Что такое суверенитет данных?

Суверенитет данных означает, что данные подчиняются законам и нормативным актам, действующим в месте их физического размещения. Это относится к хранящимся, обрабатываемым или передаваемым данным независимо от физического местоположения организации.

Все данные, хранящиеся, обрабатываемые и передаваемые в пределах страны, штата, региона или юрисдикции, подчиняются действию соответствующих законов и нормативных актов, которые регулируют использование данных и защиту конфиденциальности. Законы о суверенитете данных принимаются для защиты и регулирования деятельности физических лиц, организаций и правительств. Нормативные акты о защите данных включают правила работы с персональными данными о состоянии здоровья, уровни защиты государственной информации и создание локальных носителей данных для иностранных компаний.

Локализация данных – это место, где данные находятся физически. Суверенитет данных – это то, как законы места размещения применяются к данным, которые физически находятся в этом месте. И суверенитет, и локализация данных особенно важны в облачных вычислениях и облачных сервисах, где данные можно хранить в любой точке мира. 

Все облачные хранилища, инстансы и сервисы работают на физических машинах, привязанных к определенному географическому местоположению. Из-за различий в нормативной среде организации должны уделять особое внимание местам, где размещаются облачные инстансы и работают облачные сервисы. Суверенитет данных этих хранилищ и инстансов – очень важное решение.

Суверенитет данных обычно входит в сферу управления рисками и соответствия требованиям в рамках программы организации по кибербезопасности и правовым вопросам.

Обязательство AWS по цифровому суверенитету подразумевает, что мы предоставляем клиентам AWS наиболее передовой набор средств управления суверенитетом данных и его функций в облаке. Мы предоставляем вам возможность выбирать, как и где запускать рабочие нагрузки для локализации данных.

В рамках обязательства AWS по цифровому суверенитету выделены четыре ключевые области, в которых AWS инвестирует в возможности, помогающие клиентам удовлетворять меняющиеся требования к цифровому суверенитету.

Управление местами размещения данных

Организации всегда должны иметь возможность выбирать, где размещать свои данные. Компания AWS всегда предоставляет клиентам возможность выбора места размещения данных: регионы и зоны доступности AWS находятся в Северной Америке, Южной Америке, Европе, на Ближнем Востоке, в Африке, Азиатско-Тихоокеанском регионе, Австралии и Новой Зеландии.

Если регион AWS находится недостаточно близко, чтобы удовлетворить ваши требования к локализации данных, AWS предлагает различные предложения по распределенной инфраструктуре, которые обеспечивают стабильную работу в облаке в пределах географических границ. С регионами AWS, локальными зонами AWS, выделенными локальными зонами AWS, сервисами AWS Outposts и AWS Wavelength можно запускать рабочие нагрузки в любом месте.

Управление доступом к данным

Организации должны иметь средства защиты от несанкционированного доступа к данным. Например, система AWS Nitro System призвана принудительно применять ограничения, чтобы никто, включая сотрудников AWS, не мог получить доступ к рабочим нагрузкам клиентов в EC2. Для обеспечения максимального уровня защиты данных в зависимости от их типа необходимо создать разрешения и ограничения доступа.

Возможности шифрования данных

Организации должны иметь возможность шифровать данные в движении, в местах хранения и в памяти. Для данных организации необходимо использовать шифрование по умолчанию с возможностью применять более надежное шифрование в случае необходимости. Все сервисы AWS уже поддерживают шифрование, а большинство из них также поддерживают шифрование с помощью управляемых клиентом ключей, недоступных AWS.

Отказоустойчивость облака

Организации должны иметь возможность достичь цифрового суверенитета без риска потери данных. Контроль над данными и высокая доступность – важнейшие факторы обеспечения суверенитета данных, поэтому организациям необходимо проактивно снижать риск потери данных. Это позволит поддерживать деятельность даже в случае непредвиденных событий. В настоящее время AWS обеспечивает наивысшую доступность сети среди всех поставщиков облачных услуг. Каждый регион AWS состоит из нескольких зон доступности, которые представляют собой полностью изолированные разделы инфраструктуры. Чтобы более эффективно изолировать проблемы и достичь высокого уровня доступности, клиенты могут разделять приложения между несколькими зонами доступности в рамках одного региона AWS.

Для поддержания нормативно-правового соответствия крайне важно понимать и применять требования к суверенитету данных. Ниже перечислены шаги по обеспечению суверенитета данных.

Планирование соответствия требованиям по локализации данных

Соблюдение законодательства начинается с понимания нормативных актов, регулирующих деятельность организации. Эти законы и нормативные акты в отношении данных могут распространяться на географические районы деятельности компании, типы обрабатываемых и хранящихся данных (например, сведения о состоянии здоровья, финансовые данные), персональные данные клиентов и сотрудников, а также сроки хранения журналов по сбору данных.

Проводите исследования и поддерживайте связь с соответствующими регулирующими и правоохранительными органами, чтобы создать системы, соответствующие требованиям, и знать, как реагировать на сообщения о несоблюдении требований.

Не в каждой компании есть эксперт по суверенитету данных. Чтобы оставаться в курсе меняющихся нормативных актов, может быть полезно сотрудничать с консультантом по соответствию требованиям. 

Внедрение точных средств управления доступом

Локализация данных может быть поставлена под угрозу, даже если только один пользователь скопирует данные в другое физическое место. Чтобы предотвратить эту ситуацию, начните с базового рекомендуемого управления идентификацией и доступом и внедрите строгие средства управления привилегированным доступом для администраторов с повышенными правами. 

Можно использовать сервис AWS Control Tower. Он поможет автоматизировать и мониторить места хранения, шифровать данные и принудительно применять ограничения по локализации данных. В библиотеке управления AWS Control Tower представлена группа средств управления цифровым суверенитетом. Эти средства управления позволяют принудительно применять настройки суверенитета данных, детальные ограничения доступа, предотвращать действия, обнаруживать изменения ресурсов, включать шифрование по умолчанию и обеспечивать отказоустойчивость.

Обеспечение отказоустойчивости критически важных систем

Устойчивость бизнеса при аварийных ситуациях зависит от надежных систем резервного копирования и отказоустойчивости. В соответствии с нормативными актами в отношении суверенитета данных эти системы должны находиться в одном регионе, чтобы обеспечивать тот же уровень суверенитета данных, что и при обычной деятельности.

Обеспечение отказоустойчивости критически важных систем означает распределение данных по нескольким зонам доступности для усиление контроля над локализацией данных.

Для клиентов, выполняющих рабочие нагрузки локально или удаленно, можно использовать сервисы AWS со специальными возможностями для непрерывной поддержки во время сбоев в работе сети, а также для удаленных вычислений и хранения данных. К таким сервисам относятся AWS Outposts и Amazon EKS Anywhere.

Поиск партнера по облачным технологиям, который обеспечит прозрачность и гарантии

Помимо того, что организациям следует принять важное решение о месте размещения данных, они также должны быть уверены в том, что системы поставщика облачных услуг действительно соответствуют правилам суверенитета данных в их юрисдикции. Чтобы убедиться в их соблюдении, пригласите эксперта по соответствию требованиям и пообщайтесь с командой поставщика по соответствию требованиям.

AWS всегда ставит в приоритет выбор клиентов в отношении суверенитета данных, поэтому клиенты могут полностью управлять местом размещения данных и их перемещением. С самого начала подход AWS «суверенный по умолчанию» завоевал доверие клиентов – организаций по всему миру, которые уделяют первостепенное внимание безопасности данных и конфиденциальности.

Для поддержания архитектуры данных, соответствующей требованиям, крайне важно вести актуальную карту текущего ландшафта данных. Рассмотрите возможность реализации указанных ниже шагов.

Сортировка и защита конфиденциальных данных

Защита конфиденциальных данных означает использование встроенных средств управления, в том числе средств маркировки, управления идентификацией и доступом, шифрования, изоляции, а также правил для конфиденциальных данных в местах хранения, в движении и в обработке. 

Выбор локализации данных в соответствии с применимыми законами

Проанализируйте деятельность компании, клиентов и типы данных и выберите места размещения данных, которые наилучшим образом соответствуют вашим потребностям. Помните, что требования к местам размещения данных могут меняться по мере изменения бизнеса, что влияет на суверенитет данных.

Выбор надежного поставщика облачных услуг

Убедиться в гарантиях в отношении суверенитета данных можно путем тщательной проверки поставщиков услуг публичного облака. Выберите поставщика с хорошо налаженной деятельностью в месте размещения данных по своему выбору. 

Отслеживание изменений в нормативно-правовых требованиях

Законы и нормативные акты, касающиеся данных, постоянно меняются. Вы должны следить за последними изменениями в нормативных актах, предвидеть новые требования и выполнять обязательства по отчетности. Выберите представителя в своей организации или партнерскую компанию, которые будут отвечать за отслеживание изменений в законах. Создайте внутреннюю политику защиты данных, соответствующую вашим обязательствам.

В разных географических регионах мира действуют самые разнообразные законы и нормативные акты, касающиеся хранения, обработки данных и работы с ними. Законы разных юрисдикций могут пересекаться, что приводит к увеличению количества нормативных актов в отношении хранения и обработки данных. Например, в Испании, Франции и других странах ЕС действуют внутренние законы, регулирующие суверенитет данных, но эти страны также должны соблюдать законы ЕС. В отраслях с жестким регулированием, таких как здравоохранение и финансы, также действуют различные нормативные акты. В некоторых странах действуют законы о суверенитете данных коренных народов, касающиеся прав коренных народов. 

Ведение экстерриториального бизнеса может влиять на требования к управлению данными. Например, австралийские компании должны соблюдать GDPR при работе с данными граждан ЕС. 

Для организаций, имеющих несколько зарегистрированных по всему миру юридических лиц, суверенитет данных и соблюдение различных экстерриториальных нормативных актов становятся очень сложными вопросами.

Все организации, большие и малые, должны тщательно учитывать суверенитет данных, чтобы поддерживать соблюдение правовых обязательств по управлению данными. Вопросы суверенитета данных все более актуальны для трансграничных операций, транснациональных компаний и организаций, работающих в отраслях с жестким регулированием. Подумайте, как вы управляете хранением, передачей и обработкой данных.

Важно выбрать поставщика облачных услуг, который полностью понимает суверенитет данных. Поставщик облачных услуг должен предоставлять клиентам встроенные средства защиты данных в соответствии с региональными требованиями и предлагать широкий спектр средств управления данными, цифровой идентификацией и доступом, безопасностью данных и конфиденциальностью.

Изучите цифровой суверенитет в AWS, чтобы получить дополнительную информацию, а также ознакомиться с примерами применения и последними обновлениями продуктов в этой важнейшей области безопасности, идентификации и соответствия требованиям.