140 likes | 304 Views
Povzetek seminarskih nalog za pridobitev naziva PRIS, 2011/2012. UPRAVLJANJE PONUDNIKA STORITVE HRAMBE DOKUMENTARNEGA GRADIVA V ELEKTRONSKI OBLIKI VKLJUČUJOČ PREGLED IT STORITVE HRAMBE. Robert Stražišar. Dokumentarno gradivo. Poslovni interes hranjenja
E N D
Povzetek seminarskih nalog za pridobitev naziva PRIS, 2011/2012 UPRAVLJANJE PONUDNIKA STORITVEHRAMBE DOKUMENTARNEGA GRADIVA V ELEKTRONSKI OBLIKIVKLJUČUJOČ PREGLED IT STORITVE HRAMBE Robert Stražišar
Dokumentarno gradivo • Poslovni interes hranjenja • Zakonodaja (ZGD-1, ZDavP-2, ZDDV-2, ZBan-1, ZVDAGA, ZVOP-1) • Čas hrambe • Dokumentarni sistemi / dolgoročna hramba • Arhivsko gradivo • ZVDAGA / ETZ • Zahteve (dostopnost, uporabnost, celovitost, avtentičnost)
Zunanji izvajalci • Namen in cilji (dejavnosti, znanja, uspešnost, sredstva, fleksibilnost) • Razlogi (zahteve ZVDAGA / ETZ) • Interna metodologija (politike, navodila, standardi) • Proces (odločitev, izbor, priprava, pilot, prenos, tveganja, povratek) • SLA (storitve, nivo, komunikacija, kriteriji, pričakovanja, spremembe)
Storitve in tveganja • Tveganja(storitve, nivo, odgovornosti, tehnologije, regulator, stroški, ugled) • SLA(kakovost, motnje, kršitve, nivo, razpoložljivost, tehnologija, zahteve) - Elementi (zakonske, cilji, storitve, merila, nivo) - Upravljanje (spremembe, periodika, izboljšave) - Zahteve (storitve, razpoložljivost, kapacitete, varnost, BCP) - Kontrolne točke in merila (časi, zmogljivost) - Tehnologija (infrastruktura, kontrole) • Spremljanje in poročanje SLA • Poročanje in obvladovanje incidentov(popisani, reševanje, vzroki, ukrepi) • Ocena tveganosti zunanjega ponudnika - Metodologija (proces, vsebina) - Poročila (notranja, ponudnika) - Vsebina (podatki, finančno, strateško, odvisnost, zadovoljstvo, tveganja) - Ocena iz poznavanja posla / ponudnika
Zakonske podlage hrambe • Zakon o varstvu dokumentarnega in arhivskega gradiva ter arhivih (ZVDAGA) (ureja način, organizacijo, infrastrukturo in izvedbo zajema ter hrambe, veljavnost in dokazno vrednost) • Uredba o varstvu dokumentarnega in arhivskega gradiva (ureja delovanje in notranja pravila, registracijo in akreditacijo; NP določajo ravnanje in pravno veljavnost – naj bi zagotavljala temeljna pravila ohranjanja uporabnosti, celovitosti, dostopnosti in avtentičnosti) • Enotne tehnološke zahteve 2.0 (ETZ) (podlaga za oblikovanje notranjih pravil, postopki zajema, metapodatki, obliko zapisa, tehnološka sredstva) • Zakon o elektronskem poslovanju in elektronskem podpisu (ZEPEP) – veljavnost elektronskega dokumenta in podpisa • Zakon o varstvu osebnih podatkov (ZVOP-1) – omejitev rokov hranjenja
Zajem in hramba gradiva Glede na zakonska določila moramo pri zajemu ali hrambi gradiva v digitalni obliki slediti naslednjim fazam priprave oziroma organizacije zajema in hrambe: • priprava na zajem in hrambo (popis virov gradiva, priprava študije upravičenosti, priprava študije izvedljivosti, priprava analize tveganj in ukrepov za njihovo zmanjševanje); • priprava in sprejem notranjih pravil za zajem in hrambo gradiva v digitalni obliki; • spremljanje izvajanja notranjih pravil in ukrepanje ob odstopanjih v skladu z notranjimi pravili (notranji nadzor); • spremembe in dopolnitev notranjih pravil zaradi spremembe veljavnih predpisov, tehnološkega napredka, spoznanj stroke ali ugotovitev pomanjkljivosti pri internem nadzoru.)
Zakonska veljavnost in dokazna vrednost dokumentarnega gradiva • Na podlagi zakona: Na podlagi zakona se vsaka enota varno hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega gradiva, če sta bila zajem in varna hramba opravljena v skladu s pri državnem arhivu potrjenimi notranjimi pravili ter če drug zakon izrecno ne določa drugače. • Na podlagi nepotrjenih notranjih pravil: Če oseba, ki varno hrani gradivo, dokaže, da varno hrambo gradiva izvaja v skladu s svojimi notranjimi pravili ter da so ta pravila, čeprav niso potrjena od državnega arhiva, v skladu z zahtevami zakona in na njegovi podlagi izdanimi podzakonskimi predpisi ter enotnimi tehnološkimi zahtevami, se vsaka enota varno hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega gradiva. • Po posameznem primeru: Če oseba, ki hrani gradivo, hrambe nima urejene z notranjimi pravili, se enota hranjenega gradiva v digitalni obliki šteje za enako posamezni enoti izvirnega gradiva, če izpolnjuje pogoje varne hrambe v enaki meri kot enota izvirnega gradiva. To se uporablja tudi: – v primeru hrambe v skladu z od nadzornega organa potrjenimi notranjimi pravili, če gre za primer, ki ga pravila ne urejajo; – v primeru, da oseba, ki hrani gradivo, ima notranja pravila, vendar v konkretnem primeru hrambe teh pravil ni spoštovala.
Identificiranje tveganj in izbira področja in obsega pregledaiz pridobljenih podatkov v družbi Iz letne ocene Izračun ocene tveganosti dobavitelja izhaja, da družba ocenjuje celotnega dobavitelja in njegove storitve kot netvegane in je med drugim utemeljena s sledečim: • pri Arhivu Slovenije registriran ponudnik strojne, programske opreme, spremljevalnih storitev in storitev e-hrambe, • ima potrjena notranja pravila za elektronsko hrambo in spremljevalne storitve, • ima akreditirano programsko opremo, • nudi storitve tudi drugim primerljivim družbam, • so bili opravljeni pregledi s strani drugih naročnikov in nadzornih organizacij, kjer ni bilo ugotovljenih večjih nepravilnosti, • v Izračunu ocene tveganosti družbe je navedeno, da zakonska skladnost ponudnika družbi zagotavlja, da so dokumenti, ki so predani na obdelavo in hrambo zajeti in arhivirani skladno s predpisanimi standardi, • pooblaščenca za varovanje informacij in varstvo osebnih podatkov sta na osnovi poslanega vprašalnika pripravila mnenje o ustreznosti informacijske varnosti zunanjega izvajalca. Kot iz poročila sledi ni ugotovljenih večjih nepravilnsoti, • iz pridobljenih poročil SLA ni razvidno, da bi bili kakršni koli problemi.
Identificiranje tveganj in izbira področja in obsega pregledaiz pridobljenih podatkov iz uvodnega razgovora pri ponudniku • Prva verzija programska oprema ponudnika storitve je akreditirana. Verzija se je dograjevala, akreditacija za novejše verzije se ni opravila. • Pregled programske opreme ni bil še nikoli izveden. • Na skupni programski opremi na kateri teče storitev se je na eni od funkcionalnosti zgodil incident pri prehodu nove različice programske opreme v produkcijo. Družba o incidentu ni bila obveščena, omenjene funkcionalnosti pa sicer sama ne uporablja. • Do sedaj pri ponudniku storitve še ni bilo izvedenega nobenega celovitega pregleda procesa upravljanja hrambe dokumentarnega gradiva oziroma nadzora izvajanja notranjih pravil. Družba je samo registrirana ne pa akreditirana za opravljanje storitev hrambe. • V prostorih ponudnika je bil opravljen pregled s strani nadzornika v sklopu pregleda poslovanja druge družbe. Pregled je zajel fizično varovanje, edina večja ugotovljena nepravilnost je bila odpravljena. • Pri ponudniku storitve je bil s strani druge družbe opravljen pregled regijskega centra na dislocirani lokaciji, kjer se vrši zajem dokumentarnega gradiva in, kjer ni bilo ugotovljeno nepravilnosti. Hkrati je bilo izvedeno tudi preverjanje izjav zaposlenih o nerazkritju informacij, kjer ni bilo ugotovljenih nepravilnosti.
Na osnovi zbranih informacij je bila v revizijski skupini sprejeta odločitev, da se bo glede na razpoložljiv obseg ur za revizijo, pri zunanjem ponudniku krovno pregledalo naslednja področja: Izbira obsega pregleda • Upravljanje sprememb z nekaterimi elementi razvoja aplikacij, • Zagotavljanje neprekinjenosti poslovanja (BCP, DRP), • Varstvo osebnih podatkov.
Upravljanje sprememb • ETZ III/3.2.1 Življenjski cikel razvoja in vzdrževanja programske opreme. (dokumentiran) • ETZ III/3.2.2 Upravljanje konfiguracij. (Opredeliti prehod na višjo, akreditacija za osnovno verzijo.) • ETZ III/3.2.3 Postopek upravljanja sprememb. • ETZ III/3.2.5 Namestitev v produkcijsko okolje. (Obveščati uporabnika ob vsaki namestitvi nove verzije v produkcijo, ne glede na pričakovani vpliv.) • ETZ III/3.2.7 Preizkus programskega produkta. (Zagotoviti izdelavo in izvedbo testnih scenarijev in jih priložiti k formalni potrditvi uspešnosti testiranja.)
Zagotavljanje neprekinjenosti poslovanja ETZ II/2.5.2 • Neprekinjeno poslovanje Varnostne kopije • Sekundarna lokacija • Načrt za obnovo podatkov • Načrt preizkusiti 1 x letno • Načrt neprekinjenega delovanja • Načrt delovanja preizkusiti 1 x letno
Varstvo osebnih podatkov • Ali ima družba sklenjene pogodbe o varovanju osebnih podatkov (v osnovni pogodbi ali v obliki dodatka k sklenjeni pogodbi o opravljanju dogovorjenih storitev) s ponudnikom storitve? • Ali ima družba pogodbo o obdelovanju osebnih podatkov, kjer družba nastopa kot upravljavec osebnih podatkov, zunanji izvajalec pa kot pogodbeni obdelovalec osebnih podatkov? • Kako se posredujejo podatki o uporabniškem imenu in geslu za dostop do aplikacije ter digitalno potrdilo?
Zaključek Družbi predlagamo, da oceni tveganja in sprejme ustrezne ukrepe na spodnjih področjih : • Programsko opremo za storitev hranjenja razvija sam ponudnik, med pregledom so bile ugotovljene pomanjkljivosti. • Družba ima svojo storitev registrirano ne pa akreditirano, zaradi česar je potrebno oceniti obseg in pogostost nadzora zunanjega izvajalca storitve. • Zagotoviti testiranje neprekinjenosti poslovanja tako pri sebi kot pri ponudniku. Vprašanje za konec Ali imajo dokumenti organizacije, ki ima formalno potrjena notranja pravila res upravičeno avtomatsko zakonsko privzeto višjo vrednost pravne veljave in dokazne vrednosti? - Kdo zagotavlja, da je bila hramba opravljena skladno s potrjenimi notranjimi pravili – zunanjega neodvisnega pregleda namreč ni? - Kje lahko najde nasprotna stranka indice za dvom, ali je bila hramba izvedena skladno s sprejetimi in potrjenimi notranjimi pravili in izpodbija pravno veljavnost in dokazno vednost takega gradiva?