Точный
Статус документа
Статус документа

ГОСТ Р 54471-2011/ISO/TR 15801:2009 Системы электронного документооборота. Управление документацией. Информация, сохраняемая в электронном виде. Рекомендации по обеспечению достоверности и надежности

     4.1 Общие положения

4.1.1 Доверенная система (trusted system)

Доверенной является такая система управления документами и информацией, которая позволяет рассматривать всю сохраняемую в ней в электронном виде информацию как достоверные и точные копии первоначальной информации независимо от ее первоначального формата. Доверенные системы управления документами и информацией должны, как минимум, обеспечивать:

- создание не менее одной копии сохраненной информации на носителе, защищающем эту информацию от модификации, внесения неавторизованных дополнений или удаления на протяжении установленного для нее жизненного цикла; такая копия должна сохраняться и поддерживаться в безопасном месте, расположенном отдельно от места хранения других копий хранимой информации;

- использование оборудования и носителей информации, защищающих хранимую информацию от модификации, внесения неавторизованных дополнений или удаления на протяжении установленного для нее жизненного цикла (см. также 6.3);

- возможность с помощью предусмотренных методологиями использования программного обеспечения, аппаратных средств и/или носителей информации процессов независимого аудита убедиться в том, что первоначально сохраненная информация может быть точно воспроизведена на всем протяжении установленного для нее жизненного цикла.

В доверенной системе управления документами и информацией используется в соответствии с указаниями настоящего стандарта сочетание организационной политики, оперативных процедур и надлежащим образом реализованных и поддерживаемых технологий, позволяющее использующей систему организации подтверждать достоверность и надежность сохраняемой в ней информации.

4.1.2 Меры контроля (controls)

Очень важно, чтобы организация осознавала значение проектирования и поддержания всех аспектов доверенной системы управления документами и информацией и выполняла свои обязанности в соответствии с принципом проявления должной предусмотрительности (duty of саге).

Для этого выполнения этой задачи организация должна:

- установить порядок подотчетности (chain of accountability) и распределить на всех уровнях ответственность за действия, связанные с управлением электронной информацией;

- знать, какие законодательные и регулирующие органы имеют отношение к ее деятельности;

- быть в курсе технических, процедурных, нормативных и законодательных изменений, поддерживая контакты с соответствующими органами и организациями;

- внедрить политику обеспечения информационной безопасности.

4.1.3 Разделение обязанностей (segregation of roles)

Разделение обязанностей является одним из фундаментальных аспектов надлежащей предусмотрительности и обеспечивает возможность проверки на наличие ошибок и преднамеренной фальсификации документов (в этом отношении разделение обязанностей особенно важно в тех системах, в которых существует риск мошенничества или других злонамеренных действий).

Есть несколько аспектов управления документами и информацией, для которых рассматривается возможность применения разделения ответственности:

- контроль полноты вводимой информации и ее соответствия установленным требованиям (inputreconciliation) (см. 5.4.3);

- контроль качества (см. 5.4.6);

- ввод данных (см. 5.6);

- удаление информации (см. 5.11);

- обеспечение информационной безопасности (см. 4.2).

Кроме того, важно обеспечить, чтобы имеющие отношение к системе физические и организационно-административные разграничения зеркально отражались в используемых в системе мерах логического управления доступом.

Следует проанализировать возможность применения и по мере необходимости реализовать разделение обязанностей по выполнению первичных операций и контролю над ними.