Bezpieczeństwo informacji w Chmurze

Podobne dokumenty
BEZPIECZE STWO INFORMACJI W CHMURZE

Wartość organizacji a bezpieczeństwo informacji

>>> >>> Ćwiczenie. Cloud computing

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

Jarosław Żeliński analityk biznesowy, projektant systemów

Komunikat KNF w sprawie cloud computing

Cloud Computing - problematyka prawna udostępnienia aplikacji w chmurze obliczeniowej (SaaS)

Ochrona prywatności. Międzynarodowe normy ochrony prawa do prywatności

POLITYKA BEZPIECZEŃSTWA w zakresie ochrony danych osobowych w ramach serwisu zgloszenia24.pl

WYTYCZNE DOTYCZĄCE MINIMALNEGO WYKAZU USŁUG I INFRASTRUKTURY EBA/GL/2015/ Wytyczne

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

Przetwarzanie danych w chmurze a bezpieczeństwo informacji. T: (+48) Jachranka, 27 listopada 2015r. E:

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

(2- D NIOWE) I N F O R M A C J E O S Z K O L E N I U

Wdrożenie systemu ochrony danych osobowych

Prawne aspekty chmury publicznej! Maciej Gawroński Bird & Bird" Sebastian Szumczyk IBM"

Przykład klauzul umownych dotyczących powierzenia przetwarzania

26 listopada 2015, Warszawa Trusted Cloud Day Spotkanie dla tych, którzy chcą zaufać chmurze

Damian Klimas Szostek Bar i Partnerzy Kancelaria Prawna

Leszek Sikorski Warszawa

Przetwarzanie danych osobowych w chmurze

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

Zarządzanie relacjami z dostawcami

Umowa na przetwarzanie danych

SZCZEGÓŁOWY HARMONOGRAM KURSU DZIEŃ I WPROWADZENIE DO OCHRONY DANYCH OSOBOWYCH

Damian Klimas Associate. Szostek Bar i Partnerzy Kancelaria Prawna

Ochrona danych osobowych w praktyce

Outsourcing danych ubezpieczeniowych (w tym danych osobowych)

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

Przetwarzanie w chmurze - przykład z Polski 2013, PIIT

Polityka Zarządzania Ryzykiem

Księgowość w chmurze

Safe24biz Sp z o.o., ul. Człuchowska 2c/13, Warszawa tel: (62) ,

SZCZEGÓŁOWY HARMONOGRAM KURSU

Umowa powierzenia przetwarzania danych osobowych

1 Postanowienia ogólne

Umowa powierzenia przetwarzania danych osobowych

Umowa powierzenia przetwarzania danych osobowych nr

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Komunikat Urzędu Komisji Nadzoru Finansowego dotyczący korzystania przez podmioty nadzorowane z usług przetwarzania danych w chmurze obliczeniowej

FOCUS TELECOM POLSKA SP. Z O.O. Materiał Informacyjny

Symantec Cloud. Wsparcie w Twoim biznesie

Chmura w sektorze finansowym: jakie wymogi prawne muszą być spełnione i czego uczą nas doświadczenia banków

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

Obsługa prawna sektora IT

Załącznik nr 4 POLITYKA OCHRONY PRYWATNOŚCI. Artykuł 1. Zasada ochrony prywatności

CO ZROBIĆ ŻEBY RODO NIE BYŁO KOLEJNYM KOSZMAREM DYREKTORA SZKOŁY? mgr inż. Wojciech Hoszek

Ograniczenia w wykorzystywaniu baz danych związane ze zautomatyzowanym przetwarzaniem danych oraz wykorzystaniem chmury obliczeniowej w świetle RODO

Zapewnienie dostępu do Chmury

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

AGENDA DZIEŃ I 9: PANEL I WPROWADZENIE DO ZMIAN W OCHRONIE DANYCH OSOBOWYCH 1. ŚRODOWISKO BEZPIECZEŃSTWA DANYCH OSOBOWYCH.

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

WYTYCZNE RADY ADWOKATUR I STOWARZYSZEŃ PRAWNICZYCH EUROPY W ZAKRESIE KORZYSTANIA PRZEZ PRAWNIKÓW Z USŁUG PRACY W CHMURZE

Umowy powierzenia w sektorze usług zdrowotnych. Katarzyna Korulczyk Adwokat, Inspektor ochrony Danych, LUX MED Pracodawcy RP

OCHRONA DANYCH OD A DO Z

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz

ul. Czerska 8/10 Tel / Warszawa

OCHRONA PRAWA DO PRYWATNOŚCI I INNYCH TAJEMNIC PRAWNIE CHRONIONYCH

Nowe przepisy i zasady ochrony danych osobowych

HARMONOGRAM SZKOLEŃ OTWARTYCH 2019

OGÓLNE WARUNKI ŚWIADCZENIA USŁUG ORAZ POWIERZANIA DANYCH OSOBOWYCH Novo Logistics Sp. z o.o.

OFERTA. Polskie Stowarzyszenie Zarządców Nieruchomości oraz Kancelaria KPRF Law Office. w zakresie szkoleń

Przetwarzanie danych w chmurze

CSA STAR czy można ufać dostawcy

IT i RODO z perspektywy zarządzającego podmiotem leczniczym. Beata Jagielska Centrum Onkologii Instytut im. Marii Skłodowskiej Curii w Warszawie

Można rozpatrywać dwa sposoby zapewnienia obsługi informatycznej firmy:

Cyfrowa administracja Jak zaoszczędzić dzięki nowoczesnym IT?

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

Informatyka w kontroli i audycie

PRAKTYKA WŁASNOŚĆ INTELEKTUALNA W PROCESIE DUE DILIGENCE Radca prawny Aneta Pankowska

Do kogo kierujemy ofertę?

UMOWA ZLECENIA nr zawarta w dniu. pomiędzy: -a- 1 Postanowienia ogólne

zetula.pl Zabezpiecz Swoje Dane

I. Postanowienia ogólne

Znak sprawy: ZP 21/2018/PPNT Załącznik nr 4 do Ogłoszenia o zamówieniu. Umowa powierzenia przetwarzania danych osobowych

UMOWA POWIERZENIA DANYCH OSOBOWYCH - (projekt)

AKADEMIA KOMERCJALIZACJI TECHNOLOGII

UMOWA Nr UE powierzenia przetwarzania danych osobowych w związku z zawarciem w dniu... umowy nr UE

z punktu widzenia inwestora

Informatyka w biznesie

BAKER TILLY POLAND CONSULTING

Zatrudnianie informatyków i kadry zarządczej IT. Aspekty prawne. Marcin Maruta, Kuczek Maruta i Wspólnicy marcin.maruta@kuczekmaruta.

Regulamin - Prymus.info

REGULAMIN SERWISU INTERNETOWEGO 1 Postanowienia ogólne

Przetwarzanie danych w chmurze

Polityka Bezpieczeństwa Informacji w PKP Polskie Linie Kolejowe S.A. dla Partnerów Biznesowych Spółki. SZBI-Ibi-1a

Polityka prywatności

Umowa powierzenia przetwarzania danych osobowych

Agenda. Ogólne rozporządzenie o ochronie danych -RODO. Jakie działania należy podjąć, aby dostosować firmę do wymagań rozporządzenia GDPR/RODO?

1. Czym jest RODO? 2. Kluczowe zmiany wynikające z RODO. 3. Kogo dotyczy RODO?

Jarosław Żeliński analityk biznesowy, projektant systemów

Metodyka zarządzania ryzykiem w obszarze bezpieczeństwa informacji

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

CZĘŚĆ I PODSTAWOWE INFORMACJE O RODO

Szczegółowy opis przedmiotu zamówienia:

Przetwarzanie danych w chmurze Cloud Computing

POLITYKA PRZETWARZANIE DANYCH OSOBOWYCH. W SPÓŁCE Zako Apartamenty s.c

Klauzula Informacyjna dla Podróżnych

Transkrypt:

Bezpieczeństwo informacji w Chmurze Chmura obliczeniowa jako nowoczesny model biznesowy zdobywa entuzjastów, jak i oponentów. Popularyzacja tego modelu ma miejsce nie tylko w branży IT, ale także wśród organizacji, których celem jest redukcja kosztów. Zarówno Komisja Europejska, jak również Polska zaobserwowała istotne korzyści wdrożenia tego modelu. Zainteresowanie tego typu usługami skutkuje wzrostem rozwoju sektora polskiego rynku transmisji danych. Zastosowanie tego rozwiązania wymusza konieczność przeprowadzenie dokładnej analizy, ze względu na fakt, że obecne przepisy prawne nie przystają do chmury obliczeniowej. NIST National Institute of Standards and Technology amerykańską agencję federalna funkcjonująca odpowiednio do Głównego Urzędu Miar zdefiniowała pojęcie chmury obliczeniowej, która została opisana w dokumencie The NIST Definition of Cloud Computing (800-145) jako: Przetwarzanie w chmurze to model pozwalający na wszechobecny, wygodny dostęp poprzez sieć do współdzielonej puli konfigurowalnych zasobów obliczeniowych (np. sieci, serwerów, pamięci masowej, aplikacji oraz usług), które w błyskawiczny sposób mogą zostać dostarczone i zwolnione, przy minimalnym zaangażowaniu lub interakcji z dostawcą usług. (Źródło:https://cl0udguide.wordpress.com/2012/10/09/czym-tak-naprawde-jest-chmura-obliczeniowa/). W opinii Komisji Europejskiej pod pojęciem chmura należy rozumieć proces przechowywania, przetwarzania i wykorzystywania danych zdalnie za pomocą Internetu, poprzez co odbiorcy mogą bezgranicznie używać mocy obliczeniowych, przy równoczesnym zredukowania kosztów w sektorze IT. Czynności wykonywane w chmurze charakteryzują się pracą przy użyciu aplikacji i usług używanych przy pomocy Internetu, a nie jak dotychczas wykorzystując aplikacje instalowane lokalnie na komputerze. Istotną różnicą jest to, że wszystkie czynności

wykonywane są na serwerze, a dokładnie w sieci serwerów mieszczącym się w tzw. Data center (centrum obliczeniowym), w związku z tym wszystkie pliki przechowywane są na zdalnym serwerze, a nie na komputerze. Rozlokowanie centrów przetwarzania danych w chmurze na obszarze całego świata pozwala na nieograniczony, międzynarodowy i elastyczny model przetwarzania danych w chmurze, który łączy się z modelem udostępniania klientowi zgromadzonych przez niego danych. Źródło: https://pl.wikipedia.org/wiki/chmura_obliczeniowa Proces przetwarzania danych nie ma miejsce na naszym komputerze a w chmurze, stąd nie ma potrzeby przenoszenia plików pomiędzy komputerami. Komputer staje się narzędziem dostępu do chmury, przy pomocy konta użytkownika, umożliwiającą kontrolę dostępu. Odbiorca ponosi koszty dostępu do interesującej go usługi, np. arkusza kalkulacyjnego, jednocześnie redukuje koszt nabycia licencji czy potrzebę instalowania i administrowania oprogramowania. Płacąc za możliwość korzystania z arkusza kalkulacyjnego, użytkownik nie musi być świadom sposobu realizacji usługi, nie odpowiada również za aspekt techniczny jej funkcjonowania. 1

System ten wywołuje wiele obiekcji, poprzez to, że firma dokonuje przeniesienia swoich danych (tajemnice przedsiębiorstwa, know-how, dane osobowe) do struktury, nie będąc jednocześnie ich właścicielem. Utracenie nadzoru nad tym, co nie stanowi naszej własności związane jest z niepewnością i ryzykiem, szczególnie w obliczu postępu technologicznego i braku uregulowań prawnych. Obecnie nie istnieją regulacje, które usystematyzowałyby istnienie i działanie chmur obliczeniowych, a zawarcie umowy o świadczenie tego typu usług ma charakter outsourcingu. Przedmiot umowy nie jest sprecyzowany, ze względu na nieokreśloną i niejasną formę. Kodeks cywilny stosuje przepisy o umowie zlecenie (art 750 k. c.), lecz w sytuacji, gdy administrator danych osobowych będzie chciał posłużyć się chmurą stosuje się przepisy ustawy o ochronie danych osobowych, która zakłada w tym obszarze zawarcie umowy powierzenia przetwarzania danych (art. 31). Dotąd starania ustawodawców skoncentrowane były na aktach prawa miękkiego, z powodu tego, iż przetwarzanie danych w chmurze bazuje na przekazie przy wykorzystaniu Internetu, obejmując duże grypy działów prawa mi. in. autorskiego, własności intelektualnej i przemysłowej, pracy lub też ochrony: danych osobowych, baz danych, know-how, praw człowieka. Wiele przepisów powyższych praw uzależnione jest od informacji/danych podlegających przetwarzaniu, stąd też przepisy ustawowe muszą uwzględniać liczne odesłania i przepisy już obowiązujące. Poddaje się rozważaniu czy takie uregulowania są niezbędne, tym bardziej, że rynek i organizacje uzupełniają pojawiające się braki. 24 kwietnia 2012 r. Międzynarodowa Grupa Robocza powołana ds. Ochrony Danych w Telekomunikacji przedstawiła dokument roboczy tzw. Memorandum Sopockie (dostęp: http://www.giodo.gov.pl/plik/id_p/2689/j/pl/) obejmujący zagadnienie przetwarzania danych przy wykorzystaniu chmury. Dokument opisuję sytuację, w której administrator danych i przetwarzający dane korzystający z danego pasma usług chmury uzależnieni są od różnych przepisów o ochronie danych. Grupa opracowała dokument w odniesieniu do firm i jednostek publicznych, korzystających z tego typu usług, dla których memorandum winno stanowić ważną lekturę istniejących zagrożeń. Poddając je analizie w kontekście przepisów prawa i ocenie prawników czy specjalistów ds. bezpieczeństwa danych można wyodrębnić pięć najważniejszych grup ryzyk towarzyszącym usługom chmury obliczeniowej : 1. Administrator danych będący użytkownikiem usług w chmurze nie 2

dostrzega naruszeń w zakresie poufności, integralności i dostępności danych, co może skutkować naruszeniem uregulowań zapewniających ochronę danych i prywatności. 2. Transfer danych może nie zapewniać właściwej ich ochrony. 3. Firma świadcząca usługi outsorcingu może korzystać z usług podwykonawców (podprzetwarzających), przez co określenie, który podmiot ponosi odpowiedzialność, stanie się skomplikowane. 4. Odbiorca chmury może ponieść straty, ze względu na brak kontroli nad danymi i w procesie przetwarzania danych. Największe niebezpieczeństwo stanowi sytuacja, w której firma świadcząca tego typu usługi lub jej podwykonawca wykorzystają do własnych interesów dane administratora danych bez uprzedniej jego zgody. 5. Administrator danych lub podmioty trzecie pozbawione będą możliwości właściwej kontroli firm outsorcingowych. Pomimo tych niebezpieczeństw liczne przedsiębiorstwa podejmują decyzję o przekazaniu swoich baz danych do chmury obliczeniowej. Jedną z zalet przetwarzania danych w tym modelu jest wzrost skuteczności wykorzystania aktywów, przy jednoczesnej redukcji kosztów nie tylko w obszarze struktury i utrzymania zaplecza IT, personalnych lub energii. Zmniejszyć ryzyko można odpowiednio formułując umowę o świadczenie usług w modelu chmury obliczeniowej, która powinna uwzględniać właściwe klauzule umowne, dające możliwość przeniesienia danych i monitorowania ich, przy zapewnieniu właściwego poziomu ochrony danych. Dostarczenie usług powinno gwarantować, że proces usunięcia danych osobowych znajdujących się na dyskach czy innych nośnikach danych można sprawnie zrealizować. Należy zapewnić, aby nikt poza użytkownikiem danych w chmurze nie miał do nich dostępu. Dane te powinny zostać zaszyfrowane. Przepisy umowy powinny zagwarantować właściwe tworzenie i dokonywanie zapisów kopii zapasowych w zabezpieczonych miejscach oraz powinny wdrożyć system przejrzystości lokalizacji, w których dane podlegają procesowi przechowywania i przetwarzania. Umowa powinna zawierać klauzulę zakazu wykorzystania danych administratora do własnych celów przez dostawcy usług i jego podwykonawcą. Istotne jest ustalenie zasad rozwiązania umowy i odebrania przesłanych danych. Zastosować trzeba praktyki dające możliwość respektowania przez usługobiorcę chmury regulacji prawa niezbędnych ze względu na dane, które zostały usytuowane w strukturze chmury obliczeniowej, tj. przepisów ochrony danych osobowych, prawa bankowego. 3

Komisja Nadzoru Finansowego wpływająca na zakres umów outsorcingowych chmur podejmuje czynności monitorujące rynek finansowy. Nowy model przetwarzania danych bazujący na komunikacji internetowej, którą należy właściwie uregulować w zakresie dostępności usług i możliwych przerw w ich dostawie. Wielu świadczeniodawców dysponuje własnym zapleczem, w obszarze dostępu do Internetu, co jednocześnie może oddziaływać na sferę ekonomiczną, ale również może stwarzać sytuację uzależnienia od usługodawcy. Przedsiębiorca ponosi odpowiedzialność za przekazanie danych zgodnie z przepisami prawa krajowego i unijnego. Istotną rolę spełnia tu administrator danych na podstawie ustawy o ochronie danych osobowych. Postęp technologiczny nie ochroni nas przed wszystkimi niebezpieczeństwami, stąd tak ważny staje się czynnik ludzki. Użytkownik usług zawartych w chmurze zobowiązany jest wykorzystywać właściwe narzędzia zabezpieczenia danych. Nieustanna kontrola bezpieczeństwa informacji nie powinna być uzależniona od tego czy organizacja dysponuje własną infrastrukturą, czy wykorzystuje zdalny dostęp do danych. Zgodnie z przewidywaniami zainteresowanie opisanym modelem biznesowy wzrasta. Pomimo tego outsourcing bazujący na chmurze obliczeniowej wymusza sformułowania pewnych reguł, szczególnie w obszarze prawa umów. 4

Cezary Stanek ekspert z zakresu kontroli zarządczej i ochrony danych osobowych, wykładowca, audytor. Wieloletni praktyk z kontroli zarządczej oraz specjalista w zakresie postępowania z ryzykiem, a w szczególności identyfikacji ryzyka w administracji samorządowej oraz ocenie prawidłowości i skuteczności zastosowanych środków w zakresie ochrony przetwarzanych danych osobowych. Absolwent Wyższej Szkoły Ekonomii i Administracji na kierunku Administracja Samorządowa oraz Podyplomowych Studiów Ochrony Danych Osobowych Wydział Prawa i Administracji Uniwersytetu Łódzkiego. Administrator Bezpieczeństwa Informacji, specjalista w zakresie ochrony danych osobowych oraz ekspert KRI. Pasjonat wdrożeń systemów zarządzania oraz dostosowywania procedur by były użyteczne i proste. Wdrożeniowiec systemy ograniczającego odpowiedzialność dla administratorów danych oraz pracowników Kryptos24. Inne umiejętności: audytor wewnętrzny systemów zarządzania bezpieczeństwem, główny specjalista bezpieczeństwa i higieny pracy, Zapraszam do odwiedzenia naszej strony www.eszkolenie.eu SELENE CONSULTING Spółka z ograniczoną odpowiedzialnością, Spółka Komandytowa Aleja Józefa Piłsudskiego 10a 44-335 Jastrzębie-Zdrój tel.: 665-242-474 e-mail: info@eszkolenie.eu 5

2025 © DocPlayer.pl Polityka prywatności | Warunki świadczenia usług | Zwrotny adres