Embed Size (px)
Citation preview
Strokovno usposabljanje za uslužbence javnopravnih oseb Sklop: Elektronska hramba in elektronsko arhiviranje Teme: - osnovne zahteve za varno e-hrambo - pravna veljavnost gradiva v digitalni obliki - notranja pravila - informacijska infrastruktura in varnost 12. marec 2013 Boris Domajnko Arhiv RS
Temeljna načela za izvajanje e-hrambe
dostopnost - ne izgubiti, ohranjati možnost dostopa
uporabnost - možnost ogleda/reproduciranja, uporabe - razumljivost, urejenost, metapodatki
celovitost - neokrnjenost, nespremenjenost
avtentičnost - povezljivost z izvirnim gradivom oz. izvorom
trajnost (oz. ves čas predvidene hrambe)
za arhivsko gradivo: varovanje kulturnega spomenika
Zahteve: – učinkovito poslovanje - podpora delovnemu procesu – spreminjanje vsebine e-dokumentov - "življenski cikel" e-dokumenta
– sledljivost in dokazljivost sprememb – načela varovanja in ohranjanja e-gradiva
Hramba: dokumentni sistem v oblaku računalniške mape?
Kratkoročna e-hramba (do 5 let)
Tehnološki izzivi
Zahteve: – zakonodaja, poslovni interes – nespremenljivost + možnost iskanja – kvalitetni metapodatki
vsebinski in tehnični Hramba:
– posebni sistemi za dolgoročno e-hrambo – posebna priprava gradiva
primer: tabela:
Dolgoročna e-hramba (nad 5 let)
Tehnološki izzivi
popis + gradivo
T1 T1 T3
21 22 21 T1 T1 T3
21 22 21
T1 T2 T3 21 =A2+KONST =(A2+B2)/2
Vidiki dolgoročne e-hrambe
Pravni vidik zakonske zahteve ohranjanje dokumentov in njihove
dokazne vrednosti (avtentičnosti/celovitosti)
…
Organizacijski vidik kdo/kaj/kdaj delovni postopki usposobljenost …
Finančni vidik stroški hrambe škoda ob izgubi gradiva …
Tehnološki vidik ranljivost e-gradiva tehnične okvare spreminjanje standardov, opreme način hrambe: dokumentni sistem, arhivski sistem, oblak… semantično (pomensko) zastarevanje dokazovanje celovitosti …
Tveganja: propadanje - omejena življenjska doba zastaranje - spreminjanje tehnologije Možna rešitev: hramba več kopij na različnih medijih, v stabilnem okolju redni pregledi nosilcev prepisovanje informacij na nove nosilce zapisa pred
pričakovanim iztekom dobe trajanja starih ali menjavo tehnologije
Nosilec zapisa
Tehnološki izzivi
omogoča pogoje varne dolgoročne hrambe razširjenost široka podprtost s strojno in programsko opremo …
Nosilec "v hiši" ali ………… pri ponudniku?
Nosilec zapisa za dolgoročno e-hrambo
Tehnološki izzivi
Oblika zapisa - format za e-hrambo
Tveganja pri dolgoročni hrambi v prvotnem formatu - produkcijski formati:
- mnogovrstni, za posamezne vrste gradiva - lastniški za specifične programske rešitve
- izguba uporabnosti zaradi zastarevanja (formatov, programov, operacijskih sistemov, …)
- prevelika kompleksnosti vzdrževanja Možne rešitve: - "konzerviranje" tehnologije (HW/SW) - emulacija (simulacija HW) - migracija (pretvorba) oblike zapisa
Tehnološki izzivi
Zahteve za format razširjenost in uveljavljenost uporabnost
- po možnosti tudi obstoj odprtokodnih rešitev - možnost pretvorbe v nove oblike
neodvisnost - od programske ali strojne opreme oziroma specifičnega okolja
definiranost - stabilni in odprti standardi
dolgoročnost - vsaj 10 let?
Oblika zapisa za dolgoročno e-hramba
Tehnološki izzivi
2. del Pravna veljavnost gradiva v digitalni obliki
ZVDAGA pravno veljavnost in dokazno vrednost pogojuje z – načinom zajema in – hrambe dokumentarnega gradiva v digitalni obliki oz. z dokazljivim izvajanjem notranjih pravil. "Notranja pravila za zajem in hrambo elektronskega gradiva"
Pravna veljavnost gradiva v digitalni obliki
Pravna veljavnost
Instrumentarij za povečanje varnosti gradiva
Notranja pravila javnopravne osebe - obveznosti
potrjena NP, če zunanji ponudnik: akreditirana storitev! Poslovni sektor - neobvezno
Registracija ponudnika obvezna minimalni pogoji, upravni postopek
Akreditacija opreme oz. storitev neobvezna/odplačna, izvaja Arhiv RS, pogodbeno razmerje strožji pogoji storitev: preverjanje izvajanje NP oprema: preverjanje izpolnjevanja kriterijev ponudnik storitve: potrjena NP, lahko: akreditirana storitev in oprema
Pravna veljavnost
NP in pravna veljavnost e-gradiva
Trije scenariji, trije členi ZVDAGA: 31. imamo potrjena NP
pravne veljavnosti ni potrebno posebej dokazovati (enakost izvirnemu gradivu na podlagi zakona)
32. imamo nepotrjena NP presojanje enakosti izvirnemu gradivu glede na NP
33. nimamo NP presojanje enakosti izvirnemu gradivu v konkretnih primerih
Pravna veljavnost
3. del NOTRANJA PRAVILA zajema in hrambe dokumentarnega in arhivskega gradiva v digitalni obliki
Zakaj: za zagotavljanje - uporabnosti hranjenega gradiva - enakosti izvirnemu gradivu na podlagi zakona (ZVDAGA)
Oblika: interni pravni akt, potrjena s strani Arhiva RS
Kdo: oseba (javnopravna ali podjetje), ki izvaja zajem in hrambo gradiva v digitalni obliki
Obvezno za: - javnopravne osebe, - ponudnike storitev zajema in hrambe ter spremljevalnih storitev, če želijo to storitev akreditirati
Notranja pravila
Notranja pravila
Zakon (ZVDAGA) – 18. člen (notranja pravila) – 19. člen (potrjevanje notranjih pravil) – 20. člen (prevzem vzorčnih notranjih pravil) – 21. člen (spremljanje izvajanja notranjih pravil) – 22. člen (obvezna novelacija notranjih pravil)
Uredba (UVDAG)
– 3. člen (faze priprave in organizacije) – 4. člen (priprava na zajem in hrambo) – 5. člen (notranja pravila) – 6. člen (priprava in sprejetje notranjih pravil) – 7. člen (zahteva za potrditev notranjih pravil in potrditev) – 8. člen (zahteva za potrditev vzorčnih notranjih pravil in potrditev) – 9. člen (izvedba hrambe in spremljanje izvajanja notranjih pravil) – 10. člen (spremembe in dopolnitve notranjih pravil)
Pravne podlage
Notranja pravila
Lastna NP
Vzorčna NP (20. člen ZVDAGA)
– za istovrstne organizacije – za enako ali zelo podobno poslovanje – privzamemo jih kot svoja, brez sprememb ali dopolnitev – vsebina:
navodila za prevzem ugotovitve faze predhodne priprave na zajem in e-hrambo obrazložitev vzorčnih notranjih pravil dokumenti:
enotna pravila za varstvo gradiva tehnična navodila informacijska varnostna politika načrt neprekinjenega poslovanja ocena tveganj
Oblike notranjih pravil
Notranja pravila
Razmejitev notranjih pravil
za lastno izvajanje (zajema, hrambe) opredelimo tudi, katere aktivnosti bo izvajal ponudnik ter
kdo in kako ga nadzira
za izvajanje storitev kot ponudnik zajema hrambe spremljevalnih storitev: urejanje, odbiranje,
pretvorba, uničevanje…
Notranja pravila
Opredelitev medsebojnih odnosov naročnika in ponudnika storitve
definirajo notranjo organizacijo glavne dele posameznega
procesa
odgovorne osebe za njegovo izvedbo
dokumentacijo, ki mora pri izvajanju zajema in hrambe nastajati (npr. evidence o zajemu, evidence napak,…)
kontrole nad izvajanjem procesov
Cilji in struktura
Notranja organizacija
Usposobljenost zaposlenih, Odgovornost, pooblastila
Informacijska infrastruktura
Informacijska varnost
Upravljanje z dokumenti
Zajem in e-hramba
Nadzor
Notranja pravila
5. člen Uredbe (UVDAG) I. SEZNAM ENOTNIH TEHNOLOŠKIH ZAHTEV
1 NOTRANJA PRAVILA IN ORGANIZACIJA 1.1 splošno o notranjih pravilih 1.2 notranja organizacija, vloge in usposobljenost osebja
2 ZAJEM IN E-HRAMBA TER SPREMLJEVALNE STORITVE 2.1 splošno o delovnih postopkih 2.2 priprava na zajem 2.3 zajem gradiva 2.4 pretvorba gradiva v obliko za dolgoročno e-hrambo 2.5 dolgoročna e-hramba in zavarovanje shranjenega gradiva pred izgubo 2.6 odbiranje in izročanje arhivskega gradiva v digitalni obliki ter sodelovanje s
pristojnim arhivom 2.7 izločanje in uničevanje dokumentarnega gradiva
3 INFORMACIJSKA VARNOST 4 INFORMACIJSKA OPREMA IN INFRASTRUKTURA 5 UPRAVLJANJE INFORMACIJSKE OPREME IN INFRASTRUKTURE 6 NAROČANJE STORITEV PRI ZUNANJEM IZVAJALCU
II. OBRAZLOŽITEV IN DODATNA POJASNILA
Vsebina NP: opredeljuje jo 2. del ETZ 2.0
Notranja pravila
Poda odgovore na vprašanja: – Kateri del poslovanja bo urejen z NP? – Katere že doslej veljavne akte bi lahko uporabili? – Ali se bomo povezali s ponudnikom? – Kdo naj pripravi NP?
Vsebina: analiza obstoječega stanja določitev zahtev za e-hrambo ocena tveganj in ukrepi za njihovo zmanjšanje študija izvedljivosti e-hrambe odločitev glede projekta e-hrambe načrtovanje hrambe in vzpostavitve informacijskega
sistema
Predpogoj: Predhodna priprava na zajem in hrambo
Notranja pravila
1. vzpostavitev projekta priprave NP – projektna skupina – priprava plana projekta z definicijo obsega dela – predstavitev plana projekta vodstvu in odobritev
2. določitev vsebine in strukture notranjih pravil
– seznam dokumentov – upoštevati strukturo Enotnih tehnoloških zahtev (ETZ) ali
postaviti svojo? 3. izdelava 4. ali so vzpostavljeni vsi pogoji za izvajanje? 5. potrditev s strani vodstva → interni pravni akt 6. vložitev zahteve za potrditev NP pri Arhivu RS 7. izvajanje + dopolnjevanje
Projektna naloga projekta za zajem in e-hrambo
Notranja pravila
Določimo procese/postopke (npr. zajem gradiva oz. podatkov, pretvorbo, …)
za vsak postopek: določimo/opredelimo/opišimo – odgovorno osebo (akt o sistemizaciji delovnih mest, sklep,
ipd.) – postopek ter vhodi/izhodi – vzpostavljene kontrole, pogostost in način izvajanja – ukrepe ob napakah – dokumentacijo oz. dokazila (revizijska sled), ki nastaja pri
izvajanju postopkov (npr. zapisniki, dnevniki, evidence)
Izdelava NP – opis delovnih postopkov
Notranja pravila
Preverjanje vsebine NP
Notranja pravila
obvezno vse osebe, ki imajo potrjena NP v skladu z načrtom rednega periodičnega preverjanja načrt pripravi poslovodni organ vsaj na dve leti, tudi izredno posameznik ali skupina presojevalcev
za ustvarjalce arhivskega gradiva:
v skladu z načrtom rednega periodičnega preverjanja ali na podlagi strokovnega navodila pristojnega arhiva
letno preizkušeni revizor informacijskih sistemov
za ponudnike storitev:
v skladu z načrtom rednega periodičnega preverjanja vložitev zahtevka za akreditacijo storitve podaljšanje akreditacije redno (letno), izredno Arhiv RS v sodelovanju s preizkušenimi revizorji
informacijskih sistemov
Preverjanje izvajanja
notranje
zunanje
Notranja pravila
zunanje
presoja skladnosti z NP ter delovanja informacijskega sistema za e-hrambo
načrt presoje – merila oz. kontrole za presojo
odgovorne osebe izvajanje (notranja oz. zunanja presoja) presoja na podlagi dokazil:
– razgovori z odgovornimi osebami – vpogled v dokumentacijo – vpogled v aplikacijo – izvajanje preizkusnih transakcij – …
Preverjanje izvajanja - kako
Notranja pravila
Vzrok, povod:
ugotovitev pomanjkljivosti pri nadzoru spoznanja stroke spremembe veljavnih predpisov spremembe notranje organizacije tehnološki napredek
NP omogočajo proaktiven in dolgoročen pristop.
Spreminjanje, dopolnjevanje NP
Notranja pravila
4. del Določbe v NP o infrastrukturi informacijskega sistema za e-hrambo (informacijska varnost)
Zakaj informacijska varnost?
zahteve zakonodaje zmanjševanje tveganj
– da ciljev hrambe ne bomo dosegli zmanjševanje stroškov
– preprečevanje škode
varovanje osebnih podatkov in drugih oblik tajnosti
o zaupni podatek (razglašen za uradno/poslovno/poklicno tajnost)
o osebni podatek (se nanaša na posameznika...)
o tajni podatek (določen, če z njegovim razkritjem lahko nastale škodljive
posledice za varnost države ali za njene politične ali gospodarske koristi…)
Informacijska varnost
Zaupnost varovanje poslovnih in osebnih podatkov ter drugih občutljivih podatkov pred razkritji Neokrnjenost varovanje podatkov pred neavtoriziranim ustvarjenjem, spreminjanjem ali brisanjem
Razpoložljivost varovanje podatkov in servisov pred prekinitvami v delovanju, zagotavljanje podatkov pooblaščenim uporabnikom v času in na način, kot jih potrebujejo,
Osnovni principi informacijske varnosti
Informacijska varnost
upoštevanje zakonodaje upoštevanje standardov
– ISO27001 pokriva 11 področij informacijske varnostne politike
upoštevanje dobrih praks
uvedba celovitega in učinkovitega sistema upravljanja varovanja informacij – organizacijski ukrepi – tehnološki ukrepi
Kako zagotavljati informacijsko varnost?
Informacijska varnost
Določanje postopkov, odgovornosti, dokumentiranje.
redno revidirana ocena tveganja določitev odgovorne osebe (poroča vodstvu) sprejem ustreznih načel varovanja, ki so zapisana v
hierarhično organizirani varnostni dokumentaciji dvig varnostne kulture zaposlenih in poslovnih partnerjev uvajanje nalog s področja varovanja informacij v poslovne
procese organizacije jasna razmejitev odgovornosti in dolžnosti za postopke in
sredstva upravljanje z varnostnimi dogodki - incidenti (vdori, virusi…) …
Organizacijski ukrepi
Informacijska varnost
implementacija varnostnih tehnologij: nastavljanje varnostnih parametrov v opremi varnostno kopiranje, oddaljene lokacije protivirusna zaščita požarni zid (firewall), ločevanje odsekov mreže sistemi za nadzor dostopa do sistemov in mrež (pametne
kartice, generatorji gesel za enkratno uporabo) varni elektronski podpis uvajanje sistemov fizične varnosti (alarmi, video nadzor,
pristopne kontrole) zagotovitev visoke razpoložljivosti sistema navidezno zasebno omrežje (VPN) …
Tehnološki ukrepi
Informacijska varnost
mora biti integralni del notranje organizacije politika varovanja informacij
– cilj, obseg, podpora vodstva – opredelitev (dokumentiranost)
ukrepov in postopkov varovanja informacij odgovornosti …
implementacija – poslovnik, politika, pravilniki, navodila, postopki – politika varovanja informacij
sistemizacija – opredeliti odgovornosti zaposlenih s področja varovanja
informacij – ločevanje nalog
Organiziranost varovanja informacij
Informacijska varnost
Upravljanje informacijskih sredstev
Zmanjševanje tveganj, poveznih z informacijskimi sredstvi: popis
vseh pomembnih informacijskih virov varnostna razvrstitev
v skladu z oceno tveganj in občutljivostjo gradiva odgovornosti za varovanje
(skrbniki virov ali skupin) pravila za ravnanje
(nabava, hrambo, prenos, nadzor uporabe, uničenje)
ETZ&Informacijska varnost
Zmanjševanje tveganj, poveznih z zaposlenimi: razmejitev nalog, dodelitev pooblastil in uporabniških pravic
za delo v skladu z delovnimi nalogami postopek ob zamenjavi dela, prekinitvi delovnega razmerja
(rednega ali pogodbenega) redno usposabljanje za delo in varovanje informacij izjava o zaupnosti oz. varovanju informacij opredelitev disciplinskega postopka
Varnost in človeški viri
ETZ&Informacijska varnost
Zmanjševanje tveganj, poveznih s prostori in opremo: Prostori opredelitev varovanega območja
- v skladu s pomembnostjo in ranljivostjo informacijskih virov omejen in nadzorovan fizični dostop
- v posamezna varovana območja zaščite pred okoljskimi nevarnostmi
- požar, izlitje ali vdor vode, nenadne spremembe temperature ali vlage, itd.
Oprema varna odstranitev vzdrževanje
Fizično in tehnično varovanje opreme in prostorov
ETZ&Informacijska varnost
Zmanjševanje tveganj, poveznih z nepooblaščenimi dostopi: uporabniške pravice
– opredeljen postopek za dodeljevanje in odvzem (avtorizacija), – politika gesel
dostop do sistemov – v skladu z zahtevami veljavnih predpisov (npr. ZVOP-1, ZTP,..) – samo kompetentni posamezniki z ustreznimi pooblastili za
dostop in uporabo, v skladu z nalogami uporabnikov – avtentikacija uporabnika, preverjanje identitete
kontrole dostopa – medsebojno usklajene do posameznih ravni
(računalniška mreža, operacijski sistem, v aplikacijski sistem) – identifikacija osebe – ugotavljanje identitete
Obvladovanje dostopov do inf. sistema
ETZ&Informacijska varnost
spremljanje in nadzor delovanja računalniškega sistema – informacije o strojni in programski opremi – postopki in zapisi o rednem spremljanju in nadzoru – tehnična in uporabniška dokumentacija
zaščita – pred zlonamerno programsko opremo – pred vsiljivci
samodejna izdelava revizijske sledi – avtomatični računalniški dnevniki
postopek upravljanja s spremembami – zahtevek za spremembo – analiza vplivov – odobritev – testiranje – implementacija v produkciji
Upravljanje komunikacijske infrastrukture in operativno delovanje
ETZ&Informacijska varnost
Vzpostavljen sistem, ki zagotavlja redno beleženje in obravnavo vseh dogodkov v informacijskem sistemu:
poročanje o zaznanih varnostnih dogodkih s strani zaposlenih avtomatsko spremljanje dogodkov v okviru računalniških
sistemov
evidentiranje varnostnih dogodkov zavarovanje in hrambo dokazov
ukrepanje ob dogodkih v skladu z naravo dogodka in možnimi
vplivi na varnost sistemov in gradiv v hrambi beleženje izvedenih ukrepov reden pregled in analiza evidentiranih varnostnih dogodkov opredelitev načina poročanja o varnostnih dogodkih
Upravljanje varnostnih dogodkov
ETZ&Informacijska varnost
Zmanjševanje tveganj, poveznih z razvojem in uporabo aplikacij: RAZVOJ formalna metodologija razvoja informacijskih sistemov testiranje pred uporabo, dokumentiran postopek ločena okolja (razvojno, testno, operativno) upoštevati zahteve glede varovanja podatkov in
skladnost z zakonodajo
UPORABA zagotovljena dokumentacija (tehnična, uporabniška) ustrezno izobraževanje uporabnikov in skrbnikov postopek upravljanja s spremembami
Razvoj in vzdrževanje aplikacij
ETZ&Informacijska varnost
Zaščita organizacije pred učinki večjih okvar ali katastrof
Poudarek ETZ na ohranjanju gradiva: celovit načrt okrevanja
– omogoča obnovitev sistema in nadaljevanje poslovanja – letno preverjan, ažuriran
rezervna lokacija
– varnostne kopije, možnost obnove celotnega sistema+podatkov (oddaljena od osnovne lokacije najmanj 30km)
– za arhivsko gradivo: glavna lokacija + dodatna hramba na dveh geografsko oddaljenih lokacijah
usposobljeno osebje
– za ukrepanje v krizni situaciji
Zagotavljanje neprekinjenega poslovanja
ETZ&Informacijska varnost
obvezna ocena tveganja tudi tu brez odstopanja od varnostne politike! možnost menjave izvajalca
pogodba raven storitev (SLA) opredelitev in razdelitev odgovornosti varovanje podatkov določila glede zagotovitve neprekinjenega poslovanja pravica do redne revizije
Naročanje storitev pri zunanjem izvajalcu
ETZ&Informacijska varnost
…
