Informacijsko varnost1 na splošno opredelimo kot varovanje podatkov in informacijskih sistemov pred nezakonitim dostopom, uporabo, razkritjem, ločitvijo, spremembo ali uničenjem. Informacijska varnost pomeni zaupnost, celovitost in razpoložljivost podatkov ne glede na njihovo obliko: elektronsko, tiskano ali katero drugo. Zagotavljanje varnosti in zanesljivosti informacijske infrastrukture je upravljavski in ne tehnološki proces. Ni in ne sme biti enkratno dejanje, varnost in zanesljivost informacijske infrastrukture moramo ves čas izboljševati (glej Slika 1). Zasnova in vpeljava sistema varovanja v organizacijo je odvisna od njene velikosti, strukture, poslovnih potreb in ciljev ter iz tega izhajajočih varnostnih potreb in procesov, ki jih izvaja.
Slika 1: Sistem nenehnega izboljševanja informacijske varnosti (Demingov krog2)
V okviru tega priročnika se osredotočamo predvsem na zagotavljanje načel varne hrambe gradiva3 skozi njegov celoten življenjski cikel, ne glede na njegov način in obliko4 nastanka, ter zaščito vseh informacijskih virov, ki so povezani z zajemom, upravljanjem in e-hrambo tega gradiva. Osnovni principi zagotavljanja informacijske varnosti in njenega upravljanja so zagotovitev razpoložljivosti (dostopnosti)5, celovitosti6 in zaupnosti7 sredstev informacijskega sistema. V kontekstu varnega zajema in e-hrambe gradiva te principe nadgrajujemo še z načelom zagotavljanja njegove uporabnosti, avtentičnosti (verodostojnosti) in varovanja kot kulturnega spomenika v primeru, da je to gradivo arhivsko. S tem področje zagotavljanja informacijske varnosti povežemo in hkrati omejimo na zagotavljanje načel varne hrambe gradiva kot jih določa ZVDAGA. Ta namreč za enega ključnih elementov varne hrambe gradiva postavlja ravno zagotavljanje informacijske varnosti. Razlog je v tem, da je gradivo v elektronski obliki občutljivo, mogoče ga je hitro spreminjati in te spremembe je tudi težje ugotoviti. Spremembe ali celo izguba gradiva so lahko:
Načela dostopnosti, uporabnosti, celovitosti, avtentičnosti in zaupnosti so torej tista načela, ki so pomembna predvsem zaradi varovanja gradiva pred njegovo izgubo, nepooblaščenimi spremembami ali nepooblaščenim razkritjem. Za določen del gradiva pa tudi zaradi zagotavljanja njegove pravne veljavnosti, saj je le kot tako lahko tudi dokazno gradivo v primeru, ko ljudje z njegovo pomočjo iščejo svojo pravno varnost.
V primeru arhivskega gradiva se na podlagi teh načel zagotavlja tudi integriteta arhivske vrednosti posameznih dokumentov ali njihovih zaokroženih celot.
Gradivo oziroma reprodukcija njegove vsebine mora biti ves čas trajanja hrambe zavarovana pred izgubo ali okrnitvijo celovitosti ter dostopna tistim, ki imajo za to ustrezna pooblastila.
Načelo uporabnosti gradiva pomeni zmožnost reprodukcije in primernost reprodukcije za uporabo ves čas trajanja hrambe (npr. branje, tiskanje dokumenta).
Načelo celovitosti zagotavlja točnost, nespremenljivost in popolnost gradiva oziroma reprodukcije njegove vsebine, urejenost gradiva oziroma njegove vsebine ter dokazljivost izvora gradiva (provenience) ves čas njegove hrambe. Do izgube celovitosti lahko pride npr. zaradi neprimerno ugasnjenega informacijskega sistema ali ko informacijski strežnik nenadoma izgubi električno energijo. Izgubo celovitosti lahko povzroči tudi nenameren ali zlonameren izbris določene datoteke.
Informacije, ki veljajo za zaupne že po naravi, so lahko dostopne, uporabljene ali razkrite osebam, ki imajo za njih pooblastilo in takrat, ko je to resnično potrebno. Zagotavljanje zaupnosti torej pomeni preprečevanje namernega ali nenamernega nepooblaščenega razkritja podatkov in je lahko poslovna, v mnogih primerih pa tudi etična in pravna zahteva. V kontekstu tega priročnika je to načelo postavljeno bolj v ozadje, saj je v ospredje postavljeno zagotavljanje varne hrambe gradiva v smislu njegove dostopnosti, uporabnosti, celovitosti in avtentičnosti.
Zagotavljanje avtentičnosti predstavlja dokazljivost povezanosti reproducirane vsebine z vsebino izvirnega gradiva oziroma izvorom tega gradiva ali poenostavljeno povedano, gradivo ne sme biti nepooblaščeno spremenjeno.
Avtentičnost gradiva zagotavljamo z dodajanjem varnostnih vsebin gradivu, to so elektronski podpis, časovni žig ali druga sorodna tehnološka sredstva, oziroma z zagotavljanjem dodatnih organizacijskih ukrepov (npr. zanesljivo dodani metapodatki, kontrole, revizijske sledi).
Načelo varovanja kulturnega spomenika izhaja iz dejstva, da je arhivsko gradivo kulturni spomenik in mora biti varovano kot takšno. Ob zgoraj navedenih načelih, ki se morajo zagotavljati tako za dokumentarno kot arhivsko gradivo skozi njegov celoten življenjski cikel, se pojavljajo še druga načela, ki so povezana z dolgoročno hrambo arhivskega gradiva v elektronski obliki in izhajajo iz arhivske stroke (načelo proaktivnosti, načelo vzpostavljanja in ohranjanja verodostojnih metapodatkovnih struktur, načelo celovitega zajemanja stanja podatkov za hrambo, načelo celovite normalizacije tehničnih in vsebinskih specifikacij).
sinonimi za informacijsko varnost so tudi varovanje računalniških sistemov, varovanje informacij↩
Demingov krog stalnih izboljšav ali PDCA (Plan-Do-Check-Act); William Deming, matema- tik in fizik, rojen leta 1900 v ZDA↩
dokumentarnega in arhivskega↩
fizično ali elektronsko↩
angl. availability↩
angl. integrity↩
angl. confidentiality↩