Рост "облаков" требует пересмотра законов
Совокупность технологических подходов, которую называют "облачными вычислениями", вплотную столкнула законодателей и юристов с новыми проблемами. Интернет стал платформой для распределенных приложений: компания может вести конфиденциальный внутренний документооборот на чужих мощностях, заключив контракт со сторонним SaaS-поставщиком, который, в свою очередь, будет обрабатывать полученные данные на вычислительных мощностях других поставщиков услуг IaaS и/или PaaS. Существующее законодательство очень плохо приспособлено к таким ситуациям.
Что же касается частного сектора, то в США примерно с 2009 года ведется диалог о необходимости выработки добровольных отраслевых стандартов в сфере облачных вычислений, который в первую очередь должен закрепить минимальный уровень защиты пользовательских данных при использовании облачных сервисов. Недавний скандал в связи с разрывом контракта с Wikileaks со стороны Amazon подстегнул эту дискуссию – стало очевидно, что пользователи облачных сервисов действительно во многом теряют контроль над своими данными, а законодательное регулирование остается по меньшей мере спорным (мнения относительно правомерности действий Amazon расходятся).
В 2009 году аналитик Altimer Group Рэй Ван опубликовал исследование "Потребительский билль о правах: ПО как услуга" (Customer Bill of Rights: Software as a Services), в котором был предложен анализ прав заказчиков при взаимодействии с поставщиками SaaS услуг на пяти этапах: при отборе (selection), реализации (implementation), восприятии (adoption), оптимизации (optimization) и продлении (renewal) сервисов. Этот документ интересен тем, что в нем проанализированы не только аспекты приватности и безопасности, но и экономические интересы пользователей SaaS, которым обычно уделяется меньше внимания.
Деятельность Евросоюза по реформированию законодательства в связи с облачными вычислениями
- 20 ноября 2009: Европейское агентство по сетевой и информационной безопасности публикует отчет о рисках и преимуществах облачных вычислений в сфере информационной безопасности.
- 26 января 2010: Европейская комиссия определяет направления будущих исследований в сфере облачных вычислений в Европе.
- 19 мая 2010: "План цифрового развития для Европы", опубликованный Европейской комиссией, предлагает разработать общеевропейскую стратегию в сфере облачных вычислений, в том числе, в отношении научных исследований и использования в государственных структурах.
- Декабрь 2010: Еврокомиссия публикует "Анализ вызовов в области безопасности и приватности в Облаке".
- Декабрь 2010: Еврокомиссия дает оценку экономического эффекта облачных вычислений.
- Май 2011: Еврокомиссия планирует организовать слушания по вопросу законодательного регулирования в сфере облачных вычислений.
- 2012: Еврокомиссия предложит стратегию в сфере облачных вычислений для ЕС.
Источник: euractiv, 2011
Исследователь из Salesforce.com Джей-Пи Рангасвами предложил набор из "десяти руководящих принципов" для облачных вычислений. Первым качеством, которым они должны отвечать, является прозрачность: компании должны раскрывать внутренние правила обработки информации, а также сведения о производительности и надежности на публичных веб-сайтах. Во-вторых, компании не должны претендовать на владение данными заказчиков и могут использовать их только в тех целях, для которых они были получены от заказчиков. Затем, компании должны раскрывать данные заказчиков только в случае, если это требуется самими заказчиками или законом, и должны при этом предварительно уведомлять заказчиков о раскрытии данных по требованию правоохранительных органов в той мере, насколько это позволяет законодательство. В-четвертых, необходимо принимать во внимание систему управления безопасностью: компании должны располагать мощной системой защиты данных, соответствующей международным стандартам (таким как ISO 27002). Помимо всего сказанного, компании должны предлагать заказчикам дополнительные возможности по защите их данных, предъявлять заказчикам список стран, в которых размещаются относящиеся к ним данные, а также оперативно уведомлять заказчиков обо всех известных утечках, которые ставят под угрозу конфиденциальность или целостность данных.
Аудит, несомненно, является крайне важным принципом: компании должны обращаться к услугам сторонних аудиторов с целью проверки того, насколько их система управления безопасности соответствует настоящим требованиям. Также организации должны предоставлять заказчикам возможность выгрузки данных в стандартном формате, пригодном для передачи через интернет. И конечно, компании должны сотрудничать с заказчиками в адекватном распределении обязанностей при составлении отчетности о приватности и безопасности.
Несмотря на то, что указанные предложения пока не приобрели широкой поддержки со стороны участников отрасли, вероятнее всего, в будущем дискуссия приведет к выработке общеотраслевых правил – это полностью соответствует как американским традициям, так и коммерческим интересам поставщиков облачных услуг.
Важность выработки адекватного законодательства в России
России невыгодно оставаться лишь сторонним наблюдателем происходящих в США и в Европе процессов. Так например, законодательство Евросоюза позволяет осуществлять обмен персональными данными не только со странами-участницами ЕС, но и со странами, которые обеспечили "адекватный уровень защиты персональных данных".
По состоянию на конец 2009 года к таким странам относились Аргентина, Австралия, Канада, США, Швейцария и некоторые другие страны. Попадение в этот список позволит российским поставщикам наравне конкурировать с западными "облачными" провайдерами. И напротив – отсутствие прозрачного и применимого законодательства в сфере персональных данных может стать непреодолимым барьером для российских ИТ-компаний и в еще большей степени увеличит разрыв между отечественной и западной ИТ-отраслью.
Короткая ссылка на материал: //cnews.ru/link/a2561
