Lo standard europeo per i software e i sistemi di conservazione sostitutiva

Pubblicato da

standard europeo per i software e i sistemi di conservazione sostitutivaRecentemente l’Unione Europea ha pubblicato finalmente gli standard interoperabili e lo standard europeo per la conservazione digitale. L’ETSI World standard è l’organizzazione ufficiale per gli standard europei e si preoccupa di definire standard certi e sicuri per l’information e communications technologies.L’ETSI ha redatto due documenti specifici per il mondo digitale. Le due normative che di seguito andrò ad analizzare brevemente che fanno parte dello stesso standard, ovvero il 101 533-1 e 101 533-2, hanno lo scopo principale di definire i requisiti di sicurezza informatica che un operatore deve garantire al proprio sistema di conservazione delle informazioni e dei dati digitali. Iniziando dal 5331, possiamo affermare che tale documento affronta le problematiche di sicurezza di un sistema per la gestione delle informazioni aziendali e tali procedure si basano sulle norme Iso 27 001 e 27 002. Il documento definisce e riporta quelle che sono le tecnologie attuali per la gestione dei dati digitali e quindi si parla di firme digitali, di marche temporali, di riferimenti temporali, di integrià dei documenti e di quant’altro racchiude il mondo della conservazione sostitutiva. Ad esempio vengono indicate le tecnologie per le firme elettroniche utilizzate e riconosciute dalle unione europea, quali ad esempio CAdES, XAdES, PAdES, QES, etc. Il documento però non si propone di specificare i singoli requisiti tecnici di un sistema di conservazione, ma l’ETSI preferisce soffermarsi sulle procedure di sicurezza e quindi sui singoli processi che un sistema di conservazione sostitutiva deve necessariamente soddisfare. Si parla dunque di autenticazione, auditing, integrazione con altri sistemi, leggibilità dei documenti gestiti dal sistema, tipologie dei supporti di memorizzazione, formato dai documenti ammissibili, formati digitali e conversione dei dati da analogico al digitale e il tutto viene discusso in modo molto semplice e immediato. In realtà il documento ripropone quello che viene descritto all’interno della norma Iso iec 27 001 e 27 002 specificando maggiormente quali sono gli asset di gestione necessari per il sistema di conservazione digitale che si intende realizzare. Particolare importanza viene data alla gestione della sicurezza degli accessi al sistema, della riservatezza dei Log, del disaster recovery, della continuità operativa e della indicizzazione dei dati e dei documenti; infatti questo documento a mio parere rappresenta perfettamente tutti i i processi che un sistema di gestione elettronica documentale dovrebbe possedere al fine di garantire la sicurezza e l’integrità dei dati. Molto importante è ad esempio la discussione che ne deriva dallo “stato” di sicurezza che ogni utente deve avere per accedere ad un sistema di conservazione sostitutiva. A maggior ragione nel documento viene riportata anche la sicurezza fisica del perimetro di conservazione dei dati, quindi specificando anche il controllo fisico di accesso alle applicazioni e al hardware utilizzato. Vengono anche definiti i requisiti di protezione contro hacker e virus, ma soprattutto viene anche riportato un esempio di change management causato dall’adozione di un sistema di gestione elettronica documentale. La sicurezza invece della rete e dei sistemi di backup, è riproposta nel documento in modo molto approssimativo, ma a mio parere semplicemente perché dovrebbero essere dei requisiti già impliciti all’interno di un sistema di conservazione. Vi è anche una piccola parte che descrive l’accesso mobile alle applicazioni di conservazione, riportando ovviamente le giuste considerazioni sulla sicurezza di tali dispositivi mobili. Come era inuibile poi questo documento non descrive mai una specifica tecnologia, uno specifico linguaggio di programmazione o uno specifico formato, ma si preoccupa giustamente di discutere dei processi di sicurezza, di gestione, di sviluppo e di business in modo completamente procedurale e descrittivo, dando estrema importanza alla caratterizzazione dei flussi di lavoro. Il secondo documento, ovvero l’101 533-2 ha lo scopo invece di indicare le linee guida per i valutatori di un sistema di conservazione. Quindi una vera e propria task list per permettere ai controllori-valutatori appunto di verificare i singoli requisiti che un sistema di conservazione deve conseguire. Tale documento dunque si riferisce completamente all’101 533-1, ma in più permette al valutatore, di creare a sua volta un ulteriore documento contenente una tabella riassuntiva e specifica dei requisiti del sistema di conservazione sostitutiva. Quello che è interessante di questi due documenti è che gli standard o meglio le procedure descritte, dovrebbero essere effettivamente utilizzate in ambito europeo al fine di rendere sicuri, interoperabili e indipendenti dall’obsolescenza tecnologica tutti i sistemi di conservazione presenti sul mercato, anche grazie all’accento completamente “Open Source” che si dà allo standard e quindi  aperto come dovrebbe essere ad ogni possibile integrazione e cambiamento tecnologico nel tempo.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.