Bonn - Das BSI Bundesamt für Sicherheit in der Informationstechnik (http://www.bsi.de) veröffentlich in Druckform und im Internet (mit etwas Zeitverzögerung) das BSI IT-Grundschutzhandbuch, das als Maßstab für Zertifizierungen sicherer IT-Infrastrukturen gilt. Das IT-Grundschutzhandbuch (http://www.bsi.de/gshb) wurde um ein Kapitel zur elektronischen Archivierung (Abschnitt 9.5) ergänzt. Dieses Kapitel gliedert sich in einen allgemeinen einführenden Teil, die Darstellung der Gefährdungslage und einen Maßnahmenkatalog, der sich an einem Phasenmodell orientiert. Das BSI unterscheidet hier die Phasen Planung, Einführung/Betrieb und Migration. Es nimmt dabei auch auf Fragen eines übergeordneten Dokumentenmanagements, der Archivierung elektronisch signierter Dokumente und andere Spezialthemen Bezug.
Mit dieser Ergänzung des Grundschutzhandbuches ist es nunmehr auch möglich, nach definierten Kriterien Archivsysteme zu bewerten und zu prüfen. (FH)
| | |
|
| PROJECT CONSULT Kommentar:
|
Es ist als sehr positiv zu werten, dass das BSI-Grundschutzhandbuch nunmehr um ein Kapitel "Archivierung" ergänzt wurde. Durch das Herunterbrechen in einzelne Kriterien, ist damit auch der Umfang eines Archivierungssystems indirekt definiert - auch wenn eine konkrete Begriffsdefinition fehlt. Die die Anlehnung der Maßnahmen an konkrete Abschnitte des Lebenszyklus von Archivsystemen ist der Katalog eine einfach zu nutzende Hilfe. Bisher gab es in diesem Umfeld nur Handreichungen von Verbänden und Organisationen in Gestalt von Codes of Best Practice (z.B. VOI "Grundsätze der elektronischen Archivierung"). In Punkto elektronisch signierte Dokumente stützt das BSI den aufwendigen Ansatz des Übersignierens, der im Projekt ArchiSig erarbeitet wurde, obwohl gerade durch eine sichere Archivierung dieses Verfahren nicht immer nötig wäre. In Punkto kryptografische Verschlüsselung sollte jedoch bei der Langzeitarchivierung abweichend vom BSI-Konzept grundsätzlich auf eine Verschlüsselung verzichtet werden. Leider hat das Dokument auch einige echte Schwächen. Dies wird besonders in Abschnitten deutlich, wo sich die Auoren als Kopisten betätigt haben (und dann das eigene Copyright druntergesetzt), ohne dass die Quellen im Abschnitt 9.5 erschließbar wären. Dies zeigt sich besonders auffällig in Abschnitten wie z.B. M 2.259 Einführung eines übergeordneten Dokumentenmanagements. Dort ist von Standards wie DMA oder der ISO 10166 die Rede, die längst überholt sind. Wichtige aktuelle Standards fehlen dagegen. Hierzu gehören z.B. im Umfeld von Formaten PDF/A, PDF/X, JPEG2000 und eine Reihe anderer. HTML dagegen sollte man tunlichst nicht als Archivierungsformat nehmen. Ähnliches gilt auch für andere Standards und Normen sowie weitere Abschnitte des Kataloges. Aspekte der Ordnung und des Records Managements, die für Wiederfinden, Konsistenz, Persistenz, Vollständigkeit, Unverändertheit, Authentizität etc. wichtig sind, wurden nach unserer Meinung ebenfalls nicht ausreichend betrachtet. Ungeachtet weiterer Schwächen in einzelnen Bescheibungne und Maßnahmen, die sicherlich bei einem der nächsten Updates noch behoben werden, ist der Maßnahmenkatalog aber eine wertvolle Hilfe bei der Erarbeitung von Checklisten für den Betrieb des Systems und für Abnahmen von Archivsystemlösungen. Mit den Verfahren setzt sich in diesem Newsletter auch Dr. Wolfgang Böhmer auseinander. (Kff)
Metadata
