Доклад Коринн Роджерс, Доктора Университета Британской Колумбии, Канада, на тему «Документы и данные в облаке: Проблемы этики и доверия. Результаты проекта InterPARES Trust» на международной конференции в Казани «От пергамена к цифре», сделанного 19 апреля 2018 года.
В докладе обсуждается ряд вопросов этики и доверия, касающихся документов и данных, которые создаются, используются и хранятся в различных облачных сервисах, и
представлены несколько инструментов для оценки проблем управления документами в облаке. Эти инструменты являются продуктами последних исследований, выполненных в рамках проекта InterPARES Trust.
Цифровая экономика: Риски, связанные с использованием электронных документов ...
Документы и данные в облаке: Проблемы этики и доверия. Результаты проекта InterPARES Trust
1. Документы и данные в облаке:
Проблемы этики и доверия
Результаты проекта InterPARES Trust
Коринн Роджерс (Corinne Rogers)
Университет Британской Колумбии, Канада
Международная конференция в Казани, Россия
апрель 2018 года
2. ∗ Краткое представление проекта InterPARES
∗ Этапы IP1, IP2, IP3, InterPARES Trust
∗ Проблемы этики и доверия для документов и данных в
облаке
∗ Результаты InterPARES Trust: ряд инструментов для
оценки облачных услуг с точки зрения архивной теории
∗ Отношения доверия между поставщиком облачных услуг и
клиентом: оценка контрактов с поставщиками
∗ Отслеживание сроков хранения и уничтожение/передача на
архивное хранение документов в облаке
∗ Требования в части вовлечению граждан и «открытого
правительства»
Содержание
3. InterPARES 1 (1998-2001) www.interpares.org
∗ Исследовались вопросы, касающиеся электронных
документов, создаваемых и используемых в рамках
административной деятельности в базах данных и в офисных
системах
∗ Основное внимание уделялось разработке основанных на
архивной дипломатике теории и методов, обеспечивающих
сохранение аутентичности
∗ Документы изучались с точки зрения стороны,
обеспечивающей их долговременную сохранность
Проект InterPARES – 4 этапа
к настоящему моменту
4. InterPARES 2 (2002-2007) www.interpares.org
∗ Исследовались вопросы, касающиеся электронных
документов в динамических и интерактивных системах,
используемых в государственном управлении, в научной и
творческой деятельности
∗ Изучались проблемы аутентичности, надёжности и точности
на протяжении всего жизненного цикла
∗ Документы изучались с точки зрения их создателя
Проект InterPARES – 4 этапа
к настоящему моменту
5. InterPARES 3 (2007-2012) www.interpares.org
∗ Внедрение теории в практику работы архивных служб / служб
управления документами в организациях с ограниченными
финансовыми или кадровыми ресурсами
∗ Применение и тестирование результатов этапов 1 и 2 проекта
InterPARES с целью реализации рациональных программ,
поддерживающих создание и сохранение таких электронных
документов, для которых можно доказать их аутентичность,
надежность и точность
Проект InterPARES – 4 этапа
к настоящему моменту
6. ∗ Законодательство: Италия, Китай
∗ Стандарты: DOD 5015.2 (2007), MoReq2 (2008), OAIS (2009), CAN/CGSB
72.34 (2017)
∗ Политики и процедуры: Все страны-участницы проекта,
государственный и частный сектора
∗ Учебные программы для университетов и курсов повышения
квалификации: учебные модули МСА по обеспечению электронной
сохранности (2012, переведены на китайский, испанский, арабский);
"Электронная дипломатия и судебно-криминалистическая экспертиза
электронных документов" (UBC, с 2013 года по настоящее время)
Воздействие
7. www.interparestrust.org
Международные, междисциплинарные исследовательские
группы
Цель:
∗ Создать теоретические и методологические основы,
поддерживающие разработку интегрированных и согласованных
местных, национальных и международных сетей политик,
процедур, стандартов и законодательно-нормативных актов в
отношении электронных документов в сетевых онлайн-средах, с
тем, чтобы:
∗ Обеспечить общественное доверие, основанное на
свидетельствующих о хорошем управлении доказательствах, на
сильной цифровой экономике и на постоянной
электронной памяти
InterPARES Trust (2013-2018)
8. ∗ Какое влияние оказывают постоянно действующие
сетевые коммуникационные технологии и сервисы
облачных вычислений на управление документами,
на ведение заслуживающих доверия документов и
на поддержку доверительного отношения
клиентов / граждан к документам?
Что мы исследуем?
9. ∗ «Модель обеспечения удобного сетевого доступа по
требованию к совместно используемому пулу
конфигурируемых вычислительных ресурсов, которые могут
быть быстро предоставлены и высвобождены с
минимальными усилиями по управлению и с минимальным
взаимодействием с поставщиками услуг»
∗ Услуги оказываются на основе одной из моделей
развертывания (или их комбинации): публичное, частное,
коллективное, гибридное облако
∗ Три основных модели предоставления услуг:
SaaS, PaaS, IaaS
Облачные вычисления: мнение NIST
(американского Национального института стандартов
и технологий)
10. ∗ «Простейшее определение облака: это центр обработки
данных, заполненный однотипным оборудованием, ... [в
котором] автоматизированы все процессы
развертывания, обновления, поиска и управления»
(Branscombe, 2017)
∗ Это означает, что наши документы и данные, в
отношении которых законодательство может
требовать их нахождения на нашем ответственном
хранении и под нашим контролем, на деле в большей
или меньшей степени управляются третьими сторонами
Интерпретация подхода NIST
11. ∗ Облако широко используется, но это в значительной степени
обусловлено давлением рынка, при этом на управление
документами и архивы обращается мало внимания:
∗ «Стратегии использования облачных вычислений как предпочтитель-
ного решения - основа для сохранения своих позиций в быстро
меняющемся мире» (Gartner, 2015)
∗ «Внедрение Облака в корпоративной среде действительно стало
господствующей тенденцией: 68% компаний используют сейчас
публичное или частное облако ... на 61% больше, чем в прошлом году
...» (IDC, 2016)
∗ «Чем больше масштабы внедрения облачных вычислений, тем выше
степень получаемой деловой отдачи» (IDC, 2016)
∗ «В среднем в расчёте на одно развернутое в облаке приложение
обследованные организации получают 3 млн. долл. дополнительной
выручки ... [и] 1 млн. долл. сокращения затрат ...» (IDC, 2016)
Почему необходимы
эти исследования?
12. ∗ Состав чаще всего обсуждаемых проблем отражает то, что
сейчас основное внимание уделяется текущим данным
(мышление, ориентированное на данные):
∗ Защищены ли данные от внесения изменений и вмешательства?
∗ Можно ли защитить неприкосновенность частной жизни?
∗ Возможно ли обеспечить соблюдение законодательно-
нормативных требований в случае трансграничной передачи
данных?
∗ Какие имеются гарантии непрерывности предоставления услуг?
∗ Что будет делаться в случае утечек данных?
Проблемы и наши этические
обязанности
13. ∗ Мы храним документы
(иногда в течение длительных периодов времени) в качестве
свидетельств деятельности и как память о действиях, для
обеспечения подотчетности - мы должны доверять им
∗ На языке архивной науки, мы доверяем документам на
основании доказательств их аутентичности, надежности и
точности
∗ С точки зрения права, вопрос доверия отражается в правилах
допустимости документальных доказательств (в странах
английского права)
∗ Доказуемая последовательность ответственного
хранения является ключевым фактором в обоих случаях
Доверие и последовательность
ответственного хранения
14. ∗ Проблемы, связанные с
управлением документами, выходят за рамки сиюминутного
настоящего, затрагивая прошлое и проецируясь в будущее
(документоориентированное мышление)
∗ Можно ли защитить и сохранить контекст документов?
∗ Можно ли доказать происхождение?
∗ Можно ли отследить сроки хранения и выполнить надлежащие
действия по их истечении?
∗ Можно ли обеспечить во времени доступность и пригодность к
использованию?
∗ Можно ли соблюсти права интеллектуальной собственности?
Проблемы управления
документами
15. ∗ Конфиденциальность и неприкосновенность частной жизни
∗ Безопасность
∗ Доступ и «цифровое неравенство»
∗ Права интеллектуальной собственности
∗ Юрисдикция
∗ Идентифицирующая информация,
деидентификация, ре-идентификация
∗ Анализ данных (отношения, эмоций), риск
профилирования
Этические вопросы
16. ∗ Этичность поведения в отношении документов и данных может
оцениваться в рамках концепции ответственности и доверия
∗ Для этого часто используются кодексы профессиональной этики
∗ Среди специалистов в области управления документами и
архивного дела существует консенсус в отношении основных
принципов, которым желательно следовать:
∗ Поддерживать интеллектуальную свободу и сопротивляться цензуре
∗ Защищать неприкосновенность частной жизни и
конфиденциальность
∗ Признавать и уважать права интеллектуальной собственности
Этические принципы для специалистов
по управлению документами
17. ∗ Уверенность одной стороны в другой, основанная на
согласованности систем ценностей сторон в отношении
определенных действий или выгоды, и включающая
отношения добровольной уязвимости, зависимости и опоры
(reliance), основанные на оценке риска
∗ Уверенность в другой стороне в отношении конкретных
действий или выгод
∗ Доверие субъективно, может варьироваться в непрерывном
диапазоне от полного доверия до скептицизма и недоверия
Доверие
18. ∗ Документы признаются заслуживающими доверия на
основе оценки их аутентичности, надежности и точности
∗ Доверие к документам зависят от доверия к документным
системам, в которых они содержатся
∗ Отвечают ли облачные сервисы стандарту доверенных
документных систем?
Заслуживающие доверия документы и
документные системы
19. ∗ В рамках проекта InterPARES Trust разработан ряд
инструментов, помогающих специалистам в области
управления документами и архивного дела решать
связанные с документами и данными проблемы,
независимо от степени внедрения облачных вычислений
∗ Эти инструменты помогают оценить преимущества и риски
облачных услуг с точки зрения требований к управлению
документами, основанных на архивной науке
Инструменты для оценки
облачных услуг
20. Сегодня я собираюсь кратко рассказать о трёх инструментах:
∗ Контрольный лист для оценки контрактов с поставщиками
облачных услуг
∗ Контрольный лист для оценки способности отслеживать сроки
хранения и выполнять установленные действия по их истечении
∗ Базовое руководство по управлению документами, касающимися
вовлечения граждан в инициативы «открытого правительства»
Три полезных инструмента
21. 1. Контракты с поставщиками облачных
услуг как инструмент доверия:
Цель и постановка задачи
∗ Изучить контракт - в частности, контракт между клиентом
и поставщиком облачных услуг - как инструмент создания
доверия
∗ В какой степени контракты на предоставление облачных
услуг отвечают потребностям специалистов по
управлению документами, архивистов и специалистов по
полномасштабному управлению информацией?
22. Отобранные для изучения
контракты
∗ Типовые контракты и документы
∗ Условия предоставления услуг (Terms of Service, ToS)
∗ Соглашения о качестве обслуживания (Service Level Agreements,
SLA)
∗ Политики по вопросам безопасности, защиты персональных данных
и допустимого использования
∗ Юрисдикции:
∗ Канада, США, Европа
Amazon.com (США); Bluelock (США); Dropbox (США); Egnyte (США); GoGrid (США);
Google (США); ProfitBricks (США); Rackspace (США); CityNetwork (Швеция); SAP
(Бельгия); Pathway Communications (Канада)
23. Анализ контрактов
∗ Результаты:
∗ Существует несколько правовых документов
∗ Условия предоставления услуг
∗ Соглашения о качестве обслуживания
∗ Политики в отношении персональных данных
∗ Политики допустимого использования
∗ Слабая стандартизация контрактных условий
∗ «Часто непонятны для большинства пользователей»
∗ Разнообразные ограничения и отказы от ответственности,
благоприятные для поставщиков
∗ Контрактные условия могут меняться
24. Сравнительный анализ
∗ Независимо от юрисдикции, сектора или отрасли,
существуют общие риски для документов:
∗ Несанкционированный доступ
∗ Утечка персональных данных
∗ Утрата доступа и/или контроля
∗ Отсутствие прозрачности при оказании услуг
∗ Невозможность договориться об индивидуальных условиях
оказания услуг
∗ Неопределенность с местоположением данных и документов
∗ Неопределенность условий контракта
25. Связанные с документами вопросы
часто надлежащим образом не
учитываются
∗ Право собственности в отношении данных
∗ Доступность, извлечение и использование
∗ Хранение данных и архивное обеспечение долговременной
сохранности
∗ Сроки хранения данных и действия по их истечении
∗ Безопасность, конфиденциальность, неприкосновенность
частной жизни
∗ Местоположение данных и их трансграничная передача
∗ Окончание обслуживания; прекращение контракта
26. Контрольный лист - разделы
∗ Соглашение
∗ Права собственности и использование данных
∗ Доступность, извлечение и использование
∗ Хранение и обеспечение сохранности данных
∗ Отслеживание сроков хранения данных и выполнение
установленных действий по их истечении
∗ Безопасность, конфиденциальность и неприкосновенность
частной жизни
∗ Местоположение данных и их трансграничная передача
∗ Окончание обслуживания; прекращение контракта
27. ∗ Как использование облачных сервисов влияет на отслеживание
сроков хранения документов и выполнение установленных
действий по их истечении в соответствии с требованиями
законодательства и иных применимых руководств?
∗ Опрос членов ARMA International: 168 респондентов
∗ 62% работает в государственном секторе
∗ 60% использует облачные вычисления в какой-либо форме
∗ 92% сообщили, что организация имеет политику отслеживания сроков хранения
∗ 50% подтвердили, что политика применима в отношении документов, хранящихся
в облаке
∗ 69% считают, что правила и условия поставщика несовместимы с их
политикой (либо не знают точно)
∗ 81% сообщили, что уничтожение / передача облачного контента пока не
проводились (либо не знают точно)
2. Контрольный лист по срокам
хранения и действиям по их истечении
28. ∗ Внешние факторы связаны с рисками либо с наложенными
на организацию обязательствами
∗ Внутренние факторы отражают уровень зрелости знаний
об облачных вычислениях
∗ Культурные различия между ИТ и специалистами в области
управления документами и информацией
∗ Решения часто мотивированы сокращением расходов и/или
принимаются в одиночку ИТ-службой
∗ Недостаточность знаний об облачных вычислениях
Внутренние и внешние препятствия
29. ∗ Безопасность и неприкосновенность частной жизни
∗ Разработка нормативных документов, устанавливающих
сроки хранения и действия по их истечении
∗ Установление сроков хранения в соответствии с
нормативными документами
∗ Исполнение указаний по срокам хранения
∗ Документирование действий по уничтожению / передаче
∗ Анализ действий по уничтожению / передаче
∗ Системная интеграция
Сроки хранения и уничтожение:
вопросы для оценки сервиса
30. ∗ Назначение базового руководства
∗ Повысить осведомлённость о взаимосвязи между управлением
документами и инициативами вовлечения граждан в
государственное управление
∗ Предложить подходы для решения проблемных вопросов
управления документами, влияющих на взаимоотношения
доверия между государствами и их гражданами
3. Открытое правительство: Инициативы
вовлечения граждан в государственное
управление
31. В базовом руководстве рассматриваются проблемы и
предлагаются стратегии на следующих уровнях:
∗ Политика
∗ Стратегическое и оперативное управление
∗ Люди и персонал
∗ Стандарты и практики
∗ Технологии
∗ Ознакомление и общее понимание
Анализ и рекомендации с точки зрения
управления документами
32. ∗ Проанализируйте деятельность
по вовлечению граждан в Вашей организации
∗ Выявите связанные с документами проблемы с деловой
точки зрения (последствия для успеха программы
вовлечения)
∗ Определите стратегии решения этих проблем
∗ Выявите всех лиц, кого эти проблемы затрагивают либо
интересуют
∗ Обсудите проблемы с соответствующими лицами
∗ Подготовьте план и представьте его на утверждение
План управления документами,
связанными с вовлечением граждан
33. ∗ Избранные инструменты (сайт InterPARES Trust,
https://interparestrust.org/trust/research_dissemination )
∗ Контрольный лист по обеспечению доверия при оказании SaaS-услуг
∗ Контрольный лист для сравнительного анализа электронных госуслуг
∗ Контрольный лист для систем единой точки входа
∗ Экономические модели принятия решений об использовании услуг
облачного хранения
∗ Стандарт архивной практики
∗ Функциональные требования к отслеживанию в облаке сроков хранения
∗ Базовое руководство по управлению документами, связанными с
инициативами вовлечения граждан
∗ Контрольный лист по оценке облачных контрактов
Вывод: Кто отвечает?
Клиент или поставщик услуг?
34. ∗ http://interpares.org
∗ «Оценочные требования, поддерживающие
презумпцию аутентичности электронных документов»
∗ «Базовые требования, поддерживающие представление аутентичных
копий электронных документов»
∗ «Рекомендации по созданию и хранению электронных документов для их
создателей – отдельных лиц и малых сообществ»
∗ «Рекомендации для организаций, обеспечивающих долговременную
сохранность электронных документов»
∗ «Принципы разработки политик, стратегий и стандартов обеспечения
долговременной сохранности электронных документов»
∗ Модель «Последовательность действий по обеспечению сохранности»
(Chain of Preservation, COP)
∗ Много других отчетов, статей, книг, презентаций и учебных планов
Ключевые документы проектов
InterPARES 1 и 2
35. Tag cloud by Ashashyou (Own work) [CC BY-SA 4.0 (http://creativecommons.org/licenses/by-sa/4.0)], via Wikimedia Commons
www.interparestrust.org
www.interparestrust.com
corinne.rogers@ubc.ca