- •Оглавление
- •Введение
- •История и ключевые факторы развития
- •Определение облачных вычислений
- •Модели облачных служб
- •Модели развёртывания
- •Основные свойства
- •Достоинства и недостатки облачных вычислений
- •Референтная архитектура
- •Соглашение об уровне сервиса
- •Методы и средства защиты в облачных вычислениях
- •Безопасность облачных моделей
- •Аудит безопасности
- •Расследование инцидентов и криминалистика в облачных вычислениях
- •Модель угроз
- •Юридическая база
- •Взаимоотношения между сторонами
- •1. Сохранность хранимых данных. Как сервис-провайдер обеспечивает сохранность хранимых данных?
- •2. Защита данных при передаче. Как провадйер обеспечивает сохранность данных при их передаче (внутри облака и на пути от/к облаку)?
- •3. Аутентификация. Как провайдер узнает подлинность клиента?
- •4. Изоляция пользователей. Каким образом данные и приложения одного клиента отделены от данных и приложений других клиентов?
- •5. Нормативно-правовые вопросы. Насколько провайдер следует законам и правилам, применимым к сфере облачных вычислений?
- •6. Реакция на происшествия. Как провайдер реагирует на происшествия, и насколько могут быть вовлечены его клиенты в инцидент?
- •Международные и отечественные стандарты
- •Территориальная принадлежность данных
- •Государственные стандарты
- •Средства обеспечения защиты в облачных технологиях.
- •Практическая часть
- •Литература
Юридическая база
По заявлениям экспертов 70% проблем с безопасностью в облаке можно избежать, если грамотно составить договор о предоставлении услуг.
Базой для такого договора может послужить «Билль о правах облака»
"Билль о правах облака" был разработан еще в 2008 г. Джеймсом Уркухартом (James Urquhart). Этот материал он опубликовал в своем блоге, который вызвал столько интереса и споров, что автор периодически обновляет свой «манускрипт» в соответствие с реалиями.
Статья 1 (частично): Клиенты владеют своими данными
Ни один производитель (или поставщик) не должен в процессе взаимодействия с клиентами любого плана обсуждать права на любые данные, загруженные, созданные, сгенерированные, модифицированные или любые другие, права на которые имеет клиент.
Производители должны изначально обеспечивать минимальную возможность доступа к данным клиентов еще на стадии разработки решений и сервисов.
Клиенты владеют своими данными, что означает, что они отвечают за то, что данные эти соответствуют законодательным нормам и законам.
Поскольку вопросы соответствия регуляторным нормам по использованию данных, обеспечению безопасности и соблюдению безопасности являются очень важными, необходимо, чтобы клиент определял географическое месторасположение своих собственных данных. В противном случае, производители должны предоставить пользователям все гарантии, что их данные будут храниться в соответствии со всеми нормами и правилами.
Статья 2: Производители и Клиенты совместно владеют и управляют уровнями сервиса в системе
Производители владеют, а также должны делать все для того, чтобы соответствовать уровню сервиса для каждого клиента в отдельности. Все необходимые ресурсы и усилия, приложенные для достижения должного уровня сервиса в работе с клиентами, должны быть бесплатны для клиента, то есть не входить в стоимость сервиса.
Клиенты, в свою очередь отвечают за и владеют уровнем сервиса, предоставляемого их собственным внутренним и внешним клиентам. При использовании решений производителя для предоставления собственных сервисов – ответственность клиента и уровень такого сервиса не должен целиком зависеть от производителя.
В случае необходимости интеграции систем производителя и клиента, производители должны предлагать клиентам возможности мониторинга процесса интеграции. В случае, если у клиента существуют корпоративные стандарты по интеграции информационных систем, производитель должен соответствовать этим стандартам.
Ни при каких условиях производители не должны закрывать учетные записи клиентов за политические высказывания, некорректную речь, религиозные комментарии, если это не противоречит специфическим законодательным нормам, не является выражением ненависти и т.п.
Статья 3: Производители владеют своими интерфейсами
Производители не обязаны предоставлять стандартные интерфейсы или интерфейсы с открытым кодом, если обратное не прописано в соглашениях с клиентом. Правами на интерфейсы обладают производители. В случае, если производитель не считает возможным предоставить клиенту возможности по доработке интерфейса на привычном языке программирования, клиент может приобрести у производителя либо сторонних разработчиков услуги по доработке интерфейсов в соответствии с собственными требованиями.
Клиент, однако, обладает правом использовать приобретенный сервис в собственных целях, а также расширять его возможности, реплицировать и улучшать. Данный пункт не освобождает клиентов от ответственности патентного права и права на интеллектуальную собственность.
Приведенные выше три статьи – основа основ для клиентов и производителей «в облаке». С их полным текстом вы можете ознакомиться в открытом доступе в сети Интернет. Конечно, данный билль не является законченным юридическим документом, а уж тем более официальным. Статьи его могут меняться и расширяться в любое время, равно как и билль может дополняться новыми статьями. Это попытка формализовать «право собственности» в облаке, чтобы хоть как-то стандартизировать эту свободолюбивую область знаний и технологий.