Облачные вычисления: Вопросы права и требований регулирующих органов

Помимо вопросов технологий и безопасности при планировании перемещения в облако нужно учитывать требования регулирующих органов и стандартов, а также требования закона.

Вик (Дж. Р.) Уинклер

Адаптированная выдержка из книги «Securing the Cloud: Cloud Computer Security Techniques and Tactics» (Syngress, подразделение издательства Elsevier, 2011).

Юридический и нормативный ландшафт вокруг облачных вычислений не статичен. Появляются новые законы, которые могут менять обязанности как арендаторов, так и поставщиков облачных вычислений.

Облачные вычисления в рамках моделей гибридного, коммунального или публичного облака «создают новую динамику в отношениях между организацией и ее информацией в связи с присутствием третьей стороны — поставщика облака. Это создает новые сложности в понимании, как применять закон в большом разнообразии новых сценариев управления информацией», — пишут Глен Брунетте (Glen Brunette) и Рич Могулл (Rich Mogull) из компании Cloud Security Alliance в своей статье «Security Guidance for Critical Areas of Focus in Cloud Computing».

На практике это усложняет понимание, как следует применять закон к различным участникам в разных ситуациях. Независимо от используемой модели вычислений — облачной или нет — нужно учитывать вопросы законодательства, особенно касательно данных, которые вы собираете, храните и обрабатываете. Наверняка есть международные, федеральные или локальные законы, которые вы (а лучше ваши юристы) должны выполнять в повседневной работе.

Арендаторы или пользователи облаков в США, Канаде или ЕС подчиняются многим нормативным требованиям. Среди них «Задачи информационных технологий» (COBIT) и требование о «безопасной гавани» (Safe Harbor). Эти законы могут регулируют хранение и передачу данных, а также защиту конфиденциальности этих данных.

Некоторые законы относятся к конкретным отраслям, например закон об ответственности и переносе данных о страховании здоровья граждан (HIPAA) в здравоохранении. Однако компании часто хранят информацию о здоровье отдельных сотрудников, а это означает, что такие компании должны обеспечивать выполнение закона HIPPA, даже если они не работают в здравоохрении.

Невыполнение требований по защите данных может иметь определенные последствия, например штрафы, налагаемые регулирующими органами. Такие штрафы могут быть существенными и даже приводящими к прекращению деятельности мелких и средних предприятий. Например, агентство по надзору за стандартами безопасности данных в сфере платежных карт (PCI) может ежемесячно накладывать штраф в размере 100 тыс. долларов за нарушение стандартов PCI. Хотя штрафы и накладываются на банк-эквайер, они могут сказаться и на клиенте.

Законы и подзаконные акты обычно определяют, кто в организации должен отвечать за точность и безопасность данных. Если вы собираете и храните данные, подчиняющиеся закону HIPAA, должен быть выделенный сотрудник, отвечающий за обеспечение выполнения требований этого закона. Акт SOX (Sarbanes-Oxley Act) определяет, что за финансовые данные несут солидарную ответственность финансовый и исполнительный директора. Закон о финансовой модернизации Грэмма–Лича–Блайли (Gramm–Leach–Bliley Financial Services Modernization Act) определяет, что за безопасность отвечает весь совет директоров. Требования Федеральной комиссии по торговле более мягкие — в компании должен быть назначен человек, который отвечает за программу безопасности информации в компании.

Участие сторонних организаций

При использовании облачной инфраструктуры, арендуемой у поставщика облачных службы, вы должны возложить все требования закона и регулирующих органов не только на себя, но и на поставщика. Это ваша обязанность, а не поставщика. Если взять в качестве примера требования HIPAA, то можно сказать, что все привлекаемые вами подрядчики (например, поставщик облачных услуг) должны предусмотреть в договоре пункт, обязующий субподрядчиков соблюдать разумные меры безопасности, а также соблюдать все требования по соблюдению конфиденциальности данных.

В США все агентства — федеральные и штата, в том числе Федеральная комиссия по торговле и различные прокуроры следят за тем, чтобы за действия подрядчиков отвечала компания, нанявшая их. Такая практика соблюдается в других странах, таких как страны ЕС, в которых есть свои агентства по защите данных. По мере распространения облачных инфраструктур растет и риск незаконного доступа сторонних организаций к данным.

Даже если данные шифруются, у сторонние лица могут получить доступ к ключам, а, значит, и к зашифрованных этими ключами данным. Часто риск возрастает из-за участия многих сторонних лиц: поставщика облачных услуг, поддержки облачных услуг, рядовых сотрудников и руководства, а также тех, кто занимается управлением и поддержкой приложений. Работающие у подрядчиков субподрядчики могут усугублять потерю контроля надо данными.

Вопросы договоров

Есть ряд моментов, которые надо учитывать на всех этапах работы с договорами:

• Начальная должная осмотрительность
• Согласование контракта
• Реализация
• Завершение контракта (по графику или досрочное)

Начальная должная осмотрительность

Перед заключением договора с поставщиком облачных услуг ваша компания должна оценить конкретные потребности и требования. Нужно определить объем услуг, которые вам нужны, вместе с ограничениями, нормативами и требованиями регулирующих органов, которые надо выполнять. Например, если планируется собирать и хранить HIPAA-данные своих сотрудников, нужно обеспечить, чтобы все поставщики выполняли требования HIPAA. Оценка законов и подзаконных актов, которым вы должны следовать позволит точно определить, что вы можете развертывать в облаке или какой сервис вы можете использовать.

Нужно также оценивать все разворачиваемые в облаке сервисы на предмет их важности для вашего бизнеса. Если вы развернете сервис, который критичен для бизнеса, а его отсутствие может нарушить нормальную работу предприятия, тогда это надо учитывать при оценке поставщика.

Все больше поставщиков появляется на этом рынке, и неизбежна ситуация, в которой некоторые поставщики не смогут или просто прекратят предоставление сервисов, потому что сочтут, что это невыгодно для них. Очень часто крупные компании входят на какой-то рынок, но если они не получают ожидаемой прибыли, эти компании покидают его. Если облачные услуги — основной вид бизнеса компании, она готова работать дольше с меньшей нормой прибыли.

Перед оценкой поставщика облачных услуг вы должны ответить себе на следующие вопросы:

• Являются ли облачные службы действительно основным бизнесом поставщика?
• Насколько стабильно финансовое положение поставщика?
• Отдает ли поставщик часть своих операций на аутсорсинг и если да, то есть ли необходимые соглашения между подрядчиком и поставщиком?
• Соответствует ли физическая безопасность центров обработки данных поставщика вашим потребностям с точки зрения бизнеса, закона и требований регулирующих органов?
• Соответствуют ли планы поставщика по продолжению бизнеса и восстановления в случае аварий вашим бизнес-задачам?
• Каков уровень технических знаний в команде, обслуживающей облако?
• Как долго поставщик предоставляет услуги и есть ли у нее поддающаяся проверке история работы с клиентами?
• Предусматривается ли поставщиком какая-либо компенсация?

После мероприятий по надлежащей осмотрительности можно переходить к более серьезной оценке поставщика. Это сократит время, которое вам придется потратить на переговоры и обеспечит надлежащий уровень безопасности при выполнении ваших задач.

Вряд ли стоит ожидать, что поставщик будет в курсе ваших бизнес-требований. Он также может не знать о требованиях закона, которые вы должны выполнять. В случае нарушения требования закона отвечать будет не поставщик, а ваша компания. Поэтому выбирайте внимательно и всегда делайте свою «домашнюю работу».

Вик Дж. Р. Уинклер (Vic J.R. Winkler) — старший партнер в компании Booz Allen Hamilton, где занимается техническим консультированием в основном государственных учреждений. Он является исследователем в области информационной безопасности, а также экспертом в области обнаружения вторжений и аномального поведения.