Документы и данные в облаке: Проблемы этики и доверия, часть 3

(Окончание, предыдущую часть см. http://rusrim.blogspot.com/2018/05/2_30.html )

Исследователи из Североамериканской группы проекта InterPARES Trust изучили типовые контракты ряда основных поставщиков облачных услуг, проанализировав существующие договорные документы, которые могут называться по-разному - условия предоставления услуг (Terms of Service), соглашения о качестве обслуживания (Service Level Agreements, SLA), а также политики в отношении персональных данных, политики допустимого использования и условия обеспечения безопасности.

Контрольный лист для оценки контрактов с поставщиками облачных услуг - это инструмент, помогающий организациям проводить оценку типовых контрактов с точки зрения управления документами, а также готовить обзор имеющих отношение к облачным услугам вопросов управления документами, которые следует учесть в соглашении.

В ходе анализа типовых контрактных документов выяснилось, что содержание и условия контрактов были слабо стандартизованы. Контрактные документы «часто непонятны для большинства пользователей», и большая их часть содержат широкомасштабные отказы от ответственности в пользу поставщиков услуг. Большинство документов содержит положение, согласно которому условия оказания услуг могут меняться, часто без уведомления об этом клиента.

Выяснилось, что независимо от юрисдикции, сектора или отрасли, существуют общие риски для документов:

• Несанкционированный доступ может иметь место на стороне поставщика услуг или третьей стороны, привлеченной поставщиком в качестве субподрядчика;


• Клиенты могут не оповещаться о случаях утечки персональных данных;


• Потенциальная утрата доступа и/или контроля ведёт к правовым рискам;


• Отсутствие прозрачности при оказании услуг ставит под сомнение непрерывную последовательность ответственного хранения;


• Невозможность договориться об индивидуальных условиях оказания услуг приводит к рискам для документов и данных, и ставит под угрозу достижение деловых целей;


• Неопределенность с местоположением данных и документов может создать правовые проблемы;


• Неопределенность условий контракта также подвергает риску документы и их юридическую значимость.

Более того, специфические для документов проблемные вопросы с большой вероятностью не будут надлежащим образом отражены в условиях контракта. К ним относятся:

• Право собственности в отношении данных;


• Доступность, возможность извлечения и использования, когда в этом возникнет необходимость;


• Хранение данных и архивное обеспечение их долговременной сохранности;


• Сроки хранения данных и действия по их истечении;


• Безопасность, конфиденциальность, неприкосновенность частной жизни;


• Местоположение данных и их трансграничная передача;


• Окончание обслуживания и возврат документов по завершении контракта.

Исходя из выявленных во всех проанализированных ими контрактах проблем и многочисленных пробелов, исследователи подготовили ряд вопросов, сгруппировав их в следующие разделы:

• Общие вопросы, связанные с соглашением;


• Права собственности и использование данных;


• Доступность, извлечение и использование;


• Хранение и обеспечение сохранности данных;


• Отслеживание сроков хранения данных и выполнение установленных действий по их истечении;


• Безопасность, конфиденциальность и неприкосновенность частной жизни;


• Местоположение данных и их трансграничная передача;


• Окончание обслуживания; прекращение контракта.

Следующим инструментом, который я хочу представить, является контрольный лист, в котором основное внимание уделяется функциональным требованиям к отслеживанию в облаке сроков хранения и выполнению установленных действий по их истечении. Данный контрольный список стал результатом изучения следующего вопроса: как использование облачных сервисов влияет на отслеживание сроков хранения документов и выполнение установленных действий по их истечении в соответствии с требованиями законодательства и иных применимых руководств?

Исследователи провели опрос членов международной ассоциации специалистов по управлению документами ARMA International (следует иметь в виду, что подавляющее большинство членов ARMA – это граждане США и Канады – Н.Х.). Респонденты в основном работали в государственных органах, и большинство из них тем или иным образом использовало облачные вычисления. Они подтвердили существование в их организациях политик отслеживания сроков хранения, при этом половина сообщила, что эти политики применимы к документам в облаке, - однако почти 70% опрошенных считает, что положения и условия поставщика услуг не соответствуют их политикам, а по мнению 81% респондентов, надлежащие действия (в первую очередь уничтожение – Н.Х.) с облачным контентом по истечении сроков хранения либо не выполнялись, либо они об этом не знали.

Исследователи выявили внешние и внутренние препятствия для отслеживания сроков хранения и выполнения установленных действий по их истечении:

• Внешние факторы связаны с рисками неверного применения указаний по срокам хранения / перечней, либо с рисками, связанными с действиями политиков или иных агентов влияния вне организации или подразделения;


• Внутренние факторы показывают уровень зрелости знаний в организации об облачных вычислениях, что проявляется в культурных различиях между ИТ и специалистами в области управления документами и информацией; а также цели внедрения облачных вычислений и кто именно принимает решения; и общую нехватку знаний об облачных вычислениях

Как и в контрольном листе для оценки контрактов с поставщиками облачных услуг, вопросы в контрольном листе по отслеживанию сроков хранения сгруппированы по темам:

• Безопасность и неприкосновенность частной жизни;


• Разработка нормативных документов, устанавливающих сроки хранения и действия по их истечении, их применение к документам и исполнение указаний по срокам хранения;


• Документирование действий по уничтожению / передаче;


• Анализ действий по уничтожению / передаче;


• Системная интеграция.

Последний инструмент, который я хотела бы представить, - это базовое руководство по управлению документами, касающимися вовлечения граждан в инициативы «открытого правительства». Данное руководство, в частности, стремится повысить осведомлённость о взаимосвязи между управлением документами и инициативами вовлечения граждан в государственное управление; и предлагает подходы для решения проблемных вопросов управления документами, влияющих на взаимоотношения доверия между государствами и их гражданами.

В базовом руководстве рассматриваются проблемы и предлагаются стратегии на следующих уровнях:

• Разработка и внедрение политик;


• Стратегическое и оперативное управление;


• Люди и персонал;


• Стандарты и практики;


• Технологии;


• Ознакомление и общее понимание.

В документе описаны элементы плана управления документами, связанными с вовлечением граждан:

• Проведение анализа уже реализованных или внедряемых инициатив по вовлечению граждан;


• Выявление, с деловой точки зрения, связанных с документами проблем, которые способны повлиять на успех программы вовлечения граждан;


• Определите стратегий, позволяющих наилучшим образом решить эти проблемы;


• Выявление всех лиц и заинтересованных сторон, кого эти проблемы затрагивают либо интересуют;


• Обсуждение проблем с соответствующими лицами;


• Подготовка плана, который затем предполагается утвердить.

В заключение отмечу, что в рамках концепции ответственности и доверия мы в состоянии решать относящиеся к документам вопросы, включая этические проблемы, связанные с документами в облачной среде. В рамках проекта InterPARES Trust были разработаны три описанных выше инструмента, а также целый ряд других, которые в совокупности охватывают все документо-ориентированные аспекты облачных вычислений. На слайде приведен более подробный список разработанных документов, и их все можно найти на веб-сайте проекта InterPARES Trust, на странице, посвященной распространению результатов (см. https://interparestrust.org/trust/research_dissemination ). Пожалуйста, познакомьтесь с ними и используйте те, которые подходят в Ваших условиях.

Спасибо за внимание!

Коринн Роджерс (Corinne Rogers)

Литература:

Branscombe, Mary “Stop Saying the Cloud Is Just Someone Else’s Computer - Because It’s Not”, ZDNet, July 12, 2016, http://www.zdnet.com/article/stop-saying-the-cloud-is-just-someone-elses-computer-because-its-not/

Bushey, Jessica, Marie Demoulin, Elissa How, and Robert McLelland, 2015, “Trust in Cloud Service Provider Contracts, Final Report”, InterPARES Trust.

Bushey, Jessica, Marie Demoulin, Elissa How, and Robert McLelland, 2016, “Checklist for Cloud Service Contracts”, InterPARES Trust, https://interparestrust.org/trust/research_dissemination

Mahowald, Robert, Randy Perry, Brad Casemore, and Ben McGrath, 2016, “Cloud Going Mainstream: All Are Trying, Some Are Benefiting; Few Are Maximizing Value”n White Paper. IDC. www.idc.com

Mell, Peter, and Timothy Grance. 2011, “The NIST Definition of Cloud Computing”, NIST Special Publication 800-145, Gaithersburg, MD: National Institute or Standards and Technology, https://doi.org/10.6028/NIST.SP.800-145

Hurley, Grant, Valerie Léveillé, John McDonald, 2016, “Managing Records of Citizen Engagement Initiatives: A Primer”, InterPARES Trust, https://interparestrust.org/trust/research_dissemination

Franks, Patricia, 2015, “Retention and Disposition in a Cloud Environment - Functional Requirements”, InterPARES Trust, https://interparestrust.org/trust/research_dissemination