Товары в корзине: 0 шт Оформить заказ
Стр. 1 

41 страница

760.00 ₽

Купить ГОСТ Р 57551-2017 — бумажный документ с голограммой и синими печатями. подробнее

Распространяем нормативную документацию с 1999 года. Пробиваем чеки, платим налоги, принимаем к оплате все законные формы платежей без дополнительных процентов. Наши клиенты защищены Законом. ООО "ЦНТИ Нормоконтроль"

Наши цены ниже, чем в других местах, потому что мы работаем напрямую с поставщиками документов.

Способы доставки

  • Срочная курьерская доставка (1-3 дня)
  • Курьерская доставка (7 дней)
  • Самовывоз из московского офиса
  • Почта РФ

Должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость. Стандарт: a) устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами; b) описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем; c) содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также d) содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков. В стандарте не рассматриваются риски для деятельности организации общего характера, которые могут быть смягчены, в том числе, путем создания документов. Стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.

 Скачать PDF

Идентичен ISO/TR 18128:2014

Оглавление

1 Область применения

2 Нормативные ссылки

3 Термины и определения

     3.1 Термины, относящиеся к риску

     3.2 Термины, относящиеся к документам

4 Критерии оценки риска для организации

     4.1 Оценка риска

     4.2 Критерии риска

     4.3 Определение приоритетов

5 Идентификация риска

     5.1 Общие положения

     5.2 Контекст деятельности организации: внешние факторы

     5.3 Контекст деятельности организации: внутренние факторы

     5.4 Документные системы

     5.5 Документные процессы

6 Анализ выявленных рисков

     6.1 Общие положения

     6.2 Анализ возможности и количественная оценка вероятности реализации рисков

7 Сравнительная оценка рисков

     7.1 Общие положения

     7.2 Оценка воздействия неблагоприятных событий

     7.3 Сравнительная оценка риска

8 Распространение информации о выявленных рисках

Приложение А (справочное) Пример записи о документированном риске в реестре рисков

Приложение В (справочное) Контрольные вопросы для выявления областей неопределенности

Приложение С (справочное) Руководство по использованию мер и средств из приложения А «Цели и меры управления" ИСО/МЭК 27001

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов национальным стандартам Российской Федерации

Библиография

 
Дата введения01.07.2019
Добавлен в базу01.01.2018
Актуализация01.01.2021

Этот ГОСТ находится в:

Организации:

20.07.2017УтвержденФедеральное агентство по техническому регулированию и метрологии731-ст
РазработанООО ЭОС Тех
ИзданСтандартинформ2017 г.

Information and documentation. Risk assessment for records processes and systems

Стр. 1
стр. 1
Стр. 2
стр. 2
Стр. 3
стр. 3
Стр. 4
стр. 4
Стр. 5
стр. 5
Стр. 6
стр. 6
Стр. 7
стр. 7
Стр. 8
стр. 8
Стр. 9
стр. 9
Стр. 10
стр. 10
Стр. 11
стр. 11
Стр. 12
стр. 12
Стр. 13
стр. 13
Стр. 14
стр. 14
Стр. 15
стр. 15
Стр. 16
стр. 16
Стр. 17
стр. 17
Стр. 18
стр. 18
Стр. 19
стр. 19
Стр. 20
стр. 20
Стр. 21
стр. 21
Стр. 22
стр. 22
Стр. 23
стр. 23
Стр. 24
стр. 24
Стр. 25
стр. 25
Стр. 26
стр. 26
Стр. 27
стр. 27
Стр. 28
стр. 28
Стр. 29
стр. 29
Стр. 30
стр. 30

ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ТЕХНИЧЕСКОМУ РЕГУЛИРОВАНИЮ И МЕТРОЛОГИИ

НАЦИОНАЛЬНЫЙ

СТАНДАРТ

РОССИЙСКОЙ

ФЕДЕРАЦИИ


ГОСТР

57551—

2017/

ISO/TR 18128:2014


Информация и документация

ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

(ISO/TR 18128:2014, ЮТ)

Издание официальное

Москва

Стандартинформ

2017

ГОСТ P 57551—2017

Предисловие

1    ПОДГОТОВЛЕН Обществом с ограниченной ответственностью «ЭОС Тех» на основе собственного перевода на русский язык англоязычной версии документа, указанного в пункте 4

2    ВНЕСЕН Техническим комитетом по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий»

3    УТВЕРЖДЕН И ВВЕДЕН В ДЕЙСТВИЕ Приказом Федерального агентства по техническому регулированию и метрологии от 20 июля 2017 г. № 731 -ст

4    Настоящий стандарт идентичен международному стандарту ISO/TR 18128:2014 «Информация и документация. Оценка рисков для документных процессов и систем» (ISOTTR 18128:2014 «Information and documentation — Risk assessment for records processes and systems». IDT).

При применении настоящего стандарта рекомендуется использовать вместо ссылочных международных стандартов соответствующие им национальные стандарты Российской Федерации, сведения о которых приведены в дополнительном приложении ДА

5    ВВЕДЕН ВПЕРВЫЕ

Правила применения настоящего стандарта установлены в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации». Информация об изменениях к настоящему стандарту публикуется в ежегодном (по сослюянию на 1 января текущего года) информационном указателе «Национальные стандарты», а официальный текст изменений и поправок — в ежемесячном информационном указателе «Национальные стандарты» В случае пересмотра (замены) или отмены настоящего стандарта соответствующее уведомление будет опубликовано в ближайшем выпуске ежемесячного информационного указателя «Национальные стандарты». Соотвепктвующая информация, уведомление и тексты размещаются также в информационной сислюме общего пользования — на официальном сайте Федерального агенглства по техническому регулированию и метрологии в сети Интернет (www.gost.ru)

© Стандартинформ. 2017

Настоящий стандарт не может быть полностью или частично воспроизведен, тиражирован и распространен в качестве официального издания без разрешения Федерального агентства по техническому регулированию и метрологии

II

5.2.3    Области неопределенности: физическая среда и инфраструктура

Возможность крупномасштабных природных и техногенных катастроф, способных повлиять на деятельность организации в целом, является одной из главных областей неопределенности, требующей идентификации и оценки. Потенциальный ущерб от таких катастроф включает как непосредственное воздействие на документы и их хранилища, так и менее прямолинейное влияние вследствие утраты услуг, от которых организация зависит, таких как водо- и электроснабжение и ряд других. В число областей неопределенности входят следующие:

a)    региональные или местные разрушительные или нарушающие нормальную деятельность природные явления, такие как землетрясения, ураганы/циклоны. цунами, наводнения, пожары, мощные штормы и длительная засуха:

b)    возможность серьезных структурных повреждений и перебоев с оказанием услуг в помещениях или в непосредственной близости от местоположения организации вследствие военных действий или террористических актов;

c)    различные перебои в организации с энергоснабжением, подачей воды, вывозом отходов, с информационными технологиями, оказанием транспортных услуг и иных основных коммунальных услуг и сервисов.

5.2.4    Области неопределенности: внешние угрозы безопасности

Идентификация риска должна охватывать враждебные внешние угрозы безопасности, потенциальное воздействие которых может варьироваться от повреждения помещений и помех оказанию услуг до несанкционированного доступа к системам, в том числе документным. Примерами внешних угроз могут быть:

a)    несанкционированное внешнее вторжение/достул в документные системы и внесение несанкционированных изменений в документы;

b)    оставшаяся незамеченной компрометация системы безопасности или использование неконтролируемой уязвимости, приводящее к деградации информации;

Пример — Атака с использованием шпионского или вредоносного программного обеспечения либо уязвимостей, связанных с неисправленными слабыми сторонами и нарушениями защиты программного обеспечения.

c)    физическое вторжение в хранилище документов или в зону размещения ИТ-оборудования;

d)    атака «отказ в обслуживании» (DDOS-атака) и иные преднамеренные атаки на интернет-услуги;

e)    физический вандализм;

О утрата услуг третьих сторон, от которых зависят документные системы.

Примечание — Оценка риска является неотъемлемым элементом внедрения международных стандартов серии ИСО/МЭК 27000 в области информационной безопасности В этих стандартах подробно рассматриваются области неопределенности, связанные с информационной безопасностью

5.3 Контекст деятельности организации: внутренние факторы

5.3.1 Области неопределенности: организационные изменения

Влияющие на организацию управленческие решения, такие как решения о слиянии компаний, о поглощении другой компании, о прочих приобретениях, реструктуризациях, сокращениях, передаче функций на аутсорсинг либо переводе в оффшоры представляют собой значительную область неопределенности во внутреннем контексте организации. Подобные решения будут влиять на документные процессы и системы, например:

a)    изменение прав собственности на документы и документные системы, и последующая передача документов в организацию и из нее:

b)    изменение прав собственности на документы и документные системы, приводящее к вынужденной миграции документов или к объединению систем;

c)    соглашения о доступе к документным системам, обеспечивающие право непрерывного доступа к документам после их передачи и миграции;

d)    наследование ответственности за документы и документные системы в отсутствие адекватной документации;

e)    утрата персонала или корпоративной памяти, отражающиеся на имеющихся у организации знаниях о текущих документах и системах, в том числе о процедурах извлечения и использования документов. и на знаниях о более старых документах, унаследованных через организационные изменения;

ГОСТ P 57551—2017

0 прекращение использования документов и документных систем, особенно унаследованных систем. за которые никто не несет ответственность:

д)    изменение условий в договорах с третьими сторонами об оказании услуг;

h)    введение новых или модификация существующих внутренних политик организации, влияющих на документные системы и процессы;

i)    наличие политик и процедур, которые не были своевременно пересмотрены и обновлены и стали неприменимыми либо стали несогласованными или противоречивыми в результате организационных изменений;

j)    изменения в кадровом составе организации, которые могут повлиять на распределение ответственности за документы;

k)    изменения в кадровой политике, в финансировании и возможностях для подготовки персонала и повышения его квалификации, которые влияют на компетенцию отвечающих за документы специалистов. а также

l)    отказ от проведения тестирования и актуализации плана действий в случае катастроф и в ходе последующего восстановления деятельности организации, что может повлиять на судьбу документов в случае стихийного бедствия.

5.3.2    Области неопределенности: технологические изменения

Внедрение новых технологий и систем создает возможности для совершенствования деловой деятельности. но при этом является областью неопределенности, где потенциально возможны негативные последствия. К числу областей неопределенности относятся:

a)    технологические изменения, которые влияют на совместимость (интероперабельность) создающих или контролирующих документы систем;

b)    совместимость с существующими платформами и системами;

c)    планирование и осуществление миграции документов;

d)    перераспределение ответственности и контроля над документными процессами;

е)    эффективность внедрения изменений;

Пример — Адекватность планирования и управления проектом по внедрению новой платформы или программного обеспечения.

f) степень, в которой существующие политики охватывают внедренные организацией новые технологии;

Пример — Использование облачных сервисов, социальных сетей. RFID-радиометок, систем глобального позиционирования GPS/ГЛОНАСС.

д)    способность внедряющих новые технологии системных администраторов и разработчиков осознавать влияние этих технологий на требования к документам — как на стадии проектирования, так и на этапе практической реализации;

Пример — Использование для разработки новых систем приложений для поддержки коллективной работы или вики-сред, не способных адекватным образом захватывать проектные документы и системную документацию.

h) способность существующей технической инфраструктуры удовлетворять новые требования, появившиеся в результате технологического развития организации или ее документных систем.

5.3.3    Области неопределенности: ресурсы — люди и компетенции

Выполнение организацией всех ее операций, включая документные процессы и эксплуатацию документных систем, зависит от наличия компетентного персонала. Специалисты по управлению документами или ответственные за документы лица проводят оценку областей неопределенности, включая следующие:

a)    численность персонала, занятого созданием документов, контролем над ними, а также разработкой и поддержкой документных систем;

b)    осведомленность о документных политиках и процессах:

c)    поддержка высшим руководством деятельности по управлению документами;

d)    осведомленность о связанных с документными процессами и системами рисках, и способность высшего руководства принимать решения по смягчению этих рисков;

е)    управление взаимоотношениями между ответственными за документные системы лицами и пользователями;

0 адекватность компетенций персонала для создания документов и контроля над ними;

7

g)    потеря ключевых специалистов, обладающих важнейшими навыками и глубокими знаниями организации и ее истории;

h)    снижение со временем уровня квалификации персонала;

О адекватность используемых средств оценки эффективности и пригодности персонала

5.3.4    Области неопределенности: ресурсы — финансовые и материальные ресурсы

На финансовые и материальные ресурсы, доступные для адекватного управления документными процессами и системами, оказывают влияние как внешняя экономическая ситуация и деловая среда, так и уровень поддержки управления документами в организации. Области неопределенности включают в себя следующее:

a)    достаточность финансовых ресурсов для исполнения обязательств и достижения целей управления документами;

b)    достаточность финансовых ресурсов для закупки, обновления и поддержки адекватных систем.

5.4    Документные системы

При оценке воздействия риска на системы, используемые для создания документов и/или контроля над ними, следует принять во внимание архитектуру таких систем, вопросы обеспечения поддержки. жизнеспособности, непрерывности функционирования, интероперабельности и безопасности. Используемые организацией системы стечением времени сменяются в зависимости от экономических обстоятельств, перемен в характере деятельности и кадровом составе, а также в связи с изменениями размера и структуры организации. Критически важно, чтобы высшее руководство было надлежащим образом информировано о риске для документных систем и приняло на себя ответственность за предпринимаемые организацией меры реагирования

Примечание 1 — В рамках настоящего подраздела термин «системы» следует понимать как «документные системы» в смысле определения, данного в 3 2.1

Примечание 2 — Специалисты по управлению документами при проведении идентификации связанных с документными системами рисков в организациях, внедривших у себя меры и средства контроля и управления, предусмотренные стандартом системы менеджмента информационной безопасности ИСО/МЭК 27001. должны принять во внимание возможность снижения рисков в некоторых областях благодаря этим мерам В не внедривших ИСО/МЭК 27001 организациях, этот стандарт может быть использован как источник для выбора действий по смягчению риска из числа перечисленных в нем мер Приложение С содержит таблицу, устанавливающую соответствие между относящимися к документным системам областями неопределенности и мерами контроля и управления, описанными в ИСО/МЭК 27001

5.4.1 Области неопределенности: архитектура систем

Архитектура и конфигурация систем имеют ключевое значение для создания документов и обеспечения их долговечности Данная область пересекается с идентификацией рисков для документных процессов. Адекватная документация по конфигурации системы является основой для решения вопросов. связанных как с другими областями риска на системном уровне, так и с процессами в системе.

Примечание — О документных процессах в системах см 5.5.

Исходя из современного опыта, идентификация связанных с архитектурой систем рисков, особенно в контексте электронных документов, включает в себя следующее:

a)    определение того, что является документом в системе, с тем чтобы система адекватно своим целям создавала документы и управляла ими;

Пример — В транзакционной безо данных следует выявить все необходимые злемонты документа и обеспечить управление ими, с тем чтобы сведения о транзакции могли быть извлечены или воссозданы.

b)    адекватное выявление требований в отношении сроков хранения;

Пример — В элементах (метаданных) документов должны быть указаны сами сроки хранения и события-»триггеры», запускающие отсчет сроков хранения и выполнение действий по уничтожению документов либо их породачо на архивное храноние.

c)    выявление и документирование всех необходимых документных процессов, которыми должна управлять система;

d)    эффективность архитектуры документных систем, соответствующая потребностям сотрудников организации и используемым организацией технологиям;

8

ГОСТ P 57551—2017

е) управление степенью зависимости от поддержки со стороны производителя системы;

0 доступ к документации производителя системы.

5.4.2    Области неопределенности; техническое обслуживание и поддержка

Техническое обслуживание документных систем в первую очередь относится к тем аспектам технологической платформы и поддержки систем, на которые влияют структурные изменения в организации, внедрение новых систем, изменения технологий, а также компетентность и надежность технической поддержки.

Области неопределенности включают в себя следующее:

a)    изменения в деятельности и деловых системах, влияющие на документные системы;

b)    уровень квалификации системных администраторов и понимание ими требований к управлению документами в системах;

c)    надежность поставщиков систем и их способность обеспечить техническое обслуживание систем и их постоянное соответствие текущему уровню развития технологий;

d)    адекватность документации по процедурам оперативного технического обслуживания;

e)    адекватность технической документации на системы;

0 адекватность документированных процедур резервного копирования и восстановления для документных систем;

д)    адекватность процесса восстановления с резервных копий.

5.4.3    Области неопределенности: жизнестойкость и непрерывность функционирования

Жизнестойкость документных систем зависит от отслеживания перемен во внешнем и внутреннем контексте организации, с тем чтобы эти системы обновлялись, реагируя на изменяющиеся потребности.

При планировании действий по обеспечению непрерывного функционирования документных систем следует учитывать планы организации по обеспечению непрерывности деятельности. При отсутствии у организации плана по обеспечению непрерывности ее деятельности специалисты по управлению документами проводят анализ и оценку документных систем с целью установления приоритетов и процедур восстановления их работоспособности после перерывов в обслуживании.

Области неопределенности включают в себя следующее:

a)    изменения во внешнем и внутреннем контексте, затрагивающие требования и потребности организации в отношении документов;

b)    адекватность мониторинга качества документов и работы с ними, проводимого с целью выявления изменений в требованиях к документам;

c)    адекватность оценки фактических затрат на внедрение и поддержание документных систем, включая затраты на оплату труда;

d)    адекватность действий по выявлению и документированию документных систем;

е)    поддержание и обеспечение доступности спецификаций и документации на документные системы;

0 адекватность документирования решений, принятых в ходе внедрения документных систем, и доступность этих документов всем нуждающимся в них пользователям;

д) способность документных систем поддерживать пригодность документов к использованию;

h)    способность импортировать документы из унаследованных документных систем и прочих деловых систем;

i)    проведение миграции документов в новую документную систему по причине изменения требований к документам либо изменений в технологиях;

j)    изменения в других системах, от которых зависит данная документная система;

k)    способность облачных систем экспортировать документы, когда это необходимо, для их включения в собственные системы организации;

l)    адекватность протоколирования истории событий в документной системе, включая обеспечение ее сохранности в течение срока службы системы; а также управление зависимостью от других систем с целью поддержания во времени осмысленности содержащейся в истории событий информации;

Пример — Ведение документации на уникальные идентификаторы, используемые в истории событий для обозначения пользооателей и деловых подразделений.

т) способность документных систем поддерживать усилия по обеспечению непрерывности деятельности посредством предоставления доступа к необходимым документам в случае стихийного бедствия;

9

п) планирование действий на случай перебоев в обслуживании при возникновении нештатных ситуаций.

5.4.4    Области неопределенности: интероперабельность

Имеющиеся у документных систем зависимости и взаимосвязи с другими системами могут оказаться уязвимым местом.

Области неопределенности включают в себя следующее:

a)    адекватность действий по выявлению и специфицированию необходимой интероперабельности между документными системами и иными деловыми системами;

b)    зависимость документных систем от внешних по отношению к ним источников данных и способность обмениваться данными с этими системами, подключаться к ним либо ссылаться на их данные (примером могут служить облачные системы и другие внешние услуги по хранению данных);

c)    совместимость стандартов и спецификаций, касающихся обмена документами и интероперабельности систем;

d)    эффективность межсистемного взаимодействия (интероперабельности) после внесения изменений или проведения технологических обновлений одной или обеих взаимодействующих систем;

e)    управление метаданными, относящимися к управлению документами, при перемещении документов между системами с тем, чтобы сохранить пригодность к использованию и смысл документов.

5.4.5    Области неопределенности: безопасность

Оценка риска, связанного с безопасностью документных систем, может проводиться с использованием серии стандартов ИСО/МЭК 27000 и использоваться в качестве элемента системы менеджмента информационной безопасности организации, если таковая имеется. Национальные стандарты и требования к информационной безопасности систем также могут быть применимы в отношении документных систем.

Приложения В—D в ИСО/МЭК 27005 содержат примеры областей неопределенности, применимые в отношении любой информационной системы. Более специфические для документных систем области неопределенности также включают следующее:

a)    адекватность политики безопасности организации в отношении документов, документных процессов и систем;

b)    способность обеспечивать соблюдение и защиту правил и привилегий доступа, связанных с документами, документными процессами и системами;

c)    политика и меры контроля в отношении действующих по поручению организации третьих сторон, влияющие на хранение, доступ и контроль над документами и документными системами.

5.5    Документные процессы

При идентификации риска основное внимание обращается на используемые при управлении документами и документными системами процессы создания документов (или их элементов) и контроля над ними.

Примечание — Предполагается, что специалисты по управлению документами при проектировании документов и документных процессов используют в качестве руководства стандарты и технические отчеты ИСО 15489-1, ИСО 23081-1, ИСО 23081-2 и ИСОЯО 23081-3

5.5.1    Области неопределенности: проектирование документов

Области неопределенности в процессах проектирования документов следующие:

a)    адекватное проведение анализа видов деятельности с целью выявления требований к документам;

b)    всесторонний характер сбора требований к документам для каждого делового процесса, когда, в том числе, учитываются потребности всех заинтересованных сторон;

c)    адекватность проектирования документов (например, установления содержания и определения метаданных, необходимых для идентификации, описания, использования, сохранения истории событий, а также для планирования событий), соответствующая требованиям к документам;

d)    адекватность схем наименования и классификации поставленным целям.

5.5.2    Области неопределенности: создание документов и внедрение документных систем

Области неопределенности в процессах создания документов и внедрения документных систем

следующие:

а) для всех документов выбраны подходящие для соответствующих деловых процессов и документных систем точки их создания или захвата (обеспечиваются своевременность, комппексность и полнота создания/захвата);

10

ГОСТ P 57551—2017

b)    эффективность интеграции, где это уместно, деловых процессов с процессами создания документов и контроля над ними;

c)    адекватное распределение и документирование обязанностей и ответственности создателей документов и участвующих в деловых транзакциях агентов (там. где это разные лица);

d)    распределение обязанностей и ответственности по захвату документов организации из внешних сред соответствует требованиям;

e)    спецификации метаданных ведутся и документируются надлежащим образом;

0 надлежащим образом документируются и контролируются процессы управления и протоколирования доступа к документам.

5.5.3    Области неопределенности: метаданные

Области неопределенности в процессах управления метаданными следующие;

a)    имеются и доступны технические спецификации метаданных, используемых в документах, документных процессах и системах;

b)    обеспечивается управление спецификациями метаданных, дающее возможность проводить по мере необходимости их обновление.

5.5.4    Области неопределенности: использование документов и документных систем

Области неопределенности в процессах доступа и использования следующие:

a)    соответствующие требованиям стабильность и своевременность извлечения или получения доступа к документам;

b)    адекватность управления правами доступа пользователей во всех документных процессах;

c)    управление инцидентами безопасности и случаями взлома других мер и средств контроля доступа;

d)    ведение документации, показывающей, кто во времени получал доступ к документам и вносил в них изменения;

e)    адекватность подготовки использующего процессы персонала;

f)    соблюдение установленных процедур.

5.5.4.1 Области неопределенности: поддержание пригодности к использованию

Области неопределенности в процессах поддержания пригодности к использованию следующие:

a)    сохранение осмысленности метаданных документов во времени, особенно при наличии зависимости от данных из внешних систем или связей с ними;

b)    адекватность документных процессов в плане сохранения аутентичности и надежности документов во времени;

c)    поддержание доступности документов во времени;

d)    управление применением шифрования документов в случае их передачи по каналам связи;

e)    адекватность управления версиями документов во времени;

0 адекватность усилий по сохранению истории событий с документами с целью сохранения осмысленности документов во времени;

д) проблемы, связанные с устареванием оборудования и программного обеспечения (в том числе форматов), затрагивающие как документные процессы, так и документные системы.

Пример — Более старые версии электронных документов могут оказаться недоступными с использованием современных программных приложений (версий приложений).

5.5.5    Области неопределенности: уничтожение документов либо их передача на архивное хранение

Области неопределенности в процессах окончательного решения судьбы документов (их уничтожения либо передачи на архивное хранение) следующие:

a)    уничтожение документов либо их передача на архивное хранение проводятся так. как это было запланировано и авторизовано;

b)    процедуры окончательного решения судьбы документов предусматривают, в случае необходимости, возможность продолжения хранения документов после истечения срока их хранения;

Пример — Документы, необходимые в рамках судебного разбирательства либо запрошенные о соответствии с законодательством о свободе доступа к государственной информации, сроки хранения копюрых истекли.

c)    документируются все действия, связанные с уничтожением либо передачей документов;

d)    уничтожение документов надлежащим образом авторизовано и задокументировано;

11

ГОСТ P 57551—2017

Содержание

1    Область применения.................................................................1

2    Нормативные ссылки.................................................................2

3    Термины и определения...............................................................2

3.1    Термины, относящиеся к риску......................................................2

3.2    Термины, относящиеся к документам................................................2

4    Критерии оценки риска для организации.................................................2

4.1    Оценка риска....................................................................2

4.2    Критерии риска..................................................................3

4.3    Определение приоритетов.........................................................3

5    Идентификация риска................................................................4

5.1    Общие положения................................................................4

5.2    Контекст деятельности организации: внешние факторы.................................5

5.3    Контекст деятельности организации: внутренние факторы...............................6

5.4    Документные системы............................................................ 8

5.5    Документные процессы...........................................................10

6    Анализ выявленных рисков ...........................................................12

6.1    Общие положения...............................................................12

6.2    Анализ возможности и количественная оценка вероятности реализации рисков............12

7    Сравнительная оценка рисков.........................................................14

7.1    Общие положения...............................................................14

7.2    Оценка воздействия неблагоприятных событий.......................................15

7.3    Сравнительная оценка риска......................................................16

8    Распространение информации о выявленных    рисках. .....................................17

Приложение А (справочное) Пример записи о документированном риске в реестре рисков........18

Приложение В (справочное) Контрольные вопросы для выявления областей неопределенности . .19 Приложение С (справочное) Руководство по использованию мер и средств из приложения А

«Цели и меры управления» ИСО/МЭК 27001 .................................24

Приложение ДА (справочное) Сведения о соответствии ссылочных международных стандартов

национальным стандартам Российской    Федерации...........................34

Библиография.......................................................................35

Вступление

Международная организация по стандартизации ИСО (International Organization for Standardization, ISO) явпяется всемирным объединением национапьных органов по стандартизации — чпенов ИСО, Работа по подготовке международных стандартов обычно проводится техническими комитетами ИСО. Каждый чпен ИСО. заинтересованный в вопросе, дпя проработки которого бып создан технический комитет, имеет право быть представленным в этом комитете. Международные правительственные и неправительственные организации, имеющие партнерские связи с ИСО. также принимают участие в этой работе. ИСО тесно сотрудничает с Международной электротехнической комиссией МЭК (International Electrotechnical Commission, IEC) no всем вопросам стандартизации в обпасти эпектротехники.

Международные стандарты разрабатываются и в дапьнейшем поддерживаются в соответствии с правилами, установленными в части 1 директив ИСО/МЭК. Следует, в частности, иметь в виду различные критерии, соответствие которым необходимо для утверждения документов ИСО разных типов. Технический отчет ИСО/ТО 18128:2014 был разработан в соответствии с правилами редакционной работы. установленными частью 2 директив ИСО/МЭК1).

Следует принять во внимание, что некоторые элементы данного документа могут подпадать под действие патентного права. ИСО и МЭК не несут ответственность за идентификацию соответствующих патентных прав. Сведения о выявпенных в ходе разработки технического отчета ИСО/ТО 18128:2014 патентных правах содержатся во введении и/или в перечне ИСО полученных патентных деклараций2).

Все встречающиеся в данном документе торговые наименования представляют собой сведения, включенные для удобства пользователей, и их упоминание не означает официапьной поддержки соответствующих продуктов со стороны ИСО.

Разъяснения принятых в ИСО трактовок специфических терминов и выражений, относящихся к оценке соответствия, а также информацию о приверженности ИСО принципам ВТО в части борьбы с техническими барьерами для торговли (Technical Barriers to Trade. TBT) можно найти на веб-сайте ИСО по адресу http://www.iso.org/iso/home/standards_development/resources-for-technical-work/foreword.htm.

Технический отчет ИСО/ТО 18128:2014 бып разработан Техническим подкомитетом ПК 11 «Управление документами и архивами» Технического комитета ИСО/ТК 46 «Информация и документация» (ISO/ТС 46/SC 11 «Archives/records management». ISO/ТС 46 «Information and documentation»).

Введение

Все организации идентифицируют угрожающие их успешному функционированию риски и управляют ими. Специалисты организации по управлению документами несут ответственность за идентификацию и управление рисками, относящимися к документным процессам и системам.

Настоящий стандарт должен помочь специалистам по управлению документами и ответственным за документы в своих организациях сотрудникам оценивать риски, связанные с документными процессами и системами.

Примечание — Под «системой» понимается любое деловое программное приложение, в котором создаются и хранятся документы

Данная задача отличается от более общей задачи идентификации и оценки деловых рисков организации, где создание и хранение адекватных документов является одним из стратегических способов реагирования. Решения о необходимости создания документов в качестве реакции на риски для основной деятельности являются деловыми решениями, которые должны приниматься с учетом результатов анализа требований и потребностей организации в документах, проводимого совместно специалистами по управлению документами и представителями деловых подразделений. Настоящий стандарт исходит из того, что организация создала отражающие ее деловую деятельность документы с тем. чтобы удовлетворить потребности оперативной деятельности и иные нужды, и. по крайней мере, внедрила минимальный набор мер. обеспечивающих систематическое управление документами и контроль над ними.

h См www iso org/directives 21 См www iso org/patents

ГОСТ P 57551—2017

Последствием рисковых событий для документных процессов и систем является утрата или повреждение документов, которые в результате становятся непригодными для использования, утрачивают надежность, аутентичность, полноту и/или неизменность, и могут поэтому не удовлетворять потребностям организации.

Настоящий стандарт содержит рекомендации и примеры, основанные на общих принципах менеджмента риска, установленных ИСО 31000 (см. рисунок 1). которые применены в отношении рисков, связанных с документными процессами и системами. Стандарт охватывает следующие вопросы:

a)    идентификация рисков.

b)    анализ риска.

c)    сравнительная оценка риска.

Результаты анализа риска для документных процессов и систем следует включать в общую систему управления рисками организации. В результате организация будет лучше контролировать свои документы и их качество в плане использования в деловых целях.

Раздел 5 содержит всесторонний перечень областей неопределенности, связанных с документными процессами и системами, предназначенный для идентификации рисков.

Раздел 6 содержит руководство по определению последствий и вероятностей идентифицированных рисковых событий с учетом наличия (или отсутствия) и эффективности применяемых мер и средств контроля и управления.

Раздел 7 содержит руководство по определению значимости уровня и типа идентифицированных рисков.

Стандарт не затрагивает вопросы воздействия на риски. По завершении оценки рисков, связанных с документными процессами и системами, эти риски документируются и соответствующие сведения передаются в подразделение (службу) организации, занимающееся менеджментом риска. Реагирование на оцененные риски осуществляется в рамках общей программы управления рисками организации. Приоритет, установленный оцененным рискам специалистом по управлению документами, впоследствии учитывается при принятии организацией решений об управлении этими рисками.

Рисунок 1 — Процесс менеджмента риска

Примечание — Рисунок 1 взят из ИСО 31000 2009 Приведенная на нем нумерация разделов относится к тексту указанного стандарта

V

НАЦИОНАЛЬНЫЙ СТАНДАРТ РОССИЙСКОЙ ФЕДЕРАЦИИ

Информация и документация ОЦЕНКА РИСКОВ ДЛЯ ДОКУМЕНТНЫХ ПРОЦЕССОВ И СИСТЕМ

Information and documentation Risk assessment for records processes and systems

Дата введения — 2019—07—01

1 Область применения

Настоящий стандарт должен помочь организациям в оценке рисков для документных процессов и систем, для обеспечения того, чтобы документы удовлетворяли выявленным потребностям деятельности до тех пор, пока в этом сохраняется необходимость.

Настоящий стандарт:

a)    устанавливает метод анализа, проводимого с целью идентификации (выявления) рисков, связанных с документными процессами и системами:

b)    описывает метод анализа потенциальных последствий неблагоприятных событий для документных процессов и систем:

c)    содержит рекомендации по проведению оценки рисков, связанных с документными процессами и системами, а также

d)    содержит рекомендации по документированию выявленных и оцененных рисков, в рамках подготовки к смягчению или устранению этих рисков.

В настоящем стандарте не рассматриваются риски для деятельности организации общего характера. которые могут быть смягчены, в том числе, путем создания документов.

Настоящий стандарт может быть использован любыми организациями, вне зависимости от их размера, характера деятельности и сложности их функций и структуры. Перечисленные факторы, а также предписывающий создание документов и контроль над ними режим законодательно-нормативного регулирования, в условиях которого организация осуществляет свою деятельность, принимаются во внимание при идентификации и оценке рисков, связанных с документами и документными системами.

При установлении границ ответственности организации следует учитывать сложную систему взаимоотношений с другими организациями и внешними и внутренними заинтересованными сторонами. в том числе партнерские отношения и договорные обязательства, касающиеся цепочек поставок и передачи на аутсорсинг ряда функций, которые являются характерной особенностью деятельности современных государственных и коммерческих организаций. Установление границ ответственности организации является первым шагом в определении объема и содержания проекта оценки связанных с документами рисков.

В настоящем стандарте вопрос воздействия на риски (смягчения рисков) непосредственно не рассматривается. поскольку соответствующие методы являются специфическими для каждой организации.

Стандарт может быть использован специалистами по управлению документами, лицами, несущими в своих организациях ответственность за документы, а также аудиторами и руководителями, отвечающими в организациях за программы менеджмента риска.

Издание официальное

2    Нормативные ссылки

Настоящий стандарт содержит ссылки нормативного характера на перечисленные ниже документы. которые (полностью или частично) необходимы для его применения Для датированных ссылок применима только та версия, которая упомянута в тексте В случае недатированных ссылок необходимо использовать последнюю редакцию документа (включая опубликованные поправки).

ISO 30300:2011 Information and documentation — Management systems for records — Fundamentals and vocabulary (Система стандартов no информации, библиотечному и издательскому делу. Информация и документация. Системы управления документами. Основные положения и словарь)

ISO Guide 73:2009 Risk management — Vocabulary (Менеджмент риска. Термины и определения)

3    Термины и определения

В настоящем стандарте применены следующие термины с соответствующими определениями:

3.1    Термины, относящиеся к риску

3.1.1    риск (risk): Следствие влияния неопределенности на достижение поставленных целей.

Примечание 1 — Под следствием влияния неопределенности необходимо понимать отклонение от ожидаемого результата или события (позитивное и/или негативное).

Примечание 2 — Неопределенность — это состояние полной или частичной нехватки информации, знаний и понимания события, его последствий и/или их вероятности

Примечание 3 — Риск часто характеризуют путем описания возможного события (Руководство ИСО 73:2009. 3.5.1.3) и его последствий (Руководство ИСО 73:2009. 3 6 1 3) или их сочетания

Примечание 4 — Риск часто описывают в виде комбинации последствий возможного события (в том числе изменения обстоятельств) и соответствующей вероятности наступления этого события (Руководство ИСО 73 2009. 36.1.1).

(Руководство ИСО 73:2009. 1.1)

3.2 Термины, относящиеся к документам

3.2.1    документная система, система управления документами (records system): Информационная система, обеспечивающая захват документов, а также управление документами и доступ к ним во времени.

Примечание 1 — К числу документных систем могут быть отнесены создающие и хранящие документы деловые приложения и системы

(ИСО 30300—2011. 3 4 4)

3.2.2    документные процессы, процессы управления документами (records processes): Совокупности взаимосвязанных или взаимодействующих видов деятельности, с использованием которых организация создает, контролирует, использует, уничтожает либо передает на архивное хранение свои документы.

4    Критерии оценки риска для организации

4.1 Оценка риска

Оценка рисков для документных процессов и систем должна включаться в общий процесс управления рисками организации, где таковой существует. В этом случае специалисты по управлению документами должны учитывать внешние и внутренние обстоятельства и условия, в которых организация осуществляет свою деятельность (контекст), а также контекст самого процесса менеджмента риска, в том числе следующие факторы:

a)    роли и обязанности: Должна быть определена роль специалистов по управлению документами в оценке рисков, связанных с документными процессами и системами;

b)    охват и масштабы деятельности по оценке рисков: Во избежание избыточности и конфликтов, а также для создания условий для применения комплексного подхода к оценке рисков, связанных, в

2

ГОСТ P 57551—2017

том числе, с документами, следует явным образом определить взаимоотношения с другими областями оценки риска, такими как информационная безопасность;

c)    методология; При использовании имеющихся инструментов для оценки рисков и при подготовке отчетов перед уполномоченным лицом или службой следует использовать стандартную методологию оценки риска;

d)    критерии риска; В случае, когда в организации используются общие критерии риска, следует оценивать связанные с документными процессами и системами риски на основе этих критериев.

Если в организации отсутствует общий процесс управления рисками, то специалистам по управлению документами до начала процесса оценки следует установить критерии риска, применимые к документным процессам и системам.

4.2    Критерии риска

Критерии должны быть основаны на нормативно-правовых требованиях юрисдикции, в рамках которой действует организация, и включать в себя следующее:

a)    природу и типы принимаемых во внимание последствий и способы их измерения;

b)    способы отражения вероятности событий;

c)    подход к определению уровня риска;

d)    критерии, на основе которых будет приниматься решение о необходимости воздействия на риск (т. е. об устранении или снижении риска);

e)    критерии для принятия решения о приемлемости и/или допустимости риска;

0 будут ли учитываться возможные комбинации рисков, и если да. то каким образом.

Что касается природы и типов последствий, которые должны быть охвачены при оценке риска для документных процессов и систем, то существует общая отправная точка, применимая во всех организациях. Аутентичные, надежные, целостные документы, пригодные к использованию в течение всего периода времени, пока в них сохраняется необходимость, будут способны удовлетворить потребности организации. Риски идентифицируются, исходя из их возможности нанести ущерб этим общим свойствам документов, в результате чего документы могут уже не соответствовать тем целям, ради которых они были созданы.

Вопросы анализа вероятности и частоты событий в рамках оценки рисхов обсуждаются в 6.2.

Критерии количественной оценки рисков, в том числе критерии, на основе которых будут приниматься решения о приемлемости риска или необходимости его снижения, включают размер и охват документных систем организации, количество пользователей этих систем, а также способ применения таких систем в оперативной деятельности организации.

Аналогичным образом критерии количественной оценки рисков для документных процессов должны включать частоту выполнения процесса, количество систем в которых он выполняется, его относительную важность для создания и управления документами, возможности для мониторинга процессов. а также потенциальные возможности для полного устранения или смягчения неблагоприятных последствий.

4.3    Определение приоритетов

Как правило, организация должна определить, какие документы являются ключевыми для ее деятельности, а также придаваемый им уровень значимости. Это деловые решения, основанные на рекомендациях как специалистов по управлению документами, так и представителей деловых подразделений.

Приоритет, установленный для отдельных документов, их массивов, для документных процессов или конкретных документных систем, также может приниматься во внимание в связи с реагированием на крупные чрезвычайные происшествия, затрагивающие все или многие деловые операции. Например. определенные документы могут потребоваться сразу же после стихийного бедствия, такие как адреса и телефоны экстренных служб, сведения о проходе лиц на территорию объекта, контактные данные групп реагирования на чрезвычайные ситуации, контактные данные страховых компаний и конкретные условия страхования. Кроме того, при планировании мер по обеспечению непрерывности своей деятельности организациям следует определить, какие деловые функции должны быть восстановлены в первую очередь и какие документы для этого понадобятся.

Особое внимание следует уделить ситуациям, в которых документы, отнесенные к числу ключевых для оперативной деятельности, подвергаются комбинации рисков.

3

5 Идентификация риска

5.1 Общие положения

Идентификация риска проводится по следующим направлениям: анализируются контекст деятельности. системы, а также процессы, используемые при создании и управлении документами организации.

Под внешним контекстом деятельности организации понимается совокупность неподконтрольных ей общественно-политических, макроэкономических, технологических, а также физических и экологических факторов, оказывающих влияние на ее деятельность и учитываемых при определении связанных с документами требований и потребностей организации. Частью внешнего контекста являются внешние заинтересованные стороны, имеющие конкретные интересы, связанные с деятельностью организации.

Существует также внутренний контекст деятельности организации, под которым понимается совокупность внутренних факторов, неподконтрольных ответственным за документные процессы и системы специалистам по управлению документами. Внутренний контекст включает в себя такие факторы, как структура и финансы организации, применяемые ею технологии, ресурсное обеспечение деятельности (кадры и бюджеты), а также культура организации, которые влияют на политики и практику управления документами.

Потенциально возможные события с не вполне предсказуемыми последствиями могут быть как внешними, так и внутренними по отношению к организации.

Различные подразделения организации могут иметь разные точки зрения на неопределенности, связанные с последствиями изменений внешнего контекста (см. рисунок 2). Кроме того, следует иметь в виду, что любые изменения открывают новые возможности, последствия которых могут быть и положительными.

Рисунок 2 — Множественность слоев контекста для документов и документных процессов организации

4

ГОСТ P 57551—2017

Цель идентификации риска заключается в выяснении того, что может произойти и какие ситуации могут возникнуть, чтобы это в итоге повлияло на способность документов удовлетворять потребности организации.

Процесс идентификации риска включает в себя выявление причин и источников риска, событий, ситуаций или обстоятельств, способных существенно повлиять на достижение организацией своих целей. а также выяснение природы такого влияния. Сопоставление основных методов дано в приложении В к МЭК 31010.

Выявленные риски должны быть задокументированы в реестре рисков. Это может быть как специальный реестр рисков для документов, так и общий реестр рисков организации. Соответствующий пример приведен в приложении А.

Примечание —В приложении В к настоящему стандарту приведен пример построенного в соответствии со структурой раздела 5 списка контрольных вопросов (контрольного списка), который организация может использовать для систематической идентификации рисков для документных процессов и систем

5.2 Контекст деятельности организации: внешние факторы

5.2.1    Области неопределенности: изменения в общественно-политическом контексте

Изменения в политическом и общественном климате, как на национальном, так и на международном уровне, могут повлиять на отношение общества к поведению государственных органов и коммерческих организаций. Это может привести к изменениям в законодательстве и нормативной базе, которые повлияют на деятельность организаций и, как следствие, на их требования к документам.

Примерами областей, в которых изменение общественного отношения может повлиять на требования к документам, являются обеспечение национальной безопасности, доступ к государственной и корпоративной информации, неприкосновенность частной жизни и защита персональных данных, права интеллектуальной собственности, а также обязанности корпораций по раскрытию информации об их деятельности. В более общем плане примерами областей неопределенности являются:

a)    законодательно-нормативные изменения, влияющие на требования организаций к документам;

b)    изменения в государственной политике, влияющие на документы, документные процессы и системы организации;

c)    новые стандарты и кодексы практики, влияющие на документы, документные процессы и системы организации;

d)    изменение спроса на услуги в области управления документами.

e)    изменение ожиданий заинтересованных сторон;

0 изменение репутации либо доверия к способности организации предоставлять свои услуги.

5.2.2    Области неопределенности: макроэкономическая и технологическая среда

Изменения в макроэкономической, деловой и производственной средах, а также в информационных технологиях сильно влияют на конкуренцию и потребительский спрос. Изменения могут проходить постепенно и непрерывно, но могут быть и результатом кризисов. Они также представляют собой области неопределенности, с которыми могут быть связаны, в том числе и позитивные возможности.

Примеры областей неопределенности, вытекающих из подобных изменений в макроэкономической и деловой среде, включают в себя следующее:

a)    изменения в собственности и/или выручке организации, влияющие на приоритеты в сфере управления, включая управление документами;

b)    изменения в целях, функциях и оперативной деятельности организации, приводящие к изменению требований к документам;

c)    повышение активности регулирующих органов, приводящее к росту числа внешних запросов на представление документов;

d)    увеличение числа судебных разбирательств, приводящее к росту числа запросов на представление документов;

e)    внедрение и широкое распространение новых технологий в масштабах всего общества;

Пример — Использование социальных сетей и мобильных компьютерных устройств для ведения деятельности.

0 изменения на рынке или в клиентской базе организации.

Эти изменения находят свое отражение в организационных переменах, которые рассматриваются ниже (см. 5.3.1).

5