W celu świadczenia usług na najwyższym poziomie stosujemy pliki cookies. Korzystanie z naszej witryny oznacza, że będą one zamieszczane w Państwa urządzeniu. W każdym momencie można dokonać zmiany ustawień Państwa przeglądarki. Zobacz politykę cookies.

POPC Wsparcie

Powrót

Czy mogę przetwarzać w chmurze publicznej informacje niejawne?

Przetwarzanie informacji niejawnych w systemach teleinformatycznych wymaga spełnienia specjalnych warunków (zgodnie z ustawą o ochronie informacji niejawnych). W praktyce oznacza to, że przetwarzanie informacji niejawnych w chmurze publicznej może być poważnie utrudnione, jeśli w ogóle możliwe.

Systemy teleinformatyczne, które przetwarzają informacje niejawne – muszą mieć akredytację udzielaną, jeśli informacje są oznaczone klauzulą „zastrzeżone”, przez kierownika jednostki. Informacje niejawne z klauzulą „poufne” lub wyższą – muszą mieć akredytację Agencji Bezpieczeństwa Wewnętrznego lub Służby Kontrwywiadu Wojskowego.

Tymczasem wykorzystanie rozwiązań chmury publicznej powoduje wiele problemów, które mogą ograniczać możliwość przetwarzania informacji niejawnych. Dotyczy to m.in.:

  • kontroli nad infrastrukturą – większość dostawców rozwiązań chmurowych dysponuje rozproszoną infrastrukturą, a zarządzanie nią pozostaje całkowicie w gestii dostawcy. Usługobiorcy natomiast najczęściej nie mają możliwości analizy sposobu funkcjonowania infrastruktury, faktycznej lokalizacji zasobów czy ich fizycznych zabezpieczeń
  • architektury i mechanizmów działania chmury publicznej – korzystający z chmury nie mają dostępu do informacji o stosowanych formach zabezpieczeń informatycznych, technikach szyfrowania, mechanizmach rozpoznawania oraz usuwania błędów czy incydentów
  • modyfikowania i rozwijania oprogramowania budującego chmurę – usługobiorca rozwiązań chmurowych może korzystać z oprogramowania, ale nie ma wpływu na jego zmianę czy rozwój, a tym samym może tylko w ograniczony sposób reagować na ryzyka, które występują, gdy oprogramowanie jest modyfikowane
  • usuwania danych – o ile postanowienia umowne to przewidują, usługobiorca może żądać od dostawcy usług, by usunął informacje z zasobów w chmurze, jednak w praktyce kontrolowanie procesu usuwania tych informacji oraz śladów po nich jest ograniczone
  • testów i audytów – możliwość przeprowadzania testów i audytów najczęściej ogranicza się do funkcjonalności, które oferuje usługobiorca poprzez udostępniany przez niego interfejs. Nie ma możliwości audytowania i testowania oprogramowania dostawcy, które jest podstawą rozwiązań chmurowych.

 

Autor: Szymon Sankiewicz

 

Artykuły powiązane:

Materiały

Budowa prywatnej chmury administracji publicznej
Standard API dla udostępniania danych

Podstawa prawna

Opinia prawna w przedmiocie dopuszczalności używania w jednostkach administracji publicznej rozwiązania chmurowego w modelu SaaS wspierającego komunikację wewnętrzną i zarządzanie dokumentami w zakresie prac wewnętrznych i projektów ministerstwa, opracowana przez kancelarię Maruta Wachta sp. j.

Ustawa z dnia 5 sierpnia 2010 r. o ochronie informacji niejawnych 

{"register":{"columns":[{"header":"Pozycja","value":"132","registerId":20735334,"dictionaryValues":[],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"},{"header":"Obszar publikacji","value":"","registerId":20735334,"dictionaryValues":[{"id":"aspekty techniczne/technologie IT","value":"aspekty techniczne/technologie IT"},{"id":"rozwiązania IT","value":"rozwiązania IT"}],"nestedValues":[],"showInContent":false,"positionSelector":".article-area__article h2","insertMethod":"after"}]}}