Debesų kompiuterija atnešė naujų vėjų, o populiarėjant šiai technologijai kyla įvairių abejonių bei klausimų ir dažnai tai yra susiję su informacijos saugumu. Ne kartą jau esame rašę apie duomenų saugumą „debesyje“. Šį kartą aptarsime valstybės informacinių sistemų saugos reglamentavimo, asmens duomenų apsaugos klausimus bei ką reikėtų padaryti, kad būtų užtikrintas atitikimas informacijos saugos reikalavimams.
Debesų kompiuterija atnešė naujų vėjų, o populiarėjant šiai technologijai kyla įvairių abejonių bei klausimų ir dažnai tai yra susiję su informacijos saugumu. Ne kartą jau esame rašę apie duomenų saugumą „debesyje“. Šį kartą aptarsime valstybės informacinių sistemų saugos reglamentavimo, asmens duomenų apsaugos klausimus bei ką reikėtų padaryti, kad būtų užtikrintas atitikimas informacijos saugos reikalavimams.
Šiame straipsnyje kalbant apie „valstybės informacines sistemas“ mintyje turimos ne tik valstybės institucijoms ar įstaigoms teisės aktų nustatytoms funkcijoms atlikti naudojamos informacinės sistemos, bet ir kitos informacinės sistemos, finansuojamos iš valstybės biudžeto, kadangi visoms joms yra taikomi bendrieji saugos reikalavimai. Priklausomai nuo informacinės sistemos svarbos, jos yra skirstomos į kelias kategorijas, svarbesnėms informacinėms sistemoms nustatant didesnius saugos reikalavimus.
Valstybės informacinių sistemų informacijos saugos reglamentavimas
Ketinant perkelti valstybės informacinių sistemų duomenų tvarkymo funkcijas į paslaugų teikėjo duomenų centrą reikia užtikrinti tinkamą informacijos apsaugą ne tik praktiškai (tinkamos infrastruktūros konfigūracijos, šifravimas ir pan.), bet ir „teoriškai“, t. y. įvykdyti teisės aktuose numatytus reikalavimus. Informacijos saugą valstybės informacinėse sistemose reglamentuojantys pagrindiniai teisės aktai yra šie:
- Valstybės informacinių išteklių valdymo įstatymas.
- LR Vyriausybės nutarimu patvirtinti „Bendrieji elektroninės informacijos saugos valstybės institucijų ir įstaigų informacinėse sistemose reikalavimai“.
- LR Vidaus reikalų ministro įsakymu patvirtinti „Valstybės institucijų ir įstaigų informacinių sistemų elektroninės informacijos techniniai saugos reikalavimai“.
- Greta aukščiau paminėtų pagrindinių dokumentų dar yra valstybės informacinių sistemų steigimo ir įteisinimo taisyklės, klasifikavimo gairės ir kiti.
Praėjusių metų gruodį patvirtintame Valstybės informacinių išteklių valdymo įstatyme, 41 straipsnyje, apibrėžtas techninės ir programinės įrangos priežiūros ir duomenų, informacijos, dokumentų ir (arba) jų kopijų tvarkymo funkcijų perdavimas teikėjams. Šiuo įstatymo straipsniu buvo įtvirtintas leidimas valstybės institucijoms ar įstaigoms naudotis duomenų centrų teikėjų paslaugomis tvarkant valstybės informacinių sistemų duomenis.
Asmens duomenų apsaugos reglamentavimas
Asmens duomenų apsaugą reglamentuojantys pagrindiniai teisės aktai yra šie:
- Asmens duomenų teisinės apsaugos įstatymas.
- Valstybinės duomenų apsaugos inspekcijos direktoriaus įsakymas „Dėl bendrųjų reikalavimų organizacinėms ir techninėms duomenų saugumo priemonėms patvirtinimo“.
Taip pat apie asmens duomenų apsaugą papildomai kalbama Elektroninių ryšių įstatyme ir kituose teisės aktuose.
Reglamentavimo pokyčiai
Saugą reglamentuojantys dokumentai yra tobulinami ir periodiškai koreguojami pagal šių dienų realijas. Į tai reikia atsižvelgti ir sekti pokyčius bei atitinkamai koreguoti valstybės institucijų ar įstaigų informacinių sistemų saugos organizavimą ir aprašančius dokumentus. Šio straipsnio sukūrimo metu jau yra parengtas ir svarstomas nutarimo projektas „Dėl Bendrųjų elektroninės informacijos saugos reikalavimų, Saugos dokumentų turinio gairių, Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų klasifikavimo gairių ir Valstybės informacinių sistemų, registrų ir kitų informacinių sistemų elektroninės informacijos techninių saugos reikalavimų patvirtinimo“, kuriuo bus atnaujinti saugos reikalavimai valstybės informacinėms sistemoms. Taip pat numatomi nauji dokumentai, išplėsiantys saugos reglamentavimą – Elektroninių ryšių tinklo saugumo reikalavimų aprašas bei Informacijos, sudarančios informacinius išteklius, svarbos įvertinimo tvarka.
Kas tas „duomenų tvarkymas“?
„Perkelti informacinę sistemą į paslaugų teikėjų duomenų centrą“ pagal teisės aktus yra valstybės informacinių sistemų duomenų tvarkymo funkcijų perdavimas paslaugų teikėjui. Pagal Valstybės informacinių išteklių valdymo įstatymą duomenų tvarkymas yra apibrėžtas kaip „Informacijos, duomenų, dokumentų ir (arba) jų kopijų tvarkymas – bet kurie su informacija, duomenimis, dokumentais ir (arba) jų kopijomis atliekami veiksmai: rinkimas, įrašymas, kaupimas, laikymas, saugojimas, klasifikavimas, grupavimas, jungimas, keitimas (pildymas ar taisymas), teikimas, skelbimas, loginės ir kitos operacijos, paieška, naikinimas ir (arba) kiti veiksmai.“
Perkėlus informacinę sistemą į paslaugų teikėjų duomenų centrą – pavyzdžiui, pasinaudojant teikėjo duomenų centru kaip IT infrastruktūra (IaaS paslaugos) – debesų kompiuterijos paslaugų teikėjui tektų maža dalis duomenų tvarkymo funkcijų – tokios kaip laikymas, saugojimas ir naikinimas. Kitos funkcijos ir toliau lieka pas paslaugų užsakovą (informacinės sistemos valdytoją/tvarkytoją).
Reikalavimai duomenų saugumui
Informacinės sistemos valdytojas raštu nustato, kaip turi būti užtikrinama duomenų apsauga, atsižvelgiant į teisės aktuose nustatytus reikalavimus.
Minėtuose teisės aktuose yra nurodytas visas sąrašas reikalavimų duomenų saugai. Visi iš jų pagal atitinkamą informacinės kategoriją yra taikomi atitinkamo informacinės sistemos valdytojui ir tvarkytojui. Iš viso reikalavimų sąrašo, taikytino konkrečiai informacinei sistemai, dalis reikalavimų būtų taikomi ir paslaugų teikėjui, kurio teikiamomis duomenų centro paslaugomis naudojasi informacinės sistemos valdytojas ir/ar tvarkytojas. Pavyzdžiui, „pagrindinė informacinės sistemos kompiuterinė įranga turi turėti įtampos filtrą ir rezervinį maitinimo šaltinį...“
Atkreipiame dėmesį, kad tam tikrus saugos reikalavimus teikėjo paslaugos gali padėti atitikti mažesnėmis sąnaudomis, pavyzdžiui, „programinės įrangos testavimas turi būti atliekamas naudojant atskirą tam skirtą testavimo aplinką“.
Rekomenduotina paslaugų užsakovui kartu su tiekėju peržiūrėti visą taikytinų reikalavimų sąrašą ir aptarti, kaip bus užtikrinamas atitikimas kiekvienam iš reikalavimų.
Sutarties su paslaugų teikėju svarba
Tiek teisės aktuose, tiek praktiniuose teisininkų rekomendacijose yra pabrėžiama sutarties tarp paslaugų užsakovo ir teikėjo svarba.
Teisės aktai nurodo, kas privalomai turi būti aptarta sutartyje, pavyzdžiui:
- institucijos valdomos informacijos sauga ir konfidencialumas;
- šalių atsakomybė;
- nenumatytų atvejų nagrinėjimas;
- teisės aktai ir standartai, kuriais vadovaujamasi tvarkant asmens duomenis;
- baigtinis tvarkomų asmens duomenų sąrašas kiekvienu asmens duomenų tvarkymo tikslu ir pan.
Teisės specialistai pateikia eilę praktinių patarimų, į kuriuos reikėtų atsižvelgti sudarant sutartį, pavyzdžiui:
- sudaryti sąlygas užsakovo atstovams audituoti teikėjo veiklą, susijusią su paslaugų teikimu;
- užsitikrinti lanksčias sutarties nutraukimo galimybes;
- numatyti kas bus teikėjo bankroto atveju, kas perims teises ir pan.
- numatyti kas bus pasibaigus sutarčiai, kokie pereinamieji laikotarpiai;
- numatyti kaip bus reaguojama į incidentus ir pan.
Tinkamai sudaryta sutartis įgalintų informacinės sistemos valdytojui ir/ar tvarkytojui užsitikrinti atitikimą teisės aktų reikalavimams, leistų išvengti nesusipratimų naudojantis paslaugomis, sklandų sutarties vykdymą ir užbaigimą.
Atkreiptinas dėmesys į tai, kad Lietuvos debesų kompiuterijos paslaugų teikėjai turi privalumą prieš užsienio konkurentus, mat, jeigu duomenų tvarkymas atitektų Lietuvos įmonei ir duomenys būtų tvarkomi mūsų šalyje, tai paslaugų teikėjui ir užsakovui galiotų tie patys saugą reglamentuojantys Lietuvos teisės aktai. Dėl šios priežasties tiek susitarimas dėl reikalavimų taikymo, tiek ginčų sprendimas yra daug paprastesnis nei tarptautinių susitarimų atveju.
Ką reikėtų padaryti siekiant perkelti valstybės informacinių sistemų duomenų tvarkymo funkcijas į paslaugų teikėjo duomenų centrą?
Valstybėms institucijoms ar įstaigoms, siekiant perkelti valstybės informacinių sistemų duomenų tvarkymo funkcijas į paslaugų teikėjo duomenų centrą, reikėtų atlikti šiuos pagrindinius veiksmus (sąrašas parengtas pagal teisės aktų reikalavimus ir kontroliuojančių institucijų rekomendacijas):
- parengti duomenų tvarkymo funkcijų perkėlimo tvarką aprašantį dokumentą;
- parengti tinkamą paslaugų sutartį;
- pakoreguoti turimus informacinės sistemos įteisinimo bei saugos dokumentus (nuostatai, saugaus elektroninės informacijos tvarkymo taisyklės, informacinės sistemos veiklos tęstinumo valdymo planas, informacinės sistemos naudotojų administravimo taisyklės), atspindint pokytį atsiradus papildomam duomenų tvarkytojui;
- jeigu tvarkomi asmens duomenys - informuoti Valstybinę duomenų apsaugos inspekciją apie papildomo asmens duomenų tvarkytojo paskyrimą.
Vėliau, naudojantis teikėjo paslaugomis, turėtų būti organizuojami periodiniai saugos reikalavimų atitikimo patikrinimai (atliekama rizikos analizė ar informacinės sistemos saugos atitikties vertinimas).
Pabaigai
Valstybės informacinių sistemų saugos reglamentavimas suteikia galimybes naudotis debesų kompiuterijos privalumais ir tinkamai tam pasirengus valstybės institucijos ar įstaigos gali pakankamai saugiai, tiek praktiškai tiek formaliai, naudotis paslaugų teikėjų paslaugomis.
