SlideShare uma empresa Scribd logo
1 de 18
Baixar para ler offline
Datu glabāšana mākonī
Latvijas valsts iestādēm
2013. gada 24. janvāris



Juris Šmits, DPA Infrastruktūras risinājumu
grupas vadītājs
Saturs


1. Mākoņdatošanas pakalpojumu izmantošanas
   juridiskie riski
2. Informācijas aprites un aizsardzības prasības
3. Eiropas komisijas aktivitātes
4. Office 365
Mākoņdatošanas pakalpojumu
juridiskie riski*



  Datu fiziskā atrašanās vieta (jurisdikcija)
  Valsts varas iestāžu darbība
  Datu drošības riski
  Licences




© European Network and Information Security Agency (ENISA), 2009
«Benefits, risks and recommendations for information security»
Informācijas aprites un
aizsardzības prasības
Informācijas klasifikācijas grupas

     Vispārpieejama informācija
  MK 171 nosaka prasības vispārpieejamai informācijai – iestādes mājas
  lapas drošībai
     Ierobežotas pieejamības informācija:
       Iestādes iekšējās lietošanas informācija
       Informācija par fiziskās personas privāto dzīvi
       Informācija dienesta vajadzībām
       Komercnoslēpums
       Informācija, kurai šāds statuss noteikts ar likumu
       Informācija, kas attiecas uz atestācijas, eksāmenu, iesniegto projektu
       un citu līdzīga rakstura novērtējuma procesiem
       Ziemeļatlantijas līguma organizācijas vai ES informācija, kura
       apzīmēta attiecīgi kā "NATO UNCLASSIFIED" vai "LIMITE".

* Informācijas atklātības likums
Iekšējas lietošanas informācija

   Informācija, kas nepieciešama, sagatavojoties lietu
   kārtošanai
   Iestādei jānodrošina informācijas aizsardzība, bet likumā
   nav noteiktas specifiskas prasības




 * Informācijas atklātības likums
Informācija dienesta vajadzībām

  Darbu ar informāciju dienesta vajadzībām atļauts
  veikt, izmantojot atsevišķus datorus, kā arī datorus, kuri ir
  pievienoti datoru tīklam, kas ir aizsargāts pret nepiederošu
  personu piekļūšanu

  Informāciju dienesta vajadzībām ārvalstīs var glabāt tikai
  specifiskās telpās – LR diplomātiskajās, konsulārajās
  telpās, u.c. glabātavās, kurās var nodrošināt fizisko
  aizsardzību.


*Ministru kabineta noteikumi nr 280 «Kārtība, kādā aizsargājama informācija
dienesta vajadzībām»
Informācija par fiziskas personas
privāto dzīvi

  Personas datus var nodot citai valstij, kas nav ES vai
  Eiropas Ekonomikas zonas dalībvalsts, ja tiek nodrošināta
  līdzvērtīga aizsardzība

  Datu valsts inspekcija - atbildīgā iestāde Latvijā

  2012.gadā DVI mājas lapā publicēts saraksts ar
  valstīm, kuras nodrošina tādu aizsardzības pakāpi, kas
  atbilst Latvijas spēkā esošai datu aizsardzības pakāpei



* Fizisko personu datu aizsardzības likums, MK 40 noteikumi «Personas datu
aizsardzības obligātās tehniskās un organizatoriskās prasības»
Citi LR normatīvie akti

 Valsts pārvaldes iekārtas likums

 Valsts informācijas sistēmu likums & MK 764, 765

 Komerclikums

 Likums par grāmatvedību

 Publisko iepirkumu likums

 Elektronisko dokumentu likums
Normatīvie akti, kas reglamentē IT
drošību

 Informācijas tehnoloģiju drošības likums
 (http://www.likumi.lv/doc.php?id=220962)

 Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās
 infrastruktūras, apzināšanas un drošības pasākumu plānošanas un
 īstenošanas kārtība (http://www.likumi.lv/doc.php?id=212031)

 MK Nr. 100, Informācijas tehnoloģiju kritiskās infrastruktūras drošības
 pasākumu plānošanas un īstenošanas kārtība
 (http://www.likumi.lv/doc.php?id=225776)
Informācijas aprites un aizsardzības
prasības - kopsavilkums

 LR normatīvie akti ar atsevišķiem izņēmumiem neliedz informācijas
 apriti mākonī ārpus Latvijas teritorijas

 Izņēmumi:
   Informācijai dienesta vajadzībām, kritiskai infrastruktūrai noteiktas
   drošības prasības, kuras nevar realizēt mākonī ārpus LR teritorijas
   Dažos likumos var būt noteikti izņēmumi, piem. Likumā par
   grāmatvedību

 Fizisko personu datiem noteiktas specifiskas prasības, bet ir iespējams
 nodrošināt atbilstību LR normatīvajiem aktiem

 Latvijā šobrīd nav izstrādātas vadlīnijas, rekomendācijas
 mākoņdatošanas pakalpojuma izmantošanai valsts pārvaldē
Eiropas komisijas aktivitātes
ES prasības


  Personas datu apstrādes direktīva 95/46/EU
Pamatprincips – personas datu nedrīkst sūtīt uz valstīm ārpus
ES, ja personas datiem netiek nodrošināts līdzvērtīgs
aizsardzības līmenis.
  Izstrādātas prasības, kuras izpildot drīkst datu apriti veikt
  ārpus ES:
    Corporate binding rules
    EU Model Contract Clauses
    Safe Harbour Agremeent
«Mākoņdatošanas potenciāla
atraisīšana Eiropā»

 Mērķis - paātrināt un veicināt mākoņdatošanas
 izmantošanu
 Stratēģijā aprakstās aktivitātes:
   Standarti un sertifikācija
   Taisnīgi un droši līgumu nosacījumi
   Veicināt mākoņdatošanas pakalpojumu izmantošanu
   publiskā sektorā
            Ja ES nerīkosies, paliksim iestrēguši savos nacionālajos
            cietokšņos un palaidīsim garām miljardos mērāmu
            ekonomisko ieguvumu.

            Neelie Kroes, Eiropas Komisijas priekšsēdētāja
            vietniece
EK aktivitātes - kopsavilkums


 ES direktīvas neliedz informācijas apriti ES teritorijā;
 Personas datu direktīva nosaka prasības datu apritei ārpus
 ES, bet prasības iespējams realizēt
 Eiropas komisija atbalsta mākoņdatošanu, strādā pie
 attīstības arī ārpus ES
Office 365
Office 365 priekšrocības

 Neatkarīgi pārbaudīts un sertificēts atbilstoši ISO 27001
 «Informācijas tehnoloģija. Drošības paņēmieni. Informācijas
 drošības pārvaldības sistēmas. Prasības»
 Izpilda Personas datu apstrādes direktīvas prasības
 Microsoft ir iekļauts ASV Tirdzniecības ministrijas «drošības
 zonas» sarakstā (http://export.gov/safeharbor/),
Paldies!

Mais conteúdo relacionado

Mais de ebuc

What's Next for Your Industry and City?
What's Next for Your Industry and City? What's Next for Your Industry and City?
What's Next for Your Industry and City? ebuc
 
Top global mega trends
Top global mega trends Top global mega trends
Top global mega trends ebuc
 
Mobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerlMobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerlebuc
 
Launching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competitionLaunching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competitionebuc
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or notebuc
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or notebuc
 
IBM vision for aviation
IBM vision for aviationIBM vision for aviation
IBM vision for aviationebuc
 
CSDD case study
CSDD case studyCSDD case study
CSDD case studyebuc
 
Can you afford (not) moving to the cloud
Can you afford (not) moving to the cloudCan you afford (not) moving to the cloud
Can you afford (not) moving to the cloudebuc
 
Big data – ready for business
Big data – ready for businessBig data – ready for business
Big data – ready for businessebuc
 
Meistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbamMeistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbamebuc
 
Pieredzes stāsti
Pieredzes stāstiPieredzes stāsti
Pieredzes stāstiebuc
 
Biznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspektiBiznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspektiebuc
 
Smart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solutionSmart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solutionebuc
 
CITY UP iniciatīva
CITY UP iniciatīvaCITY UP iniciatīva
CITY UP iniciatīvaebuc
 
Programmatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācijaProgrammatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācijaebuc
 
Start up iniciatīva 2014
Start up iniciatīva 2014Start up iniciatīva 2014
Start up iniciatīva 2014ebuc
 
Microsoft Office 365
Microsoft Office 365Microsoft Office 365
Microsoft Office 365ebuc
 
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.ebuc
 
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAProgrammatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAebuc
 

Mais de ebuc (20)

What's Next for Your Industry and City?
What's Next for Your Industry and City? What's Next for Your Industry and City?
What's Next for Your Industry and City?
 
Top global mega trends
Top global mega trends Top global mega trends
Top global mega trends
 
Mobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerlMobile biometric device trends joe hoerl
Mobile biometric device trends joe hoerl
 
Launching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competitionLaunching great enterprise mobile apps that beat the competition
Launching great enterprise mobile apps that beat the competition
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
 
Is cloud secure or not
Is cloud secure or notIs cloud secure or not
Is cloud secure or not
 
IBM vision for aviation
IBM vision for aviationIBM vision for aviation
IBM vision for aviation
 
CSDD case study
CSDD case studyCSDD case study
CSDD case study
 
Can you afford (not) moving to the cloud
Can you afford (not) moving to the cloudCan you afford (not) moving to the cloud
Can you afford (not) moving to the cloud
 
Big data – ready for business
Big data – ready for businessBig data – ready for business
Big data – ready for business
 
Meistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbamMeistarklase efektīvam ikdienas darbam
Meistarklase efektīvam ikdienas darbam
 
Pieredzes stāsti
Pieredzes stāstiPieredzes stāsti
Pieredzes stāsti
 
Biznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspektiBiznesa infrastruktūras un datu drošības juridiskie aspekti
Biznesa infrastruktūras un datu drošības juridiskie aspekti
 
Smart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solutionSmart business - is cloud part of the problem or part of the solution
Smart business - is cloud part of the problem or part of the solution
 
CITY UP iniciatīva
CITY UP iniciatīvaCITY UP iniciatīva
CITY UP iniciatīva
 
Programmatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācijaProgrammatūras resursu pārvaldība un optimizācija
Programmatūras resursu pārvaldība un optimizācija
 
Start up iniciatīva 2014
Start up iniciatīva 2014Start up iniciatīva 2014
Start up iniciatīva 2014
 
Microsoft Office 365
Microsoft Office 365Microsoft Office 365
Microsoft Office 365
 
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
Programmatūras licencēšana. Izaicinājums un iespējas. Kārlis Nīlanders, SIA DPA.
 
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPAProgrammatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
Programmatūras licencēšana. Iespējas un izaicinājumi. SIA DPA
 

Datu glabasana makoni office 365 ea seminar 24.01.2013 juris_smits

  • 1. Datu glabāšana mākonī Latvijas valsts iestādēm 2013. gada 24. janvāris Juris Šmits, DPA Infrastruktūras risinājumu grupas vadītājs
  • 2. Saturs 1. Mākoņdatošanas pakalpojumu izmantošanas juridiskie riski 2. Informācijas aprites un aizsardzības prasības 3. Eiropas komisijas aktivitātes 4. Office 365
  • 3. Mākoņdatošanas pakalpojumu juridiskie riski* Datu fiziskā atrašanās vieta (jurisdikcija) Valsts varas iestāžu darbība Datu drošības riski Licences © European Network and Information Security Agency (ENISA), 2009 «Benefits, risks and recommendations for information security»
  • 5. Informācijas klasifikācijas grupas Vispārpieejama informācija MK 171 nosaka prasības vispārpieejamai informācijai – iestādes mājas lapas drošībai Ierobežotas pieejamības informācija: Iestādes iekšējās lietošanas informācija Informācija par fiziskās personas privāto dzīvi Informācija dienesta vajadzībām Komercnoslēpums Informācija, kurai šāds statuss noteikts ar likumu Informācija, kas attiecas uz atestācijas, eksāmenu, iesniegto projektu un citu līdzīga rakstura novērtējuma procesiem Ziemeļatlantijas līguma organizācijas vai ES informācija, kura apzīmēta attiecīgi kā "NATO UNCLASSIFIED" vai "LIMITE". * Informācijas atklātības likums
  • 6. Iekšējas lietošanas informācija Informācija, kas nepieciešama, sagatavojoties lietu kārtošanai Iestādei jānodrošina informācijas aizsardzība, bet likumā nav noteiktas specifiskas prasības * Informācijas atklātības likums
  • 7. Informācija dienesta vajadzībām Darbu ar informāciju dienesta vajadzībām atļauts veikt, izmantojot atsevišķus datorus, kā arī datorus, kuri ir pievienoti datoru tīklam, kas ir aizsargāts pret nepiederošu personu piekļūšanu Informāciju dienesta vajadzībām ārvalstīs var glabāt tikai specifiskās telpās – LR diplomātiskajās, konsulārajās telpās, u.c. glabātavās, kurās var nodrošināt fizisko aizsardzību. *Ministru kabineta noteikumi nr 280 «Kārtība, kādā aizsargājama informācija dienesta vajadzībām»
  • 8. Informācija par fiziskas personas privāto dzīvi Personas datus var nodot citai valstij, kas nav ES vai Eiropas Ekonomikas zonas dalībvalsts, ja tiek nodrošināta līdzvērtīga aizsardzība Datu valsts inspekcija - atbildīgā iestāde Latvijā 2012.gadā DVI mājas lapā publicēts saraksts ar valstīm, kuras nodrošina tādu aizsardzības pakāpi, kas atbilst Latvijas spēkā esošai datu aizsardzības pakāpei * Fizisko personu datu aizsardzības likums, MK 40 noteikumi «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības»
  • 9. Citi LR normatīvie akti Valsts pārvaldes iekārtas likums Valsts informācijas sistēmu likums & MK 764, 765 Komerclikums Likums par grāmatvedību Publisko iepirkumu likums Elektronisko dokumentu likums
  • 10. Normatīvie akti, kas reglamentē IT drošību Informācijas tehnoloģiju drošības likums (http://www.likumi.lv/doc.php?id=220962) Kritiskās infrastruktūras, tajā skaitā Eiropas kritiskās infrastruktūras, apzināšanas un drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=212031) MK Nr. 100, Informācijas tehnoloģiju kritiskās infrastruktūras drošības pasākumu plānošanas un īstenošanas kārtība (http://www.likumi.lv/doc.php?id=225776)
  • 11. Informācijas aprites un aizsardzības prasības - kopsavilkums LR normatīvie akti ar atsevišķiem izņēmumiem neliedz informācijas apriti mākonī ārpus Latvijas teritorijas Izņēmumi: Informācijai dienesta vajadzībām, kritiskai infrastruktūrai noteiktas drošības prasības, kuras nevar realizēt mākonī ārpus LR teritorijas Dažos likumos var būt noteikti izņēmumi, piem. Likumā par grāmatvedību Fizisko personu datiem noteiktas specifiskas prasības, bet ir iespējams nodrošināt atbilstību LR normatīvajiem aktiem Latvijā šobrīd nav izstrādātas vadlīnijas, rekomendācijas mākoņdatošanas pakalpojuma izmantošanai valsts pārvaldē
  • 13. ES prasības Personas datu apstrādes direktīva 95/46/EU Pamatprincips – personas datu nedrīkst sūtīt uz valstīm ārpus ES, ja personas datiem netiek nodrošināts līdzvērtīgs aizsardzības līmenis. Izstrādātas prasības, kuras izpildot drīkst datu apriti veikt ārpus ES: Corporate binding rules EU Model Contract Clauses Safe Harbour Agremeent
  • 14. «Mākoņdatošanas potenciāla atraisīšana Eiropā» Mērķis - paātrināt un veicināt mākoņdatošanas izmantošanu Stratēģijā aprakstās aktivitātes: Standarti un sertifikācija Taisnīgi un droši līgumu nosacījumi Veicināt mākoņdatošanas pakalpojumu izmantošanu publiskā sektorā Ja ES nerīkosies, paliksim iestrēguši savos nacionālajos cietokšņos un palaidīsim garām miljardos mērāmu ekonomisko ieguvumu. Neelie Kroes, Eiropas Komisijas priekšsēdētāja vietniece
  • 15. EK aktivitātes - kopsavilkums ES direktīvas neliedz informācijas apriti ES teritorijā; Personas datu direktīva nosaka prasības datu apritei ārpus ES, bet prasības iespējams realizēt Eiropas komisija atbalsta mākoņdatošanu, strādā pie attīstības arī ārpus ES
  • 17. Office 365 priekšrocības Neatkarīgi pārbaudīts un sertificēts atbilstoši ISO 27001 «Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības» Izpilda Personas datu apstrādes direktīvas prasības Microsoft ir iekļauts ASV Tirdzniecības ministrijas «drošības zonas» sarakstā (http://export.gov/safeharbor/),

Notas do Editor

  1. Iesākumā – par būtiskākiem juridiskajiem riskiem, kas var rasties izmantojot mākoņdatošanas pakalpojumus ārpus Latvijas. Jo nezinotIeskats LR normatīvajos aktu prasībās, par pamatu ņemot to, kādas prasības ir grupas ir noteiktas normatīvajos aktos un vai normatīvo aktu prasības pieļauj informācijas apstrādi mākonīKādas ir Eiropas komisijas aktivitātes saistībā ar mākoņdatošanuMicrosoft piedāvātā mākoņdatošanas pakalpojuma piedāvājuma
  2. Lai saprastu, kāpēc šī prezentācija, iesākumā īsumā par juridiskajiem riskiem, kas rodas izmantojot mākoņdatošanas pakalpojumus.0) ENISAs reportā ir arī juridiskie riskiIzmitināšanas valsts tiesiskā regulējuma piemērošanaSankcijas pret citu klientuDažu valstu normatīvie akti pieļauj (piemēram, ASV patriotu akts) piekļuvi informācijas resursiem arī bez to turētāja informēšanas.Informācijas klasifikācijas pakāpe (ne visu mākonī)Pastāv arī risks, ka nav skaidri noteikta pakalpojumu sniedzēja programmatūras lietošana intelektuālā īpašuma tiesību aspektā. Tas ir jāņem vērā pirms līguma slēgšanas. P.s. informācijas aprite — informācijas ierosināšana, radīšana, apkopošana, uzkrāšana, apstrādāšana, lietošana un iznīcināšana;
  3. Patlaban Latvijā mākoņdatošanas pakalpojumu izmantošana nav speciāli regulēta, bet ir noteiktas prasības informācijas apritei un aizsardzībai, tādēļ nākamos slaidos būs būtiskāko normatīvos aktu prasības un vai iespējams šīs prasības realizēt izmantojot mākoņdatošanas pakalpojumu, piemēram, vai nav kādā likumā noteikts, ka datu apriti drīkst veikt tikai LR teritorijā, vai aizliegta ārpakalpojumu izmantošana.
  4. Lai nodrošinātu to, ka informācijas aizsardzības pasākumi ir ekonomiski pamatoti, tā jāaizsargā atbilstoši tās klasifikācijas pakāpei. Par pamatu var ņemt Informācijas atklātības likumā noteiktās informācijas klasifikācijas grupas - vispārpieejama un ierobežotas pieejamības informācija. Un citos normatīvos aktos jau var analizēt prasības informācijas apritei balstoties uz tās klasifikācijas pakāpi. 1) Vispārpieejama inf. ir tāda, kas nav klasificēta kā ierobežotas pieejamības informācija. (kontaktinformācija, weblapas saturs) Tomēr arī publiskojamai informācijai ir jānodrošina aizsardzība pret nesankcionētām izmaiņām un jānodrošina tās pieejamība.MK 171 noteikumi «Kārtība, kādā iestādes ievieto informāciju internetā» nosaka pamatprasības mājas lapu aizsardzības pasākumiem. Ne likumā, ne MK noteikumos nav tādu prasību, kuras nevar nodrošināt mākoņdatošanas pakalpojumu sniedzējs arī ārpus LR teritorijas.2) Ierobežotas pieejamības informācijas grupas, kuru aprites un drošības prasības mēs dažos turpmākajos slaidos izskatīsim ar mērķi identificēt – vai ir kādi tieši ierobežojumi tās apritei izmantot Mākoņdatošanas pakalpojumus. Kā viens no variantiem būtu aizliegums izmantot ārpakalpojumus vai arī informācijas apriti veikt tikai Latvijas teritorijā.Iestādes iekšējas lietošanas informācija, Informācija dienesta vajadzībām, un Informācija par Fiziskas personas privāto dzīvi būs dažos nākošajos slaidosPar komercnoslēpumu uzskatāma komersanta radīta vai komersantam piederoša informācija, kuras atklāšana varētu būtiski negatīvi ietekmēt komersanta konkurētspēju. Piemēram, saskaņā ar grāmatvedības likumu, visa uzņēmuma grāmatvedībā iekļautā informācija izņemot to, kas iekļaujama uzņēmuma pārskatos, ir uzskatāma par komercnoslēpumu. Bet komercnoslēpums var būt ne tikai grāmatvedības dati.informācijai var noteikt ierobežotas pieejamības klasifikāciju arī ar kādu citu likumu;Informācija, kas attiecas uz atestācijas, eksāmenu, iesniegto projektu un citu līdzīga rakstura novērtējuma procesiemUn visbeidzot ziemeļatlantijas līguma organizācijas un ES klasificētā informācija.
  5. Par iestādes iekšējās lietošanas informāciju uzskatāma informācija, kas iestādei nepieciešama, sagatavojoties lietu kārtošanai. - iekšējā e-pasta sarakste, MS offisa darba dokumenti. Mēdz būt, ka pēc informācijas sagatavošanas tā tiek pārklasificēta par vispārpieejama informācija un publicētaUz iekšējas lietošanas informāciju attiecas Informācijas atklātības likumā noteiktās pamatprasības informācijas aizsardzībai – pamatā organizatoriskas, tādas kā apliecinājumu parakstīšana par informācijas neizpaušanu. Likumā nav noteikts specifiskas prasības, kuras nevarētu realizēt mākoņdatošanas pakalpojumā = ne tas, ka datu apritei jābūt Latvijā, ne citas specifiskas prasības. ///////FYI16.pants. Ierobežotas pieejamības informācijas aizsardzība (1) Iestāde nodrošina, lai pienākumu saglabāt ierobežotas pieejamības informāciju zina visas personas, uz kurām šis pienākums attiecas, ja likumā nav noteikts citādi. No personām, kuras apstrādā ierobežotas pieejamības informāciju, pieprasa rakstveida apliecinājumu, ka tās noteikumus zina un apņemas tos ievērot. (2) Ja sakarā ar ierobežotas pieejamības informācijas nelikumīgu izpaušanu tās īpašniekam vai citai personai radīts kaitējums vai būtiski aizskartas to likumiskās intereses, šīs personas ir tiesīgas prasīt kaitējuma atlīdzināšanu vai aizskarto tiesību atjaunošanu. (3) Ja persona neatļauti izpaudusi informāciju, kas atzīta par ierobežotas pieejamības informāciju, tā saucama pie disciplināratbildības vai kriminālatbildības.
  6. Atbilstoši informācijas atklātības likumam, par informāciju dienesta vajadzībām uzskatāma: 1) Latvijā radīta aizsargājama informācija, kas saistīta ar valsts drošību un nesatur valsts noslēpumu; 2) informācija, kuru Latvijai nodevusi ārvalsts, starptautiska organizācija vai tās institūcija un kura klasificēta kā "RESTRICTED", kā arī ar šo informāciju saistītā Latvijā radītā informācija. Ministru kabineta noteikumi nr 280 «Kārtība, kādā aizsargājama informācija dienesta vajadzībām» pieļauj informācijas apriti elektroniski, bet stingri nosaka telpas, kurās var uzglabāt informāciju dienesta vajadzībām ārpus Latvijas teritorijas, tādēļ tas var ierobežot mākoņdatošanas pakalpojumu sniedzēja izvēli.//////////FYI – no MK noteikumiem:Latvijas Republikas diplomātiskajās un konsulārajās pārstāvniecībās; Ziemeļatlantijas līguma uzraorganizācijas un Eiropas Savienības institūciju darba telpās; to ārvalstu un starptautisko institūciju darba telpās, ar kurām Latvijas Republikai ir noslēgti līgumi par informācijas dienesta vajadzībām aizsardzību; speciāli izveidotās glabātavās, ja darbinieka rīcībā nodotā glabātava ir aizsargāta pret nepiederošu personu piekļūšanu citās telpās, kurās darbinieks var nodrošināt personisku udzību
  7. Informācija par fizisko personu dzīvi.1) Fizisko personu datu aizsardzības likuma mērķis ir aizsargāt informāciju par fizisko personu privāto dzīvi un ar kopā ar MK noteikumiem MK 40 «Personas datu aizsardzības obligātās tehniskās un organizatoriskās prasības» nosaka prasības attiecībā uz fizisko personu datu apstrādi Latvijas teritorijā, kā arī nosacījumus, kad personas datus drīkst apstrādāt ārpus Latvijas.Šis likums ir izstrādāts balstoties uz ES direktīvu par personas datiem (par to nedaudz vēlāk).Personas datus var nodot citai valstij, kas nav ES vai Eiropas Ekonomikas zonas dalībvalsts, ja šī valsts nodrošina tādu datu aizsardzības pakāpi, kas atbilst attiecīgajai Latvijā spēkā esošajai datu aizsardzības pakāpei. 2) Datu valsts inspekcijas ir atbildīga par personas datu apstrādes atbilstības Fizisko personu datu aizsardzības likuma prasībām kontroli un uzraudzību. Bet sniedz aŗi rekomendācijas un neskaidrību gadījumā var konsultēties pie Datu valsts inspekcijas. 3) 2012.gadā Datu valsts inspekcija publicēja (http://www.dvi.gov.lv/files/Lemums_valstis_datu_aizsardzibas_pakape.pdf) sarakstu ar valstīm, kuras nodrošina tādu aizsardzības pakāpi, kas atbilst Latvijas spēkā esošai datu aizsardzības pakāpei, piemēram, Kanāda, Šveice, Menas sala,ASV Tirdzniecības ministrijas «’drošības zonas» sarakstā iekļautās personas.///////////////////////FYIIzņēmumi šā panta pirmajā daļā minēto prasību pildīšanā ir pieļaujami, jatiek ievērots vismaz viens no šādiem nosacījumiem: 1) ir datu subjekta piekrišana; 2) datu nodošana ir nepieciešama, lai izpildītu vienošanos starp datu subjektu un pārzini, personas dati nododami saskaņā ar datu subjekta līgumsaistībām vai arī , ievērojot datu subjekta lūgumu, datu nodošana nepieciešama, lai noslēgtu līgumu; 3) datu nodošana ir nepieciešama un noteiktā kārtībā pieprasīta saskaņā ar svarīgām valsts un sabiedriskajām interesēm vai ir nepieciešama tiesvedībā; 4) datu nodošana ir nepieciešama, lai aizsargātu datu subjekta dzīvību un veselību; 5) datu nodošana attiecas uz publiskiem vai publiski pieejamā reģistrā uzkrātiem personas datiem.
  8. Vēl daži likumi, kuri reglamentē ierobežotas pieejamības informācijas apriti un nosaka drošības prasības.No šiem uzskaitītajiem likumiem, viensatsevišķos gadījumos var liegt iespēju izmantot Mākoņdatošanas pakalpojumu ārvalstīs, jo ir noteikts, ka datiem jābūt LR teritorijā. Kā jums liekas, kurš? Viens no retajiem izņēmumiem saistībā ar teritorijas noteikšanu ir Grāmatvedības likums, bet arī tikai gadījumos, ja grāmatvedība tiek pilnībā vesta elektroniski - jo likumā noteikts, ka grāmatvedības reģistri kopā ar attaisnojuma dokumentiem jāglabā Latvijas teritorijā. Pat MK 765 noteikumos, jeb «Valsts informācijas sistēmu vispārējās drošības prasības», ir noteikts, ka jāaizsargā informācija, jāveic risku analīze, jāizstrādā dokumentācija, u.c. aktivitātes. Bet nav teikts, ka nedrīkst izmantot ārpakalpojumus (jau šobrīd daudzas valsts iestādes izmanto ārpakalpojumu) , mākoņdatošanas pakalpojumus arī ārpus LR teritorijas.
  9. Papildus iepriekš apskatītajām informācijas klasifikācijas grupām un atbilstošajām prasībām, jāņem vērā normatīvie akti, kuri reglamentē IT drošību un kritisko infrastruktūru. Lai arī IT drošības likumā nav normas, kas varētu ierobežot mākoņa lietošanu, tomēr Nacionālajā drošības likumā netieši tiek norādīts, ka kritiskā infrastruktūra ir Latvijas teritorijā.2012.gada nogalē publicētajā projektā «INFORMĀCIJAS TEHNOLOĢIJU DROŠĪBAS STRATĒĢIJA 2013. – 2018.GADAM” , nav pieminētamākoņdatošana, tomēr kā viens no rīcības virzieniem ir uzstādīts «tiesiskā regulējuma pilnveidošana». Jācer, ka normatīvo aktu izmaiņas būs saprātīgas – ņemot vērā to, ka ne visu informāciju vajaghttp://www.mk.gov.lv/lv/mk/tap/?pid=40267912
  10. Kopsavilkums par LR normatīvajiem aktiem:Patlaban LR mākoņdatošanas pakalpojumu izmantošana nav speciāli regulēta, bet ir noteiktas prasības datu apritei un drošībai, kuras neliedz izmantot mākoni ārpus LR teritorijas ar atsevišķiem izņēmumiem, un noteiktās drošības prasības var realizēt mākonī.Izņēmumi šķiet diezgan loģiski, jo ir saistīti ar valsts drošību:Informācijai, kura klasificēta kā dienesta vajadzībām dienesta vajadzībām, kritiskām valsts IS un infrastruktūrai.Iespējami atsevišķi gadījumi, kad kādā no likumiem ir noteikta datu aprites teritorija, kā piemēru var minēt Likumu par grāmatvedību. Fizisko personu datiem noteiktas specifiskas prasības, ja datu aprite notiek ārpus ES, bet ir iespējams nodrošināt atbilstību LR normatīvajiem aktiemLatvijā šobrīd nav izstrādātas vadlīnijas, rekomendācijas mākoņdatošanas pakalpojuma izmantošanai valsts pārvaldē.Jāpiebilst, ka Elektroniskās pārvaldes 2011-2013.g. attīstības plānā bija noteikts, ka jāveicina inovācijas valsts pārvaldes procesos, tajā skaitā VARAM ministrijai jāveic priekšizpēte par mākoņdatošanas iespēju pielietošanu valsts pārvaldes IKT resursu optimizācijā. Diemžēl, šo priekšizpētes ziņojumu (ja tāds ir izstrādāts) nevarēju atrast publiski pieejamos resursos.
  11. Ņemot vērā to, ka izmantojot mākoņdatošanas pakalpojumu, informācija var nokļūt ārpus LR jurisdikcijas, tagad nedaudz par to, kādas prasības Eiropas komisija ir noteikusi visām ES valstīm, kā arī par Eiropas komisijas aktivitātēm saistībā ar mākoņdatošanu. Detalizēti pārrunāt par katras valsts normatīvajiem aktiem, diemžēl, mums nepietiks laika. //nez, kurās valstīs var ierobežot datu apriti MS office 365?? Vai vispār līgumā ir iespējams ko izvēlēties?
  12. Eiropas savienībā ir virkne direktīvas, kuras mēģina regulēt datu apriti, bet šīs direktīvas ir augsta līmeņa, nespecificējot tehnoloģijas un teritoriāli neierobežojot datu apriti.Kā būtiskākā direktīva, kas regulē datu apriti dažādu valstu teritorijās, būtu minama personas datu apstrādes direktīva uz kuras pamata tika izstrādāts mūsu Fizisko personu datu aizsardzības likumsJāpiezīmē, ka, lai gan Personas datu apstrādes direktīva attiecās uz visām ES valstīm, dažādām ES valstīm ir nelielas atšķirības, kā šī direktīva ir ieviesta, tādēļ, lai nodrošinātu vienāda līmeņa datu aizsardzību, Eiropas Komisija 2012. gadā ir ierosinājusi direktīvas 95/46/EC reformu. Būtiskākās izmaiņas būs saistībā arī ar trešo pušu (šajā gadījumā mākoņdatošanas pakalpojuma sniedzēja) atbildības noteikšanu.2) Ir izstrādātas prasības, kas jāizpilda, lai personas datu apriti varētu veikt ārpus ES. ES atbildīgo institūciju izstrādātās «Corporatebindingrules» un «EU ModelContractClauses», un ASV Tirdzniecības ministrijas - «SafeHarbourAgreement», kuru esmu redzējis, ka latvisko kā «drošības zonas» līgumu. Šie noteikumi pieļauj, piemēram, starptautiskām organizācijām pierādīt, ka personas dati tiek aizsargāti līdzvērtīgi kā ES, tādēļ datu apriti var veikt ārpus ES.
  13. 2012.gadā Eiropas komisija publicēja dokumentu «Mākoņdatošanas potenciāla atraisīšana Eiropā» (http://ec.europa.eu/latvija/news/press_releases/2012_09_27_lv.htm), sauktu par mākoņdatošanas stratēģijuStratēģijas mērķis nav uzbūvēt Eiropas super-mākoni, bet paātrināt un veicināt tādu mākoņdatošanas pakalpojumu sniedzēju, kuri atbilst Eiropas prasībām, izmantošanu tautsaimniecībā2) 3 galveni pasākumi, kuri noteikti stratēģijā:Standartu izstrāde un Mākoņdatošanas pakalpojumu sniedzēju sertifikācijaTādu mākoņdatošanas pakalpojumu izmantošanas līgumu nosacījumu izstrāde kuri būt taisnīgi pret pakalpojumu ņēmēju un nodrošinātu Veicināt mākoņdatošanas pakalpojumu izmantošanu publiskā sektorā. Pagājušā gada nogalē tika izveidot Mākoņdatošanas partnerības institūciju «EuropeanCloudPartnership», kuras vadītājs šobrīd ir Igaunijas prezidents Tomass Hendrikss Ilvess. Šīs iestādes mērķis ir veicināt izpratni un izstrādāt praktiskus ieteikumus, lai mazinātu šķeršļusmākoņdatošanai publiskajā sektorā. http://europa.eu/rapid/press-release_IP-12-1225_en.htm Papildus šiem 3 galvenajiem pasākuma, stratēģijā arī noteikts mērķis stiprināt sadarbību ar valstīm ārpus ES un sakārtot juridisko bāzi.
  14. ES direktīvas neliedz informācijas apriti ES teritorijā;Ir specifiskas prasības, ja personas dati tiek sūtīti ārpus ES, bet šīs prasības iespējams realizēt arī mākonīEiropas komisija atbalsta mākoņdatošanu, necenšas ierobežot konkurenci pakalpojumu sniedzēju vidū, ja datu centru teritoriālā atrašanās vieta ir ārpus ES, un aktīvi strādā pie bezrobežu mākoņdatošanas pakalpojumu
  15. Dažos vārdos, kā MS var nodrošināt atbilstību iepriekšminētām prasībām:Office 365 ir sertificēts atbilstoši ISO 27001«Informācijas tehnoloģija. Drošības paņēmieni. Informācijas drošības pārvaldības sistēmas. Prasības».Tiek izpildītas ES personas datu apstrādes direktīvas prasībasMicrosoft ir iekļauts «drošības zonas» sarakstā http://safeharbor.export.gov/companyinfo.aspx?id=15738 ///////MS ir publicējis atbilstības ietvaru- http://cdn.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf , varbūt no turienes paņemtkādas bildes, aprakstu?