Περίληψη : | Η υπολογιστική νέφους συνιστά μια από τις σημαντικότερες εξελίξεις στο χώρο της Πληροφορικής αποτελούμενη από ένα σύνολο τεχνολογιών, δυνατοτήτων και μοντέλων παροχή υπηρεσιών, βασιζόμενη στη χρήση του Διαδικτύου με την παροχή μεταξύ των άλλων, χώρων αποθήκευσης, μνήμης και δυνατοτήτων επεξεργασίας. Πέραν των πλεονεκτημάτων που παρουσιάζει η υιοθέτηση λύσεων νεφουπολογιστικής, όπως η επίτευξη υψηλότερου επιπέδου ασφαλείας για εφαρμογές και δεδομένα, η μείωση του κόστους μέσω οικονομιών κλίμακας και η ωφέλεια προς το περιβάλλον ιδίως μέσω της μείωσης εκπομπών, εμφανίζει και κάποιους κινδύνους για την ασφάλεια των δεδομένων και την ιδιωτικότητα του ατόμου. Κάποιοι από αυτούς τους κινδύνος αντιμετωπίζονται με το Πρότυπο ISO/IEC 27018, το οποίο ενισχύει την προστασία των προσωπικών δεδομένων, παρέχοντας πρόσθετους μηχανισμούς προστασίας αυτών, ενώ παρέχει κατευθύνσεις για τους παρόχους υπηρεσιών νεφουπολογιστικής. Η παρούσα Διπλωματική εργασία διαρθρώνεται σε 4 κεφάλαια. Στο πρώτο κεφάλαιο γίνεται αρχικά μια ανάλυση του νέφους υπογραμμίζοντας τα βασικά χαρακτηριστικά του. Στη συνέχεια γίνεται σύγκριση με την υπολογιστική πλέγματος και κατόπιν εντοπίζονται τα βασικά μοντέλα υπηρεσίας του νέφους (HaaS, IaaS, PaaS, SaaS, DRaaS). Ακολουθούν τα μοντέλα ανάπτυξης του νέφους (Ιδιωτικό, Δημόσιο, Υβριδικό, Κοινότητας) και τα πλεονεκτήματα από τη χρήση του νέφους. Τέλος δίνονται παραδείγματα παρόχων υπηρεσιών νεφουπολογιστικής. Στο δεύτερο κεφάλαιο αναλύονται διεξοδικά θέματα προστασίας προσωπικών δεδομένων. Κατ’ αρχάς δίνεται η έννοια των προσωπικών δεδομένων στο νέφος. Έπειτα εξετάζεται ποιος είναι ο υπεύθυνος επεξεργασίας των δεδομένων και ποιος ο εκτελών την επεξεργασία. Στη συνέχεια γίνεται αναφορά στο εφαρμοστέο δίκαιο επί του νέφους καθώς και στη διασυνοριακή μεταφορά δεδομένων που αποτελεί βασικό χαρακτηριστικό αυτής της τεχνολογίας. Κατόπιν γίνεται μια σύντομη παρουσίαση της πρότασης Κανονισμού για την προστασία των προσωπικών δεδομένων η οποία θα αντικαταστήσει την Οδηγία 95/46/ΕΚ. Τέλος γίνεται ανάλυση των ζητημάτων επιβολής του νόμου από δημόσιες υπηρεσίες στο νέφος. Στο τρίτο κεφάλαιο γίνεται ανάλυση των κινδύνων που εμφανίζει η χρήση του νέφους τόσο από τεχνική όσο και από νομική σκοπιά. Οι κίνδυνοι ταξινομούνται σε οργανωτικούς, τεχνικούς και νομικούς ανάλογα με τον χαρακτήρα τους και αναλύονται μεταξύ των άλλων η αδυναμία αλλαγής παρόχου, η απώλεια διακυβέρνησης, η απώλεια κλειδιών κρυπτογράφησης και ο διαχωρισμός δεδομένων. Στο τέταρτο και τελευταίο κεφάλαιο αναλύεται το Πρότυπο 27018. Συγκεκριμένα γίνεται παρουσίαση της έννοιας των προτύπων και των πλεονεκτημάτων που αυτά προσφέρουν για τις επιχειρήσεις, για τη κοινωνία και τις κυβερνήσεις των χωρών που τα υιοθετούν. Στη συνέχεια αναλύεται το συγκεκριμένο Πρότυπο παρουσιάζοντας μια σύγκριση μεταξύ των εννοιών των προσωπικά αναγνωρίσιμων πληροφοριών και των προσωπικών δεδομένων. Τέλος εξετάζεται η έννοια του υπευθύνου επεξεργασίας και του εκτελούντος την επεξεργασία στα πλαίσια του νέφους, ενώ αναλύονται οι έλεγχοι που προβλέπει. Cloud computing is one of the most important developments in the IT sector consisting of a set of technologies, capabilities and service models, based on the use of the Internet by providing, among other things, storage space, memory and processing capabilities. Besides the advantages of adopting cloud solutions as to achieve a higher level of security for applications and data, reducing costs through economies of scale and benefits to the environment in particular through emission reduction, some risks are identifies for data security and privacy. Some of these risks are managed using the standard ISO / IEC 27018, which enhances the protection of personal data, providing additional mechanisms while providing guidance for cloud providers. This thesis is divided into four chapters. The first chapter is an initial analysis of cloud highlighting the key features. Then it is compared with grid computing and then the main cloud service models (HaaS, IaaS, PaaS, SaaS, DRaaS) are identified. Afterwards the cloud development models (Private, Public, Hybrid, Community) and the advantages of using the cloud are presented. Finally, examples of cloud service providers are given. The second chapter analyzes thoroughly privacy issues. First the concept of personal data in the cloud is given. Then we examine who is the data controller and who is the processor. Then we refer to the applicable law and to the transborder data flows which are a key feature of this technology. Then a brief presentation of the proposed Regulation on the protection of personal data which will replace Directive 95/46 / EC follows. Finally we analyze law enforcement issues in the cloud. The third chapter is an analysis of the risks presented by the use of the cloud in both technical and legal terms. The risks are classified to organizational, technical and legal, depending on their nature and analyzed among others lock-in, loss of governance and loss of encryption keys. In the fourth and last chapter ISO 27018 is analysed. We present standards and the benefits they offer for companies, for society and the governments of countries adopting them. Afterwards the specific ISO 27018 is presented mentioning the differences between the concepts of personally identifiable information and personal data. Finally we consider the concept of controller and processor within the cloud while controls of the ISO are analyzed.
|
---|