Національний Авіаційний
Університет, Україна
Правовий аспект захисту інформації
при використанні хмарних технологій
Стрімкий розвиток хмарних технологій
пропонує величезний потенціал для підвищення ефективності функціонування
інформаційної системи. Однак, є і інша сторона медалі: високий темп росту
інформаційних технологій у всіх сферах діяльності значно випереджає впровадження
нормативного забезпечення використання cloud-сервісів зумовлює
відсталість нормативно-правової бази України в цій галузі. Дані явища створюють
сприятливе середовище для порушень у сфері інформаційної безпеки, а отже і
потребують подальшого дослідження як в теоретичному, так і в практичному плані.
Основними джерелами регулювання та
функціонування інформаційних систем в Україні, а також захисту інформації є:
Конституція України, Закон України «Про авторське право та суміжні права»,
Закон України «Про захист інформації в інформаційно-телекомунікаційних
системах», Закон України «Про захист персональних даних», Закон України «Про
інформацію», ДСТУ «Захист інформації. Технічний захист інформації. Основні
положення», НД ТЗІ 1.1-002-99 «Загальні положення щодо захисту в інформації в
комп'ютерних системах від несанкціонованого доступу», НД ТЗІ 2.5-004-99
«Критерії оцінки захищеності інформації в комп'ютерних системах від
несанкціонованого доступу» та інші.
Аналіз законодавства
дозволив зробити висновок, що:
- немає чіткого
визначення ролі і зони втручання державних органів до процесів організації
функціонування хмарних технологій;
- відсутнє чітке
визначення прав і обов’язків постачальника послуг та
користувача;
- не встановлено
міру відповідальності за несанкціоноване використання конфіденційної
інформації, розташованої на платформах провайдера;
- не вирішено
питання безпеки зберігання, обробки та передачі інформаційних ресурсів поза
межами власної інформаційної системи;
- відсутня
політика жорсткої конфіденційності в інтегрованому інформаційному середовищі;
- відсутні
розроблені стандарти укладення договору між користувачем та постачальником
послуг, адже кожна модель розгортання хмари вимагає характерних відмінностей у
договорі.
Невирішеною лишається ще
однапроблема, а саме: конфлікт юрисдикцій в частині регулювання транскордонної
передачі даних та обмежень щодо їх захисту, адже дуже часто, прагнучи знайти
найдешевші умови для розміщення даних, більшість провайдерів орендують площі у
країнах, де немає адекватного законодавства у сфері кіберзахисту. Міжнародна
угода про єдину термінологію досі не прийнята, хоча технологія є
транскордонною, а обробка даних фактично стала глобальним процесом.
Національні уряди
впроваджують, або розробляють, іноді суперечливі правові зобов’язання відносно
використання інформаційних ресурсів власника системи і клієнта послуг, що
надають провайдери. Ці суперечливі зобов’язання перешкоджають розповсюдженню
технології і підривають споживчу довіру до хмари. Уряд, ІТ підприємства та
громадськість мають опрацьовувати питання правової та організаційно-технічної
взаємодії, щоб удосконалити процеси захисту даних, обробки, передачі й
висвітлення з урахуванням так званої — політики довіри.
Функціонування хмарних
технологій потребує регуляції багатьох галузей права, тому що різні стандарти
існують у банківському секторі, страхуванні, системі охорони здоров’я, у сфері
надання освітніх послуг та ін. Якщо виникає питання, як захищати персональні
дані, якщо на клієнта поширюється одна юрисдикція, а на компанію –
постачальника інформаційних послуг – інша, то постачальники хмарних послуг
застосовують законодавство тієї держави, де розташований дата-центр.
Для вирішення цих
проблем можемо запропонувати наступні заходи:
1) у зв’язку з Асоаціацією України до ЄС, а також гармонізацією національного
законодавства, слід і забезпечити проведення двосторонніх зустрічей та
консультацій Європейської Комісії з цих питань;
2) слід враховувати
відповідні новації законодавства ЄС щодо захисту персональних даних у
"хмарах" при розробці проектів нормативно-правових актів, стратегій,
державних цільових програм тощо;
3) дуже важливо
розробити власну державну систему нормативно-правового забезпечення
використання і впровадження хмарних технологій у відповідності до міжнародних
стандартів та вимог;
4) необхідно
вдосконалити наявну законодавчу базу та забезпечити правові і фінансові
гарантії при розгортанні зазначених технологій, встановити чітку
відповідальність за порушення законодавства.
Користувачам cloud-сервісів потрібні правові гарантії, що їхня інформація є надійно
захищеною. Однак, реалії сьогоднішнього дня такі, що українське законодавство
«не встигає» за розвитком технологій, а отже потребує внесення змін з
урахуванням міжнародного досвіду.
Література:
1. Юдін О.К., Зюбіна
Р.В. Нормативно-правові аспекти використання хмарних технологій // Наукоємні
технології – 2014 - № 3 (23). [Електронний ресурс]. - Режим доступу:
http://irbis-nbuv.gov.ua/cgi-bin/irbis_nbuv/cgiirbis_64.exe?C21COM=2&I21DBN=UJRN&P21DBN=UJRN&IMAGE_FILE_DOWNLOAD=1&Image_file_name=PDF/Nt_2014_3_8.pdf
2. Гнатюк С. Актуальні
питання захисту персональних даних у віртуальному середовищі (на прикладі
технологій та сервісів "хмарного" обчислення). Аналітична записка.
[Електронний ресурс]. - Режим доступу: http://www.niss.gov.ua/articles/1090/
3. Гладківська О. В.Вплив хмарних технологій на
стан інформаційної безпеки:правовий аспекть / О. В. Гладківська // Інформація і
право. — 2014. — № 3 [Електронний ресурс]. - Режим доступу:
http://ippi.org.ua/sites/default/files/14govbpa.pdf