четверг, 29 сентября 2016 г.

Управление документами в электронную эпоху: Возможности и проблемы технологии блокчейн


Продолжают серию тезисов докладов на Конгрессе МСА в Сеуле тезисы выступления Хрвое Станчича (Hrvoje Stancic, университет Загреба, Хорватия), Ханс Альмгрен (Hans Almgren, компания Enigio Time AB, Швеция) и Натальи Храмцовской (ООО «Электронные Офисные Системы», Россия), полное название которого звучит следующим образом «Управление документами в электронную эпоху: Возможности и проблемы использования проставления отметок времени с использованием связывания и технологии блокчейн для поддержания долговременной целостности и аутентияности» (Recordkeeping in the digital age - Possibilities and challenges of using linking based timestamping and blockchain technology to maintain long term integrity and authenticity). Выступал на Конгрессе, а также сыграл основную роль в подготовке доклада Хрвое Станчич.

При обеспечении долговременной сохранности (Long term preservation, LTP) электронных документов возникает целый ряд проблем (технологических и процедурных), связанных с их целостностью и аутентичностью. В тех случаях, когда существуют требования о сохранении документов в течение десятилетий, это также означает, что придется раз за разом проводить их миграцию на новые технологии.

На фото: Хрвое Станчич на Конгрессе МСА.

Лючиана Дюранти (Luciana Duranti) и Жан-Франсуа Бланшетт (Jean-François Blanchette) утверждают, что «электронные информационные технологии создают значительные риски того, что электронные документы могут быть изменены, как неумышленно, так и намеренно (...). Поэтому в случае документов, хранящихся в электронных системах, презумпция аутентичности должна быть подкреплена доказательствами того, что документ является именно тем. чем представляется, и что он не был в каком-либо существенном отношении модифицирован или испорчен. Для того, чтобы оценить аутентичность электронного документа, обеспечивающая его сохранность сторона должна быть способна установить его идентичность и доказать его целостность» (см. www.interpares.org/book/interpares_book_k_app02.pdf , для доступа из России может ппотребоваться анонимайзер - Н.Х.).

В центре внимания авторов находится изучение возможности применения технологии проставления отметок времени с использованием связывания (linking based timestamping) и блокчейн-технологии для решения проблем, связанных с обеспечением долговременной сохранности электронных документов. Данные методы могут быть использованы в качестве инструментов хорошего управления и подотчетности, а также в качестве источника для сохранения коллективной самобытности и памяти. Потенциально они могут стать технологической поддержкой для укрепления архивной связи между документами (archival bond).

Схемы связывания могут обеспечить защищённость, доступность, аутентичность электронных документов и сохранение ими целостности, потенциально в течение длительного времени. Некоторые из принципов, использованных Мерклом (Merkle), а именно хеш-деревья, также использовались Накамото (Satoshi Nakamoto) при создании криптовалюты «Биткойн» (Bitcoin), результатом чего стало развитие и распространение технологии «блокчейн».

Авторы утверждают, что схема связывания, основанная на комбинации дерева Меркла с «широко засвидетельствованными» публикациями (как это описано в международном стандарте ISO/IEC 18014-3:2009 «Сервисы отметок времени – Часть 3: Механизмы, создающие связанные токены» и др.) в публичных СМИ и блокчейнах можно было бы применять в качестве прочной основы для долговременного поддержания в облаке архивной связи документов.

В докладе также описывается решение, запатентованное шведской компанией Enigio Time AB ( https://enigio.com/about-us ). Сосредоточив в первую очередь внимание на реализуемости предлагаемого метода и его возможных применениях, авторы также рассматривают технические, правовые и социальные проблемы, которые придётся решать при внедрении новой технологии.

Мой комментарий: Самое последнее предложение как раз упоминает тот вопрос, которым я больше всего занималась, и поверьте – проблем действительно немало! :)

Источник: Сборник тезисов докладов на Конгрессе МСА в Сеуле
http://www.ica.org/sites/default/files/ICA%202016%20Abstracts%26biographies%20ENG%20v3%20print.pdf

Правила осуществления в Росстате внутреннего контроля соответствия обработки персональных данных требованиям законодательства


Приказом Росстата от 5 сентября 2016 г. № 480 утверждены «Правила осуществления в Федеральной службе государственной статистики и ее территориальных органах внутреннего контроля соответствия обработки персональных данных требованиям к защите персональных данных, установленным Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами Федеральной службы государственной статистики», которые вступили в силу 25 сентября 2016 года.

В целях осуществления внутреннего контроля соответствия обработки персональных данных (ПДн) требованиям к их защите, в Росстате и ее территориальных органах организовывается проведение плановых и внеплановых проверок условий обработки ПДн на предмет соответствия федеральному закону от 27 июля 2006 г. № 152-ФЗ «О персональных данных», принятыми в соответствии с ним нормативными правовыми актами и локальными актами службы (п.2).

Проверки проводятся на основании ежегодного плана или поступившего в Росстат письменного заявления субъекта персональных данных или его представителя о фактах нарушения правил обработки ПДн (внеплановые проверки).

Ежегодный план проверок разрабатывается и утверждается комиссией по организации обработки и защиты ПДн службы в Росстате и в ее территориальных органах (п.3), по каждой проверке устанавливается объект внутреннего контроля, проверяемый период, срок проведения проверки, ответственные должностные лица (п.4).

Основанием для проведения внеплановой проверки является поступившее в Росстат письменное обращение заявителя, содержащее информацию о фактах нарушения правил обработки ПДн (п.6), которая организуется в течение 5 рабочих дней со дня регистрации обращения (п.7), ее срок проведения не может превышать месяц со дня принятия решения о ней (п.8).

Члены Комиссии, получившие доступ к персональным данным в ходе проведения проверки, обеспечивают их конфиденциальность, не раскрывают третьим лицам и не распространяют их без согласия субъекта ПДн (п.9).

По результатам каждой проверки комиссиями проводится заседание, решения оформляются протоколом (п.10).

В течение 5 рабочих дней со дня окончания внеплановой проверки комиссия дает письменный ответ заявителю по поставленным в его обращении вопросам (п.11).

Мой комментарий: В документе описаны лишь организационные меры, и ничего не сказано о содержательной части работы комиссий. С моей точки зрения, наличие планов проведения контроля, заседания комиссий и их протоколы мало чем могут защитить персональные данные. Здесь всё-таки требуется комплексный подход с использованием разнообразных мер.

Источник: Консультант Плюс
http://www.consultant.ru/cons/cgi/online.cgi?req=doc&base=LAW&n=204604

среда, 28 сентября 2016 г.

Франция изменила определение понятий «документы» и «государственные документы»


Я уже как-то упоминала (см. http://rusrim.blogspot.ru/2015/06/blog-post_0.html ) о подготовке во Франции закона о свободе творчества, архитектуре и культурно-историческом наследии (loi relatif à la liberté de création, à l'architecture et au patrimoine, LCAP).

Нужно отметить, что лоббирование французского архивно-документоведческого сообщество принесло свои плоды, и в окончательный текст этого закона, принятый 7 июля 2016 года (LOI n° 2016-925 du 7 juillet 2016, https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032854341&categorieLien=id ), был внесен ряд нужных специалистам по управлению документами и отсутствовавших в первоначальном проекте закона LCAP статей, вносящих поправки в основной для этой отрасли правовой документ – «Кодекс культурно-исторического наследия» (Code du patrimoine, https://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006074236&dateTexte=20160916 ).

Среди прочего, изменено определения понятия «документы» (les archives), установленная статьей L.211-1 «Кодекса культурно-исторического наследия»:

Было: (см. https://www.legifrance.gouv.fr... ):
Документами (les archives) являются все материалы (des documents), вне зависимости от времени их создания, места хранения, формы и носителя, созданные или полученные любым физическим или юридическим лицом и любым государственным или частным учреждением или службой в ходе осуществления ими свой деятельности.
Стало: (см. https://www.legifrance.gouv.fr... ):
Les archives sont l'ensemble des documents, y compris les données, quels que soient leur date, leur lieu de conservation, leur forme et leur support, produits ou reçus par toute personne physique ou morale et par tout service ou organisme public ou privé dans l'exercice de leur activité.

Документами (les archives) являются все материалы (des documents), в том числе данные, вне зависимости от времени их создания, места хранения, формы и носителя, созданные или полученные любым физическим или юридическим лицом и любым государственным или частным учреждением или службой в ходе осуществления ими свой деятельности.
Поправка маленькая, но какая весомая!

Также изменилась трактовка понятия «государственные (публичные) документы» (les archives publiques), которая дана в статье L.211-4:

Было: (см. https://www.legifrance.gouv.fr... ):
Публичными документами являются:

а) Материалы, образующиеся в деятельности, в рамках выполнения своей миссии публичной службы, - государства, местных органов власти, государственных учреждений и других юридических лиц публичного права или лиц частного права, ответственных за такую миссию. Акты и документы парламентских собраний регулируются постановлением № 58-1100 от 17 ноября 1958 года о функционировании парламентских собраний;

b) (Удалена);

c) Протоколы и реестры публичных должностных лиц и должностных лиц министерств.
Стало: (см. https://www.legifrance.gouv.fr... ):
Публичными документами являются:

1. Материалы, образующиеся в деятельности государства, местных органов власти, государственных учреждений и других юридических лица публичного права. Акты и документы парламентских собраний регулируются постановлением № 58-1100 от 17 ноября 1958 года о функционировании парламентских собраний;

2. Материалы, образующиеся при управлении публичной службой или при осуществлении миссии публичной службы лицами частного права;

3. Протоколы и реестры публичных должностных лиц и должностных лиц министерств, и регистры нотариально заверенных соглашений о заключении гражданского брака.
Источник: Французский правовой порта LegiFrance
https://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000032854341&categorieLien=id
https://www.legifrance.gouv.fr/affichCode.do?cidTexte=LEGITEXT000006074236&dateTexte=20160916

ИСО: Опубликован первый стандарт из серии по соглашениям о качестве облачных услуг


Сайт ИСО 21 сентября 2016 года сообщил об официальной публикации ISO/IEC 19086-1:2016  «Информационные технологии – Облачные вычисления – Концепция соглашений о качестве услуг (SLA) – Часть 1: Обзор и понятия» (Information technology - Cloud computing - Service level agreement (SLA) framework - Part 1: Overview and concepts), см. http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=67545 , а также https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-1:ed-1:v1:en

Данный документ – первая из запланированных 4-х частей стандарта. Последующие части  будут посвящены модели метрик, требованиям, а также обеспечению безопасности и защиты персональных данных.

Стандарты ИСО по облачным вычислениям

Как отмечается во введении, данный документ стремится создать набор типовых «блоков» (понятия, термины, определения, контексты), используемых для формирования соглашений об уровне обслуживания (Service Level Agreement, SLA) при оказании облачных услуг. Стандарт содержит:
  • Обзор «облачных» соглашений об уровне обслуживания

  • Определяет  взаимосвязи между договорами об оказании облачных услуг и «облачными» SLA,

  • Понятия, которые могут быть использованы для создания «облачных» SLA, и

  • Термины, обычно используемые в облачных SLA.
Данный документ предназначен для поддержки и использования как поставщиками облачных услуг, так и их клиентами. Основная задача состоит в том, чтобы избежать путаницы и способствовать взаимопониманию между поставщиками и потребителями облачных услуг. Договора об оказании облачных услуг и связанные с ними соглашения об уровне обслуживания различаются у разных поставщиков облачных услуг, а в некоторых случаях различные клиенты могут договориться об индивидуальных контрактных условиях с тем же поставщиком той же облачной услуги. Настоящий документ стремится помочь потребителям облачных услуг в проведении сопоставления  услуг разных поставщиков.

Источник: сайт ИСО
http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=67545 https://www.iso.org/obp/ui/#iso:std:iso-iec:19086:-1:ed-1:v1:en