Проблемы защиты персональных данных при использовании облачных вычислений

Проблемы защиты персональных данных при использовании облачных вычислений

Проведен анализ использования облачных вычислений с точки зрения выполнения требований защиты персональных данных. Рассмотрены рекомендации для поставщиков и потребителей облачных услуг по реализации принципов обработки персональных данных. Сформулированы положения проекта международного стандарта з...

Ausführliche Beschreibung

Gespeichert in:
Bibliographische Detailangaben
Datum:2014
Hauptverfasser: Фаль, А.М., Козак, В.Ф.
Format: Artikel
Sprache:Russian
Veröffentlicht: Інститут кібернетики ім. В.М. Глушкова НАН України 2014
Schriftenreihe:Кибернетика и системный анализ
Schlagworte:
Системный анализ
Online Zugang:http://dspace.nbuv.gov.ua/handle/123456789/124703
Tags: Tag hinzufügen
Keine Tags, Fügen Sie den ersten Tag hinzu!
Назва журналу:Digital Library of Periodicals of National Academy of Sciences of Ukraine
Zitieren:Проблемы защиты персональных данных при использовании облачных вычислений / А.М. Фаль, В.Ф. Козак // Кибернетика и системный анализ. — 2014. — Т. 50, № 5. — С. 132-138. — Бібліогр.: 14 назв. — рос.

Institution

Digital Library of Periodicals of National Academy of Sciences of Ukraine
id irk-123456789-124703
record_format dspace
spelling irk-123456789-1247032017-10-03T03:02:42Z Проблемы защиты персональных данных при использовании облачных вычислений Фаль, А.М. Козак, В.Ф. Системный анализ Проведен анализ использования облачных вычислений с точки зрения выполнения требований защиты персональных данных. Рассмотрены рекомендации для поставщиков и потребителей облачных услуг по реализации принципов обработки персональных данных. Сформулированы положения проекта международного стандарта защиты персональных данных в облаках. Проведено аналіз використання хмарних обчислень з точки зору виконання вимог захисту персональних даних. Розглянуто рекомендації постачальникам та споживачам хмарних послуг стосовно реалізації принципів оброблення персональних даних. Сформульовано окремі положення проекту міжнародного стандарту щодо захисту персональних даних у хмарах. Cloud computing is analyzed with regard to personal data protection. Recommendations to cloud providers and cloud customers as to implementing the principles of personal data processing are discussed. Some provisions of the international standard project concerning personal data protection are formulated. 2014 Article Проблемы защиты персональных данных при использовании облачных вычислений / А.М. Фаль, В.Ф. Козак // Кибернетика и системный анализ. — 2014. — Т. 50, № 5. — С. 132-138. — Бібліогр.: 14 назв. — рос. 0023-1274 http://dspace.nbuv.gov.ua/handle/123456789/124703 681.3 ru Кибернетика и системный анализ Інститут кібернетики ім. В.М. Глушкова НАН України
institution Digital Library of Periodicals of National Academy of Sciences of Ukraine
collection DSpace DC
language Russian
topic Системный анализ
Системный анализ
spellingShingle Системный анализ
Системный анализ
Фаль, А.М.
Козак, В.Ф.
Проблемы защиты персональных данных при использовании облачных вычислений
Кибернетика и системный анализ
description Проведен анализ использования облачных вычислений с точки зрения выполнения требований защиты персональных данных. Рассмотрены рекомендации для поставщиков и потребителей облачных услуг по реализации принципов обработки персональных данных. Сформулированы положения проекта международного стандарта защиты персональных данных в облаках.
format Article
author Фаль, А.М.
Козак, В.Ф.
author_facet Фаль, А.М.
Козак, В.Ф.
author_sort Фаль, А.М.
title Проблемы защиты персональных данных при использовании облачных вычислений
title_short Проблемы защиты персональных данных при использовании облачных вычислений
title_full Проблемы защиты персональных данных при использовании облачных вычислений
title_fullStr Проблемы защиты персональных данных при использовании облачных вычислений
title_full_unstemmed Проблемы защиты персональных данных при использовании облачных вычислений
title_sort проблемы защиты персональных данных при использовании облачных вычислений
publisher Інститут кібернетики ім. В.М. Глушкова НАН України
publishDate 2014
topic_facet Системный анализ
url http://dspace.nbuv.gov.ua/handle/123456789/124703
citation_txt Проблемы защиты персональных данных при использовании облачных вычислений / А.М. Фаль, В.Ф. Козак // Кибернетика и системный анализ. — 2014. — Т. 50, № 5. — С. 132-138. — Бібліогр.: 14 назв. — рос.
series Кибернетика и системный анализ
work_keys_str_mv AT falʹam problemyzaŝitypersonalʹnyhdannyhpriispolʹzovaniioblačnyhvyčislenij
AT kozakvf problemyzaŝitypersonalʹnyhdannyhpriispolʹzovaniioblačnyhvyčislenij
first_indexed 2025-07-09T01:53:57Z
last_indexed 2025-07-09T01:53:57Z
_version_ 1837132455284310016
fulltext ÓÄÊ 681.3 À.Ì. ÔÀËÜ, Â.Ô. ÊÎÇÀÊ ÏÐÎÁËÅÌÛ ÇÀÙÈÒÛ ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕ ÏÐÈ ÈÑÏÎËÜÇÎÂÀÍÈÈ ÎÁËÀ×ÍÛÕ ÂÛ×ÈÑËÅÍÈÉ Àííîòàöèÿ. Ïðîâåäåí àíàëèç èñïîëüçîâàíèÿ îáëà÷íûõ âû÷èñëåíèé ñ òî÷êè çðåíèÿ âû- ïîëíåíèÿ òðåáîâàíèé çàùèòû ïåðñîíàëüíûõ äàííûõ. Ðàññìîòðåíû ðåêîìåíäàöèè äëÿ ïî- ñòàâùèêîâ è ïîòðåáèòåëåé îáëà÷íûõ óñëóã ïî ðåàëèçàöèè ïðèíöèïîâ îáðàáîòêè ïåðñî- íàëüíûõ äàííûõ. Ñôîðìóëèðîâàíû ïîëîæåíèÿ ïðîåêòà ìåæäóíàðîäíîãî ñòàíäàðòà çàùè- òû ïåðñîíàëüíûõ äàííûõ â îáëàêàõ. Êëþ÷åâûå ñëîâà: îáëà÷íûå âû÷èñëåíèÿ, ïåðñîíàëüíûå äàííûå, ïîñòàâùèê îáëà÷íûõ óñëóã, ïîòðåáèòåëü îáëà÷íûõ óñëóã, ïðèíöèïû îáðàáîòêè ïåðñîíàëüíûõ äàííûõ. ÂÂÅÄÅÍÈÅ Â ïîñëåäíåå âðåìÿ áîëüøóþ ïîïóëÿðíîñòü ïðèîáðåëè òàê íàçûâàåìûå îáëà÷íûå âû÷èñëåíèÿ. Òî÷íîãî îïðåäåëåíèÿ ýòîãî ïîíÿòèÿ íå ñóùåñòâóåò, à ñàìûì àâòîðè- òåòíûì åãî èñòî÷íèêîì ÿâëÿåòñÿ äîêóìåíò, èçäàííûé Íàöèîíàëüíûì èíñòèòóòîì ñòàíäàðòîâ è òåõíîëîãèé (NIST) ÑØÀ [1]. Èäåÿ òàêèõ âû÷èñëåíèé ïîÿâèëàñü â 60-õ ãîäàõ äëÿ ñèñòåì ñ ðàçäåëåíèåì âðåìåíè, âïîñëåäñòâèå ïðåâðàòèâøèõñÿ â ñèñòåìû ðàñïðåäåëåííûõ âû÷èñëåíèé, èñïîëüçóþùèå íå îäèí ïðîöåññîð, à ìíîæåñòâî. Ðåàëèçîâàòü èõ ìîæíî, íàïðèìåð, ñ ïîìîùüþ êëàñòåðîâ è grid-òåõ- íîëîãèé. Îòëè÷èå îáëà÷íûõ âû÷èñëåíèé îò ðàñïðåäåëåííûõ ñîñòîèò â äèíàìè÷- íîñòè èñïîëüçóåìûõ ðåñóðñîâ (âû÷èñëèòåëüíûõ è ñðåäñòâ õðàíåíèÿ äàííûõ). Ñïåöèàëüíî ðàçðàáîòàííîå ïðîãðàììíîå îáåñïå÷åíèå (ãèïåðâèçîð) ïîçâîëÿåò îðãàíèçîâàòü âû÷èñëåíèÿ è õðàíåíèå äàííûõ, ðàñïîëîæåííûõ â ãåîãðàôè÷åñêè îòäàëåííûõ îäèí îò äðóãîãî ìåñòàõ, ñ ïîìîùüþ òàê íàçûâàåìûõ âèðòóàëüíûõ ìàøèí. Ôàêòè÷åñêè îáëà÷íûå âû÷èñëåíèÿ ïðåäîñòàâëÿþò óñëóãè, ïî õàðàêòåðó àíàëîãè÷íûå êîììóíàëüíûì.  ñâÿçè ñ ýòèì îïåðèðóþò òàêèìè òåðìèíàìè, êàê ïîñòàâùèê è ïîòðåáèòåëü óñëóã îáëà÷íûõ âû÷èñëåíèé. Ïðåèìóùåñòâî îáëà÷íûõ âû÷èñëåíèé çàêëþ÷àåòñÿ â âîçìîæíîñòè äëÿ ìà- ëûõ è ñðåäíèõ ïðåäïðèÿòèé îòêàçàòüñÿ îò ñóùåñòâåííûõ êàïèòàëüíûõ âëîæåíèé â ñîáñòâåííóþ èíôðàñòðóêòóðó è íàïðàâëÿòü îïåðàöèîííûå çàòðàòû íà àðåíäó èíôðàñòðóêòóðû ïîñòàâùèêà îáëà÷íûõ óñëóã. Ýòèì îáúÿñíÿåòñÿ òåðìèí IaaS (Infrastructure as a Service), ïðèìåíÿåìûé â ñëó÷àå, êîãäà îáðàáîòêà äàííûõ êîíò- ðîëèðóåòñÿ êàê ïîòðåáèòåëåì îáëà÷íûõ óñëóã, òàê è èõ ïîñòàâùèêîì. Ñóùåñòâó- åò òàêæå òåðìèí PaaS (Platform as a Service) — îáðàáîòêà äàííûõ ìîæåò êîíòðî- ëèðîâàòüñÿ ïîòðåáèòåëåì, à èõ ðàñïîëîæåíèå îïðåäåëÿåòñÿ ïîñòàâùèêîì. È, íà- êîíåö, î÷åíü ðàñïðîñòðàíåí òåðìèí SaaS (Software as a Service), êîãäà èñïîëüçóåòñÿ ïðèêëàäíîå ïðîãðàììíîå îáåñïå÷åíèå, ïðåäîñòàâëÿåìîå ïîñòàâùè- êîì îáëà÷íûõ óñëóã.  ýòîì ñëó÷àå êîíòðîëü íàä äàííûìè îñóùåñòâëÿåò ïîñòàâ- ùèê ñ âûòåêàþùèìè îòñþäà ïîñëåäñòâèÿìè. Èíîãäà îòäåëüíî âûäåëÿþò óñëóãó ïî õðàíåíèþ äàííûõ (Storage as a Service), òàêæå äîâîëüíî ïîïóëÿðíóþ ó ïîòðå- áèòåëåé, îñîáåííî ó ôèçè÷åñêèõ ëèö. Ïî òèïó ðàçâåðòûâàíèÿ îáëàêà (clouds) ïîäðàçäåëÿþò íà ÷àñòíûå (private), îá- ùåäîñòóïíûå (public) è ãèáðèäíûå (hybrid).  ÷àñòíîì îáëàêå îáðàáàòûâàåòñÿ è/èëè õðàíèòñÿ èíôîðìàöèÿ îäíîãî ïîòðåáèòåëÿ. Îíî ìîæåò áûòü ñêîíôèãóðèðîâàíî â òîì ÷èñëå è èç ñîáñòâåííûõ ñðåäñòâ îáðàáîòêè èíôîðìàöèè.  îáùåäîñòóïíûõ îáëàêàõ ðåñóðñû èñïîëüçóþòñÿ îäíîâðåìåííî íåñêîëüêèìè ïîòðåáèòåëÿìè è ïîýòî- ìó âîçíèêàåò òàê íàçûâàåìàÿ ïðîáëåìà èçîëÿöèè, ÷òîáû íå ïðîèñõîäèëà óòå÷êà èí- ôîðìàöèè ìåæäó «ñîñåäÿìè». Ãèáðèäíûå îáëàêà îïðåäåëÿþòñÿ ñâîèì íàçâàíèåì. Ðàññìàòðèâàÿ ïîëîæèòåëüíûå ñòîðîíû îáëàêîâ, íå ñëåäóåò çàáûâàòü îá îáåñïå- ÷åíèè áåçîïàñíîñòè äàííûõ (security) è çàùèòå ïåðñîíàëüíûõ äàííûõ (privacy). 132 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 © À.Ì. Ôàëü, Â.Ô. Êîçàê, 2014 Ïîä îáåñïå÷åíèåì áåçîïàñíîñòè ïðèíÿòî ñ÷èòàòü îáåñïå÷åíèå êîíôèäåíöèàëü- íîñòè (confidentiality), öåëîñòíîñòè (integrity) è äîñòóïíîñòè (availability). Çàùèòà ïåðñîíàëüíûõ äàííûõ ïðåäïîëàãàåò ñëåäîâàíèå ïðèíöèïàì, îïðåäåëÿåìûì ìåæ- äóíàðîäíûìè ñîãëàøåíèÿìè [2], çàêîíîäàòåëüíûìè àêòàìè ìåæãîñóäàðñòâåííûõ îáúåäèíåíèé [3], ðåêîìåíäàöèÿìè ìåæäóíàðîäíûõ îðãàíèçàöèé [4] è íàöèîíàëü- íûìè çàêîíîäàòåëüñòâàìè [5].  äàííîé ñòàòüå ðàññìîòðåíû âîïðîñû çàùèòû ïåðñîíàëüíûõ äàííûõ. Àêòóàëüíîñòü ýòèõ âîïðîñîâ ïîäòâåðæäàåòñÿ ñîáûòèÿìè, ñâÿçàííûìè ñ ðàçâåð- òûâàíèåì â ÑØÀ ïðîãðàììû PRISM ïî ñáîðó èíôîðìàöèè î äåéñòâèÿõ ïîëüçî- âàòåëåé Èíòåðíåòà, íå ÿâëÿþùèõñÿ ãðàæäàíàìè ýòîé ñòðàíû. ÀÍÀËÈÇ ÐÅÊÎÌÅÍÄÀÖÈÉ ÏÎ ÇÀÙÈÒÅ ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕ Â ÎÁËÀÊÀÕ Ñîäåðæàíèå íàñòîÿùåé ñòàòüè îñíîâàíî íà ìàòåðèàëàõ íåñêîëüêèõ îò÷åòîâ [6–8], ïîäãîòîâëåííûõ êîëëåêòèâàìè ñïåöèàëèñòîâ â îáëàñòè çàùèòû ïåðñî- íàëüíûõ äàííûõ. Ñîñòîÿíèå òåõíîëîãèè îáëà÷íûõ âû÷èñëåíèé ìîæíî îõàðàêòåðèçîâàòü ñëå- äóþùèì îáðàçîì [8]: — íå ñóùåñòâóåò îáùåé óñòàíîâèâøåéñÿ òåðìèíîëîãèè; — ðàçðàáîòêà òåõíîëîãèè âñå åùå ïðîäîëæàåòñÿ; — àêêóìóëèðóþòñÿ è êîíöåíòðèðóþòñÿ îãðîìíûå îáúåìû äàííûõ; — òåõíîëîãèÿ ÿâëÿåòñÿ òðàíñãðàíè÷íîé; — îáðàáîòêà èíôîðìàöèè ñòàíîâèòñÿ ãëîáàëèçèðîâàííîé; — îòñóòñòâóåò ïðîçðà÷íîñòü â îòíîøåíèè ïðîöåññîâ, ïðîöåäóð è ïðàêòèê ñî ñòî- ðîíû ïîñòàâùèêà è âîçìîæíûõ ñóáïîäðÿä÷èêîâ, ÷òî óñëîæíÿåò ïðîâåäåíèå äîëæíîãî îöåíèâàíèÿ ðèñêîâ, à òàêæå âíåäðåíèå ïðàâèë îòíîñèòåëüíî çàùèòû äàííûõ; — ïîñòàâùèêè îáëà÷íûõ óñëóã îùóùàþò çàâèñèìîñòü îò áûñòðûõ êàïèòàëü- íûõ èíâåñòèöèé; — ïîòðåáèòåëè îùóùàþò çàâèñèìîñòü îò ñêîðåéøåãî óìåíüøåíèÿ çàòðàò; — äëÿ ïîääåðæàíèÿ íèçêèõ öåí ïîñòàâùèêè ñòàðàþòñÿ ïðåäëàãàòü ñòàíäàðò- íûå óñëîâèÿ ïðåäîñòàâëåíèÿ óñëóã. Îïèñàííûå îáñòîÿòåëüñòâà ìîãóò ïðèâåñòè ê ñëåäóþùèì ïîâûøåííûì ðèñêàì: — íàðóøåíèå áåçîïàñíîñòè èíôîðìàöèè, ò.å. êîíôèäåíöèàëüíîñòè, öåëîñ- òíîñòè èëè äîñòóïíîñòè (ïåðñîíàëüíûõ) äàííûõ, íå çàìå÷åííîå ïîòðåáèòåëåì; — ïåðåäà÷à äàííûõ â ñòðàíû, íå îáåñïå÷èâàþùèå äîëæíîé çàùèòû ïåðñî- íàëüíûõ äàííûõ; — ïðèíÿòèå ïîòðåáèòåëåì óñëîâèé, êîòîðûå ñôîðìóëèðîâàíû ïîñòàâùèêîì îáëà÷íûõ óñëóã òàê, ÷òî ïîçâîëÿþò ïîñòàâùèêó îáëà÷íûõ âû÷èñëåíèé îáðàáà- òûâàòü ïåðñîíàëüíûå äàííûå ñ íàðóøåíèåì èíñòðóêöèé ïîòðåáèòåëÿ; — âîçìîæíîå èñïîëüçîâàíèå ïîñòàâùèêàìè îáëà÷íûõ óñëóã èëè èõ ïîäðÿä- ÷èêàìè ïåðñîíàëüíûõ äàííûõ, ïðåäîñòàâëåííûõ ïîòðåáèòåëåì, äëÿ ñîáñòâåííûõ öåëåé áåç âåäîìà èëè ðàçðåøåíèÿ ïîòðåáèòåëÿ; — íåêîíòðîëèðóåìîñòü ïîòðåáèòåëåì ïåðñîíàëüíûõ äàííûõ è îáðàáîòêè äàííûõ; — íåâîçìîæíîñòü ïðîâåäåíèÿ ïîòðåáèòåëåì èëè åãî äîâåðåííîé òðåòüåé ñòîðî- íîé (íàïðèìåð, àóäèòîðîì) äîëæíîãî ìîíèòîðèíãà ïîñòàâùèêà îáëà÷íûõ óñëóã.  ñôåðó îáëà÷íûõ âû÷èñëåíèé âîâëå÷åíû íåñêîëüêî ñòîðîí. Ïîýòîìó íåîá- õîäèìî óÿñíèòü ïðàâà è îáÿçàòåëüñòâà êàæäîé èç íèõ. Ïîòðåáèòåëü îáëà÷íûõ óñëóã îïðåäåëÿåò êîíå÷íóþ öåëü îáðàáîòêè ïåðñî- íàëüíûõ äàííûõ è ïðèíèìàåò ðåøåíèå î äåëåãèðîâàíèè âíåøíåé îðãàíèçàöèè âñåõ ôóíêöèé ïî îáðàáîòêå ïåðñîíàëüíûõ äàííûõ èëè èõ ÷àñòè. Ïîòðåáèòåëü îá- ëà÷íûõ óñëóã äåéñòâóåò êàê êîíòðîëëåð (âëàäåëåö) ïåðñîíàëüíûõ äàííûõ. Îí íå- ñåò îòâåòñòâåííîñòü çà ñîáëþäåíèå íîðì çàêîíîäàòåëüñòâà, êàñàþùèõñÿ çàùèòû ýòèõ äàííûõ. Ïîòðåáèòåëü îáëà÷íûõ óñëóã ìîæåò ïîñòàâèòü çàäà÷ó ïîñòàâùèêó îáëà÷íûõ óñëóã î âûáîðå òåõíè÷åñêèõ è îðãàíèçàöèîííûõ ìåð äëÿ âûïîëíåíèÿ óêàçàííûõ íîðì. ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 133 Ïîñòàâùèê îáëà÷íûõ óñëóã ðàññìàòðèâàåòñÿ êàê ïðîöåññîð (ðàñïîðÿäèòåëü) ïåðñîíàëüíûõ äàííûõ.  íåêîòîðûõ ñèòóàöèÿõ ïðîöåññîð ìîæåò ñòàòü òàêæå êîíòðîëëåðîì ïåðñîíàëüíûõ äàííûõ. Îòìåòèì, ÷òî äàæå â ñëîæíîé ñðåäå îáðà- áîòêè äàííûõ, â êîòîðîé çàäåéñòâîâàíû ðàçëè÷íûå êîíòðîëëåðû, äîëæíà ÷åòêî ðàñïðåäåëÿòüñÿ îòâåòñòâåííîñòü çà ñîáëþäåíèå èëè íàðóøåíèå ïðàâèë çàùèòû äàííûõ. Ýòî ïîìîãàåò èçáåãàòü ïîÿâëåíèÿ «äûð», êîãäà íåêîòîðûå îáÿçàòåëüñòâà íå âûïîëíÿþòñÿ íè îäíîé èç ñòîðîí. Íà ïðàêòèêå ïîñòàâùèêè îáëà÷íûõ óñëóã ñàìè ôîðìóëèðóþò óñëîâèÿ èõ ïðåäîñòàâëåíèÿ è ó ïîëüçîâàòåëÿ îãðàíè÷åíû âîçìîæíîñòè îòðàæåíèÿ ñâîèõ òðå- áîâàíèé â çàêëþ÷àåìûõ êîíòðàêòàõ. Òåì íå ìåíåå ýòî íå èçáàâëÿåò ïîëüçîâàòåëÿ îò ñîáëþäåíèÿ ïðèíöèïîâ çàùèòû ïåðñîíàëüíûõ äàííûõ. Ïîñòàâùèê îáëà÷íûõ óñëóã, êîòîðûé íàìåðåí çàêëþ÷èòü êîíòðàêòû ñ êîíòðîëëåðàìè ïåðñîíàëüíûõ äàííûõ, äîëæåí áûòü ãîòîâ ê âêëþ÷åíèþ â êîíòðàêò òðåáîâàíèé ê íàäëåæàùåé îá- ðàáîòêå òàêèõ äàííûõ. Åùå îäèí ñïîñîá ïðèâëå÷åíèÿ êëèåíòîâ — ýòî ïðîâåäåíèå ñåðòèôèêàöèè óñëóã ïîñòàâùèêà íåçàâèñèìîé àóäèòîðñêîé êîìïàíèåé. Ïðîöåññîðû ïåðñîíàëüíûõ äàííûõ ÷àñòî íàíèìàþò ñóáïîäðÿä÷èêîâ, êîòîðûå ñòàíîâÿòñÿ äîïîëíèòåëüíûìè ïðîöåññîðàìè äàííûõ è ïîëó÷àþò äîñòóï ê äàííûì ïîòðåáèòåëÿ. Òîãäà ïðîöåññîðû äîëæíû ïîëó÷àòü ðàçðåøåíèå îò ïîòðåáèòåëÿ ñ óêàçàíèåì òèïà ïðåäîñòàâëÿåìîé ñóáïîäðÿä÷èêîì óñëóãè è ãàðàíòèåé âûïîëíå- íèÿ òðåáîâàíèé çàùèòû ïåðñîíàëüíûõ äàííûõ. Ïîñòàâùèê îáëà÷íûõ óñëóã è åãî ñóáïîäðÿä÷èê äîëæíû çàêëþ÷èòü êîíòðàêò, îòðàæàþùèé òðåáîâàíèÿ, ñîäåðæàùè- åñÿ â êîíòðàêòå ìåæäó ïîñòàâùèêîì îáëà÷íûõ óñëóã è èõ ïîòðåáèòåëåì. Çàêîííîñòü îáðàáîòêè ïåðñîíàëüíûõ äàííûõ â îáëàêàõ çàâèñèò îò âûïîëíå- íèÿ îñíîâíûõ çàêîíîäàòåëüíûõ ïðèíöèïîâ çàùèòû ïåðñîíàëüíûõ äàííûõ, à èìåííî ãàðàíòèè ïðîçðà÷íîñòè äëÿ ñóáúåêòà ïåðñîíàëüíûõ äàííûõ, ñîîòâåò- ñòâèÿ ïðèíöèïà ñïåöèôèêàöèè öåëè è îãðàíè÷åíèé, óíè÷òîæåíèå ïåðñîíàëüíûõ äàííûõ â ñâÿçè ñ íåíóæíîñòüþ èõ äàëüíåéøåãî õðàíåíèÿ. Íåîáõîäèìî ðåàëèçî- âàòü íàäëåæàùèå òåõíè÷åñêèå è îðãàíèçàöèîííûå ìåðû äëÿ îáåñïå÷åíèÿ àäåê- âàòíîãî óðîâíÿ çàùèòû è áåçîïàñíîñòè äàííûõ. Ïðîçðà÷íîñòü â îáëàêàõ îçíà÷àåò, ÷òî ïîòðåáèòåëü îñâåäîìëåí î âñåõ ñóá- ïîäðÿä÷èêàõ, âîâëå÷åííûõ â îêàçàíèå îáëà÷íûõ óñëóã, î ðàñïîëîæåíèè âñåõ äàòà-öåíòðîâ, â êîòîðûõ ìîãóò îáðàáàòûâàòüñÿ ïåðñîíàëüíûå äàííûå. Ñîãëàñíî ïðèíöèïó ñïåöèôèêàöèè öåëåé è îãðàíè÷åíèé ïåðñîíàëüíûå äàí- íûå äîëæíû ñîáèðàòüñÿ äëÿ îïðåäåëåííûõ è ëåãèòèìíûõ öåëåé è â äàëüíåéøåì íå îáðàáàòûâàòüñÿ ñïîñîáîì, íå ñîâìåñòèìûì ñ ýòèìè öåëÿìè. Íåîáõîäèìî èñ- êëþ÷èòü âîçìîæíîñòü íåëåãàëüíîé îáðàáîòêè ïåðñîíàëüíûõ äàííûõ ïîñòàâùèêîì îáëà÷íûõ óñëóã è åãî ñóáïîäðÿä÷èêàìè. Ãàðàíòèðîâàííîå óíè÷òîæåíèå ïåðñîíàëüíûõ äàííûõ ïðåäïîëàãàåò ðàçðó- øåíèå íîñèòåëÿ èíôîðìàöèè èëè èõ óäàëåíèå ïóòåì íåîäíîêðàòíîé ïåðåçàïèñè îäíèõ äàííûõ ïîâåðõ äðóãèõ.  îáåñïå÷åíèè çàùèòû ïåðñîíàëüíûõ äàííûõ îñî- áåííî âàæíî ñîäåðæàíèå êîíòðàêòîâ èëè ñîãëàøåíèé, çàêëþ÷àåìûõ ìåæäó ïî- ñòàâùèêîì è ïîòðåáèòåëåì îáëà÷íûõ óñëóã, à òàêæå ìåæäó ïîñòàâùèêîì è åãî ñóáïîäðÿä÷èêàìè. Ïðèâåäåì ðåêîìåíäàöèè ïî ñîñòàâëåíèþ òàêèõ ñîãëàøåíèé [7, 8], â êîòîðûõ äîëæíû ñîäåðæàòüñÿ ñëåäóþùèå ïîëîæåíèÿ: — ïîòðåáèòåëü ïðåäâàðèòåëüíî ïîëó÷àåò ïîëíûé ñïèñîê èíôîðìàöèè î ôè- çè÷åñêîì ðàñïîëîæåíèè ìåñò õðàíåíèÿ èëè îáðàáîòêè äàííûõ ïîñòàâùèêîì óñëóã, âêëþ÷àÿ ðåçåðâèðîâàíèå, íà ïðîòÿæåíèè äåéñòâèÿ ñîãëàøåíèÿ; — ïîñòàâùèê îáëà÷íûõ óñëóã íå ìîæåò èñïîëüçîâàòü äàííûå ïîòðåáèòåëÿ äëÿ ñîáñòâåííûõ öåëåé; — ïîòðåáèòåëü èìååò ïðàâî êîíòðîëèðîâàòü âñå àñïåêòû äåéñòâèÿ ïîñòàâùèêà îáëà÷íûõ óñëóã è åãî ïîäðÿä÷èêîâ êàñàòåëüíî òîãî, ÷òî ïåðñîíàëüíûå äàííûå îáðà- áàòûâàþòñÿ â ñîîòâåòñòâèè ñ èíñòðóêöèÿìè ïîòðåáèòåëÿ è ëåãàëüíûì ñïîñîáîì; — ïîòðåáèòåëü èìååò ïðàâî íà ïðèâëå÷åíèå òðåòüåé äîâåðåííîé ñòîðîíû (íàïðèìåð, àóäèòîðñêîé ôèðìû) äëÿ ïðîâåäåíèÿ ìîíèòîðèíãà; — äî èñïîëüçîâàíèÿ îáëà÷íûõ âû÷èñëåíèé ïîòðåáèòåëü äîëæåí ñîâåðøèòü îöåíèâà- íèå ðèñêîâ, ñâÿçàííûõ ñ îáðàáîòêîé ïåðñîíàëüíûõ äàííûõ ïîñòàâùèêîì îáëà÷íûõ óñëóã; 134 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 — ïîòðåáèòåëü äîëæåí èìåòü âîçìîæíîñòü ïîëíîñòüþ âûïîëíÿòü ñâîè îáÿ- çàòåëüñòâà ïî îòíîøåíèþ ê ñóáúåêòó äàííûõ è óïîëíîìî÷åííîìó îðãàíó ïî çà- ùèòå äàííûõ â ñëó÷àå êîìïðîìåòàöèè äàííûõ, à ïîñòàâùèê îáëà÷íûõ óñëóã îáÿ- çàí ñâîåâðåìåííî è ïîëíî èçâåùàòü óïîëíîìî÷åííûé îðãàí ïî çàùèòå äàííûõ î ñâåðøèâøåéñÿ êîìïðîìåòàöèè äàííûõ; — ïîñòàâùèê îáëà÷íûõ óñëóã äîëæåí îáåñïå÷èòü ïðàâî ñóáúåêòà äàííûõ ïîëó÷àòü äîñòóï ê ñâîèì äàííûì, èñïðàâëÿòü îøèáêè, à òàêæå óäàëÿòü èëè áëî- êèðîâàòü ñâîè äàííûå. Ïîñòàâùèêè îáëà÷íûõ óñëóã â Óêðàèíå ñòàëêèâàþòñÿ ñ ïðîáëåìîé çàùèòû ïåðñîíàëüíûõ äàííûõ ïðè ïðåäîñòàâëåíèè óñëóã ïîòðåáèòåëÿì èç ñòðàí Åâðî- ïåéñêîãî Ñîþçà. Êîíòðàêò ñ ïîòðåáèòåëåì óñëóã îáëà÷íûõ âû÷èñëåíèé äîëæåí îòðàæàòü ïðèâåäåííûå âûøå ðåêîìåíäàöèè è îñíîâûâàòüñÿ íà ñòàíäàðòíûõ êîí- òðàêòíûõ ïîëîæåíèÿõ äëÿ ïðîöåññîðîâ ïåðñîíàëüíûõ äàííûõ â òðåòüèõ ñòðàíàõ, óòâåðæäåííûõ Åâðîïåéñêîé Êîìèññèåé 5 ôåâðàëÿ 2010 ãîäà [9]. Ïîòðåáèòåëè îáëà÷íûõ óñëóã ñòàëêèâàþòñÿ ñ ïðîáëåìîé çàùèòû ïåðñîíàëü- íûõ äàííûõ ïðè èñïîëüçîâàíèè îáëà÷íûõ âû÷èñëåíèé, ïðåäîñòàâëÿåìûõ êîìïà- íèÿìè èç ñòðàí, íå ïðèñîåäèíèâøèõñÿ ê Êîíâåíöèè î çàùèòå ÷àñòíûõ ëèö â îòíî- øåíèè àâòîìàòèçèðîâàííîé îáðàáîòêè ëè÷íûõ äàííûõ, â ÷àñòíîñòè êîìïàíèÿìè ÑØÀ. Êîíòðàêò ñ ïîñòàâùèêîì îáëà÷íûõ âû÷èñëåíèé äîëæåí îòðàæàòü òðåáîâàíèÿ Äîïîëíèòåëüíîãî ïðîòîêîëà ê Êîíâåíöèè î çàùèòå ÷àñòíûõ ëèö â îòíîøåíèè àâòî- ìàòèçèðîâàííîé îáðàáîòêè äàííûõ ëè÷íîãî õàðàêòåðà îò 8 íîÿáðÿ 2001 ãîäà [10] è Çàêîíà Óêðàèíû «Î çàùèòå ïåðñîíàëüíûõ äàííûõ». Òèïîâûå êîíòðàêòíûå ïîëîæå- íèÿ ðàçðàáîòàíû Àìåðèêàíñêîé òîðãîâîé ïàëàòîé â Óêðàèíå è ñîãëàñîâàíû óïîëíî- ìî÷åííûì îðãàíîì Óêðàèíû ïî âîïðîñàì çàùèòû ïåðñîíàëüíûõ äàííûõ [11]. ÎÒÐÀÆÅÍÈÅ ÂÎÏÐÎÑΠÇÀÙÈÒÛ ÏÅÐÑÎÍÀËÜÍÛÕ ÄÀÍÍÛÕ Â ÏÐÈÍßÒÛÕ È ÐÀÇÐÀÁÀÒÛÂÀÅÌÛÕ ÑÒÀÍÄÀÐÒÀÕ Âîïðîñàìè ñòàíäàðòèçàöèè ìåòîäîâ çàùèòû ïåðñîíàëüíûõ äàííûõ çàíèìàþòñÿ â Ìåæäóíàðîäíîé îðãàíèçàöèè ïî ñòàíäàðòèçàöèè (ISO) â ðàìêàõ 5-é Ðàáî÷åé ãðóïïû 27-ãî Ïîäêîìèòåòà 1-ãî Îáúåäèíåííîãî òåõíè÷åñêîãî êîìèòåòà «Èí- ôîðìàöèîííûå òåõíîëîãèè». Ïîäðîáíåå î ðàçðàáàòûâàåìûõ ñòàíäàðòàõ ìîæíî îçíàêîìèòüñÿ íà ñàéòå ïîäêîìèòåòà www.jtc1sc27.din.de.  íàñòîÿùåé ñòàòüå ðàññìîòðåíû ëèøü ïîëîæåíèÿ ïðîåêòà ñòàíäàðòà ISO/IEC 27018, ïîñâÿùåííî- ãî ïðîáëåìå çàùèòû ïåðñîíàëüíûõ äàííûõ â îáëàêàõ.  ñôåðå ìåíåäæìåíòà áåçîïàñíîñòè èíôîðìàöèè ôóíäàìåíòàëüíûìè ÿâëÿ- þòñÿ ñòàíäàðòû ISO/IEC 27001 [12] è ISO/IEC 27002 [13].  ïåðâîì èç íèõ ñôîð- ìóëèðîâàíû òðåáîâàíèÿ ê ñèñòåìàì ìåíåäæìåíòà áåçîïàñíîñòè èíôîðìàöèè, à âî âòîðîì — ïåðå÷èñëåíû ìåðû ïî îáåñïå÷åíèþ áåçîïàñíîñòè èíôîðìàöèè è èçëîæåíû ðåêîìåíäàöèè ïî èõ ðåàëèçàöèè. Ðàññìîòðåííûé äàëåå ïðîåêò ñòàí- äàðòà ISO/IEC 27018 èìååò ñòðóêòóðó, ïîäîáíóþ ISO/IEC 27002. Âñå ïîëîæåíèÿ ñòàíäàðòà ISO/IEC 27002 ïîâòîðåíû â ISO/IEC 27018. Îíè äîïîëíåíû íîâûìè ïîëîæåíèÿìè, îòðàæàþùèìè ñïåöèôèêó îáëà÷íûõ âû÷èñëåíèé. Äàëåå ïðèâåäåíû ôîðìóëèðîâêè ñòàíäàðòà ISO/IEC 27002, äîïîëíåííûå íî- âûìè ðåêîìåíäàöèÿìè.  ïðîåêòå èìååòñÿ òàêæå äîïîëíåíèå À, ñîäåðæàùåå ïî- ëîæåíèÿ, îòðàæàþùèå ïðèíöèïû îáðàáîòêè ïåðñîíàëüíûõ äàííûõ. Îòìåòèì, ÷òî óïîòðåáëåíèå â ñòàíäàðòàõ ISO òåðìèíà PII (Personally Identifiable Information) ýêâèâàëåíòíî òåðìèíó «ïåðñîíàëüíûå äàííûå», à òàêæå òî, ÷òî â äàííîì ñòàíäàðòå ïîñòàâùèê îáëà÷íûõ óñëóã ÿâëÿåòñÿ ïðîöåññîðîì ïåðñîíàëü- íûõ äàííûõ, à ïîòðåáèòåëü ýòèõ óñëóã — èõ êîíòðîëëåðîì. Êàê óêàçûâàëîñü âûøå, â ïðîåêòå ñòàíäàðòà ISO/IEC 27018 ñîõðàíåíû íóìå- ðàöèÿ è íàçâàíèÿ ðàçäåëîâ ñòàíäàðòà ISO/IEC 27002. Ðàññìîòðèì ñîäåðæàíèå ëèøü òåõ ðàçäåëîâ (à òàêæå ñîõðàíèì èõ íóìåðàöèþ), â êîòîðûõ ïðèâåäåíû ðå- êîìåíäàöèè îòíîñèòåëüíî çàùèòû ïåðñîíàëüíûõ äàííûõ. Ðàçäåëû ïðèëîæåíèÿ À ñòàíäàðòà ISO/IEC 27018 èçëîæåíû â ñîîòâåòñòâèè ñ ïðèíöèïàìè çàùèòû ïåð- ñîíàëüíûõ äàííûõ, ñôîðìóëèðîâàííûìè â ñòàíäàðòå ISO/IEC 29100. ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 135 5.1.1. Ïîëèòèêè îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèè. Ïîëèòèêè äîë- æíû ñîäåðæàòü ïîëîæåíèå, êàñàþùååñÿ ïîääåðæêè è îáÿçàòåëüñòâà îáåñïå÷è- âàòü ñîîòâåòñòâèå ñ ïðèìåíÿåìûì çàêîíîäàòåëüñòâîì î çàùèòå ïåðñîíàëüíûõ äàííûõ è ñ óñëîâèÿìè êîíòðàêòà, çàêëþ÷åííîãî ìåæäó ïîñòàâùèêîì îáëà÷íûõ óñëóã è åãî êëèåíòàìè (ïîòðåáèòåëÿìè îáëà÷íûõ óñëóã). Ìîãóò ñóùåñòâîâàòü èçìåíÿþùèåñÿ èëè ðàçäåëÿåìûå ôóíêöèè, ðàñïðåäåëåí- íûå ìåæäó ïîòðåáèòåëåì îáëà÷íûõ óñëóã è èõ ïîñòàâùèêîì.  ðåçóëüòàòå, ïîòðåáè- òåëè îáëà÷íûõ óñëóã îáÿçàíû îïðåäåëÿòü è âûïîëíÿòü ñâîè ñîáñòâåííûå ïîëèòèêè è ïðîöåäóðû îáåñïå÷åíèÿ áåçîïàñíîñòè èíôîðìàöèè è çàùèòû ïåðñîíàëüíûõ äàí- íûõ. Íàïðèìåð, ïîòðåáèòåëè îáëà÷íûõ óñëóã, ÷üè ñîòðóäíèêè ïðîèçâîäÿò è ýêñïëó- àòèðóþò ñîáñòâåííûå ïðèëîæåíèÿ â îáëàêàõ, ìîãóò ïðîâîäèòü ñîáñòâåííîå îöåíè- âàíèå ðèñêîâ è ðåàëèçîâûâàòü ñîáñòâåííûå ìåðîïðèÿòèÿ ïî èõ ìîäèôèêàöèè. Ñóùåñòâóþò þðèñäèêöèè, â êîòîðûõ îáëà÷íûé ïðîöåññîð ïåðñîíàëüíûõ äàí- íûõ íàïðÿìóþ îáÿçàí âûïîëíÿòü íîðìû çàêîíîäàòåëüñòâà î çàùèòå PII. Ýòî äîëæíî îòðàæàòüñÿ â êîíòðàêòå ìåæäó ïîòðåáèòåëåì îáëà÷íûõ óñëóã è èõ ïîñòàâùèêîì. 7.2.2. Îñâåäîìëåííîñòü îá îáåñïå÷åíèè áåçîïàñíîñòè èíôîðìàöèè, îáó- ÷åíèå è òðåíèíã. Íåîáõîäèìî ïðîâåäåíèå ìåðîïðèÿòèé äëÿ îñâåäîìëåíèÿ ñîîò- âåòñòâóþùåãî ïåðñîíàëà î âîçìîæíûõ ïîñëåäñòâèÿõ (ôèçè÷åñêèõ, ìàòåðèàëü- íûõ, ýìîöèîíàëüíûõ) äëÿ ñóáúåêòà PII, ñâÿçàííûõ ñ íàðóøåíèåì ïðàâèë è ïðîöå- äóð îáåñïå÷åíèÿ çàùèòû PII è èõ áåçîïàñíîñòè. 12.3.1. Ðåçåðâèðîâàíèå èíôîðìàöèè. Îáëà÷íûé ïðîöåññîð PII (îí æå ïî- ñòàâùèê îáëà÷íûõ óñëóã) äîëæåí èìåòü ïîëèòèêó, êîòîðàÿ êàñàåòñÿ òðåáîâàíèé ê ðåçåðâèðîâàíèþ èíôîðìàöèè, óñëîâèé êîíòðàêòà, à òàêæå ïðàâîâûõ òðåáîâà- íèé ê óíè÷òîæåíèþ PII, êîòîðûå ìîãóò ñîäåðæàòüñÿ â ðåçåðâíûõ êîïèÿõ. 12.4.1. Ðåãèñòðàöèÿ ñîáûòèé. Íåîáõîäèìî îáåñïå÷åíèå ìåð äëÿ äîñòóïà îôèöåðà áåçîïàñíîñòè ê ïðîâåðêå æóðíàëà ñîáûòèé, ãäå çàäîêóìåíòèðîâàíà îïðåäåëåííàÿ ïåðèîäè÷íîñòü, äëÿ âûÿâëåíèÿ íåðåãóëÿðíîñòè è óêàçàíèÿ äåé- ñòâèé ïî åå óñòðàíåíèþ. Ïî âîçìîæíîñòè è â æóðíàëå ñîáûòèé äîëæíû ñîäåðæàòüñÿ çàïèñè îá èçìå- íåíèÿõ â PII (äîáàâëåíèå, ìîäèôèêàöèÿ èëè óäàëåíèå) â ðåçóëüòàòå ïðîèñøåäøå- ãî ñîáûòèÿ ñ óêàçàíèåì îòâåòñòâåííîãî ëèöà. Îáëà÷íûé ïðîöåññîð PII äîëæåí îïðåäåëÿòü ïðîöåäóðû äîñòóïà ê èíôîðìà- öèè â æóðíàëå è åå èñïîëüçîâàíèÿ ïîòðåáèòåëåì îáëà÷íûõ óñëóã. 13.2.1. Ïîëèòèêè è ïðîöåäóðû ïåðåäà÷è èíôîðìàöèè. Äîëæíà ñóùåñòâî- âàòü ñèñòåìà ðåãèñòðàöèè ïîñòóïàþùèõ è «ïîêèäàþùèõ» îðãàíèçàöèþ ôèçè÷åñ- êèõ íàêîïèòåëåé, ñîäåðæàùèõ PII, âêëþ÷àÿ òèï è êîëè÷åñòâî ôèçè÷åñêèõ íàêî- ïèòåëåé, äàòó è âðåìÿ, òèïû PII, ñîäåðæàùèõñÿ â íèõ. 16.1. Ìåíåäæìåíò èíöèäåíòîâ áåçîïàñíîñòè èíôîðìàöèè è óëó÷øåíèÿ 16.1.1. Îáÿçàííîñòè è ïðîöåäóðû. Èíöèäåíò, ñâÿçàííûé ñ íàðóøåíèåì áå- çîïàñíîñòè èíôîðìàöèè, äîëæåí èíèöèèðîâàòü àíàëèç ñî ñòîðîíû îáëà÷íîãî ïðîöåññîðà PII, êàê ÷àñòü óïðàâëåíèÿ èíöèäåíòàìè áåçîïàñíîñòè èíôîðìàöèè, ñ öåëüþ îïðåäåëåíèÿ, áûëî ëè íàðóøåíèå PII, âêëþ÷àþùåå åãî ïîòåðþ, ðàñêðû- òèå èëè èçìåíåíèå.  ñëó÷àå íàðóøåíèÿ äîëæíû ïîääåðæèâàòüñÿ çàïèñè ñ îïèñà- íèåì èíöèäåíòà è åãî ïîñëåäñòâèÿ, âðåìåííîé îòðåçîê, èìÿ äîêëàäûâàþùåãî îá èíöèäåíòå è àäðåñàòà, øàãè, ïðåäïðèíÿòûå äëÿ ðàçðåøåíèÿ èíöèäåíòà (âêëþ÷àÿ îòâåòñòâåííîå ëèöî), è ôàêò, ÷òî ðåçóëüòàòîì èíöèäåíòà áûëè ïîòåðÿ, ðàñêðû- òèå, èçìåíåíèå PII. Çàïèñü äîëæíà âêëþ÷àòü îïèñàíèå ñêîìïðîìåòèðîâàííûõ äàííûõ (åñëè ýòî èçâåñòíî) è øàãè, ñäåëàííûå äëÿ èçâåùåíèÿ ïîòðåáèòåëÿ óñëóã è/èëè ðåãóëèðóþùèõ îðãàíîâ. 18.2.1. Íåçàâèñèìûé àíàëèç áåçîïàñíîñòè èíôîðìàöèè.  ñëó÷àÿõ, êîãäà èí- äèâèäóàëüíûå àóäèòû ïîòðåáèòåëÿìè îáëà÷íûõ óñëóã ÿâëÿþòñÿ íåïðàêòè÷íûìè èëè ìîãóò óâåëè÷èòü ðèñêè íàðóøåíèÿ áåçîïàñíîñòè, îáëà÷íûé ïðîöåññîð PII äîë- æåí äî ñîñòàâëåíèÿ êîíòðàêòà ñäåëàòü äîñòóïíûì äëÿ ïîòåíöèàëüíûõ ïîòðåáèòåëåé îáëà÷íûõ óñëóã íåçàâèñèìîå äîêàçàòåëüñòâî òîãî, ÷òî îáåñïå÷åíèå áåçîïàñíîñòè 136 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 èíôîðìàöèè îñóùåñòâëÿåòñÿ â ñîîòâåòñòâèè ñ ïîëèòèêàìè è ïðîöåäóðàìè îáëà÷- íîãî ïðîöåññîðà PII. Ïîäõîäÿùèì ìåòîäîì åñòü ïðîâåäåíèå íåçàâèñèìîãî àóäèòà. À.1.1. Îáÿçàòåëüñòâî ñîòðóäíè÷àòü êàñàòåëüíî ïðàâ ñóáúåêòà PII. Îáëà÷íûé ïðîöåññîð PII äîëæåí âûïîëíÿòü îáÿçàòåëüñòâà êîíòðîëëåðà PII, ñïî- ñîáñòâîâàòü ðåàëèçàöèè ïðàâ ñóáúåêòà PII íà äîñòóï, èñïðàâëåíèå è/èëè óíè÷òî- æåíèå êàñàþùåéñÿ åãî PII. À.2.2. Êîììåð÷åñêîå èñïîëüçîâàíèå PII îáëà÷íûì ïðîöåññîðîì. Íåîáõîäè- ìî óñòàíîâëåíèå ìåðû ïî îáåñïå÷åíèþ çàùèòû PII, îáðàáàòûâàåìûõ â ñîîòâåòñòâèè ñ êîíòðàêòîì, îò íåñàíêöèîíèðîâàííîãî èñïîëüçîâàíèÿ äëÿ ìàðêåòèíãà è ðåêëàìû. Ïðåäîñòàâëåíèå òàêèõ ñàíêöèé íå äîëæíî ÿâëÿòüñÿ óñëîâèåì ïîëó÷åíèÿ óñëóãè. À.4.2. Áåçîïàñíîå óíè÷òîæåíèå âðåìåííûõ ôàéëîâ. Äîëæíû áûòü îñóùå- ñòâëåíû ìåðû ïî óíè÷òîæåíèþ ÷åðåç çàäîêóìåíòèðîâàííûé ïåðèîä âðåìåííûõ ôàéëîâ è äîêóìåíòîâ. À.5.1. Èçâåùåíèå î ðàñêðûòèè PII.  êîíòðàêòå ìåæäó îáëà÷íûì ïðîöåñ- ñîðîì PII è ïîòðåáèòåëåì îáëà÷íûõ óñëóã äîëæíî ïðåäóñìàòðèâàòüñÿ îáÿçàòåëü- íîå èçâåùåíèå îáëà÷íûì ïðîöåññîðîì PII ïîòðåáèòåëÿ îáëà÷íûõ óñëóã î ëþáîì ëåãàëüíîì çàïðîñå íà ðàñêðûòèå PII ñî ñòîðîíû ïðàâîîõðàíèòåëüíûõ îðãàíîâ. À.5.2. Ðåãèñòðàöèÿ ðàñêðûòèé PII. Èíôîðìàöèÿ î ðåãèñòðàöèè ðàñêðûòèÿ PII äîëæíà ñîäåðæàòü ñâåäåíèÿ î òîì, êàêèå PII áûëè ðàñêðûòû, êîìó è â êàêîå âðåìÿ. À.7.1. Ðàñêðûòèå îáðàáîòêè PII ñóáïîäðÿä÷èêàìè.  êîíòðàêòå äîëæíû ñîäåðæàòüñÿ ïîëîæåíèÿ îá èñïîëüçîâàíèè ñóáïîäðÿä÷èêîâ äëÿ îáðàáîòêè PII, à èìåííî, ÷òî ñóáïîäðÿä÷èêè ìîãóò áûòü çàäåéñòâîâàíû ëèøü ñ ñîãëàñèÿ ïîòðå- áèòåëÿ îáëà÷íûõ óñëóã, ïðåäîñòàâëåííîãî â íà÷àëå ïîëó÷åíèÿ óñëóãè. Îáëà÷íûé ïðîöåññîð PII äîëæåí ñâîåâðåìåííî èçâåùàòü ïîòðåáèòåëÿ î íàìå÷àåìîì èçìå- íåíèè ïðèâëå÷åííûõ ñóáïîäðÿä÷èêîâ.  êîíòðàêòå íåîáõîäèìî óêàçûâàòü èìåíà ñóáïîäðÿä÷èêîâ è ñòðàíû, â êîòîðûõ îíè äåéñòâóþò. A.10.1. Ñîãëàøåíèÿ î êîíôèäåíöèàëüíîñòè èëè íåðàçãëàøåíèè. Êîíòðàêò ìåæäó îáëà÷íûì ïðîöåññîðîì PII è åãî ñîòðóäíèêàìè äîëæåí ñîäåðæàòü ðàçäåë î êîíôèäåíöèàëüíîñòè, ñîãëàñíî êîòîðîìó ñîòðóäíèêè íå ìîãóò ðàñêðûâàòü PII äëÿ íóæä, íå ñîãëàñóþùèõñÿ ñ èíñòðóêöèÿìè ïîòðåáèòåëÿ îáëà÷íûõ óñëóã. À.10.2. Îãðàíè÷åíèå íà ñîçäàíèå òâåðäûõ êîïèé. Íåîáõîäèìî óñòàíîâëå- íèå ìåð ïî îãðàíè÷åíèþ ñîçäàíèÿ òâåðäûõ êîïèé, ñîäåðæàùèõ PII. À.10.3. Êîíòðîëü è ðåãèñòðàöèÿ âîññòàíîâëåíèÿ äàííûõ. Äîëæíà ñóùåñ- òâîâàòü ïðîöåäóðà âîññòàíîâëåíèÿ äàííûõ è åå ðåãèñòðàöèÿ. À.10.4. Çàùèòà äàííûõ, õðàíÿùèõñÿ íà ïåðåíîñíûõ íîñèòåëÿõ èíôîðìà- öèè. Äîëæíà ñóùåñòâîâàòü ïðîöåäóðà, îáåñïå÷èâàþùàÿ äëÿ PII íà ïåðåíîñíûõ íî- ñèòåëÿõ èíôîðìàöèè àâòîðèçàöèþ è çàùèòó äîñòóïà òåì, ó êîãî íåò íà ýòî ïîëíî- ìî÷èé (íàïðèìåð, ñ ïîìîùüþ øèôðîâàíèÿ). À.10.5. Èñïîëüçîâàíèå íîñèòåëåé ñ íåçàøèôðîâàííûìè äàííûìè. Äîë- æíû áûòü óñòàíîâëåíû ìåðû äëÿ îáåñïå÷åíèÿ áëîêèðîâàíèÿ ôèçè÷åñêèõ íîñèòå- ëåé è ïåðåíîñíûõ óñòðîéñòâ, â êîòîðûõ íå ñóùåñòâóåò âîçìîæíîñòè øèôðîâà- íèÿ. Åñëè íåâîçìîæíî èçáåæàòü èñïîëüçîâàíèÿ òàêèõ ñðåäñòâ, ýòî äîëæíî áûòü çàäîêóìåíòèðîâàíî. À.10.6. Øèôðîâàíèå PII, ïåðåäàâàåìîé ïî îòêðûòûì ñåòÿì. Äîëæíà áûòü óñòàíîâëåíà ïðîöåäóðà ïî øèôðîâàíèþ PII, ïåðåäàâàåìîé ÷åðåç îòêðûòûå ñåòè. À.10.7. Ãàðàíòèðîâàííîå óíè÷òîæåíèå òâåðäûõ êîïèé. Äîëæíû èñïîëü- çîâàòüñÿ ìåõàíèçìû äëÿ ãàðàíòèðîâàííîãî óíè÷òîæåíèÿ òâåðäûõ êîïèé. À.10.8. Óíèêàëüíîå èñïîëüçîâàíèå èäåíòèôèêàòîðîâ. Åñëè ê õðàíèìîé PII èìåþò äîñòóï íåñêîëüêî ëèö, äîëæíû áûòü óñòàíîâëåíû ìåðû äëÿ îáåñïå÷å- íèÿ êàæäîìó ëèöó èíäèâèäóàëüíîãî èäåíòèôèêàòîðà äëÿ íóæä èäåíòèôèêàöèè, àóòåíòèôèêàöèè è ïðåäîñòàâëåíèÿ ïîëíîìî÷èé. À.10.9. Ðåãèñòðàöèÿ óïîëíîìî÷åííûõ ïîëüçîâàòåëåé. Íåîáõîäèìî âåäå- íèå àêòóàëüíûõ çàïèñåé ïîëüçîâàòåëåé èëè ïðîôèëåé ïîëüçîâàòåëåé, êîòîðûå èìåþò äîñòóï ê èíôîðìàöèîííîé ñèñòåìå. ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5 137 À.10.10. Óïðàâëåíèå èäåíòèôèêàòîðàìè. Äîëæíû áûòü óñòàíîâëåíû ìåðû áëîêèðîâàíèÿ èäåíòèôèêàòîðîâ, ñðîê äåéñòâèÿ êîòîðûõ èñòåê, äëÿ äðóãèõ ëèö. Âàæíî ó÷èòûâàòü ïîëîæåíèÿ ñòàíäàðòà ISO/IEC 29100 [14] â ÷àñòè ìàêñè- ìàëüíî âîçìîæíîãî âûïîëíåíèÿ ïñåâäîíîìèçàöèè ïåðñîíàëüíûõ äàííûõ ïåðåä èõ ïåðåäà÷åé ïîñòàâùèêó îáëà÷íûõ óñëóã. ÇÀÊËÞ×ÅÍÈÅ Ïðîáëåìà çàùèòû ïåðñîíàëüíûõ äàííûõ ïðèîáðåòàåò âñå áîëüøóþ àêòóàëü- íîñòü îñîáåííî â ñâÿçè ñ ìíîãî÷èñëåííûìè ïóáëèêàöèÿìè, ðàñêðûâàþùèìè ôàêòû íåçàêîííîãî èñïîëüçîâàíèÿ òàêèõ äàííûõ.  Óêðàèíå âîïðîñàì çàùèòû ïåðñîíàëüíûõ äàííûõ ïîñâÿùåíû ðàçëè÷íûå íàó÷íî-òåõíè÷åñêèå ìåðîïðèÿòèÿ, íà êîòîðûõ îòìå÷àåòñÿ íåäîñòàòîê ìåòîäè÷åñêèõ ìàòåðèàëîâ, ïîñâÿùåííûõ çà- ùèòå ïåðñîíàëüíûõ äàííûõ. Òåì áîëåå ýòî ñïðàâåäëèâî äëÿ ñèòóàöèè ñ èñ- ïîëüçîâàíèåì îáëà÷íûõ âû÷èñëåíèé. Ðàññìîòðåííûå â äàííîé ñòàòüå ðåêîìåí- äàöèè ìîãóò â íåêîòîðîé ñòåïåíè âîñïîëíèòü ýòîò ïðîáåë. ÑÏÈÑÎÊ ËÈÒÅÐÀÒÓÐÛ 1. N a t i o n a l Institute of Standards and Technology (NIST), Special Publication 800-145, The NIST Definition of Cloud Computing, September 2011. 2. C o u n c i l of Europe. Convention on protection of individuals with regard to automatic processing of personal data. Strasbourg, 28 Jan. 1981. — http://conventions.coe.int/Treaty/rus/Treaties/Html/108.htm. 3. D i r e c t i v e 95/46/EC of the European Parliament and of the Council of 24 October 1995 on the protection of individuals with regard to the processing of personal data and the free movement of such data. — http://zakon3.rada.gov.ua/laws/show/994_242. 4. O r g a n i z a t i o n for Economic Cooperation and Development. Guidelines on the Protection of Privacy and Transborder Flows of Personal Data. — http://www.oecd.org/internet/ieconomy/ oecdguidelinesontheprotectionofprivacyandtransborderflowsofpersonaldata.htm. 5. Ç à ê î í Óêðà¿íè «Ïðî çàõèñò ïåðñîíàëüíèõ äàíèõ». — http://zakon4.rada.gov.ua/laws/show/ 2297-17. 6. E N I S A , Report on Cloud Computing: Benefits, risks and recommendations for information security, November 2009. 7. E u r o p e a n Union, 29 Article Working Party, Opinion 05/2012 on Cloud Computing, July 2012. 8. International Working Group on Data Protection in Telecommunications, Working Paper on Cloud Computing — Privacy and data protection issues — “Sopot Memorandum”, April 2012. 9. E u r o p e a n Commission. Commission Decision of 5 February 2010 on standard contractual clauses for the transfer of personal data to processors established in third countries under Directive 95/46/EC of the European Parliament and of the Council. — http://ec.europa.eu/justice/ data-protection/document/international-transfers/transfer/index_en.htm#h2-5. 10. C o u n c i l of Europe. Additional Protocol to the Convention on protection of individuals with regard to automatic processing of personal data regarding supervisory authorities and transborder data flows. Strasbourg, 8 Nov. 2001. — http://zakon2.rada.gov.ua/laws/show/994_363. 11. A m e r i c a n Chamber of Commerce in Ukraine. Corporate Code of Conduct on the Transborder Transfer of Personal Data. — http://www.chamber.ua/files/documents/updoc/32/Agreement_PD_ transfer_cont_proc_Chamber_logo.pdf. 12. I S O / I E C 27001:2005, Information technology — Security techniques — Information security management systems — Requirements. 13. I S O / I E C 27002:2005, Information technology — Security techniques — Code of practice for information security management. 14. I S O / I E C 29100:2011, Information technology — Security techniques — Privacy framework. Ïîñòóïèëà 20.01.2014 138 ISSN 0023-1274. Êèáåðíåòèêà è ñèñòåìíûé àíàëèç, 2014, òîì 50, ¹ 5

Ähnliche Einträge