Научная статья на тему 'ОБЛАЧНЫЕ СЕРВИСЫ ХРАНЕНИЯ ЦИФРОВЫХ ДОКУМЕНТОВ: ЗАКОНОДАТЕЛЬНАЯ БАЗА И СУЩЕСТВУЮЩИЕ РИСКИ'

ОБЛАЧНЫЕ СЕРВИСЫ ХРАНЕНИЯ ЦИФРОВЫХ ДОКУМЕНТОВ: ЗАКОНОДАТЕЛЬНАЯ БАЗА И СУЩЕСТВУЮЩИЕ РИСКИ Текст научной статьи по специальности «Экономика и бизнес»

CC BY-NC-ND
533
94
i Надоели баннеры? Вы всегда можете отключить рекламу.
Журнал
История и архивы
Область наук
Ключевые слова
ЦИФРОВЫЕ ДОКУМЕНТЫ / ОБЛАЧНЫЕ СЕРВИСЫ / КОНФИДЕНЦИАЛЬНОСТЬ / УПРАВЛЕНИЕ ЭЛЕКТРОННЫМИ ДОКУМЕНТАМИ / РИСКИ

Аннотация научной статьи по экономике и бизнесу, автор научной работы — Сабенникова И. В.

В данной статье анализируется сложившаяся ситуация с хранением и управлением электронными документами и созданием в связи с этим облачных сервисов. Дается определение облачных хранилищ. Рассматривается законодательная база, сформировавшаяся в Европейском Союзе в отношении облачных вычислений, используемых для электронного делопроизводства и хранения цифровых документов, называются основные законопроекты, стандарты и другие нормативные документы, принятые в Европе в течение последних лет. Отмечается, что в настоящее время между европейскими странами по данным вопросам пока еще нет единой политики, решения, принимаемые ими, часто фрагментарны. В некоторых странах законодательство, регулирующее вопросы облачного хранения, еще не разработано, и защита потребителей на рынке облачных вычислений осуществляется через законодательство о защите персональных данных и о правах на цифровые документы. Подробно излагаются и анализируются риски, связанные с созданием и хранением цифровых документов в облачных системах, и необходимый уровень контроля за созданием, организацией, ведением и доступом к документам, находящимся на облачном хранении. Возможные риски должны оцениваться как на основе содержания или тематики информации и документации, так и уровня их конфиденциальности и значимости для деятельности организации. Рассматриваются права и обязанности поставщиков облачных услуг. Акцентируется внимание на все еще нерешенных вопросах доказательности подлинности, обеспечения надежности, безопасности, соблюдения конфиденциальности документов, хранящихся в облачной среде.

i Надоели баннеры? Вы всегда можете отключить рекламу.
iНе можете найти то, что вам нужно? Попробуйте сервис подбора литературы.
i Надоели баннеры? Вы всегда можете отключить рекламу.

CLOUD SERVICES FOR STORING DIGITAL DOCUMENTS. LEGAL FRAMEWORK AND EXISTING RISKS

The article analyzes the current situation concerning the storage and management of electronic documents and the creation of the associated cloud services. The paper gives a definition of the cloud storage. It considers the legislative framework formed in the European Union regarding the use of cloud computing for digital records management and storage of digital documents; the article also names the main legal acts, standards and other normative documents adopted in Europe in recent years. It is noted that at present there is no common policy among the European countries on these issues, the decisions they make are often fragmentary. In some countries, the cloud storage legislation has not been developed yet, and consumer protection in the cloud computing market is implemented through data protection and digital rights legislation. Risks associated with the creation and storage of digital documents in cloud systems and the required level of control over the creation, organization, maintenance and access to documents stored in the cloud are described and analyzed in detail. Potential risks should be assessed both on the basis of the content or subject matter of information and documentation, and the level of their confidentiality and significance for the organization’s activities. The rights and obligations of the cloud service providers are discussed. Attention is focused on the still unresolved issues of proof of the authenticity, reliability, security, confidentiality of the documents stored in the cloud.

Текст научной работы на тему «ОБЛАЧНЫЕ СЕРВИСЫ ХРАНЕНИЯ ЦИФРОВЫХ ДОКУМЕНТОВ: ЗАКОНОДАТЕЛЬНАЯ БАЗА И СУЩЕСТВУЮЩИЕ РИСКИ»

УДК 005.92:004

DOI: 10.28995/2658-6541-2022-2-73-82

Облачные сервисы хранения цифровых документов: законодательная база и существующие риски

Ирина В. Сабенникова

Всероссийский научно-исследовательский институт документоведения и архивного дела, Москва, Россия, [email protected]

Аннотация. В данной статье анализируется сложившаяся ситуация с хранением и управлением электронными документами и созданием в связи с этим облачных сервисов. Дается определение облачных хранилищ. Рассматривается законодательная база, сформировавшаяся в Европейском Союзе в отношении облачных вычислений, используемых для электронного делопроизводства и хранения цифровых документов, называются основные законопроекты, стандарты и другие нормативные документы, принятые в Европе в течение последних лет. Отмечается, что в настоящее время между европейскими странами по данным вопросам пока еще нет единой политики, решения, принимаемые ими, часто фрагментарны. В некоторых странах законодательство, регулирующее вопросы облачного хранения, еще не разработано, и защита потребителей на рынке облачных вычислений осуществляется через законодательство о защите персональных данных и о правах на цифровые документы. Подробно излагаются и анализируются риски, связанные с созданием и хранением цифровых документов в облачных системах, и необходимый уровень контроля за созданием, организацией, ведением и доступом к документам, находящимся на облачном хранении. Возможные риски должны оцениваться как на основе содержания или тематики информации и документации, так и уровня их конфиденциальности и значимости для деятельности организации. Рассматриваются права и обязанности поставщиков облачных услуг. Акцентируется внимание на все еще нерешенных вопросах доказательности подлинности, обеспечения надежности, безопасности, соблюдения конфиденциальности документов, хранящихся в облачной среде.

Ключевые слова: цифровые документы, облачные сервисы, конфиденциальность, управление электронными документами, риски

Для цитирования: Сабенникова И.В. Облачные сервисы хранения цифровых документов: законодательная база и существующие риски // История и архивы. 2022. № 2. С. 73-82. БОТ: 10.28995/2658-6541-2022-2-73-82

© Сабенникова И.В., 2022 ISSN 2658-6541 • История и архивы. 2022. № 2

Cloud services for storing digital documents. Legal framework and existing risks

Irina V. Sabennikova

All-Russian Records Management and Archival Science Research Institute, Moscow, Russia, [email protected]

Abstract. The article analyzes the current situation concerning the storage and management of electronic documents and the creation of the associated cloud services. The paper gives a definition of the cloud storage. It considers the legislative framework formed in the European Union regarding the use of cloud computing for digital records management and storage of digital documents; the article also names the main legal acts, standards and other normative documents adopted in Europe in recent years. It is noted that at present there is no common policy among the European countries on these issues, the decisions they make are often fragmentary. In some countries, the cloud storage legislation has not been developed yet, and consumer protection in the cloud computing market is implemented through data protection and digital rights legislation. Risks associated with the creation and storage of digital documents in cloud systems and the required level of control over the creation, organization, maintenance and access to documents stored in the cloud are described and analyzed in detail. Potential risks should be assessed both on the basis of the content or subject matter of information and documentation, and the level of their confidentiality and significance for the organization's activities. The rights and obligations of the cloud service providers are discussed. Attention is focused on the still unresolved issues of proof of the authenticity, reliability, security, confidentiality of the documents stored in the cloud.

Keywords: digital documents, cloud services, confidentiality, electronic documents management, risks

For citation: Sabennikova, I.V. (2022), "Cloud services for storing digital documents. Legal framework and existing risks", History and Archives, no. 2, pp. 73-82, DOI: 10.28995/2658-6541-2022-2-73-82

Введение

Массовая замена в начале двадцать первого века аналоговых документов электронными, переход на электронный документооборот различных структур власти и создание цифрового правительства во многих странах привела к накоплению большого объема информации, проблемам управления ею и ее дальнейшего хранения. С целью организации управления и хранения цифровой документации были созданы онлайн-хранилища, получившие название

облачных хранилищ (cloud storage) и представляющие собой сервисы на базе облачных вычислений. Децентрализованная система хранения облачных хранилищ позволяет рассредоточивать предоставленную информацию по различным серверам, связанным между собой виртуально, но географически удаленных. Облачные сервисы имеют ряд преимуществ, делающих их привлекательными для бизнеса, банковских структур и государственного сектора. Прежде всего это экономия средств на покупке оборудования и квалифицированного обслуживания. Среди общедоступных облачных хранилищ наибольший рейтинг сейчас у Icloud.com, Onedrive.com, Disk. yandex.ru, Box.com, Cloud.mail.ru, Dropbox.com и некоторых других. В России облачные хранилища также развиваются быстрыми темпами, техническую основу для них согласно ГОСТу Р 58811-2020 образуют центры обработки данных - ЦОДы1. Тем не менее законодательная база для облачного хранения цифровых документов в РФ находится на стадии формирования.

Законодательные основы облачного хранения в ЕС

Облачные сервисы активно внедряются в большинстве современных стран, и в этом процессе законодательная база играет ключевую роль. С целью выработки единого стратегического подхода в вопросах хранения и управления электронными документами в Европе в течение ряда лет принимаются законопроекты, стандарты и другие нормативные документы. Тем не менее законодательная база в отношении облачных вычислений для электронного делопроизводства и хранения цифровых документов в большинстве европейских стран остается фрагментарной.

Начиная с 1990-х гг. ЕС издавал директивы по информационно-коммуникационным технологиям, электронному правительству и защите данных, которые напрямую или косвенно касались вопросов, связанных с цифровыми документами, и были направлены на создание определенной правовой базы для обеспечения свободного предоставления информационных услуг в государствах-членах ЕС. Параллельно проводилась исследовательская работа по проблемам хранения цифровых данных. Исследования касались прежде всего сохранения интерактивных объектов, эфемерных данных, вырабатывались методы придания юридической силы

1 ГОСТ Р 58811-2020. Национальный стандарт Российской Федерации. Центры обработки данных. Инженерная инфраструктура. Стадии создания. URL: https://docs.cntd.ru/document/1200171331 (дата обращения 03.12.2021).

виртуальным объектам, разрабатывались аудит и сертификация, создание расширяемых систем, процессов хранения и повторного использования информации2.

В 2012 г. была принята стратегия Европейского облака по разработке модели типовых условий контракта для регулирования вопросов хранения данных3. Резолюция ЕС 28/06/2012 содержит критерии процессов управления документами, включающие сбор документов и представление метаданных, регистрацию, классификацию (в том числе критерии создания файлов и агрегирования документов), описание, доступ, экспертизу ценности, хранение и уничтожение. Инструменты для управления документами (InSide) и архивного хранения (ARCHIVE), основанные на модели OAIS, были доступны государственным администрациям через облачные вычисления, веб-сервисы или с помощью других средств4.

Закон 39/2015 был направлен на стимуляцию развития и продвижения электронного правительства5. Согласно этому закону все государственные органы должны иметь электронный реестр любого представленного на рассмотрение или полученного документа. Каждая государственная структура также должна иметь цифровой архив, в котором файлы хранятся в формате, гарантирующем подлинность, целостность, конфиденциальность, сохранность и контроль доступа. В рамках стратегии «Европа 2020» (Europe 2020) Европейская Комиссия рекомендовала внедрение облачных вычислений во всех секторах экономики для стимулирования производительности труда и занятости в различных странах. Последняя инициатива акцентирует внимание на создании Европейского облака

2 European Archival 2017 - European Archival Records and Knowledge Preservation, 2014-2017. URL: http: //www.eark-project.com/ (дата обращения 14.12.2021).

3 European Commission 2012 - European Commission (2012, September 27). Unleashing the potential of cloud computing in Europe. COM 529. Retrieved from: http://eur-lex.europa.eu/LexUriServ/LexUriServ. do?uri=C0M:2012:0529:FIN:EN:PF (дата обращения 14.12.2021).

4 InSIDE (Infraestructura y Sistemas de Documentacion Electrónica). URL: https://rednerea.juntadeandalucia.es/drupal/catalogo_red_sara/inside. ARCHIVE. URL: https://administracionelectronica.gob.es/ctt/archive#. XcccY-tKios (дата обращения 14.12.2021).

5 Jefatura del Estado 2015 - Jefatura del Estado (2015). Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas. BOE 236: A-2015-10565 [Law 39/2015, of October 1, on the Common administrative procedure of public administration]. Retrieved from: https:// www.boe.es/buscar/pdf/2015/B0E-15-10565-consolidado.pdf (дата обращения 14.12.2021).

открытой науки (European Open Science Cloud) для хранения, обмена и повторного использования научных данных и результатов.

При проведении этой политики не всегда учитывались риски, связанные с созданием и хранением цифровых документов в облачных системах, и необходимый уровень контроля над созданием, организацией, ведением и доступом к документам, находящимся на облачном хранении. Все еще нерешенными остаются вопросы доказательности подлинности, обеспечения надежности, безопасности, соблюдения конфиденциальности документов, хранящихся в облачной среде. По мнению исследователей данного вопроса, необходима выработка консолидированного набора правил управления электронными документами, которые могут применяться как государственными учреждениями, так и частными корпоративными органами [Maria Guercio 2021].

В настоящий момент единой политики между европейскими странами по данным вопросам нет, решения, принимаемые ими, часто фрагментарны. Во многих странах, входящих в ЕС, например в Испании, законодательство, регулирующее вопросы облачного хранения, еще не разработано. Единственное законодательство, которое защищает потребителей от рынка облачных вычислений -это законодательство о защите персональных данных и правах на цифровые документы. В Италии, также члене ЕС, нет специального законодательства по облачным сервисам для государственной администрации. Основная часть законодательства, регулирующего облачные сервисы для систем делопроизводства и хранения цифровых документов, представлена в виде законов, правил, нормативных актов и руководящих принципов, не связанных непосредственно с облачными технологиями, ориентированными на закупки и тендеры для государственного сектора, в то время как новая область аудита и контроля находится в стадии разработки по инициативе Национального антикоррупционного органа Италии (ANAC). Не так давно был утвержден национальный план по созданию облачной среды государственного управления, на основе переподготовки внутренних ресурсов, существующих в государственных администрациях, с использованием ресурсов квалифицированных внешних сторон, и с применением публичных и частных облачных технологий для хранения данных и вычислений [Stefano Allegrezza 2021].

Научные проекты

В 2013 г. был запущен большой Архивный проект InterPARES Trust, которым руководила Лучана Дуранти. Этот проект направлен на разработку как местных, так и международных стандартов,

и нормативных актов, способных обеспечить доверие общественности к цифровым документам, создаваемым и/или хранящимся в облачной среде6. Для доверия к документам, расположенным в облачных хранилищах, по мнению участников проекта, необходимо изменение существующих практик управления и сохранения цифровых документов, с включением в них учета сетевого характера документов созданных и хранимых в облачных средах, определения роли поставщиков облачных услуг. Проект затрагивал самые разнообразные вопросы: расположение и описание в облаке, разработку типовых контрактов на облачные вычисления, проблемы конфиденциальности и сопутствующие им в облачной среде, правовые вопросы ведения документации в облаке и др. Среди других был проект Джули МакЛеод «Экономические модели для принятия решений в облачных хранилищах». Целью проекта являлось изучение использования экономических моделей для оценки среднесрочных и долгосрочных финансовых последствий внедрения облака. Исследователи пришли к выводу, что модели для расчета стоимости хранения документов в облаке до сих пор не получили широкого распространения, а принятие решений о хранении документов в облаке часто определяется административным решением без участия специалистов по управлению документами в облачной среде. Неизученным остается вопрос о потенциальных последствиях перехода от капитальных к текущим операционным расходам при использовании услуг облачного хранения, а также возможные риски для данных, хранящихся в облаке, при увеличении расходов на хранение. Был сделан вывод, что при переходе на облачное хранение важно максимально предусмотреть все затраты, не только технические, но и затраты на рабочее время сотрудников, на обеспечение безопасности и контроля доступа и др. [Julie McLeod with Hrvoje Stancic 2021].

Исследования, проводимые западными специалистами в сфере управления и хранения документов, показали, что недостаточное внимание уделяется рискам, связанным с документами, прежде всего в плане доказательности подлинности и целостности информации при использовании облачных технологий. Недостаточно внимания уделяют и вопросам хранения, ограничивая этот сложный процесс вопросами контроля технических условий хранения.

6 Duranti L., Rogers C. Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project / Ed. by H. Stancic. L.: Routledge, 2021. 260 p.

Риски облачного хранения

В Новой Зеландии, в том числе и в госсекторе, в рамках развития процесса цифровой трансформации проводится политика «Облака прежде всего» по внедрению облачных сервисов и оценки рисков. Опыт Новой Зеландии интересен тем, что он был обобщен и нашел отражение в рекомендациях главного государственного директора по цифровым технологиям Новой Зеландии (the Government Chief Digital Officer - GCDO)7. Одно из основных требований рекомендаций - хранить в облачном сервисе только данные, имеющие гриф «для служебного использования» или ниже, независимо от того, размещен ли сервис на территории страны или за ее пределами. Согласно рекомендациям, государственные организации при переходе их к облачным хранилищам должны провести оценку ценности, значимости и конфиденциальности информации и документации, размещаемой в облаке, с целью обеспечения их надлежащей защиты. Возможные риски должны оцениваться как на основе содержания или тематики информации и документации, так и уровня их конфиденциальности и значимости для деятельности организации. Информация и документация, переданные на аутсорсинг в облачную среду, должны оставаться законной и интеллектуальной собственностью передавшей их организации. Необходимым признается оценка юридических рисков, связанных с использованием оффшорных поставщиков облачных услуг, подчиняющихся, как правило, законам своей страны. Поставщик облачных услуг должен быть рассмотрен и с точки зрения возможного риска нелегального разглашения информации, и уровня возможного ущерба в этом случае. Информация и документация, хранящиеся в облачной среде, должны быть защищены от несанкционированного удаления или изменения, и в любое время обеспечена доступность резервных копий, а также определена стоимость извлечения информации из них. Не менее важно для организаций обеспечить надлежащее управление информацией и документацией ограниченного доступа.

Государственным организациям при переходе их к облачным хранилищам необходимо предусмотреть возможность сбоев в обслуживании, в результате чего информация и документация могут оказаться недоступны, и оценить последствия, с этим связанные. В случае переноса информации и документации в другую среду специализированные интерфейсы и языки программиро-

7 Cloud Services: Information and Records Management Considerations // Archives New Zealand. P. 1-12. Available at: https://www.archives.govt. nz/files/Cloud%20services%20-%20Information%20and%20records%20 management%20considerations%2018%2FG15 (Accessed 19 Feb. 2022).

вания, используемые поставщиками облачных услуг, не должны создавать для этого препятствий. При обновлении системы должны проводиться подробные консультации с каждой организацией или отдельным пользователем, использующим систему, в целях предотвращения утраты контроля над целостностью информации и документов.

Отсутствие стандартов мобильности в облачной среде может затруднить процесс удаления деловой информации и документации в целях выполнения требований по хранению при прекращении действия договора. Организация должна быть в состоянии доказать, что документы не могли быть каким-либо образом изменены во время их хранения в облаке. С этой целью должна быть предоставлена возможность соединения информации и документации, создаваемых, хранящихся и управляемых в облачной среде, с их соответствующими метаданными, обеспечивая контекст и тем самым гарантируя их надежность в качестве доказательств. В определенной степени доказательная ценность информации и документации может быть подтверждена описанием управленческих процессов, выполняемых по отношению к документации в облачных системах в контрольных журналах.

Информация и документация, размещенные в облаке, вне зависимости от их местонахождения должны быть легко доступны в части информационных запросов, как того требует законодательство. Также должна быть предусмотрена функция отчетности в целях облегчения процессов внутреннего и внешнего аудита.

Методы обеспечения сохранности, программное обеспечение, система и инфраструктура, используемые поставщиком, необходимо тщательно оценивать и контролировать хранение, отбор и передачу документации, находящейся в облаке, а также знать, насколько легко обновляемы параметры облачного сервиса в отношении отбора и передачи в случае внесения изменений в правила отбора и передачи организации.

Для государственных учреждений документы, хранящиеся в облаке, имеют сроки хранения, которые должны соблюдаться. Существует также риск того, что информация и документация после распоряжения организации не будут своевременно уничтожены. Это может случиться из-за множества резервных баз, хранящих копии на сайтах, расположенных в разных местах или даже в разных юрисдикциях (странах), что недопустимо для информации и документации, содержащих, например, личную или конфиденциальную информацию. Поставщики должны производить удаление и в цифровом виде измельчение документов в соответствии со сроками хранения. При этом необходимо иметь акты об уничтожении.

В договоре между государственными учреждениями и поставщиками услуг должна содержаться детальная информация о прекращении его действия, а также указание, что в случае прекращения действия договора информация и документация будут возвращены в пригодном для использования виде и навсегда удалены из систем поставщика услуг.

Поскольку рекомендации носят общий характер, они могут быть использованы при выстраивании отношений между любыми, в том числе и российскими государственными организациями и поставщиками облачных услуг, но с учетом имеющейся специфики.

Заключение

При заключении соглашений с провайдерами облачных услуг, по мнению зарубежных исследователей, основное внимание, как правило, уделяется вопросам, связанным с договорными или коммерческими аспектами, а также юридическими ограничениями. Без достаточного внимания часто остаются риски, которым подвергаются документы, хранящиеся в облаке, прежде всего в плане гарантии их подлинности и целостности. Недостаточно основательно при заключении контрактов прописываются технические вопросы, касающиеся систем хранения данных, связанные с контролем расположения данных, их безопасностью, конфиденциальностью и др. Однако необходимо отметить, что именно архивные аспекты облачного хранения нуждаются в особом внимании.

Развитие ИКТ способствовало внедрению облачных вычислительных систем на основе аутсорсинга больших объемов обработки информации, но при этом не всегда учитываются риски, связанные с созданием и хранением цифровых документов в облачных системах. Опыт зарубежных стран, прежде всего Европейского союза, в вопросах выявления существующих рисков, несомненно, может быть полезен при выработке стратегии облачных хранилищ цифровых документов в Российской Федерации.

Литература

Julie McLeod with Hrvoje Stancic 2021 - McLeodJ., Stancic H. Economic models for cloud storage // Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project / Ed. by H. Stancic. L., 2021. P. 22-32.

Maria Guercio 2021 - Guercio M. Policies and standards for recordkeeping and digital preservation // Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project / Ed. by H. Stancic. L., 2021. P. 22-32. Stefano Allegrezza 2021 - Allegrezza S. The impact of a legal framework for cloud computing on electronic recordkeeping and digital preservation // Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project / Ed. by H. Stancic. L., 2021. P. 32-43.

References

McLeod, J. and Stancic, H. (2021), "Economic models for cloud storage", in Stancic, H. (2021), Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project, London, UK, pp. 22-32.

Guercio, M. (2021), "Policies and standards for recordkeeping and digital preservation", in Stancic, H. (2021), Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project, London, UK, pp. 22-32.

Allegrezza, S. (2021), "The impact of a legal framework for cloud computing on electronic recordkeeping and digital preservation", in Stancic, H. (2021), Trust and Records in an Open Digital Environment. Routledge Guides to Practice in Libraries, Archives and Information Science. InterPARES Trust project, London, UK, pp. 32-43.

Информация об авторе

Ирина В. Сабенникова, доктор исторических наук, Всероссийский научно-исследовательский институт документоведения и архивного дела (ВНИИДАД), Москва, Россия; Россия, 117393, Москва, ул. Профсоюзная, д. 82; [email protected]

ORSID ID: 0000-0002-3682-8999

Information about the author

Irina V. Sabennikova, Dr. of Sci. (History), All-Russian scientific-research institute of records management and archival science (VNIIDAD), Moscow, Russia; bld. 82, Profsoyuznaya St., Moscow, Russia, 117393; sabennikova@ vniidad.ru

ORSID ID: 0000-0002-3682-8999

i Надоели баннеры? Вы всегда можете отключить рекламу.