Изучение принципов защиты информации в облачных сервисах
Общие методы обеспечения информационной безопасности. Плюсы и минусы использования облачных технологий. Телекоммуникационная составляющая доступа к ресурсам центра обработки данных. Технические и организационные меры по защите и безопасности данных.
| Рубрика | Программирование, компьютеры и кибернетика |
| Вид | дипломная работа |
| Язык | русский |
| Дата добавления | 14.03.2016 |
| Размер файла | 188,4 K |
Отправить свою хорошую работу в базу знаний просто. Используйте форму, расположенную ниже
Студенты, аспиранты, молодые ученые, использующие базу знаний в своей учебе и работе, будут вам очень благодарны.
Провайдеры облака (как процессоры) обязаны обеспечить конфиденциальность. Директива 95/46 ЕС гласит о том, что: "Любой человек, действующий под руководством контроллера или процессора, в том числе сами процессоры, которые имеют доступ к персональным данным, не должны обрабатывать их, за исключением команд контроллера, если он не требуется сделать это по закону". Доступ провайдера к данным во время его предоставления услуг также принципиально регулируются требованием соблюдать положения статьи Директивы.
Процессоры должны принимать во внимание тип облака в вопросе (государственные, частные, общественные или гибридные - IaaS, SaaS или PaaS) и вид услуги по контракту с клиентом. Процессоры отвечают за принятие мер безопасности в соответствие с нормами законодательства ЕС. Процессоры должны также оказывать поддержку и помощь контроллеру в соблюдении прав (осуществлении) субъекта данных.
2.2.3.2 Субподрядчики
Услуги облачных вычислений могут повлечь за собой участие в контракте ряда сторон, которые выступают в качестве процессоров. Это стандартная процедура для дополнительных субпроцессоров, которые затем получают доступ к персональным данным. Также процессоры, предоставляющие услуги субподряда, обязаны сделать доступной для клиента информацию, в которой подробно указаны условия заключения субподряда, характеристика текущих или потенциальных субподрядчиков и гарантия того, что эти организации предлагают услуги облачных вычислений в соответствии с Директивой 95/46/ЕС.
Все соответствующие обязательства должны применяться к субпроцессорам на основе контракта между поставщиком облака и субподрядчика, который отражает условия договора между клиентом облака и его провайдером. Множеством процессоров в случаях, когда процессоры могут иметь прямую связь с контроллером или работать в качестве субподрядчиков, где процессоры в качестве аутсорсинга выполняют только порученную часть работы. Ничто, связанное с организационными требованиями согласно Директиве, не мешает нескольким субъектам, обозначенным как процессоры или суб-процессоры, назначать соответствующие задачи путем разделения. Тем не менее, все они должны соблюдать указания контроллера при выполнении обработки информации http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp169_en.pdf.
В таких случаях, обязательства и обязанности, вытекающие из законодательства о защите данных, должны быть изложены четко, а не разбросаны по всей цепочке процесса аутсорсинга или субподряда, в целях обеспечения эффективного контроля и четкого распределения ответственности за обработку информации.
Возможная модель гарантий, которая может быть использована для уточнения обязанностей и обязательств процессоров, выступающих в роли субподряда по обработке данных, впервые была введена решением комиссии от 5 февраля 2010 года по стандартным статьям договора о передаче личных данных процессоров в учреждения третьих странhttp://ec.europa.eu/justice/data-protection/document/review2012/com_2012_11_en.pdf. В этой модели субподряд на обработку допускается только с предварительным письменным согласием контроллера и с письменным соглашением всех участвующих в процессе субподрядчиков. В случаях невыполнения субподрядчиком своих обязательств по защите данных, на которые он дал письменное согласие, на основе договора виновная сторона несет за это полную ответственность перед контроллером. Для обеспечения необходимых гарантий, положения такого рода используются в любых договорных условиях между контроллером и поставщиком облачных сервисов, где последний намерен предоставлять услуги на основе субподряда.
Недавно комиссией по общим положениям о защите данных было предложено аналогичное решение относительно гарантий в ходе субобработки. Акты процессоры должны регулироваться контрактом или иными правовыми актами, связывающие процессор с контроллером и предусматривающие, в частности, что, наряду с другими требованиями, процессор пользуется услугами другого процессора только с предварительного разрешения контроллера.
Провайдер может подрядить сторонние организации для выполнения своей деятельности исключительно только на основании согласия контроллераArticle 29 Working Party Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites (WP56 of 30 May 2002). Данное согласие, как правило, заключается перед началом оказания услуг. В нем четко распределены обязанности для процессора, обязующие последнего сообщать клиенту о любых планируемых изменениях, о добавление или замене субподрядчиков. За клиентом все время остается право возразить против такого изменения или расторгнуть договор. В обязательство провайдера входит указать в данном соглашении всех субподрядчиков процесса. Кроме того, договор, отражающий условия договора между клиентом и провайдером, должен быть подписан между поставщиком облака и субподрядчиками. Договор должен содержать условия, касательно действий, возникающих в случае нарушения субподрядчиками условий. Это может быть организовано путем того, что процессор берет на себя ответственность перед контроллером за любые нарушения, вызванные любыми привлеченными под процессорами. Или путем создания в контракте третьей стороны-бенефициара в пользу контроллера, подписанным между процессором и субпроцессорами. Или также возможно, что эти контракты будут подписаны напрямую от имени контроллера данных, что позже войдет в основной договор, как его часть.
2.2.4 Требования по защите данных в отношениях сторон
2.2.4.1 Соблюдение основных принципов
Законность обработки персональных данных в облаке зависит от соблюдения основных принципов закона ЕС о защите данных, а именно: должна быть гарантирована прозрачность в отношении субъекта данных, спецификация и ограничения по цели должны быть соблюдены и персональные данные должны быть стерты, как только необходимость в них исчезает. Кроме того, должны быть приняты соответствующие технические и организационные меры для обеспечения адекватного уровня защиты данных и их безопасности.
Прозрачность
Принцип прозрачности имеет ключевое значение для справедливой и законной обработки персональных данных. Директива 95/46/ЕС обязывает клиента предоставить информацию о предмете данных, с информацией о его идентичности и цели обработки. Клиент должен также предоставить любую дополнительную информацию, такую как на получатели или категорию получателей данных, которые могут также включать процессоры и субпроцессорыDirective 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Такая дополнительная информация необходима, чтобы гарантировать справедливое рассмотрение прав в отношении субъекта данных.
Прозрачность должна быть обеспечена также в отношениях между клиентом, поставщиком облака и субподрядчиками (если таковые имеются). Клиент способен только дать оценку законности обработки персональных данных в облаке, если поставщик информирует клиента обо всех соответствующих вопросах. Контроллер, рассматриваемый привлечение услуг облака, должен внимательно проверить условия оказания услуг облачных вычислений, оценить их с точки зрения защиты данных.
Прозрачность в облаке означает, что для клиента необходимо быть в курсе всех субподрядчиков предоставляющих содействие соответствующей услуги облака, а также расположение всех центров обработки данных (ЦОД), где персональные данные могут быть обработаны.
Если предоставление услуги требует установки программного обеспечения на системе клиента (например, подключаемые модули браузера), провайдер облака должен, как это предусмотрено надлежащей практикой, информировать клиента об этом обстоятельстве и, в частности, о его последствиях влияющих на защиту данных, с точки зрения безопасности. И наоборот, клиент должен поднять этот вопрос, если он не будет уверен в достаточной степени облачных услуг.
Определение и ограничение цели
Принцип определения и ограничения цели требует, что личные данные должны быть собраны для определенных, явных и законных целей и не подвергались дополнительной обработке, расходящейся с этими целямиArticle 6(b) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Клиент должен определить цель обработки до момента самого сбора персональных данных и быть проинформированным о этом моменте. Клиент не должен передавать данные для других целей, которые не совместимы с оригинальными.
Кроме того, должно быть обеспечено, чтобы персональные данные не были (нелегально) обработаны для дальнейших целей поставщика облака или одного из его субподрядчиков. В типичном сценарии облако может легко включать большое количество субподрядчиков, поэтому риск обработки личных данных для дальнейших несовместимых целей должен быть оценен как достаточно высокий. Для минимизации данного риска, договор между поставщиком облака и клиентом должен включать технические и организационные меры по снижению этого риска и предоставлять гарантии для протоколирования и аудита соответствующих операций обработки персональных данных, которые выполняются поставщиком облака или субподрядчиками. Если законодательство о защите данных нарушено, штрафы на поставщика или субподрядчика должны быть наложены в соответствии с условиями договора.
Удаление данных
В соответствии с Директивой 95/46/ЕС, персональные данные должны храниться в форме, позволяющей идентифицировать субъекты данных, не дольше, чем это необходимо для целей, для которых данные были собраны или для которых они обрабатывалисьArticle 6(е) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Личные данные, которые больше не нужны, должны быть удалены или переведены в статус анонимных. Если эти данные не могут быть удалены из-за юридических правил хранения (например, налогового законодательства), доступ к этим личным данным должен быть заблокирован. Ответственность за удаление персональных данных, как только они перестают быть необходимыми в условиях спецификации и ограничения цели, возлагается на провайдера облачных вычислений.
Принцип стирания данных распространяется на персональные данные, независимо от того, хранятся на жестких дисках или других носителях (например, ленты с резервными копиями). Так как личные данные могут избыточно быть на разных серверах и в разных местах, поставщик должен обеспечить, чтобы каждый экземпляр стирался безвозвратно (т.е. предыдущие версии, временные файлы и даже фрагменты файла должны быть удалены).
Клиенты должны быть осведомлены о том, что данные журнала, содействующие контролю, например, хранения, модификации или уничтожения данных, могут также квалифицироваться, как персональные данные, связанные с человеком, который инициировал соответствующие операции обработки.
Безопасное стирание персональных данных требует, чтобы, либо носители должны быть уничтожены или размагничивается, либо личные данные удалялись эффективно через перезапись. Для перезаписи данных личного характера используются специальные программные средства, которые переписывают данные несколько раз и с использованием соответствующей признанной спецификацией.
Клиент должен убедиться, что облака провайдера обеспечивают безопасное стирание, в вышеуказанном смысле, и что контракт между поставщиком и клиентом содержит ясные указания по стиранию личной информации. То же самое относится и к контрактам между облачными провайдерами и субподрядчиков.
2.2.4.2 Договорные гарантии отношений «контроллер» - «процессор»
Там, где клиенты решили принять договор об оказании услуг облачных вычислений, контроллеры обязаны выбрать процессор, предоставляющий достаточные гарантии в отношении технических и организационных мер по обеспечению безопасности мер, проводить регулирование обработки, и должны обеспечивать соблюдение этих мерArticle 17(2) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Кроме того, они по закону обязаны подписать официальный контракт с поставщиком облачных сервисов, как указано в Директиве 95/46/ЕС. Согласно Директиве устанавливаются требования к договору или иному правовому акту, обязательно определяющего взаимосвязь между контроллером и процессором. В цели сохранения доказательств, часть договора или правового акта, касающегося защиты данных и требований к ней, а также касающегося технических и организационных мер должна быть в письменной или в другой эквивалентной формеArticle 17(3) of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
В договоре должны, как минимум, установить факт, что процессор должен конкретно следовать указаниям контроллера, и процессор должен осуществлять технические и организационные меры для адекватной защиты персональных данных.
Для обеспечения правовой определенности в договоре должны также быть изложены следующие вопросы:
1. Подробная информация о (степень и формы) инструкций клиента по отношению к поставщику, особенно в касательно применимых соглашений об уровне обслуживания (которая должна быть объективной измеримой) и соответствующих санкций (финансовых или иных, включая возможность подать в суд на поставщика в случае несоблюдения).
2. Спецификация мер безопасности: провайдер облака должен соответствовать всем требованиям, в зависимости от рисков, связанных с обработкой и характером данных, которые должны быть защищены. Имеет большое значение, какие конкретные технические и организационные меры указаны (такие меры будут разобраны ниже). Это рассматривается без ущерба при применении более жестких мер, если таковые могут быть предусмотрены национальным законодательством клиента.
3. Предмет и временные рамки облачных сервисов, предоставляемых провайдером облака; степень, характер и цели обработки персональных данных облачных услуг, а также типы обрабатываемых личных данных.
4. Необходимо указывать, какие условия для возвращения и разрушения (персональных) данных будут применяться. Кроме того, необходимо обеспечить, чтобы личные данные стирались безопасно и по просьбе клиента облака.
5. Включение пункта о конфиденциальности обязует соблюдение ее как провайдером на облаке, так и всех сотрудников сервиса облачных вычислений, которые смогут получить доступ к данным. Только уполномоченные лица могут получить доступ к данным.
6. Обязательство со стороны провайдера для поддержки клиента в содействии реализации прав субъектов данных для доступа, исправления или удаления своих данных.
7. В контракте должно быть конкретно установлено, что провайдер облака не имеет права сообщать данные третьим лицам, даже в целях хранения, если привлечение субподрядчиков не предусмотрено в договоре. В таких случаях, договор должен указать, что именно субподрядчикам может быть поручено на основе согласия, которые обычно задается контроллером в соответствии с четкими обязанностями процессора для информирования контроллера о любых планируемых изменениях в этой связи. За контроллером всегда сохранением возможность возразить против такого изменения или расторгнуть договор. В обязанности провайдера входит предоставление всей необходимой информации обо всех задействованных в процессе субподрядчиков (например, указать все в общественном цифрового регистре). Необходимо убедиться, что контракты между поставщиком облака и субподрядчиками отражают условия договора между клиентом облака и его провайдером (то есть, чтобы субпроцессоры исполняли те же договорные обязанности, что провайдер облака). В частности, необходима гарантия, что поставщик облака и все субподрядчики действуют только по поручению клиента облака. Вся цепочка ответственности должна быть предельно ясно отражена в договоре: сформулированы все обязательства, сформулированы международные переводы.
8. В случае любого нарушения данных, которое влияет на данные пользователя, провайдеру необходимо немедленно уведомлять клиента облака об этом.
9. В обязанность облачных сервисов входит предоставление списка мест, в которых данные могут быть обработаны.
10. Также в договоре должны быть изложены права контроллера по мониторингу процесса и соответствующие обязательства облачных сервисов к сотрудничеству в этом деле.
11. Следует установить в договоре, что поставщик облака должен сообщить клиенту о соответствующих изменениях, касающихся данных облачных сервисов, например, таких как осуществление внедрения дополнительных функций.
12. Договор должен предусматривать регистрацию и проверку соответствующих операций обработки персональных данных, которые выполняются поставщиком облака или субподрядчиком.
13. Уведомление клиента о любых юридически обязательных запросах, касательно раскрытия персональных данных правоохранительным органом, если иное не запрещено, например, запрет в соответствии с уголовным кодексом - сохранять конфиденциальность расследования правоохранительных органов.
14. Общие обязательства со стороны провайдера - дать гарантию того, что организация его внутренней обработки данных и механизмы (а также его субпроцессоров, если таковые имеются) соответствуют действующим национальным и международным правовым требованиям и стандартам.
В случае нарушений прав контроллером, любое лицо, потерпевшее ущерб в результате незаконной обработки, имеет право на получение компенсации от контроллера за нанесенный ущерб. Если процессоры используют данные для других целей или сообщают о них или используют их таким образом, что нарушают контракт, они также должны рассматриваться как контроллеры, и нести ответственность за нарушения, в которых они лично участвовали.
Следует отметить, что во многих случаях, провайдеры облачных сервисов предлагают стандартные услуги, и контракты для обработки персональных данных, которые клиенты должны подписать, излагаются в стандартной форме. Дисбаланс в условии договора между небольшим контроллером в отношении крупных поставщиков услуг не должен рассматриваться в качестве оправдания для контроллера при принятии положений и условий договора, которые не являются пунктами закона о защите данных
2.2.4.3 Технические и организационные меры по защите и безопасности данных
В Директиве 95/46/ЕС описана полная ответственность клиента облака (выступающего в качестве контроллеров данных) по выбору облачных услуг, реализующих адекватные технические и организационные меры безопасности для защиты персональных данных с возможностью демонстрации подотчетности.
В дополнение к основной цели безопасности - доступности, конфиденциальности и целостности, также должно уделено внимание по защите данных в целях прозрачности, изоляции, способности вмешательства, подотчетности и портативности. Далее будут представлены более конкретно перечисленные выше главные целиhttp://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-
risk-assessment.
Доступность
Обеспечение доступности означает предоставление своевременного и надежного доступа к персональным данным.
Одна из серьезных угроз доступности в облаке - случайная потеря подключения к сети между клиентом и поставщиком или производительным сервером, вызванная вредоносными действиями таких, как (распределенный) отказ в обслуживании, (DoS)атак. Другие риски включают в себя наличие случайного аппаратного сбоя как в сети, так и в обработке данных в облаке и систем хранения данных. Так же риски связаны со сбоями питания и другими проблемами инфраструктуры.
Контроллеры данных должны убедиться, что провайдер облака принял разумные меры, чтобы справиться с риском нарушения, такие как резервное хранение ссылок в сети Интернет, избыточное хранение и эффективное резервное копирования данных механизмов.
Целостность
Целостность может быть определена как свойство, которое удостоверяет подлинность данных, и отвечает за то, что с ними не происходило злонамеренных или случайных изменений во время обработки, хранения или передачи. Понятие целостности может быть распространено и на ИТ-систем, и требует, чтобы обработка персональных данных в этих системах оставалась неизменной.
Определение изменений в персональных данных может быть достигнуто путем криптографических механизмов аутентификации, таких как коды аутентификации сообщений или подписей.
Вмешательство в целостности ИТ-систем в облаке может быть предотвращено или обнаружено с помощью системы /предотвращения вторжений (IPS / IDS). Это особенно важно в открытых типах сетях, в которых облака обычно работают.
Конфиденциальность
В облачной среде, шифрование может внести значительный вклад в конфиденциальность личных данных, если все сделано правильно, хотя оно не делает персональные данные необратимо анонимнымиDirective 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Шифрование личных данных следует использовать во всех случаях, когда статус данных можно описать как «в пути» и "в покое" Article 8 of Directive 95/46/EC (e.g., health data) to the cloud or who are subject to specific legal obligations of
professionalsecrecy. В некоторых случаях (например, службы хранения IaaS) клиент не может полагаться на шифрование, предлагаемое облаком услуг, но может выбрать тип шифрования личных данных перед отправкой их в облако. Шифрование данных в состоянии покоя требует особого внимания к управлению криптографическим ключом, так как безопасность данных, в конечном счете, зависит от конфиденциальности ключей шифрования.
Связь между поставщиком облака и клиентом, а также между центрами обработки данных должна быть зашифрована. Удаленное управление облачной платформой должно протекать только по защищенному каналу связи. Если клиент планирует не только хранение, но и дальнейшую обработку персональных данных в облаке (например, поиск баз данных для записи), он должен иметь в виду, что шифрование не может быть обеспечено при обработке данных (за исключением очень специфических вычислений).
Дополнительные технические меры, направленные на обеспечение конфиденциальности, включают механизмы авторизации и строгой аутентификации (например, двухфакторная аутентификация). Договорные положения должны также налагать обязательства по соблюдению конфиденциальности на клиентов, поставщиков облачных услуг и субподрядчиков.
Прозрачность
Технические и организационные меры должны поддерживать прозрачность, чтобы позволить обзор процесса. Данное свойство уже было рассмотрено выше.
Изоляция (цель ограничения)
В облачных инфраструктурах ресурсы, такие как хранение, память и сеть - являются общими для многих арендаторов. Это создает новые риски для данных, подвергая их к раскрытию и обработке в незаконных целях. Защита цели «изоляции» предназначена для решения этой проблемы и способствует гарантии, что данные не будут использоваться за пределами своего первоначального назначения, а также для поддержки конфиденциальности и целостности
Во-первых, достижение изоляции требует адекватного управления правами и ролями для доступа к личным данным, которые рассматриваются на регулярной основе. Реализации роли с чрезмерными привилегиями следует избегать (например, ни один пользователь или администратор не должны иметь право доступа ко всему облаку). В более общем плане, администраторы и пользователи должны только получить доступ к информации, необходимой для их законных целей (принцип наименьших привилегий).
Во-вторых, изоляция также зависит от технических мер, таких как упрочнение гипервизоров и надлежащее управление общими ресурсами, если виртуальные машины применяются для совместного использования физических ресурсов между различными клиентами.
Способность вмешательства
Директива 95/46/ЕС дает субъекту данных права доступа, исправления, удаления, блокировки и возраженияArticle 12 and 14 of Directive 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data. Клиент облака должен убедиться, что провайдер облака не накладывает технических и организационных препятствий к этим требованиям, в том числе в случаях, когда данные обрабатываются в дальнейшем субподрядчиками.
Договор между клиентом и поставщиком должен предусматривать, что поставщик облака обязан оказать поддержку клиенту в содействии реализации прав субъекта данных и гарантировать, что тоже самое будет в отношении его к любым субподрядчикам
Портативность
В настоящее время большинство облачных провайдеров не используют стандартных форматов данных и интерфейсов служб для содействия совместимости и переносимости между различными провайдерами облака. Если клиент решает мигрировать из одного облака провайдера к другому, отсутствие этого взаимодействия может привести к невозможности или, по крайней мере, к трудности передать личные данные клиента на облако нового провайдера (так называемого вендора). Тоже самое справедливо и для услуг, на платформе которых развернулся клиент, и которое ему предложил первоначально поставщик облака (PaaS). Клиент должен проверять, как поставщик гарантирует мобильность данных и услуг перед заказом оказания услуг облачных сервисов.
Подотчетность
В информационных технологиях подотчетность может быть определена как возможность установить, какие лица сделали в определенный шаг в определенный момент времени в прошлом и как. В области защиты данных часто требуется более широкое значение и характеризуется способностью стороны продемонстрировать, что они приняли соответствующие меры для обеспечения того, чтобы принципы защиты данных были выполнены.
Подотчетность в ИТ особенно важна для того, чтобы расследовать нарушения прав личных данных, где клиенты, поставщики и субподрядчики могут иметь некую степень эксплуатационной ответственности. Способность платформы облака к обеспечения надежного и всеобъемлющего механизма мониторинга ведения журналов имеет первостепенное значение в этом отношении.
Кроме того, облачные провайдеры должны документально подтверждать надлежащие и эффективные меры, которые обеспечивают результаты защиты принципов данных, изложенных выше. Процедуры, обеспечивают идентификацию всех операций обработки данных, отвечают на запросы доступа, распределение ресурсов, в том числе назначение для защиты данных лиц, которые несут ответственность за организацию защиты данных соответствия, или независимые процедуры сертификации, которые являются примерами таких мер. Кроме того, данные контроллеры должны гарантировать, что они готовы продемонстрировать создание необходимых мер для компетентного надзорного органа по запросу http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/2010/wp173_en.pdf..
2.2.5 Международные передачи
Директива 95/46/ЕС предусматривает свободный поток персональных данных в страны, расположенные за пределами ЕЭП, только если эти страны или получатель обеспечивают адекватный уровень защиты данных. В противном случае конкретные гарантии должны быть введены в действие контроллера и его соконтроллеровили процессоров. Однако, облачные вычисления чаще всего основаны на полном отсутствии стабильного расположения данных в сети облачных вычислений. Данные могут быть в одном центре обработки данных в 2 часа дня, а в 4 вечера уже находиться в другом конце света. Поэтому клиент редко в состоянии имеет возможность знать, в реальном времени, где находятся, хранятся или передаются данные. В этом контексте, традиционные правовые акты, обеспечивающие базу для регулирования передачи данных за пределами ЕС третьим странам, не обеспечивает адекватную защиту, имеют ограничения.
2.2.5.1 SafeHarbor и отвечающие требованиям страны
SafeHarbor (закон), положение закона или постановление, которое уменьшает или устраняет ответственность участника в соответствии с законом, при условии, что партия выполняет свои действия в добросовестности или в соответствии с определенными стандартами.
Адекватность результатов, в том числе SafeHarbor, ограничены в отношении географического охвата, и, следовательно, не покрывают все трансферы внутри облака. Трансферы в организации США в соответствии с принципами могут происходить законно в соответствии с законодательством ЕС, так как организации получателя обеспечены адекватным уровнем защиты передаваемых данных.
Однако, единственная самостоятельная сертификация с SafeHarbor не может считаться достаточной при отсутствии надежных исполнительных принципов защиты данных в облачной среде. Кроме того, Директива ЕС требует, чтобы договор должен быть подписан контроллером в отношении процессоров целях обработки, что подтверждается в FAQ 10 (часто задаваемые вопросы) EU-US Safe Harbor Framework документах. Такой договор определяет процессы обработки, будет осуществлять любые меры, необходимые для обеспечения того, чтобы данные хранились в безопасности. Различные национальные законодательства могут иметь дополнительные требования.
Компании, экспортирующие данные, не должны просто полагаться на заявления поставщиков услуг, утверждающих, что у них есть свидетельство Safe Harbor. Напротив, компания экспортирующая данные должна получить доказательства того, что это свидетельство существует и запросить доказательства того, что их все принципы, применяемые к защите данных, соблюдаются. Особенно это важно в отношении информации, предоставляемой клиентами, пострадавших в результате обработки данных.
Также клиент должен проверять составленные стандартные контракты по предоставление облачных услуг на соответствие национальным требованиям в отношении обработки данных. Национальное законодательство может потребовать выдать запрос, который будет определен в контракте, результат которого содержит сведения и другие данные по субпроцессам, и отслеживанию данных. Обычно облачные услуги не предлагают клиенту такую информацию -собственные обязательства по Safe Harbor не могут заменить гарантиями выше, даже когда это требуется национальным законодательством. В таких случаях экспортеру рекомендуется использовать другие правовые документы, такие как стандартные статьи договора или BCR (обязательные корпоративные правила).
Принципы Safe Harbor сами по себе также не могут гарантировать экспортеру данных, что все средства необходимые для обеспечения того, чтобы были применены соответствующие меры безопасности в облачных сервисах в США, которые в свою очередь национальное законодательство может запросить на основе Директивы 95/46/EC. С точки зрения безопасности данных вычислительного облака поднимаются несколько конкретных угроз безопасности в облаке: потеря управления, небезопасное или неполное удаление данных, недостаточность сквозной проверки или изоляция сбоев, которые не получили достаточного освещения существующими принципами Safe Harbor по безопасности данныхhttps://www.enisa.europa.eu/activities/risk-management/files/deliverables/cloudcomputing-
risk-assessment. Таким образом, дополнительные гарантии для защиты данных могут быть развернуты, например, путем включения опыта и ресурсов третьих лиц, которые способны к оценке адекватности облачных услуг через различные инструменты аудита, стандартизации и сертификации. По этим причинам было бы целесообразно дополнить обязательство импортера данных в соответствии Safe Harbor с дополнительными гарантиями и учетом специфики облака.
2.2.5.2 Исключения
Исключения, предусмотренные Директивой ЕС 95/46, позволяют экспортерам данных передавать данные из ЕС без предоставления дополнительных гарантий. Тем не менее, считается, что исключения должны применяться только там, где переводы не являются повторяющимися, массивными или структурными http://ec.europa.eu/justice/policies/privacy/docs/wpdocs/1998/wp12_en.pdf.
На основе такого мнения, это почти невозможно рассчитывать на исключения в контексте облачных вычислений.
2.2.5.3 Стандартные условия договора
Стандартные условия договора, приняты комиссией ЕС с целью разработки международной передачи данных между двумя контроллерами или одним контроллера и процессором, основанной на двустороннем подходе. Когда облако поставщика считается процессором, типовые положения 2010/87/EC (решение комиссии) являются инструментом, которые можно использовать между процессором и контроллером в качестве основы для среды облачных вычислений, чтобы предложить адекватные меры в контексте международных переводов.
В дополнение к стандартным договорным положениям, необходимо добавить, что облачные провайдеры могли бы предложить клиентам положения, которые основываются на своем прагматичном опыте, если он не противоречит, прямо или косвенно стандартам статьи договора, одобрен комиссией и не нарушает основных прав и свободу субъектов данных. Тем не менее, компания не может убрать или изменить стандартные условия договора, не подразумевая, что положения будет уже не "стандартными".
Когда поставщик облака выступает в качестве процессора, установленного в ЕС, ситуация может быть более сложной, поскольку типовые положения относятся, в общем, только на передачу данных от контроллера ЕС к процессору, который располагается на территории ЕС.
Что касается договорных отношений между процессором (не из ЕС) и субпроцессором, оформляется письменное соглашение, которое накладывает те же обязанности на субпроцессор, какие установлены и на процессор в типовых положениях.
2.2.5.4 Обязательные корпоративные правила на пути к глобальному подходу
BCR составляют кодекс поведения для компаний, которые передают данные в пределах их группы. Таким решением также будут обеспечены облачные вычисления, когда поставщик является процессором. Действительно, в настоящее время ведутся работы над BCRs для процессоров, которые позволят передачу в рамках группы с пользой для контроллеров без требования подписания контракта между процессором и суб-процессором в учете на одного клиента.
Такие BCR для процессоров позволят клиенту провайдера доверить свои личные данные в процессор, будучи уверенным, что данные, передаваемые в пределах сферы деятельности провайдера, получат адекватный уровень защиты.
Заключение
В ходе работы было разобрано понятие информационной безопасности.
В нашем случае, под «информационной безопасностью» мы будем понимать степень защиты информации и обеспечивающие ее существование инфраструктуры от нежелательного (случайного и специального) воздействия, которое в дальнейшем способно нанести неприемлемый ущерб участникам информационных отношений.
Выделены следующие типы угроз для информации:
Ш Искусственные:
· непреднамеренные угрозы,
· преднамеренные угрозы.
Ш Естественные:
· неправильное хранение,
· кража компьютеров и носителей,
· форс-мажорные обстоятельства,
· пожары, наводнения, ураганы, удары молний и другие стихийные бедствия и явления, которые не зависят от человека.
Для обеспечения информационной безопасности используют три основных метода:
Ш правовые,
Ш организационно-технические
Ш экономические.
Также в ходе работы приведен подробный разбор структуры работы облачных вычислений, а именно: характеристики облачных сервисов, основные преимущества и недостатки использования данной технологии.
Облака по своему предназначению делятся на три основных вида:
4) SaaS - "Softwareas as Service" - программное обеспечение как услуга;
5) PaaS - "Platformas as Service" платформа как услуга;
6) IaaS - "Infrastructureas as Service "инфраструктура как услуга.
Преимущества использования технологии облачных вычислений:
v Недорогие компьютеры для пользователей.
v Увеличенная производительность пользовательских компьютеров.
v Уменьшение затрат и увеличение эффективности IT инфраструктуры.
v Меньше проблем с обслуживанием и затрат на приобретаемое программное обеспечение.
v Увеличение доступных вычислительных мощностей.
v Неограниченный объем хранимых данных.
v Совместимость с большинством операционных систем.
v Улучшенная совместимость форматов документов.
v Простота совместной работы группы пользователей.
v Повсеместный доступ к документам.
v Всегда самая последняя и свежая версия. В "облаке" всегда находится самая последняя и самая свежая версия программы или документа.
v Доступность с различных устройств.
v Дружелюбие к природе, экономное расходование ее ресурсов.
v Устойчивость данных к потере или краже оборудования.
Недостатки от использования:
v Постоянное соединение с сетью Интернет.
v Плохо работает с медленным Интернет-доступом.
v Программы могут работать медленнее чем на локальном компьютере.
v Не все программы или их свойства доступны удаленно.
v Безопасность данных может быть под угрозой.
На основании статьи А.П.Баранова «Можно ли защитить в облаке конфиденциальную информацию?» процесс работы облачных сервисов разделен на 6 этапов, в каждом из которых выделены проблемы защиты:
1) Аппаратные компоненты центра обработки данных.
2. Телекоммуникационная составляющая доступа к ресурсам центра обработки данных.
3. Пользователи и их программно-аппаратное обеспечение.
4. «Средний» (middleware) слой центра обработки данных.
5. Прикладные сервисы.
6. Системы хранения данных (СУБД).
При анализе ситуации по обеспечению безопасности информации в странах-членах Европейского союза были разобраны риски по защите информации. Большинство из этих рисков входят в две основные категории, а именно: отсутствие контроля над данными, и недостаточность информации относительно самой операции обработки (отсутствие прозрачности).
Приведен подробный анализ правовой структуры применяемой к участникам информационных отношений. В ходе анализа разобраны: правовые нормы, обязанности и ответственности сторон, требования по защите данных. В последнем приведены технические и организационные меры по защите и безопасности данных, которые включают в себя контроль таких пунктов как:
· Доступность;
· Целостность;
· Конфиденциальность;
· Прозрачность;
· Изоляция (цель ограничения);
· Способность вмешательства;
· Портативность;
· Подотчетность.
Библиографический список
1. Directive 95/46/EC ofthe European Parliamentandof the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and on the free movement of such data.
2. Directive 2002/58/EC of the European Parliament and of the Councilof 12 July 2002concerning the processing of personal data and the protection of privacy in the electroniccommunications sector (Directive on privacy and electronic communications).
3. Article 29 Working Party Working document on determining the international application of EU data protection law to personal data processing on the Internet by non-EU based web sites (WP56 of 30 May 2002).
4. Доктрина информационной безопасности РФ 9 сентября 2000 г.
5. Федеральный закон от 27.07.2006 г. №149-ФЗ «Об информации, информационных технологиях и о защите информации».
6. Федеральный закон Российской Федерации от 27.07.2006 г. N 152-ФЗ «О персональных данных».
7. Ярочкин В.И. Информационная безопасность. Учебник для вузов. М.: Академический Проект, Мир, 2004. 544 с.
8. Левин В.К. Защита информации в информационно-вычислительных cистемах и сетях. Программирование. 1994. N5. с. 5-16.
9. Баранов А.П «Можно ли защитить в «облаке» конфиденциальную информацию?» \\ Системы высокой доступности, 2012. Т. 8. № 2. C. 12--15.
10. Шаньгин В.Ф. Защита компьютерной информации. Эффективные методы и средства. ? М.: ДМК Пресс, 2008. 544 с.
11. Белогрудов В.М. Облачные вычисления - достоинства и недостатки \\ http://www.smart-cloud.org/sorted-articles/44-for-all/96-cloud-computing-plus-minus. 03.03.2012.
12. Кондрашин М.С. Безопасность облачных вычислений \\ http://www.pcmag.ru/solutions/detail.php?ID=38248. 15.02.2010.
13. Мельников В.И. Защита информации в компьютерных системах. М.: Финансы и статистика, Электронинформ, 1997. с. 123 - 128.
14. Угрозы информационной безопасности \\ http://www.internet-technologies.ru/articles/article_1147.html. 3.10.2007.
15. Интернет-Университет Информационных Технологий \\ http://www.intuit.ru/department/security/secbasics/1/secbasics_1.html.
16. Хореев П.В. Методы и средства защиты информации в компьютерных системах. М.: издательский центр "Академия", 2005. с. 205.
17. Фатьянов А.А. Концептуальные основы обеспечения безопасности на современном этапе \\ Безопасность информационных технологий. 1999. №1. С. 26-40.
18. Приходько А.Я. Словарь-справочник по информационной безопасности. М.: СИНТЕГ, 2001. 124 с.
19. Гольев Ю.И., Ларин Д.А., Тришин А.Е., Шанкин Г.П. Криптографическая деятельность в США XVIII-XIX веков. \\ Защита информации. Конфидент. №6, 2004, с. 68-74.
20. Тейер Т., Липов М., Нельсон Э. Надежность программного обеспечения. Пер. с англ. М.: Мир, 1981.
21. Липаев В.В. Надежность программных средств. М.: Синтег, 1998.
22. Бабаш А.В., Гольев Ю.И., Ларин Д.А., Шанкин Г.П. О развитии криптографии в XIX веке // Защита информации. Конфидент. №5, 2003, с. 90-96.
23. www.ec.europa.eu/justice.
24. www.enisa.europa.eu.
Размещено на Allbest.ru
...Подобные документы
Анализ рынка облачных вычислений и средств для обеспечения безопасности в них. Распространение облачных вычислений, негарантированный уровень безопасности обрабатываемой информации как их основная проблема. Расследование инцидентов и криминалистика.
курсовая работа [4,3 M], добавлен 26.02.2015Модели развертывания и облачные модели. Анализ существующих методов информационной безопасности. Обеспечение надежного шифрования данных при передаче их от пользователя к провайдеру услуг по хранению данных. Минимизация нагрузки на облачные сервисы.
дипломная работа [839,1 K], добавлен 17.09.2013Предпосылки создания системы безопасности персональных данных. Угрозы информационной безопасности. Источники несанкционированного доступа в ИСПДн. Устройство информационных систем персональных данных. Средства защиты информации. Политика безопасности.
курсовая работа [319,1 K], добавлен 07.10.2016Актуальность вопросов информационной безопасности. Программное и аппаратное обеспечения сети ООО "Минерал". Построение модели корпоративной безопасности и защиты от несанкционированного доступа. Технические решения по защите информационной системы.
дипломная работа [2,3 M], добавлен 19.01.2015История возникновения облачных технологий. Суть и задачи облачных технологий, их классификация, достоинства и недостатки. Исследование применения облачных технологий на примере Google диск. Сравнение Google диск с аналогом компании Apple(iCloud).
курсовая работа [573,1 K], добавлен 05.12.2016Понятие облачных вычислений, их преимущества и недостатки; виды облаков. Сравнительный анализ рисков использования облачных сервисов в России и ЕС. Регуляторы в области информационной безопасности, их концепции, особенности и регулирующие органы власти.
курсовая работа [79,1 K], добавлен 14.05.2014История и факторы развития облачных вычислений. Роль виртуализации в развитии облачных технологий. Модели обслуживания и принципы работы облачных сервисов. Преимущества облака для Интернет-стартапов. Применение технологии облачных вычислений в бизнесе.
реферат [56,6 K], добавлен 18.03.2015Методы и средства защиты информационных данных. Защита от несанкционированного доступа к информации. Особенности защиты компьютерных систем методами криптографии. Критерии оценки безопасности информационных компьютерных технологий в европейских странах.
контрольная работа [40,2 K], добавлен 06.08.2010Характеристика комплекса задач и обоснование необходимости совершенствования системы обеспечения информационной безопасности и защиты информации на предприятии. Разработка проекта применения СУБД, информационной безопасности и защиты персональных данных.
дипломная работа [2,6 M], добавлен 17.11.2012Понятие, значение и направления информационной безопасности. Системный подход к организации информационной безопасности, защита информации от несанкционированного доступа. Средства защиты информации. Методы и системы информационной безопасности.
реферат [30,0 K], добавлен 15.11.2011Секретность и безопасность документированной информации. Виды персональных данных, используемые в деятельности организации. Развитие законодательства в области обеспечения их защиты. Методы обеспечения информационной безопасности Российской Федерации.
презентация [2,1 M], добавлен 15.11.2016Анализ облачных сервисов для автоматизации бизнеса и обоснование преимуществ перехода на облачную обработку данных. Виды и модели облачных сервисов для бизнеса, принципы их работы и характеристики. Задачи автоматизации бизнеса на примере облачных решений.
дипломная работа [2,3 M], добавлен 06.09.2017Модели обслуживания облачных технологий (IaaS, PaaS, SaaS). Определение облачных технологий, их основные характеристики, достоинства и недостатки. Функции и возможности облачного решения Kaspersky Endpoint Security Cloud от "Лаборатории Касперского".
курсовая работа [626,7 K], добавлен 29.06.2017Необходимость и потребность в защите информации. Виды угроз безопасности информационных технологий и информации. Каналы утечки и несанкционированного доступа к информации. Принципы проектирования системы защиты. Внутренние и внешние нарушители АИТУ.
контрольная работа [107,3 K], добавлен 09.04.2011Основные угрозы по отношению к информации. Понятия, методы и способы обеспечения защиты данных. Требования к системе защиты. Механизм авторизации в информационной базе для определения типа пользователя. Работа администратора с системой безопасности.
курсовая работа [201,1 K], добавлен 24.06.2013Эволюция облачных сервисов. Характеристики и классификация облачных сервисов. Анализ возможностей облачных сервисов, предлагаемых для использования в малом бизнесе. Анализ стоимости владения локальным решением по автоматизации деятельности бухгалтерии.
курсовая работа [2,7 M], добавлен 10.05.2015Внешние угрозы информационной безопасности, формы их проявления. Методы и средства защиты от промышленного шпионажа, его цели: получение информации о конкуренте, уничтожение информации. Способы несанкционированного доступа к конфиденциальной информации.
контрольная работа [30,5 K], добавлен 18.09.2016Реализация "облачных" технологий в корпоративных информационных системах. Применение "облачных" технологий на РУП "Белоруснефть". Пуско-наладочные работы, установка и запуск облачного сервиса, начальное конфигурирование и предложения по масштабированию.
курсовая работа [2,9 M], добавлен 24.07.2014Сущность информации, ее классификации и виды. Анализ информационной безопасности в эпоху постиндустриального общества. Исследование проблем и угроз обеспечения информационной безопасности современного предприятия. Задачи обеспечения защиты от вирусов.
курсовая работа [269,0 K], добавлен 24.04.2015Общие сведения о деятельности предприятия. Объекты информационной безопасности на предприятии. Меры и средства защиты информации. Копирование данных на сменный носитель. Установка внутреннего Backup-сервера. Эффективность совершенствования системы ИБ.
контрольная работа [34,1 K], добавлен 29.08.2013
