Судьба важнейших документов после исчезновения шкафов с бумажными документами: Будущее управления документами и обеспечения непрерывности деловой деятельности (2)

(Продолжение, начало см. http://rusrim.blogspot.com/2026/06/1.html )

Ландшафт стандартов обеспечения непрерывности деловой деятельности

Ключевые международные стандарты обеспечения непрерывности деловой деятельности разработаны техническим комитетом Международной организации по стандартизации (ИСО) ISO/TC 292 «Безопасность и жизнестойкость» (Security and resilience). Наиболее известным является стандарт ISO 22301, устанавливающий требования к системам менеджмента непрерывности деловой деятельности. Вокруг него существует растущая экосистема взаимосвязанных руководств и технических спецификаций, охватывающих анализ воздействия на деловую деятельность, жизнестойкость организаций, непрерывность работы ИКТ, координацию в кризисных ситуациях и жизнестойкость цепочек поставок.

Мой комментарий: Речь идёт о стандарте ISO 22301:2019 «Безопасность и жизнестойкость – Система менеджмента непрерывности деловой деятельности – Требования» (Security and resilience - Business continuity management systems – Requirements), см. https://www.iso.org/standard/75106.html и https://www.iso.org/obp/ui/#iso:std:iso:22301:ed-2:v1:en , а также мой пост здесь: http://rusrim.blogspot.com/2019/11/iso-22301.html . В настоящее время идёт работа над новой редакцией стандарта.

В России стандарт адаптирован как ГОСТ Р ИСО 22301-2021 «Надёжность в технике. Системы менеджмента непрерывности деятельности. Требования», см. https://protect.gost.ru/gost/details/9847b5a5-e69d-4af0-8799-8fe12e706fa9 и мой пост https://rusrim.blogspot.com/2021/12/blog-post_816.html .

В совокупности эти стандарты предлагают зрелую концептуальную основу для планирования обеспечения непрерывности деловой деятельности, восстановления оперативной деятельности, анализа зависимостей, реагирования на перебои и менеджмента жизнестойкости (живучести). Они требуют от организаций выявления критически-важных деловых процессов, оценки зависимостей, установления приоритетов при восстановлении и поддержания во времени способности обеспечивать непрерывность деловой деятельности.

При внимательном изучении этих стандартов особенно поражает то, насколько сильно они неявно полагаются на заслуживающие доверия документы и информационные системы, при этом не включая их в полной мере в свои модели. В стандартах обеспечения непрерывности деловой деятельности обычно обсуждаются критически важные информационные ресурсы, зависимости оперативной деятельности, последовательность работ по восстановлению и приоритеты восстановления. Однако они, как правило, не затрагивают более глубокие структуры свидетельств / доказательств, на которые полагаются современные организации.

Например, план обеспечения непрерывности деловой деятельности может предусматривать восстановление транзакционной платформы, однако восстановление самой платформы не обязательно означает восстановление доверия. Организациям также необходимы метаданные, сведения о происхождении, идентификационные связи, журналы аудита, лог-файлы, состояния конфигурации, средства управления сроками хранения и контекст обеспечения сохранности. Без этих элементов реконструированные информационные системы могут функционировать, оставаясь при этом скомпрометированными с точки зрения надёжности содержащихся в них доказательств.

Ситуация становится еще сложнее в облачных средах, где организация может зависеть от инфраструктуры третьей стороны, когда речь идёт об обеспечении сохранности или аутентификации доказательств. Усилия по обеспечению непрерывности деловой деятельности всё чаще включает в себя не просто сохранение документов, но и сохранение связей, которые делают эти документы заслуживающими доверия.

Стандарты обеспечения непрерывности деловой деятельности косвенно отчасти признают эту реальность. Например, стандарт ISO/IEC 27031 рассматривает готовность ИКТ к обеспечению непрерывности деловой деятельности и к восстановлению информационных систем. Технические спецификации ISO/TS 22317, посвященные анализу воздействия на деловую деятельность, акцентируют внимание на выявлении зависимостей и на приоритетах при восстановлении. Стандарт ISO 22316 расширяет круг обсуждаемых вопросов, рассматривая жизнеспособность организаций и потенциал для адаптации. Однако ни один из этих стандартов в полной мере не рассматривает непрерывность самих экосистем доказательств.

Мой комментарий: Выше были упомянуты: 

• Стандарт ISO/IEC 27031:2025 «Кибербезопасность - Готовность информационно-коммуникационных технологий к поддержке непрерывности деловой деятельности» (Cybersecurity - Information and communication technology readiness for business continuity) объёмом 40 страниц, см. https://www.iso.org/standard/27031 и https://www.iso.org/obp/ui/en/#!iso:std:80975:en , а также мой пост https://rusrim.blogspot.com/2025/07/isoiec-270312025.html .
  
  Данный стандарт в редакции 2011 года был адаптирован в России как ГОСТ Р ИСО/МЭК 27031-2012 «Информационная технология. Методы и средства обеспечения безопасности. Руководство по готовности информационно-коммуникационных технологий к обеспечению непрерывности бизнеса», https://protect.gost.ru/gost/details/d452b5f2-356d-4db9-b536-b0d30f73c247 
  
  
• Технические спецификации ISO/TS 22317:2021 «Безопасность и жизнестойкость – Система менеджмента непрерывности деловой деятельности – Руководство по анализу воздействия на деловую деятельность» (Security and resilience - Business continuity management systems - Guidelines for business impact analysis), см. https://www.iso.org/standard/79000.html и https://www.iso.org/obp/ui/en/#!iso:std:79000:en 
  
  
• Готовящийся к публикации стандарт ISO/DIS 22316 «Безопасность и жизнестойкость – Жизнестойкость организации – Рекомендации» (Security and resilience - Organizational resilience - Guidelines), см. https://www.iso.org/standard/86493.html и https://www.iso.org/obp/ui/en/#!iso:std:86493:en , который заменит действующую редакцию ISO 22316:2017 «Безопасность и жизнестойкость – Жизнестойкость организации - Принципы и характеристики» (Security and resilience — Organizational resilience - Principles and attributes), см. https://www.iso.org/standard/50053.html и https://www.iso.org/obp/ui/en/#!iso:std:50053:en 

Где стандарты управления документами начинают пересекаться с вопросами обеспечения непрерывности деловой деятельности

Стандарты управления документами уже содержат многие детали «головоломки» обеспечения непрерывности деловой деятельности, даже если изначально они не были сформулированы в соответствующих терминах.

Стандарт ISO 15489 видит документы как авторитетные свидетельства / доказательства деловой деятельности и рассматривает вопросы защиты, стратегического управления, подотчетности, а также мер и средств контроля и управления на основе рисков. Стандарт ISO 30301 интегрирует управление документами в более широкие структуры стратегического и оперативного управления организации. Технический отчёт ISO/TR 18128 посвящён оценке рисков для документных процессов и систем, в то время, как стандарт ISO 23081 обеспечивает концептуальную основу для метаданных, которые поддерживают аутентичность, надежность, целостность и возможность использования.

Между тем, технический отчёт ISO/TR 26122 предлагает аналитические подходы для выявления зависимостей от документов и операционных взаимосвязей в рамках бизнес-процессов. Хотя данный стандарт не разрабатывался специально для планирования усилий по обеспечению непрерывности деловой деятельности, описанные в нём методологии анализа процессов легко могут поддерживать выявление критически важных для обеспечения непрерывности документов и зависимостей.

Мой комментарий: Выше были упомянуты: 

• Стандарт ISO 15489-1:2016 «Информация и документация - Управление документами - Часть 1: Понятия и принципы» (Information and documentation - Records management - Part 1: Concepts and principles, см. https://www.iso.org/standard/62542.html и https://www.iso.org/obp/ui/en/#!iso:std:62542:en . Адаптирован в России как ГОСТ Р ИСО 15489-1-2019 (ISO 15489-1:2016) «Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Управление документами. Часть 1. Понятия и принципы», https://protect.gost.ru/gost/details/2497916a-b91d-4248-a025-f898920fa001 
  
  
• Стандарт ISO 30301:2019 «Информация и документация - Системы менеджмента документов - Требования» (Information and documentation - Management systems for records – Requirements), см. https://www.iso.org/standard/74292.html и https://www.iso.org/obp/ui/en/#!iso:std:74292:en , а также мой пост https://rusrim.blogspot.com/2019/02/iso-30301.html . Адаптирован в России дважды - как ГОСТ Р 7.0.101-2018 / ИСО 30301:2011 «Система стандартов по информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Требования». см. https://protect.gost.ru/gost/details/a2fe605e-7c73-428b-b519-4fa57f633907 (мой пост о нём: https://rusrim.blogspot.com/2018/03/iso-30301.html ); и ГОСТ Р ИСО 30301-2014 «Информация и документация. Системы менеджмента записей. Требования», см. https://protect.gost.ru/gost/details/326cfa1c-9701-4bf2-bb00-4d01e65f38d3 и мой пост https://rusrim.blogspot.com/2015/03/blog-post_98.html .
  
  
• Стандарт ISO 18128:2024 «Информация и документация – Риски для документов – Оценка риска в контексте управления документами» (Information and documentation - Records risks - Risk assessment for records management, см. https://www.iso.org/standard/85321.html и https://www.iso.org/obp/ui/en/#!iso:std:85321:en ). Предшественник данного стандарта - технический отчёт ISO/TR 18128:2014 «Информация и документация – Оценка рисков для документных процессов и систем» (Information and documentation - Risk assessment for records processes and systems) был адаптирован в России как ГОСТ Р 57551-2017 / ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем», см. https://protect.gost.ru/gost/details/cf71ea00-4ae8-47d3-b96b-470d28f74075 .
  
  
• Документы семейства ISO 23081: 
  
  
• Стандарт ISO 23081-1:2017 «Информация и документация – Процессы управления документами – Метаданные документов – Часть 1: Принципы» (Information and documentation - Records management processes - Metadata for records - Part 1: Principles, см. https://www.iso.org/standard/73172.html ), о нём также см. мой пост http://rusrim.blogspot.com/2017/11/blog-post_13.html . Данный стандарт (в редакции 2006 года) был адаптирован в России как ГОСТ Р ИСО 23081-1-2008 «Система стандартов по информации, библиотечному и издательскому делу. Процессы управления документами. Метаданные для документов. Часть 1. Принципы», https://protect.gost.ru/gost/details/1cc0c50b-6ff1-46ab-b7ba-95110a0e1c15  
   
• Стандарт ISO 23081-2:2021 «Информация и документация – Метаданные для управления документами – Часть 2: Концептуальные вопросы и вопросы внедрения» (Information and documentation - Metadata for managing records - Part 2: Conceptual and implementation issues, см. https://www.iso.org/standard/81600.html ), о нём также см. мой пост http://rusrim.blogspot.com/2021/09/blog-post_502.html .
  
  
• Технический отчет ISO/TR 23081-3:2011 «Информация и документация – Управление метаданными для документов – Часть 3: Метод самооценки» (Information and documentation - Managing metadata for records - Part 3: Self-assessment method, https://www.iso.org/standard/57121.html ), о нём также см. мой пост http://rusrim.blogspot.com/2011/08/iso-23081.html .
   
• Готовящийся технический отчёт ISO/DTR 23081-4 «Информация и документация - Метаданные документов – Отчёт о наборах элементов метаданных» (Information and documentation - Metadata for records - Part 4: Report on metadata element sets), см. https://www.iso.org/standard/89771.html ), о нём также см. мой пост http://rusrim.blogspot.com/2025/10/isodtr-23081-4-4.html 

• Технический отчёт ISO/TR 26122:2008 «Анализ рабочих процессов с точки зрения управления документами» (Information and documentation - Work process analysis for records), см. https://www.iso.org/standard/43391.html и https://www.iso.org/obp/ui/en/#!iso:std:43391:en . В России адаптирован как ГОСТ Р 55681-2013 / ISO/TR 26122:2008 «Информация и документация. Анализ процессов работы с точки зрения управления документами», см. https://protect.gost.ru/gost/details/60b0f6a9-b832-4e90-b98e-75292a8663d7 

В совокупности эти стандарты формируют значительную концептуальную инфраструктуру. Они устанавливают важность документов как доказательств, признают роль метаданных в поддержании доверия и предлагают ориентированные на стратегическое управление подходы к управлению информацией.

Но чего по-прежнему недостаёт, так это единой концептуальной структуры оперативной деятельности, явно ориентированная на доказательства, критически важные для обеспечения непрерывности деловой деятельности в цифровой среде. В настоящее время нет всеобъемлющего стандарта управления документами, который бы обеспечивал непрерывность происхождения, приоритизацию восстановления авторитетной информации, критически-важные для обеспечения непрерывности метаданные, непрерывность доказательств подотчетности ИИ и выявление взаимозависимостей доказательств в распределённых системах.

Такое отсутствие становится всё более ощутимым по мере того, как организации становятся все более зависимыми от цифровых технологий, а само доверие становится скорее распределённым по взаимосвязанным системам, чем сосредоточенным исключительно в отдельных документах.

(Продолжение следует)

Эндрю Поттер (Andrew Potter)

Источник: сайт Substack
https://metaarchivist.substack.com/p/vital-records-after-the-death-of