Файл: Международные стандарты в области электронного документооборота и управления контентом..pdf

ВУЗ: Не указан

Категория: Реферат

Дисциплина: Не указана

Добавлен: 05.07.2023

Просмотров: 241

Скачиваний: 6

ВНИМАНИЕ! Если данный файл нарушает Ваши авторские права, то обязательно сообщите нам.

Стандарт MoReq Европейского Союза

Собственный стандарт в области управления документами Европейский Союз принял в 2001 г. вынужденно, после вызова США успехами в области электронного документооборота (ЭДО), активно поддерживаемых правительством США (в первую очередь, министерством обороны). Разработка стандарта финансируется правительством Евросоюза.

Требования стандарта MoReq к системам ЭДО существенно шире, чем у стандарта DoD 5015.2. В MoReq однозначно проводится различие между основными типами систем управления документами: информационными системами (EDMS, electronic document management system) и системами ЭДО (ERMS, electronic record management system).

Храмцовская Н.А., член Гильдии Управляющих Документацией, считает, что проводимое в стандарте MoReq главное отличие систем ЭДО заключается в том, что они не только обеспечивают сохранность информации, но также целостность и аутентичность ЭД. После регистрации информационного материала в качестве документа, тот не может быть изменен или уничтожен (только если он не имеет статуса документа временного срока хранения). В современной мировой практике основным направлением развития в области управления документами становится все более тесная интеграция информационных систем (EDMS) с системами ЭДО (СЭД).

Стандарт MoReq содержит основные требования к:

- самой СЭД;

- классификационной схеме (электронной номенклатуре дел);

- средствам обеспечения безопасности документов;

- хранению документов в течение установленного срока, их передаче и уничтожению;

- вводу документов в систему;

- идентификаторам объектов;

- поиску, извлечению и выводу документов;

- метаданным и эталонной модели.

В требованиях MoReq также рассмотрены:

- автоматическая защита аутентичности документа;

- экспертиза ценности, сроки хранения документов, уничтожение документов;

- организация долговременного хранения ЭД;

- важнейшие документы и восстановление деятельности после катастроф.

Стандарт MoReq требует практического слияния в организациях служб ИТ и ДОУ. Все пользователи системы делятся на администраторов и пользователей. Функции делопроизводства переданы администратору, а роли непривилегированного пользователя не придано никакого значения. Это идет несколько вразрез с наблюдающимся в мире усилением роли работников ДОУ в качестве системных технологов при администрировании СЭД (для сравнения - стандарт минобороны США DoD 5015.2 делит пользователей системы на администратора, управляющего документами, привилегированного пользователя, непривилегированного пользователя).


Завершена разработка 2-й версии стандарта MoReq (MoReq2). Приоритетные направления при разработке MoReq2:

- разработка программы сертификации программных продуктов на соответствие требованиям стандарта;

- переработка уже существующих базовых требований, включая оценку соответствия стандарту ISO 15489;

- управление тематическими делами, организация Workflow;

- эффективное управление гибридными досье и внеэлектронной (физической) документацией;

- интеграция с системами управления контентом (управление информационными материалами на веб-сайтах).

Каждая страна-член ЕС самостоятельно решит, что войдет в ее нулевую главу - национальное введение в MoReq. Эта глава отражает влияние особенностей национального законодательства и традиций в области управления документами (например, в отношении документирования транзакций, регистрации и т.п.), гармонизированный перевод терминов и др.

Для облегчения использования требований стандарта в различных национальных условиях они разбиваются на новые опциональные модули:

- расширенные средства поиска;

- организация хранения документов;

- распределенные СЭД и режимы работы с ними;

- работа с тематическими делами

и др.

Для обеспечения проверяемости требований будет разработан пакет документации для сертификации программных средств на соответствие требованиям стандарта.

Электронные архивы

Основными стандартами ISO по работе с электронными архивами являются ISO 14721:2003 «Space data and information transfer systems - Open archival information system - Reference model» (модель OAIS) и ISO 15836:2003 «Information and documentation - The Dublin Core metadata element set» (Дублинское ядро набора элементов метаданных)

стандарт электронный архив

Базовые международные ТНПА по управлению безопасностью информации в организациях

Стандарт ISO/IEC 17799:2005

Стандарт ISO/IEC 17799:2005 «Информационные технологии и безопасность. Правила управления информационной безопасностью» разработан на базе британского стандарта BS 17799. В Республике Беларусь он действует как СТБ ИСО/МЭК 17799:2005 «Технологии информационные. Методы обеспечения защиты. Кодекс установившейся практики по управлению безопасностью информации». Стандарт устанавливает общие правила организации, реализации или сопровождения информационной безопасности в организациях (схемы классифицирования данных, методы доступа, стратегии планирования развития и оценок рисков безопасности, градации ответственностей работников и др.).


Стандарт предназначен для обеспечения общего базиса при разработке стандартов безопасности и реализации (сопровождения) эффективного управления безопасностью в организации и ее подразделениях (в частности, в их архивах), а также для обеспечения необходимой степени конфиденциальности при контактах между организациями.

Стандарт учитывает:

- существенное возрастание роли электронной коммерции во всем мире;

- общее усиление требований к безопасности информации;

- широкое распространение проектов «электронных правительств», защиты персональных данных и защиты интеллектуальной собственности.

Поэтому, в качестве базовых принципов, полная реализация которых должна гарантировать существенную прочность базы обеспечения безопасности информации в организациях, стандартом приняты:

1) защита данных и документов организации, а также обеспечение конфиденциальности персональных данных;

2) защита прав интеллектуальной собственности.

ISO/IEC 17799:2005 является фундаментом всей системы управления организацией, сводом правил «хорошей практики ведения дела». В руководство по применению стандарта включены рекомендации по выработке кадровой политики и юридических требований, системы обеспечения непрерывности производственного процесса, политик безопасности. Стандарт применяется в качестве критериев оценки механизмов безопасности организационного уровня, в том числе административные, процедурные и физические меры защиты. В нем выработаны:

- схемы классификации данных, документов и информационных материалов;

- методы доступа к ним;

- стратегии планирования развития и оценок рисков безопасности;

- градации ответственностей работников организации.

В ISO/IEC 17799:2005 заложены нормы, согласно которым организации должны обеспечивать безопасность при управлении документацией, основываясь на положениях ISO 15489, который отныне будет применяться в сертификации по международным стандартам безопасности информации.

Стандарт ISO/IEC 15408-99 («Общие критерии»)

В начале 1990-х гг ISO начала вырабатывать для общего использования стандарты по критериям оценки безопасности информационных технологий - Common Criteria for Information Technology Security Evaluation. В июне 1999 г. был утвержден стандарт ISO/IEC 15408-99 «Информационная технология. Методы и средства безопасности. Критерии оценки безопасности информационных технологий. Часть 1: Введение и общая модель. Часть 2: Функциональные требования безопасности. Часть 3: Гарантийные требования безопасности» («Общие критерии»), который устанавливает критерии оценки механизмов информационной безопасности на программном и аппаратном уровнях.


ISO/IEC 15408-99 направлен на защиту информации от потери возможности ее использования, модификации или несанкционированного раскрытия. Критериями защиты являются обеспечение:

1) доступности (готовности), то есть информация и средства ее автоматизированной обработки, при возникновении в них надобности, обязаны быть доступны (готовы к функционированию);

2) целостности, то есть информация должна быть достоверно защищенной от несанкционированного изменения содержания (уничтожения);

3) конфиденциальности, то есть определенная информация может быть доступна только тому кругу лиц, для которого она предназначается согласно нормативных актов, действующих в организации.

Применение методологии стандарта позволяет выработать в организациях основу критериев для разработки системы оценки защитных свойств систем автоматизации.

На основе стандарта ISO/IEC 15408-99 разрабатываются СТБ серии 34.101 в области методов и средств безопасности информационных технологий.

стандарты ISO серии 27000 по управлению безопасностью информации.

Стандарт ISO 27001 «Требования к системе управления безопасностью» заменяет стандарт BS7799. Стандарт ISO/IEC 17799 является «сводом деловой практики» и регулирует отдельные меры по обеспечению безопасностиинформации.

Стандарт BS7799 регулирует требования к системе управления информационной безопасностью, описывая систему управления информационной безопасностью, в которой возможно выбирать и применять отдельные локальные меры, описанные в стандарте ISO/IEC 17799. Стандарт BS7799 входит в состав сертификационных стандартов по информационной безопасности.

По сравнению со стандартом BS7799, в ISO 27001 внесен ряд изменений в сторону углубления гармонизации подходов с другими стандартами менеджмента ISO 9001 и более полного применения известной модели PDCA («Plan-Do-Check-Act» = «Планирование - Выполнение - Проверка - Исправление»). ISO 27001 - первый в серии 27000. ISO 17799 в настоящее время перерабатывается в ISO 27002. Разрабатывается стандарт ISO 27004 по метрике и оценке безопасности. Международная сертификация в области безопасности информации будет происходить по требованиям стандартов этой серии. В отчете «Аутентичность электронных документов» для ЮНЕСКО и Международного совета архивов (январь 2004 г.), отмечено, что «…обеспечение стандартов качества делопроизводства важно для максимально возможной защиты аутентичности электронных документов. Внедрение стандартов и сводов хорошей деловой практики должно идти рука об руку с законодательством».


Но при этом у нас фактически отсутствует:

1) единая государственная техническая политика для используемых АС ДОУ. Наличие единых национальных требований к АСДОУ заставит разработчиков программных средств делать свои системы релевантными отечественному делопроизводству, соответствующими определенным минимальным требованиям и реально взаимодействующими друг с другом;

2) официально признаваемые ТНПА для обработки ЭД, обеспечивающие признание их юридической силы судебными инстанциями и органами государственной власти и управления;

3) единообразные методики экспертизы ценности ЭД, передачи на архивное хранение, уничтожения, работы с конфиденциальными (секретными) ЭД.

Заключение

С учетом существующих реалий в Республике Беларусь, принимаемые ТНПА в области делопроизводства должны обеспечивать:

1) адекватное применение принципов и технологий обработки документов, гармонизированных с международными;

2) единое методологическое обеспечение создания АСДОУ для различных организаций;

3) способность АСДОУ импортировать и экспортировать документы и их метаданные в установленном государством стандартном формате.

Базовые ТНПА в области управления документами не переводятся на русский язык, известны они только ограниченному количеству специалистов. А ведь в разработке таких ТНПА должен принимать участие широкий круг представителей государственных организаций (службы ДОУ и архивного дела, ИТ, информационной безопасности); производителей (поставщиков) АСДОУ; юристов, экономистов и др.

В Республике Беларусь необходимо принять ISO 15489-1 (как СТБ ГОСТ Р ИСО 15489) и сопутствующие ему ТНПА с целью их ускоренного внедрения в практику.

Особый интерес также в условиях Республики Беларусь представляют ТНПА:

- содержащие требования к АС ДОУ;

- по правовому управлению ЭД (чтобы они принимались в качестве доказательств судебными инстанциями и органами государственной власти и управления);

- по управлению видами ЭД (e-mail, базы данных, веб-страницы и т.д.);

- по обеспечению долговременной сохранности ЭД.

Среди функциональных требований к АСДОУ, вырабатываемых в национальных ТНПА, обязательно гармонизированных с ISO 15489, евростандартом MoReq и с другими международными ТНПА, должны указываться:

- функциональные возможности, необходимые для организации юридически значимого ЭДО в органах государственной власти и управления;