Autentiske data hva er det og hvordan sikres det? Olav Sataslåtten seniorrådgiver Riksarkivet Seksjon for digitalt depot NorDig 2014 København 1
Autentisitet to aspekter: 1. Autentisitet i aktivt arkivdanningsperspektiv 2. Autentisitet i perspektivet langtidsbevaring av digitalt skapt arkivmateriale Hva er relasjonene mellom de to? Ut fra en depotinstitusjons perspektiv, hvor starter autentitisetsproblematikken; ved uttrekket og innleveringen (extraction & submission), eller forut i den elektroniske arkivdanningen? 2
ISO 30300 Information and documenatation Management systems for records Fundamentals and vocabulary 2.3.3 Reliable, authentic and useable records 2.3.2.3 Authentic: An authentic record is one that can be proven -to be what it purports to be -to be created or sent by the person purported to have created or sent it, or -to have been created or sent at the time purported. To ensure the authenticity of records, organizations should implement and document policies and procedures which controls the creation, receipt, transmission, maintanance and disposition of records. 3
ISO 30300 Information and documenatation Management systems for records Fundamentals and vocabulary forts. This ensures that records creators are authorized and identified and that records are protected against unauthorized addition,deletion, alteration, use and concealment. Men er retningslinjer og prosedyrer tilstrekkelig? 4
Autentisitet i bevaringsperspektiv Interpares-prosjektet setter som et fundament for autentisitet at man kan demonstrere at ingen vesentlige endringer i den elektroniske mappen eller saken har funnet sted forut for innsendelsen av materialet. En slik attest kan kun utstedes hvis det er etablert loggfunksjoner som bekrefter at enhver potensiell endring er identifisert og dokumentert. 5
Interpares autentisitet: Dette kun skje ved at man vet hvilke elementer som utgjør det elektroniske arkivet når det ble fattet beslutning om at sakene eller mappene skulle velges ut for langtidsbevaring. Etter dette oppstår utfordringen som ligger i å demonstrere at ingen av endringene som kan og må inntreffe i ettertid påvirker vår evne til å demonstrere sakene eller mappenes identitet og integritet. 6
Interpares autentisitet forts. Med elektroniske arkiv gjør utfordringene knyttet til bevaring det nødvendig for bevaringsinstitusjonen å kunne produsere og vedlikeholde dokumentasjon som beskriver reproduksjonen av arkivene, slik at dette underbygger institusjonens bekreftelse på at den elektroniske saken eller mappen er autentisk. Det følger av dette at en kopi av en autentisk elektronisk sak eller mappe er autentisk hvis dette bekreftes av bevaringsinstitusjonen, og hvis en slik bekreftelse er understøttet av bevaringsinstitusjonens evne til å demonstrere at alle krav for fremstilling av autentiske kopier er ivaretatt. 7
DIAS-skjemaene og Noark 5 Autentisitet som følge av beskrivelse Dias-prosjektet utviklet XML-schema basert på Mets, Premis, EAC, EAD etc for å beskrive innholdet i en SIP. At arkivbeskrivelse og sjekksummer generert ved uttrekk kan valideres garanterer allikevel ikke for autentisitet i forhold til de data og de elektroniske dokumenter som ble skapt i arkivdanningsfasen. Noark 5 inneholder obligatoriske krav ment å skulle forhindre uautorisert sletting, manipulering eller endring av metadata 8
Autentisitet og Noark 5 Loggføring av endringer er dessuten et obligatorisk krav i Noark 5 ift autentisitet spesielt relevant for dokumentbeskrivelse (tittel) og dokumentobjekt(referansedokumentfil). 9
Digitale signaturer Digitale signaturer sikrer autentisitet i forhold til verifisering av sender, men forhindrer den manipulering internt i mottakende organisasjon? Hva med sjekksummer generert kontinuerlig internt i arkivog saksbehandlingssystemet/ærendehandteringssystemet i organisasjonen? 10
Spørsmål? 11