ISO 27001 e Conservazione sostitutiva

Con la pubblicazione nella Gazzetta Ufficiale n. 89 del 16 aprile 2014 della Circolare AgID n. 65/2014 entrano in vigore le nuove modalità per l’accreditamento e la vigilanza sui soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici.

I conservatori che intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato per qualità e sicurezza chiedono laccreditamento all’Agenzia per l’Italia Digitale.
 
Ricordiamo che la conservazione sostitutiva è un processo legale/informatico regolamentato dalla legge italiana, in grado di garantire nel tempo la validità legale di un documento informatico, inteso come una rappresentazione di atti o fatti e dati su un supporto sia esso cartaceo o informatico.

La conservazione sostitutiva equipara, sotto certe condizioni, i documenti cartacei con quelli elettronici e dovrebbe permettere ad aziende e all'amministrazione pubblica di risparmiare sui costi di stampa, di stoccaggio e di archiviazione. Il risparmio è particolarmente alto per la documentazione che deve essere, a norma di legge, conservata per più anni.

Conservare digitalmente significa sostituire i documenti cartacei, che per legge alcuni soggetti giuridici sono tenuti a conservare, con l'equivalente documento in formato digitale che viene “bloccato” nella forma, contenuto e tempo attraverso la firma digitale e la marca temporale. È infatti la tecnologia della firma digitale che permette di dare la paternità e rendere immodificabile un documento informatico, affiancata poi dalla marcatura temporale permette di datare in modo certo il documento digitale prodotto.
 

Requisiti di qualità e sicurezza per i conservatori


I soggetti pubblici o privati che svolgono attività di conservazione e che intendano conseguire l’accreditamento presso AgID ai sensi dell'art. 44-bis, comma 1, del decreto legislativo 7 marzo 2005, n. 82 Codice dell’amministrazione digitale devono possedere i requisiti di qualità e sicurezza di seguito riassunti:
  • conformità allo standard ISO/IEC 27001:2013, richiamato anch’esso dal suddetto DPCM e che riguarda i requisiti di un SGSI (Sistema di Gestione per la Sicurezza delle Informazioni), è attestata dal certificato rilasciato da un Organismo di Certificazione accreditato e trasmesso all’Agenzia per l’Italia Digitale dal conservatore. Sono considerate valide le certificazioni già rilasciate a fronte della ISO/IEC 27001:2005 fino al termine di validità previsto, e comunque non oltre il 1 ottobre 2015;
  • adozione dello standard UNI 11386:2010 Standard SInCRO in merito alle modalità di struttura descrittiva dell’indice del pacchetto di archiviazione del sistema di conservazione 
  • adozione dello standard ISO 14721:2002 OAIS (Open Archival Information System), Sistema informativo aperto per l’archiviazione, e alle raccomandazioni ETSI TS 101 33-1 V1.1.1 (2011-05), Requisiti per realizzare e gestire sistemi sicuri e affidabili per la conservazione elettronica delle informazioni. 
 

Sicurezza delle Informazioni

 
Conservazione sostitutiva è pertanto un modo nuovo di gestire le informazioni.
Le informazioni devono essere considerate come un elemento fondamentale delle gestione aziendale per poter effettuare business e pertanto è opportuno che le informazioni che vengono trattate con la conservazione sostitutiva siano protette, securizzate, tutelate.
 
Quando si parla in generale di “Information Security” ci si riferisce ad una molteplicità di aspetti tecnici, organizzativi e procedurali che tendono a proteggere l’hardware, il software, le informazioni, i servizi.
 
In particolare, per quanto riguarda le informazioni, le caratteristiche principali che devono essere protette sono:
 
  • la riservatezza (o confidenzialità), che tende a garantire che le informazioni non possano essere accedute da soggetti non autorizzati, sia in modo intenzionale, sia in modo accidentale;
  • l’integrità, che tende a garantire che le informazioni non possano subire alterazioni non autorizzate, siano esse accidentali o intenzionali;
  • la disponibilità, che mira a garantire che i soggetti autorizzati possano effettivamente accedere alle informazioni ogniqualvolta sia necessario, anche in presenza di fenomeni ostativi accidentali o in presenza di azioni ostili deliberate che tendano ad impedirne l’accesso.
 
Un Sistema di Gestione di Sicurezza delle Informazioni conforme allo standard ISO/IEC 27001 è uno strumento attraverso il quale un'organizzazione può dimostrare di essere capace di tutelare in modo globale il proprio patrimonio informativo (o quello di terzi a lei affidato).
 
La Gestione della Sicurezza delle Informazioni aiuta a:
  • assicurare la tutela dei dati e delle informazioni aziendali
  • continuità del business dei servizi
  • minimizzare i danni derivanti da eventuali incidenti
  • massimizzare il rendimento del capitali investito
  • massimizzare le opportunità di miglioramento
  • validazione a livello probatorio dei processi certificati.
 
In questo ambito la norma ISO/IEC 27001 può diventare un riferimento per la corretta gestione dei rischi associati alla perdita di riservatezza, integrità e disponibilità delle informazioni gestite e alla corretta identificazione delle contromisure tecnologiche, organizzative, normative e procedurali da adottare per la mitigazione di tali rischi.
 
 

CSQA e le certificazioni del settore tecnologico

 
CSQA Certificazioni, Organismo di certificazione leader nazionale nel settore del settore food, da un decennio opera anche con una divisione specializzata nei settori tecnologici dell’Information Tecnology.

E’ accreditata ACCREDIA per il rilascio di certificazioni: