Росстандарт: Опубликован стандарт ГОСТ Р ИСО 24143-2025 «Информация и документация. Стратегическое управление информацией. Концепция и принципы»

28 июля 2025 года на сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в июльском 2025 года разделе ( https://protect.gost.ru/default.aspx?control=6&month=7&year=2025 ) был выложен текст нового стандарта ГОСТ Р ИСО 24143-2025 (ISO 24143:2022) «Информация и документация. Стратегическое управление информацией. Концепция и принципы» объёмом 20 страниц, вступающего в силу 01.06.2026 года, см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=267220 .

Стандарт подготовлен ООО «ЭОС Тех» и Российским институт стандартизации на основе перевода на русский язык  международного стандарта ISO 24143:2022 «Информация и документация - Стратегическое управление информацией - Концепция и принципы» (Information and documentation - Information Governance - Concept and principles, см. https://www.iso.org/standard/77915.html и https://www.iso.org/obp/ui/#!iso:std:77915:en , а также мой пост http://rusrim.blogspot.com/2022/05/iso-241432022.html ). Стандарт внесён Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий».

Во вводной части стандарта отмечается:

«Стратегическое управление информацией — это стратегическая рамочная концепция управления информационными активами в масштабе всей организации с целью достижения ожидаемых результатов ее деятельности и обеспечения потенциальных результатов относительно того, что риски для использования определенной информации и, следовательно, для ведения оперативной деятельности, а также для целостности организации надлежащим образом выявляются и регулируются. Стратегическое управление информацией включает в себя (не ограничиваясь) политики, процессы, процедуры, роли и меры контроля и управления, реализованные с целью исполнения нормативно-правовых требований управления рисками и удовлетворения потребностей хозяйственной деятельности.

Стратегическое управление информацией представляет собой всеобъемлющую высокоуровневую концепцию, которая:

• обеспечивает согласованность всей связанной с информацией деятельности с миссией и целями организации, а также с ее деловыми, правовыми и общественными обязательствами;
  
  
• обеспечивает всесторонний систематический подход к информации посредством интеграции процессов, имеющих отношение к управлению и контролю над информацией;
  
  
• поддерживает сотрудничество между заинтересованными сторонами;
  
  
• создает высокоуровневую основу для управления информацией вне зависимости от ее формы, типа и формата; оказывает влияние на программы образования и повышения квалификации персонала и на осведомленность о связанных с информацией обязательствах, рисках и возможностях.

... Настоящий стандарт определяет понятия и принципы стратегического управления информацией.

Настоящий стандарт предназначен для применения в целях стратегического управления унаследованными, текущими и планируемыми информационными активами организации. Он может быть использован в организациях разного масштаба и представлен в любых секторах, включая государственные и частные компании, государственные учреждения и некоммерческие организации.»

Содержание стандарта следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Преимущества стратегического управления информацией
5. Принципы стратегического управления информацией
Приложение А (справочное): Диаграммы взаимосвязи понятий
Библиография

Источник: сайт Росстандарта
https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=267220

США: Конференция Седона начала публичное обсуждение документа «Путеводитель по последствиям появления Интернета вещей для э-раскрытия»

22 июля 2025 года сайт и новостная рассылка «Конференции Седона» (Sedona Conference ®) – очень авторитетного американского некоммерческого правового идейного центра, в основном занимающегося вопросами раскрытия в ходе судебных разбирательств и расследований сохраняемой в электронном виде информации (э-раскрытия), - сообщили о начале публичного обсуждения проекта «Путеводитель по последствиям появления Интернета вещей для э-раскрытия» (Primer on the Electronic Discovery Implications of the Internet of Things) объёмом 27 страниц, см. https://thesedonaconference.org/publication/Primer_on_Electronic_Discovery_Implications_of_Internet_of_Things . Публичное обсуждение продлится до 5 сентября 2025 года.

В извещении о начале публичного обсуждения отмечается:

Последствия сохраняемой в электронном виде в рамках Интернета вещей информации (IoT ESI) глубоки и многогранны

«В информационную эпоху Интернет вещей (Internet of Things, IoT) стал преобразующей силой. «Интернет вещей» (данный термин обычно использовался для описания сети взаимосвязанных устройств, обменивавшихся информацией друг с другом напрямую и через Интернет) превратился в обширную сеть соединений, объединяющую миллиарды устройств. Эти IoT-устройства непрерывно генерируют, передают и хранят данные, фундаментально изменяя информационный ландшафт. Эта эволюция открыла новые горизонты в правовой сфере, особенно в области электронного раскрытия информации, охватывающей законодательство и процессы раскрытия информации, сохраняемой в электронном виде (electronically stored information, ESI).

Настоящий «Путеводитель по последствиям появления Интернета вещей для э-раскрытия», доступный теперь для публичного обсуждения, призван помочь судьям, специалистам-практикам и сторонам судебных разбирательств понять уникальные аспекты электронной информации, сохраняемой в рамках интернета вещей (IoT ESI). В частности, в данном документе содержится обзор того, что представляет собой такая электронная информация, и рассматривается, каким образом интернет вещей влияет на традиционные процессы электронного раскрытия информации, включая практические рекомендации по управлению интернетом вещей на протяжении всего жизненного цикла электронного раскрытия информации.

Данный Путеводитель подготовлен рабочей группой WG1 Конференции Седона по хранению и представлению электронных документов. Публичное обсуждение данного документа продлится до 5 сентября 2025 года. Вопросы и комментарии следует направлять по электронной почте на адрес comments@sedonaconference.org . Редакционная группа внимательно рассмотрит все полученные комментарии и определит, какие исправления будет уместно внести в финальную версию.»

Мой комментарий: Содержание данного документа следующее:

Предисловие

I. Введение

II. Представление об устройствах Интернета вещей и сохраняемой в электронном виде информации
A. Контекст устройств Интернета вещей
B. Методы обмена информацией и управления
C. Места хранения электронной информации в рамках Интернета вещей

III. Уникальные проблемы в практике э-раскрытия, связанные с Интернетом вещей 
A. Охват раскрытия, пропорциональность и ограничения
B. Первоначальное раскрытие информации и планирование раскрытия информации
C. Владение, ответственное хранение и/или контроль
D. Защита персональных данных

IV. Уникальные проблемы процессов э-раскрытия, связанные с Интернетом вещей
A. Идентификация ESI IoT
B. Обеспечение сохранности ESI IoT
C. Сбор ESI IoT
D. Обработка ESI IoT
E. Анализ и поиск по ESI IoT
F. Экспертиза и представление ESI IoT

V. Допустимость ESI IoT в качестве доказательств
A. Аутентификация
B. Потенциальные проблемы, связанные с исключением ESI IoT из-под действия «правила о слухах» англосаксонского права

VI. Заключение

Источник: сайт «Конференции Седона»
https://thesedonaconference.org/node/11104 

Росстандарт: Опубликована новая редакция стандарта ГОСТ Р 7.0.97-2025 «Организационно-распорядительная документация. Требования к оформлению документов»

28 июля 2025 года на сайте Федерального агентства по техническому регулированию и метрологии ( http://www.gost.ru/ ) в июльском 2025 года разделе ( https://protect.gost.ru/default.aspx?control=6&month=7&year=2025 ) была выложена новая редакция стандарта ГОСТ Р 7.0.97-2025 «Система стандартов по информации, библиотечному и издательскому делу. Организационно-распорядительная документация. Требования к оформлению документов» объёмом 36 страниц, см. https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=267223 , которая заменила предыдущую редакцию ГОСТ Р 7.0.97-2016. 

Стандарт разработан Всероссийским научно-исследовательским институтом документоведения и архивного дела (ВНИИДАД); внесён техническим комитетом ТК191 «Научно-техническая информация, библиотечное и издательское дело, управление документами». Он вступает в силу 18 августа 2025 года.

Во вводной части стандарта отмечается:

«Настоящий стандарт распространяется на организационно-распорядительные документы: уставы, положения, правила, инструкции, регламенты, постановления, распоряжения, приказы, решения, протоколы, договоры, акты, письма, справки и др. (далее — документы), в том числе включенные в ОК 011-93, класс 0200000.

Настоящий стандарт определяет состав реквизитов документов, правила их оформления, в том числе с применением информационных технологий; виды бланков, состав реквизитов бланков, схемы расположения реквизитов на документе; образцы бланков; правила создания документов. Положения настоящего стандарта распространяются на документы на бумажном и электронном носителях.»

Содержание стандарта следующее:

Предисловие
1. Область применения
2. Нормативные ссылки
3. Общие требования к созданию документов
4. Реквизиты документа
5. Оформление реквизитов документов
6. Бланки документов
Приложение А (справочное): Расположение реквизитов на титульном листе документа
Приложение Б (справочное): Схемы расположения реквизитов документов
Приложение В (справочное): Образцы бланков документов
Библиография

Источник: сайт Росстандарта
https://protect.gost.ru/document1.aspx?control=31&baseC=6&id=267223
 

Росстандарт: Начато публичное обсуждение проекта предстандарта ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных»

На сайте NORMACS ( https://www.normacs.info ) с 28 июня по 17 августа 2025 года проходит открытое публичное обсуждение проекта российского предварительного стандарта ПНСТ «Информационные технологии. Кибербезопасность и защита конфиденциальности. Методы и технологии анонимизации данных» объёмом 92 страницы, см. https://www.normacs.info/projects/12308 . 

Стандарт разработан Ассоциацией участников рынка больших данных, внесён Техническим комитетом по стандартизации ТК 22 «Информационные технологии».

Текст проекта стандарта можно скачать по адресу https://www.normacs.info/project_files/13714 , а пояснительной записки к нему – по адресу  https://www.normacs.info/project_files/13713 . Принять участие в обсуждении документа можно здесь: https://www.normacs.info/discussions/9548#9548 .

В аннотации на проект говорится:

«Цель разработки стандарта состоит в закреплении риск-ориентированного подхода к защите данных, формализованных моделей анонимизации, псевдонимизации и подходов к методам обезличивания данных. Стандарт позволит повысить управляемость задач обезличивания с использованием моделей оценки рисков, обеспечить совместимость данных и будет способствовать развитию рынка высоких технологий.

Ключевым принципом, положенным в основу стандарта, является достижение оптимального баланса между уровнем защиты конфиденциальности и сохранением полезности данных для решения прикладных задач. Этот принцип реализуется через применение количественных метрик оценки риска повторной идентификации (включая k-анонимность, l-разнообразие, t-близость) и метрик качества преобразованных данных (статистическая близость, сохранение корреляций, пригодность для аналитики, потеря информации).»

Во вводной части документа отмечается:

«Настоящий стандарт устанавливает требования к методам и технологиям псевдонимизации и обезличивания (де-идентификации) данных, используемым для минимизации рисков повторной идентификации при обработке, хранении, передаче и публикации данных.

Стандарт определяет:

• требования к методам псевдонимизации как обратимого преобразования данных;
  
  
• требования к методам обезличивания (де-идентификации) как необратимого преобразования данных;
  
  
• процедуры оценки эффективности методов на основе риск-ориентированного подхода;
  
  
• критерии выбора методов для различных сценариев обработки данных.

Положения настоящего стандарта распространяются на:

• информационные системы различных классов и назначений, включая платформы обработки больших данных (Big Data), озера данных (Data Lake), потоковые системы, а также системы искусственного интеллекта и машинного обучения, обрабатывающие персональные или иные конфиденциальные данные;
  
  
• обработку структурированных (базы данных, таблицы, реестры), полу-структурированных (XML, JSON, логи), неструктурированных (тексты, изображения, аудио, видео) и бинарных данных специализированных форматов.

Рекомендации настоящего стандарта могут быть использованы:

• организациями и учреждениями при подготовке, публикации или обмене открытыми и ограниченными наборами данных;
  
  
• участниками отраслей здравоохранения, финансов, телекоммуникаций и других сфер при обработке и распространении чувствительной информации;
  
  
• разработчиками и интеграторами информационных систем при проектировании механизмов преобразования и анонимизации данных;
  
  
• организациями, осуществляющими трансграничную передачу информации, а также работающими с персональными и иными данными, требующими специальных мер защиты.

Стандарт не распространяется на:

• методы генерации полностью синтетических данных, которые регулируются отдельной серией стандартов (ПНСТ 1.11.164–1.363, 1.11.164–1.361.25, 1.11.164–1.362.25);
  
  
• криптографические методы защиты информации, регулируемые ГОСТ Р 34.10, ГОСТ Р 34.11 и другими стандартами криптографической защиты;
  
  
• организационные меры защиты информации, не связанные с техническим преобразованием данных, регулируемые ГОСТ Р ИСО/МЭК 27002–2021, ГОСТ Р 59336-2021, ГОСТ Р 59347—2021 и другими стандартами.

Применение настоящего стандарта способствует:

• реализации требований законодательства Российской Федерации в области защиты персональных и иных конфиденциальных данных;
  
  
• совместимости с международными стандартами;
  
  
• объективной оценке уровня защиты данных и воспроизводимости результатов применения методов анонимизации.»

В документе разъясняется соответствующая терминология (п.5.1.1):

Анонимизация — процесс необратимого преобразования, при котором персональные данные изменяются таким образом, что субъект персональных данных не может быть идентифицирован ни прямо, ни косвенно, в том числе с использованием дополнительной информации, разумно доступной для анализа с использованием ограниченных ресурсов и за ограниченное время.

Обезличивание — процесс, при котором становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту.

Псевдонимизация — один из видов обезличивания, представляющий собой замену идентифицирующей информации псевдонимом (ГОСТ Р 59407–2021). В результате такого преобразования персональные данные больше не могут быть отнесены к конкретному субъекту без использования дополнительной информации, которая хранится отдельно и подлежит специальным техническим и организационным мерам защиты.

Содержание документа следующее:

Предисловие
Введение
1. Область применения 
2. Нормативные ссылки 
3. Термины и определения
4. Сокращения 
5. Обзор методологии анонимизации 
6. Методы псевдонимизации 
7. Методы Обезличивания 
Приложение A (справочное): Модели обмена чувствительной информации и сопутствующие угрозы
Приложение Б (справочное): Оценка рисков анонимизации
Приложение В (справочное): Метрики качества и полезности для методов анонимизации

Источник: сайт NORMACS
https://www.normacs.info/projects/12308