Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 Tatjana Hajtnik Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 VAROVANJE TAJNOSTI, ZASEBNOSTI IN OSEBNIH PODATKOV TER POSLOVNIH IN DAVČNIH SKRIVNOSTI Tatjana Hajtnik Zaupni podatki Tajni podatki: nanašajo se na državno in javno varnost, obrambo, zunanje zadeve ali obveščevalno in varnostno dejavnost države ter njene gospodarske interese Podatki poslovne in davčne skrivnosti Osebni podatki Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za varovanje zaupnih podatkov Fizični, organizacijski in tehnični ukrepi ter postopki za varovanje teh podatkov: Določitev varnostnih območij Kontrole dostopa (fizični in logični nivo) Omejitev uporabe Zahteve za hrambo Vzpostavitev pravil … Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Zakonodaja – osebni podatki Zakon o varstvu osebnih podatkov /ZVOP-1/ zavarovanje osebnih podatkov, dostopnost in roki hrambe ureja: Obdelavo osebnih podatkov - ročno ali avtomatizirano Preprečevanje nepooblaščenega dostopa Hrambo posnetkov videonadzora (največ 1 leto po nastanku) Hramba evidenc vstopov v/iz prostore (največ 3 leta od vpisa) Prenos občutljivih osebnih podatkov po ITk omrežjih – kriptiranje! Pravilnik o varovanju osebnih podatkov! Rok hrambe! ZVDAGA: nedostopnost (arhivsko gradivo, ki vsebuje občutljive osebne podatke, postane dostopno za uporabo 75 let po nastanku ali 10 let po smrti osebe, na katero se nanaša) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Zakonodaja - tajni in zaupni podatki na nacionalni ravni Zakon o tajnih podatkih /ZTP/ Stopnje tajnosti (strogo tajno, tajno, zaupno, interno) Ukrepi: Postopki in ukrepi v zvezi z osebami, ki imajo dostop do tajnih podatkov Usposabljanje oseb, ki imajo dostop do tajnih podatkov Pravila označevanja tajnih podatkov Fizični, tehnični in organizacijski ukrepi varovanja prostorov in podatkov Nadzor nad obravnavanjem in varovanjem tajnih podatkov Uredba o varovanju tajnih podatkov v komunikacijsko-informacijskih sistemih Uredba o varovanju tajnih podatkov Sklep o določitvi pogojev za varnostno-tehnično opremo, ki se sme vgrajevati v varnostna območja ZVDAGA: dostopnost za uporabo praviloma najkasneje 40 let po nastanku. Izjeme! Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Zakonodaja – davčna tajnost Zakon o davčnem postopku /ZGD-1/ Pravilnik o fizičnih, organizacijskih in tehničnih ukrepih ter postopkih za varovanje podatkov, ki so davčna tajnost Zakon o davčni službi /ZDS-1/ Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Zakonodaja - ostala Zakon o elektronskih komunikacijah /ZEKom/ Ureja pogoje za zagotavljanje e-komunikacijskih omrežij, zaščito tajnosti in zaupnosti e-komunikacij ter hrambo podatkov o prometu e-komunikacij Zakon o splošnem upravnem postopku /ZUP/ Zakon o kazenskem postopku /ZKP/ Kazenski zakonik /KZ/ kršenje varnostnih določil v smislu neupravičenega vstopa v inf. sistem (225. člen), vdor v informacijski sistem (242. člen), izdajo in neupravičeno pridobitev poslovne tajnosti (241. člen), zlorabo osebnih podatkov (154. člen), izdajo uradne tajnosti (266. člen), izdajo državne tajnosti (359. člen), izdajo vojaške tajnosti (282. člen). Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 PREDHODNA PRIPRAVA NA ZAJEM IN E-HRAMBO Tatjana Hajtnik Osnovna pomagala pri e-hrambi Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA) Uredba o varstvu dokumentarnega in arhivskega gradiva (UVDAG) ETZ 2.1, predvsem II. del http://www.arhiv.gov.si/si/zakonodaja_in_dokumenti/predpisi_s_p odrocja_arhivske_dejavnosti_v_sloveniji/) Standarda ISO 27001 in ISO 27002 Priročnik z zgoščenko: Arhiviranje, hramba in upravljanje dokumentov (izdala Založba Forum Media v sodelovanju z Arhivom RS) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Namen in cilj predhodne priprave Odgovoriti na vprašanja: Kateri del poslovanja bo urejen z notranjimi pravili? Obseg. Odnos: ponudnik storitve vs. naročnik storitve. Katere so zahteve e-hrambe? Katera so ključna tveganja? Izvedljivost/upravičenost? Lastna notranja pravila ali privzeti vzorčna notranja pravila? Katere že doslej veljavne akte bi lahko uporabili in kaj moramo napisati na novo? Kdo vse naj sodeluje? ….. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Predhodna priprava na zajem in ehrambo (ZVDAGA, 17. člen: UVDAG, 3. in 4. člen) Analiza obstoječega stanja pregled organizacije in poslovnih procesov popis virov gradiva popis in varnostne razvrstitve informacijskih virov pregled in ocena stanja na področju varovanja informacij Analiza obstoječe prakse in ureditve poslovanja Določitev zahtev za e-hrambo Ocena tveganj in ukrepi za njihovo zmanjšanje Študija upravičenosti in izvedljivosti e-hrambe Rezultat: Poročilo o predhodni pripravi na zajem in e-hrambo * ________________________________ * ETZ 2.1, II. del: 1.1.1.1 – 1.1.1.2 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 TVEGANJA PRI DOLGOROČNI EHRAMBI IN UKREPI ZA NJIHOVO ZMANJŠEVANJE : SKLADNOST Z ZVDAGA IN ETZ Tatjana Hajtnik ENOTNE TEHNOLOŠKE ZAHTEVE (ETZ 2.1) Podrobni poslovni, organizacijski in tehnološki pogoji za zajem in e-hrambo Enotne tehnološke zahteve (2) Minister, pristojen za arhive, podrobneje predpiše obseg in izvedbo faz priprave oziroma organizacije zajema in hrambe s pravilnikom o enotnih tehnoloških zahtevah. (ZVDAGA, 17.člen) Objava: http://www.arhiv.gov.si/si/zakonodaja_in_dokumenti/p redpisi_s_podrocja_arhivske_dejavnosti_v_sloveniji/ Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Enotne tehnološke zahteve (različica 2.1, objavljena 10.7.2013) Podrobneje opredelijo poslovne, organizacijske in tehnološke pogoje za izpolnjevanje ZVDAGA: • notranja organizacija (vloge, usposobljenost in odgovornosti zaposlenih); • delovni postopki (zajem, pretvorba, odbiranje, izločanje, uničenje, itd.) in metapodatki, • informacijska oprema in infrastruktura ter njeno upravljanje, • informacijska varnost, • naročanje storitev pri zunanjem izvajalcu. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 IZZIVI IN TVEGANJA PRI DOLGOROČNI HRAMBI DIGITALNIH ZAPISOV TER UKREPI ZA NJIHOVO ZMANJŠANJE SKOZI ETZ Temeljni gradniki sistema e-hrambe R G ŽN O E RANLJIVOSTI RANLJIVOSTI JE ŽNJE GRO RANLJIVOSTI NJ OŽ GR Gradniki e-hrambe GR OŽ NJ E RANLJIVOSTI GROŽNJE Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik Varni prostori (primarna in sekundarne lokacije) Človek Informacijska tehnologija in varnost: o programska oprema, formati zapisa o strojna oprema, nosilci zapisa Organizacija in postopki upravljanja (storitve). Gradivo 17. in 18. november 2014 Prepoznavanje tveganj Identificiranje nevarnosti (groženj). Prepoznavanje ranljivosti. Kolikšna je verjetnost, da bi se grožnja uresničila (nevarnost vs. ranljivost). Kakšna je škoda (vpliv). Vrednotenje tveganj Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik Sprejemljivo Nesprejemljivo 17. in 18. november 2014 Izbira ustrezne metodologije za oceno tveganja 24/ 69 Na primer: R G ŽN O E RANLJIVOSTI RANLJIVOSTI JE ŽNJE GRO RANLJIVOSTI NJ OŽ R G ISO 27005 lastna metodologija ….. Gradniki e-hrambe GR OŽ NJ E GROŽNJE RANLJIVOSTI Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ocena tveganj z ukrepi za njihovo zmanjševanje Predvideni izdelki: ocena tveganj in ukrepi za njihovo zmanjševanje Odobri: vodstvo organizacije Končni rezultat - primer: Tveganje Stopnja tveganja (nevarnost, ranljivost)* Ukrepi (preventivni, korektivni) Nosilec Rok * Stopnja tveganja: sprejemljiva/nesprejemljiva Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Nekaj tipičnih tveganj pri e-hrambi Zastarelost oblike zapisa (formata). Propadanje oz. zastarevanje nosilcev zapisa. Onemogočen dostop do podatkov (npr. šifriranje). Pomanjkanje metapodatkov. Nejasna avtentičnost (verodostojnost) in izvor gradiva. Kopije gradiva niso sinhronizirane. Zlonamerne programska oprema (npr. virusi). Zastarevanje tehnologije. Človeške napake (nenamerne, namerne) Naravne nesreče. Ni vzpostavljenih pravil in odgovornosti za izvajanje posameznih postopkov. Odpoved delovanja inf.tehnologije. Najem zunanjih izvajalcev. …. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Upravljanje s tveganji Kako pogosto pride do tveganja? Kakšne so posledice? Kako pogosto moramo preverjati? Kdo je lastnik tveganja? Kako bomo tveganja obvladovali? PRIMER ocene tveganja Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Primer ocene tveganja PRIMER Začetna ocena tveganja Tveganje Propadanje nosilcev Zastaranje formatov Zastaranje nosilcev Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Primer ocene tveganja PRIMER Začetna ocena tveganja Tveganje Propadanje nosilcev Verjetnost Vpliv (škoda) Ocena Pogostost (rok) 5 5 25 stalno Zastaranje formatov 5 3 15 stalno Zastaranje nosilcev 5 5 25 stalno Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Primer ocene tveganja PRIMER Začetna ocena tveganja Tveganje Propadanje nosilcev Zastaranje formatov Zastaranje nosilcev Verjetnost 5 5 5 Vpliv (škoda) 5 3 5 Ocena 25 15 25 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik Pogostost (rok) stalno stalno stalno Lastnik Ukrepi Spremljanje tehnologije Rutinski pregledi medijev Več medijev Spremljanje tehnologije Izbira formatov za dolgoročno hrambo Priprava načrta pretvorbe Spremljanje tehnologije Uporaba uveljavljenih medijev Osveževanje Periodični pregledi medijev Hramba kopij gradiva na različnih medijih 17. in 18. november 2014 Primer ocene tveganja PRIMER Začetna ocena tveganja Tveganje Propadanje nosilcev Zastaranje formatov Zastaranje nosilcev Verjetnost 5 5 5 Vpliv (škoda) 5 3 5 Ocena 25 15 25 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik Pogostost (rok) stalno stalno stalno Lastnik Ukrepi Spremljanje tehnologije Rutinski pregledi medijev Več medijev Spremljanje tehnologije Izbira formatov za dolgoročno hrambo Priprava načrta pretvorbe Spremljanje tehnologije Uporaba uveljavljenih medijev Osveževanje Periodični pregledi medijev Hramba kopij gradiva na različnih medijih 17. in 18. november 2014 Ukrepi za obvladovanje prepoznanih tveganj pri e-hrambi Ukrepi za obvladovanje prepoznanih tveganj Zahteve predpisov lahko pomagajo pri upravljanju s tveganji! Upoštevanje standardov in dobrih praks. Uvajanje celovitega, učinkovitega sistema upravljanja varovanja informacij (SUVI): organizacijski ukrepi in tehnološki ukrepi. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Nosilci zapisa za dolgoročno hrambo Tveganja povezana z nosilci zapisa Tehnološki razvoj. Omejena življenjska doba (zastaranje oz. propadanje). Odvisnost od pogojev hrambe (propadanje). 1976 (110kB) 1984 (1,2 MB) 1984 (720 kB) 1987 (1.44 MB) 1994 (100 MB) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 1996 (video) 1976 (avdio) 1985 (podatkovni) 1997 (DVD-R 3.95 GB) (DVD-RAM 2,6 GB) 1998 17. in 18. november 2014 Ukrepi za zmanjšanje tveganj, povezanih z nosilci podatkov dobri pogoji hrambe (v stabilnem okolju); rutinska menjava nosilcev zapisa (s kopiranjem informacij na nove nosilce zapisa) pred pričakovanim iztekom dobe trajanja; hramba več kopij vsakega dokumenta, rutinski pregled, zamenjava okvarjenih. prepisovanje na nove tipe nosilcev zapisa uporaba nosilcev, ki so primerni za dolgoročno hrambo (predpisano z UVDAG 15. člen). ETZ II.del: 4.3.1.1 – 4.3.1.4 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Oblike (formati) zapisa Tveganje: zastarelost formata UKREPI Določitev veljavnih formatov (ETZ 2.3.2.1) Pretvorba v formate, primerne za dolgoročno hrambo (priporočeni formati v ETZ 2.1, I.del npr. za besedilne dokumente: PDF/A). (ETZ 2.4.1.1). Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ključni ukrepi za zmanjševanje tveganj pri dolgoročni e-hrambi s poudarkom na informacijski varnosti (skladnost z ZVDAGA) Zakaj informacijska varnost? Zmanjševanje tveganj, da ne bomo dosegali ciljev varne e-hrambe (dostopnost, uporabnost, celovitost, avtentičnost e-gradiva) Zmanjševanje stroškov – preprečevanje škode Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik Varovanje tajnosti, zasebnosti in osebnih podatkov ter poslovnih in davčnih skrivnosti 17. in 18. november 2014 Načela informacijske varnosti (ISO 2700X): Celovitost Razpoložljivost in dostopnost Zaupnost in tajnost ZVDAGA: Osnovna načela varne e-hrambe Dostopnost Uporabnost Avtentičnost Celovitost Trajnost Varovanje kulturnega spomenika Pravna veljavnost in dokazna vrednost e-gradiva ! Ukrepi za zmanjševanje tveganj, povezanih s prostori Tveganje: Nepooblaščen dostop Izlitje ali vdor vode Požar Nenadne spremembe temperature ali vlage Dim, Prah … Opredelitev varovanega območja (pomembnost in ranljivost informacijskih sredstev, ki se v teh območjih nahajajo!) UKREPI Postopki za zaščito pred nepooblaščenim dostopom in okoljskimi nevarnostmi . Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik ETZ 3.3.1.1 ETZ 3.3.1.2 ETZ 3.3.2.1 ETZ 3.3.2.2 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih s človeškimi viri 1 Tveganje: Nenamerne ali namerne človeške napake Razkritje zaupnosti … Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 UKREPI Ukrepi za zmanjševanje tveganj, povezanih s človeškimi viri 2 Uvedba sistema rednega izobraževanja in usposabljanja zaposlenih. ETZ 1.2.2.1 do ETZ 1.2.2.4 Za delovna mesta opredeljeni splošni, posebni in varnostni pogoji za njihovo zasedbo. ETZ 1.2.1.1 V opisu del in nalog določene naloge glede varovanja informacij. ETZ 1.2.1.3 Dostopi do sistema e-hrambe obvladovani (“need to know”). ETZ 1.2.1.2 Razdelitev nalog, ki posamezniku onemogoča neopaženo kompromitiranje ali zlorabo informacij, do katerih ima dostop. ETZ 1.2.1.4 Podpis izjave o zaupnosti oz. varovanju informacij. ETZ 3.2.2.3 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z organizacijo e-hrambe in postopki Tveganje: Nejasna in nedokumentirana pravila ravnanja z gradivom Nejasne odgovornosti Neskladnost s predpisi …. Predhodna priprava na zajem in e-hrambo UKREPI ETZ 1.1.1.1 do ETZ 1.1.1.3 Priprava in sprejem notranjih pravil – interni pravni akt. ETZ 1.1.2.1 ETZ 1.1.2.3 Potrditev notranjih pravil (obvezno za javnopravne osebe in ponudnike). ETZ 1.1.2.2 ETZ 1.1.2.4 ETZ 1.1.2.6 Nadzor nad izvajanjem notranjih pravil. ETZ 1.1.3.1 do ETZ 1.1.3.6 Ocena tveganja in upravljanje s tveganji. ETZ 3.2.1.1 do ETZ 3.2.2.1 Strokovno za ponudnike storitev Politikausposabljanje informacijske varnosti in Tatjana Hajtnik odgovorna oseba. ETZin3.2.2.1 17. 18. november 2014 ETZ 3.2.2.2 Ukrepi za zmanjševanje tveganj, povezanih z informacijsko infrastrukturo za e-hrambo 1 Tveganje: Nejasna in nedokumentirana pravila upravljanja z inf.infrastrukturo Nezagotavljanje varnostnih kopij Nejasne odgovornosti Zastarevanje ali nedelovanje inf. tehnologije Nedoločen obseg e-hrambe … Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z informacijsko infrastrukturo za e-hrambo 2 Izdelati in vzdrževati seznam vseh pomembnih informacijskih virov in evidenco zajetega oz. hranjenega gradiva ETZ 3.1.1.1 UKREPI Strojna in programska oprema skladna z mednarodnimi, državnimi ETZ 4.2.1.2 in drugimi splošno priznanimi standardi. ETZ 4.4.2.2 Strojna in programska oprema mora biti mednarodno uveljavljena. ETZ 4.2.1.3 ETZ 4.4.2.1 Oprema nameščena v pogojih, ki so predpisani v njenih specifikacijah. ETZ 4.2.1.4 Organizacija mora zagotoviti tehnično in uporabniško dokumentacijo za strojno in programsko opremo v uporabi. ETZ 4.2.1.5 ETZ 4.4.3.5 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 UKREPI Ukrepi za zmanjševanje tveganj, povezanih z informacijsko infrastrukturo za e-hrambo 3 Določiti skrbnike posameznih informacijskih virov oz. skupin virov ETZ 3.1.2.1 Varnostna razvrstitev informacijskih virov ETZ 3.1.3.1 Uporaba akreditirane opreme (javnopravne osebe) ETZ 4.2.1.6 ETZ 4.4.2.4 Izbira ustreznih nosilcev podatkov. ETZ 4.3.1.1 ETZ 4.3.1.2 Hramba nosilcev v ustreznih pogojih. ETZ 4.3.1.3 Periodično (vsaj enkrat letno) preverjanje nosilcev in uporabnosti zapisov. ETZ 4.3.1.4 Podpora in vzdrževanje opreme in infrastrukture za zajem in e-hrambo. ETZ 5.7.1.1 ETZ 5.7.1.2 ETZ 5.6.1.1 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z upravljanjem informacijske infrastrukture za e-hrambo Tveganje: Okužba dokumentov z virusi Nepravilen datum in čas e-dokumenta Nezmožnost dokazovanja verodostojnosti dokumentov …. Postopki in zapisi o rednem spremljanju in nadzoru sistema za ETZ 5.7.1.1 ETZ 5.7.1.2 zajem in e-hrambo UKREPI ETZ 5.7.1.3 ETZ 5.7.1.4 Zaščita pred zlonamerno programsko opremo ETZ 5.4.1.1 Sinhronizacija sistemskih ur ETZ 5.5.1.1 Ločevanje okolij (razvojno, testno, produkcijsko) ETZ 5.2.1.1 ETZ 5.3.1.1 Upravljanje sprememb ETZ 5.1.1.1 Strokovno usposabljanje za ponudnike storitev Določitev Tatjana Hajtnik obsega in hrambe revizijskih sledi. 17. in 18. november 2014 ETZ 3.5.1.1 Ukrepi za zmanjševanje tveganj, povezanih z dostopi do sistema za e-hrambo Tveganje: Nepooblaščen dostop UKREPI … Postopek za dodeljevanje uporabniških imen s pripadajočimi gesli oz. drugih identifikatorjev. ETZ 3.4.1.1 Politika gesel. ETZ 3.4.1.2 Postopek za upravljanje dostopnih pravic in evidenca. ETZ 3.4.1.3 ETZ 3.4.1.4 Nadzor nad dostopi do sistema za zajem in e-hrambo. ETZ 3.4.1.5 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z gradivom v e-hrambi 1 Tveganje: Neurejeno gradivo Nezmožnost iskanja ali razumevanja dokumentov zaradi pomanjkanja metapodatkov Nezmožnost dokazovanja izvora in avtentičnosti dokumentov .. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 UKREPI Ukrepi za zmanjševanje tveganj, povezanih z gradivom v e-hrambi 2 Opredelitev vseh delovnih postopkov. ETZ 2.1.1.1 Evidentiranje gradiva. ETZ 2.2.1.1 do ETZ 2.2.1.4 Razvrščanje (klasificiranje) gradiva. ETZ 2.2.2.1 ETZ 2.2.2.2 Predpisan način dodeljevanja gradiva v reševanje ter s tem povezano dodeljevanje pravic, nalog in odgovornosti. ETZ 2.2.3.1 ETZ 2.2.3.2 Določitev rokov hrambe. ETZ 2.2.4.1 ETZ 2.2.4.2 Določitev obveznih metapodatkov in zajem v ISUD. ETZ 2.3.1.1 ETZ 2.3.1.2 ETZ 2.3.3.1 ETZ 2.3.4.1 ETZ 2.3.4.2 ETZ 2.3.5.4 ETZ 2.3.6.3 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 UKREPI Ukrepi za zmanjševanje tveganj, povezanih z gradivom v e-hrambi 3 Določitev veljavnih oblik zapisov (formatov). ETZ 2.3.2.1 Pretvorba gradiva v obliko za dolgoročno hrambo. ETZ 2.4.1.1 Za obvladovanje spletnih strani. ETZ 2.3.5.1 do ETZ 2.3.5.6 Za obvladovanje elektronske pošte. ETZ 2.3.6.1 do ETZ 2.3.6.3 Za obvladovanje podatkovnih zbirk in uradnih evidenc. ETZ 2.3.7.1 do ETZ 2.3.7.8 Pravila glede odbiranja in izročanja arhivskega gradiva pristojnim arhivom. ETZ 2.6.1.1 Pravila glede izločanja in uničevanja dokumentarnega gradiva. ETZ 2.7.1.1 do ETZ 2.7.1.4 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z varnostnimi dogodki Vzpostavljen sistem, ki zagotavlja redno beleženje in obravnavo vseh dogodkov v informacijskem sistemu (ETZ 3.6.1.1 – 3.6.1.3) poročanje o zaznanih varnostnih dogodkih s strani zaposlenih avtomatsko spremljanje dogodkov v okviru računalniških sistemov evidentiranje varnostnih dogodkov (sporočenih in avtomatsko zaznanih), zavarovanje in hramba dokazov ukrepanje ob dogodkih v skladu z naravo dogodka in možnimi vplivi na varnost sistemov in gradiv v hrambi beleženje izvedenih ukrepov reden pregled in analiza evidentiranih varnostnih dogodkov opredelitev načina poročanja o varnostnih dogodkih Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ukrepi za zmanjševanje tveganj, povezanih z dolgoročno e-hrambo Uporaba osnovnih tehnoloških sredstev za vzdrževanje celovitosti in avtentičnosti gradiva in opredelitev načina uporabe. ETZ 2.5.1.1 ETZ 2.5.1.3 UKREPI Ob zajemu izvornega e-gradiva, ki vsebuje e-podpis, preveriti ETZ 2.5.1.4 njegovo veljavnost (metapodatek). Ob izročitvi tega gradiva v ETZ 2.5.1.5 arhiv predložiti tudi pripadajoče varnostne vsebine. Opredeljen postopek izdelave, hrambe in uporabe varnostnih kopij. ETZ 2.5.2.1 do ETZ 2.5.2.7 ETZ 2.5.2.10 Izdelan načrt neprekinjenega poslovanja (javnopravna oseba, ponudnik) ETZ 2.5.2.8 ETZ 2.5.2.9 ETZ 2.5.2.11 do ETZ 2.5.2.14 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 UKREPI Ukrepi za zmanjševanje tveganj, povezanih z naročanjem storitev pri zunanjem izvajalcu e-hrambe Priprava skupne ocene tveganja (naročnik, ponudnik). ETZ 6.1.1.1 Pogodbena ureditev najema storitve e-hrambe. ETZ 6.1.1.2 Uporaba akreditirane storitve e-hrambe (javnopravne osebe). ETZ 6.2.1.1 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Primer ocene tveganja Zmanjševanje tveganj z upoštevanjem predpisov Tveganje Propadanje nosilcev Verjetnost 5 Vpliv (škoda) 5 Ocena 25 Pogostost (rok) stalno Lastnik Ukrepi ETZ 4.3.1.2 Nosilec široko uporabljen, temelječ na priznanih standardih Spremljanje tehnologije ETZ 4.3.1.3 Nosilcishranjeni v ustreznih pogojih ETZ 4.3.1.4 Periodično preverjanje kakovosti zapisa Rutinski pregledi medijev (uporabnost) Več medijev Spremljanje tehnologije Zastaranje formatov 5 3 15 stalno ETZ 2.3.2.1 Določitev veljavnih formatov Izbira formatov za dolgoročno ETZ 2.4.1.1 Pretvorba gradiva v format za hrambo dolgoročno hrambo Priprava načrta pretvorbe Spremljanje tehnologije Zastaranje nosilcev 5 5 25 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik stalno ETZ 4.3.1.1 Določitev veljavnih uveljavljenih nosilcev Uporaba medijev ETZ 4.3.1.1 Določitev veljavnih nosilcev Osveževanje ETZ 4.3.1.2 Nosilec široko uporabljen, Periodični pregledi medijev temelječ na priznanih standardih Hramba kopijkakovosti gradivazapisa na ETZ 4.3.1.4 Periodično preverjanje (uporabnost) različnih medijih 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 O NAČINU IN POGOJIH IZVAJANJA STORITEV: REGULACIJA TRGA Tatjana Hajtnik Terminologija: oprema, storitev, ponudnik Oprema Storitev Ponudnik opreme in storitev Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Instrumenti regulacije trga na področju dolgoročne e-hrambe NOTRANJA PRAVILA za zajem in digitalno hrambo REGISTRACIJA ponudnika opreme in storitev AKREDITACIJA CERTIFIKACIJA opreme in storitev USPOSABLJANJE ZAPOSLENIH pri javnopravnih osebah in ponudnikih storitev STROKOVNI IZPITI in KREDITNE TOČKE SPLETNI REGISTRI Več o postopkih je na spletnem naslovu Arhiv RS: http://www.arhiv.gov.si/si/delovna_podrocja/ Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Registracija ponudnikov 1 ETZ 2.1 II.del: 1.1.1.1 – 1.1.1.3 ZVDAGA 83. člen (registracija ponudnikov opreme in storitev) 84. člen (register ponudnikov opreme in storitev) UVDAG 5. REGISTRACIJA PONUDNIKOV OPREME IN STORITEV: 26. člen (vložitev zahteve) 27. člen (jezik vloge) 28. člen (hramba dokumentacije) 29. člen (odločba o vpisu v register) 30. člen (sprememba podatkov ponudnika) 31. člen (pritožba vlagatelja) 32. člen (pridobivanje podatkov o ponudniku) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Registracija ponudnikov 2 kdo se mora obvezno registrirati? minimalni pogoji ponudnik storitve – obvezna ustrezna usposobljenost zaposlenih (21. člen UVDAG) upravna odločba upravni postopek Arhiv RS REGISTRACIJA ZAHTEVA Ponudniki preveri popolnost prijave in odredi vpis ponudnika v register ponudnikov Strokovno usposabljanje za ponudnike storitev Dostopen na spletni strani Tatjana Hajtnik Register ponudnikov (javen in brezplačno dostopen) 17. in 18. november 2014 Arhiva RS: http://reh.ars.gov.si/index.php?page=webInterface&idDefinition=1 Certifikacija opreme in storitev ZVDAGA 85. člen (certifikacija opreme in storitev) 86. člen (certifikacija) 87. člen (certifikacijski nadzor) UVDAG ETZ 2.1 III.del: Splošno: zahteve 1.2.1.1 – 1.2.1.4 HW: poglavje 2 SW: poglavje 3 Storitve: poglavje 4 33. člen (vložitev zahteve) 34. člen (predlog pogodbe) 35. člen (izvajanje akreditacije) 36. člen (tarifa za izvajanje akreditacije) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Protokol za pridobitev certifikata Arhiv RS PONUDNIK predlog pogodbe o izvajanju akreditacije certifikacije in splošni pogoji za izvajanje akreditacije certifikacije ed ita c ijs k in ad zo r 2 3 Podpisana pogodba Odločevalni postopek kr plačilo 20% nadomestila in stroškov postopka 4 1 Zahteva A certifikacijo pri Arhivu RS podpis pogodbe, plačilo nadomestila in stroškov postopka odločevalni postopek podelitev certifikata vpis v register certificirane opreme in storitev - opreme - storitev zajema in e-hrambe - spremljevalnih storitev 5 vložitev zahtevka za CERTIFIKAT SKLEP O AKREDITACIJI in VPISvVregister REGISTER Vpis akreditirane opreme certificirane opreme http://reh.ars.gov.si/index.php?page=webInterface&i dDefinition=2 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Certifikacija opreme in storitev Tipi certifikacij Preverjanje in priznavanje skladnosti z zahtevami ZVDAGA, UVDAG IN ETZ Prostovoljnaodplačna pogodbeno razmerje med ponudnikom in Arhivom RS Obvezna za opremo in storitve, ki se uporablja pri ustvarjalcih arhivskega gradiva Izvajanje na podlagi Splošnih pogojev za izvajanje akreditacije Ključni elementi ugotavljanja skladnosti (zakonodaja, odločevalni postopki, nadzor) Informacije o certificirani opremi in storitvah http://reh.ars.gov.si/index.php?page=webInterface&idDefinition=2 Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strojna oprema z zajem in e-hrambo Ključna strojna oprema: strežniki, diskovna polja, knjižnice, optični bralniki. Podelitev certifikata TRAJNO! Tveganja povezana s strojno opremo zaradi: nedelovanja, nadgradnje, zastaranja strojne opreme nezagotavljanja vzdrževanja strojne opreme okoljskih groženj (npr. strela) .. Ukrepi: UKREPI Uporaba strojne opreme, ki omogoča zajem in hrambo skladno z ZVDAGA (ETZ 2.1, II.del: 4.2.1.1. do 4.2.1.5). Obvezna uporaba certificirane strojne opreme: javnopravne osebe, ponudniki certificiranih storitev (ETZ 2.1, II.del: 4.2.1.6). Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Certifikacija strojne opreme ETZ 2.1 III.del: poglavje 2 ETZ III. del; 2.1.1.1 – 2.1.1.6 Certificira se model ali serija z navedbo modelov strojne opreme. ZAHTEVE ZA STROJNO OPREMO široko priznana in mednarodno uveljavljena DOKAZILA Izjava proizvajalca ali zastopnika skladna z mednarodnimi, državnimi in drugimi splošno priznanimi standardi: - nizkonapetostno direktivo - direktivo o elektromagnetni združljivosti - RoHS-direktivo skladna z ETZ – zagotovljena mora biti podpora in vzdrževanje opreme s Izjava proizvajalca oz. primernim odzivnim časom zastopnika – navodila za uporabo v slovenskem jeziku za podlagi izbora funkcij Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Programska oprema Različni tipi programske opreme glede na: nivo uporabe, odnos med ponudnikom in stranko, funkcionalnost • Raven uporabe programske opreme: aplikacijska programska oprema, vmesna oprema (angl. middleware), infrastrukturna programska oprema (npr. sistem za upravljanje podatkovne zbirke); • Odnos med ponudnikom in stranko programska oprema po naročilu prilagojena programska oprema tržna programska oprema po svetu razširjena tržna programska oprema (100 organizacij, 3 države) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Programska oprema Trije funkcionalni tipi (A, B in C) in pet podtipov (B.a, B.b, B.c, B.d in B.e) infrastrukturna programska oprema (A) programska oprema za podporo posameznim funkcionalnostim s podtipi (B): – popisovanje, poizvedovanje in uporaba gradiva, – zajem in pretvorba v digitalno obliko, – množični zajem (enkratno dejanje za večje sklope) za podporo e-hrambe istovrstnega gradiva (en rok hrambe, en klasifikacijski znak), – podpora trajne e-hrambe za gradivo, ki se ne spreminja (angl. read only), – podpora e-hrambe; programska oprema za podporo celotnemu postopku upravljanja gradiva v digitalni obliki (podpora pisarniškemu poslovanju, zajemu, hrambi).(C) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Razlike med funkcionalnimi tipi Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 ETZ2.1, III.del, stran 37 Tveganja povezana s programsko opremo in ukrepi Tveganja: UKREPI Vedno nove različice programske opreme. Izginjanje posameznih tipov programske opreme. Sprememba platforme in s tem povezana tveganja npr. podpora funkcionalnosti! (npr. fonti, formule, barva, število strani). Neustreznost specifikacij. Neustreznost testiranja. Nepravilne namestitve in konfiguracije. Neustreznost razvojnega okolja (vhodne, notranje in izhodne kontrole; preprečevanje nepooblaščenih sprememb). Nezagotavljanje dolgoročne varnosti (npr. formati, deponiranje izvorne kode, rezervne kopije, vzdrževanje). … Sprejeta dokumentirana metodologija razvoja programske opreme oz. postopek njene nabave. ETZ 4.4.3.1 Programska oprema mora biti pred uporabo preverjena oz. preizkušena. ETZ 4.4.3.3 ETZ 4.4.3.4 Strokovno usposabljanje za ponudnike storitev Zagotovljena tehnična in uporabniška Tatjana Hajtnik dokumentacija. 17. in 18. november 2014 ETZ 4.4.3.5 Certificiranje programske opreme ETZ 2.1 III.del: poglavje 3 Zahteve za programsko opremo (ZVDAGA, 71. člen, UVDAG, 20. člen) DOKAZILA Široko priznana in uveljavljena oziroma uporabljana izjava proizvajalca ali posebej razvita za zajem e-gradiva Skladna je z mednarodnimi, državnimi in drugimi splošno priznanimi standardi (npr. Common Criteria in ISO/IEC 15048, ISO 27001, Tick IT in ISO/IEC 90003) certifikati, revizijska poročila Skladna je z ETZ (zahteve za ISUD) revizijska poročila Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Certificiranje programske opreme Skladnost z ETZ Dokumentiranost življenjskega cikla razvoja in vzdrževanja Preverjanje ustreznosti specifikacij glede na funkcionalnost Ustreznost implementacije Smernice za vzpostavitev Zagotavljanje dolgoročne varnosti Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Certifikacija storitev ETZ 2.1 III.del: poglavje 4 Storitve varnih prostorov in druge storitve, ki ne predstavljajo storitve hrambe in zajema; Doseganje/nedoseganje osnovnih načel varne e-hrambe je povezano z: Zajem in e-hramba Spremljevalne storitve (odbiranje, pretvorba, urejanja, uničevanje, zagotavljanje usposobljenostjo zaposlenih, ki izvajajo storitev ter določitvijo njihovih pristojnosti in odgovornosti načinom izvajanja postopkov upravljanja z gradivom načinom upravljanja z informacijsko tehnologijo in nadzora nad tem uporabo strojne oz. programske opreme postavitvijo zahtev za zajem in e-hrambo uvedenimi varnostnimi kontrolami pogodbenim odnosom z zunanjim iz izvajalcem … Pravočasno ukrepanje pred zgornjimi tveganji je uporaba certificiranih storitev. Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Certifikacija storitev ETZ 2.1, II. in III.del Certifikacija storitve je preverjanje izvajanja potrjenih notranjih pravil in delovanja informacijskega sistema za zajem in e-hrambo. Predpogoji: registracija ponudnika -> usposobljenost zaposlenih cerificirana strojna in programska oprema potrjena notranja pravila Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Usposobljenost zaposlenih Usposobljenost zaposlenih Pogoji v ZVDAGA-A, 39. člen in UVDAG, 21. člen Pravilnik o strokovni usposobljenosti uslužbencev javnopravnih oseb ter delavcev ponudnikov storitev, ki delajo z dokumentarnim gradivom Usposabljanje in strokovni izpit (kreditne točke): − − Javnopravne osebe– pristojni javni arhivi Ponudniki storitev – Arhiv RS Dodeljevanje kreditnih točk različnim izobraževalnim dogodkom – podaljševanje veljavnosti strokovnega izpita (Arhiv RS) Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Obveznosti po ZVDAGA glede varstva gradiva v digitalni obliki - javnopravnih oseb - ponudnikov opreme in storitev - zasebnega sektorja Obveznosti javnopravnih oseb Javnopravna oseba oz. ustvarjalec javnega arhivskega gradiva ima v skladu z določbami ZVDAGA glede varstva digitalnega gradiva naslednje obveznosti: • . mora sprejeti notranja pravila notranja pravila mora dati, z izjemo organov državne uprave, v presojo Arhivu Republike Slovenije NP mora izvajati in spremljati izvajanje notranjih pravil (notranje preverjanje in dokumentiranje!) za varstvo arhivskega gradiva v digitalni obliki uporabljati samo pri državnem arhivu certificirane storitve. (72.člen/1 ods.) Arhivsko gradivo določi pristojni javni arhiv s pisnimi strokovnimi navodili za odbiranje a. g. iz dok. g. za vsako osebo posebej (34.č./odst.1). Do izdaje strokovnih navodil se z vsem dokumentarnim Strokovno usposabljanje za ponudnike gradivom javnopravnih osebstoritev ravna tako kot z arhivskim gradivom. (34.č./ods.2). 17. in 18. november 2014 Tatjana Hajtnik Obveznosti ponudnikov storitev Ponudniki storitev zajema in hrambe dokumentarnega gradiva v digitalni obliki spremljevalnih storitev morajo biti registrirani pri Arhivu RS (ZVDAGA, 83.člen) zaposlovati ustrezno usposobljene osebe, ki izvajajo storitev (ZVDAGA, 39.člen/8) imeti sprejeta in potrjena notranja pravila (ZVDAGA, 18 in 19.člen) za varstvo arhivskega gradiva v digitalni obliki uporabljati samo pri državnem arhivu certificirano opremo in storitve (ZVDAGA, 72.člen). Arhivsko gradivo določi pristojni javni arhiv s pisnimi strokovnimi navodili za odbiranje a. g. iz dok. g. za vsako osebo posebej (34.č./odst.1). Do izdaje strokovnih navodilstoritev se z vsem dokumentarnim Strokovno usposabljanje za ponudnike gradivom Tatjana Hajtnik javnopravnih oseb ravna tako kot z arhivskim 17. in 18. november 2014 gradivom. (34.č./ods.2). Obveznosti ostalih oseb zasebnega prava Zasebni sektor Kadar oseba zasebnega sektorja izvaja zajem in hrambo: sprejmejo notranja pravila po lastni presoji oziroma če to zahteva drug zakon (18.člen/1.ods.); lahko predložijo svoja notranja pravila v potrditev, a same nosijo stroške preverjanja (19.člen/2.ods.);. ni zavezana k uporabi certificirane opreme (72.člen/1.ods.). Kadar oseba zasebnega sektorja najema storitev zajem in hrambo zajema, hrambe ali spremljevalne storitve, NI zavezana k uporabi certificirane storitve (72.člen/1.ods.). Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Ostale informacije na spletni strani Arhiva RS Splošne informacije o digitalnem gradivu http://www.arhiv.gov.si/si/delovna_podrocja/hramba_dokumentarnega_gradiv a_v_elektronski_obliki/ O izobraževanjih in gradivo z izobraževanj http://www.arhiv.gov.si/si/delovna_podrocja/izobrazevanje_in_raziskovanje/ O drugih dogodkih in stališčih arhiva do strokovnih problemov Aktualno in Novice na naslovni strani http://www.arhiv.gov.si/si/ Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Vprašanja za ponavljanje (1) 1. 2. 3. Katere zaupne podatke poznamo in kateri predpisi jih obravnavajo? Kako dolgo hranimo posnetke videonadzora in evidence vstopov v/iz prostorov? Kateri predpis to določa? Opišite namen in cilj predhodne priprave na zajem in hrambo ter ključno vsebino. 4. Kaj so enotne tehnološke zahteve? 5. Opišite ključne elemente ocene tveganja. 6. Naštejte nekaj tipičnih tveganj pri e-hrambi. 7. 8. Kateri so ukrepi za zmanjšanje tveganj izgube gradiva zaradi propadanja oz. zastaranja nosilcev podatkov? Kateri so ukrepi za zmanjšanje tveganj izgube gradiva zaradi zastaranja formatov? Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Vprašanja za ponavljanje (2) 9. 10. 11. 12. 13. 14. 15. 16. Pojasnite pojme registracija in certifikacija. Kaj lahko certificiramo? Kakšne so zahteve za ponudnika storitve v javnem sektorju? Kako naročnik uveljavlja svoje zahteve do izvajalca? Naštejte nekaj ukrepov za obvladovanje tveganj izgube oz. poškodovanja gradiva, povezanih s človeškimi viri? Naštejte nekaj ukrepov za obvladovanje tveganj izgube oz. poškodovanja gradiva, povezanih z dostopi do gradiva? Naštejte nekaj ukrepov za obvladovanje tveganj izgube oz. poškodovanja gradiva, povezanih z informacijsko infrastrukturo in njenim upravljanjem? Na koliko lokacijah mora hraniti e-gradivo (zasebni sektor, javna uprava)? Katera so ključna področja, ki jih moramo razrešiti pri pogodbenemu odnosu med naročnikom in ponudnikom storitve e-hrambe? Kako ukrepamo ob varnostnih dogodkih? Strokovno usposabljanje za ponudnike storitev Tatjana Hajtnik 17. in 18. november 2014 Strokovno usposabljanje za ponudnike storitev 17. in 18. november 2014 VPRAŠANJA IN ODGOVORI Tatjana Hajtnik
© Copyright 2024