Zakonodaja določa, da mora vsaka oseba, ki izvaja zajem in hrambo digitalnega gradiva, pripraviti in sprejeti notranja pravila, s katerimi natančno opredeli vse organizacijske in tehnične postopke, ki jih pri tem izvaja.
Natančne zahteve zakonodaje so zavedene v KONTROLNEM SEZNAMU za potrjevanje notranjih pravil in preverjanje njihovega izvajanja ter izpolnjevanja pogojev za pridobitev akreditacije storitve v skladu z Zakonom o varstvu dokumentarnega in arhivskega gradiva ter arhivih, ki je objavljen na spletni strani Arhiva RS. V nadaljevanju so navedena nekatera pomembnejša področja, ki so za izvajanje e-hrambe opredeljena z notranjimi pravili. Tako je treba natančno opredeliti organiziranost osebja za izvajanje e-hrambe ter definirati njihove vloge, pooblastila in odgovornosti. Natančno je treba opisati vse postopke, ki opredeljujejo organizacijsko in tehnično izvajanje e-hrambe. Pripraviti in redno vzdrževati je treba oceno tveganj, ki mora zajemati najmanj podatke o strojni in programski opremi, prostorih, varovanju in človeških virih. Podatki o vseh informacijskih virih za izvajanje e-hrambe morajo biti ustrezno dokumentirani, popis pa je treba ažurno vzdrževati. Delovanje informacijskega sistema za izvajanje varne hrambe je treba redno spremljati in ga ustrezno dokumentirati. Natančno je treba opredeliti postopke ravnanja z informacijskimi sredstvi, ki določajo nabavo, namestitev, testiranje, prenos iz testnega v produkcijsko okolje in zamenjavo informacijskih sredstev. Posebej je treba opredeliti postopek odstranitve in uničenja nosilcev podatkov, na katerih se hrani digitalno gradivo. Vsak ponudnik, ki izvaja storitve e-hrambe, mora imeti sprejeto informacijsko varnostno politiko oz. sistem varovanja in upravljanja varovanja informacij (SUVI). Za izvajanje e-hrambe je treba pripraviti, vzdrževati in vaditi načrt neprekinjenega poslovanja (BCP). Opredeliti je treba, kako se zagotavlja varnostno kopiranje in restavriranje v primeru okrevanja po katastrofi (povzeto po: Interno navodilo, E-ARHIV Pošte Slovenije, 2008).
E-hramba se zakonsko izvaja skladno šele tedaj, ko se v notranjih pravilih opredeljeni postopki tudi dejansko izvajajo. Vsak subjekt, ki izvaja zajem in hrambo, mora sproti ažurirati vse spremembe in dopolnitve notranjih pravil, vedno pa takrat, ko se spremeni vsebina notranjih pravil (zamenjava opreme, sprememba organiziranosti, postopkov izvajanja itn.), ko se spremenijo veljavni predpisi, če to zahtevajo tehnološki napredek, spoznanja stroke ali se ugotovijo pomanjkljivosti obstoječih notranjih pravil.
Avtentičnost in celovitost hranjenega digitalnega gradiva Pošta Slovenije zagotavlja s časovnim žigosanjem vsake posamezne enote gradiva, ki se sprejme v e-hrambo. Z varnim časovnim žigom certifikatske agencije POŠTA®CA se vsakemu digitalnemu dokumentu doda natančno informacijo o času, s čimer se pravno veljavno potrdi, da je obstajal v času sprejema v hrambo. Sistem e-hrambe sam poskrbi, da se pred potekom veljavnosti obstoječega časovnega žiga gradivo ponovno časovno žigosa. Takšen način lahko neskončno ohranja avtentičnost, saj z vsakim ponovnim časovnim žigosanjem podaljša veljavnost digitalnega gradiva do datuma poteka veljavnosti novega časovnega žiga. Ob vstopu gradiva v sistem e-hrambe se samodejno preveri tudi veljavnost kvalificiranega digitalnega potrdila vsakega digitalno podpisanega dokumenta.
Vse aktivne komponente sistema e-hrambe so lokalno podvojene, kar zagotavlja njihovo neprekinjeno delovanje v primeru odpovedi. Ne glede na to pa obstaja še dodaten sistem e-hrambe, ki je nameščen na geografsko ločeni lokaciji. Takšen način omogoča, da v primeru večje oz. popolne odpovedi sistema na eni lokaciji, sistem na drugi v celoti zagotavlja nemoteno izvajanje storitve. Hkrati se na več kot 100 km oddaljeno rezervno lokacijo samodejno varnostno kopira vse hranjeno gradivo, ki omogoča reprodukcijo hranjenega gradiva iz varnostnih kopij. Vsaka enota gradiva se hrani na treh ločenih lokacijah, kar zagotavlja visoko stopnjo varnosti gradiva pred izgubo.
Prenos digitalnih dokumentov se v sistem e-hrambe pošilja po varnem transportnem kanalu, ki deluje na sporočilno osnovani varnosti, kjer se vsak posredovani digitalni dokument skupaj z metapodatki posreduje v obliki sporočila, ki je kriptirano in digitalno podpisano. Sporočilo se kriptirano in digitalno podpisano prenaša skozi celotno omrežje (tudi lokalno), torej od uporabniške aplikacije do aplikacije sistema e-hrambe. Takšen način je mnogo varnejši od SSL načina zaščite komunikacijskega kanala, kjer se med komunikacijskimi napravami uporabnika in ponudnika storitve kriptira samo transportni kanal, gradivo pa se po tem kanalu prenaša v običajni, nekriptirani obliki (Interno navodilo, E-ARHIV Pošte Slovenije, 2008).
Skupni varni prostor ima v primerjavi s porazdeljenimi (lastnimi) nedvomne prednosti. Podatki naročnikov so bolj varni predvsem zaradi tega, ker se varni prostor nahaja na fizično oddaljeni lokaciji in ker je zaradi več investitorjev praviloma tudi bolje zasnovan kot lastni varni prostor. Poleg tega se upravitelj varnega prostora s to dejavnostjo profesionalno ukvarja, kar tudi pripomore k večji varnosti naročnikovih podatkov (Rozman T., 2009, str.137-150).
hh
Sistem e-hrambe je varovan z večnivojskim sistemom za zaznavo in preprečevanje vdorov, kar onemogoča nepooblaščen dostop do gradiva. Dodatno je sistem e-hrambe varovan z naprednim protivirusnim sistemom, ki se redno posodablja. Do komponent lahko dostopajo samo pooblaščeni vzdrževalci, nameščene pa so v varnih informacijskih centrih, ki zagotavljajo visok nivo zaščite pred potresom, elektromagnetnim udarom, plini, tekočinami, prahom, vlomi in drugimi okoljskimi vplivi. Fizično-tehnična varnost se zagotavlja s kontrolo vstopa, obhodi varnostnikov, varnostnimi območji, senzorji gibanja, videonadzorom itn. Aktivna protipožarna zaščita uporablja posebni, za IT prilagojen gasilni sistem, ki ne ogroža IT-opreme in življenja ljudi.
Pošta Slovenije v osnovnem paketu e-arhiva nudi tudi (Interno navodilo, E-ARHIV Pošte Slovenije, 2008):
- Z ZVDAGA skladna e-hramba digitalnega dokumentarnega in arhivskega gradiva ves čas hrambe.
- Zagotavljanje avtentičnosti in celovitosti gradiva ves čas hrambe.
- Hkratna hramba vsake enote digitalnega gradiva na treh geografsko ločenih lokacijah.
- Časovno žigosanje posamezne enote gradiva z varnim časovnim žigom ob prejemu gradiva v hrambo; časovni žigi se ne zaračunavajo dodatno.
- Ponovno časovno žigosanje pred potekom obstoječega časovnega žiga; ponovno časovno žigosanje se ne zaračunava dodatno. Vsaka enota gradiva se za prenos od naročnika do E-Arhiva kriptira in digitalno podpiše.
- Samodejno preverjanje veljavnosti digitalnega podpisa vsakega dokumenta. - »On-line« dostop neomejenega števila pooblaščenih uporabnikov po principu 24/7; število uporabnikov se ne zaračunava dodatno.
- Samodejno razvrščanje gradiva po klasifikacijskem načrtu.
- Visoka razpoložljivost storitve; zagotovljeno je neprekinjeno poslovanje.
- Zagotavljanje okrevanja po katastrofi; varnostne kopije vsega gradiva na več kot 100 km oddaljeni lokaciji.
- Preprečevanje nepooblaščenih posegov v gradivo; visok nivo sistemske, aplikativne in fizično tehnične varnosti.
- Preprečevanje izgube gradiva; vsa oprema je najmanj podvojena in zagotavlja visoko zanesljivost.
- Materialna odgovornost ponudnika v primeru izgube gradiva.
- Preprečevanje vpogleda nepooblaščenim uporabnikom v vsebino gradiva.
- Materialna odgovornost ponudnika v primeru razkritja poslovne skrivnosti ali razkritja osebnih podatkov s strani ponudnika.
- Upravljanje s pravicami dostopa uporabnikov na vseh nivojih hierarhije strankinega arhiva; vsak uporabnik lahko dela na gradivu le dejavnosti, za katere je pooblaščen.
- Izvajanje verodostojnih in časovno žigosanih revizijskih sledi; spremljanje aktivnosti uporabnikov na gradivu.
- Z ZVDAGA skladna e-hramba digitalnega dokumentarnega in arhivskega gradiva ves čas hrambe.
- Zagotavljanje avtentičnosti in celovitosti gradiva ves čas hrambe.
- Hkratna hramba vsake enote digitalnega gradiva na treh geografsko ločenih lokacijah.
- Časovno žigosanje posamezne enote gradiva z varnim časovnim žigom ob prejemu gradiva v hrambo; časovni žigi se ne zaračunavajo dodatno.
- Ponovno časovno žigosanje pred potekom obstoječega časovnega žiga; ponovno časovno žigosanje se ne zaračunava dodatno. Vsaka enota gradiva se za prenos od naročnika do E-Arhiva kriptira in digitalno podpiše.
- Samodejno preverjanje veljavnosti digitalnega podpisa vsakega dokumenta. - »On-line« dostop neomejenega števila pooblaščenih uporabnikov po principu 24/7; število uporabnikov se ne zaračunava dodatno.
- Samodejno razvrščanje gradiva po klasifikacijskem načrtu.
- Visoka razpoložljivost storitve; zagotovljeno je neprekinjeno poslovanje.
- Zagotavljanje okrevanja po katastrofi; varnostne kopije vsega gradiva na več kot 100 km oddaljeni lokaciji.
- Preprečevanje nepooblaščenih posegov v gradivo; visok nivo sistemske, aplikativne in fizično tehnične varnosti.
- Preprečevanje izgube gradiva; vsa oprema je najmanj podvojena in zagotavlja visoko zanesljivost.
- Materialna odgovornost ponudnika v primeru izgube gradiva.
- Preprečevanje vpogleda nepooblaščenim uporabnikom v vsebino gradiva.
- Materialna odgovornost ponudnika v primeru razkritja poslovne skrivnosti ali razkritja osebnih podatkov s strani ponudnika.
- Upravljanje s pravicami dostopa uporabnikov na vseh nivojih hierarhije strankinega arhiva; vsak uporabnik lahko dela na gradivu le dejavnosti, za katere je pooblaščen.
- Izvajanje verodostojnih in časovno žigosanih revizijskih sledi; spremljanje aktivnosti uporabnikov na gradivu.
Izvajanje e-storitev Pošte Slovenije
Da se sploh javnopravni ali poslovni subjekt odloči, da bo začel izvajati zajem in hrambo digitalnega gradiva, mora pripraviti natančno predhodno analizo, s katero bo ugotovil, ali razpolaga z vsemi potrebnimi viri, ki mu bodo omogočali zakonsko skladno izvajanje e-hrambe. Tako mora izvesti pripravo na zajem in hrambo, v kateri mora popisati vire gradiva, pripraviti študiji upravičenosti in izvedljivosti ter analizo tveganj in ukrepe za njihovo zmanjševanje. Na podlagi rezultatov, ki jih ugotovi v predhodni analizi, se lahko odloči, ali bo e-hrambo izvajal v lastni režiji, ali pa bo storitve raje najemal pri ponudnikih storitev e-hrambe.
Zunanje izvajanje storitev, pri nas bolj znano s tujko »outsourcing«, je v tujini dokaj uveljavljena praksa. V Sloveniji se mnogi poslovni in javnopravni subjekti le s težavo odločijo, da bodo katerega od svojih poslovnih procesov dali zunanjemu izvajalcu, saj želijo večino teh opravljati sami. V primeru, ko so predmet zunanjega izvajanja storitev e-hrambe in spremljevalnih storitev, je lahko težava v tem, da dokumentarno gradivo mnogokrat vsebuje zaupne informacije o poslovanju subjekta, podatke o naročnikih, osebne podatke, podatke o zaposlenih in druge pomembne informacije, ki za subjekt predstavljajo poslovno skrivnost. Razkritje teh informacij predstavlja tveganje za poslovanje subjekta, zato jih le s težavo zaupajo ponudnikom storitev e-hrambe. Prav gotovo pa bi moral vsak subjekt, ki bi želel e-hrambo opravljati samostojno, tako iz funkcionalnega kot iz stroškovnega vidika dobro razmisliti, ali lahko zadosti zahtevam zakonodaje, ali pa je bolje, da opravljanje storitve e-hrambe zaupa za to usposobljenemu kredibilnemu ponudniku (Godec B., 2009, str. 55-67).
Glede na to, da Pošta Slovenije zadnja leta gradi svojo prepoznavnost v okviru projektov internega poslovanja, daje predvsem poudarek brezpapirnemu poslovanju v vseh segmentih, kar ne pomeni le elektronsko poslovanje, temveč tudi ekološko ozaveščeno delovanje podjetja. Storitve elektronskega poslovanja ponuja na trgu, kjer se pojavlja kot že uveljavljen ponudnik storitev certifikatske agencije z digitalnim podpisovanjem in časovnim žigosanje ter storitev varne izmenjave elektronskih sporočil v okviru moja.posta.si in poslovna.posta.si.
Že dlje časa je Pošta Slovenije največji ponudnik storitev zakupa varnih sistemskih prostorov tako v fizični kot elektronski obliki. Pošta želi glede na že podpisane pogodbe osvojiti pomemben tržni delež predvsem na področju elektronskega arhiva. Izkušnje na tem področju kažejo, da je ozaveščenost poslovne javnosti glede uvajanja elektronskega arhiviranja v tem trenutku na zelo nizki ravni. Stranki ni dovolj kupiti le strežniške zmogljivosti in na njih hraniti elektronsko dokumentacijo, saj takšen način shranjevanja pomeni, da je dokazovanje avtentičnosti tega gradiva treba opraviti za vsak dokument posebej, v kolikor pa uporablja storitev elektronskega arhiva Pošte Slovenije, za nespremenljivost dokumenta jamči Pošta Slovenije. Trenutni kazalci kažejo, da tudi e-arhiv Pošte Slovenije beleži pričakovane rezultate.
Ni komentarjev:
Objavite komentar