Передовой опыт использования облачных вычислений в Европе, 2013 г. (часть 2)

Опубликовано: 8 Марта, 2023
Передовой опыт использования облачных вычислений в Европе, 2013 г. (часть 2)

Введение

Организации теперь используют облако для обработки и хранения; петабайты данных без разбора хранятся в облаке без соответствующей защиты.

В этой статье (часть вторая) основное внимание будет уделено последним трем принципам правильной обработки информации. Эти принципы будут охватывать обязательства организаций по обработке и хранению данных.

5. Информационная безопасность

Важно знать требования к безопасности данных, что ожидается от вас как от организации, использующей, обрабатывающей или хранящей данные. Чтобы соответствовать требованиям, организации должны обеспечить наличие мер предосторожности, физической, технической и управленческой безопасности, чтобы предотвратить преднамеренную или случайную компрометацию данных, за которые вы несете ответственность.

Шаги, которые должны предпринять организации:

  • Проведите детальную оценку рисков. Включая такие области, как количество сотрудников, доступ сотрудников к данным, доступ к данным третьих лиц и обеспечение безопасности третьих лиц.
  • Разрабатывайте и управляйте своей системой безопасности с учетом характера обрабатываемой вами информации, принимая во внимание последствия, если произойдет нарушение безопасности. Каждой организации потребуется безопасность, соответствующая их потребностям.
  • Назначить отдельное лицо или группу лиц ответственными за информационную безопасность в организации. Таким образом, люди четко понимают свои роли, избегая путаницы.
  • Установите надежную физическую и техническую безопасность и всегда поддерживайте ее и управляйте ею. Будьте готовы адаптироваться к изменениям времени и обстоятельств.
  • Убедитесь, что у вас есть политики безопасности, что они соблюдаются и управляются.
  • Убедитесь, что сотрудники всегда в курсе действующих политик и что они обучены процедурам безопасности в организации.
  • Помните об областях риска, разработайте процедуры и политики на случай неудачного случая нарушения безопасности, чтобы реакция была эффективной и быстрой.
  • Наличие политик восстановления данных.
  • Назначьте отдельному лицу или группе лиц право доступа, изменения, раскрытия или уничтожения данных. При этом доступ к данным имеют только авторизованные пользователи, что упрощает управление данными.

Достижения в области технологий, включая облачные вычисления, позволили организациям легко обрабатывать и обмениваться большими объемами данных. Вместе с преимуществами этого возникает возможность серьезных рисков для безопасности. Облачные вычисления позволяют хранить, обрабатывать и использовать большие объемы данных, однако многочисленные задействованные точки хранения данных повышают риск компрометации, потери, неправильного использования или подделки данных, если они не защищены должным образом и в соответствии с законом о защите данных.

При использовании поставщика облачных услуг безопасность данных в облаке остается ответственностью организации. Важно, чтобы все меры безопасности, предпринимаемые самой организацией, также предпринимались поставщиком облачных услуг. Организация несет ответственность за обеспечение того, чтобы безопасность, предлагаемая поставщиком облачных услуг, соответствовала собственным политикам безопасности организации, а также законодательству, чтобы обеспечить безопасность данных, используемых, обрабатываемых или хранящихся в облаке.

Шаги, которые может предпринять организация при выборе подходящего поставщика облачных услуг:

  • Поставщик облачных услуг должен поддерживать те же, если не лучшие политики безопасности по сравнению с организацией. Уровень безопасности, который вы разрешили бы данным, если бы вы обрабатывали их, также разрешен поставщиком облачных услуг.
  • Поставщик облачных услуг должен предоставить достаточные гарантии в отношении мер безопасности, применяемых для защиты данных, которые обрабатываются или хранятся от имени организации.
  • Поставщик облачных услуг должен убедиться, что у него есть необходимые меры безопасности, чтобы не допустить, чтобы одна организация получила доступ к чужим личным данным.
  • Организация должна предпринять необходимые шаги для обеспечения того, чтобы меры безопасности применялись на практике поставщиком облачных услуг.
  • Между организацией и поставщиком облачных услуг должен быть заключен письменный договор, устанавливающий критерии допустимой обработки данных, а также меры безопасности, которые необходимо внедрить и применять на практике.

В случае неудачного нарушения безопасности, несмотря на все действующие политики и меры безопасности, организация должна разработать план устранения нарушений. Следующие элементы важны и должны быть отражены в плане.

  • Сдерживание:

Посмотрите, как ограничить возможный ущерб, вызванный нарушением безопасности.

  • Восстановление:

Имейте план восстановления на случай нарушения безопасности.

  • Оценка рисков:

Оцените риски, связанные с нарушением безопасности, возможные последствия нарушения для лиц, вовлеченных прямо или косвенно, и вероятность развития этих последствий.

  • Уведомление о нарушении безопасности:

Для управления инцидентом важно, чтобы лица, затронутые нарушением, были проинформированы вместе с необходимыми юридическими лицами.

  • Расследование и ответ:

Оцените причину нарушения и обновите или измените свои политики и процедуры безопасности, если это необходимо, чтобы избежать повторения в будущем.

Подробнее о защите информации в облаке

Важная часть выбора подходящего поставщика облачных услуг основана на предлагаемой им безопасности.

Области, которые следует изучить при выборе поставщика облачных услуг с учетом требований безопасности:

  • Оценивает гарантии, предлагаемые поставщиком облачных услуг в отношении доступности, конфиденциальности и целостности. Эти гарантии должны отражать адекватные технические и управленческие процедуры безопасности и меры по обеспечению соответствия.
  • Провести аудит безопасности помещений и служб. Включая действующие физические, технические и управленческие процедуры. Важно убедиться, что безопасность, предлагаемая поставщиком облачных услуг, поможет организации соблюдать законы о защите данных.
  • Если облачная служба является многоуровневой, необходимо обеспечить гарантии в отношении действующих процедур безопасности в отношении всех, кто участвует в обработке данных в многоуровневой службе.
  • Облачный провайдер должен регулярно предоставлять организации актуальную информацию о безопасности.

Способы защиты ваших данных в облаке:

  • Шифрование данных перед их перемещением в облако может гарантировать, что только уполномоченное лицо сможет просматривать данные.
  • Шифрование передаваемых данных гарантирует, что даже в случае перехвата они не смогут быть прочитаны кем-либо без ключа.
  • Шифровать данные, хранящиеся в облаке.
  • Если шифрование выбрано в качестве технической меры для защиты данных в облаке, важно иметь надежную систему управления ключами, чтобы гарантировать постоянную безопасность ключей.
  • Убедитесь, что существуют процедуры для предотвращения несанкционированного доступа к данным. Аутентификация была бы полезна.
  • Система управления доступом необходима для обновления, приостановки, удаления и сброса учетных записей пользователей, когда это необходимо.

6. Отправка персональных данных за пределы Европейской экономической зоны

Закон о защите данных гласит, что организациям не разрешается передавать данные за пределы Европейского Союза, если в стране нет надлежащего уровня защиты для обработки данных. Великобритания считает, что Европейский Союз имеет адекватный уровень защиты данных и, таким образом, разрешает обработку данных в пределах ЕС.

Этот принцип становится проблемой при переходе к облачным вычислениям, поскольку большую часть времени серверы, обрабатывающие и хранящие ваши данные, разбросаны по всему миру.

Как организации, внедряющей облачные вычисления, важно, чтобы вы согласовали с поставщиком облачных услуг местонахождение серверов, чтобы убедиться, что вы соблюдаете закон в этом аспекте, помня о том, что безопасность данных в конечном итоге является ответственностью организации. Важно, чтобы выбранный вами поставщик облачных услуг был надежным и обеспечивал соответствующую безопасность.

При обработке или хранении информации на серверах за пределами ЕС вам необходимо обеспечить следующее:

  • Адекватный уровень защиты, эквивалентный или лучше, чем в ЕС
  • Иметь представление о характере передаваемых, обрабатываемых или хранимых данных, гарантируя, что защита, предлагаемая для характера информации и отдельных лиц, является адекватной.
  • Иметь представление о том, как данные будут обрабатываться или использоваться
  • Быть осведомленным о законах или правилах страны, где информация обрабатывается или хранится. Убедитесь, что в стране приняты законы о защите данных.
  • Обеспечить наличие средств, гарантирующих соблюдение стандартов защиты на практике.

Надежность облачного сервиса во многом зависит от возможности использования центров обработки данных, расположенных в разных странах; это становится проблемой, так как часто трудно определить, где обрабатываются ваши данные.

Крайне важно, чтобы клиент/организация облачных вычислений узнала список потенциальных стран, используемых поставщиком облачных услуг для обработки данных, и обеспечила адекватную безопасность этих стран в соответствии с законодательством Великобритании о данных.

7. Условия обработки

Этот принцип объясняет условия, которые должны существовать, прежде чем вы как организация сможете обрабатывать персональные данные. Если ваша организация уже соблюдает первые два принципа, велика вероятность, что вы также соблюдаете и этот принцип. Если ваши причины обработки данных справедливы и законны, определить условия обработки данных будет легче.

При обработке персональных данных должно выполняться хотя бы одно из следующих условий:

  • Субъект данных дал согласие на обработку, использование или хранение данных в порядке, установленном после четкого понимания того, как данные будут обрабатываться.
  • Обработка необходима из-за юридических обязательств
  • Обработка необходима для защиты интересов лица или субъекта данных.
  • Обработка необходима для отправления правосудия
  • Обработка необходима для конкретной цели, к которой относится состояние

8. Исключения

Персональные данные иногда необходимо раскрывать для определенных целей. В этих случаях ваша организация будет освобождена от соблюдения некоторых принципов защиты данных в отношении прав человека или субъекта данных. Организация должна быть осведомлена об областях, в которых освобождение может иметь силу. Ситуации, включенные для исключения, включают преступления и цели налогообложения, раскрытие информации, требуемое законом, и общедоступную информацию, и это лишь некоторые из них.

Вывод

Многие организации выбирают облачные вычисления по разным причинам. Облако предлагает организациям множество услуг и технологий, помогающих в повседневном бизнесе, и по более низкой цене, чем если бы это было реализовано собственными силами. Однако при обработке и хранении информации в облаке организации могут столкнуться с рисками в отношении защиты данных, о которых они ранее не знали.

Перед переходом в облако организации вместе со своим поставщиком облачных услуг должны рассмотреть восемь принципов защиты данных, связанных с обработкой данных, чтобы гарантировать, что хранение и обработка данных, выполняемых в облаке, соответствуют Закону о защите данных. Если организации хорошо понимают восемь принципов правильной обработки данных, это поможет сохранить контроль над данными в облаке и завоевать доверие сотрудников, клиентов и/или заказчиков.

Облачные вычисления

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Вопросы безопасности для облачных вычислений (часть 5) — быстрая эластичность
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 6)
9 Марта, 2023
Начало работы с VMware vCloud Director (часть 1)
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 4) — объединение ресурсов
9 Марта, 2023
Сценарии развертывания облачной сетевой инфраструктуры Microsoft с Windows Server 8 (часть 1) — традиционный центр обработки данных
9 Марта, 2023
Вопросы безопасности для облачных вычислений (часть 3) — широкий доступ к сети
9 Марта, 2023
Использование Hyper-V для создания частного облака (часть 5)
9 Марта, 2023
System Center 2012 и управление облаком
9 Марта, 2023