Актуальные организационно-правовые вопросы использования облачных технологий: российский и международный опыт

(Полякова Т. А., Химченко А. И.) («Юридический мир», 2013, N 11)

АКТУАЛЬНЫЕ ОРГАНИЗАЦИОННО-ПРАВОВЫЕ ВОПРОСЫ ИСПОЛЬЗОВАНИЯ ОБЛАЧНЫХ ТЕХНОЛОГИЙ: РОССИЙСКИЙ И МЕЖДУНАРОДНЫЙ ОПЫТ

Т. А. ПОЛЯКОВА, А. И. ХИМЧЕНКО

Полякова Татьяна Анатольевна, профессор кафедры информационного права, информатики и математики Российской академии правосудия, заслуженный юрист Российской Федерации, доктор юридических наук.

Химченко Алексей Игоревич, научный сотрудник НИУ ВШЭ, соискатель кафедры информационного права, информатики и математики Российской правовой академии Минюста России.

В данной статье исследуются правовые вопросы использования облачных вычислений, в том числе в государственных учреждениях, выявляются возникающие при этом проблемы, рассматривается зарубежный опыт использования облачных вычислений в государственных учреждениях.

Ключевые слова: облачные вычисления; Национальная облачная программа; Государственная программа «Информационное общество (2011 — 2020)»; Государственная программа города Москвы «Информационный город (2012 — 2016 годы)»; Федеральная целевая программа «Развитие судебной системы России на 2013 — 2020 годы»; Программа фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013 — 2020 годы).

Topical organizational-law issues of use of cloud technologies: Russian and international experience T. A. Polyakova, A. I. Khimchenko

Polyakova Tat’yana Anatol’evna, professor of the chair of informational law, informatics and mathematics of the Russian academy of justice, Honored lawyer of the Russian Federation, doctor of juridical sciences.

Khimchenko Aleksej Igorevich, researcher of the National research university Higher school of economics, degree-seeking student of the chair of informational law, informatics and mathematics of the Russian law academy of the Ministry of justice of Russia.

In this paper we study legal aspects of using virtualizations technologies and cloud computing, analysis of federal state programs involving the use of cloud technologies, as well as analyzes an international experience of using virtualizations and cloud computing in the state institutions.

Key words: virtualization; National cloud program; State program «Information society»; State program «Information city»; Federal program «Development of the Russian judicial system» USA Federal Cloud Computing Strategy; Federal Information Security Management Act; Cloud and Interoperability Centre.

Использование облачных вычислений становится все более популярным и выгодным, а сами облачные вычисления уже выделяются в отдельную область рынка информационных технологий. При этом пропорционально стремительному росту возможностей данных технологий и преимуществам использования данного вида технологий растет также количество новых рисков и угроз технологического, организационного и правового характера, требующих пристального внимания. В конце 2012 г. неожиданно пессимистичное заявление сделала компания TrendMicro <1>, один из лидирующих поставщиков комплексных средств защиты облаков. Ее специалисты считают, что имеющиеся на сегодняшний день средства безопасности все-таки не способны защитить данные в облачных инфраструктурах. ——————————— <1> Ведущий поставщик программного обеспечения и услуг в области защиты «облачных» сред и данных в Интернете от вирусов. URL: http://www. trendmicro. com. ru/.

Согласно данным корпорации Symantec, ключевого игрока на международном рынке программного обеспечения в области информационной безопасности и антивирусов, 77% компаний испытывают сложности из-за самовольного использования персоналом облачных решений в обход корпоративных правил, что приводит к нарушениям целостности либо утрате конфиденциальной информации <2>. ——————————— <2> Компания по производству программного обеспечения в области информационной безопасности и антивирусов. URL: http://www. symantec. com/.

В связи с этим особого внимания заслуживают правовые аспекты использования облачных вычислений и возникающие при этом риски. По результатам исследования, проведенного в 2012 г. Ассоциацией производителей программного обеспечения (BSA), Российская Федерация занимает 16-е место среди 24 стран в новом рейтинге государственного регулирования, влияющего на рост облачных вычислений <3>, что подтверждает необходимость фундаментальной проработки правовых вопросов, связанных с использованием облачных вычислений. ——————————— <3> Торговая ассоциация, представляющая интересы ряда крупнейших в мире разработчиков программного обеспечения. URL: http://www. bsa. org/.

Одним из наиболее актуальных таких вопросов является недостаточно изученная сфера отношений между провайдерами и потребителями облачных услуг, что не позволяет цивилизованно разрешать конфликты, неизбежно возникающие при стремительном развитии облачных технологий и их использовании, в процессе которого аккумулируются огромные массивы информации, содержащей персональные данные граждан и иные виды информации ограниченного доступа, включая коммерческую тайну. В настоящее время отсутствует единая точка входа в облачные сервисы, и в случае передачи в облако бизнес-процессов организация вынуждена передавать информацию сразу в несколько внешних компаний, в результате чего повышаются риски нарушения целостности и конфиденциальности информации. Крупные компании отчасти решают данную проблему строительством частных облаков, в то время как компании малой и средней капитализации в основном используют публичные сервисы и не всегда имеют соответствующие правовые инструменты для защиты своих прав. Положение усугубляется еще и тем, что, размещая информацию в публичном облачном сервисе, организация не имеет возможности контролировать уровень обеспечения ее безопасности, ввиду того что провайдеры облачных сервисов не предоставляют клиентам возможность проведения аудита защищенности своих сервисов. Нуждается в дополнительном исследовании в связи с этим вопрос целесообразности введения института аудиторов, специализирующихся на независимых проверках обеспечения защиты информации, переданной в публичные облачные сервисы, наряду с институтом сертификации для определения уровня информационной безопасности проверяемых сервисов он также требует соответствующей правовой экспертизы. При этом важность проблемы обеспечения информационной безопасности при использовании облачных вычислений обусловлена в том числе и отсутствием каких-либо стандартов безопасности облачных сред и инструментов измерения уровня рисков и угроз. Для правового обеспечения широкого применения облачных сервисов сегодня важны их научные исследования, что подтверждается включением в Программу фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013 — 2020 годы) <4>, предусматривающей фундаментальные исследования в области информационно-коммуникационных технологий и систем, стратегических компьютерных технологий и программ. ——————————— <4> Утверждена распоряжением Правительства Российской Федерации от 27 декабря 2012 г. N 2538-р. URL: http://www. rg. ru/2012/12/31/issledovaniya-site-dok. html (дата обращения: 15.03.2013).

Представляется, что установление ответственности в виртуальных средах участников отношений, возникающих в процессе предоставления облачных услуг, это вопрос, который нуждается в правовом урегулировании на законодательном уровне в самое ближайшее время, поскольку использование облачной среды для реализации функций государственного управления, развития судебной системы и некоторых других проектов является актуальной задачей. Среди наиболее масштабных государственных проектов, запущенных в мае 2012 г. ОАО «Ростелеком», следует отметить Национальную облачную платформу, создающуюся в рамках государственной программы «Информационное общество (2011 — 2020)» <5>. Национальная облачная платформа представляет собой комплекс интегрированных информационных систем, предназначенный для предоставления органам исполнительной власти различного уровня, органам местного самоуправления, коммерческим организациям и физическим лицам услуг по модели облачных вычислений. Сервисы Национальной облачной платформы призваны решить сразу несколько глобальных задач в сфере информатизации основных социальных сфер, таких, как здравоохранение, образование, жилищно-коммунальное хозяйство и безопасность. Таким образом, представляется, что коммерческие и бюджетные организации с помощью применения облачных вычислений имеют возможность автоматизировать большинство процессов, снизив тем самым затраты на содержание собственной инфраструктуры. ——————————— <5> Распоряжение Правительства Российской Федерации от 2 декабря 2011 г. N 2161-р. URL: www. government. ru/gov/results/17448 (дата обращения: 15.03.2013).

Сегодня предусмотрено использование облачных технологий также Государственной программой города Москвы «Информационный город (2012 — 2016 годы)» <6>. В частности, подпрограммой «Формирование общедоступной информационно-коммуникационной среды» предусматривается централизованное размещение городских информационных систем и ресурсов на базе единого центра обработки данных (ЦОД), реализация чего позволит оптимизировать эксплуатацию информационных систем, ресурсов и аппаратных средств органов исполнительной власти города Москвы и учреждений города Москвы. В рамках ЦОД должна быть в том числе создана инфраструктура для предоставления сервисов на базе облачных технологий органам государственной власти города Москвы, бизнесу и гражданам. Использование облачных вычислений предусмотрено в будущем также и в судебной системе, на это непосредственно указано в Федеральной целевой программе «Развитие судебной системы России на 2013 — 2020 годы», утвержденной Постановлением Правительства Российской Федерации от 27 декабря 2012 г. N 1406 <7>. ——————————— <6> Постановление Правительства Москвы от 9 августа 2011 г. N 349-ПП. URL: www. dit. mos. ru/legislation/lawacts/document35. <7> Постановление Правительства Российской Федерации от 27 декабря 2012 г. N 1406. URL: www. rg. ru/2013/01/07/sud-site-dok. html.

В частности, согласно указанной Программе в целях развития информационных технологий в системе арбитражных судов предполагается реализация таких мероприятий: создание облачной вычислительной архитектуры, которая позволит максимально эффективно, надежно и безопасно использовать технологии и специализированное облачное программное обеспечение для автоматизации судебного и общего делопроизводства, что в дальнейшем существенно сократит затраты на развертывание, поддержку и модернизацию программного обеспечения. Важно отметить, что в рамках этого мероприятия планируется разработка единой облачной системы автоматизации судопроизводства и электронного документооборота, создание главного центра обработки данных Высшего Арбитражного Суда Российской Федерации на базе арбитражных судов Московского региона, а также создание 10 центров обработки данных в федеральных арбитражных судах округов. Решение этих задач позволит реализовать возможность удаленного доступа как со стороны судов, так и со стороны участников судебных процессов из любой точки страны и мира, с любого устройства, в том числе мобильного; расширение возможностей использования мобильных устройств в качестве доступа к информационным ресурсам, программным комплексам и базам данных арбитражных судов Российской Федерации посредством использования облачных технологий для судей и работников аппарата судов — мобильного правосудия. Представляется важным отметить распоряжение Правительства Российской Федерации от 20 июля 2013 г. N 1268-р «Об утверждении Плана мероприятий («дорожной карты») «Развитие отрасли информационных технологий», разработанное в целях принятия органами исполнительной власти мер, направленных на ускоренное развитие российской отрасли информационных технологий в 2013 — 2018 гг. В разделе IV указанного Плана мероприятий, направленного на совершенствование институциональных условий ведения бизнеса в области информационных технологий, содержатся положения о совершенствовании законодательства для обеспечения развития облачных вычислений, в частности к IV кварталу 2015 г., и ожидаемым результатом является разработка проектов нормативных правовых актов, упрощающих ведение бизнеса, связанного с облачными вычислениями <8>. ——————————— <8> СЗ РФ. 2013. N 30 (часть II). Ст. 4168.

Наиболее развитая политика в области облачных вычислений сформировалась уже в Японии, Австралии, Германии, США и Франции, где создана фундаментальная правовая база, позволяющая поддерживать и развивать практику применения облачных вычислений. Следует отметить активное внедрение и использование облачных сервисов в США, где в 2011 г. была разработана Стратегия Правительства США в области облачных технологий <9>, определившая не только понятие облачных вычислений, а также преимущества этой технологии и планы их внедрения в государственные учреждения США. ——————————— <9> Federal Cloud Computing Strategy. URL: http://www. dhs. gov/sites/default/files/publications/digital-strategy/federal-cloud-computing-strategy. pdf.

Согласно указанной Стратегии государственному учреждению перед размещением IT-сервиса в облачной среде предписывается обеспечить достаточный уровень безопасности по нескольким аспектам. Среди них следует выделить соответствие требованиям законов штата, подзаконных актов и внутриведомственных нормативных документов; определение характера данных с целью выяснения конкретных требований по безопасности, предъявленных к данным такого типа; обеспечение приватности, конфиденциальности, целостности данных и т. д. Одним из примеров использования облачных вычислений в государственных учреждениях является облачная платформа NASANebula <10>, позволившая ученым организовать космические исследования в течение рекордно короткого времени, перевод Федерального казначейства США на облачную платформу AmazonEC2, создание Министерством внутренней безопасности США облака, содержащего 100 000 электронных адресов сотрудников различных подразделений Министерства, а также перевод в облачную инфраструктуру 120 000 электронных адресов Министерства сельского хозяйства США. ——————————— <10> Открытая cloud-платформа, предназначенная для распределенных расчетов с целью поддержки действующих и будущих космических миссий, образования, публичных исследований и совместной работы над научными данными.

Повышенное внимание к правовому регулированию процессов, связанных с облачными вычислениями, уделяется и в Европейском союзе, о чем свидетельствуют разработка и принятие ряда фундаментальных документов. В 2009 г. Европейским агентством сетей и информационной безопасности был опубликован отчет о рисках и преимуществах облачных вычислений в сфере информационной безопасности. В 2011 г. также был опубликован доклад «Безопасность и отказоустойчивость в государственных облаках» <11>. Еврокомиссией в 2010 г. были разработаны План цифрового развития для Европы <12> — разработка стратегии в сфере облачных вычислений к 2012 г., Анализ вызовов в области безопасности и приватности в Облаке, Оценка экономического эффекта облачных вычислений, а в мае 2011 г. были опубликованы Планы слушаний по вопросу законодательного регулирования в сфере облачных вычислений. ——————————— <11> Security and Resilience in Governmental Clouds. URL: http://www. enisa. europa. eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds. <12> Европейская стратегия экономического развития — «Европа 2020: стратегия разумного, устойчивого и всеобъемлющего роста». URL: http://ec. europa. eu/europe2020/index_en. htm.

Важно также отметить, что в октябре 2012 г. Европейской комиссией была представлена стратегия развития облачных вычислений, направленная на повышение производительности европейского бизнеса и госсектора, получившая название «Раскрытие потенциала облачных вычислений в Европе» <13>. ——————————— <13> Unleashing the potential of cloud computing in Europe. URL: http://ec. europa. eu/information_society/activities/cloudcomputing/docs/com/com_cloud.

Согласно программному документу ЕС новая стратегия предусматривает следующие направления развития: повышение интероперабельности, переносимости данных и обратимости путем разработки четких технических стандартов (суть которых будет определена в течение 2013 г.); общеевропейская сертификация надежных поставщиков облачных услуг; развитие «безопасных и справедливых» условий для облачных контрактов, включая соглашения об уровне обслуживания (SLA), и др. Следует также отметить открытие в 2011 г. корпорацией Microsoft в Брюсселе Европейского цента облачных технологий и интероперабельности, где организовано более 50 демонстраций новейших решений для государственного и корпоративного сектора, а также обычных потребителей в таких разнообразных сферах, как электронное правительство, здравоохранение, окружающая среда, образование, оборона и национальная безопасность. Особое внимание уделяется интероперабельности и облачным решениям для правительств. Так, партнерство правительств стран ЕС с облачной индустрией для повышения покупательной способности государственного сектора и формирования европейского облачного рынка направлено на стимулирование роста облачной индустрии Евросоюза. При этом ЕС рассчитывает, что предоставление госзаказов на поставку услуг электронного правительства позволит европейским вендорам <14> активно развиваться, результатом чего, в свою очередь, должно стать увеличение до 2,5 млн. дополнительных рабочих мест по всей Европе к 2020 г. и повышение ВВП до 250 млрд. евро в год. ——————————— <14> Компания, выпускающая и поставляющая продукты, услуги под своей торговой маркой.

Таким образом, необходимость правового регулирования облачных вычислений уже не вызывает сомнений, и многими государствами предпринимаются конкретные действия по дальнейшему системному развитию облачных вычислений в соответствии с современным развитием технологий и общества, а также в целях нейтрализации существующих угроз информационной безопасности. Однако в условиях глобализации бесспорно необходима разработка международных правовых норм, отсутствие которых отрицательно влияет на развитие облачного направления в целом, хотя и в большей степени, по мнению отраслевых специалистов, это отражается на сегменте публичных облаков. Принятие на международном уровне необходимых регулирующих правовых актов позволило бы не только ликвидировать «информационные границы», но и способствовало бы безопасному для общества и системному развитию облачных технологий. Представляется, что разработка и принятие нормативных правовых актов в этой сфере должны осуществляться с учетом международного и зарубежного опыта, на основе фундаментальных научных исследований в этой области и быть направлены на систематизацию и упорядочение тех видов деятельности, в основе которых лежат облачные технологии, решение соответствующих организационных вопросов и обеспечение контроля со стороны регулирующих органов для развития отрасли информационных технологий в целом, поскольку использование и развитие облачных вычислений происходят пока стихийно ввиду отсутствия стандартов в этой области.

Литература

1. Европейская стратегия экономического развития — «Европа 2020: стратегия разумного, устойчивого и всеобъемлющего роста». URL: http://ec. europa. eu/europe2020/index_en. htm. 2. Постановление Правительства Москвы от 9 августа 2011 г. N 349-ПП. URL: www. dit. mos. ru/legislation/lawacts/document35. 3. Постановление Правительства Российской Федерации от 27 декабря 2012 г. N 1406. URL: www. rg. ru/2013/01/07/sud-site-dok. html. 4. Распоряжение Правительства Российской Федерации от 27 декабря 2012 г. N 2538-р. URL: http://www. rg. ru/2012/12/31/issledovaniya-site-dok. html (дата обращения: 15.03.2013). 5. Распоряжение Правительства Российской Федерации от 2 декабря 2011 г. N 2161-р. URL: www. government. ru/gov/results/17448 (дата обращения: 15.03.2013). 6. СЗ РФ. 2013. N 30 (часть II). Ст. 4168. 7. Federal Cloud Computing Strategy. URL: http://www. dhs. gov/sites/default/files/publications/digital-strategy/federal-cloud-computing-strategy. pdf. 8. Security and Resilience in Governmental Clouds. URL: http://www. enisa. europa. eu/activities/risk-management/emerging-and-future-risk/deliverables/security-and-resilience-in-governmental-clouds. 9. Unleashing the potential of cloud computing in Europe. URL: http://ec. europa. eu/information_society/activities/cloud-computing/docs/com/com_cloud.

——————————————————————