции стандарта ISO 14533-3:2025 «Процессы, элементы данных и документы в коммерции, промышленности и государственном управлении – Варианты электронных подписей для долговременного использования - Часть 3: Профили для усиленных электронных подписей для PDF-файлов (PAdES)» (Processes, data elements and documents in commerce, industry and administration - Long-term signature - Part 3: Profiles for PDF Advanced Electronic Signatures (PAdES)) объёмом 33 страницы, см. https://www.iso.org/standard/88298.html и https://www.iso.org/obp/ui/en/#!iso:std:88298:en .

Документ, подготовленный техническим комитетом ИСО TC154 «Процессы, элементы данных и документы в коммерции, промышленности и государственном управлении» (Processes, data elements and documents in commerce, industry and administration), заменил предыдущую редакцию ISO 14533-3:2017.

Во вводной части документа, в частности, отмечается:

«В настоящем документе специфицированы элементы, из числа используемых в усиленных электронных подписях для PDF-файлов (PAdES), которые обеспечивают возможность проверки усиленной электронной подписи в течение длительного периода времени.

Документ не содержит ни каких-либо новых технических спецификаций для самой усиленной электронной подписи, ни новых ограничений на использование уже существующих технических спецификаций усиленных электронных подписей.»

Стоит отметить, что оперативной поддержкой и развитием формата PAdES занимается Европейский институт телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI). Действующие стандарты ETSI, касающиеся формата PAdES, следующие:

• ETSI EN 319 142-1 версия 1.2.1 (январь 2024 г.) «Электронные подписи и инфраструктуры – Электронные подписи PAdES. Часть 1: Основные элементы и базовые варианты подписей PAdES» (Electronic Signatures and Infrastructures (ESI); PAdES digital signatures; Part 1: Building blocks and PAdES baseline signatures) объёмом 24 страницы, см. https://www.etsi.org/deliver/etsi_en/319100_319199/31914201/01.02.01_60/en_31914201v010201p.pdf 
  
  
• ETSI EN 319 142-2 версия 1.2.1 (июль 2025 г.) «Электронные подписи и инфраструктуры доверия – Усиленные электронные подписи PAdES - Часть 2: Расширенные варианты подписей PAdES» (Electronic Signatures and Trust Infrastructures (ESI); PAdES digital signatures; Part 2: Additional PAdES signatures profiles), объёмом 32 страницы, см. https://www.etsi.org/deliver/etsi_en/319100_319199/31914202/01.02.01_60/en_31914202v010201p.pdf 

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Требования
6. Профили подписей для долговременного использования

6.1. Определение и позиционирование профилей PAdES 
6.2. Уровни обязательности элементов профиля
6.3. Порядок выбора степени обязательности элементов профиля
6.4. Профиль PAdES-T
6.5. Профиль PAdES-A
6.6. Подписание PDF-файла несколькими подписями

Приложение A: Декларация поставщика о соответствии и её присоединение
Приложение B: Профиль для использования только отметки времени
Приложение C: Структура токена отметки времени
Приложение D: Применение PAdES с использованием усиленных электронных подписей, соответствующих синтаксису криптографических сообщений (CMS)
Приложение E: Примеры использования нескольких подписей
Библиография

Источник: сайт ИСО
https://www.iso.org/standard/88298.html 
https://www.iso.org/obp/ui/en/#!iso:std:88298:en 

Управление рисками для архивов, часть 3-2

(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2026/02/3-1_12.html )

Выявление рисков

Цель выявления и чёткого описания рисков заключается в следующем (п.5.5):

• Повышение уровня осведомленности и понимания связанных с документами рисков которые являются актуальными для организации;
  
  
• Способствование планированию и реагированию на риски;
  
  
• Совершенствование документных процессов, методов и средств контроля и управления документами, а также документных систем.

Формула описания риска (п.5.5) может включать следующие компоненты:

• Подверженные риску документы, процессы и/или системы;
  
  
• Источники риска и/или области неопределённости;
  
  
• Событие;
  
  
• Последствия источника риска и события.

Риски могут повлиять на управление документами следующим образом (п.7.1):

• Воспрепятствовать либо способствовать сохранению ключевых характеристик документа (аутентичности, надёжности, целостности и пригодности к использованию);
  
  
• Ослабить или усилить документные процессы, меры контроля и управления, и системы; 
  
  
• Поставить под угрозу или способствовать защите надёжности, безопасности, исполнению установленных процедур, всестороннему охвату и систематическому характеру работы документных систем.

В Приложении B стандарта ISO 18128:2024 (см. также Приложение В в ГОСТ Р 57551-2017 – Н.Х.) приведен используемый для выявления рисков контрольный список областей определенности с указанием подлежащих анализу факторов, который имеет следующую структуру:

• Области неопределенности - Внешний контекст (п. B.2)
  
  
• Области неопределенности - Внутренний контекст (п. B.3)
  
  
• Области неопределенности - Документные процессы (п. B.4)
  
  
• Создание документов и развёртывание документных систем (п. B.4.2)
  
  
• Использование и повторное использование документов и документных систем  (п. B.4.3)
  
  
• Поддержание пригодности к использованию (п. B.4.4) 
  
  
• Уничтожение/передача документов (п. B.4.5)
  
  
• Области неопределенности – Меры и средства управления документами (п. B.5)
  
  
• Метаданные (п. B.5.1)
  
  
• Деловые классификационные схемы (п. B.5.2)
  
  
• Правила доступа (кто, где, когда, при каких условиях может получить доступ?) и разрешения (что пользователь может делать после получения доступа - чтение, модификация, создание/добавление, удаление, управление и т.д.)) (п. B.5.3)
  
  
• Нормативные документы, устанавливающие сроки хранения и действия по их истечении (п. B.5.4)
  
  
• Области неопределенности – Документные системы

Анализ рисков

Рекомендуются следующие методы анализа рисков (п.8.2):

• Анализ последствий для деловой деятельности (Business Impact Analysis, BIA)
  
  
• Анализ влияния человеческого фактора (Human Reliability Analysis, HRA)
  
  
• Анализ рисков по методу «галстук-бабочка» (Bow Tie Analysis)

Оценка величины рисков

Рекомендуются следующие методы (п.9.2):

• ALARP (as low as reasonably practicable - минимальный практически приемлемый уровень риска), с определением недопустимых, допустимых или общепринятых рисков;
  
  
• RCM (reliability-centered maintenance - техническое обслуживание, ориентированное на обеспечение надёжности) — действия, направленные на упреждающую оптимизацию систем;
  
  
• Индексы риска – величина риска оценивается как произведение воздействия и вероятности;
  
  
• Сопоставление затрат и выгод (cost-benefit analysis).

(Продолжение следует)

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/25/managementul-riscurilor-pentru-arhive-3/ 

Искусственный интеллект и управление документами и контентом

Данная заметка известного американского эксперта и эксперта ИСО, лидера проекта разработки технических спецификаций ISO/TS 22957 Роберта Блатта (Robert Blatt – на фото) была опубликована 19 января 2026 года в социальной сети LinkedIn.

Вычислительная мощь, возможности и скорости новейших процессоров значительно возросли за последние несколько лет, наряду со значительным уменьшением размера «чипов». Эти достижения сделали возможным использование ИИ в постоянно расширяющемся спектре вариантов применения, охватывающем, помимо обработки сохраняемой в электронном виде информации (Electronically Stored Information, ESI), среды управления информацией/документами в т.ч. промышленное производство, автоматическую обработку телефонных звонков/чатов, а также множество иных возможностей. 

Опубликовано множество статей и проведено немало дискуссий, посвященных технологиям, связанным с искусственным интеллектом, - но все они на деле устаревают вскоре после разработки / публикации ввиду быстрых темпов развития технологий. С учётом этого сказанное ниже посвящено исключительно использованию технологий ИИ и роботехнической автоматизации технологических процессов и производств (Robotic Process Automation, RPA), связанных с маршрутизацией и обработкой электронной информации (ESI), - также известных как технологии управления контентом/документами, которые стабилизировались в последние годы. Такая обработка включает в себя: классификацию, маршрутизацию, установление и отслеживание сроков хранения, проведение уничтожения либо передачи на архивное хранение и т.д., в соответствии с потребностями в ней для целей управления и повышения качества сохраняемой электронной информации (ESI).

Многие организации стремятся использовать ИИ-компоненты для обработки контента существующих облачных хранилищ данных, с целью обработки уже хранящихся в них больших объёмов электронной информации организации, которая не классифицирована должным образом и для которой требуется установить сроки хранения и действия по их истечении. 

Данный подход не является вполне эффективным (и не дает точных результатов), поскольку большая часть электронной информации организации, требующей формального управления сроками хранения и уничтожением/передачей, создаётся посредством использования разнообразных приложений, генерирующих большие объёмы информации, который не может быть обработан вне соответствующего контроля и управления, осуществляемого этими приложениями. 

Более того, значительная часть электронной информации, хранящихся в облачных хранилищах данных, представляет собой нерелевантную информацию и дубликаты, которые следовало бы удалить вместе с черновиками, замененными обновлёнными версиями. Игнорирование этого обстоятельства при использовании ИИ-компонентов для классификации электронной информации и/или назначения ей сроков хранения и действий по их истечении приводит к недостаточному уровню соблюдения законодательно-нормативных требований к срокам хранения/уничтожению, особенно для финансовых организаций, которые жёстко регулируются и/или стремятся соблюдать разнообразные требования федеральных и региональных регуляторов.

Роботехническая автоматизация технологических процессов и производств (RPA), использование которой для обработки входящей электронной информации началось ещё 15 лет тому назад, до недавнего времени применялась в первую очередь из-за значительного увеличения объёмов требующих различного рода обработки электронных данных, с целью снизить становившиеся непомерными затраты на ручную обработку этой входящей электронной информации. 

Еще один фактор, приводивший к сокращению количества использующих RPA организаций, был связан с ограниченностью количества продвинутых функциональных возможностей, выходящих за рамки маршрутизации входящих документов. 

Прямым результатом быстрого роста скорости обработки и мощности компьютеров/серверов, а также снижения стоимости памяти стало то, что организации стали чаще внедрять различные вариации ИИ не только для маршрутизации входящего электронного контента, но и для дальнейшей обработки и управления огромными объемами электронной информации. 

Еще одним фактором, способствующим быстрому внедрению технологий ИИ организациями, является их способность заменить вмешательство человека в различные действия, реализуемая на основе платформ обработки естественного языка (Natural Language Processing, NLP) и искусственного интеллекта – речь идёт о таких действиях, как, например, как маршрутизация телефонных звонков, обработка электронной информации и т.д. Этот переход привел к огромным преимуществам в плане экономии расходов, что позволяет организациям перенаправлять ресурсы в более важные виды деятельности.

ИИ - это не какие-то автономные решения, а скорее платформа или фундамент, состоящий из множества слоёв, начиная с классической версии ИИ, где эти технологии начинались с базовой функциональности «да/нет», на самом деле ставшей началом того, что мы привыкли называть RPA. 

Концепция RPA заключается в том, чтобы оценить, появились ли (находились ли) определённые слова в определенной близости друг от друга. Модуль будет маршрутизировать/обрабатывать электронную информацию очень специфическим образом на основе правил, установленных системными программистами во время внедрения и обучения. Если ни одно из условий (маршрутизации – Н.Х.) не было выполнено, то электронная информация будет направлена на анализ «человеку», а затем «правила» будут обновлены соответствующим образом, обеспечивая, что такой тип информации впоследствии будет обрабатывался надлежащим образом. На этом первоначальном фундаменте обработки было основано то, что сейчас называется «машинным обучением» (machine learning, ML), когда затем были подключены как контролируемое, так и неконтролируемое обучение, классификация и регрессионный анализ.

Важно отметить, что эти технологии, ставшие за последние 10 лет более зрелыми, продолжают развиваться очень быстрыми темпами, и что все вариации ИИ требуют времени и ресурсов для проведения «обучения» и мониторинга работы модулей с целью выполнения необходимых организации измерений уровня надежности и возможности доверять. В состав ресурсов обычно входят репрезентативные ресурсы руководителей, юристов, владельцев бизнеса, аудиторов и т.д. Эти ресурсы, представляющие владельцев бизнеса, юристов, аудиторов и т.д., необходимы для мониторинга необходимых журналов аудита (все модули ИИ/RPA должны генерировать журналы обработки), уровней точности и надежности для определения степени достоверности результатов этой обработки.

Ключевым моментом при рассмотрении вопросов автоматизации с использованием технологий ИИ обработки, классификации, установления и отслеживания сроков хранения, а также обработки в рамках судебных процессов, является необходимость помнить о том, что эта ключевая технология (ИИ - Н.Х.) все еще быстро развивается. Важно признать этот момент и помнить, по-прежнему требуются политика и ресурсы организации для ведения мониторинга результатов технологии, с целью обеспечения того, что решение работает надлежащим образом и соответствует всем применимым законодательно-нормативным требованиям и иным установленным процедурам.

Эти технологии вместе, с другими приложениями, генерирующими и/или обрабатывающими электронную информацию, следует принимать во внимание при выполнении оценки надёжности и доверенности на основе положений стандарта ISO 18829:2017 «Управление контентом - Оценка внедрений систем управления контентом, информацией и документами - Доверие» (Document management - Assessing ECM/EDRM implementations – Trustworthiness, см. https://www.iso.org/standard/63513.html и https://www.iso.org/obp/ui/en/#!iso:std:63513:en , а также мой пост http://rusrim.blogspot.com/2017/06/iso-188292017-ecm.html - Н.Х.).

Мой комментарий: В России данный стандарт был недавно адаптирован как ГОСТ Р ИСО 18829-2024 «Управление документооборотом. Оценка внедрений ECM/EDRM. Достоверность», см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=264164  и мой пост http://rusrim.blogspot.com/2024/11/18829-2024-ecmedrm.html .

При проведении любой такой оценки важно понимать, наряду с другими аспектами оцениваемой среды, как эти технологии были реализованы и как осуществлялся мониторинг их применения. Применение этих технологий в интеграции со структурированными приложениями, генерирующими электронную информацию, является важным аспектом, который никогда не следует упускать из виду в ходе обычной повседневной обработки и особенно во время проведения проектов или деятельности по оценке стратегического управления информацией/документами.

Роберт Блатт (Robert Blatt)

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/contentrecords-management-ai-robert-blatt-igp-mit-lit-cigo-chpp-i0ajc/ 

Управление рисками для архивов, часть 3-1

(Продолжение, предыдущую часть см. http://rusrim.blogspot.com/2026/02/2-2.html )

Данная заметка известного румынского архивиста Богдана-Флорина Поповичи (Bogdan-Florin Popovici, на фото) была опубликована 25 декабря 2025 года на его блоге «Bogdan's Archival Blog - Blog de arhivist».

Уже более 10 лет существует международный стандарт ISO по оценке рисков при управлении документами. Сейчас действует его вторая редакция ISO 18128:2024 «Информация и документация – Риски для документов – Оценка риска в контексте управления документами» (Information and documentation - Records risks - Risk assessment for records management), см. https://www.iso.org/standard/85321.html и https://www.iso.org/obp/ui/en/#!iso:std:85321:en (а также мой пост https://rusrim.blogspot.com/2024/04/iso-181282024.html - Н.Х.).

Мой комментарий: Данный документ был адаптирован в России как ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем», см. http://protect.gost.ru/v.aspx?control=8&baseC=6&id=210200 , на основе его первой редакции - технического отчёта ISO/TR 18128:2014 «Информация и документация – Оценка рисков для документных процессов и систем» (Information and documentation - Risk assessment for records processes and systems, см. https://www.iso.org/standard/61521.html и https://www.iso.org/obp/ui/#!iso:std:61521:en , а также пост на блоге http://rusrim.blogspot.com/2014/03/iso-tr-18128-2014.html ). 

Ниже приводится краткое изложение стандарта (на основе открытых источников).

Риск - это следствие влияния неопределенности на достижение поставленных организацией целей: потенциальное отклонение от запланированного, которое может оказаться положительным (появление возможностей), негативным (появление угроз для достижения целей) или же сочетанием того и другого.

В контексте управления документами риски связаны с неопределенностями, относящимися к:

• процессам работы с документами (создание/захват, упорядочение, обеспечение сохранности, доступ);
  
  
• инструментам контроля над документами (инструменты для создания/захвата и упорядочения, правила доступа и т. п.); и
  
  
• управляющим  документами системам.

(Этот подход к анализу напрямую связывает данный стандарт со стандартом ISO 15489).

Мой комментарий: Выше упомянут стандарт ISO 15489-1:2016 «Информация и документация - Управление документами - Часть 1: Понятия и принципы» (Information and documentation - Records management - Part 1: Concepts and principles, см. https://www.iso.org/standard/62542.html и https://www.iso.org/obp/ui/en/#!iso:std:62542:en . Данный стандарт адаптирован в России как ГОСТ Р ИСО 15489-1-2019 (ISO 15489-1:2016) «Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Управление документами. Часть 1. Понятия и принципы», см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=232615 .
 

Предварительные шаги

Шаг 1. В стандарте оценки рисков при управлении документами отмечается, что риски можно рассматривать на разных уровнях, от стратегического до уровня оперативной деятельности. Конечно, всё зависит от актуальности проблемы. Поэтому первый шаг состоит в определении области охвата для анализа рисков.

Шаг 2. Анализ внешнего и внутреннего контекста (условий) деятельности организации.

• Под внешним контекстом понимаются внешние по отношению к организации факторы, которые могут влиять на её деятельность (культурная, правовая, нормативная, финансовая, технологическая, экономическая, природная и конкурентная среда).
  
  Мой комментарий: В ГОСТ Р 57551-2017, п.5.1, сказано следующее: «Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.»
  
  
• Внутренний контекст включает в себя аспекты лидерства, организационной культуры, потенциала, технологий, применяемых стандартов и политик и т.д.
  
  Мой комментарий: В ГОСТ Р 57551-2017, п.5.1, сказано следующее: «Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.»

Шаг 3. В разделе 5.4 стандарта ISO 18128:2024 (раздел 4 в ГОСТ Р 57551-2017 – Н.Х.) рассматриваются критерии для выявления рисков и определения их допустимых уровней. Риски определяются исходя из требований организации и точек зрения заинтересованных в деятельности организации сторон.

(Продолжение следует, см. http://rusrim.blogspot.com/2026/02/3-2_01957553945.html )

Богдан-Флорин Поповичи (Bogdan-Florin Popovici)

Источник: блог Богдана-Флорина Поповичи
https://bogdanpopovici2008.wordpress.com/2025/12/25/managementul-riscurilor-pentru-arhive-3/ 

Использование электронного адреса в качестве основного способа связи с юридическим лицом

Правительство Российской Федерации распоряжением от 29 ноября 2025 года №3523-р утвердило «Национальную модель целевых условий ведения бизнеса до 2030 года», а также ключевые показатели эффективности реализации национальной модели и планы мероприятий («дорожную карту»)» по их достижению по следующим направлениям:

• Регистрация юридических лиц;
  
  
• Разрешение споров;
  
  
• Налоги;
  
  
• Трудовые отношения;
  
  
• Недвижимость;
  
  
• Интеллектуальная собственность;
  
  
• Закупки;
  
  
• Банкротство;
  
  
• Энергетика и коммунальная инфраструктура.

В планах Правительства предусмотрен целый ряд мер, направленных на то, чтобы до 2030 года включительно упростить для бизнеса различные аспекты деятельности. 

В ключевые показатели эффективности реализации национальной модели целевых условий ведения бизнеса до 2030 года по направлению «Регистрация бизнеса и налогообложение» включена «Доля юридических лиц, имеющих возможность использования адреса электронной почты для официальной коммуникации, в том числе с государственными органами», которая к 2028 году должна составить 70%. Этот показатель установлен для Минфина России, Минтруда России, Минцифры России, ФНС России, Фонда пенсионного и социального страхования Российской Федерации.

План мероприятий («дорожная карта») по достижению ключевых показателей эффективности реализации национальной модели целевых условий ведения бизнеса до 2030 года по направлению «Регистрация бизнеса и налогообложение» предполагает «введение на добровольной основе возможности использования электронного адреса (для обществ с ограниченной ответственностью, отнесенных к субъектам малого и среднего предпринимательства, осуществляющих нелицензируемые виды деятельности и не оказывающих услуги на финансовом рынке) в целях осуществления связи с юридическим лицом при сохранении у него физического адреса (в случае регистрации юридического лица по адресу места жительства лица, осуществляющего полномочия постоянно действующего исполнительного органа)».

Для реализации этой задачи предусмотрено:

• Разработка подхода к возможности использования на добровольной основе (в случае регистрации юридического лица по адресу места жительства лица, осуществляющего полномочия постоянно действующего исполнительного органа) адреса электронной почты во ФГИС  «Единый портал государственных и муниципальных услуг (функций)» в качестве основного способа связи с юридическим лицом при сохранении у него физического адреса (места нахождения постоянно действующего исполнительного органа).
  
  Для этого к январю 2027 года 
  
  
• ­Должен быть разработан и утвержден регламент по использованию электронного адреса в качестве основного способа связи с юридическим лицом;
  
  
• ­70 процентов юридических лиц должны иметь возможность использовать адрес электронной почты для официальной коммуникации, в том числе с государственными органами.
  
  
• Разработка понятия электронного адреса и требований к нему (п.1.2).
  
  К январю 2027 года планируется законодательно закрепить понятие электронного адреса;
  
  
• Разработка (доработка) информационно-технической инфраструктуры для использования электронного адреса в качестве основного способа связи с юридическим лицом (п.1.3).
  
  К январю 2028 года должен быть представлен доклад в Правительство РФ о наличие требуемой информационно-технической инфраструктуры для использования электронного адреса в качестве основного способа связи с юридическим лицом;
  
  
• Разработка порядка внесения электронного адреса в единый государственный реестр юридических лиц и одновременного ограничения сведений об адресе места нахождения постоянно действующего исполнительного органа (в случае регистрации юридического лица по адресу места жительства лица, осуществляющего полномочия постоянно действующего исполнительного органа) (п.1.4)
  
  К январю 2028 года планируется законодательное закрепление порядка внесения электронного адреса в единый государственный реестр юридических лиц и одновременного ограничения сведений об адресе места нахождения постоянно действующего исполнительного органа (в случае регистрации юридического лица по адресу места жительства лица, осуществляющего полномочия постоянно действующего исполнительного органа).

Мой комментарий: Электронная почта - привычный для многих канал связи, который может ускорить получение юридически значимых сообщений от государственных органов.

Переход изначально задуман как добровольный и ограниченный конкретными категориями бизнеса (малое и среднее предпринимательство, нелицензируемые виды деятельности), зарегистрированных по месту жительства руководителя, что снижает первоначальные риски и позволяет апробировать механизм в реальных ситуациях.

Процесс реализации затянут во времени, но это может быть связано с запланированным внесением изменений в законодательство, а это процесс небыстрый.

Разделение «физического адреса» (который остается) и «адреса для связи» (e-mail) может создать юридическую неопределенность. 

Цель «70% юридических лиц имеют возможность …» делает упор на наличие возможности, а не на реальное использовании. Ключевым, с моей точки зрения, должно быть не наличие возможности, а процент компаний, которые ею реально воспользовались и для которых электронная почта стала основным или существенным каналом связи с государственными органами.

К сожалению, ничего не сказано о том, какая именно система электронной почты может использоваться – любая, только российская, или же, скажем, специальная защищённая электронная почта, которая сможет обеспечить надёжную идентификацию участников переписки, гарантировать доставку конкретному получателю и уведомление об этом отправителя? 

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=520354

Становой хребет подотчётности: Обеспечение долговременной сохранности алгоритмов в автоматизированном обществе. Часть 4: Рынки, память и машинная логика (3)

(Продолжение, предыдущую часть см. https://rusrim.blogspot.com/2026/02/4-2.html ) 

Реконструкция инцидента как метод расследования

Когда на финансовых рынках что-то идёт не так, следователи начинают со сбора свидетельств и доказательств. Они собирают:

• Журналы аудита оперативной деятельности,
  
  
• Отметки времени, с точностью до миллисекунды,
  
  
• Книги заявок / распоряжений,
  
  
• Переписку,
  
  
• Конфигурационные файлы,
  
  
• Проектную документацию,
  
  
• Решения в рамках управления изменениями.

Далее они восстанавливают последовательность событий -  перемещаются назад во времени и воссоздают состояние системы до, во время и после аномалии.

Данный процесс выглядит практически идентичным реконструкции исторических событий по архивным документам – и это не метафора, а подход.

Системы для ведения торгов не рассказывают свои истории. Об истории их функционирования говорят свидетельства / доказательства. Вот почему так важны журналы аудита, это не техническая телеметрия. Ну а надзор - необходимое условие выживания.

Почему финансовые рынки раньше осознали проблему

Рынки почувствовали хрупкость автоматизации задолго до того, как это сделало сообщество специалистов по ИИ. Самым известным примером является «Мгновенный крах» (Flash Crash) 2010 года (резкое падение американского рынка акций 6 мая 2010 года, спровоцированное проведением мнимых сделок со срочными биржевыми контрактами путем выставления и молниеносного снятия 19 тысяч заявок на покупку и продажу ценных бумаг объемом до $200 млн с помощью программ высокочастотной торговли. Злоумышленник был изобличён лишь через 5 лет – Н.Х.), но было и бесчисленное множество других, менее значительных инцидентов, в которых автоматизированные стратегии неожиданно делали ситуацию неконтролируемой контроля, или же взаимодействие между системами приводило к непредвиденным последствиям.

Говоря о ранних сбоях на автоматизированных рынках, люди часто высказываются абстрактно. Однако 6 мая 2010 года наступил момент, привлёкший к данной проблеме внимание всего мира – это был так называемый «мгновенный крах». В течение нескольких минут фондовые рынки США пережили ошеломляюще резкое падение, потеряв почти 1 триллион долларов рыночной стоимости, после чего практически мгновенно восстановились. Одни однотипные сделки заключались на сумму в один цент, другие - на 100 тысяч долларов. Рыночные данные рассинхронизировались. Книги заявок опустошались, а затем снова наполнялись с поразительной скоростью.

Человек не смог бы отследить в режиме реального времени ни один из аспектов происходящего. Впоследствии регуляторы потратили месяцы на реконструкцию инцидента на основе совокупности журналов аудита торгов, данных о событиях, связанных с заявками, системных отметок времени и документов о разработке задействованных торговых стратегий. Именно эта работа по реконструкции выявила основную проблему: автоматизированные системы взаимодействовали неожиданным образом, что привело к перерастанию крупного заказа на продажу в каскадный системный сбой.

«Мгновенный крах» кое-что прояснил задолго до того, как ИИ вошел в число основных тем дискуссий по вопросам политик. Сложные автоматизированные системы способны дестабилизировать целые сектора экономики за считанные секунды, и единственный способ понять, что произошло, - это проследить цепочку свидетельств о действиях системы. Финансовые рынки на собственном горьком опыте убедились, что подотчетность невозможна без документов, достаточно подробных для воссоздания момента краха.

Не случайно многие современные правила в отношении журналов аудита и алгоритмического надзора были ужесточены после 2010 года. Это событие продемонстрировало ограниченность осуществляемого человеком надзора в режиме реального времени и сделало реконструируемость непреложным требованием в отношении надзора и контроля над поведением автоматических систем.

Регуляторы пришли к простому и глубокому выводу:

• Системы быстрее людей,
  
  
• Люди могут быть не в состоянии вмешаться в режиме реального времени,
  
  
• Мероприятия контроля и надзора после события невозможен в отсутствии памяти,
  
  
• Документальный «след» является единственным способом, обеспечивающим возможность понять действия автоматизированных систем.

Как только осознаётся этот факт, всё остальное приходит само собой. Если на финансовом рынке правят алгоритмы, то рынок управляется благодаря документам, свидетельствующим о поведении алгоритмов.

Таким образом, финансовая отрасль занималась на практике обеспечением сохранности алгоритмов за десятилетия до того, как появился соответствующий термин.

Возвращаясь к современному стратегическому управлению искусственным интеллектом

Если сопоставить финансовое регулирование с Законом Евросоюза об ИИ, то параллели очевидны:

• На финансовых рынках требуется документация о жизненном цикле. Закон об ИИ требует документации о жизненном цикле.
  
  
• На финансовых рынках требуются журналы аудита. Закон об ИИ требует протоколирования в журналах аудита, достаточно для реконструкции решений.
  
  
• На финансовых рынках требуются история версий и журналы изменений. Закон об ИИ требует управления версиями и свидетельств изменений.
  
  
• На финансовых рынках требуется сохранение данных, достаточных для обеспечения исполнения законодательно-нормативных требований. Закон об ИИ требует сохранение данных, достаточных для обеспечения надзора и контроля.
  
  
• На финансовых рынках требуется обеспечить возможность воссоздания автоматизированного поведения. Закон об ИИ требует обеспечить возможность реконструкции действий системы.

Эти два режима [нормативно-правового регулирования – Н.Х.] эволюционировали независимо друг от друга, но их объединяет одна и та же ключевая идея: стратегическое управление опирается на свидетельства / доказательства.

Финансовые рынки пришли к этому первыми, потому что имевшие там место сбои были мгновенными и измеримыми. ИИ только сейчас достигает подобного уровня интеграции в общество, и регулирующие органы начинают понимать ту же истину: подотчетность невозможна без памяти.

Сдвиг в серии постов: От осознания проблемы к архитектуре

В 4-й части серия постов переходит от осознания проблемы к пониманию её архитектуры её решений. Финансовый сектор показывает, как может выглядеть обеспечение сохранности алгоритмов при реализации в оперативной деятельности. В ней представлена самая ясная и понятная из существующих моделей сохранения доказательной базы (evidential recordkeeping) для автоматизированных систем.

Отсюда становятся понятными дальнейшие шаги:

• В 5-й части будут описаны компоненты «пакета» для обеспечения сохранности алгоритмов (algorithm preservation package);
  
  
• В 6-й части будут рассмотрены экспертиза ценности, виды ценности, установление и отслеживание сроков хранения;
  
  
• В 7-й части речь пойдёт о том, что означает проектирование систем с функцией сохранения памяти по умолчанию.

Финансовые рынки показывают нам конечное состояние: мир, в котором автоматизированные системы управляемы, поскольку обеспечивается сохранение их памяти.

В следующем посте мы переходим к вопросу о том, как построить аналогичную архитектуру для других ситуаций.

(Продолжение следует, см. http://rusrim.blogspot.com/2026/02/5-1.html )

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/bones-of-accountability-preserving-874 

Порядок информирования ФСБ России о компьютерных атаках и компьютерных инцидентах

ФСБ России приказом от 25 декабря 2025 года №547 утвердила «Порядок информирования ФСБ России о компьютерных атаках и компьютерных инцидентах, реагирования на них, принятия мер по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов критической информационной инфраструктуры Российской Федерации и иных информационных ресурсов Российской Федерации, принадлежащих органам и организациям, на которые возложены обязанности, предусмотренные частью 4 статьи 9 Федерального закона от 26 июля 2017 г. №187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации»».

Приказ вступил в силу с 30 января 2026 г.

Субъекты критической информационной инфраструктуры (КИИ) РФ обязаны (п.1):

• Информировать ФСБ России обо всех компьютерных атаках и компьютерных инцидентах;
  
  
• Реагировать на них, и 
  
  
• Принимать меры по ликвидации последствий компьютерных атак, проведенных в отношении значимых объектов КИИ, принадлежащих им на праве собственности, аренды или ином законном основании. 

В части информационных ресурсов Российской Федерации, принадлежащих органам и юридическим лицам на праве собственности, аренды или ином законном основании, то их руководители обязаны информировать ФСБ России обо всех компьютерных атаках и компьютерных инцидентах, связанных с функционированием принадлежащих им информационных ресурсов (п.2). Это должны делать руководители:

• Государственных органов (за исключением органов внешней разведки РФ, органов государственной охраны, федерального органа обеспечения мобилизационной подготовки органов государственной власти РФ, федерального органа исполнительной власти, уполномоченного в области обеспечения безопасности критической информационной инфраструктуры РФ);
  
  
• Государственных унитарных предприятий;
  
  
• Государственных учреждений;
  
  
• Государственных фондов;
  
  
• Государственных корпораций (компаний);
  
  
• Иных российских юридических лиц, которые, если иное не предусмотрено международным договором РФ, находятся под контролем Российской Федерации, и (или) субъекта РФ, и (или) контролируемых ими совместно или по отдельности лиц.

Информирование ФСБ России осуществляется путем направления информации в Национальный координационный центр по компьютерным инцидентам (НКЦКИ) в соответствии с определенными форматами представления информации о компьютерных атаках и компьютерных инцидентах в государственную систему обнаружения, предупреждения и ликвидации последствий компьютерных атак на информационные ресурсы Российской Федерации с использованием технической инфраструктуры НКЦКИ, предназначенной для отправки, получения, обработки и хранения уведомлений и запросов в рамках информационного взаимодействия с субъектами КИИ, а также с иными не являющимися субъектами КИИ органами и организациями, в том числе иностранными и международными. 

В случае отсутствия подключения к данной технической инфраструктуре информирование осуществляется посредством почтовой связи или электронной связи по адресам НКЦКИ, указанным на официальном сайте в сети «Интернет» ( www.cert.gov.ru ) (п.2).

Информация о компьютерном инциденте направляется в НКЦКИ (п.3):

• в значимом объекте КИИ - в срок не позднее 3 часов с момента его обнаружения; 
  
  
• в иных объектах КИИ - в срок не позднее 24 часов с момента его обнаружения;
  
  
• на информационном ресурсе Российской Федерации органа (организации) - в срок не позднее 24 часов с момента его обнаружения.

Информация о компьютерной атаке направляется в НКЦКИ:

• проведенной в отношении объекта КИИ или информационного ресурса Российской Федерации органа (организации), в срок не позднее 24 часов с момента обнаружения компьютерной атаки.

Субъекты КИИ, которые осуществляет деятельность в банковской сфере и в иных сферах финансового рынка, информация также направляют в Банк России. 

Для подготовки к реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак субъектом КИИ разрабатывается план реагирования (п.5), который утверждается руководителем (п.6). Копия плана направляется в НКЦКИ.

Проект плана реагирования, содержащий эти положения и проект о внесении изменений в него разрабатываются субъектом КИИ при методическом обеспечении НКЦКИ и до их утверждения направляются на согласование в Центр защиты информации и специальной связи ФСБ России (п.8).

Субъект КИИ не реже одного раза в год обязан организовывать и проводить тренировки по отработке мероприятий плана реагирования. Объем и содержание тренировки определяются субъектом КИИ исходя из мероприятий, содержащихся в плане реагирования (п.10).

Организация и проведение тренировок возлагаются на подразделения и должностных лиц субъекта КИИ, ответственных за проведение мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак.

По результатам тренировок в план реагирования вносятся изменения в случае выявления недостатков, предусмотренных планом реагирования мероприятий.

В ходе ликвидации последствий компьютерных атак субъектом КИИ принимаются меры по восстановлению функционирования и проверке работоспособности значимого объекта КИИ (п.13)

Субъект КИИ обязан информировать НКЦКИ в срок не позднее 48 часов после завершения мероприятий по реагированию на компьютерные инциденты и принятию мер по ликвидации последствий компьютерных атак о результатах таких мероприятий (п.14).

Информацию о результатах реагирования на компьютерные инциденты и принятия мер по ликвидации последствий компьютерных атак, связанных с функционированием принадлежащих органам (организациям) информационных ресурсов Российской Федерации, органы (организации) в течение 24 часов с момента окончания мероприятий направляют в НКЦКИ.

Органы (организации) в целях принятия мер по ликвидации последствий компьютерных атак, связанных с функционированием принадлежащих им информационных ресурсов РФ, обязаны (п.16):

• Определить состав подразделений и должностных лиц, ответственных за проведение мероприятий, 
  
  
• Их задачи в рамках принимаемых мер, 
  
  
• Очередность информационных ресурсов РФ (их структурных элементов), в отношении которых будут приниматься меры по ликвидации последствий компьютерных атак, 
  
  
• Перечень мер по восстановлению функционирования информационного ресурса РФ и 
  
  
• Направить указанную информацию в НКЦКИ 

Органы (организации) после ликвидации последствий компьютерных атак и принятия мер по восстановлению функционирования и проверке работоспособности информационных ресурсов РФ обязаны информировать об этом НКЦКИ в течение 24 часов с момента завершения таких мер (п.17).

Мой комментарий: Документ содержит требования к созданию целого ряда документов. Это:

План реагирования на компьютерные инциденты (ПР) – это основной документ, который должен быть разработан (п.5-9 Порядка). В этом документе может быть определен:

• Состав группы реагирования на инциденты с перечислением их ролей и контактов (включая круглосуточные), а также порядок их взаимодействия;
  
  
• Процесс реагирования при обнаружении;
  
  
• Процедура информирования: кто, в каком формате (ссылка на форму), через какой канал, кому (внутри, в НКЦКИ, в Банк России) отправляет уведомление;
  
  
• Восстановление: Приоритеты объектов (как в п.12), процедуры;
  
  
• Завершение: Критерии закрытия инцидента, процедура итогового информирования НКЦКИ (п.14).

Поскольку данный документ требуется согласовывать с ФСБ/Банком России, нужно обязательно сохранять все версии и протоколы согласований.

Документы по проведению тренировок – прежде всего включают утвержденную программу и график тренировок, а также отчет об итогах тренировки, ключевой документ, подтверждающий выполнение п.10 и обосновывающий изменения в Плане реагирования. Все отчеты по тренировкам хранятся для предъявления ФСБ.

Документирование в данном случае - это создание системы доказательств вашей добросовестности и операционной готовности. Создание качественной и реально работающей документации сейчас многократно окупятся при реальном инциденте или во время проверки, минимизируя юридические и репутационные риски.

Источник: Консультант Плюс
https://www.consultant.ru/cons/cgi/online.cgi?req=doc;base=LAW;n=523709