Файл: Международные стандарты в области электронного документооборота и управления контентом.pdf
Добавлен: 05.07.2023
Просмотров: 58
Скачиваний: 1
Стандарт MoReq Европейского Союза
Собственный стандарт в области управления документами Европейский Союз принял в 2001 г. вынужденно, после вызова США успехами в области электронного документооборота (ЭДО), активно поддерживаемых правительством США (в первую очередь, министерством обороны). Разработка стандарта финансируется правительством Евросоюза.
Требования стандарта MoReq к системам ЭДО существенно шире, чем у стандарта DoD 5015.2. В MoReq однозначно проводится различие между основными типами систем управления документами: информационными системами (EDMS, electronic document management system) и системами ЭДО (ERMS, electronic record management system).
Храмцовская Н.А., член Гильдии Управляющих Документацией, считает, что проводимое в стандарте MoReq главное отличие систем ЭДО заключается в том, что они не только обеспечивают сохранность информации, но также целостность и аутентичность ЭД. После регистрации информационного материала в качестве документа, тот не может быть изменен или уничтожен (только если он не имеет статуса документа временного срока хранения). В современной мировой практике основным направлением развития в области управления документами становится все более тесная интеграция информационных систем (EDMS) с системами ЭДО (СЭД).
Стандарт MoReq содержит основные требования к:
- самой СЭД;
- классификационной схеме (электронной номенклатуре дел);
- средствам обеспечения безопасности документов;
- хранению документов в течение установленного срока, их передаче и уничтожению;
- вводу документов в систему;
- идентификаторам объектов;
- поиску, извлечению и выводу документов;
- метаданным и эталонной модели.
В требованиях MoReq также рассмотрены:
- автоматическая защита аутентичности документа;
- экспертиза ценности, сроки хранения документов, уничтожение документов;
- организация долговременного хранения ЭД;
- важнейшие документы и восстановление деятельности после катастроф.
Стандарт MoReq требует практического слияния в организациях служб ИТ и ДОУ. Все пользователи системы делятся на администраторов и пользователей. Функции делопроизводства переданы администратору, а роли непривилегированного пользователя не придано никакого значения. Это идет несколько вразрез с наблюдающимся в мире усилением роли работников ДОУ в качестве системных технологов при администрировании СЭД (для сравнения - стандарт минобороны США DoD 5015.2 делит пользователей системы на администратора, управляющего документами, привилегированного пользователя, непривилегированного пользователя).
Завершена разработка 2-й версии стандарта MoReq (MoReq2). Приоритетные направления при разработке MoReq2:
- разработка программы сертификации программных продуктов на соответствие требованиям стандарта;
- переработка уже существующих базовых требований, включая оценку соответствия стандарту ISO 15489;
- управление тематическими делами, организация Workflow;
- эффективное управление гибридными досье и внеэлектронной (физической) документацией;
- интеграция с системами управления контентом (управление информационными материалами на веб-сайтах).
Каждая страна-член ЕС самостоятельно решит, что войдет в ее нулевую главу - национальное введение в MoReq. Эта глава отражает влияние особенностей национального законодательства и традиций в области управления документами (например, в отношении документирования транзакций, регистрации и т.п.), гармонизированный перевод терминов и др.
Для облегчения использования требований стандарта в различных национальных условиях они разбиваются на новые опциональные модули:
- расширенные средства поиска;
- организация хранения документов;
- распределенные СЭД и режимы работы с ними;
- работа с тематическими делами
и др.
Для обеспечения проверяемости требований будет разработан пакет документации для сертификации программных средств на соответствие требованиям стандарта.
Основными стандартами ISO по работе с электронными архивами являются ISO 14721:2003 «Space data and information transfer systems - Open archival information system - Reference model» (модель OAIS) и ISO 15836:2003 «Information and documentation - The Dublin Core metadata element set» (Дублинское ядро набора элементов метаданных)
стандарт электронный архив
Базовые международные ТНПА по управлению безопасностью информации в организациях
Стандарт ISO/IEC 17799:2005
Стандарт ISO/IEC 17799:2005 «Информационные технологии и безопасность. Правила управления информационной безопасностью» разработан на базе британского стандарта BS 17799. В Республике Беларусь он действует как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации». Стандарт устанавливает общие правила организации, реализации или сопровождения информационной безопасности в организациях (схемы классифицирования данных, методы доступа, стратегии планирования развития и оценок рисков безопасности, градации ответственностей работников и др.).
Стандарт предназначен для обеспечения общего базиса при разработке стандартов безопасности и реализации (сопровождения) эффективного управления безопасностью в организации и ее подразделениях (в частности, в их архивах), а также для обеспечения необходимой степени конфиденциальности при контактах между организациями.
Стандарт учитывает:
- существенное возрастание роли электронной коммерции во всем мире;
- общее усиление требований к безопасности информации;
- широкое распространение проектов «электронных правительств», защиты персональных данных и защиты интеллектуальной собственности.
Поэтому, в качестве базовых принципов, полная реализация которых должна гарантировать существенную прочность базы обеспечения безопасности информации в организациях, стандартом приняты:
1) защита данных и документов организации, а также обеспечение конфиденциальности персональных данных;
2) защита прав интеллектуальной собственности.
ISO/IEC 17799:2005 является фундаментом всей системы управления организацией, сводом правил «хорошей практики ведения дела». В руководство по применению стандарта включены рекомендации по выработке кадровой политики и юридических требований, системы обеспечения непрерывности производственного процесса, политик безопасности. Стандарт применяется в качестве критериев оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. В нем выработаны:
- схемы классификации данных, документов и информационных материалов;
- методы доступа к ним;
- стратегии планирования развития и оценок рисков безопасности;
- градации ответственностей работников организации.
В ISO/IEC 17799:2005 заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, который отныне будет применяться в сертификации по международным стандартам безопасности информации.
Стандарт ISO/IEC 15408-99 («Общие критерии»)
В начале 1990-х гг ISO начала вырабатывать для общего использования стандарты по критериям оценки безопасности информационных технологий - Common Criteria for Information Technology Security Evaluation. В июне 1999 г. был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности» («Общие критерии»), который устанавливает критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.
ISO/IEC 15408-99 направлен на защиту информации от потери возможности ее использования, модификации или несанкционированного раскрытия. Критериями защиты являются обеспечение:
1) доступности (готовности), то есть информация и средства ее автоматизированной обработки, при возникновении в них надобности, обязаны быть доступны (готовы к функционированию);
2) целостности, то есть информация должна быть достоверно защищенной от несанкционированного изменения содержания (уничтожения);
3) конфиденциальности, то есть определенная информация может быть доступна только тому кругу лиц, для которого она предназначается согласно нормативных актов, действующих в организации.
Применение методологии стандарта позволяет выработать в организациях основу критериев для разработки системы оценки защитных свойств систем автоматизации.
На основе стандарта ISO/IEC 15408-99 разрабатываются СТБ серии 34.101 в области методов и средств безопасности информационных технологий.
стандарты ISO серии 27000 по управлению безопасностью информации.
Стандарт ISO 27001 «Требования к системе управления безопасностью» заменяет стандарт BS7799. Стандарт ISO/IEC 17799 является «сводом деловой практики» и регулирует отдельные меры по обеспечению безопасностиинформации.
Стандарт BS7799 регулирует требования к системе управления информационной безопасностью, описывая систему управления информационной безопасностью, в которой возможно выбирать и применять отдельные локальные меры, описанные в стандарте ISO/IEC 17799. Стандарт BS7799 входит в состав сертификационных стандартов по информационной безопасности.
По сравнению со стандартом BS7799, в ISO 27001 внесен ряд изменений в сторону углубления гармонизации подходов с другими стандартами менеджмента ISO 9001 и более полного применения известной модели PDCA («Plan-Do-Check-Act» = «Планирование - Выполнение - Проверка - Исправление»). ISO 27001 - первый в серии 27000. ISO 17799 в настоящее время перерабатывается в ISO 27002. Разрабатывается стандарт ISO 27004 по метрике и оценке безопасности. Международная сертификация в области безопасности информации будет происходить по требованиям стандартов этой серии. В отчете «Аутентичность электронных документов» для ЮНЕСКО и Международного совета архивов (январь 2004 г.), отмечено, что «…обеспечение стандартов качества делопроизводства важно для максимально возможной защиты аутентичности электронных документов. Внедрение стандартов и сводов хорошей деловой практики должно идти рука об руку с законодательством».
Но при этом у нас фактически отсутствует:
1) единая государственная техническая политика для используемых АС ДОУ. Наличие единых национальных требований к АСДОУ заставит разработчиков программных средств делать свои системы релевантными отечественному делопроизводству, соответствующими определенным минимальным требованиям и реально взаимодействующими друг с другом;
2) официально признаваемые ТНПА для обработки ЭД, обеспечивающие признание их юридической силы судебными инстанциями и органами государственной власти и управления;
3) единообразные методики экспертизы ценности ЭД, передачи на архивное хранение, уничтожения, работы с конфиденциальными (секретными) ЭД.
Заключение
С учетом существующих реалий в Республике Беларусь, принимаемые ТНПА в области делопроизводства должны обеспечивать:
1) адекватное применение принципов и технологий обработки документов, гармонизированных с международными;
2) единое методологическое обеспечение создания АСДОУ для различных организаций;
3) способность АСДОУ импортировать и экспортировать документы и их метаданные в установленном государством стандартном формате.
Базовые ТНПА в области управления документами не переводятся на русский язык, известны они только ограниченному количеству специалистов. А ведь в разработке таких ТНПА должен принимать участие широкий круг представителей государственных организаций (службы ДОУ и архивного дела, ИТ, информационной безопасности); производителей (поставщиков) АСДОУ; юристов, экономистов и др.
В Республике Беларусь необходимо принять ISO 15489-1 (как СТБ ГОСТ Р ИСО 15489) и сопутствующие ему ТНПА с целью их ускоренного внедрения в практику.
Особый интерес также в условиях Республики Беларусь представляют ТНПА:
- содержащие требования к АС ДОУ;
- по правовому управлению ЭД (чтобы они принимались в качестве доказательств судебными инстанциями и органами государственной власти и управления);
- по управлению видами ЭД (e-mail, базы данных, веб-страницы и т.д.);
- по обеспечению долговременной сохранности ЭД.
Среди функциональных требований к АСДОУ, вырабатываемых в национальных ТНПА, обязательно гармонизированных с ISO 15489, евростандартом MoReq и с другими международными ТНПА, должны указываться:
- функциональные возможности, необходимые для организации юридически значимого ЭДО в органах государственной власти и управления;
- требования в общем, без излишней детализации, без определения особенностей технологий;
- общий нефункционал (требования по производительности, эргономике и т.п.).
Неурегулированность в должной степени действующим законодательством Республики Беларусь тех аспектов нормативного регулирования ЭДО и его защиты, которые уже с успехом отработаны в мировой практике, продолжает существование крайне громоздких, с большим трудом и неэффективно управляемых систем «бумажного + электронного» документооборота, в которых ЭД до сих пор продолжают легализовываться при помощи бумажныхдокументов.