В связи с активным развитием информационных систем хранения информации, требуется постоянное увеличение качества защиты информации. Наряду с этим утверждаются различные законопроекты, касающиеся защиты информации, чтобы закрепить повышение качества обеспечения информационной безопасности на законодательном уровне.
Информационная безопасность преследует цель обеспечения информации целостности и уменьшения негативных последствий инцидентов ИБ.
Стандартной моделью безопасности считается модель, описываемая посредством следующих категорий:
1) конфиденциальность – свойство информации, гарантирующее доступ к чтению информации только тем субъектам, которые имеют на это право;
2) целостность – гарантирование того, что информация не будет создана, удалена или изменена неавторизованным субъектом;
3) доступность – свойство информации, при котором она доступна в любое время для авторизованных субъектов.
Выделяются и другие категории модели безопасности: неотказуемость, подотчетность, достоверность, аутентичность.
На сегодняшний день в законодательстве Российской Федерации отсутствуют нормативно-правовые акты, касающиеся технологии облачных вычислений. Кроме законопроекта «О внесении в отдельные законодательные акты Российской Федерации в части использования облачных вычислений» [13], который должен был вступить в силу с 1 января 2015 года, но до сих пор находится на стадии доработки. В этом законопроекте предлагается внести изменения в Федеральные законы №149-ФЗ «Об информации, информационных технологиях и о защите информации»[4] и №152-ФЗ «О персональных данных» [1]. Он затрагивает важные проблемы, например, введение юридических понятий в области облачных технологий и регулировании отношений с государственными органами.
В связи с этим, провайдеры облачных вычислений, могут основываться только на международных стандартах. К числу которых относятся:
1. ISO 22301 «Системы менеджмента непрерывности бизнеса. Общие требования», который устанавливает требования к созданию и управлению эффективной системой менеджмента непрерывности бизнеса (СМНБ).[8]
2. ISAE №3402 «Отчеты по результатам проверок систем контроля сервисной организации», касающийся вопросов о составлении аудиторских заключений (отчетов). [9]
3. NIST SP800-145 «Описание облачных вычислений NIST», в котором приведены классификации облачных вычислений, разделение их на категории, а также описание технологии в целом.[10]
4. Data Center Site Infrastructure Tier Standard: Topology устанавливает четыре различных инфраструктуры центра обработки данных (ЦОД). [11]
5. Data Center Site Infrastructure Tier Standard: Operational Sustainability устанавливает режимы и риски, выходящие за пределы установленной инфраструктуры, которые влияют на способность центра обработки данных выполнять свои бизнес-задачи. [12]
6. ISO 27001 «Методы и средства обеспечения безопасности. Системы менеджмента информационной безопасности» подготовлен в качестве модели для разработки, внедрения, функционирования, мониторинга, анализа, поддержки и улучшения системы менеджмента информационной безопасности (СМИБ).
Также следует отметить методологию ITIL (Information Technology Infrastructure Library), которая описывает процессы, процедуры, задачи и контрольные списки, которые не являются особенной для организации, но могут применяться организацией для установления интеграции со стратегией организации, обеспечения ценности и поддержания минимального уровня компетентности.
Существует еще множество различных зарубежных стандартов, например, таких как стандарты HIPAA, SOX-4 и многих других, так или иначе затрагивающих сферу облачных вычислений.
Таким образом, проанализировав законопроект «О внесении в отдельные законодательные акты Российской Федерации в части использования облачных вычислений», можно определить, что этот документ, фактически не решает многочисленные вопросы, касающиеся предоставления услуг облачных вычислений на российском рынке на сегодняшний день. Его положения связаны исключительно с регулированием отношений провайдеров с государственными органами, а все остальные потребители даже не упоминаются. Сформулируем важные аспекты, не взятые во внимание в текущей версии проекта:
1. Вероятнее всего, этот нормативный акт должен быть реализован в виде отдельного закона, а не поправок к уже существующим.
2. Закон должен описывать положения регулирования всего рынка облачных услуг, как для юридических, так и для физических лиц.
3. Должно быть уделено внимание публичным облачным сервисам, так как нет возможности заключения договоров, в которых прописываются детали отношения сторон.
4. Закон должен содержать ключевые положения, исключающие возможность произвольной трактовки закона.
5. В законе должны быть описаны общие принципы разграничения ответственности между потребителями и провайдерами при использовании облачных услуг.
6. Также должны быть указаны роль и ответственность сетевого провайдера, так как он является третьим лицом услуг.
7. Не должны остаться без внимания отношения и конфликты при трансграничном предоставлении облачных услуг.
8. Помимо этого необходимо ввести систему сертификации, аттестации и лицензировании облачных сервисов.
9. Скорость принятия такого закона также немаловажна, поскольку текущая нормативно правовая ситуация негативно влияет на развитие этого направления ИТ-рынка.
Облачное хранилище имеет непосредственное отношение к проблеме обеспечения защиты персональных данных, так как в федеральном законе 152-ФЗ говорится, что персональные данные - это любая информация, относящаяся к субъекту ПДн, в том числе его ФИО, место и дата рождения, адрес и другая информация, позволяющая идентифицировать субъект ПДн. Взяв в расчет, что облачное хранилище может хранить и обрабатывать информацию, которая находится в различных справочниках пользователей, можно сказать, что оно обрабатывает информацию, относящуюся к ПДн. Помимо справочников, в облачном хранилище могут храниться и обрабатываться другие документы, содержащие ПДн. Следовательно, нельзя не согласиться с утверждением о том, что облачное файловое хранилище имеет прямое отношение к вопросу об обеспечении безопасности ПДн. Следует отметить, что облачное хранилище не является ИСПДн как программный продукт, а встраивается в них: «Информационная система персональных данных - информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств» Из этого следует, что «облако» должно удовлетворять требованиям к объектам, входящим в ИСПДн.
Правительство Российской Федерации определяет меры для обеспечения выполнения обязанностей, предусмотренных федеральным законом №152-ФЗ от 27.07.2006 «О персональных данных».
Постановление правительства №1119 от 01.11.2012 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»[2] устанавливает для информационной системы уровень защищенности персональных данных, в соответствии с которым определяется перечень обязательных технических и организационных мер по обеспечению безопасности ПДн.
Уровни защищенности ПДн при их обработке в ИСПДн определяются исходя из следующих условий:
1. Категория субъектов ПДн, обработка чьих персональных данных осуществляется в информационной системе: сотрудники или иные лица;
2. количество субъектов ПДн, обработка чьих персональных данных осуществляется в информационной системе: до 100 000 или более 100 000;
3. категория персональных данных, обрабатываемых в информационной системе: специальные, биометрические, общедоступные, иные;
4. тип актуальных угроз безопасности персональных данных:
4.1. актуальны угрозы, которые связаны с наличием НДВ в системном ПО;
4.2. актуальны угрозы, которые связаны с наличием НДВ в прикладном ПО;
4.3. актуальны угрозы, которые не связаны с наличием НДВ в системном и прикладном ПО.