среда, 3 июня 2015 г.

Стандарт ISO 27018: Защищает неприкосновенность частной жизни, а заодно и национальную безопасность


Заметка Брайана Каннингема (Bryan Cunningham – на фото) была опубликована 5 мая 2015 года на сайте американского издания «Federal Times»

Брайан Каннингем – юрист, занимающийся вопросами информационной безопасности, неприкосновенности частной жизни и защиты персональных данных. В настоящее время он является старшим советников в «Группе Чертоффа» (The Chertoff Group) - консультационной фирме, действующей в глобальном масштабе и занимающейся консультированием в сфере технологий и безопасности, включая проблемы облачных вычислений. Ранее Брайан работал в ЦРУ, а позднее был заместителем юрисконсульта советника Президента США по национальной безопасности Кондолизы Райс (Condoleezza Rice).

В конце 1970-х годов, Леонард Нимой (пусть земля будет тебе пухом, мистер Спок!) вел еженедельную телевизионную документальную программу под названием «В поисках ...», в которой он шел по следам снежного человека, Ло-Несского монстра и других мифических существ или явлений. Эти загадочные существа и явления почти всегда от него ускользали.

Многие, - и я в том числе, - обычно ожидают такого же результата от усилий по созданию международных стандартов по защите неприкосновенности частной жизни и информационной безопасности, которые способствовали бы укреплению национальной безопасности внедряющих их стран: это мифы. Однако ИСО (Международной организации по стандартизации со штаб-квартирой в Женеве), возможно, только что удалось совершить такой эпический подвиг, в виде публикации первого в своём роде стандарта ISO/IEC 27018:2014, официальное название которого звучит как «Информационные технологии - Методы обеспечения безопасности – Практика защиты персональных данных в публичных облаках, выступающих в роли обработчиков персональных данных» (Information technology - Security techniques - Code of practice for protection of personally identifiable information (PII) in public clouds acting as PII processors).

Мой комментарий: О данном стандарте см. мой пост http://rusrim.blogspot.ru/2015/02/blog-post_1.html . Вводная и терминологическая части стандарта доступны по адресу https://www.iso.org/obp/ui/#iso:std:iso-iec:27018:ed-1:v1:en .

Широкое применение международных стандартов по всему миру органами государственной власти и другими государственными учреждениями и организациями, а также, – что особенно важно, - поставщиками облачных услуг и другими частными компаниями может иметь целый ряд положительных последствий. Во-первых, широко используемые стандарты, разработанные в рамках процесса, вовлекающего широкий круг заинтересованных сторон, способствуют укреплению доверия к адекватности, справедливости и жизнеспособности подобных правил. Излишне говорить, что тема доверия и справедливого отношения является сейчас вопросом первостепенной важности для облачных вычислений (см. http://arstechnica.com/tech-policy/2015/04/eu-alleges-google-abuses-dominant-position-in-search-investigates-android/ ).

Во-вторых, когда стандарты воспринимаются большинством правительств по всему миру, как это происходит со многими стандартами ИСО, то в результате укрепляются согласованность, предсказуемость и правовая определенность. Наконец, широкое признание стандартов способствует трансграничной торговле и коммерции и делает их более эффективными. Хотя сами по себе такие стандарты не являются нормативными документами, однако после включения в серьёзные договора их требования становятся обязывающими; и в любом случае они устанавливают стандарт разумной предосторожности, используемый в частных судебных разбирательствах.

Внедрение стандарта ISO 27018 может дать дополнительную конкретную отдачу, в том числе потребовав от поставщиков услуг публичных облаков (public cloud), являющихся обработчиками персональных данных:
  • уведомлять клиентов, чьи персональные данные они хранят, о том, где именно такие данные хранятся; и называть всех субподрядчиков, имеющих к ним доступ;

  • устанавливать сроки хранения/уничтожения данных; и

  • уведомить клиентов об утечках данных.
Ещё дальше идут два конкретных положения ISO 27018, которые при надлежащем их внедрении способны дать поддерживающим их правительствам значительную отдачу  в плане обеспечения национальной безопасности.

Чтобы соответствовать требованиям ISO 27018, поставщики облачных услуг должны обеспечить, в соответствии с положениями договоров, что персональные данные «не используется для целей маркетинга и рекламы без явно выраженного согласия» и что такое «согласие не должно быть условием получения» предоставляемых по контракту услуг, таких, как облачные сервисы, обработка и хранение электронной почты или услуги поиска. Как я утверждал здесь ( http://www.theguardian.com/commentisfree/2012/oct/15/google-data-mining-national-security ), интеллектуальный анализ данных (data mining) в подобных целях создает многочисленные угрозы для безопасности сотрудников правоохранительных органов и разведки и для их деятельности, а также, потенциально, для целостности процесса принятия решений  государственными органами.

В той степени, в какой клиенты из числа государственных органов будут требовать, чтобы все поставщики облачных услуг исполняли требования ISO 27018, эти запреты на рекламу и маркетинг могут существенно снизить риски безопасности, связанные с использованием облачных вычислений государственными органами. Часть этих рисков, однако, связана не просто с каким-то фактическим использованием данных для целей маркетинга или рекламы, а с осуществлением поставщиками облачных услуг совместной интеллектуальной обработки персональных данных и другой конфиденциальной информации ряда клиентов, выполняемой для нераскрываемых поставщиками целей, а также с предоставлением доступа к данным третьим сторонам, даже если вследствие этого не последует маркетинговой и рекламной активности. Судя по всему, как минимум некоторые из поставщиков облачных услуг проводили такой интеллектуальный анализ данных ( http://www.ibtimes.co.uk/google-admits-mining-data-students-through-apps-education-tools-1440388 ), несмотря на свои предшествующие заявления о том, что они не используют персональные данные для маркетинговых и рекламных целей.

Можно сказать, что стандарт ISO 27018 запрещает подобные действия без согласия на условия такой обработки, поскольку он требует от поставщиков облачных услуг «обеспечить, чтобы никакие персональные данные не обрабатывается... для иных целей, независимо от указаний, данных клиентом облачного сервиса».

К сожалению, ISO 27018 не содержит более четко сформулированных запретов, вроде ограничения, присутствующего в стандартах ФБР по обработке информации, относящейся к уголовному правосудию (FBI Criminal Justice Information Standards): «Поставщику облачных услуг запрещается сканирование каких-либо сообщений электронной почты или файлов данных для целей подготовки аналитики, интеллектуального анализа данных, рекламы или повышения качества оказываемых услуг».

В случае своего внедрения и обеспечения исполнения усилиями правоохранительных органов, разведки и других государственных органов, при наличии подобных четко сформулированных ограничений, стандарт ISO 27018 способен укрепить национальную безопасность и, возможно, даже целостность процессов принятия решений государственными органами. Если поставщикам облачных услуг будет запрещено проводить интеллектуальный анализ данных с целью формирования «мозаики» из персональной и иной конфиденциальной информации, что может привести к неумышленному раскрытию личности секретных агентов правительства, методов деятельности правоохранительных органов или готовящихся правительственных решений, то риск случайного или преднамеренного разглашения таких данных существенно снижается.

Как я рекомендовал ещё в 2012 году, правительствам, «думающим о развертывании облачных решений, следует ... требовать заключения соглашений, касающихся оказания услуг государственным органам, которые бы запрещали интеллектуальный анализ данных [и] ... настаивали на том, чтобы возможность использования средств интеллектуального анализа в отношении данных этих органов была технологически отключена». ISO 27018 в настоящее время открывает для государственных органов стандартизированный и прямолинейны путь сделать именно это, одновременно показывая, что, пусть и редко, но способные крепить национальную безопасность международные стандарты не являются мифом.

Брайан Каннингем (Bryan Cunningham)

Мой комментарий:
Я согласна с аргументацией американского специалиста, - но вместе с тем от его высказываний у меня остается ощущение того, что американские спецслужбы очень ревниво относятся к тому, что поставщики облачных вычислений могут составить им конкуренцию, занявшись массовой совместной обработкой данных с использованием тех же технологий, что применяют сегодня они сами (включая сюда столь воспеваемые многими технологии «больших данных») :)

Источник: сайт FederalTimes
http://www.federaltimes.com/story/government/solutions-ideas/2015/05/05/protecting-privacy-national-security/26935097/ 

Комментариев нет:

Отправить комментарий