Temeljna načela za izvajanje e
Transcription
Temeljna načela za izvajanje e
Strokovno usposabljanje za uslužbence javnopravnih oseb Sklop: Elektronska hramba in elektronsko arhiviranje Teme: - osnovna načela - kratkoročna in dolgoročna hramba - nosilci in oblike zapisa - pravna veljavnost gradiva v digitalni obliki in notranja pravila - informacijska infrastruktura in varnost 2. december 2014 Boris Domajnko Arhiv RS 1 Temeljna načela za izvajanje e-hrambe dostopnost - ne izgubiti, ohranjati možnost dostopa uporabnost - možnost ogleda/reproduciranja, uporabe - razumljivost, urejenost, metapodatki celovitost - obsega vse sestavne dele - neokrnjenost, nespremenjenost avtentičnost - pristnost, izvirnost, ujemanje z originalom (prevod...) - povezljivost z izvirnim gradivom oz. izvorom trajnost (oz. ves čas predvidene hrambe) za arhivsko gradivo: varovanje kulturnega spomenika 2 1 Primer: hramba datotek? mapaA:\ mapaB:\ xy00001.pdf xy00001.pdf xy00002.pdf xy00002.pdf xy00003.pdf xy00003.pdf xy00004.pdf xy00004.pdf xy00005.pdf xy00005.pdf xy00006.pdf xy00006.pdf xy00007.pdf xy00007.pdf xy00008.pdf xy00009.pdf xy00009.tiff xy00010.pdf xy00010.pdf xy00011.pdf xy00011.pdf xy00012.pdf xy00012.pdf xy00013.pdf xy00013.pdf xy00014.pdf xy00014.pdf xy00015.pdf xy00015.pdf xy00016.pdf xy00016.pdf xy00016a.pdf 3 Kratkoročna e-hramba (do 5 let) Zahteve: – – – – učinkovito poslovanje - podpora delovnemu procesu obvladovanje življenjskega cikla e-dokumenta sledljivost in dokazljivost sprememb .. Hramba: produkcijski sistem računalniške mape dokumentni sistem rešitev v oblaku varnostne kopije 4 2 5 Tehnološki izzivi Dolgoročna e-hramba (nad 5 let) Zahteve: – – – – zakonodaja ali poslovni interes nespremenljivost možnost iskanja kvalitetni metapodatki (vsebinski in tehnični) Hramba: – neprodukcijski sistem posebni sistemi za dolgoročno e-hrambo e hrambo potrebna je priprava gradiva popis + opis + gradivo 6 3 Vidiki dolgoročne e-hrambe Pravni vidik Organizacijski vidik zakonske zahteve ohranjanje dokumentov in njihove dokazne vrednosti … kdo/kaj/kdaj delovni postopki usposobljenost … Finančni vidik Tehnološki vidik ranljivost e-gradiva tehnične okvare spreminjanje standardov, opreme načini hrambe dokazovanje celovitosti … stroški hrambe šk d ob škoda b iizgubi bi gradiva di … 7 Tehnološki izzivi Primer: uporabnost semantično (pomensko) zastarevanje TOZD1, 21 T2, 22 T3, 21 TOZD1 21 T2 22 T3 21 TOZD1 T2 T3 21 22 21 TOZD1 21 T2 T3 =A2+KONST =(A2+B2)/2 TOZD= Temeljna organizacijo združenega dela 8 PRVOTNA UPORABA PODATKOV: 4 Primer: dokazovanje celovitosti Digitalni prstni odtis - zgoščena vrednost (hash): ea37c614441ab1656ae052cf7189605f4cf7c4d8 porocilo23.pdf 16fc46b2ba3008dbf16db2c1d9b7569a44eb51ba naslovi.pdf db05d73e43686d0ae448ed52e370244ec3e3dcb6 clani.pdf 9 Tehnološki izzivi Nosilec zapisa Tveganja: propadanje - omejena življenjska doba zastaranje - spreminjanje tehnologije Možna rešitev: hramba več kopij na različnih medijih, v stabilnem okolju redni p pregledi g nosilcev prepisovanje informacij na nove nosilce zapisa pred pričakovanim iztekom dobe trajanja starih ali menjavo tehnologije 10 5 Tehnološki izzivi Nosilec zapisa za dolgoročno e-hrambo omogoča pogoje varne dolgoročne hrambe razširjenost široka podprtost s strojno in programsko opremo … Nosilec "v hiši" ali ………… pri ponudniku? 11 Tehnološki izzivi Primer: napaka na nosilcu 12 6 Tehnološki izzivi Oblika zapisa - format za e-hrambo Produkcijski formati: - mnogovrstni, za posamezne vrste gradiva mnogovrstni lastniški za specifične programske rešitve Tveganja pri dolgoročni hrambi - izguba uporabnosti zaradi zastarevanja (formatov, programske opreme) zahtevno vzdrževanje Možne rešitve: - ohranjanje tehnologije (HW/SW) emulacija (simulacija HW) migracija (pretvorba v novejši format) 13 Tehnološki izzivi Oblika zapisa za dolgoročno e-hramba (nad 5 let) razširjenost in uveljavljenost uporabnost - po možnosti tudi obstoj odprtokodnih rešitev - možnost pretvorbe v nove oblike neodvisnost - od programske ali strojne opreme oziroma specifičnega okolja definiranost - stabilni in odprti standardi dolgoročnost - vsaj 10 let? 14 7 2. del - Pravna veljavnost gradiva v digitalni obliki, - notranja pravila 15 Pravna veljavnost Pravna veljavnost gradiva v digitalni obliki ZVDAGA pravno veljavnost in dokazno vrednost pogojuje z – načinom zajema in – hrambe dokumentarnega gradiva v digitalni obliki oz. z dokazljivim izvajanjem notranjih pravil "Notranja pravila zajema in hrambe dokumentarnega in arhivskega gradiva v digitalni obliki " 16 8 Notranja pravila Vsebina NP Pravne podlage: ZVDAGA (8.-22.člen), UVDAG (3.-10. člen) Vsebina: 5. člen UVDAG I. SEZNAM ENOTNIH TEHNOLOŠKIH ZAHTEV NOTRANJA PRAVILA IN ORGANIZACIJA 1.1 splošno o notranjih pravilih 1.2 notranja organizacija, vloge in usposobljenost osebja ZAJEM IN E-HRAMBA TER SPREMLJEVALNE STORITVE 2.1 splošno o delovnih postopkih 2.2 priprava na zajem 2.3 zajem gradiva 2.4 pretvorba gradiva v obliko za dolgoročno e-hrambo e hrambo 2.5 dolgoročna e-hramba in zavarovanje shranjenega gradiva pred izgubo 2.6 odbiranje in izročanje arhivskega gradiva v digitalni obliki ter sodelovanje s pristojnim arhivom 2.7 izločanje in uničevanje dokumentarnega gradiva INFORMACIJSKA VARNOST INFORMACIJSKA OPREMA IN INFRASTRUKTURA NAROČANJE STORITEV PRI ZUNANJEM IZVAJALCU II. OBRAZLOŽITEV IN DODATNA POJASNILA 17 Notranja pravila Oblike notranjih pravil Lastna NP Vzorčna NP – – – – (20. člen ZVDAGA) za istovrstne organizacije za enako ali zelo podobno poslovanje privzamemo jih kot svoja, brez sprememb ali dopolnitev vsebina: navodila za prevzem ugotovitve faze predhodne priprave na zajem in e-hrambo obrazložitev vzorčnih notranjih pravil d k dokumenti: i enotna pravila za varstvo gradiva tehnična navodila informacijska varnostna politika načrt neprekinjenega poslovanja ocena tveganj 18 9 Notranja pravila Razmejitev notranjih pravil za lastno izvajanje (zajema, hrambe) opredelimo d li tudi, di k katere aktivnosti ki ib bo iizvajal j l ponudnik d ik ter kdo in kako ga nadzira za izvajanje storitev kot ponudnik zajema hrambe spremljevalnih storitev: odbiranje, pretvorba, urejanje, uničevanje, zagotavljanje prostora… Opredelitev medsebojnih odnosov naročnika in ponudnika storitve 19 Notranja pravila Prvi korak: Predhodna priprava na zajem in hrambo Poda odgovore na vprašanja: – Kateri del poslovanja bo urejen z NP? – Katere že doslej veljavne akte bi lahko uporabili? – Ali se bomo povezali s ponudnikom? – Kdo naj pripravi NP? Vsebina: analiza obstoječega stanja d l č določitev zahtev h za e-hrambo, h b zakonodaja! k d ocena tveganj in ukrepi za njihovo zmanjšanje študija izvedljivosti e-hrambe odločitev glede projekta e-hrambe načrtovanje hrambe in vzpostavitve informacijskega sistema 20 10 Notranja pravila Projektna naloga projekta za zajem in ehrambo 1. vzpostavitev projekta priprave NP – – – 2. p j projektna skupina p priprava plana projekta z definicijo obsega dela predstavitev plana projekta vodstvu in odobritev določitev vsebine in strukture notranjih pravil – – seznam dokumentov upoštevati strukturo Enotnih tehnoloških zahtev (ETZ) ali postaviti svojo? 3 3. izdelava 4. ali so vzpostavljeni vsi pogoji za izvajanje? potrditev s strani vodstva → interni pravni akt vložitev zahteve za potrditev NP pri Arhivu RS izvajanje + dopolnjevanje 5. 6. 7. 21 Notranja pravila Vsebino opredeljuje II. del ETZ 22 11 Primer besedila – ali nam kaj pomaga?? zahteva ETZ 2.5.2.4 Organizacija mora imeti vzpostavljen postopek prenosa varnostnih kopij na oddaljeno mesto in za to določene odgovorne osebe. primer iz NP: Vzpostavljen je postopek prenosa varnostnih kopij na oddaljeno mesto in za to določene odgovorne osebe. 23 Notranja pravila Izdelava NP – opis delovnih postopkov Določimo procese/postopke za vsak postopek: (npr. zajem gradiva, pretvorbo, …) določimo/opredelimo/opišemo – – – – – – opis/navodilo vhodi/izhodi vzpostavljene kontrole, pogostost in način izvajanja ukrepe ob napakah odgovorno osebo (akt o sistemizaciji delovnih mest, sklep, ipd.) dokumentacijo (dokazila, revizijska sled), ki nastaja pri izvajanju postopkov npr. zapisniki, dnevniki, evidence 24 12 usposobljenost kontrola kvalitete 25 Notranja pravila Preverjanje izvajanja - kako presoja skladnosti z NP načrt presoje – merila oz. kontrole za presojo odgovorne osebe izvajanje (notranja oz. zunanja presoja) presoja na podlagi dokazil: – – – – – razgovori z odgovornimi osebami vpogled v dokumentacijo vpogled v aplikacijo izvajanje preizkusnih transakcij … 26 13 27 Notranja pravila Spreminjanje, dopolnjevanje NP Vzrok, povod: ugotovljene pomanjkljivosti pri nadzoru nova spoznanja stroke spremembe veljavnih predpisov spremembe notranje organizacije tehnološki napredek NP omogočajo č proaktiven in dolgoročen č pristop. 28 14 3. del Informacijska varnost Določbe v NP o infrastrukturi informacijskega sistema 29 Informacijska varnost Zakaj informacijska varnost? zahteve zakonodaje zmanjševanje stroškov zmanjševanje tveganj – – preprečevanje škode da ciljev hrambe ne bomo dosegli varovanje podatkov o osebni podatek se nanaša na posameznika... (ZVOP, ...) o zaupnii podatek d k razglašen za uradno/poslovno/poklicno tajnost (področna zakonodaja, pravilniki) o tajni podatek določen, če z njegovim razkritjem lahko nastale škodljive posledice za varnost države ali za njene politične ali gospodarske koristi… (ZTP,...) 30 15 Informacijska varnost Osnovni principi informacijske varnosti Neokrnjenost varovanje podatkov pred neavtoriziranim ustvarjenjem, spreminjanjem ali brisanjem Zaupnost varovanje poslovnih, osebnih ter drugih občutljivih podatkov pred razkritji Razpoložljivost - varovanje podatkov in programov pred prekinitvami v delovanju, zagotavljanje podatkov pooblaščenim uporabnikom v času in na način, kot jih potrebujejo - možnost dostopa (lahko trenutno ni na voljo) 31 Informacijska varnost Kako zagotavljati informacijsko varnost? upoštevanje zakonodaje upoštevanje standardov – ISO27001 pokriva 11 področij informacijske varnostne politike upoštevanje dobrih praks g in učinkovitega g sistema upravljanja p j j Uvedba celovitega varovanja informacij – – organizacijski ukrepi tehnološki ukrepi 32 16 Informacijska varnost Organizacijski ukrepi Določanje postopkov, odgovornosti, dokumentiranje. ocena tveganja - redno revidirana načela varovanja - sprejeta, zapisana v hierarhično organizirani varnostni dokumentaciji odgovorne osebe - določene, poročajo vodstvu dvig varnostne kulture zaposlenih in poslovnih partnerjev uvajanje nalog s področja varovanja informacij v poslovne procese p ocese organizacije o ga ac je odgovornosti jasno razmejene, dolžnosti za postopke in sredstva upravljanje z varnostnimi dogodki - incidenti (vdori, virusi…) … 33 Informacijska varnost Tehnološki ukrepi implementacija varnostnih tehnologij: za zaščito sistemov, podatkov, dostopov, komunikacij nastavljanje varnostnih parametrov v opremi varnostno kopiranje protivirusna zaščita požarni zid (firewall), ločevanje odsekov mreže sistemi za nadzor dostopa do sistemov in mrež (pametne kartice, generatorji gesel za enkratno uporabo) varni elektronski p podpis p uvajanje sistemov fizične varnosti (alarmi, video nadzor, pristopne kontrole) zagotavljanje visoke razpoložljivosti sistema navidezno zasebno omrežje (VPN) … 34 17 Informacijska varnost Primer: Zaščita podatkov 35 Informacijska varnost Varnostne grožnje socialni inženiring (prevare) napadi di na spletne l t strani t i – lažni programi – kraja podatkov, onemogočenje, izsiljevanje, povzročanje škode lovljenje informacij - ribarjenje (phishing) virusi, črvi "vohunski" programi (spyware) – – – – trojanski konji (zadnja vrata) - dostop, kraja, … spremljanje delovanja sistema prikaz reklam (adware) sledilni piškotki (tracking cookies) 36 18 Informacijska varnost Varnost: zaščita ozaveščenost uporabnikov p ter jjasna p pravila protivirusna zaščita zapiranje varnostnih lukenj – v programih, sistemih, procesih, .. pravila glede uporabe prenosnih medijev posodabljanje programov pravila glede inštalacij programske opreme 37 Informacijska varnost Organiziranost varovanja informacij mora biti integralni del notranje organizacije politika varovanja informacij – cilj, obseg – dokumentirana ukrepi in postopki varovanja informacij odgovornost … implementacija – p poslovnik,, politika, p , pravilniki, p , navodila,, postopki p p sistemizacija – opredeliti odgovornosti zaposlenih s področja varovanja informacij – ločevanje nalog 38 19 ETZ&Informacijska varnost Upravljanje informacijskih sredstev Zmanjševanje tveganj, poveznih z informacijskimi sredstvi: popis vseh pomembnih informacijskih virov varnostna razvrstitev v skladu z oceno tveganj in občutljivostjo gradiva odgovornosti za varovanje skrbniki virov ali skupin p pravila za ravnanje j nabava, hrambo, prenos, nadzor uporabe, uničenje BYOD 39 ETZ&Informacijska varnost Varnost in človeški viri Zmanjševanje tveganj, poveznih z zaposlenimi: razmejitev nalog dodelitev pooblastil in uporabniških pravic za delo v skladu z delovnimi nalogami postopek ob zamenjavi dela, prekinitvi delovnega razmerja (rednega ali pogodbenega) redno usposabljanje za delo in varovanje informacij izjava o zaupnosti oz. varovanju informacij opredelitev disciplinskega postopka 40 20 ETZ&Informacijska varnost Fizično in tehnično varovanje opreme in prostorov Zmanjševanje tveganj, poveznih s prostori in opremo: Prostori opredelitev varovanega območja - v skladu s pomembnostjo in ranljivostjo informacijskih virov omejen in nadzorovan fizični dostop - v posamezna varovana območja zaščite pred okoljskimi nevarnostmi - požar, izlitje ali vdor vode, nenadne spremembe temperature ali vlage, itd. 41 ETZ&Informacijska varnost Fizično in tehnično varovanje opreme in prostorov Zmanjševanje tveganj, poveznih s prostori in opremo: Oprema varna odstranitev vzdrževanje 42 21 ETZ&Informacijska varnost Obvladovanje dostopov do inf. sistema Zmanjševanje tveganj, poveznih z nepooblaščenimi dostopi: uporabniške pravice – – opredeljen postopek za dodeljevanje in odvzem (avtorizacija), politika gesel dostop do sistemov – – – v skladu z zahtevami veljavnih predpisov (npr. ZVOP-1, ZTP,..) samo kompetentni posamezniki z ustreznimi pooblastili za dostop in uporabo, v skladu z nalogami uporabnikov avtentikacija uporabnika, preverjanje identitete kontrole dostopa – – medsebojno usklajene do posameznih ravni (računalniška mreža, operacijski sistem, v aplikacijski sistem) identifikacija osebe – ugotavljanje identitete 43 ETZ&Informacijska varnost Upravljanje komunikacijske infrastrukture in operativno delovanje spremljanje in nadzor delovanja računalniškega sistema – – – informacije j o strojni j in p programski g opremi p postopki in zapisi o rednem spremljanju in nadzoru tehnična in uporabniška dokumentacija zaščita – – pred zlonamerno programsko opremo pred vsiljivci samodejna izdelava revizijske sledi – avtomatični računalniški dnevniki postopek t k upravljanja lj j s spremembami b i – – – – – zahtevek za spremembo analiza vplivov odobritev testiranje implementacija v produkciji 44 22 Revizijska sled - primer Oct 21 16:53:15 serverabc audispd: type=USER_LOGIN msg=audit(1382367195.932:6613725): g ( ) msg='acct="domajnko": addr=10.0.92.78, res=failed)' 45 ETZ&Informacijska varnost Upravljanje varnostnih dogodkov Vzpostavljen sistem, ki zagotavlja redno beleženje in obravnavo vseh dogodkov v informacijskem sistemu: poročanje o zaznanih varnostnih dogodkih s strani zaposlenih avtomatsko spremljanje dogodkov v okviru računalniških sistemov evidentiranje varnostnih dogodkov zavarovanje in hrambo dokazov ukrepanje ob dogodkih v skladu z naravo dogodka in možnimi vplivi na varnost sistemov in gradiv v hrambi beleženje izvedenih ukrepov reden pregled in analiza evidentiranih varnostnih dogodkov opredelitev načina poročanja o varnostnih dogodkih 46 23 ETZ&Informacijska varnost Razvoj in vzdrževanje aplikacij Zmanjševanje tveganj, poveznih z razvojem in uporabo aplikacij: RAZVOJ formalna metodologija razvoja informacijskih sistemov testiranje pred uporabo, dokumentiran postopek ločena okolja (razvojno, testno, operativno) upoštevati zahteve glede varovanja podatkov in skladnost z zakonodajo UPORABA zagotovljena dokumentacija (tehnična, uporabniška) ustrezno izobraževanje uporabnikov in skrbnikov postopek upravljanja s spremembami 47 ETZ&Informacijska varnost Zagotavljanje neprekinjenega poslovanja Zaščita organizacije pred učinki večjih okvar ali katastrof Po da ek na ohranjanju Poudarek oh anjanj gradiva: g adi a celovit načrt okrevanja – – rezervna lokacija – – omogoča obnovitev sistema in nadaljevanje poslovanja letno preverjan, ažuriran varnostne kopije, možnost obnove celotnega sistema+podatkov (oddaljena od osnovne lokacije najmanj 30km) za arhivsko gradivo: glavna lokacija + dodatna hramba na dveh geografsko oddaljenih lokacijah usposobljeno osebje – za ukrepanje v krizni situaciji 48 24 ETZ&Informacijska varnost Naročanje storitev pri zunanjem izvajalcu obvezna ocena tveganja tudi tu brez odstopanja od varnostne politike! možnost menjave izvajalca pogodba raven storitev opredelitev in razdelitev odgovornosti varovanje podatkov določila glede zagotovitve neprekinjenega poslovanja pravica do redne revizije … 49 Hvala za pozornost! mag. Boris Domajnko boris.domajnko@gov.si 50 25