Рачунарство у облаку: ISO стандард о заштити података о личности

Рачунарство у облаку: ISO стандард о заштити података о личности

подаци о личности и сива дигитална економија

Подаци о личности су несумњиво највећа вриједност која је у свакодневном оптицају на Интернету. Протеклих година свједочили смо многим медијским „бомбама“ које су до танчина описивале безбједносне инциденте који су укључивали отуђивање или уништење ових података.

Неријетко су исти за посљедицу имали, поред губитка тржишне позиције и трајно нарушеног повјерења од стране корисника, и банкрот компанија које су се налазиле у улози PII (енг. personally identifiable information) процесора, односно обрађивача тих података у име PII контролера (лица које одређују сврху и циљ обраде).

Раст црног тржишта података о личности би се могао окарактерисати и као раст својеврсне „сиве дигиталне економије“, криминалних токова Интернет саобраћаја, који за резултат има огромне финансијске посљедице како по обрађиваче и контролере, тако и за принципале – лица на која ови подаци недвосмислено упућују, односно који би могли разоткрити њихов идентитет.

ISO стандард о заштити података о личности

Циљ новог ISO/IEC 27018:2014 стандарда је да обезбједи сет неопходних сигурносних контрола које могу бити имплементиране од стране пружаоца услуга тзв. јавног рачунарског облака (енг. public cloud provider) који обрађује податке о личности у име трећег лица. Ово је први публиковани ISO стандард који се односи на рачунарство у облаку, и као такав ће сигурно наћи широку примјену међу компанијама које ће кроз програм сертификације настојати изградити повјерење са потенцијалним клијентима и стећи имиџ на глобалном цлоуд тржишту.

Што се структуре стандарда тиче, исти се заснива на већ етаблираном ISO 27002 (генерално покрива информациону безбједност – политике информационе безбједности, организациона структура информација, безбједност људских ресурса, менаџмент „дигиталне имовине“ (енг. digital assets), контрола приступа, криптографија, физичка безбједност и сигурност околиша, оперативна и комуникациона безбједност, одржавање, развој и аквизиција информационих система, однос са добављачима, менаџмент безбједносних инцидената, безбједносни аспекти пословне одрживости и сагласност са регулативом), односно надграђује га у оним областима које су специфичне за пружаоце cloud услуга:

  • сагласност са условима и избор пружаоца услуга,
  • намјена и сврха обраде података,
  • минимизирање података,
  • ограничење коришћења, задржавања и објављивања података,
  • транспарентност и обавјештавање,
  • одговорност и
  • сагласност са политикама приватности.

коме је намијењен ISO 27018

ISO 27018 је намијењен свим организацијама које се баве обрадом информација у дигиталном облику у својству PII процесора у облаку под условима наведеним у уговору, укључујући компаније у јавном и приватном власништву, државне органе и непрофитне организације.

Са правног аспекта посматрано, може се рећи да ISO 27018 у пракси попуњава регулаторне празнине унутар оних јурисдикција које још увијек нису законски покрили ову област, али и организационо и технолошки надграђује прилично апстрактне норме које се односе на заштиту података о личности (као нпр. унутар ЕУ), посебно у оквиру рачунарства у облаку.

У погледу PII контролера, сигурно је да ISO 27018 стандард неће покрити безбједносне аспекте услуга рачунарства у облаку који се не односе стриктно на податке о личности. У ту сврху ISO комитет већ ради на 27017 стандарду чија се публикација очекује током 2015. године, и који ће са стандардима 27002 и 27018 чинити чврсту основу за градњу трајног повјерења на релацији PII контролер – PII процесор, односно клијент – пружалац cloud услуга.

У овој фази развоја cloud тржишта, управо је повјерење оно што би могло дати снажнији замајац и убрзати трансфер и оних „невјерних Тома“ који своје пословање још увијек базирају на on-premise инфраструктури. ISO/IEC 27018:2014 је свакако први корак у правом смјеру.

 

Срђан Рајчевић

Директор Агенције за информационо друштво Републике Српске, дипл. правник, дипл. инж. рачунарства, магистар пословно-правних наука. Заинтересован за правне аспекте ИКТ-а. Идејни творац више закона из области развоја информационог друштва у РС.

  • facebook
  • linkedin
  • skype
  • twitter