Новый ГОСТ Р ИСО 18829-2024 — мнение экспертов

Основные сведения о ГОСТ Р ИСО 18829-2024

Стандарт ГОСТ Р ИСО 18829-2024 «Управление документооборотом. Оценка внедрений ECM/EDRM. Достоверность» содержит методологические рекомендации по оценке имеющихся в организации систем управления корпоративным контентом (ЕСМ, Enterprise Content Management) и управления электронными документами (EDRM, Electronic Document and Records Management) на соответствие применимым стандартам ИСО (ISO/ТR 15801 и ISO/ТR 22957) и общепринятым хорошим практикам.

Документ подготовлен ФГБУ «Российский институт стандартизации» и ООО «ЭОС Тех» (входит в ГК «ЭОС») на основе собственного перевода на русский язык англоязычной версии международного стандарта ISO 18829:2017 «Document Management – Assessing ECM/EDRM implementations – Trustworthiness». Внесен Техническим комитетом по стандартизации «Информационная поддержка жизненного цикла изделий» (ТК 459). Утвержден и введен в действие Приказом Федерального агентства по техническому регулированию и метрологии от 24 октября 2024 г. №1489-ст. Правила его применения прописаны в статье 26 Федерального закона от 29 июня 2015 г. № 162-ФЗ «О стандартизации в Российской Федерации».

Как утверждается в преамбуле к данному ГОСТу, обеспечение безопасной и защищенной обработки деловой информации, сохраняемой в электронном виде (ESI, Electronically Stored Information), в том числе, ее создание, хранение и уничтожение, является важной составляющей деятельности многих организаций. Чтобы получить гарантию, что используемое ECM/ЕDRМ-решение надежное и доверенное, а содержащаяся в нем информация защищена и хранится надежным образом, организация проводит его независимый, документально подкрепленный аудит. Такой проверке должны быть подвергнуты как проприетарные системы, так и стандартизированные ЕСМ-решения.

В компании ЭОС пояснили, что ГОСТ Р ИСО 18829-2024 может использоваться совместно с ГОСТ Р 54471-2011 «Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности», содержащим требования и рекомендации в отношении обеспечения надежности информации и доверия к ней; а также с готовящимся в ИСО новым техническим отчетом ISO/TR 22957 «Управление контентом – Доверенные среды управления документами и контентом – Передовые практики» (Document management – Trustworthy content/records management environments – Best practices), который со временем так же потенциально может быть адаптирован в России.

Согласно стандарту, оценка имеющихся в организациях систем управления электронными документами и контентом должна проводится по определенному плану. Ее результаты должны найти отражение в аналитическом отчете, содержащем следующие компоненты:

• деловые потребности и/или деловое обоснование: описание использованных процессов оценки документов, краткое изложение установленных фактов и результатов анализа в отношении физических и электронных документов, а также выявленные в ходе оценки проблемные вопросы, имеющие отношение к деловой деятельности;
   
• аналитический раздел, содержащий подробные сведения, увязанные с четко определённым набором объективных принципов управления документами и информацией;
   
• раздел анализа пробелов в технологиях, содержащий описание всех используемых в настоящее время организацией соответствующих технологий управления корпоративным контентом и документами и иных технологий хранения и создания, имеющих отношение к контенту/документам;
   
• раздел с техническими и касающимися документов рекомендациями, который должен включать рекомендации, связанные с изменением существующего положения дел в управлении документами с целью создания надежной и доверенной среды управления документами и контентом.

Добавим, что в стандарте также закреплены понятия «аутентичный документ» (authentic record), «документация по деловой практике» (BPD, business practice documentation), «сохраняемая в электронном виде информация» (ESI), а также такие характеристики, как «читаемость» системы (readability), «надежный» документ/контент (reliable) и «достоверный» (trustworthy) документ/контент.

Cреди важных характеристик системы в стандарте выделены процессы отслеживания сроков хранения информации, обеспечения ее долговременной сохранности и уничтожения, информационная безопасность и технологии хранения. Сформулирована взаимосвязь первичного и вторичного хранилищ. Отмечена важность поддержки в ECM-системе процессов хранения как минимум двух экземпляров информации в разных физических местах, хранения как минимум одного экземпляра на носителе, который не допускает несанкционированных модификаций, изменений или удалений на протяжении жизненного цикла информации.

Мы попросили экспертов прокомментировать актуальность нового стандарта и особенности его применения.

Предпосылки к адаптации международного стандарта для российского рынка

Наталья Храмцовская, ведущий эксперт – аналитик компании ЭОС
Фото предоставлено компанией ЭОС

Наталья Храмцовская, к.и.н., ведущий эксперт – аналитик компании «Электронные Офисные Системы», эксперт ИСО, член Гильдии Управляющих Документацией и ARMA International:

«Международный стандарт ISO 18829:2017 «Управление контентом – Оценка внедрений систем управления контентом, информацией и документами – Доверие» (Document management – Assessing ECM/EDRM implementations – Trustworthiness) был опубликован в июне 2017 года. Процесс его разработки был довольно продолжительным, а основой для него послужил американский стандарт ANSI/AIIM 25-2012 «Оценка доверенных систем на соответствие отраслевым стандартам и наилучшей практике» (Assessing Trusted Systems for Compliance with Industry Standards and Best Practices), разработанный уважаемой международной ассоциацией специалистов по управлению контентом AIIM и утвержденный в качестве национального стандарта США. Важно отметить, что этот документ родился не под пером кабинетных ученых, а на основе обобщения реальной практики разработки, внедрения, использования и аудита/сертификации систем управления документами и контентом.

В Международной организации по стандартизации (ИСО) над данным стандартом работал Технический комитет TC171, и от России в этой работе активно участвовали эксперты компании ЭОС, чья роль в основном заключалась в том, чтобы избежать попадания в стандарт ИСО положений, которые бы противоречили законодательству РФ.

Потребность в такого рода стандарте возникла в связи с тем, что в начале второй декады 21 века как в США, так и во всем мире в организациях для управления информацией и документами уже использовались многочисленные информационные системы разного уровня и назначения. Остро встал вопрос о том, как оценить, в какой степени эти системы соответствуют текущим потребностям обеспечения надежности и доверия к сохраняемым в них электронным документам и контенту. Данный вопрос остается актуальным и сейчас, спустя почти 15 лет. И хотя за это время документ в определенных аспектах устарел и не отражает определенные изменения последних лет в мировой практике, а также российские национальные особенности, он (с учетом отставания России в освоении информационных технологий от передовых стран Запада) в нашей стране как раз сейчас стал востребованным.

В этой связи по инициативе подкомитета ПК 6 «Жизненный цикл электронного документооборота» отечественного комитета по стандартизации ТК 459 «Информационная поддержка жизненного цикла изделий» данный стандарт был включен в Программу национальной стандартизации на 2023 год и в 2024 году опубликован как ГОСТ Р ИСО 18829-2024 «Управление документооборотом. Оценка внедрений ECM/EDRM. Достоверность».

Актуальность русскоязычной версии стандарта

Наталья Храмцовская, ЭОС:

«Прежде всего стоит обратить внимание на то, что, согласно действующему российскому законодательству, стандарты применяются на добровольной основе – таким образом, они по факту являются методическими документами, которые заинтересованные стороны используют чаще всего выборочно, а не целиком.

В России в настоящее время наблюдается острая нехватка не только законодательно-нормативного регулирования в области управления документами и информацией, но и методических материалов и рекомендаций. Авторитетные международные стандарты, адаптированные и утвержденные как отечественные ГОСТы, позволяют смягчить эту проблему и помочь специалистам данной отрасли, познакомив их с хорошей практикой, признанной в международном масштабе.

Стандарты в организациях можно использовать по-разному: как документ, который комплексно описывает то или иное направление работ, с рекомендациями о том, какие локальные нормативные акты для этого нужно разработать и что в них включить; как инструмент, помогающий разрабатывать соответствующие политики организации, особенно полезный в тех случаях, когда приходится вести деловую деятельность за рубежом или взаимодействовать с зарубежными контрагентами; как методические рекомендации по организации проведения тех или иных работ в области управления документацией и информацией; как учебно-методическое пособие для повышения квалификации сотрудников и для самообразования по вопросам управления информацией и документацией.

Всё это справедливо и в отношении нового стандарта ГОСТ Р ИСО 18829-2024 «Управление документооборотом. Оценка внедрений ECM/EDRM. Достоверность».

Михаил Легченко, директор сервиса Безбумажный офис F.Doc
Фото предоставлено компанией F.Doc

Михаил Легченко, директор сервиса Безбумажный офис F.Doc:

«На наш взгляд, введение такого ГОСТа – это один из важных и правильных шагов на пути цифровизации бизнес-процессов организаций, в частности, перевода в электронный вид документооборота.

Мы отмечаем потребность и стремление компаний оцифровывать оформление документов с клиентами, подрядчиками и партнерами: как с юридическими, так и с физическими лицами. Мы также видим, что электронное подписание востребовано в решении кадровых вопросов организаций: например, в случаях, когда бизнес имеет разветвленную филиальную структуру или подключает к реализации проектов распределенные команды в удаленном формате и т.п.

Другими словами, все возможные типы документооборота переходят в электронные форматы. Как следствие, у компаний происходит довольно быстрый и бурный рост и накопление электронных документов, которые становятся неотъемлемой частью бизнес-процессов.

В этих условиях стандартизация работы с электронными документами особенно важна: при выборе того или иного технологического решения собственникам или топ-менеджменту организаций необходимо быть уверенными, что их данные в безопасности и надежно защищены. Сервисов и предложений на рынке достаточно: кто-то в большей степени уделяет внимание безопасности, кто-то – в меньшей, а кто-то дорабатывает продукт по мере того, как возникают какие-то непростые ситуации или кейсы. Поэтому появление некого согласованного набора требований мотивирует вендоров технологических решений совершенствовать свой продукт, приводя его в соответствие принятому и введенному стандарту.

Кроме того, введение стандарта, по нашему мнению, является признанием важности технологии электронного документооборота в целом, а также признанием факта, что данное технологическое решение все больше и больше становится востребованным в повседневной жизни».

Влияние нового стандарта на деятельность компаний рынка ECM

Наталья Храмцовская, ЭОС:

«В связи с появлением стандарта мы не предвидим изменений в программных продуктах ЭОС или решениях, которые уже внедрены у наших заказчиков, поскольку в своей деятельности компания ЭОС нередко начинает использовать передовые международные стандарты еще до их официального утверждения в ИСО и других международных организациях по стандартизации, т.е. задолго до их адаптации в России.

Скорее, мы надеемся, что новый стандарт облегчит нам общение с законодателями и клиентами, которым будет легче воспринять ряд современных идей из российского официального стандарта, для знакомства с которым им не нужно владеть английским языком и приобретать его за большие деньги.

Мы также рассчитываем на использование стандарта при обучении и повышении профессиональной квалификации специалистов отрасли».

Михаил Легченко, F.Doc:

«Для нас как для сервиса, помогающего компаниям оформлять и подписывать документы с клиентами-физлицами, обеспечение защиты данных – один из ключевых приоритетов работы, который предполагает комплексный подход. Первый внутренний аудит сервиса на соответствие вступившему в силу стандарту показал, что на данный момент мы отвечаем изложенным в нем требованиям.

Стоит отметить, что мы регулярно мониторим, внимательно анализируем и изучаем изменения в действующем законодательстве, развивая и совершенствуя сервис с учетом нововведений и в ответ на изменения внешней среды».