Datu glabāšana mākonī Latvijas valsts iestādēm

2013. gada 24. janvāris

Juris Šmits, DPA Infrastruktūras risinājumu grupas vadītājs

Saturs

1. Mākoņdatošanas pakalpojumu izmantošanas juridiskie riski

2. Informācijas aprites un aizsardzības prasības

3. Eiropas komisijas aktivitātes

4. Office 365

Mākoņdatošanas pakalpojumu juridiskie riski*

Datu fiziskā atrašanās vieta (jurisdikcija)

Valsts varas iestāžu darbība

Datu drošības riski

Licences

© European Network and Information Security Agency (ENISA), 2009 «Benefits, risks and recommendations for information security»

Informācijas aprites un aizsardzības prasības

Informācijas klasifikācijas grupas

Vispārpieejama informācijaMK 171 nosaka prasības vispārpieejamai informācijai – iestādes mājas lapas drošībai

Ierobežotas pieejamības informācija:Iestādes iekšējās lietošanas informācija

Informācija par fiziskās personas privāto dzīvi

Informācija dienesta vajadzībām

Komercnoslēpums

Informācija, kurai šāds statuss noteikts ar likumu

Informācija, kas attiecas uz atestācijas, eksāmenu, iesniegto projektu un citu līdzīga rakstura novērtējuma procesiem

Ziemeļatlantijas līguma organizācijas vai ES informācija, kura apzīmēta attiecīgi kā "NATO UNCLASSIFIED" vai "LIMITE".

* Informācijas atklātības likums

Iekšējas lietošanas informācija

Informācija, kas nepieciešama, sagatavojoties lietu kārtošanai

Iestādei jānodrošina informācijas aizsardzība, bet likumā nav noteiktas specifiskas prasības

* Informācijas atklātības likums

Informācija dienesta vajadzībām

Darbu ar informāciju dienesta vajadzībām atļauts veikt, izmantojot atsevišķus datorus, kā arī datorus, kuri ir pievienoti datoru tīklam, kas ir aizsargāts pret nepiederošu personu piekļūšanu

Informāciju dienesta vajadzībām ārvalstīs var glabāt tikai specifiskās telpās – LR diplomātiskajās, konsulārajās telpās, u.c. glabātavās, kurās var nodrošināt fizisko aizsardzību.

*Ministru kabineta noteikumi nr 280 «Kārtība, kādā aizsargājama informācija dienesta vajadzībām»

Informācija par fiziskas personas privāto dzīvi

Personas datus var nodot citai valstij, kas nav ES vai Eiropas Ekonomikas zonas dalībvalsts, ja tiek nodrošināta līdzvērtīga aizsardzība

Datu valsts inspekcija - atbildīgā iestāde Latvijā

2012.gadā DVI mājas lapā publicēts saraksts ar valstīm, kuras nodrošina tādu aizsardzības pakāpi, kas atbilst Latvijas spēkā esošai datu aizsardzības pakāpei

* Fizisko personu datu aizsardzības likums, MK 40 noteikumi «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības»

Citi LR normatīvie akti

Valsts pārvaldes iekārtas likums

Valsts informācijas sistēmu likums & MK 764, 765

Komerclikums

Likums par grāmatvedību

Publisko iepirkumu likums

Elektronisko dokumentu likums

Normatīvie akti, kas reglamentē IT drošību

Informācijas tehnoloģiju drošības likums (http://www.likumi.lv/doc.php?id=220962)

Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas un drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=212031)

MK Nr. 100, Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=225776)

Informācijas aprites un aizsardzības prasības - kopsavilkums

LR normatīvie akti ar atsevišķiem izņēmumiem neliedz informācijas apriti mākonī ārpus Latvijas teritorijas

Izņēmumi:

Informācijai dienesta vajadzībām, kritiskai infrastruktūrai noteiktas drošības prasības, kuras nevar realizēt mākonī ārpus LR teritorijas

Dažos likumos var būt noteikti izņēmumi, piem. Likumā par grāmatvedību

Fizisko personu datiem noteiktas specifiskas prasības, bet ir iespējams nodrošināt atbilstību LR normatīvajiem aktiem

Latvijā šobrīd nav izstrādātas vadlīnijas, rekomendācijas mākoņdatošanas pakalpojuma izmantošanai valsts pārvaldē

Eiropas komisijas aktivitātes

ES prasības

Personas datu apstrādes direktīva 95/46/EU

Pamatprincips – personas datu nedrīkst sūtīt uz valstīm ārpus ES, ja personas datiem netiek nodrošināts līdzvērtīgs aizsardzības līmenis.

Izstrādātas prasības, kuras izpildot drīkst datu apriti veikt ārpus ES:

Corporate binding rules

EU Model Contract Clauses

Safe Harbour Agremeent

«Mākoņdatošanas potenciāla atraisīšana Eiropā»

Mērķis - paātrināt un veicināt mākoņdatošanas izmantošanu

Stratēģijā aprakstās aktivitātes:

Standarti un sertifikācija

Taisnīgi un droši līgumu nosacījumi

Veicināt mākoņdatošanas pakalpojumu izmantošanu publiskā sektorā

Ja ES nerīkosies, paliksim iestrēguši savos nacionālajos cietokšņos un palaidīsim garām miljardos mērāmu ekonomisko ieguvumu.

Neelie Kroes, Eiropas Komisijas priekšsēdētāja vietniece

EK aktivitātes - kopsavilkums

ES direktīvas neliedz informācijas apriti ES teritorijā;

Personas datu direktīva nosaka prasības datu apritei ārpus ES, bet prasības iespējams realizēt

Eiropas komisija atbalsta mākoņdatošanu, strādā pie attīstības arī ārpus ES

Office 365

Office 365 priekšrocības

Neatkarīgi pārbaudīts un sertificēts atbilstoši ISO 27001 «Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības»

Izpilda Personas datu apstrādes direktīvas prasības

Microsoft ir iekļauts ASV Tirdzniecības ministrijas «drošības zonas» sarakstā (http://export.gov/safeharbor/),

Paldies!