I soggetti pubblici o privati che svolgono attività di conservazione di documenti informatici e che intendano conseguire l’accreditamento presso AgID ai sensi dell’art. 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82 Codice dell’amministrazione digitale, devono possedere i requisiti di qualità e sicurezza di seguito riassunti:
- conformità allo standard ISO/IEC 27001:2013, richiamato anch’esso dal suddetto DPCM e che riguarda i requisiti di un SGSI (Sistema di Gestione per la Sicurezza delle Informazioni), è attestata dal certificato rilasciato da un Organismo di Certificazione accreditato e trasmesso all’Agenzia per l’Italia Digitale dal conservatore. Sono considerate valide le certificazioni già rilasciate a fronte della ISO/IEC 27001:2005 fino al termine di validità previsto, e comunque non oltre il 1ottobre 2015;
- adozione dello standard UNI 11386:2010 Standard SInCRO in merito alle modalità di struttura descrittiva dell’indice del pacchetto di archiviazione del sistema di conservazione;
- adozione dello standard ISO 14721:2002 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione, e alle raccomandazioni ETSI TS 101 33-1 V1.1.1 (2011-05), in merito ai requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni.
Sicurezza delle Informazioni
La conservazione sostitutiva è pertanto un modo nuovo di gestire le informazioni.
Le informazioni devono essere considerate come un elemento fondamentale delle gestione aziendale per poter effettuare business e pertanto è opportuno che le informazioni che vengono trattate con la conservazione sostitutiva siano protette, securizzate, tutelate.
Quando si parla in generale di “Information Security” ci si riferisce ad una molteplicità di aspetti tecnici, organizzativi e procedurali che tendono a proteggere l’hardware, il software, le informazioni, i servizi.
In particolare, per quanto riguarda le informazioni, le caratteristiche principali che devono essere protette sono:
- la riservatezza (o confidenzialità), che tende a garantire che le informazioni non possano essere accedute da soggetti non autorizzati, sia in modo intenzionale, sia in modo accidentale;
- l’integrità, che tende a garantire che le informazioni non possano subire alterazioni non autorizzate, siano esse accidentali o intenzionali;
- la disponibilità, che mira a garantire che i soggetti autorizzati possano effettivamente accedere alle informazioni ogniqualvolta sia necessario, anche in presenza di fenomeni ostativi accidentali o in presenza di azioni ostili deliberate che tendano ad impedirne l’accesso.
Un Sistema di Gestione di Sicurezza delle Informazioni conforme allo standard ISO/IEC 27001 è uno strumento attraverso il quale un’organizzazione può dimostrare di essere capace di tutelare in modo globale il proprio patrimonio informativo(o quello di terzi a lei affidato).
La Gestione della Sicurezza delle Informazioni aiuta a:
- assicurare la tutela dei dati e delle informazioni aziendali
- continuità del business dei servizi
- minimizzare i danni derivanti da eventuali incidenti
- massimizzare il rendimento del capitali investito
- massimizzare le opportunità di miglioramento
- validazione a livello probatorio dei processi certificati.
In questo ambito la norma ISO/IEC 27001 può diventare un riferimento per la corretta gestione dei rischi associati alla perdita di riservatezza, integrità e disponibilità delle informazioni gestite e alla corretta identificazione delle contromisure tecnologiche, organizzative, normative e procedurali da adottare per la mitigazione di tali rischi.
A cura di: Dott.ssa Alessandra Gervasi su fonte: CSQA.
Approfondimenti:
– Documentazione per accreditamento conservatori
