Datu glabasana makoni office 365 ea seminar 24.01.2013 juris_smits
description
Transcript of Datu glabasana makoni office 365 ea seminar 24.01.2013 juris_smits
Datu glabāšana mākonī Latvijas valsts iestādēm
2013. gada 24. janvāris
Juris Šmits, DPA Infrastruktūras risinājumu grupas vadītājs
Saturs
1. Mākoņdatošanas pakalpojumu izmantošanas juridiskie riski
2. Informācijas aprites un aizsardzības prasības
3. Eiropas komisijas aktivitātes
4. Office 365
Mākoņdatošanas pakalpojumu juridiskie riski*
Datu fiziskā atrašanās vieta (jurisdikcija)
Valsts varas iestāžu darbība
Datu drošības riski
Licences
© European Network and Information Security Agency (ENISA), 2009 «Benefits, risks and recommendations for information security»
Informācijas aprites un aizsardzības prasības
Informācijas klasifikācijas grupas
Vispārpieejama informācijaMK 171 nosaka prasības vispārpieejamai informācijai – iestādes mājas lapas drošībai
Ierobežotas pieejamības informācija:Iestādes iekšējās lietošanas informācija
Informācija par fiziskās personas privāto dzīvi
Informācija dienesta vajadzībām
Komercnoslēpums
Informācija, kurai šāds statuss noteikts ar likumu
Informācija, kas attiecas uz atestācijas, eksāmenu, iesniegto projektu un citu līdzīga rakstura novērtējuma procesiem
Ziemeļatlantijas līguma organizācijas vai ES informācija, kura apzīmēta attiecīgi kā "NATO UNCLASSIFIED" vai "LIMITE".
* Informācijas atklātības likums
Iekšējas lietošanas informācija
Informācija, kas nepieciešama, sagatavojoties lietu kārtošanai
Iestādei jānodrošina informācijas aizsardzība, bet likumā nav noteiktas specifiskas prasības
* Informācijas atklātības likums
Informācija dienesta vajadzībām
Darbu ar informāciju dienesta vajadzībām atļauts veikt, izmantojot atsevišķus datorus, kā arī datorus, kuri ir pievienoti datoru tīklam, kas ir aizsargāts pret nepiederošu personu piekļūšanu
Informāciju dienesta vajadzībām ārvalstīs var glabāt tikai specifiskās telpās – LR diplomātiskajās, konsulārajās telpās, u.c. glabātavās, kurās var nodrošināt fizisko aizsardzību.
*Ministru kabineta noteikumi nr 280 «Kārtība, kādā aizsargājama informācija dienesta vajadzībām»
Informācija par fiziskas personas privāto dzīvi
Personas datus var nodot citai valstij, kas nav ES vai Eiropas Ekonomikas zonas dalībvalsts, ja tiek nodrošināta līdzvērtīga aizsardzība
Datu valsts inspekcija - atbildīgā iestāde Latvijā
2012.gadā DVI mājas lapā publicēts saraksts ar valstīm, kuras nodrošina tādu aizsardzības pakāpi, kas atbilst Latvijas spēkā esošai datu aizsardzības pakāpei
* Fizisko personu datu aizsardzības likums, MK 40 noteikumi «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības»
Citi LR normatīvie akti
Valsts pārvaldes iekārtas likums
Valsts informācijas sistēmu likums & MK 764, 765
Komerclikums
Likums par grāmatvedību
Publisko iepirkumu likums
Elektronisko dokumentu likums
Normatīvie akti, kas reglamentē IT drošību
Informācijas tehnoloģiju drošības likums (http://www.likumi.lv/doc.php?id=220962)
Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas un drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=212031)
MK Nr. 100, Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=225776)
Informācijas aprites un aizsardzības prasības - kopsavilkums
LR normatīvie akti ar atsevišķiem izņēmumiem neliedz informācijas apriti mākonī ārpus Latvijas teritorijas
Izņēmumi:
Informācijai dienesta vajadzībām, kritiskai infrastruktūrai noteiktas drošības prasības, kuras nevar realizēt mākonī ārpus LR teritorijas
Dažos likumos var būt noteikti izņēmumi, piem. Likumā par grāmatvedību
Fizisko personu datiem noteiktas specifiskas prasības, bet ir iespējams nodrošināt atbilstību LR normatīvajiem aktiem
Latvijā šobrīd nav izstrādātas vadlīnijas, rekomendācijas mākoņdatošanas pakalpojuma izmantošanai valsts pārvaldē
Eiropas komisijas aktivitātes
ES prasības
Personas datu apstrādes direktīva 95/46/EU
Pamatprincips – personas datu nedrīkst sūtīt uz valstīm ārpus ES, ja personas datiem netiek nodrošināts līdzvērtīgs aizsardzības līmenis.
Izstrādātas prasības, kuras izpildot drīkst datu apriti veikt ārpus ES:
Corporate binding rules
EU Model Contract Clauses
Safe Harbour Agremeent
«Mākoņdatošanas potenciāla atraisīšana Eiropā»
Mērķis - paātrināt un veicināt mākoņdatošanas izmantošanu
Stratēģijā aprakstās aktivitātes:
Standarti un sertifikācija
Taisnīgi un droši līgumu nosacījumi
Veicināt mākoņdatošanas pakalpojumu izmantošanu publiskā sektorā
Ja ES nerīkosies, paliksim iestrēguši savos nacionālajos cietokšņos un palaidīsim garām miljardos mērāmu ekonomisko ieguvumu.
Neelie Kroes, Eiropas Komisijas priekšsēdētāja vietniece
EK aktivitātes - kopsavilkums
ES direktīvas neliedz informācijas apriti ES teritorijā;
Personas datu direktīva nosaka prasības datu apritei ārpus ES, bet prasības iespējams realizēt
Eiropas komisija atbalsta mākoņdatošanu, strādā pie attīstības arī ārpus ES
Office 365
Office 365 priekšrocības
Neatkarīgi pārbaudīts un sertificēts atbilstoši ISO 27001 «Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības»
Izpilda Personas datu apstrādes direktīvas prasības
Microsoft ir iekļauts ASV Tirdzniecības ministrijas «drošības zonas» sarakstā (http://export.gov/safeharbor/),
Paldies!