Temeljna načela za izvajanje e

Transcription

Temeljna načela za izvajanje e
Strokovno usposabljanje za uslužbence
javnopravnih oseb
Sklop: Elektronska hramba in elektronsko arhiviranje
Teme:
- osnovna načela
- kratkoročna in dolgoročna hramba
- nosilci in oblike zapisa
- pravna veljavnost gradiva v digitalni obliki in
notranja pravila
- informacijska infrastruktura in varnost
2. december 2014
Boris Domajnko
Arhiv RS
1
Temeljna načela za izvajanje e-hrambe

dostopnost
- ne izgubiti, ohranjati možnost dostopa
uporabnost
- možnost ogleda/reproduciranja, uporabe
- razumljivost, urejenost, metapodatki
celovitost
- obsega vse sestavne dele
- neokrnjenost, nespremenjenost
avtentičnost
- pristnost, izvirnost, ujemanje z originalom (prevod...)
- povezljivost z izvirnim gradivom oz. izvorom
trajnost (oz. ves čas predvidene hrambe)

za arhivsko gradivo: varovanje kulturnega spomenika




2
1
Primer: hramba datotek?
mapaA:\
mapaB:\
xy00001.pdf
xy00001.pdf
xy00002.pdf
xy00002.pdf
xy00003.pdf
xy00003.pdf
xy00004.pdf
xy00004.pdf
xy00005.pdf
xy00005.pdf
xy00006.pdf
xy00006.pdf
xy00007.pdf
xy00007.pdf
xy00008.pdf
xy00009.pdf
xy00009.tiff
xy00010.pdf
xy00010.pdf
xy00011.pdf
xy00011.pdf
xy00012.pdf
xy00012.pdf
xy00013.pdf
xy00013.pdf
xy00014.pdf
xy00014.pdf
xy00015.pdf
xy00015.pdf
xy00016.pdf
xy00016.pdf
xy00016a.pdf
3
Kratkoročna e-hramba
(do 5 let)
Zahteve:
–
–
–
–
učinkovito poslovanje - podpora delovnemu procesu
obvladovanje življenjskega cikla e-dokumenta
sledljivost in dokazljivost sprememb
..
Hramba:


produkcijski sistem
 računalniške mape
 dokumentni sistem
 rešitev v oblaku
varnostne kopije
4
2
5
Tehnološki izzivi
Dolgoročna e-hramba
(nad 5 let)
Zahteve:
–
–
–
–
zakonodaja ali poslovni interes
nespremenljivost
možnost iskanja
kvalitetni metapodatki (vsebinski in tehnični)
Hramba:
–
neprodukcijski sistem
 posebni sistemi za dolgoročno e-hrambo
e hrambo
 potrebna je priprava gradiva
popis
+
opis
+
gradivo
6
3
Vidiki dolgoročne e-hrambe
Pravni vidik



Organizacijski vidik
zakonske zahteve
ohranjanje dokumentov in njihove
dokazne vrednosti
…
kdo/kaj/kdaj
delovni postopki
usposobljenost
…




Finančni vidik
Tehnološki vidik








ranljivost e-gradiva
tehnične okvare
spreminjanje standardov, opreme
načini hrambe
dokazovanje celovitosti
…

stroški hrambe
šk d ob
škoda
b iizgubi
bi gradiva
di
…
7
Tehnološki izzivi
Primer: uporabnost semantično (pomensko) zastarevanje
TOZD1, 21
T2, 22
T3, 21
TOZD1
21
T2
22
T3
21
TOZD1 T2
T3
21
22
21
TOZD1
21
T2
T3
=A2+KONST =(A2+B2)/2
TOZD= Temeljna
organizacijo združenega dela
8
PRVOTNA
UPORABA
PODATKOV:
4
Primer: dokazovanje celovitosti
Digitalni prstni odtis - zgoščena vrednost (hash):
ea37c614441ab1656ae052cf7189605f4cf7c4d8 porocilo23.pdf
16fc46b2ba3008dbf16db2c1d9b7569a44eb51ba naslovi.pdf
db05d73e43686d0ae448ed52e370244ec3e3dcb6 clani.pdf
9
Tehnološki izzivi
Nosilec zapisa
Tveganja:
 propadanje - omejena življenjska doba
 zastaranje - spreminjanje tehnologije
Možna rešitev:
 hramba več kopij
 na različnih medijih, v stabilnem okolju
 redni p
pregledi
g
nosilcev
 prepisovanje informacij na nove nosilce zapisa pred
pričakovanim iztekom dobe trajanja starih ali menjavo
tehnologije
10
5
Tehnološki izzivi
Nosilec zapisa za dolgoročno e-hrambo

omogoča pogoje varne dolgoročne hrambe

razširjenost
široka podprtost s strojno in programsko opremo


…
Nosilec "v hiši" ali
…………
pri ponudniku?
11
Tehnološki izzivi
Primer: napaka na nosilcu
12
6
Tehnološki izzivi
Oblika zapisa - format za e-hrambo
Produkcijski formati:
-
mnogovrstni, za posamezne vrste gradiva
mnogovrstni
lastniški za specifične programske rešitve
Tveganja pri dolgoročni hrambi
-
izguba uporabnosti zaradi zastarevanja
(formatov, programske opreme)
zahtevno vzdrževanje
Možne rešitve:
-
ohranjanje tehnologije (HW/SW)
emulacija (simulacija HW)
migracija (pretvorba v novejši format)
13
Tehnološki izzivi
Oblika zapisa za dolgoročno e-hramba
(nad 5 let)
 razširjenost in uveljavljenost
 uporabnost
- po možnosti tudi obstoj odprtokodnih rešitev
- možnost pretvorbe v nove oblike
 neodvisnost
- od programske ali strojne opreme oziroma specifičnega okolja
 definiranost
- stabilni in odprti standardi
 dolgoročnost
- vsaj 10 let?
14
7
2. del
- Pravna veljavnost gradiva v digitalni obliki,
- notranja pravila
15
Pravna veljavnost
Pravna veljavnost gradiva v digitalni obliki
ZVDAGA pravno veljavnost in dokazno vrednost pogojuje z
– načinom zajema in
– hrambe dokumentarnega gradiva v digitalni obliki oz.
z dokazljivim izvajanjem notranjih pravil
"Notranja pravila zajema in hrambe dokumentarnega in
arhivskega gradiva v digitalni obliki "
16
8
Notranja pravila
Vsebina NP


Pravne podlage: ZVDAGA (8.-22.člen), UVDAG (3.-10. člen)
Vsebina: 5. člen UVDAG
I. SEZNAM ENOTNIH TEHNOLOŠKIH ZAHTEV
NOTRANJA PRAVILA IN ORGANIZACIJA
1.1 splošno o notranjih pravilih
1.2 notranja organizacija, vloge in usposobljenost osebja
ZAJEM IN E-HRAMBA TER SPREMLJEVALNE STORITVE
2.1 splošno o delovnih postopkih
2.2 priprava na zajem
2.3 zajem gradiva
2.4 pretvorba gradiva v obliko za dolgoročno e-hrambo
e hrambo
2.5 dolgoročna e-hramba in zavarovanje shranjenega gradiva pred izgubo
2.6 odbiranje in izročanje arhivskega gradiva v digitalni obliki ter sodelovanje s
pristojnim arhivom
2.7 izločanje in uničevanje dokumentarnega gradiva
INFORMACIJSKA VARNOST
INFORMACIJSKA OPREMA IN INFRASTRUKTURA
NAROČANJE STORITEV PRI ZUNANJEM IZVAJALCU
II. OBRAZLOŽITEV IN DODATNA POJASNILA
17
Notranja pravila
Oblike notranjih pravil

Lastna NP

Vzorčna NP
–
–
–
–
(20. člen ZVDAGA)
za istovrstne organizacije
za enako ali zelo podobno poslovanje
privzamemo jih kot svoja, brez sprememb ali dopolnitev
vsebina:




navodila za prevzem
ugotovitve faze predhodne priprave na zajem in e-hrambo
obrazložitev vzorčnih notranjih pravil
d k
dokumenti:
i





enotna pravila za varstvo gradiva
tehnična navodila
informacijska varnostna politika
načrt neprekinjenega poslovanja
ocena tveganj
18
9
Notranja pravila
Razmejitev notranjih pravil
 za lastno izvajanje (zajema, hrambe)

opredelimo
d li
tudi,
di k
katere aktivnosti
ki
ib
bo iizvajal
j l ponudnik
d ik ter
kdo in kako ga nadzira
 za izvajanje storitev kot ponudnik

zajema

hrambe

spremljevalnih storitev: odbiranje, pretvorba, urejanje,
uničevanje, zagotavljanje prostora…
Opredelitev
medsebojnih
odnosov naročnika in
ponudnika storitve
19
Notranja pravila
Prvi korak: Predhodna priprava na zajem
in hrambo
Poda odgovore na vprašanja:
–
Kateri del poslovanja bo urejen z NP?
–
Katere že doslej veljavne akte bi lahko uporabili?
–
Ali se bomo povezali s ponudnikom?
–
Kdo naj pripravi NP?
Vsebina:






analiza obstoječega stanja
d l č
določitev
zahtev
h
za e-hrambo,
h
b zakonodaja!
k
d
ocena tveganj in ukrepi za njihovo zmanjšanje
študija izvedljivosti e-hrambe
odločitev glede projekta e-hrambe
načrtovanje hrambe in vzpostavitve informacijskega
sistema
20
10
Notranja pravila
Projektna naloga projekta za zajem in ehrambo
1.
vzpostavitev projekta priprave NP
–
–
–
2.
p j
projektna
skupina
p
priprava plana projekta z definicijo obsega dela
predstavitev plana projekta vodstvu in odobritev
določitev vsebine in strukture notranjih pravil
–
–
seznam dokumentov
upoštevati strukturo Enotnih tehnoloških zahtev (ETZ) ali
postaviti svojo?
3
3.
izdelava
4.
ali so vzpostavljeni vsi pogoji za izvajanje?
potrditev s strani vodstva → interni pravni akt
vložitev zahteve za potrditev NP pri Arhivu RS
izvajanje + dopolnjevanje
5.
6.
7.
21
Notranja pravila
Vsebino opredeljuje II. del ETZ
22
11
Primer besedila – ali nam kaj pomaga??
zahteva ETZ 2.5.2.4
Organizacija mora imeti vzpostavljen postopek
prenosa varnostnih kopij na oddaljeno mesto in za to
določene odgovorne osebe.
primer iz NP:
Vzpostavljen je postopek prenosa varnostnih kopij
na oddaljeno mesto in za to določene odgovorne
osebe.
23
Notranja pravila
Izdelava NP – opis delovnih postopkov

Določimo procese/postopke

za vsak postopek:
(npr. zajem gradiva, pretvorbo, …)
določimo/opredelimo/opišemo
–
–
–
–
–
–
opis/navodilo
vhodi/izhodi
vzpostavljene kontrole, pogostost in način izvajanja
ukrepe ob napakah
odgovorno osebo (akt o sistemizaciji delovnih mest, sklep,
ipd.)
dokumentacijo (dokazila, revizijska sled), ki nastaja pri
izvajanju postopkov
 npr. zapisniki, dnevniki, evidence
24
12
usposobljenost
kontrola kvalitete
25
Notranja pravila
Preverjanje izvajanja - kako
presoja skladnosti z NP

načrt presoje
–



merila oz. kontrole za presojo
odgovorne osebe
izvajanje (notranja oz. zunanja presoja)
presoja na podlagi dokazil:
–
–
–
–
–
razgovori z odgovornimi osebami
vpogled v dokumentacijo
vpogled v aplikacijo
izvajanje preizkusnih transakcij
…
26
13
27
Notranja pravila
Spreminjanje, dopolnjevanje NP
Vzrok, povod:





ugotovljene pomanjkljivosti pri nadzoru
nova spoznanja stroke
spremembe veljavnih predpisov
spremembe notranje organizacije
tehnološki napredek
NP omogočajo
č
proaktiven in dolgoročen
č
pristop.
28
14
3. del
Informacijska varnost
Določbe v NP o infrastrukturi informacijskega
sistema
29
Informacijska varnost
Zakaj informacijska varnost?

zahteve zakonodaje
zmanjševanje stroškov

zmanjševanje tveganj

–
–

preprečevanje škode
da ciljev hrambe ne bomo dosegli
varovanje podatkov
o osebni podatek
se nanaša na posameznika... (ZVOP, ...)
o
zaupnii podatek
d
k
razglašen za uradno/poslovno/poklicno tajnost (področna zakonodaja, pravilniki)
o
tajni podatek
določen, če z njegovim razkritjem lahko nastale škodljive posledice za varnost
države ali za njene politične ali gospodarske koristi… (ZTP,...)
30
15
Informacijska varnost
Osnovni principi informacijske varnosti
Neokrnjenost
varovanje podatkov pred neavtoriziranim ustvarjenjem,
spreminjanjem ali brisanjem
Zaupnost
varovanje poslovnih, osebnih ter drugih občutljivih podatkov
pred razkritji
Razpoložljivost
- varovanje podatkov in programov pred prekinitvami v
delovanju, zagotavljanje podatkov pooblaščenim uporabnikom
v času in na način, kot jih potrebujejo
- možnost dostopa (lahko trenutno ni na voljo)
31
Informacijska varnost
Kako zagotavljati informacijsko varnost?

upoštevanje zakonodaje

upoštevanje standardov
–

ISO27001 pokriva 11 področij informacijske varnostne politike
upoštevanje dobrih praks
g in učinkovitega
g sistema upravljanja
p
j j
Uvedba celovitega
varovanja informacij
–
–
organizacijski ukrepi
tehnološki ukrepi
32
16
Informacijska varnost
Organizacijski ukrepi
Določanje postopkov, odgovornosti, dokumentiranje.








ocena tveganja - redno revidirana
načela varovanja - sprejeta, zapisana v hierarhično
organizirani varnostni dokumentaciji
odgovorne osebe - določene, poročajo vodstvu
dvig varnostne kulture zaposlenih in poslovnih partnerjev
uvajanje nalog s področja varovanja informacij v poslovne
procese
p
ocese organizacije
o ga ac je
odgovornosti jasno razmejene, dolžnosti za postopke in
sredstva
upravljanje z varnostnimi dogodki - incidenti (vdori, virusi…)
…
33
Informacijska varnost
Tehnološki ukrepi
implementacija varnostnih tehnologij:
za zaščito sistemov, podatkov, dostopov, komunikacij
 nastavljanje varnostnih parametrov v opremi
 varnostno kopiranje
 protivirusna zaščita
 požarni zid (firewall), ločevanje odsekov mreže
 sistemi za nadzor dostopa do sistemov in mrež (pametne
kartice, generatorji gesel za enkratno uporabo)
 varni elektronski p
podpis
p
 uvajanje sistemov fizične varnosti (alarmi, video nadzor,
pristopne kontrole)
 zagotavljanje visoke razpoložljivosti sistema
 navidezno zasebno omrežje (VPN)
 …
34
17
Informacijska varnost
Primer: Zaščita podatkov
35
Informacijska varnost
Varnostne grožnje


socialni inženiring (prevare)
napadi
di na spletne
l t
strani
t
i
–

lažni programi
–


kraja podatkov, onemogočenje, izsiljevanje,
povzročanje škode
lovljenje informacij - ribarjenje (phishing)
virusi, črvi
"vohunski" programi (spyware)
–
–
–
–
trojanski konji (zadnja vrata) - dostop, kraja, …
spremljanje delovanja sistema
prikaz reklam (adware)
sledilni piškotki (tracking cookies)
36
18
Informacijska varnost
Varnost: zaščita



ozaveščenost uporabnikov
p
ter jjasna p
pravila
protivirusna zaščita
zapiranje varnostnih lukenj
–



v programih, sistemih, procesih, ..
pravila glede uporabe prenosnih medijev
posodabljanje programov
pravila glede inštalacij programske opreme
37
Informacijska varnost
Organiziranost varovanja informacij

mora biti integralni del notranje organizacije

politika varovanja informacij
– cilj, obseg
– dokumentirana



ukrepi in postopki varovanja informacij
odgovornost
…
implementacija
– p
poslovnik,, politika,
p
, pravilniki,
p
, navodila,, postopki
p
p
 sistemizacija
– opredeliti odgovornosti zaposlenih s področja varovanja
informacij
– ločevanje nalog

38
19
ETZ&Informacijska varnost
Upravljanje informacijskih sredstev
Zmanjševanje tveganj, poveznih z informacijskimi sredstvi:
popis
vseh pomembnih informacijskih virov
 varnostna razvrstitev
v skladu z oceno tveganj in občutljivostjo gradiva
 odgovornosti za varovanje
skrbniki virov ali skupin
 p
pravila za ravnanje
j
nabava, hrambo, prenos, nadzor uporabe, uničenje

BYOD
39
ETZ&Informacijska varnost
Varnost in človeški viri
Zmanjševanje tveganj, poveznih z zaposlenimi:

razmejitev nalog

dodelitev pooblastil in uporabniških pravic za delo v skladu z
delovnimi nalogami

postopek ob zamenjavi dela, prekinitvi delovnega razmerja
(rednega ali pogodbenega)

redno usposabljanje za delo in varovanje informacij

izjava o zaupnosti oz. varovanju informacij

opredelitev disciplinskega postopka
40
20
ETZ&Informacijska varnost
Fizično in tehnično varovanje opreme in
prostorov
Zmanjševanje tveganj, poveznih s prostori in opremo:
Prostori
 opredelitev varovanega območja
- v skladu s pomembnostjo in ranljivostjo informacijskih virov
 omejen in nadzorovan fizični dostop
- v posamezna varovana območja
 zaščite pred okoljskimi nevarnostmi
- požar, izlitje ali vdor vode, nenadne
spremembe temperature ali vlage, itd.
41
ETZ&Informacijska varnost
Fizično in tehnično varovanje opreme in
prostorov
Zmanjševanje tveganj, poveznih s prostori in opremo:
Oprema
 varna odstranitev
 vzdrževanje
42
21
ETZ&Informacijska varnost
Obvladovanje dostopov do inf. sistema
Zmanjševanje tveganj, poveznih z nepooblaščenimi dostopi:
uporabniške pravice
–
–
opredeljen postopek za dodeljevanje in odvzem (avtorizacija),
politika gesel
dostop do sistemov
–
–
–
v skladu z zahtevami veljavnih predpisov (npr. ZVOP-1, ZTP,..)
samo kompetentni posamezniki z ustreznimi pooblastili za
dostop in uporabo, v skladu z nalogami uporabnikov
avtentikacija uporabnika, preverjanje identitete
kontrole dostopa
–
–
medsebojno usklajene do posameznih ravni
(računalniška mreža, operacijski sistem, v aplikacijski sistem)
identifikacija osebe – ugotavljanje identitete
43
ETZ&Informacijska varnost
Upravljanje komunikacijske infrastrukture
in operativno delovanje
spremljanje in nadzor delovanja računalniškega sistema
–
–
–
informacije
j o strojni
j in p
programski
g
opremi
p
postopki in zapisi o rednem spremljanju in nadzoru
tehnična in uporabniška dokumentacija
zaščita
–
–
pred zlonamerno programsko opremo
pred vsiljivci
samodejna izdelava revizijske sledi
–
avtomatični računalniški dnevniki
postopek
t
k upravljanja
lj j s spremembami
b
i
–
–
–
–
–
zahtevek za spremembo
analiza vplivov
odobritev
testiranje
implementacija v produkciji
44
22
Revizijska sled - primer
Oct 21 16:53:15 serverabc audispd: type=USER_LOGIN
msg=audit(1382367195.932:6613725):
g
(
)
msg='acct="domajnko": addr=10.0.92.78, res=failed)'
45
ETZ&Informacijska varnost
Upravljanje varnostnih dogodkov
Vzpostavljen sistem, ki zagotavlja redno beleženje in obravnavo
vseh dogodkov v informacijskem sistemu:




poročanje o zaznanih varnostnih dogodkih s strani zaposlenih
avtomatsko spremljanje dogodkov v okviru računalniških
sistemov
evidentiranje varnostnih dogodkov
zavarovanje in hrambo dokazov
ukrepanje ob dogodkih v skladu z naravo dogodka in možnimi
vplivi na varnost sistemov in gradiv v hrambi
 beleženje izvedenih ukrepov
 reden pregled in analiza evidentiranih varnostnih dogodkov
 opredelitev načina poročanja o varnostnih dogodkih

46
23
ETZ&Informacijska varnost
Razvoj in vzdrževanje aplikacij
Zmanjševanje tveganj, poveznih z razvojem in uporabo aplikacij:
RAZVOJ
 formalna metodologija razvoja informacijskih sistemov
 testiranje pred uporabo, dokumentiran postopek
 ločena okolja (razvojno, testno, operativno)
 upoštevati zahteve glede varovanja podatkov in
skladnost z zakonodajo
UPORABA
 zagotovljena dokumentacija (tehnična, uporabniška)
 ustrezno izobraževanje uporabnikov in skrbnikov
 postopek upravljanja s spremembami
47
ETZ&Informacijska varnost
Zagotavljanje neprekinjenega poslovanja
Zaščita organizacije pred učinki večjih okvar ali katastrof
Po da ek na ohranjanju
Poudarek
oh anjanj gradiva:
g adi a

celovit načrt okrevanja
–
–

rezervna lokacija
–
–

omogoča obnovitev sistema in nadaljevanje poslovanja
letno preverjan, ažuriran
varnostne kopije, možnost obnove celotnega sistema+podatkov
(oddaljena od osnovne lokacije najmanj 30km)
za arhivsko gradivo: glavna lokacija + dodatna hramba
na dveh geografsko oddaljenih lokacijah
usposobljeno osebje
–
za ukrepanje v krizni situaciji
48
24
ETZ&Informacijska varnost
Naročanje storitev pri zunanjem izvajalcu

obvezna ocena tveganja



tudi tu brez odstopanja od varnostne politike!
možnost menjave izvajalca
pogodba





raven storitev
opredelitev in razdelitev odgovornosti
varovanje podatkov
določila glede zagotovitve neprekinjenega poslovanja
pravica do redne revizije
…
49
Hvala za pozornost!
mag. Boris Domajnko
boris.domajnko@gov.si
50
25