SILVIO SALZA - Università di Roma “La Sapienza” – 1

CENTRO DI ECCELLENZA ITALIANO SULLA CONSERVAZIONE DIGITALE

Depositi digitali: definizioni, standard, certificazione

MARIA GUERCIO

Università degli Studi di Roma “La Sapienza”

CINI- Consorzio Interuniversitario Nazionale per l’Informatica

maria.guercio@uniroma1.it

Work supported by the European Community under the

Information Society Technologies (IST) program of the 7th FP for RTD

project APARSEN, ref. 269977

SILVIO SALZA - Università di Roma “La Sapienza” – 2

LICENZA DI DIRITTO D’AUTORE

Questo materiale è rilasciato sotto licenza Creative Commons CC BY-NC-ND

Questa licenza implica che:

• È possibile copiare e distribuire liberamente questo materiale, a patto che non vengano apportate modifiche e che vengano mantenute le indicazioni di chi è l'autore dell'opera.

• Ciò è però consentito esclusivamente quando avvenga per scopi non commerciali.

• Non è consentito di distribuire opere derivate, cioè contenenti qualsivoglia modifica rispetto al materiale originale.

Per maggiori dettagli si rimanda direttamente alla licenza:

• Riassunto della licenza: http://creativecommons.org/licenses/by-nc-nd/3.0/it/deed.it

• Licenza completa: http://creativecommons.org/licenses/by-nc-nd/3.0/it/legalcode

i depositi digitali nei progetti e negli standard internazionali

deposito digitale: una definizione - 1

• E’ definito come “un luogo” dove memorizzare, consentire l’accesso e conservare oggetti digitali di diversa natura e complessità insieme ai metadati necessari per descrivere e gestire gli oggetti medesimi.

• Il rapporto del Research Library Group sui Trusted digital repositories costituisce un punto di partenza e fornisce una struttura di riferimento per sviluppare concetti di base sulla conservazione digitale

deposito digitale: una definizione - 2

• I requisiti fondamentali previsti dal rapporto riguardano:• Il deposito e le relative politiche, standard e infrastrutture

tecnologiche• Il deposito in quanto sistema accreditato (ovvero un

sistema di sw e hw fondato su regole certe)• E’ implicito il principio di assunzione di responsabilità per la

conservazione e tutte le attività correlate inclusa la definizione di metodologie di valutazione e monitoraggio

• La prima sfida è quella di trasformare i servizi e i depositi tradizionali in servizi e depositi digitali accreditati

criteri di creazione (TRAC e NESTOR)

• Le raccomandazioni del documento RLG-NARA, Task Force on digital repository certification, Audit checklist for certifying digital repositories (www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf) individuano 4 aree di riferimento:

– organizzazione interna: policy per la conservazione, documentazione delle finalità, responsabilità, procedure e risorse, gestione della qualità (ISO 9000), pianificazione delle risorse

– cooperazione con i produttori e gli utenti finali: definizione della comunità di riferimento, criteri di selezione, linee guida per l’acquisizione, accordi e cooperazione con i produttori, politiche per l’accesso, servizi di consultazione

– gestione tecnica del sistema: conformità agli standard (es. ISO 15489:2001 sul RM, ISO 17799:2005 sulla sicurezza dell’informazione, ISO OAIS 14721), documentazione dei processi tecnici (disegno di sistema delle funzioni conservative della DL), garanzie di autenticità e integrità del sistema, ambiente HW e SW adeguato, fattibilità della migrazione, flessibilità e modularità)

– gestione tecnica degli oggetti digitali (metadati descrittivi, di gestione, di conservazione e accesso, vocabolari controllati, codici di identificazione persistenti, autenticità e integrità degli oggetti, formati di archiviazione controllati, disponibilità a lungo termine degli oggetti)

requisiti essenziali negli standard internazionali

• conformità allo standard OAIS in quanto capace di fornire un modello funzionale (per l’archiviazione e l’accesso) e informativo (per la gestione dei metadati descrittivi e conservativi) adeguato

• chiara responsabilità amministrativa

• adeguatezza organizzativa e procedurale del deposito

• sostenibilità finanziaria dell’intervento nel lungo periodo

• idoneità della infrastruttura tecnologica

• sicurezza del sistema

La finalità è quella di assicurare il grado necessario di affidabilità del sistema mediante il riconoscimento di procedure esplicite e formalizzate

le responsabilità

• amministratore generale e amministratori di settore;

• record manager per il sistema documentario del deposito, archivisti o bibliotecari per la digital curation delle rappresentazioni digitali; esperti di dominio;

• specialisti ICT (sia nel disegno che nell’implementazione dei sistemi);

• personale per la gestione dei servizi di base e per la sicurezza

• esperti di gestione del rischio;

i parametri della certificazione dei depositi nei progetti internazionali

• La certificazione è un processo ordinato di interventi di verifica sul corretto funzionamento di un sistema di conservazione.

• Riguarda innanzitutto la capacità di provare la credibilità del deposito e dei suoi contenuti

• Poiché un sistema è il risultato di una combinazione di elementi o parti, anche di altri sistemi, la sua certificazione dovrà esprimersi attraverso una successione di atti di verifica che insistono sul sistema investendo tutte le sue parti.

• Un programma di certificazione, per essere efficace, deve dunque avere confini certi

• Certezza e sistematicità sono tuttavia difficili da garantire nell’ambiente aperto e dinamico della conservazione digitale

un quadro stabile in un contesto dinamico

• Necessità di distinguere tra l’auto-valutazione (progetto DRAMBORA) e l’auditing esterno a cura di terzi (progetto MOIMS, poi ISO 16363)

• Necessità di definire parametri interni ed esterni al processo:

– attributi e checklist (TRAC): alla base delle raccomandazioni e degli standard

– costi e tempi del processo di certificazione

– durata della validità e modalità di gestione delle ‘scadenze’

raccomandazioni e standard: lo stato dell’arte

• Dalle linee guida CCSDS allo standard ISO 16363 (metrica per la certificazione) e allo standard 16919 (linee guida per l’attività di auditing)

• I principali attori e le fasi del processo:

– NARA-RLG-OCLC (2002-2007: TRAC)

– CCSDS (2003-2011: MOIMS, ISO, PTAB)

– DCC (2004-2009: DRAMBORA)

– NESTOR (2006: criteri di accreditamento)

– DINI-CNI (2006-2007: soft certification)

– ADRI (2007: Australasian Digital Recordkeeping Initiative)

Trusted Digital Repositories:Attributes and Responsibilities

An RLG-OCLC Report

RLGMountain View, CA

May 2002

criteri di creazione (dalle raccomandazioni internazionali TRAC e NESTOR)

Le raccomandazioni del documento RLG-NARA, Task Force on digital repository certification, Audit checklist for certifying digital repositories (www.rlg.org/en/pdfs/rlgnara-repositorieschecklist.pdf) individuano 4 aree:

• organizzazione interna: policy per la conservazione, documentazione delle finalità, responsabilità, procedure e risorse, gestione della qualità (ISO 9000), pianificazione delle risorse

• cooperazione con i produttori e gli utenti finali: definizione della comunità di riferimento, criteri di selezione, linee guida per l’acquisizione, accordi e cooperazione con i produttori, politiche per l’accesso, servizi di consultazione

• gestione tecnica del sistema: conformità agli standard (es. ISO 15489:2001 sul RM, ISO 17799:2005 sulla sicurezza dell’informazione, ISO OAIS 14721), documentazione dei processi tecnici (disegno di sistema delle funzioni conservative della DL), garanzie di autenticità e integrità del sistema, ambiente HW e SW adeguato, fattibilità della migrazione, flessibilità e modularità)

• gestione tecnica degli oggetti digitali (metadati descrittivi, digestione, di conservazione e accesso, vocabolari controllati, codici di identificazione persistenti, autenticità e integrità degli oggetti, formati di archiviazione controllati, disponibilità a lungo termine degli oggetti)

che cosa si certifica

• Persone: livelli di formazione e competenze interdisciplinari, aggiornamento • Programmi: mandato istituzionale, risorse finanziarie, staff, infrastrutture di

servizio, gestione e conservazione dei depositi, sviluppo dei patrimoni digitali conservati, accesso

• Processi: livello di normalizzazione e controllo delle procedure (ISO 14721, standard sulla sicurezza) con particolare attenzione per il trasferimento

• Dati: normalizzazione nella gestione dei contenuti e dei metadati (ISO 9000, metadati descrittivi e amministrativi, norme sulla interoperabilità, ad esempio UniSincro per i volumi/lotti di conservazione)Non tutti i depositi sono uguali: open-access repository, depositi istituzionali, depositi digitali per la conservazione, archivi digitali di livello locale, regionale, nazionale e internazionale. In molti casi la conservazione non è un obiettivo prioritario né necessario. Per altri invece è un obbligo (come nel caso degli archivi nazionali)

• Standard di riferimento lo standard ISO 16363 (TC 20 SC13), ma anche lo standard ISO 17068 (TC46 SC11)

come si certifica - 1

• Sulla base di un modello di riferimento (OAIS)

• In relazione a parametri definiti (TRAC, DRAMBORA e RAC-ISO 16363)

• Con il supporto di buone pratiche per le quali sono ancora in via di sperimentazione i parametri di misurazione (PTAB)

• Grazie allo sviluppo di profili professionali adeguati per l’audit e la certificazione

come si certifica - 2

• Con l’ausilio di standard e linee guida di carattere quantitativo e qualitativo (standard ISO 9000, ma anche standard 27001:2005 sulla sicurezza)

• Con il supporto di documentazione pre-definita dalla normativa o sulla base di routine di dominio (esempio manuale di gestione per la qualità del sistema di gestione documentario del deposito)

• Con nuovi strumenti (ad esempio il manuale della conservazione previsto dalle regole tecniche in corso di approvazione).

chi certifica

• Mancano figure professionali

• Mancano esperienze consolidate

• Servono metodologie miste sia dal punto di vista delle discipline che dei metodi (serve una combinazione di interventi di autovalutazione condotti sulla base di check-list standard e fasi di controllo affidate a programmi collaudati esterni di accreditamento e monitoraggio che prevedano la presenza di competenze distinte ma in grado di cooperare)

quanto si certifica

• La conformità alla metrica prevista dallo standard ISO 16363 non può che essere dichiarata in relazione a una valutazione

• Si sono infatti rese necessarie linee guida di accompagnamento per aiutare il lavoro di auditing (ISO 16919)

• Si prevede inoltre che il processo di auditing e le regole normalizzate destinate a facilitarne lo sviluppo saranno oggetto di miglioramenti continui sulla base delle esperienze avviate

i principi guida

• documentazione dei processi di conservazione (con particolare attenzione per la presunzione di autenticità: vedi progetto APARSEN WP 24),

• trasparenza,

• adeguatezza,

• misurabilità,

• connessione a reti/standard internazionali, ma anche conformità a pratiche/legislazioni nazionali

le prospettive di sviluppo

• standard internazionali e raccomandazioni nazionali per la definizione di criteri e requisiti per la valutazione dei depositi,

• Conformità alle normative e ai contesti nazionali specifici nel processo effettivo di audit e accreditamento – sviluppo di una cornice generale e comune di criteri validi sul piano

internazionale, – esecuzione in contesti nazionali o comunque definiti dei processi di

valutazione e verifica che conducono all’accreditamento dei depositi,– costituzione di reti e consorzi locali di depositi accreditati e

possibilmente federati

gli standard ISO 16363 e 16919 - 1

• Il progetto in corso di maggior rilievo al fine della certificazione dei depositi digitali è quello costituito dal progetto RAC (Repository Audit Certification) avviato nel 2007 per iniziativa del settore aerospaziale (CCSDS) con l’ambizione di dar vita a standard internazionali riconosciuti, coerenti con lo standard ISO OAIS 14721 e finalizzati a

– sostenere i processi di accreditamento e certificazione dei depositi digitali,

– fornire una guida e favorire la produzione di guide tecniche di best practice,

– offrire elementi di conoscenza per sviluppare capacità interne di ‘auto-certificazione’,

– rendere disponibili basi tecniche per la elaborazione di strumenti operativi,

– predisporre un modello di miglioramento continuo in questo ambito.

gli standard ISO 16363 e 16919 - 2

• Tra gli obiettivi principali si è stabilito di ottenere il riconoscimento delle regole da parte dell’ISO nella forma di linee guida e raccomandazioni per le attività di auditing a fini di accreditamento dei depositi digitali conformi al modello OAIS. Il comitato tecnico di riferimento ISO (TC 20/SC 13 -Space Data and Information Transfer Systems) è il medesimo cui si deve l’approvazione del modello OAIS

• Lo standard è in fase avanzata di approvazione

base di partenza e finalità degli standard ISO 16363 e ISO 16919

• La base di partenza è costituita dai criteri di audit e certificazione esistenti, con specifico riferimento alla checklist predisposta dal gruppo di lavoro RLG/NARA e al lavoro di semplificazione realizzato dal progetto tedesco NESTOR, simili nella struttura e basati entrambi sul modello OAIS.

• Si è anche tenuto conto degli standard di audit e certificazione ISO 9000 e ISO 27000.

• Gli obiettivi specifici riguardano la definizione di una struttura gerarchica (e non una semplice lista) di requisiti e profili di certificazione in grado di sostenere livelli diversi di valutazione degli archivi digitali e l’elaborazione – come s è detto – di due standard ISO, l’uno finalizzato a una metrica per la certificazione dei depositi (ISO 16363), il secondo riferito alla individuazione di linee guida per i verificatori/auditor (ISO 16919)

gli standard ISO 16363 e ISO 16919

• I requisiti sono discussi ed esemplificati nel medesimo ordine utilizzato nel rapporto TRAC e riguardano

– la infrastruttura organizzativa (capitolo 3),

– la gestione degli oggetti digitali (capitolo 4) e

– la gestione del rischio in relazione alla infrastruttura tecnica e alla sicurezza (capitolo 5).

• Per ogni requisito la metrica di valutazione è accompagnata da esempi concreti dei modi in cui la conformità possa o debba essere documentata e quindi misurata e verificata

gli elementi di valutazione per la certificazione (ISO 16363) - 1

– mandato istituzionale coerente con le finalità anche in termini di garanzia di continuità in caso di trasformazioni istituzionali

– personale competente ed esperto per tutti i compiti affidati (tecnologici, organizzativi, archivistici) adeguato in numero e riconosciuto nelle responsabilità

– strumenti e meccanismi per garantire l’aggiornamento professionale del personale

– procedure e linee d’azione coerenti inclusive di meccanismi di verifica e aggiornamento sul piano tecnologico e organizzativo

– strumenti di verifica e monitoraggio interni finalizzati a sostenere la continuitàdella funzione conservativa

– valutazione esterna periodica sulle funzionalità del deposito– documentazione dei cambiamenti intervenuti nel deposito con riferimento

alle procedure, al software, all’hardware e in relazione alle strategie di conservazione adottate

– strumenti per la verifica dell’integrità delle risorse digitali conservate– pianificazione delle attività al fine di garantire la sostenibilità del deposito

gli elementi di valutazione per la certificazione (ISO 16363) - 2

– accordi di deposito con eventuali altri depositi federati– funzioni, attività e procedure di acquisizione degli oggetti digitali che

includano:• elementi e attributi per ciascuna tipologia di oggetti (identificati secondo

standard internazionali)• definizione sulla base di accordi scritti con i soggetti produttori che

depositano/versano i documenti/archivi delle procedure e delle modalità di gestione e di accesso

• linee guida per l’acquisizione• requisiti per un controllo fisico degli oggetti depositati• verifica della completezza e accuratezza degli elementi informativi• disponibili (secondo i parametri indicati dal modello OAIS)• documentazione delle responsabilità per la conservazione• utilizzo di sistemi che garantiscano la identificazione univoca degli oggetti

e i legami con le informazioni di rappresentazione• utilizzo di meccanismi indipendenti di verifica dell’integrità dei contenuti

del deposito

gli elementi di valutazione per la certificazione (ISO 16363) - 3

– esistenza e documentazione di strategie di pianificazione della funzione conservativa e di migrazione/gestione che includano i riferimenti ai registri dei formati secondo gli standard internazionali

– Identificazione e gestione dei metadati descrittivi e gestionali/amministrativi

– politiche per l’accesso in grado di garantire risposte certe e documentate

– sistemi di tracciamento dei file di log in grado di testimoniare le criticità degli accessi

– strumenti in grado di garantire l’esibizione di documenti autentici

– infrastruttura tecnologica adeguata in termini di sistemi operativi, funzioni di backup, ridondanza (almeno 3 copie) e collocazione sicura delle copie, garanzie per il loro allineamento, meccanismi di verifica delle perdite e delle manipolazioni, processi di migrazione, di documentazione dei processi di gestione del ciclo di vita e del loro impatto sulla conservazione

gli elementi di valutazione per la certificazione (ISO 16363) - 4

– sistemi di sicurezza di alta qualità che includano:

• l’analisi sistematica dell’ambiente, dei dati, del personale, degli impianti e delle attrezzature, delle esigenze

• meccanismi di implementazione

• un sistema chiaro di ruoli, responsabilità e autorizzazioni

• piani scritti di disaster recovery regolarmente verificati

• processi per la continuità del servizio

la sperimentazione di attività di audit

• 6 test: di audit stati condotti al fine di verificare l’applicablità della metrica definita nello standard 16363

– 3 in Europa (UKDA, CINES, DANS)

– 3 negli Stati Uniti (NSSDC, SEDAC, Kentucky State Archive)• E’ stato costituito un gruppo di lavoro per lo sviluppo di attività di audit (PTAB -

Primary Trustworthy Digital Repository Authorisation Body): www.iso16363.org/preparing-for-an-audit

alcuni interrogativi

Are the bits safe?

Are the data understandable/usable by the Designated Community?

Is authenticity safeguarded (evidence based) E.g. Is the information really what it is claimed to be?

Can the digital holdings be handed over to another repository if/when necessary?

Why do they think people (including their funders) should trust them?

la certificazione è un processo finalizzato a

• migliorare la qualità dei servizi

• fornire elementi per valutare il grado di sviluppo delle soluzioni

• avviare un ciclo di certificazioni e future verifiche

qualche risultato esemplificativo - 1

• Metric 3.3.1 THE REPOSITORY SHALL HAVE DEFINED ITS DESIGNATED COMMUNITY AND ASSOCIATED KNOWLEDGE BASE(S) AND SHALL HAVE THESE DEFINITIONS APPROPRIATELY ACCESSIBLE.

– The PTAB Test Audit Team interpretation of this metric during the <SITE> Test Audit was that it required evidence that there was a defined Designated Community for each AIP.

– The metric was not satisfied. There were no records or documentary evidence presented to describe any Designated Community, nor any AIP associations with any Designated Community.

qualche risultato esemplificativo - 2

• METRIC 3.1.2 THE REPOSITORY SHALL HAVE A PRESERVATION STRATEGIC PLAN THAT DEFINES THE APPROACH THE REPOSITORY WILL TAKE IN THE LONG-TERM SUPPORT OF ITS MISSION

– Currently there is no preservation strategic plan separate from the overall strategic plan of the organization. However, within the new strategic plan 2011-2015 attention is given to preservation aspects. This Strategic Plan will be published in June. The metric was not satisfied.

qualche risultato esemplificativo - 3

• Metric 3.3.2 THE REPOSITORY SHALL HAVE PRESERVATION POLICIES IN PLACE TO ENSURE ITS PRESERVATION STRATEGIC PLAN WILL BE MET.

– The metric was not satisfied. Documentation of Preservation Policy, associated workflows and operating procedures was incomplete and out of date.

qualche risultato esemplificativo - 4

• Metric 3.3.3 THE REPOSITORY SHALL HAVE A DOCUMENTED HISTORY OF THE CHANGES TO ITS OPERATIONS, PROCEDURES, SOFTWARE, AND HARDWARE.

– Currently, <SITE> does not formally document all changes to its operations, procedures, software and hardware. There is no procedure in place for documenting. The metric was not met.

qualche risultato esemplificativo - 5

• Metric 4.1.4 THE REPOSITORY SHALL HAVE MECHANISMS TO APPROPRIATELY VERIFY THE DEPOSITOR OF ALL MATERIALS.

– The system does not yet properly check such changes with the depositor’s (old) e-mail address or notify the data-manager or administrator. The metric was not met.

qualche risultato esemplificativo - 6

• Metric 4.1.7 THE REPOSITORY SHALL PROVIDE THE PRODUCER/DEPOSITOR WITH APPROPRIATE RESPONSES AT AGREED POINTS DURING THE INGEST PROCESSES.

– This metric was not met. The ingest process as described did not clearly show at what point a submitter was told : “<SITE> has completed the ingest and has assumed full stewardship of the data submitted. “

qualche risultato esemplificativo - 7

• Metric 4.2.5.2 THE REPOSITORY SHALL HAVE TOOLS OR METHODS TO DETERMINE WHAT REPRESENTATION INFORMATION IS NECESSARY TO MAKE EACH DATA OBJECT UNDERSTANDABLE TO THE DESIGNATED COMMUNITY.

– This metric was not satisfied. In our discussions, we perceived that <SITE>s view of their designated communities was ambiguous. Consequently, there were few indications that representation information was being organized to support the long term use and understanding of the AIPs. While a great deal of representation information, and indeed, metadata in general is being collected, there appear to be few opportunities within <SITE> for explicit review of those ancillary data in light of changes in long-term preservation needs of one or more Designated Communities.

la definizione di policy e reportistica

• registro dei rischi ai sensi dello standard Iso 270001,

• documentazione relativa ai processi di validazione,

• manuale di gestione o direttiva sul sistema documentario del deposito,

• procedure per gestire le restrizioni all’accesso,

• procedure per la sicurezza,

• procedure per il disaster recovery plan,

• elenco e descrizione degli standard per il trattamento dei dati e dei documenti conservati,

• sistema di classificazione,

• modelli per la consultazione,

• procedure per l’assunzione di personale,

• direttive per le attività di ricerca,

• documento sul controllo degli accessi,

• accordo per la gestione dei dati con i produttori (accordi di servizio),

• procedure per il ripristino delle copie di back up,

• moduli per lo scarto,

• procedure per la formazione di AIP e DIP.

la certificazione e l’accreditamento dei depositi digitali nella normativa nazionale

i nodi chiave dell’accreditamento dei soggetti conservatori - 1

• La qualificazione dei soggetti conservatori ai fini dell’accreditamento implica che i soggetti

– siano in grado di dimostrare l'affidabilità organizzativa, tecnica e finanziarianecessaria per svolgere l’attività di conservazione,

– utilizzino personale dotato delle conoscenze specifiche, dell'esperienza e delle competenze necessarie per i servizi forniti, in particolare della competenza a livello gestionale, della conoscenza specifica nel settore della gestione documentale e conservazione di documenti informatici e della dimestichezza con procedure di sicurezza appropriate,

– rispettino le norme del Cad e le regole tecniche di cui all'articolo 71 (regole tecniche sulla conservazione ma anche regole tecniche sulla gestione documentale)

i nodi chiave dell’accreditamento dei soggetti conservatori - 2

– applichino procedure e metodi amministrativi e di gestione adeguati e conformi a tecniche consolidate,

– dispongano di sistemi affidabili e sicuri di conservazione realizzati e gestiti in conformità alle disposizioni contenute nel decreto delle regole tecniche previste dal Cad e in conformità ai criteri di sicurezza dello standard Etsi inerenti i requisiti di sicurezza dei sistemi di conservazione, ma anche in conformità ai criteri di interoperabilità dello standard Uni 11386:2010 SInCRO - Supporto all'Interoperabilità nella Conservazione e nel Recupero degli Oggetti digitali,

– adottino adeguate misure contro la contraffazione dei documenti idonee a garantire la riservatezza, l'integrità e la sicurezza dei documenti informatici oggetto di conservazione

gli obblighi derivano dal quadro normativo nazionale

• CAD (dlgs 235/2010), artt. 43, 44, 44 bis

• Dpcm 3 dicembre 2013, regole tecniche sul sistema di conservazione

• Dpr 445/2000, artt. 67-69 e regole tecniche sul protocollo informatico (dpcm 3 dicembre 2013) per le pp.aa., ma anche per il sistema di gestione documentale del soggetto responsabile della conservazione in conto terzi

• Agid: circolare 65/2014 sull’accreditamento; documento per l’accreditamento dei soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici: requisiti di qualità e sicurezza per l’accreditamento e la vigilanza; elenco profili professionali per i soggetti conervatori

• Legge 4/2013 sulle professioni non regolamentate

in particolare la normativa di riferimento sui poli di conservazione

• Dpr 445/2000, artt. 68-69 (per le pp.aa.): versamento periodico dei documenti e degli strumenti di ricerca negli archivi di Stato o nella separata sezione d’archivio

• Regolamento sul funzionamento dell’Archivio centrale dello Stato (dm 7 ottobre 2008), art. 6, comma 2: «costituisce repository degli archivi centrali degli organi centrali dello Stato e degli atti di stato civile, previa intesa e di concerto con il Centro nazionale di raccolta del Ministero dell’interno»

• Codice dell’amministrazione digitale, dlgs 235/2010, art. 44bis (conservatori accreditati), art. 50 (continuità operativa), art. 51 (sicurezza)

• Dpcm 3 dicembre 2013, Regole tecniche sulla conservazione, artt. 4 (oggetti della conservazione), 5 (modelli organizzativi), 6 (ruoli e responsabilità), 7 (responsabile della conservazione), 8 (manuale della conservazione), art. 9 (processo di conservazione), 12 (sicurezza), 13 (accreditamento) e relativi allegati

il CAD – art. 44bis (accreditamento e certificazione)

• 1. I soggetti pubblici e privati che svolgono attività di conservazione dei documenti informatici e di certificazione dei relativi processi per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità e di sicurezza, chiedono l’accreditamento presso DigitPA.

• 2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31 (articoli 26: requisiti dei certificatori, art. 27: certificatori qualificati, art. 29: accreditamento e art. 31: vigilanza) ovvero gli obblighi e i controlli previsti dal Cad per gli enti certificatori che rilasciano certificati di firma digitale

• 3. I soggetti privati di cui al comma 1 sono costituiti in società di capitali con capitale sociale non inferiore a euro 200.000

i riferimenti principali degli standard

• Standard archivistici rilevanti:

– OAIS: riferimenti agli standard pubblicati sul sito del CCSDS (Reference model for an open archival information system poi ISO 14721 e Audit and certification of trustworthy digital repositories poi evoluto (grazie all’azione del CCSDS) negli standard ISO 16363 sulla certificazione dei depositi e ISO 16919 sulle attività di auditing)

– UNI 11386:2010 Standard SInCRO, Supporto all'Interoperabilità̀ nella Conservazione e nel Recupero degli Oggetti digitali (basato su OAIS e parzialmente su PREMIS)

– ISO 15489 record management per la gestione formale dei documenti (req. 22)

– ISO 23182 metadati per la gestione documentale

profili di competenza: il contesto europeo (EQF) e le norme sulle professioni non regolamentate

• Il contesto europeo: European Qualification Framework (2008), raccomandazione del Parlamento europeo:

– comparare i livelli di qualificazione europei e nazionali

– favorire l’integrazione e lo scambio

– promuovere l’aggiornamento professionale

• Si basa sulla definizione di conoscenze (principi, teoria, esperienza), abilità (capacità di applicare le conoscenze nei casi concreti), competenza (capacità riconosciuta di agire in modo indipendente e responsabile sia in ambito operativo che nella definizione di problemi teorici)

le conoscenze ed esperienze tecniche (documento sui profili professionali di Agid)

• Requisiti generali

– contratto a tempo indeterminato o contratto di almeno 3 anni

– indicazioni precise sui titoli di studio o sugli anni di esperienza nel ruolo

• Profili per la gestione documentale e conservazione dei documenti :

– responsabile della funzione archivistica di conservazione (laurea specifica + 3 o 2 anni/5 anni senza laurea)

– responsabile per la conservazione digitale (laurea generica + 5 anni/8 anni senza laurea)

– responsabile dei sistemi informativi per la conservazione (laurea scientifica + 3 anni/5 anni senza laurea)

– responsabile dello sviluppo e della manutenzione del sistema di conservazione(laurea scientifica + 3 anni/5 anni senza laurea)

le conoscenze ed esperienze tecnico-archivistiche (documento sui profili professionali di Agid) - 1

• responsabile della funzione archivistica di conservazione: definizione e gestione del processo di conservazione, incluse le modalità di trasferimento da parte dell’ente produttore, di acquisizione, verifica di integrità e descrizione archivistica dei documenti e delle aggregazioni documentali trasferiti, di esibizione, di accesso e fruizione del patrimonio documentario e informativo conservato; definizione del set di metadati di conservazione dei documenti e dei fascicoli informatici; monitoraggio del processo di conservazione e analisi archivistica per lo sviluppo di nuove funzionalità del sistema di conservazione; collaborazione con l’ente produttore ai fini del trasferimento in conservazione, della selezione e della gestione dei rapporti con il Ministero dei beni e delle attività culturali per quanto di competenza

le conoscenze ed esperienze tecnico-archivistiche (documento sui profili professionali di Agid) - 2

• responsabile per la conservazione digitale: definizione e attuazione delle politiche complessive del sistema di conservazione, nonché del governo della gestione del sistema di conservazione; definizione delle caratteristiche e dei requisiti del sistema di conservazione in conformità alla normativa vigente; corretta erogazione del servizio di conservazione all’ente produttore; gestione delle convenzioni, definizione degli aspetti tecnico-operativi e validazione dei disciplinari tecnici che specificano gli aspetti di dettaglio e le modalità operative di erogazione dei servizi di conservazione

analisi dei requisiti di sicurezza e qualità nel sistema di conservazione (linee guida Agid)

requisiti organizzativi archivistici per l’accreditamento (Agid) - 1

• conoscenza dei documenti rilevanti per la conservazione da parte di tutte le persone coinvolte nel processo di conservazione (req. 1); conoscenze delle procedure di comunicazione (req. 4)

• documentazione della natura e delle funzioni del soggetto conservatore e dei responsabili (req. 2, 23-25): è utile che nel MdC del deposito

– si definiscano le competenze dei diversi profili di responsabilità e le modalità di coordinamento interno al deposito (governance del sistema);

– si stabiliscano le modalità di collaborazione tra il RdC del soggetto produttore e il RdC del deposito con particolare attenzione ai contenuti della delega di affidamento del servizio

– si descrivano (negli accordi di servizio) le forme di monitoraggio previste e

– si chiarisca il livello di garanzia offerta in termini di salvaguardia dell’integrità dei documenti e dei contenuti informativi conservati

• piano di aggiornamento del personale (req. 2)

• procedura per la gestione formale delle comunicazioni da e verso l'esterno del servizio di conservazione e le eventuali eccezioni; validazione delle comunicazioni da parte del management e della trasparenza e definizione del processo in caso di anomalie (req. 4, 29):

– il sistema di produzione e gestione dei documenti dovrebbe rispettare lo standard ISO 15489 – Record management

– nel MdC si chiariscono le modalità di cooperazione (nel caso di documenti delle pp.aa.) con gli organi di tutela previsti dal CAD (Mibact, Direzione generale archivi)

requisiti organizzativi archivistici per l’accreditamento (Agid) - 2

• verifica dell’impianto documentale anche in relazione all’analisi dei rischi (req. 5)

• analisi dei rischi e rispetto degli standard (req. 6): nel MdC è necessario prevedere una sezione dedicata a questo aspetto

• documentazione delle attività di gestione dei processi e della sicurezza (req. 7-12): documenti da allegare al Mdc

• rispetto dello standard ISO 15489 sul record management per la tenuta e tracciabilità dei documenti formali (req. 4, 22-25)

• policy per la conservazione ai sensi dello standard OAIS (req. 26, 30-33): in larga parte le linee direttive sono riconducibili al MdC e ai suoi allegati, dedicare attenzione alla definizione degli accordi di versamento

• manuale di conservazione: descrizione del modello organizzativo, della comunità di riferimento, delle componenti del sistema e delle procedure di gestione con riferimento anche alla acquisizione e tenuta delle informazioni di provenienza e contesto (aggregazioni documentarie, fascicoli informatici) (req. 27-28): cfr ipotesi di indice

• gestione della trasparenza (re. 29, 32): il ruolo del Mdc è rilevante; in caso di accreditamento è opportuno distinguere le parti del MdC da rendere pubbliche (obbligatoriamente) e le parti da mantenere in un’area riservata ma da rendere accessibili agli organi di vigilanza e tutela

requisiti archivistici di processo per l’accreditamento (Agid): OAIS e ISO 16363 - 1

Questa parte è ampiamente definita nel MdC e nei suoi allegati: è opportuno che il Mdc richiami i requisiti tecnici indicati

• tipologie degli oggetti: definizione dei formati, dei metadati, descrizione delle caratteristiche e delle proprietà degli oggetti preservati, al fine di confermare l'autenticità od individuare errori rispetto a tali oggetti; tenuta della documentazione delle tipologie degli oggetti sottoposti a conservazione nel rispetto dei requisiti OAIS (req. 38)

• gestione e descrizione dei pacchetti di versamento (req. 39-40): indicazione sulla formazione dei pacchetti anche in relazione ai processi di acquisizione all’interno del deposito, alla gestione dei messaggi di trasferimento; definizione dei tipi di pacchetti, delle loro relazioni

• identificazione certa dell’autore del documento (req. 41): per il dettaglio si fa riferimento alle informazioni sulla conservazione relative alla provenance e alla fixity

• descrizione delle componenti tecnologiche del sistema di conservazione (req. 43-44): si affrontano sia gli aspetti relativi all’architettura del sistema che quelli relativi allo storage; si deve indicare anche la modalità di aggiornamento delle diverse componenti tecnologiche

• documentazione sull’acquisizione dei pacchetti di versamento (req. 45): specificare la diversa tipologia (eventuale) dei SIP; i versamenti devono esseri tracciato in modo dettagliato; si deve indicare il modo in cui si effettua il controllo e si trattano le anomalie e gli errori nel processo di versamento

requisiti archivistici di processo per l’accreditamento (Agid): OAIS e ISO 16363 - 2

• descrizione dei pacchetti di versamento e archiviazione (req. 46-53)

– descrizione analitica (anche in un allegato tecnico al MdC) dei processi di formazione dei pacchetti di archiviazione con specifica attenzione all’applicazione di UniSiNCRO e alla sua implementazione; descrizione delle modalità di sviluppo e gestione dei metadati integrativi (MoreInfo) e delle relazioni tra i pacchetti;

– in questo contesto è necessario fornire istruzioni sui sistemi di descrizione/fruizione/ricerca esistente nel sistema (indicazioni sull’esistenza del sistema di recupero utiizzato: un db, un sistema di information retrieval, sistemi di indicizzazione

– descrizione delle modalità di formazione dei diversi tipi di AIP/PdA: metadati, contenuti informativi, AIP singoli (AIU) o raccolte (AIC)

– definizione e descrizione delle forme di allineamento (in caso di informazioni aggiuntive) e di delle modalità per gestire le eventuali modifiche (ad es. in caso di migrazione dei formati)

– descrizione delle modalità di gestione delle attività di selezione, scarto e retention (e relativo tracciamento)

• documentazione delle attività di gestione e dei processi amministrativi rilevanti per la creazione del PdA, al fine di assicurare il rispetto delle procedure (req. 60-61): descrivere i sistemi di validazione

• Questa sezione dei requisiti dovrebbe tradursi in una parte tecnica (un eventuale allegato tecnico al MdC) in cui si chiariscono le modalità di gestione dei metadati, delle descrizioni sulla conservazione, delle RepInfo dei contenuti informativi, avendo cura di precisare le modalità per i produttori dei documenti di passare ad un altro fornitore: è un aspetto rilevante soprattutto per le pp.aa. che hanno l’obbligo della conservazione illimitata (repository digitale dell’Archivio centrale o poli archivistici regionali, ecc.). Si sottolinea la rilevanza dello standard UniSiNCRO e di una sua adeguata implementazione

Il ruolo dei manuali di gestione e di conservazione e del piano di selezione-conservazione

documentazione e requisiti archivistici per l’accreditamento - 1

• Documenti tecnici e organizzativi previsti dalla normativa:

– manuale di conservazione (dpcm 3 dicembre 2013, regole tecniche sulla conservazione digitale, art. 8)

– manuale di gestione (dpcm 3 dicembre 2013, regole tecniche sul protocollo informatico, art. 5)

– piano di conservazione (selezione e scarto) (dpr 445/2000, art. 68)

il manuale di conservazione

• E’ previsto dalle regole tecniche sulla conservazione digitale (art. 8) come strumento obbligatorio per gli enti e i servizi di conservazione (sia interni che esterni al soggetto produttore)

• E’ lo strumento che descrive il sistema di conservazione dei documenti e fornisce le istruzioni per il corretto funzionamento del sistema medesimo

• Il manuale della conservazione assume la finalità di rendere trasparente e sostenibile il processo di conservazione fornendo un quadro dettagliato del sistema di conservazione anche al fine di pianificare gli interventi e le risorse

il contenuto del manuale di conservazione -1

• i dati dei soggetti che nel tempo hanno assunto la responsabilità del sistema di conservazione, descrivendo, in caso di delega, i soggetti, le funzioni e gli ambiti oggetto della delega stessa;

• la struttura organizzativa comprensiva dei ruoli, delle responsabilità e degli obblighi dei diversi soggetti che intervengono nel processo di conservazione;

• la descrizione delle tipologie degli oggetti sottoposti a conservazione, comprensiva della indicazione dei formati gestiti, dei metadati da associare alle diverse tipologie di documenti;

• la descrizione delle modalità di presa in carico di uno o più pacchetti di versamento, comprensiva della predisposizione del rapporto di versamento;

il contenuto del manuale di conservazione - 2

• la descrizione del processo di conservazione e del trattamento dei PdA;

• la modalità di svolgimento del processo di esibizione e di esportazione dal sistema di conservazione con la produzione del pacchetto di distribuzione;

• la descrizione del sistema di conservazione, comprensivo di tutte le componenti tecnologiche, fisiche e logiche, opportunamente documentate e delle procedure di gestione ed evoluzione;

• la descrizione delle procedure di monitoraggio della funzionalità del sistema di conservazione e delle verifiche sull’integrità degli archivi;

• la descrizione delle procedure per la produzione di duplicati o copie;

• i tempi entro i quali le diverse tipologie di documenti debbano essere scartate ovvero trasferite in conservazione, ove, nel caso delle pp.aa., non presenti nel manuale di gestione;

• In considerazione della natura pubblica del MdC i contenuti tecnici sono destinati ad essere inseriti nel manuale operativo dell’utente (un allegato non accessibile.

una proposta di indice sommario di un MdC - 1

1. Premessa

1. Obiettivi del documento

2. Acronimi e glossario

3. Standard e progetti internazionali di riferimento (in appendice)

4. Riferimenti normativi

2. Il sistema di conservazione (a breve, medio e lungo termine)

1. L’oggetto del sistema (sezioni speciiche per tipologie di contenuti informativi conservati)

2. Architettura generale del sistema

3. Il processo di versamento (submission): include il rapporto di versamento

4. Il processo di acquisizione (ingestion): requisiti, controlli, verifiche

5. I metadati ovvero le rappresentazioni sulla conservazione (RepInfo) e le informazioni sulla conservazione (reference, provenance, context, integrity, right)

6. I formati

7. La formazione dei pacchetti di archiviazione (ex volumi): descrizione del processo con specifico riferimento alla gestione delle attività di riversamento, del sistema di impacchettamento dei metadati/RepInfo, delle modalità per garantire l’interoperabilità tra PdA e l’estrazione automatica dei metadati (sezioni specifiche per tipologia di flussi e di contenuti informativi)

una proposta di indice sommario di un MdC - 2

8. Individuazione del processo di conservazione (documentazione acquisita e gestita dal produttore e documentazione delle attività svolte dal deposito, definizione delle attività tracciate dal sistema)

9. Garanzie di autenticità, integrità, leggibilità

10. Applicazione dello standard UniSiNCRO a fini di interoperabilità

11. Garanzie di qualità del deposito di conservazione: procedure di accreditamento, auditing e sistema di controllo interno, policy, sistema di record management del deposito

12. Accesso, ricerca e strumenti di recupero del patrimonio conservato

13. Il processo di selezione e scarto: scelte organizzative, indicazioni di merito, modalità operative

3. Ruoli e responsabilità (infrastruttura organizzativa del deposito responsabile)

1. Attori del sistema e profili applicativi: compiti e attività delegate al responsabile della conservazione dal soggetto produttore, del responsabile della funzione archivistica, del responsabile della sicurezza e del trattamento dei dati, del responsabile del servizio informativo e della manutenzione e sviluppo del sistema di conservazione, altre responsabilità; modalità di gestione delle responsabilità (rinvio agli accordi di servizio)

2. La gestione del servizio: tracciamento, controlli e verifiche

3. Documentazione della governance del sistema di conservazione

una proposta di indice sommario di un MdC - 3

4. Accesso al sistema (esibizione) e responsabilità (infrastruttura organizzativa)

1. Attori del sistema

2. Tipologie di utenti

3. Produzione di copie e duplicati (dichiarazione di conformità, responsabilità)

4. Livelli di consultabilità e diritti di accesso

5. Strumenti di ricerca e rappresentazione dei risultati della ricerca

6. Profili applicativi e modalità operative di accesso, casi d’uso

7. Processi di esibizione e di produzione di copie e duplicati (online, off-line, tramite cooperazione applicativa, copia cartacea)

5. Sicurezza e tracciabilità

1. Sicurezza fisica

2. Sicurezza logica

3. Attività di monitoraggio (rinvio a documenti generali e specifici per la verifica della qualità delle performance)

Allegati (storia delle responsabilità; elenco di deleghe e affidamenti; codifiche, elenco degli standard)

Il manuale deve essere organizzato in modo da distinguere la parte generale (comune a tutti i contenuti informativi e valido per qualunque tipo di soggetto versante e le parti specifiche da definire in relazione ai diversi soggetti produttori)

documentazione e requisiti archivistici per l’accreditamento (allegati al MdC)

• Documentazione di supporto (policy, linee guida interne, reportistica):

– registro dei rischi ai sensi dello standard Iso 270001,

– documentazione relativa ai processi di validazione,

– procedure per gestire le restrizioni all’accesso,

– procedure per la sicurezza,

– procedure per il disaster recovery plan,

– elenco e descrizione degli standard per il trattamento dei dati e dei documenti conservati,

– modelli per la consultazione/esibizione,

– procedure per l’assunzione di personale,

– accordi di servizio con i produttori (accordi di servizio),

– moduli per la gestione normalizzata di procedure ricorrente (es. scarto).

riferimenti

• APARSEN Report on Peer Review of Digital RepositoriesAPARSEN EU Funded Projectavailable free from http://www.alliancepermanentaccess.org/wp-content/uploads/downloads/2014/06/APARSEN-REP-D33_1B-01-1_1_incURN.pdf

• ISO 16363:2012 - PTAB Group http://www.iso.org/iso/home/store/catalogue_tc/catalogue_detail.htm?csnumber=56510) available free from http://public.ccsds.org/publications/archive/652x0m1.pdf

• ISO 16919 - PTAB Group available free from http://public.ccsds.org/publications/archive/652x1m2.pdf

• Il caso del progetto CLOSSKS, http://blog.dshr.org/2014/08/trac-audit-do-it-yourself-demos.html; http://documents.clockss.org/index.php/Main_Page