Данные в облаке – фактически в архиве ФСБ/МВД/КГБ/Суда?

Хочу резюмировать дискуссию по поводу хранения данных в облаке.

Если вы выложили данные в облако – вы фактически разместили ваши данные в архиве ФСБ/МВД/КГБ/Суда (для СНГ выбрать инстанцию)? Давайте разберемся.

По первым впечатлениями доступ к архиву может получить любой уполномоченный сотрудник органов соблюдя некоторые нехитрые бюрократические мансы и написав соответствующую служебку провайдеру. Вообщем-то доступ не тривиален – но вполне реален. Была бы мотивация. А за мотивацией то можно и не по скупится.

Еще момент подсказали (Украина). Доступ к данным могут получить в рамках разбирательства по Уголовному делу, даже если ты там проходишь не как подозреваемый, а как свидетель. В течении года после проведения оперативно-разыскных мероприятий, известят пост фактум об этом.

Для примера взяли Ажур. Возникла последняя надежда на то что данные можно удалить если уведомят (вдруг) заранее. Но надежда умерла на корню. Вот что мне  прокомментировали на вопрос о возможности удаления данных после того как будет запрос из госструктур: Данных чтобы предотвратить выдачу нет, т.к есть всякие compliance для данных: https://www.windowsazure.com/en-us/support/trust-center/compliance/

Update 1: Есть обнадеживающий момент. Данные могут быть заблокированы в России по просьбе от властей – но не получить доступ. С доступлом сложнее, т.к есть Safe Harbour акт http://export.gov/safeharbor/ который запрещает выдачу данных тем кто не принял этот акт, а также есть всякие международные законы которые просто так не дают доступ. Скорее всего уголовное дело гдето в Гусь-Пердящинске и запрос на выдачу данных не будет иметь никакой силы в Штатах.

Update 2 Читай это International Data Protection and Privacy Law (http://www.whitecase.com/files/Publication/367982f8-6dc9-478e-ab2f-5fdf2d96f84a/Presentation/PublicationAttachment/30c48c85-a6c4-4c37-84bd-6a4851f87a77/article_IntlDataProtectionandPrivacyLaw_v5.pdf), и тут еще интересный пост про google и россию http://security.stackexchange.com/questions/9625/safe-harbor-in-usa-eu-and-russia

http://www.whitecase.com/files/Publication/367982f8-6dc9-478e-ab2f-5fdf2d96f84a/Presentation/Publica

 

Update 3: По поводу Azure. Если дата центр в России то ничего не мешает вытащить данные оттуда. Если сервер зарубежом, то действует MLAT акт (о котором писал выше), но это работает между странами как UK/Australia/ и другими странами в которых права соблюдаются. Россия входит в этот MLAT акт, но там есть еще конвенция дополнительная http://en.wikipedia.org/wiki/Hague_Securities_Convention коnjрая регулирует насколmко law warrant валиден. Т.е по запросу России данные просто так не выдадут. Все это лежит в области юриспруденции и никак не связано с US Data Security – т.к. они действуют тоmько по своему законодательству и если у US будет валидный law warrand выдать данные (допустим запрос из Australian Federal Police на основе MLAT) то они выгрузят данные и отдадут. Как это работает с Россией – очень смутно и надо искать юриста международника разбирающихся в таких вопросах.

IT Product Manager – внутренний продакт менеджер под крылом CIO

Очень часто можно наблюдать грустное серое внедрение IT систем, высота забора в умах бизнес пользователей между ними и IT так велика что за ним они и не пытаются разглядеть для себя что-то полезное. За этим забором бизнес ждет только периодически пылающих пожаров да денег-дай-на-софт/железо. Не будем касаться тут вопросов стратегий, участия CIO в развитии бизнеса etc. Посмотрим этажом ниже.

IT – это маленькая сервисная компания внутри бизнеса. IT предлагает очень важные и нужные, порой фундаментальные услуги и продукты для бизнеса. IT сегодня штурмует высоты управления проектами по внедрению ПО и железа, кое где уже достигнуты локальные победы в постановке процессов (ITIL необъятен, но выигранные точки на его карте есть). При всем при этом бизнес плохо понимает что есть, зачем это нужно, общение между бизнесом и IT разлажено, Не всегда внедряется то что нужно, а если внедряется то бывает так что про это никто не знает. Бизнес пользователи устраивают у себя подполньные мастерские по допиливания и созданию собственного софта, иногда доходит до альтернативных закупок.

Давайте посмотрим на следующие проблемы:

  • Пробелы с пониманием потребностей бизнеса – немало актуальных и много будущих потребностей бизнеса за бортом.
  • Реактивная позиция – IT заводится с пинка в предпоследний день. Это может происходить после месяцев кипения потребностей замешанных на гневе со стороны бизнес пользователей
  • Слабая аналитическая поддержка бизнесу – как правильно сформировать требования и выделить ключевые потребности бизнеса?
  • Сложности в коммуникациях с внутренним клиентом. Общение иногда настолько формально что о потребностях узнают из служебной записки. А хуже того что служебкой через месяц из IT могут ответить с уточняющим вопросом или предложением создать рабочую группу.
  • Ограниченность планирования полного жизненного цикла IT услуг и продуктов
  • Ограниченность понимания полного пакета продукта – обучения, документации, сопутствующих сервисов, процедур, уровня качества
  • Проблемы с продвижением новых возможностей. Часто запуская  обновления или даже внедряя новый продукта IT делает очень мало для того чтобы рассказать, показать и ввести в практику новый продукт или услугу.

Подчеркивая ключевые слава можно заметить что они нас приводят к общей проблеме в функции управления продуктов в IT. Да, да – именно те самые менеджеры продуктов которые рулят продуктами компании для ее внешних клиентов. Для таких значимых внутренних продуктов и услуг как IT – также необходимы продакт менеджеры!