Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



25.02.2020

Koszty w górę

Zmiany w licencjach VMware
24.02.2020

VPN na nowo

WireGuard w Linuksie
24.02.2020

Wydajność pod kontrolą

Citrix Analytics for Performance
24.02.2020

Zaawansowany backup

Veeam Availability Suite v10
20.02.2020

Serwery Enterprise

OVHCloud stawia na Ryzeny
20.02.2020

Monitory dla biznesu

Newline IP
20.02.2020

Przemysłowe SSD

Dyski Transcend M.2 NVMe
23.01.2020

Google Project Zero

Inicjatywa Google Project Zero
23.01.2020

Ochrona tylko w chmurze

Kaspersky Security Cloud Free

Standaryzacja bezpieczeństwa w chmurze

Data publikacji: 22-07-2015 Autor: Tomasz Cygan

W artykule omawiamy charakter prawny norm ISO z uwzględnieniem dotychczasowych rozwiązań w tym zakresie funkcjonujących w ramach polskiego porządku prawnego. Przedstawiamy również najistotniejsze zasady normy ISO/IEC 27018.

Zgodnie z informacjami przedstawionymi przez firmę analityczną Gartner w roku 2013 rynek usług związanych z przetwarzaniem danych w chmurach obliczeniowych (cloud computing) wzrośnie do roku 2017 o 18,5% w stosunku do danych z roku 2012 i będzie wart 131 miliardów dolarów. Według danych z 2012 roku rynek tych usług był wart 111 miliardów dolarów. Jednocześnie zagadnienie bezpieczeństwa usług świadczonych w chmurach obliczeniowych nie doczekało się szczególnych regulacji prawnych. W związku z tym uregulowania zasad związanych z należytym zabezpieczeniem danych w chmurze podjęła się Międzynarodowa Organizacja Normalizacyjna (ISO), która 1 sierpnia 2014 roku opublikowała standard ISO/IEC 27018 dotyczący ochrony danych (personally identifiable information – PII) przetwarzanych w chmurach. Według doniesień medialnych norma ta została zaimplementowana przez Microsoft.

W publikacjach dotyczących wykorzystywania chmur obliczeniowych zwraca się uwagę na kilka elementów. Po pierwsze, na różnorodność usług dostarczanych na życzenie użytkownika. Usługi te mogę obejmować dostarczanie oprogramowania, wirtualnego środowiska pracy, sprzętu, świadczenia związane z przechowywaniem danych, tworzeniem ich kopii zapasowych czy kopii bezpieczeństwa. Jednocześnie zwraca się uwagę na kwestie bezpieczeństwa, użyteczności oraz zapewnienia rozliczalności i dostępności danych. Niejednokrotnie bowiem użytkownik usługi nie zna lokalizacji danych ani parametrów sprzętu wykorzystywanego przy przetwarzaniu danych osobowych. Właśnie obawy i ryzyko związane z przetwarzaniem danych w chmurach obliczeniowych legły u podstaw normy ISO/IEC 27018.

> Chmura a przepisy prawa

Ustawodawstwo polskie nie posługuje się wprost takim pojęciem jak „cloud computing”. W związku z tym stosownych regulacji należy poszukiwać po uprzednim ustaleniu relacji prawnej łączącej strony umowy dotyczącej wykorzystania chmury obliczeniowej. Podstawowa regulacja opisująca tę relację została zawarta w artykule 750 ustawy Kodeks cywilny. Zgodnie z jego treścią do umów o świadczenie usług, które nie są uregulowane innymi przepisami, stosuje się odpowiednio przepisy o zleceniu. Podstawy dla zapisów umownych dotyczących cloud computingu należy więc szukać w tytule XXI kc dotyczącym umowy zlecenia, a także w ogólnej regulacji art. 3531 kc określającej zasadę swobody umów („Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego”). Natomiast w sferze bezpieczeństwa usługi cloud computingu wskazać można na trzy podstawowe regulacje prawne:

 

  • art. 11 ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji (DzU z 2003 r. nr 153, poz. 1503 ze zm.), zgodnie z którym czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy;
  • art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.), zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych osobowych, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie;
  • art. 14 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (DzU z 2002 r. nr 144, poz. 1202 ze zm.), według którego nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"