Наталья Храмцовская: основные риски «облачной» стратегии

18.04.2012

По словам к.и.н., ведущего эксперта по управлению документацией ЭОС, члена «Гильдии Управляющих Документацией» и ARMA International Натальи Храмцовской, сложность перехода в «облака» пока явно недооценивается. Главной проблемой здесь становится обеспечение информационной безопасности, при этом, государственные органы сегодня готовы использовать только частные облака (ФСО в принципе против публичных «облаков»). Но главная проблема – это полное отсутствие методологической поддержки таких решений (никакой конкретной информации ни заказчикам ни самим провайдерам просто пока не представляется), идет просто односторонняя реклама. В своем докладе на прошедшей недавно партнерской конференции ЭОС «Весенний документооборот-2012» г-жа Храмцовская предложила разобраться со всеми «подводными камнями», с которыми может столкнуться организация при переходе к «облачной» стратегии.

Госструктуры

Наиболее полно, преимущества такого подхода проявляются в условиях публичного облака, куда ФСО и «Росархив» государственным учреждениям направляться не рекомендуют. Им рекомендуется создавать частные облака, когда все данные находятся под полным контролем государственной структуры, что значительно снижает эффективность и общий экономический эффект. Кроме того, с моей точки зрения, более всего от внедрения облачных вычислений выиграют слабые в информационном плане организации. В то время как для продвинутых организаций, к примеру, федеральной налоговой службы с пятью собственными ЦОД и уникальным обеспечением с точки зрения нормативной, техники и ПО, такой переход на «облака» будет менее выгодным (если не убыточным в случае приказного порядка).

 

К.и.н., ведущий эксперт по управлению документацией ЭОС Наталья Храмцовская

К.и.н., ведущий эксперт по управлению документацией ЭОС Наталья Храмцовская

Риски

Какие основные риски необходимо учитывать государственным структурам и коммерческим организациям при переходе в «облако»? Первое, - это попадание в зависимость от поставщика услуг. Второе – утрата контроля над информацией и проблема исполнения требований законодательства, которое существует в настоящее время в отношении управления документами. В-третьих, есть существенные риски, что вычислительные центры, где будет располагаться эта информация, будут в рамках юрисдикции другого государства со всеми вытекающими отсюда последствиями. Кроме того, существует также проблема надежного разделения ресурсов между пользователями «облака», - вы не можете контролировать, кому поступает информация и как он с ней работает. Соответственно, вы полагаетесь и на систему обеспечения безопасности поставщика, а это не всегда бывает правильно. При этом, очень много вопросов возникает в случае выемки документов какой-то одной организации по решению суда, - ведь не редки случаи изымания целого сервера с документами всех находящихся там организаций. Поэтому, возникают как проблема защиты персональных данных так и вопросы управления сетью.

 

 

Критерии выбора хостера

На какие вопросы нам, прежде всего, необходимо давать ответы, если мы принимаем решение перехода в «облако»? Первое – это решить принципиальный вопрос, какая информация туда пойдет, будет там храниться и будет доступной через это «облако». Ведь в этом облаке могут храниться документы ограниченного доступа, прежде всего, - персональные данные, документы с коммерческой тайной и т.д. Соответственно, далее необходимо ответить на вопрос, как будут обеспечиваться та или иная тайна в «облаке». Третий вопрос - отслеживание сроков хранения и уничтожения документов. Как только мы начинаем хранить документы в электронном виде, мы должны наладить такую же технологию отслеживания сроков документов и их уничтожения, как и в случае документов на бумажных носителях. К этому мы только подходим, но когда мы разместим все это в «облаке», получим ситуацию, когда информация будет там просто накапливаться и не уничтожаться. Вы просто не сможете нормально организовать уничтожение документов, если такая технология не будет продумана заранее. Кроме того, учитывая то, что документ неоднократно резервируется, - нужно сразу же продумать и уничтожения всех его копий. Ну и, конечно же, необходимо обратить особое внимание на то, чтобы документы государственных ведомств размещались в границах российской юрисдикции. Пока таких обязательного требования еще нет, но при первом же негативном случае, оно обязательно появится. И конечно, ключевым вопросом здесь становится информационная безопасность, - работать с поставщиком и очень внимательно начать его изучать необходимо на самом первом этапе вашего знакомства. Обратить внимание  на его политику набора сотрудников (проходят ли они аттестацию службы безопасности), как организован контроль их доступа к документам, как обеспечивается их информационная безопасность и т.д.

 

Правовые аспекты перехода в «облако»

Что касается вопросов с исполнением законодательных и нормативно-правовых актов, которые регламентируют управление информацией и документами, то их исполнение должно обеспечить «облако» и поставщик таких услуг. Однако, здесь существует проблема – согласно закону «Об архивном деле», документы государственных органов могут храниться либо в его, либо в ведомственном архиве, - третьей стороны просто не предусмотрено. Поэтому для того, чтобы правомочно использовать услуги «облака» и третьего поставщика, в вышеупомянутое законодательство должны быть внесены соответствующие изменения с предоставлением организациям право выбора места хранения документов.
Что касается случаев судебных разбирательств – то согласно нашему законодательству, в случае обыска и изъятия информации в электронном виде по решению суда, изымающий орган не обязан оставить вам работающую копию. И были уже судебные случаи, когда организация по году добивалась всех своих электронных данных.
Вопрос интероперабельности (совместимости) также весьма актуален. Прежде чем отдавать информацию в «облако», необходимо обязательно предварительно поинтересоваться о стратегии вывода ее оттуда в «облако» другого поставщика. При этом, нужно понимать, что поставщик услуг не заинтересован в том, чтобы давать возможность своему клиенту перехода в другое «облако» (массовая перекачка информации).

 


«Подводные камни»

В то же время, «облачное» размещение документов очень хорошо коррелирует с хранением на бумажных носителях вне офиса. И сопоставление этих двух типов услуг показывает, на какие «подводные камни» при заключении договора можно натолкнуться. Первое – т.н. «выкупные платежи». Это может быть совершенно естественный процесс, прописанный в договоре, когда за изъятие информации до истечения срока действия договора, организация должна заплатить или за нее платит новый поставщик. Второе – это вопрос ответственности поставщика при потере или повреждении документов, - то есть фактически, это вопрос страхования. При этом, на западе этот пункт рассматривается в обязательном порядке, но практика внеофисного хранения бумажных документов показывает, что за утрату коробки с документами максимум, что можно там получить – это $2, то есть стоимость самой коробки. Потому что хранящая организация не отвечает за содержимое со всеми вытекающими последствиями для вас, - с электронными документами та же самая история. Кроме того, необходимо оценить и возможный ущерб от утечки конфиденциальной информации, определив, какие ключевые документы организации не должны вообще покидать офис. Наконец, необходимо учитывать ущерб вследствие неуничтожения документов по истечению установленного срока хранения.

Более подробно о прошедшей с 10 по 13 апреля партнерской конференции ЭОС «Весенний документооборот-2012» вы можете узнать из материала по первому дню от 12 апреля 2012 г. и материала по второму дню конференци от 16 апреля 2012 г.

Также в настоящее время продолжается публикация серии аудиоподкастов с Натальей Храмцовской по вопросам развития систем МЭДО и СМЭВ, госуслугам, госслужащим, ЭЦП.

Опубликовал: Сергей Мальцев (info@ict-online.ru)

Тематики: Интернет, Интеграция, Маркетинг, ПО, Регулирование, Безопасность

Ключевые слова: ЦОД, СЭД, электронный документооборот, ЭОС, Министерство связи, хранение данных, информационная безопасность, регулирование, SaaS, облачные услуги