Předchůdce normy ISO 16363 - TRAC - byl publikován v roce 2007 a draft ISO normy ISO 16363 byl k dispozici už kolem roku 2010, kdy vzniklo známé Memorandum of understanding (http://www.trusteddigitalrepository.eu/Trusted%20Digital%20Repository.html). Existuje také český text normy, přeložený národní knihovnou v roce 2012 a publikovaný jako ČSN ISO 16363.
Zdaleka nejzajímavější byl pro mě osobně příspěvek pana Petra Hujňáka, který se na ISO 16363 podíval očima zkušeného auditora. Měl řadu poznámek k tomu, co v normě explicitně postrádá (rizikový apetit, atd.). Srozumitelně vysvětlil základní koncepty auditu informačních systémů, rozdíly mezi verifikací a validací, vazbu auditu na cíle organizace, koncepty risk-vulnerability-threat-assets z oblasti analýzy rizik. V řadě míst ISO 16363 není dostatečná asi také proto, že spoléhá na ISO 27001.
Povídání pana Širla, který seminář také moderoval, obsahovalo stručný přehled obsahu normy ISO 16363. Pan Širl, zdá se, je další člověk z ČR, který prošel týdenním školením Davida Giaretty a spol. v PTAB. Představil všechny části normy, ale bohužel neměl čas na podrobnosti.
Zkušenost s praktickou aplikací normy ISO 16363 měli reprezentovat pánové z Národní knihovny, ovšem jejich prezentace byly velmi obecné. Nedaleko na východ od nás má asi mnohem větší zkušenosti s ISO 16363 slovenský projekt CDA. CDA již před dvěma lety prošla prvním kolem certifikace podle ISO 270001 a self-auditu podle ISO 16363 a v současnosti se připravuje na další kolo. Jejich dokumentace je dostupná online na http://cda.kultury.sk/en/CDA_dokumenty a prezentace jejich zkušeností s aplikací ISO 16363 by asi byla zajímavější než bylo obecné povídání NK.
Z povídání pánů z NK nebylo jasné, v jaké fázi jejich použití normy je (příprava dokumentace, hotový self-audit, apod.), co přesně bylo/bude předmětem auditu (jaké technologie, sbírky - data, část organizace, jak v tom figuruje MZK apod.). Z informací na webu firmy AIP Safe (http://www.aipsafe.cz/en/about-us/news/ndl-certificate-ltp-audit) můžeme usoudit, že pravděpodobně půjde výhradně o audit technologií dodaných v rámci NDK a dat vzniklých v rámci tohoto projektu. Jakákoli dokumentace k aplikaci ISO 16363 v NK není nikde veřejně dostupná, takže zbývají jen dohady. Poněkud bizarně působilo tvrzení, že největším problémem pro NK (vedle financí, organizace - staffu) jsou formáty streamů - v kontextu homogenního archivu dat z projektu NDK, kde NK ukládá zatím jen jp2, txt soubory a xml tomu moc nerozumím. Možná kdyby o rizicích mluvil někdo, kdo s daty v NK skutečně pracuje, viděl by rizika především v data managementu....V kuloárech zaznělo, že NK připravuje letos ještě dokumentaci k self-auditu podle DSA, což ovšem podle mě mělo také veřejně zaznít.
Zajímavá byla závěrečná debata, jak jinak. Zaznělo v ní:
- řada systémů, které používají úřady, státní správa, apod. disponuje daty, která je třeba relativně dlouho uchovat. Nejde tedy jen o paměťové instituce a jejich data, ale také o data z oblasti zdravotnictví, data České správy sociálního zabezpečení nebo data z justice. V řadě případů jsou to data, která jsou nezbytná pro provoz státu, pro zajištění zdraví lidí, data kritických infrastruktur, data, která jsou potřeba pro prokázání občanských práv, bezpečnostní data apod.
- možná by mělo smysl, aby pro některá data byla zákonem dána povinnost ukládání v systémech certifikovaných podle normy podobné ISO 16363. Zákonná povinnost by mohla vypadat podobně, jako zákon o kybernetické bezpečnosti. Zaznělo i, že možná dlouhodobá péče o data měla předcházet péči o bezpečnost...k čemu je nám, že máme zabezpečené systémy, když nevíme, jak data v nich dlouhodobé uchovávat
- je třeba si uvědomit rozdíl mezi důvěryhodností systémů a dat v nich
- mluvilo se o eIDAS a o tom, jaké bude mít toto nařízení dopady
Z mého pohledu je představa, že povinnost certifikace podle ISO 16363 pro některé kritické infrastrukturní systémy státu určitě žádoucí. Nedovedu si ale představit širší aplikaci takových požadavků třeba do oblasti systémů pro správu dokumentů nebo spisových služeb. Jakkoli se k dlouhodobému ukládání postaví stát, bude to určitě znamenat více práce pro firmy a pro auditory...
Dnes již existuje hezká řada institucí, které auditem nebo certifikací podle TRAC nebo ISO 16363 procházejí. Naposledy jsme na PASIGu 2016 v Praze slyšeli zkušenosti Standfordské univerzity, která prošla externím auditem podle ISO 16363 od CLR (s tím ovšem, že certifikaci dostali jen jako TRAC ačkoli použili ISO 16363 kritéria a postupy auditu). Rozhodně bych si dovolil nesouhlasit s panem Širlem v tom, že se tato norma používá více v Evropě než v USA - právě naopak:
- Univerzity of Columbia, Scientific data center (více publikací, ale například poster http://www.ciesin.org/binaries/web/global/news/2013/downschenrda20130916posterindevalscidatactrfinal.pdf je zajímavý)
- ISPCR v University of Michigen
- Purdue University
- Consortium DataNet - University of North Carolina at Chapel Hill
- Deakin University, Geelong, Australia
- The Harvard Library Digital Repository Service
V Evropě pokud vím:
- síť 26 repozitářů v Portugalsku (https://www.doria.fi/bitstream/handle/10024/97611/OR2014_proposal_RCAAP_ISO16363_Audit_PAPER_FINAL.pdf?sequence=1)
- Dánská KB
Žádné komentáře:
Okomentovat