Соответствие стандартам и нормативно-законодательным актам в облачных сервисах

Большинство проблем, вызванных соответствием или несоответствием стандартам и нормативно-законодательным актам, лежит не в самой облачной среде, а в том факте, что эти стандарты и законодательные акты были написаны для интернет-приложений до того, как виртуализационные технологии получили широкое распространение. Иными словами, существует вероятность того, что, развертывая свои приложения в облачной инфраструктуре, вы можете обеспечить соответствие духу законов и спецификаций, но не их букве.

Например, если стандарт, соответствие требованиям которого вы должны гарантировать, требует, чтобы определенные данные хранились на другом сервере, отличном от сервера, реализующего логику работы системы, то может ли виртуальный сервер обеспечить такое соответствие? Я сам с уверенностью могу сказать, что это возможно, но вот интерпретация факта соответствия или несоответствия вашей среды требованиям законов и стандартов может быть отдана на откуп юристов (адвокатов и судей) или других людей, не являющихся техническими специалистами и не понимающих природу виртуализации. Даже если некоторые законы, например закон Сарбейнза—Оксли (Sarbanes—Oxley, SOX)1, и не предъявляют никаких специфических требований к защите информации, они все равно наводят ужас на топ-менеджеров.

СПИСОК СОКРАЩЕНИЙ

    Директива 95/46/EC (Directive 95/46/EC)2 — Директива Европейского парламента и Совета Европейского Союза от 15 декабря 1997 года, касающаяся использования персональных данных и защиты неприкосновенности частной жизни в сфере телекоммуникаций, дающая определение "личным данным" и регламентирующая их хранение.

    Закон об отчетности и безопасности медицинского страхования (Health Insurance Portability and Accountability Act, HIPAA)3 — обширный закон, регламентирующий вопросы, относящиеся к медицинскому страхованию, включая правила обеспечения защиты личных данных и безопасности их хранения.

    Стандарт защиты информации в индустрии платежных карт (Payment Card Industry Data Security Standard, PCI или PCI DSS)4 — стандарт, разработанный международными платежными системами Visa и MasterCard. Объединяет в себе требования ряда программ по защите информации при обработке транзакций с платежными картами.

    Закон Сарбейнза—Оксли (Sarbanes—Oxley, SOX) — устанавливает законодательные требования, обязательные для соблюдения открытыми акционерными обществами при информировании своих акционеров.

1 Закон Сарбейнза—Оксли (Sarbanes—Oxley Act, SOX) был подписан 30 июля 2002 года и представляет собой одно из самых значительных событий по изменению федерального законодательства США по ценным бумагам за последние 60 лет. Значительно ужесточает требования к финансовой отчетности и к процессу ее подготовки — результат многочисленных корпоративных скандалов, связанных с недобросовестными менеджерами крупных корпораций. Подробнее см. http://tinyurl.com/35efa7r, http://tinyurl.com/3xe5qu3. — Прим. перев.

2 Подробнее см. https://secure.wikimedia.org/wikipedia/en/wiki/Data_Protection_Directive, http://03.rsoc.ru/docs/archive/03/documents/direktiva_97_66_ES_15.12.1997.doc. — Прим. перев.

3   Подробнее  см.  http://en.wikipedia.org/wiki/Health_Insurance_Portability_and_Accountability_Act,

https://secure.wikimedia.org/wikipedia/en/wiki/Health_Insurance_Portability_and_Accountability_Act. —

Прим. перев.

4 Подробнее см. https://secure.wikimedia.org/wikipedia/ru/wiki/PCI_DSS, http://www.osp.ru/news/articles/2010/33/13003470/ Прим. перев.

    Стандарт 21 CFR 11 (Title 21 CFR Part 11 of the Federal Code of Regulations, 21CFR11)1 — нормативный документ американского органа по контролю за управлением электронными подписями и электронными данными в области выпуска пи-

щевых продуктов, медицинской техники и лекарственных препаратов.

С точки зрения безопасности, при обеспечении соответствия требованиям стандартов и законодательных актов2 вы можете встретить следующие три основных проблемы.

± "Как" — вопросы этого типа касаются таких стандартов, как PCI DSS или законодательных актов наподобие HIPAA или SOX, регламентирующих, каким образом приложения определенного типа должны работать с целью защитить информацию, специфическую для конкретной области. Например, HIPAA определяет, каким образом должна осуществляться обработка персональных идентификационных данных в области здравоохранения и медицинского страхования.

± "Где" — эти вопросы проистекают из требований таких законодательных актов, как Директива 95/46/EC, которая определяет требования к местам хранения определенной информации. Ключевым фактором влияния этой конкретной директивы является то, что персональные данные граждан Евросоюза не могут храниться в США (или любой другой стране, где требования к хранению персональной информации не соответствуют требованиям к ее хранению, действующим в ЕС).

± "Что" — эти вопросы задаются на основе стандартов, предписывающих иметь в системе вполне конкретные компоненты. Например, стандарт защиты информации в индустрии платежных карт (PCI DSS) предписывает использование антивирусного ПО на всех серверах, где производится обработка данных по кредитным картам.

На сегодняшний день наиболее важным аспектом является то, что система, развернутая в облачной среде, может, соблюдая дух закона, соблюдать или не соблюдать его букву. Для некоторых спецификаций можно обеспечить соблюдение буквы закона за счет реализации смешанной архитектуры, в состав которой будут входить некоторые физические элементы и некоторые виртуальные. Облачные инфраструктуры, которые специализируются на гибридных решениях, могут оказаться наилучшим вариантом. С другой стороны, возможно, имеет смысл присмотреться к тем поставщикам, которые предлагают в качестве сервиса некую часть вашей системы, для которой вы обязаны соблюдать некоторые специфические требова-

1 Подробнее см. https://secure.wikimedia.org/wikipedia/en/wiki/Title_21_CFR_Part_11. — Прим. перев.

2 В свете предстоящего вступления России в ВТО законодательство РФ тоже должно будет подвергнуться доработке с тем, чтобы соблюдать международные правовые нормы. Во всяком случае уже сейчас предприятия, выходящие на международный рынок, должны соблюдать перечисленные в этой книге законодательные акты. О существующих проблемах можно прочесть, например, здесь: http://www.gdm.ru/meropr/18.10.2004/2839/book/hramtsovskaya1/. Информационные порталы, посвященные законам и стандартам в области информационной безопасности: http://www.securit.ru/ solutions/laws/, http://www.iso27000.ru/. — Прим. перев.

ния. Например, если один из компонентов вашего сайта реализует электронную коммерцию, вы можете воспользоваться услугами одного из поставщиков, предоставляющих сервисы электронной коммерции, которые гарантированно обеспечивают выполнение требований стандарта защиты информации в индустрии платежных карт (PCI DSS)1.

В смешанной среде вы не храните в облачной инфраструктуре никаких конфиденциальных данных. Вместо этого вы переводите обработку конфиденциальной информации на предназначенные для этой цели серверы в физическом центре обработки данных, который находится полностью под вашим контролем. Например, вы можете держать сервер обработки данных о кредитных картах у сервиспровайдера услуг внешнего управления, а запросы к этому серверу (например, на сохранение номеров кредитных карт или запросы на списание денег со счета) могут поступать из облачной среды.

Что касается места хранения конфиденциальных данных, то Amazon предоставляет хранилища S3, расположенные на территории Евросоюза. Поэтому комбинация облачных сервисов Amazon и хранилища S3 позволяет обеспечить соблюдение требований Директивы 95/46/EC (Directive 95/46/EC).

Источник: Риз Дж., Облачные вычисления: Пер. с англ. — СПб.: БХВ-Петербург, 2011. — 288 с.: ил.

Вы можете следить за любыми ответами на эту запись через RSS 2.0 ленту. Вы можете промотать до конца и оставить ответ. Pinging в настоящее время не допускается.

Оставьте отзыв

XHTML: Вы можете использовать следующие теги: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

 
Rambler's Top100