Передовой опыт использования облачных вычислений в Европе, 2013 г. (часть 1)

Опубликовано: 8 Марта, 2023
Передовой опыт использования облачных вычислений в Европе, 2013 г. (часть 1)

Введение

Организации теперь используют облако для обработки и хранения; петабайты данных без разбора хранятся в облаке без соответствующей защиты.

В этой статье (часть первая) основное внимание будет уделено первым четырем принципам правильной обработки информации. Эти принципы будут охватывать обязательства организаций по обработке и хранению данных. Это статья из двух частей.

Восемь принципов защиты данных обобщают требования, которые необходимо выполнить для правильной обработки данных в соответствии с Законом о защите данных. Хотя эти принципы не относятся к облаку, любая организация, использующая, обрабатывающая или хранящая личную информацию в облаке, в соответствии с европейским законодательством также обязана их соблюдать.

Информационная безопасность в облаке является вопросом общественной важности, а также технического соответствия. Если личные данные в облаке не защищены должным образом, репутация и успех организаций находятся под угрозой, а безопасность многих людей может быть поставлена под угрозу.

Когда используются облачные вычисления, в них участвуют три основные группы: поставщик облачных услуг, клиент облачных вычислений (организация, решившая использовать облачную службу) и пользователь облачных вычислений (конечный пользователь службы). Важно, чтобы как поставщик облачных услуг, так и заказчик облачных вычислений хорошо знали восемь принципов правильной обработки данных и соблюдали их.

Восемь принципов защиты данных для правильной обработки данных:

  1. Обработка персональных данных справедливо и законно
  2. Обработка персональных данных в указанных целях
  3. Информационные стандарты
  4. Права отдельных лиц
  5. Информационной безопасности
  6. Отправка персональных данных за пределы Европейской экономической зоны
  7. Условия обработки
  8. Исключения

1. Обработка персональных данных добросовестно и законно

Первый из принципов касается обработки персональных данных. Закон остается неизменным для обработки в облаке или вне его. Организация несет ответственность за соблюдение закона.

Закон гласит, что персональные данные должны обрабатываться справедливо и законно. Это включает в себя сбор, использование, раскрытие, сохранение и уничтожение данных. Большинство этих операций происходят в облаке. Упомянутый тип данных — это любые данные, относящиеся к физическому лицу, которое может быть идентифицировано по данным и/или другой информации, которой владеет контролер данных. Это остается неизменным, даже если данные находятся в облаке.

Чтобы обеспечить справедливость при обработке данных, организации должны быть прозрачными. Они должны быть открытыми и честными в отношении того, как будут обрабатываться данные, и гарантировать, что данные используются только таким образом, чтобы это не оказало негативного влияния на человека.

Организации могут убедиться, что они соответствуют первому принципу правильной обработки данных, достигнув следующего:

  • Будьте прозрачны в отношении того, как будут использоваться данные
  • Обращайтесь с данными так, как человек ожидает от вас.
  • Не используйте данные незаконно
  • Иметь веские основания для обработки данных

В облачных вычислениях необходимо предпринять шаги для обеспечения соблюдения этого первого принципа. Структура облака делает это довольно сложной задачей. Из-за многоуровневой модели облачных услуг, когда несколько поставщиков облачных услуг предлагают различные услуги, повышается вероятность того, что за обработку данных будет отвечать более одного человека; будет несколько контроллеров и обработчиков данных, работающих совместно от имени организации.

2. Обработка персональных данных в указанных целях

Следующий принцип основан на законе, который гласит, что персональные данные должны быть получены для определенной цели и не должны обрабатываться в дальнейшем никакими способами, отличными от указанной цели. Если ваша организация уже соблюдает остальные 8 принципов, велика вероятность, что этот принцип также будет охвачен.

Организации могут обеспечить соблюдение этого принципа посредством:

  • Прозрачность в отношении причин сбора данных и того, как данные будут использоваться.
  • Обеспечение того, что если вы хотите использовать или обрабатывать данные способом, отличным от указанного, убедитесь, что новое использование или раскрытие информации является добросовестным и законным.

Подробнее об обработке информации в облаке

Первым шагом к хорошей обработке данных в облаке является определение контроллера данных организации. В облачных вычислениях контролером данных будет облачный клиент (организация), который будет определять цели, для которых и как будут обрабатываться данные. Таким образом, окончательная ответственность за данные будет лежать на заказчике облачных вычислений, т. е. на организации.

Важно, чтобы роль контроллера данных оставалась ясной, в некоторых случаях при использовании облачных вычислений возможно, что может быть более одного контроллера данных. Очень важно, чтобы организация четко понимала роль поставщика облачных услуг, действует ли поставщик облачных услуг в качестве обработчика данных от имени организации или является ли он самостоятельным контроллером данных.

Клиент облака будет нести ответственность за данные, которые он обрабатывает в облаке, даже если он решит использовать услуги поставщика облачных услуг для обработки своих личных данных в облаке.

Контроллер данных будет отличаться от одной облачной модели к другой. Представьте себе следующие облачные сценарии:

  • Частное облако: если организация использует частное облако, может быть только один контроллер данных, которого легко идентифицировать. Заказчик облака, организация, возьмет на себя эту роль, поскольку он контролирует, как данные обрабатываются в облаке.
  • Облако сообщества: вероятность доступа к облачной службе более чем одного контроллера данных высока. Облачная модель сообщества будет включать поставщика облачных услуг в качестве обработчика данных и более чем одного клиента/организации облачных вычислений, совместно использующих данные через облако. В этом случае необходимо четко определить роли и общие обязанности контроллера данных.
  • Общедоступное облако. В общедоступном облаке роль контролера данных/организации усложняется, поскольку организация будет иметь очень небольшой контроль над операциями крупного поставщика облачных услуг. Организация по-прежнему несет ответственность за данные, которые они решили обрабатывать таким образом, и остается контролером данных.

Обязанности организации (контроллера данных) при использовании облачных вычислений

Контроллер данных/организация несет ответственность за сбор, хранение и сохранение персональных данных. Они несут ответственность за безопасность этих данных.

Шаги, которые должна предпринять организация, чтобы помочь в достижении принципов надлежащей обработки данных:

  • Оцените данные и сделайте осознанный выбор данных, которые вы решили перенести в облако.
    Не все данные должны быть в облаке. Данные следует оценивать и классифицировать в соответствии с типом, а также риском защиты данных, связанным с конкретными данными. Следует вести четкий учет категорий данных в облаке, а также данных, не находящихся в облаке.
  • Убедитесь, что пользователи облака (лица, к которым относятся данные) получают достаточную информацию об обработке их данных. Держите их в курсе любых изменений в обработке. Будьте честны и прозрачны.
  • Имейте хорошее представление о том, что вы как организация требуете от облачного провайдера при выборе. Все поставщики облачных услуг различаются по услугам, которые они предлагают, поэтому лучше всего выбрать тот, который соответствует вашим конкретным потребностям.
  • В зависимости от типа облака, которое организация выбирает для использования, в некоторых случаях организация может извлечь выгоду из проведения оценки конфиденциальности. Например, если организация выбирает использование общедоступного облака, необходимо оценить любые проблемы с конфиденциальностью, которые могут присутствовать. Это необходимо сделать до перехода в облако.
  • Мониторинг и управление.
    Важно постоянно отслеживать, анализировать и оценивать производительность выбранного вами поставщика облачных услуг. Организация несет ответственность за то, чтобы служба работала должным образом.
  • Письменный договор
    Требуется наличие контракта между организацией и поставщиком облачных услуг, предусматривающего, что поставщик облачных услуг/обработчик данных будет действовать только по указанию контроллера данных/организации в отношении обработки данных. Условия обработки данных должны быть четко прописаны в договоре. Организация должна гарантировать, что все области, которые она обязана решать по закону, охвачены контрактом, т. е. восемь принципов надлежащего обращения с информацией.

3. Информационные стандарты

Информационные стандарты относятся к информации, которую вы обрабатываете.

Стандарты, которым должны соответствовать персональные данные:

  • Данные должны быть точными
  • Данные должны быть актуальными
  • Данные должны быть актуальными и необходимыми
  • Данные должны храниться не дольше, чем это необходимо

Шаги и организация, которые могут быть предприняты для содействия выполнению вышеуказанных критериев:

  • Настройте систему или политику для регулярной проверки данных, которые вы обрабатываете, используете или храните, и удаления данных, которые вам больше не нужны.
  • Регулярно просматривайте данные, чтобы они были точными и актуальными.
  • Храните данные надлежащим образом, данные, к которым редко обращаются, но которые все же необходимы, должны быть надежно заархивированы.
  • Настройте политики хранения данных и убедитесь, что они отслеживаются и применяются на практике
  • Классифицируйте данные и установите сроки хранения на основе категорий, тем самым сохраняя контроль над хранением данных.
  • Проводить регулярные проверки, чтобы обеспечить соблюдение политики хранения данных.

Как организация, перед использованием или обработкой данных необходимо убедиться, что все эти критерии соблюдены и поддерживаются. Убедившись, что организация соответствует этим критериям, количество ошибок, связанных с защитой данных, может быть сведено к минимуму. Если данные точны и актуальны, вы вряд ли будете использовать данные неправильно, причинив вред. Если информация удаляется, когда она больше не требуется, легче поддерживать точность данных. Организации должны помнить, что даже когда данные, которые они хранят, больше не требуются, они по-прежнему несут ответственность за их безопасность даже в облаке.

Хранение и удаление данных в облаке

Надежность облачных вычислений часто обеспечивается за счет хранения нескольких копий данных во многих местах. Это усложняет ситуацию, когда дело доходит до удаления данных после истечения срока хранения. Поставщики облачных услуг должны убедиться, что у них есть средства для уничтожения всех копий персональных данных, когда это необходимо.

4. Права личности

Любая организация при использовании или обработке персональных данных должна делать это в соответствии со следующими правами, изложенными в Законе о защите данных:

  • Физические лица имеют право на копию используемой, обрабатываемой или хранимой информации.
  • Право отказаться от обработки, которая может привести к индивидуальному ущербу.
  • Право требовать возмещения убытков, причиненных нарушением акта.
  • Право на обеспечение точности обрабатываемой или хранимой информации.
  • Право запрашивать информацию удалено или уничтожено.
  • Право на предотвращение обработки в маркетинговых целях.

Когда организация решает перейти на облачные вычисления, она должна быть уверена, что это изменение или переход не окажут негативного влияния на права субъектов данных (физических лиц). Права отдельных лиц остаются неизменными даже при обработке данных в облаке.

Вывод

Многие организации решили перейти на облачные вычисления по разным причинам. Облако предлагает организациям набор услуг по более низкой цене, чем если бы это было сделано собственными силами. Однако при обработке и хранении информации в облаке организации могут столкнуться с рисками в отношении защиты данных, о которых они ранее не знали.

В этой статье были рассмотрены первые четыре принципа управления данными в облаке. Обратите внимание на следующую статью из этой серии, в которой будут рассмотрены оставшиеся четыре основные области, которые ваша организация должна учитывать и тщательно оценивать.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023