1 / 57

Sklop: Elektronska hramba in elektronsko arhiviranje

Strokovno usposabljanje za uslužbence javnopravnih oseb. Sklop: Elektronska hramba in elektronsko arhiviranje. Tatjana Hajtnik vodja Sektorja za e-arhive in računalniško podporo. 14. maj 2013. Vsebina. Osnovne zahteve za varno e-hrambo Izzivi in tveganja dolgoročne e-hrambe

vern
Download Presentation

Sklop: Elektronska hramba in elektronsko arhiviranje

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Strokovno usposabljanje za uslužbence javnopravnih oseb Sklop: Elektronska hramba in elektronsko arhiviranje Tatjana Hajtnik vodja Sektorja za e-arhive in računalniško podporo 14. maj 2013

  2. Vsebina • Osnovne zahteve za varno e-hrambo • Izzivi in tveganja dolgoročne e-hrambe • Pravna veljavnost gradiva v digitalni obliki • Informacijska infrastruktura in varnost

  3. Osnovne zahteve za e-hrambo

  4. Pomembnejši izrazi:E-hramba in e-arhiv • E-hramba:kratkoročna (do 5 let) in dolgoročna (nad 5 let) hramba dokumentarnega in arhivskega gradiva pri ustvarjalcih tega gradiva oz. njihovih pravnih naslednikih • E-arhiviranje zajema postopke: • prevzemanja e-arhivskega gradiva v pristojne arhive, njegovo strokovno obdelavo, • izvedbo dolgoročne hrambe v skladu z veljavno zakonodajo ter omogoča učinkovito upravljanje in uporabo tega gradiva • E-arhiv:okolje, ki ga za izvajanje e-arhiviranja zagotavljajo Arhiv RS in drugi pristojni arhivi.

  5. Ključna vprašanja pri e-hrambi S kakšnim namenom hranimo? Kateri so razlogi za e-hrambo? Katere so pravne podlage za e-hrambo? Kaj e-hranimo? Kako dolgo naj hranimo? Kako naj e-hranimo?

  6. S kakšnim namenom hranimo? Evidenčna vrednost: dokazovanje pravnih, finančnih in podobnih stanj, dokazovanje sprejemanja in izvajanja poslovnih odločitev, dokazovanje izvedbe poslovnih procesov in načina njihovega izvajanja, ohranitev kulturne dediščine v obliki vseh vrst zapisov. Potencialno ponovna uporaba

  7. Kateri so razlogi za hrambo? Osnovni razlogi e-hrambe: Predpisi Pogodbe Pravna varnost Kulturna dediščina Motivacijski razlogi za e-hrambo: Vedno več gradiva samo še v izvorno digitalni obliki. Vedno večje povpraševanje po stalnem, tudi oddaljenem dostopu do gradiva. Možnost hkratnega dostopa. Enostavnejše zagotavljanje varnosti (varnostne kopije, revizijska sled,...) Težnja k zniževanju stroškov klasične hrambe vs. zagotavljanje varnosti gradiva. Reševanje problema pomanjkanja prostora za hrambo gradiva v fizični obliki. Ekološka osveščenost .

  8. Katere so pravne podlage za e-hrambo? Pravilnik o strokovni usposobljenosti Splošni pogoji Za izvajanje akreditacije ZVDAGA UVDAG ETZ 2.0 ZEPEP Drugi področni predpisi

  9. Kako dolgo naj hranimo? Roki hrambe: V letih do 5 let (kratkoročna hramba) nad 5 let (dolgoročna hramba) Trajno (T) (dolgoročna hramba) Arhivsko (A) (dolgoročna hramba) Kje najdemo roke hrambe?

  10. Kako naj hranimo?

  11. Vidiki dolgoročne e-hrambe • Organizacijski vidik • Odgovornosti (kdo/kaj/kdaj) • Delovni postopki • Usposobljenost • … • Tehnološki vidik • Ranljivost e-gradiva • Tehnične okvare • Spreminjanje standardov, opreme • Način hrambe: dokumentni sistem, arhivski sistem, oblak • .. • Finančni vidik • Stroški hrambe • Škoda ob izgubi gradiva • .. • Pravni vidik • Zakonske zahteve • Ohranjanje dokumentov in njihove dokazne vrednosti (celovitost in avtentičnost)

  12. Kaj pravi zakon? • 38. člen …javno arhivsko gradivo se odbere iz dokumentarnega gradiva na podlagi pisnih strokovnih navodil pristojnega arhiva… • 36. člen ZVDAGA …hramba arhivskega gradiva v digitalni obliki je dovoljena samo kot dolgoročna hramba zajetega gradiva... • 39. člen ZVDAGA ...javnopravne osebe morajo skrbeti za ohranjanje, materialno varnost, celovitost in urejenost dokumentarnega gradiva, ki ga prejemajo ali nastaja pri njihovem delu, dokler ni iz tega gradiva odbrano arhivsko gradivo…. • 40. člen ZVDAGA …javnopravne osebe morajo izročiti javno arhivsko gradivo arhivu najkasneje 30 let po nastanku gradiva …. • 58. člen UVDAG …arhivsko gradivo se odbira iz zaokroženih celot in kompletno praviloma vsakih 5 let, najpozneje pa pred izročitvijo gradiva arhivu…()

  13. Vprašajmo se: Ali bomo posamezne e-dokumente, ko jih bomo potrebovali, še našli in ali bodo: dostopni, uporabni, celoviti in verodostojni (avtentični)?

  14. Zahteve za e-hrambo • Ključne poslovne zahteve: • Sistem zajema in e-hrambe mora biti varen, zanesljiv in skladen z zahtevami predpisov. • Omogočen mora biti oddaljen dostop do sistema e-hrambe. • Razpoložljivost sistema e-hrambe (gradiva) xx ur. • Zagotovljena najvišja stopnja informacijske varnosti. • Zaenkrat se ohranjajo (po uspešni pretvorbi) tudi izvorne oblike zapisa gradiva. • Glede na občutljivost gradiva mora biti zagotovljena njegova zaupnost. • … • Tehnološke zahteve: • Bistvene tehnološke zahteve so določene z ZVDAGA in UVDAG, podrobno pa so opredeljene z enotnimi tehnološkimi zahtevami (ETZ). • Ključne uporabniške zahteve: • Zanesljiva avtentikacija uporabnika za vstop v sistem e-hrambe. • Omogočen mora biti različen nivo dostopa, tudi na ravni posameznega dokumenta (pomembno predvsem pri gradivu z občutljivimi podatki). • Omogočeni morajo biti pregledi gradiva po rokih hrambe in funkcionalnosti, kot je npr. obveščanje o izteku rokov hrambe ipd. • …. • Dodatne zahteve stroke: • …….. • Ključne pravne zahteve: • Za zajem in e-hrambo se mora uporabljati akreditirana oprema oz. storitve (javna uprava). • Vsi podatki (gradivo) se morajo hraniti na treh lokacijah, primarni in dveh, geografsko oddaljenih lokacijah (javna uprava, zasebni sektor na dveh). • Vse gradivo, ki se hrani dolgoročno (nad 5 let), mora biti pretvorjeno v format primeren za dolgoročno hrambo. • Za zagotavljanje celovitosti in avtentičnosti hranjenega gradiva se mora tehnološka sredstva. • Omogočena mora biti sledljivost vseh sprememb v sistemu e-hrambe in tudi na gradivu.

  15. Izzivi in tveganja dolgoročne e-hrambe

  16. Temeljni gradniki sistema e-hrambe • Človek • Prostori • Informacijska tehnologija (HW, SW,…) • Informacijska varnost • Postopki, povezani z upravljanjem, zajemom in e-hrambo

  17. Tveganja, povezana s posameznimi gradniki e-hrambe Človek:nenamerna/namerna dejanja, usposobljenost kadrov, pristojnosti in odgovornosti kadrov Prostor: dostopi, okoljske nevarnosti npr. požar, izlitje vode, naravne ujme, … Informacijska tehnologija : odpoved delovanja, zastaranje strojne in programske opreme, zastaranje nosilcev podatkov, zastaranje formatov zapisa. Informacijska varnost: protivirusna zaščita, upravljanje sprememb informacijske tehnologije in sistemov, varnostne kopije, Postopki povezani z upravljanjem, zajemom in e-hrambo: ni vzpostavljenih pravil in odgovornosti za izvajanje posameznih postopkov. Poslovna tveganja: najem zunanjih izvajalcev, skladnost npr. zakonska, s predpisi;

  18. Izzivi in tveganja dolgoročne e-hrambe • Pravni vidik • Pretvorba gradiva iz fizične v digitalno obliko • Pretvorba gradiva zaradi sprememb oblike zapisa • … • Tehnološki vidik • Zastarevanje strojne in programske opreme ter nosilcev podatkov • Spremembe oblike zapisa zaradi tehnološkega razvoja • Občutljivost e-gradiva/ - sledljivost spremembam • Sodobne oblike zapisa • relacijske podatkovne zbirke / prepletenost • spletne strani s povezavami, • časovno občutljivo gradivo (e-podpis), • Spreminjajoči se standardi • …

  19. Informacijska tehnologija: tehnološki razvoj in s tem povezana tveganja

  20. Tehnološki razvoj Omejena življenjska doba (zastaranje oz. propadanje) Odvisnost od pogojev hrambe Nosilec zapisa

  21. Tehnološki razvoj nosilcev zapisa… 1996 (video) 1997 (DVD-R 3.95 GB) (DVD-RAM 2,6 GB) 1984 (720 kB) 1987 (1.44 MB) 1976 (avdio) 1985 (podatkovni) 1998 1976 (110kB) 1984 (1,2 MB) 1994 (100 MB) in zahteva po prilagoditvi strojne opreme.

  22. dobri pogoji hrambe (v stabilnem okolju); rutinska menjava nosilcev zapisa (s kopiranjem informacij na nove nosilce zapisa) pred pričakovanim iztekom dobe trajanja; hramba več kopij vsakega dokumenta, rutinski pregled, zamenjava okvarjenih. prepisovanje na nove tipe nosilcev zapisa uporaba nosilcev, ki so primerni za dolgoročno hrambo (tudi zakonski kriteriji-UVDAG 15. člen) Ukrepi za zmanjšanje tveganj, povezanih z nosilci podatkov

  23. Programska oprema in oblike zapisa vedno nove različice programske opreme izginjanje posameznih tipov programske opreme sprememba platforme in s tem povezana tveganja zguba uporabnosti zaradi zastarevanja (formatov, programov, operacijskih sistemov) izgube funkcionalnosti! (npr. fonti, formule, barva, število strani) Vir: http://www.utd.edu/~liebowit/book/wordprocessor/word.html

  24. Ukrepi za zmanjšanje tveganj, povezanih z oblikami zapisa Predlagana rešitev: pretvorba v formate, primerne za dolgoročno hrambo Priporočeni formati v ETZ 2.0, I.del Npr. za besedilne dokumente: PDF/A Prirejeno iz vira http://en.wikipedia.org/wiki/Portable_Document_Format#cite_note-pdf-ref-9#cite_note-pdf-ref-9

  25. razširjenost in uveljavljenost uporabnost možnost pretvorbe v nove oblike možnost uporabe nelastniških formatov, odprtokodnih rešitev neodvisnostod programske ali strojne opreme oziroma okolja dolgoročnost Oblika zapisa za dolgoročno e-hrambo Seznam priporočenih formatov za dolgoročno hrambo v ETZ 2.0-I.del: Priloga 1

  26. Pravna veljavnost gradiva v digitalni obliki

  27. Pravna veljavnost in dokazna vrednost gradiva v digitalni obliki • ZVDAGA pravno veljavnost in dokazno vrednost gradiva v digitalni obliki pogojuje z • načinom zajema in hrambe (delovni postopki) • uvedbo ustreznih varnostnih in organizacijskih nadzorstev dokumentiranost NOTRANJA PRAVILA za zajem in hrambo gradiva v digitalni obliki (ZVDAGA, 18. člen)

  28. Kontrolni mehanizmi za doseganje pravne veljavnosti gradiva v digitalni obliki • registracijaponudnika opreme in storitev • akreditacija opreme (strojne in programske) oz. storitev • notranja pravila za zajem in e-hrambo ter spremljevalnih storitev • usposobljenost delavcev, ki delajo z dokumentarnim gradivom

  29. Kaj določa ZVDAGA Različne zahteve (pomembnost gradiva!) • Javnopravne osebe • Sprejeta NP in potrjena pri Arhivu RS, dokazljivo izvajanje • Uporaba akreditirane opreme in storitev (obvezno) • Zasebni sektor • Sprejeta notranja pravila (neobvezna potrditev pri Arhivu RS), dokazljivo izvajanje (interno spremljanje izvajanja NP na 2 leti) • Ponudniki opreme in storitev • Registracija ponudnika • Sprejeta NP in potrjena pri Arhivu RS, dokazljivo izvajanje (zunanje preverjanje na letni ravni) • Akreditacije opreme in storitev (neobvezno)

  30. NP in pravna veljavnost gradiva v digitalni obliki • Imamo pri Arhivu RS potrjena NP (ZVDAGA 31. člen) • pravne veljavnosti e-gradiva ni treba posebej dokazovati • Imamo nepotrjena NP (ZVDAGA 32. člen) • preveri se skladnost NP s predpisi • preveri se izvajanje NP • Nimamo NP (ZVDAGA 33. člen) • presojanje enakosti izvirnemu gradivu v konkretnih primerih (za posamezno enoto e-gradiva posebej).

  31. NOTRANJA PRAVILA za zajem in hrambo dokumentarnega in arhivskega gradiva v digitalni obliki

  32. Splošno o notranjih pravilih Kaj so notranja pravila ? Kdo in zakaj potrebuje notranja pravila ? Kakšne so zakonske zahteve ?

  33. Vrste notranjih pravil • Lastna notranja pravila • Vzorčna notranja pravila (20. člen ZVDAGA)

  34. Razmejitev NP • za lastno hrambo (pravne in fizične osebe, vključno z javnopravnimi osebami) • notranja pravila ponudnika storitev

  35. Predpogoj: predhodna priprava na zajem in hrambo • Poda odgovore na vprašanja: • Kateri del poslovanja bo urejen z notranjimi pravili? Obseg. Odnos: ponudnik storitve vs. naročnik storitve. • Katere že doslej veljavne akte bi lahko uporabili in kaj moramo napisati na novo? • Katera so ključna tveganja? • Izvedljivost/upravičenost? • Katere so zahteve e-hrambe? • Kdo vse naj sodeluje? • …..

  36. Predhodna priprava na zajem in e-hrambo • Analiza obstoječe prakse in ureditve poslovanja • Analiza obstoječega stanja • pregled organizacije in poslovnih procesov • popis virov gradiva • popis in varnostne razvrstitve informacijskih virov • pregled in ocena stanja na področju varovanja informacij • Določitev zahtev za e-hrambo • Ocena tveganj in ukrepi za njihovo zmanjšanje • Študija upravičenosti in izvedljivosti e-hrambe • Odločitev glede projekta e-hrambe • Načrtovanje hrambe in vzpostavitve informacijskega sistema

  37. VSEBINA NOTRANJIH PRAVIL

  38. Vsebina NP • 5. člen UVDAG • ETZ 2.0 – II. del • Notranja pravila in organizacija • Zajem in e-hramba ter spremljevalne storitve (o upravljanju gradiva) • Informacijska varnost • Informacijska oprema in infrastruktura • Upravljanje informacijske opreme in infrastrukture • Naročanje storitev pri zunanjem izvajalcu

  39. Vsebina NP V javni upravi je velik del tega opredeljenega v Uredbi o upravnem poslovanju Povzeto po ISO 27001 • 5. člen UVDAG • ETZ 2.0 – II. del: • Notranja pravila in organizacija • Zajem in e-hramba ter spremljevalne storitve (o upravljanju gradiva) • Informacijska varnost • Informacijska oprema in infrastruktura • Upravljanje informacijske opreme in infrastrukture • Naročanje storitev pri zunanjem izvajalcu

  40. Informacijska infrastruktura in varnost

  41. Zakaj informacijska varnost? Zaupni podatek: (razglašen za uradno/poslovno/poklicno tajnost) Osebni podatek (nanaša se na posameznika) Tajni podatek (nanaša se državno in javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države ter njene gospodarske interese) Zmanjševanje tveganj, da ne bomo dosegali ciljev varne e-hrambe (dostopnost, uporabnost, celovitost, avtentičnost e-gradiva) Zmanjševanje stroškov – preprečevanje škode Varovanje tajnosti, zasebnosti in osebnih podatkov ter poslovnih in davčnih skrivnosti

  42. Osnovni principi informacijske varnosti • Celovitost (neokrnjenost): varovanje podatkov pred neavtoriziranimi spremembami, točnost in popolnost podatkov • Razpoložljivost in dostopnost: varovanje podatkov in servisov pred prekinitvami v delovanju, zagotavljanje podatkov pooblaščenim uporabnikom v času in na način, kot jih potrebujejo • Zaupnost in tajnost: varovanje poslovnih in osebnih podatkov ter drugih občutljivih podatkov pred razkritji

  43. Kako zagotavljati informacijska varnost? • na osnovi zakonodaje, predpisov, direktiv, uredb • upoštevanje standardov • ISO 27001/27002 pokriva 11 področij informacijske varnostne politike • upoštevanje dobrih praks • z uvajanjem celovitega, učinkovitega sistema upravljanja varovanja informacij (SUVI) • organizacijski ukrepi • tehnološki ukrepi

  44. Organizacijski ukrepi • ocena tveganja(redno revidirana) • določitev odgovorne osebe (poroča vodstvu) • sprejem ustreznih načel varovanja, ki so zapisana v hierarhično organizirani varnostni dokumentaciji (poslovnik in politika o varovanju informacij, pravilniki, navodila, postopki….), • jasna razmejitev odgovornosti in dolžnosti pri izvajanju načel varovanja informacij, • uvajanje nalog s področja varovanja informacij v poslovne procese organizacije, • dvig varnostne kulture zaposlenih in poslovnih partnerjev (šolanje in osveščanje iz področja informacijske varnosti), • upravljanje z varnostnimi dogodki - incidenti (vdori, virusi…) • ….

  45. Tehnološki ukrepi • implementacija varnostnih tehnologij: • nastavljanje varnostnih parametrov v opremi • varnostno kopiranje dokumentov, oddaljene lokacije • protivirusna zaščita • požarni zidovi (firewalls) za ločevanje odsekov mreže • sistemi za nadzor dostopa do sistemov in mrež (pametne kartice, generatorji gesel za enkratno uporabo) • varni e-podpis • uvajanje sistemov fizične varnosti (alarmi, video nadzor, pristopne kontrole) • zagotovitev visoke razpoložljivosti sistema • navidezno zasebno omrežje (VPN) • ..

  46. Organiziranost varovanja informacij • Organizacija varovanja informacij mora biti integralni del notranje organizacije • Politika varovanja informacij: • določena, dokumentirana, sprejeta (poslovnik, politika, pravilniki, navodila, ..) • cilj, obseg, podpora vodstva • izjava o zaupnosti • Določena odgovorna oseba za varovanje informacij • Sistemizacija • opredeliti odgovornosti (varnostne vloge in naloge) zaposlenih s področja varovanja informacij • ločevanje nalog

  47. Upravljanje informacijskih sredstev Zmanjševanje tveganj, povezanih z informacijskimi sredstvi: • Popis vseh pomembnih informacijskih sredstev • Varnostna razvrstitev v skladu z oceno tveganj in občutljivostjo gradiva • Opredeljene odgovornosti (skrbniki sredstev ali skupin sredstev) • Pravila za ravnanje (nabava, hramba, prenos, nadzor uporabe, uničenje)

  48. Varnost in človeški viri Zmanjševanje tveganj, povezanih z zaposlenimi: • Razmejitev nalog, dodelitev pooblastil in uporabniških pravic za delo v skladu z delovnimi nalogami • Postopek ob zamenjavi dela, prekinitvi delovnega razmerja (rednega ali pogodbenega) • Redno izobraževanje, usposabljanje za delo in varovanje informacij • Izjava o zaupnosti oz. varovanju informacij

  49. Fizično in tehnično varovanje prostorov, opreme in gradiva • Zmanjševanje tveganj, povezanih s prostori in opremo: • Prostori • opredelitev varovanega območja • (pomembnost in ranljivost informacijskih sredstev, ki se v teh območjih nahajajo!) • omejen in nadzorovan fizični dostop • v posamezna varovana območja • zaščita pred okoljskimi nevarnostmi • (požar, izlitje ali vdor vode, nenadne spremembe temperature ali vlage, itd.) • Oprema • vzdrževanje opreme • varna odstranitev opreme ali uničevanje nosilcev informacij (izločevanje, uničenje)

  50. Upravljanje komunikacijske infrastrukture in operativno delovanje 1 Zmanjševanje tveganj, povezanih z upravljanjem informacijske infrastrukture: • Spremljanje in nadzor delovanja računalniškega sistema • informacije o strojni in programski opremi • postopki in zapisi o rednem spremljanju in nadzoru • tehnična in uporabniška dokumentacija • Zaščita • pred zlonamerno programsko opremo • pred vsiljivci • Ločevanje nalog (preprečevanje zlorab)

More Related