Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.



23.06.2020

PLNOG Online

PLNOG Online
23.06.2020

Nowe zagrożenie

Ramsay
23.06.2020

Chmurowe kopie

Veeam Backup dla Microsoft Azure
19.06.2020

Nowości w kontenerach

Red Hat OpenShift 4.4
19.06.2020

Analityka bezpieczeństwa

FortiAI
19.06.2020

UPS dla obliczeń edge

Schneider APC Smart-UPS
16.06.2020

Przemysłowe SD

Nowe karty Transcend
16.06.2020

Storage dla SMB

QNAP TS-451DeU
16.06.2020

Pamięć masowa

Dell EMC PowerStore

Standaryzacja bezpieczeństwa w chmurze

Data publikacji: 22-07-2015 Autor: Tomasz Cygan

W artykule omawiamy charakter prawny norm ISO z uwzględnieniem dotychczasowych rozwiązań w tym zakresie funkcjonujących w ramach polskiego porządku prawnego. Przedstawiamy również najistotniejsze zasady normy ISO/IEC 27018.

Zgodnie z informacjami przedstawionymi przez firmę analityczną Gartner w roku 2013 rynek usług związanych z przetwarzaniem danych w chmurach obliczeniowych (cloud computing) wzrośnie do roku 2017 o 18,5% w stosunku do danych z roku 2012 i będzie wart 131 miliardów dolarów. Według danych z 2012 roku rynek tych usług był wart 111 miliardów dolarów. Jednocześnie zagadnienie bezpieczeństwa usług świadczonych w chmurach obliczeniowych nie doczekało się szczególnych regulacji prawnych. W związku z tym uregulowania zasad związanych z należytym zabezpieczeniem danych w chmurze podjęła się Międzynarodowa Organizacja Normalizacyjna (ISO), która 1 sierpnia 2014 roku opublikowała standard ISO/IEC 27018 dotyczący ochrony danych (personally identifiable information – PII) przetwarzanych w chmurach. Według doniesień medialnych norma ta została zaimplementowana przez Microsoft.

W publikacjach dotyczących wykorzystywania chmur obliczeniowych zwraca się uwagę na kilka elementów. Po pierwsze, na różnorodność usług dostarczanych na życzenie użytkownika. Usługi te mogę obejmować dostarczanie oprogramowania, wirtualnego środowiska pracy, sprzętu, świadczenia związane z przechowywaniem danych, tworzeniem ich kopii zapasowych czy kopii bezpieczeństwa. Jednocześnie zwraca się uwagę na kwestie bezpieczeństwa, użyteczności oraz zapewnienia rozliczalności i dostępności danych. Niejednokrotnie bowiem użytkownik usługi nie zna lokalizacji danych ani parametrów sprzętu wykorzystywanego przy przetwarzaniu danych osobowych. Właśnie obawy i ryzyko związane z przetwarzaniem danych w chmurach obliczeniowych legły u podstaw normy ISO/IEC 27018.

> Chmura a przepisy prawa

Ustawodawstwo polskie nie posługuje się wprost takim pojęciem jak „cloud computing”. W związku z tym stosownych regulacji należy poszukiwać po uprzednim ustaleniu relacji prawnej łączącej strony umowy dotyczącej wykorzystania chmury obliczeniowej. Podstawowa regulacja opisująca tę relację została zawarta w artykule 750 ustawy Kodeks cywilny. Zgodnie z jego treścią do umów o świadczenie usług, które nie są uregulowane innymi przepisami, stosuje się odpowiednio przepisy o zleceniu. Podstawy dla zapisów umownych dotyczących cloud computingu należy więc szukać w tytule XXI kc dotyczącym umowy zlecenia, a także w ogólnej regulacji art. 3531 kc określającej zasadę swobody umów („Strony zawierające umowę mogą ułożyć stosunek prawny według swego uznania, byleby jego treść lub cel nie sprzeciwiały się właściwości (naturze) stosunku, ustawie ani zasadom współżycia społecznego”). Natomiast w sferze bezpieczeństwa usługi cloud computingu wskazać można na trzy podstawowe regulacje prawne:

 

  • art. 11 ustawy z dnia 16 kwietnia 1993 roku o zwalczaniu nieuczciwej konkurencji (DzU z 2003 r. nr 153, poz. 1503 ze zm.), zgodnie z którym czynem nieuczciwej konkurencji jest przekazanie, ujawnienie lub wykorzystanie cudzych informacji stanowiących tajemnicę przedsiębiorstwa albo ich nabycie od osoby nieuprawnionej, jeżeli zagraża lub narusza interes przedsiębiorcy;
  • art. 31 ustawy z dnia 29 sierpnia 1997 roku o ochronie danych osobowych (DzU z 2014 r., poz. 1182 ze zm.), zgodnie z którym administrator danych może powierzyć innemu podmiotowi, w drodze umowy zawartej na piśmie, przetwarzanie danych. Podmiot, któremu powierzono przetwarzanie danych osobowych, może przetwarzać dane wyłącznie w zakresie i celu przewidzianym w umowie;
  • art. 14 ustawy z dnia 18 lipca 2002 roku o świadczeniu usług drogą elektroniczną (DzU z 2002 r. nr 144, poz. 1202 ze zm.), według którego nie ponosi odpowiedzialności za przechowywane dane ten, kto udostępniając zasoby systemu teleinformatycznego w celu przechowywania danych przez usługobiorcę, nie wie o bezprawnym charakterze danych lub związanej z nimi działalności, a w razie otrzymania urzędowego zawiadomienia lub uzyskania wiarygodnej wiadomości o bezprawnym charakterze danych lub związanej z nimi działalności niezwłocznie uniemożliwi dostęp do tych danych.

Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

.

Transmisje online zapewnia: StreamOnline

All rights reserved © 2019 Presscom / Miesięcznik "IT Professional"