четверг, 28 марта 2024 г.

Не замкнулось ли управление документами в себе и не ушло ли оно в сторону от интересов организаций?

Данный пост австралийского специалиста в области управления документами и информацией Карла Мелроуза (Karl Melrose – на фото) был опубликован 20 января 2024 года на его блоге Meta-IRM (Мета-управление информацией и документами).

В любой организации её сотрудники стремятся лучше выполнять свою работу – и хотят, чтобы им в этом помогли. Они примут эту помощь от тех, кто готов её предоставить.

Службы управления документами всегда помогали другим сотрудникам, и в первую очередь помогали им работать, преодолевая ограниченность человеческой памяти. Они помогали сотрудникам делиться мыслями и идеями с людьми, отдалёнными от них во времени и пространстве; помогали им сотрудничать друг с другом, чтобы достигать большего, чем каждый из них мог бы добиться в одиночку.

Укажите мне на любое большое достижение человечества, и я найду вам документы, которые сделали это возможным, и докажу, что без документов достигнуть этого было бы невозможно, и что без документов невозможно было выполнить работу на таком уровне качества.

Учитывая все эти факторы, говорящие в нашу [специалистов по управлению документами – Н.Х.] пользу, можно было бы подумать, что другие сотрудники будут изо всех сил стараться уговорить нас помогать им. Так почему же такого не происходит?

Не может ли причиной этого быть то, что управление документами, которое мы практикуем, не помогает людям ни преодолевать ограниченность человеческой памяти, ни обмениваться мыслями и идеями с находящимися далеко от них коллегами, ни организовывать коллективную работу - и в конечном итоге не способствует достижению больших результатов?

Может ли быть, что мы идёт какой-то своей тропой, в стороне от всех остальных? И как нам из этой ситуации выбраться?

Карл Мелроуз (Karl Melrose)

Источник: блог Meta-IRM
https://metairm.substack.com/p/is-records-in-its-own-way

Серия стандартов ISO/IEC 15408 «Критерии оценки безопасности информационных технологий», часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2024/03/isoiec-15408-1.html )

Стандарт ISO/IEC 15408-3:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 3: Компоненты обеспечения уверенности в безопасности»  (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 3: Security assurance components) объёмом 202 страницы, см. https://www.iso.org/standard/72906.html и https://www.iso.org/obp/ui/en/#!iso:std:72906:en .

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-3_2022_ed.4_-_id.72906_Publication_PDF_(en).zip ).

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 15408-3-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 3. Компоненты доверия к безопасности», см. https://protect.gost.ru/document.aspx?control=7&id=184748 .

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает обеспечению уверенности для частей стандарта ISO/IEC 15408. Он включает в себя отдельные компоненты обеспечения уверенности, из которых состоят уровни обеспечения уверенности при оценке и другие пакеты, описанные в ISO/IEC 15408-5, а также критерии оценки профилей защиты (PP), их конфигураций и модулей, и целевых показателей безопасности (ST).»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Обзор
5. Парадигма обеспечения уверенности
6. Компоненты обеспечения уверенности в безопасности
7. Класс APE: Оценка профиля защиты
8. Класс ACE: Оценка конфигурации профиля защиты
9. Класс ASE: Оценка целевого показателя безопасности
10. Класс ADV: Разработка
11. Класс AGD: Руководства
12. Класс ALC: Поддержка жизненного цикла
13. Класс ATE: Тестирование
14. Класс AVA: Оценка уязвимостей
15. Класс ACO: Композиция
Приложения
Библиография

Стандарт ISO/IEC 15408-4:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 4: Концепция спецификации методов и мероприятий оценки»  (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 4: Framework for the specification of evaluation methods and activities) объёмом 24 страницы, см. https://www.iso.org/standard/72913.html и https://www.iso.org/obp/ui/en/#!iso:std:72913:en .

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-4_2022_ed.1_-_id.72913_Publication_PDF_(en).zip ).

Во вводной части стандарта, в частности, отмечается:

«Настоящий документ описывает стандартизированную концепцию для специфицирования объективных, повторяемых и воспроизводимых методов оценки и оценочных действий.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Общая модель методов оценки и оценочной деятельности
5. Структура метода оценки
6. Структура оценочной деятельности
Библиография

Стандарт ISO/IEC 15408-5:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 5: Предопределенные пакеты требований по безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 5: Pre-defined packages of security requirements), объёмом 36 страниц, см. https://www.iso.org/standard/72917.html и https://www.iso.org/obp/ui/en/#!iso:std:72917:en .

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-5_2022_ed.1_-_id.72917_Publication_PDF_(en).zip ).

Во вводной части стандарта отмечается:

«В этом документе представлены пакеты для обеспечения уверенности в безопасности и функциональные требования безопасности, которые были определены как полезные для поддержки типичного применения заинтересованными сторонами».

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Уровня обеспечении уверенности при оценке
5. Составные пакеты для обеспечения уверенности
6. Комплексный пакет продуктов
7. Обеспечение уверенности в профиле защиты
8. Уверенность в целевых показателях безопасности

Источник: сайт ИСО
https://www.iso.org/standard/72891.html
https://www.iso.org/obp/ui/en/#!iso:std:72891:en  
https://www.iso.org/standard/72892.html  
https://www.iso.org/obp/ui/en/#!iso:std:72892:en
https://www.iso.org/standard/72906.html  
https://www.iso.org/obp/ui/en/#!iso:std:72906:en
https://www.iso.org/standard/72913.html  
https://www.iso.org/obp/ui/en/#!iso:std:72913:en
https://www.iso.org/standard/72917.html   
https://www.iso.org/obp/ui/en/#!iso:std:72917:en

среда, 27 марта 2024 г.

Евросоюз: Квалифицированные услуги электронного архивирования глазами юриста, часть 2

(Окончание, начало см. http://rusrim.blogspot.com/2024/03/1_01623235276.html )

В чём польза квалифицированных услуг электронного архивирования?

По сравнению с традиционными методами архивирования, квалифицированное электронное архивирование предлагает ряд неоспоримых преимуществ. Оно гарантирует верность заархивированных документов, исключая тем самым риски, связанные с утратой или манипуляциями с информацией. Кроме того, оно обеспечивает прослеживаемость выполняемых с документами действий, тем самым укрепляя уверенность в аутентичности данных.

Вкратце: Закон eIDAS пока что не регламентирует службу электронного архивирования, в отличие от бельгийского закона от 21 июля 2016 года. (В настоящее время уже завершены дискуссии по пересмотру закона eIDAS. Голосование по окончательному тексту новой редакции этого закона пройдёт в 2024 году. В новую редакцию включены положения о доверенной службе электронного архивирования). Несмотря на то, что сфера действия закона ограничена только территорией Бельгии, факт остается фактом: услуги электронного архивирования прижились в стране, и пользуются тем же статусом, что и другие доверенные услуги, предусмотренные европейским законом eIDAS.

Проведенный нами подробный анализ правовой базы электронного архивирования позволяет обоснованно сделать следующее наблюдение: для электронного архивирования выгоднее использовать квалифицированную доверенную услугу (сервис), чем неквалифицированную.

В чём заключаются ключевая роль услуги электронного архивирования в цифровой трансформации и её влияние на конкурентоспособность экономики?

На едином европейском рынке, где имеет место жёсткая конкуренция, эффективность оперативной деятельности имеет решающее значение. Квалифицированное электронное архивирование даёт конкурентное преимущество за счет оптимизации управления документами, снижения затрат, связанных с архивированием физических документов, и за счёт повышения оперативности реагирования на различные запросы - в частности, связанные с защитой своих интересов в ходе судебных разбирательств.
 
Как квалифицированное электронное архивирование взаимосвязано с исполнением закона Евросоюза о защите персональных данных (GDPR)?

В соответствии с «Общими правилами защиты персональных данных» Евросоюза №2016/679 от 27 апреля 2016 года, широко известным как GDPR, услуга квалифицированного электронного архивирования выполняет роль хранителя персональных данных. Обеспечивая безопасное, доступное и целостное хранение информации, эта услуга становится помощником компаний, стремящихся уважать права физических лиц. Иными словами, это нечто гораздо большее, чем простое юридическое обязательство - это активная стратегия построения и дальнейшего укрепления прочного доверия.

Заключение

В заключение можно сказать, что квалифицированное электронное архивирование не может рассматриваться как простое хранение электронных документов. С одной стороны, это экономически разумная инвестиция, укрепляющая конкурентоспособность компаний в динамичном экономическом контексте на глобальном, европейском и бельгийском уровнях. Внедрив эту практику, компании могут не только обеспечить соблюдение действующих законодательно-нормативных требований, но также и получить деловую отдачу из предлагаемых ею экономических выгод.

Инвестируя в квалифицированное электронное архивирование, бельгийские компании могут не только повысить свою конкурентоспособность на европейской и международной арене, но и внести свой вклад в заполнение этого важного пробела в национальной цифровой экосистеме.

Квалифицированное электронное архивирование следует рассматривать не только как вытекающее из законодательства «обязательство», но и как стратегическую экономическую возможность для Бельгии на ее пути к цифровой трансформации.

Фредерик Россель (Frederik Rosseel) и Ричард Синибагиве (Richard Sinibagiwe)

Источник: сайт LinkedIn
https://www.linkedin.com/pulse/larchivage-electronique-qualifi%25C3%25A9-vu-par-les-yeux-dun-juriste-rosseel-xzkde/


Серия стандартов ISO/IEC 15408 «Критерии оценки безопасности информационных технологий», часть 1

Я давно собиралась рассказать о популярной серии международных стандартов ISO/IEC 15408:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий», которые публикуются Международной электротехнической комиссией (МЭК) и Международной организацией по стандартизации (ИСО) на основе не менее популярных «Общих критериев оценки безопасности информационных технологий» (The Common Criteria for Information Technology Security Evaluation, также Common Criteria, СС, см. https://www.commoncriteriaportal.org/cc/index.cfm ).

Действующая 4-я редакция стандарта была опубликована в 2022 году в 5 частях. Документы подготовлены подкомитетом SC 27 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни» (Information security, cybersecurity and privacy protection) Объединённого технического комитета Международной организации по стандартизации (ИСО) и Международной электротехнической комиссии (МЭК) JTC1 «Информационные технологии».


Стандарт ISO/IEC 15408-1:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 1: Введение и общая модель» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 1: Introduction and general model) объёмом 154 страницы, см. https://www.iso.org/standard/72891.html и https://www.iso.org/obp/ui/en/#!iso:std:72891:en

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-1_2022_ed.4_-_id.72891_Publication_PDF_(en).zip ).

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 15408-1-2012 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 1. Введение и общая модель», см. https://protect.gost.ru/document.aspx?control=7&id=182696

Во вводной части стандарта отмечается:

«Настоящий документ устанавливает общие понятия и принципы оценки безопасности ИТ, а также определяет (в различных частях стандарта) общую модель оценки, в целом предназначенную для использования в качестве основы при оценке характеристик безопасности ИТ-продуктов.

Данный документ даёт обзор всех частей стандарта ISO/IEC 15408. Он описывает части стандарта; определяет термины и сокращения, используемые во всех частях стандарта; определяет ключевое понятие объекта оценки (Target of Evaluation, TOE); описывает контекст оценки и аудиторию, которой адресованы критерии оценки. В нём дано введение в основные понятия и концепции безопасности, необходимые для оценки ИТ-продуктов.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Общая модель
7. Специфицирование требований по безопасности.
8. Компоненты безопасности
9. Пакеты
10. Профили защиты
11. Модульная конфигурация требований
12. Целевые показатели безопасности (Security Target, ST)
13. Оценка и её результаты
14. Формирование уверенности
Приложения
Библиография

Стандарт ISO/IEC 15408-2:2022 «Информационная безопасность, кибербезопасность и защита неприкосновенности частной жизни - Критерии оценки безопасности информационных технологий - Часть 2:  Функциональные компоненты безопасности» (Information security, cybersecurity and privacy protection - Evaluation criteria for IT security - Part 2: Security functional components) объёмом 292 страницы, см. https://www.iso.org/standard/72892.html и https://www.iso.org/obp/ui/en/#!iso:std:72892:en .

Стандарт свободно доступен  по адресу https://standards.iso.org/ittf/PubliclyAvailableStandards/index.html (прямая ссылка: https://standards.iso.org/ittf/PubliclyAvailableStandards/ISO_IEC_15408-2_2022_ed.4_-_id.72892_Publication_PDF_(en).zip ).

В России стандарт адаптирован как ГОСТ Р ИСО/МЭК 15408-2-2013 «Информационная технология. Методы и средства обеспечения безопасности. Критерии оценки безопасности информационных технологий. Часть 2. Функциональные компоненты безопасности», см. https://protect.gost.ru/document.aspx?control=7&id=184842 .

Во вводной части стандарта отмечается:

«Настоящий документ определяет требуемую структуру и содержание функциональных компонентов безопасности для целей оценки безопасности. Он включает каталог функциональных компонентов, соответствующий общим для многих ИТ-продуктов требованиям безопасности.»

Содержание документа следующее:

Предисловие
Введение
1. Область применения
2. Нормативные ссылки
3. Термины и определения
4. Сокращения
5. Обзор
6. Парадигма функциональных требований
7. Функциональные компоненты безопасности
8. Класс FAU: Аудит безопасности
9. Класс FCO: Связь
10. Класс FCS: Криптографическая поддержка
11. Класс FDP: Защита данных пользователя
12. Класс FIA: Идентификация и аутентификация
13. Класс FMT: Управление безопасностью
14. Класс FPR: Защита персональных данных
15. Класс FPT: Защита функциональных возможностей обеспечения безопасности объекта оценки
16. Класс FRU: Использование ресурсов
17. Класс FTA: Доступ к объекту оценки
18. Класс FTP: Доверенные маршруты / каналы
Приложения
Библиография

(Окончание следует, см. http://rusrim.blogspot.com/2024/03/isoiec-15408-2.html )

Источник: сайт ИСО
https://www.iso.org/standard/72891.html
https://www.iso.org/obp/ui/en/#!iso:std:72891:en  
https://www.iso.org/standard/72892.html  
https://www.iso.org/obp/ui/en/#!iso:std:72892:en
https://www.iso.org/standard/72906.html  
https://www.iso.org/obp/ui/en/#!iso:std:72906:en
https://www.iso.org/standard/72913.html  
https://www.iso.org/obp/ui/en/#!iso:std:72913:en
https://www.iso.org/standard/72917.html   
https://www.iso.org/obp/ui/en/#!iso:std:72917:en