УДК 004.056.53
Елин В.М.,
кандидат педагогических наук, доцент кафедры информационной безопасности Национального исследовательского университета «Высшая школа экономики»
ПРАВОВЫЕ МЕТОДЫ ОБЕСПЕЧЕНИЯ ИНФОРМАЦИОННОЙ БЕЗОПАСНОСТИ В «ОБЛАЧНЫХ» СЕРВИСАХ1
Раскрывается особенность обеспечения информационной безопасности при осуществлении облачных сервисов в Российской Федерации с учетом правовых особенностей провайдеров облачных услуг, статуса информации как объекта правового регулирования, характеристики информации ограниченного доступа и специфики заключения гражданско-правовых договоров.
Ключевые слова: информационная безопасность, облачные технологии, информация ограниченного доступа, провайдеры услуг, информация
Elin V.,
PhD in Pedagogy, Associate Professor of Chair of Information Security of National Research University
"Higher School of Economics"
ON THE LEGAL METHODS OF ENSURING INFORMATION SECURITY
IN THE "CLOUD" SERVICES
The peculiarities of information security in the implementation of cloud services in the Russian Federation in view of the legal characteristics of cloud services providers, status information as an object of legal regulation, the characteristics of restricted information and specific conclusion of civil law contracts.
Keywords: information security, cloud computing, information limited access, service providers, information
Введение
В настоящее время облачные технологии приобретают все большее значение в деятельности как государственных организаций, так и частных компаний. Так, положениями Государственной Программы «Информационное общество (2011 -2020 годы)» [1], определен комплекс мер развития информационного общества мера по созданию национальной платформы «облачных» вычислений. Распоряжением Правительства Российской Федерации определено, что основными точками роста сегмента разработки программного обеспечения на ближайшие годы станут «облачные» технологии, системы автоматизации бизнеса, технологии обработки больших массивов данных и приложения для мобильных устройств[2].
Целесообразность использования облачных сервисов в деятельности государственных органов регулируется для бюджетной сферы [3], судебной си-
1 Работа выполнена по Гранту РГНФ «Сравнительно-правовое исследование методов обеспечения информационной безопасности в РФ и странах-членах ЕС» № 16-03-00679
стемы [4] и других сферах государственного строительства.
По мнению ряда авторов: «Деятельность в IT-сфере напрямую связанна с передачей части ряда функций: обслуживания сетевой инфраструктуры, проектирования и планирования автоматизированных бизнес-систем с последующим их развитием и сопровождением, системной интеграции; размещения корпоративных баз данных на серверах специализированных компаний, создания и поддержки публичных WEB-серверов, управления информационными системами, приобретения в лизинг компьютерного оборудования; оффшорного программирования и т.д» [5].
В «облаке» практикуется «Все как услуга» (EaaS); «Инфраструктура как услуга» (IaaS); «Платформа как услуга» (PaaS); «Программное обеспечение как услуга» (SaaS); «Аппаратное обеспечение как услуга» (HaaS); «Рабочее место как услуга» (WaaS); «Информационное обеспечение как услуга» (DaaS); «Безопасность как сервис» (SecaaS).
При этом наибольшее распространение получили категории Infrastructure as a Service, Platform as a Service и Software as a service.
un
Инфраструктура как услуга (Infrastructure as a Service) laaS заключается в том, что провайдер поставляет два типа ресурсов: вычислительные мощности (в том числе ресурсы сети) и ресурсы хранения (ресурсы памяти). При оказании Platform as a Service (Платформа как услуга) PaaS., провайдер доставляет платформу, (серверы приложений) для клиентов, иногда предоставляют инструмент для разработки программного обеспечения. Область применения Software as a service (Программное обеспечение как услуга) SaaS простирается от почтовых серверов, редакторов документов, систем управления взаимоотношениями с клиентами, и так далее.
Иерархия рисков информационной безопасности при оказании облачных услуг определяется ISO/IEC 27005:2011 Information technology - Security techniques - Information security risk management, и включает в себя [6]:
R1: Риск уязвимости программного обеспечения связывают с неопределенным статусом ответственности за тот или иной компонент программного обеспечения;
R2: Сетевые атаки;
R3: Риск нападения с использованием средств социальной инженерии в режиме онлайн через электронную почту и веб-сайты;
R4: Компромисс интерфейса управления (заключается в требовании к провайдеру о безопасном интерфейсе и высокое качество аутентификации и авторизации);
R5: Кража или потеря устройств;
R6: Физические опасности;
R7: Перегрузки;
R8: Неожиданные расходы;
R9: Vendor lock-in - невозможность перехода к другому провайдеру облачных услуг;
R10: Административные и юридические аспекты;
R11: Участие иностранных субъектов.
Специфика оказания облачных услуг заключается также в том, что, по данным исследований European Union Agency for Network and Information Security (ENISA), не существует реальной возможности обеспечить информационную безопасность при оказании облачных сервисов [7].
Сложившаяся ситуация четко иллюстрируется А.П.Барановым: «Примат прикладной целесообразности отодвигает на второй план вопрос об информационной безопасности системы, собственно данных и устойчивости всей структуры. Определенный фон привносит интенсивная рекламная кампания, которая представляет облачные вычисления как нечто принципиально новое, а поэтому вопросы информационной безопасности откладываются на более позднее время.» [8].
Рассматривая правовое регулирование как один из методов обеспечения информационной
безопасности, обращает на себя внимание практически полное отсутствие национальной нормативно-правовой базы в данной сфере, что в свою очередь, связано с исключительной новизной правоотношений, комплексностью проблематики правового регулирования и необходимостью применения аналогий. Так, стороны заключают гражданско-правовой договор на предмет предоставления услуг или выполнения работ, что влечет необходимость применения ст. 421 ГК РФ, регламентирующей свободу заключения договора, в связи с чем стороны могут заключить как предусмотренный, так и не предусмотренный законом и иными правовыми актами договор.
При этом выделяется проблематика предмета договора на оказание облачных услуг, субъектов данной категории - отношений, обращения информации ограниченного доступа, праве на использование результатов интеллектуальной деятельности и т.д.
Характеристика субъектов отношений
Распространённость облачных услуг напрямую связана с расхожим мнением о том, что клиенту лишь достаточно подключиться к приложению одного из компаний-поставщиков облачных сервисов, а облачный провайдер выполнит все остальное: управление системой, мониторинг трафика и требований клиентов, хранение и обработку информации. При этом требования клиента могут быть зафиксированы в т.н. SLA -договоре (Service Level Agreement), представляющем собой расширенное соглашение об уровне качества предоставляемых услуг. К существенным условиям SLA обычно относят: определение параметров предоставляемых услуг; методологию мониторинга, включающую в себя характеристики и методику измерения параметров безопасности в режиме реального времени; независимое тестирование; диапазоны параметров, которые вызывают предупреждения Ad-Hoc, реагирования на инциденты или восстановления; регулярные отчеты об уровне обслуживания (зеркальные) и их содержание; пороги реагирования, определяемые в соответствии с профилем риска организации; ответственность сторон и санкции.
При этом сразу возникает вопрос о контрагенте соглашения, его правах и ответственности по российскому законодательству.
Провайдер происходит от англ. Provider, переводится как «поставщик» и может быть понят как поставщик услуг Интернета, подключающий пользователей к сети через свои компьютеры [9]. В российском гражданском праве понятие поставщик применяется к участнику договора поставки, являющемуся разновидностью договора купли-продажи, причем, согласно требованиям ст.506 ГК РФ поставщик-продавец
DO
обязуется передать в обусловленный срок производимые или закупаемые им товары покупателю.
Традиционное использование термина «провайдер» применительно к интернет-услугам базируется на применении положений Директивы об электронной торговле Европейского союза [10], согласно которой принято выделять три категории провайдеров - провайдеры содержания (контент), хост провайдеры и провайдеры доступа.
Услуга провайдеров доступа заключается главным образом в перемещении данных без их постоянного хранения. Хост-провайдеры предоставляют доступ к содержанию третьих сторон и обеспечивают его доступность. Контент-провайдеры или провайдеры содержания предоставляют собственное содержание на собственном оборудовании и обеспечивают его доступность третьим лицам. Определяя правовой статус провайдеров содержания (контент), хост-провайдеров и провайдеров доступа [11], обращает на себя внимание, что на контент-провайдеры возлагается ответственность за содержание собственной информации, сохранение содержания на собственной технической базе или под своим контролем, а значит, они могут контролировать доступ к нему. Хост-провайдеры сохраняют содержание предоставленное клиентами на собственной или арендованной технической базе. Деятельность провайдеров доступа заключается главным образом в перемещении данных без их постоянного хранения.
Следует иметь в виду, что европейское законодательство четко связывает категорию провайдера с объемом его обязанностей и ответственности. При этом законодательно определены пределы ответственности каждой из категорий провайдеров. Распределение ответственности за причинённый вред напрямую связан с характером предоставляемой услуги [12]:
Понятие провайдера внесено в Российское законодательство новеллой в закон «Об информации, информационных технологиях и о защите информации». При этом провайдера хостинга определяется как лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения инфор-
мации в информационной системе, постоянно подключенной к сети «Интернет» [13]. Указанное нововведение направлено на определение круга обязанностей по защите от вредоносной информации [14] и не затрагивает вопросов договорных отношений.
Оказание услуг в нашей стране регулируется договорами об оказании услуг, причем нормами ч.2 ст. 779 ГК РФ определено оказание аудиторских, консультационных, информационных услуг, услуг и иных. Сторонами по договору при этом выступают «заказчик» и «исполнитель».
Скорее всего, в вопросе о провайдере IT-услуг имеет место попытка простого перенесения западного правового термина в российское правовое пространство, не уделяя достаточного внимания вопросам понятия субъекта правоотношения, его правового положения и совокупности прав и обязанностей. При этом возникает терминологическая путаница, подмена одних понятий другими, невозможность стандартного их толкования и т.д.
Вне зависимости от применяемого наименования субъекта отношений встает вопрос о разграничении ответственности сторон, что, в свою очередь, связано с рядом обстоятельств:
- обеспечивает ли сторона доступность содержания или только предоставляет доступ к нему;
- является ли содержание собственностью стороны или оно принадлежит третьей стороне;
- знает ли сторона о незаконном содержании;
- имеются ли технические возможности блокировать доступ к информации и есть ли разумные основания ожидать этого.
Различное сочетание указанных признаков порождает основания для привлечения к ответственности участников отношений.
Таким образом, в обязательственных отношениях по поводу оказания облачных услуг в российском правовом пространстве не следует злоупотреблять понятием «провайдер» по отношению к субъекту. При этом как содержание договора, так и практикуемое Service Level Agreement должно четко определять круг обязанностей и сферу ответственности каждого из участников договора.
IaaS PaaS SaaS
Управление учетными записями пользователей, прав доступа пользователей и т.д. пользователь пользователь пользователь
Развертывание, обновление и патч прикладного программного обеспечения пользователь пользователь провайдер
Развертывание, обновление и патч ОБ пользователь провайдер провайдер
Развертывание, обновление и патч прикладного программного обеспечения. пользователь провайдер провайдер
Развертывать и поддерживать аппаратные средства (серверных стоек, диски, маршрутизаторы, кабели и т.д.) провайдер провайдер провайдер
Управление и защита поставок и сооружения (электропитание, охлаждение, кабели, охранники и т.д.) провайдер провайдер провайдер
шз
Форма договора
Согласно требованиям п. 1 ст. 420 ГК РФ договором признается соглашение двух или нескольких лиц об установлении, изменении или прекращении гражданских прав и обязанностей. Заключение договора - достижение сторонами в надлежащей форме соглашения по всем существенным условиям договора в порядке, предусмотренном законодательством.
Договор считается заключенным при соблюдении двух необходимых условий:
- сторонами должно быть достигнуто соглашение по всем существенным условиям договора;
- достигнутое сторонами соглашение по своей форме должно соответствовать требованиям, предъявляемым к такого рода договорам (ст. 432 ГК РФ).
Также обращает на себя внимание правовой статус информации, которая с 01 января 2008 года исключена из перечня объектов гражданских правоотношений, определённых ст. 128 ГК РФ. Информация не имеет собственника, правовой статус «обладателя» информации фактически не определен. Информация не имеет цены и не может являться предметом гражданского оборота. Запрет на оборотоспособность информации в составе результатов интеллектуальной деятельности прямо зафиксирован в положениях ч.4 ст. 129 ГК РФ. Оборотоспособными являются только права на результаты и средства, а также материальные носители, в которых выражены соответствующие результаты или средства. Таким образом, применение договора поставки в отношении информации по аналогии, - исключается.
Конечно, информация является объектом информационных отношений, и как следствие, деятельность в сфере облачных сервисов должна осуществляться на основе договора возмездного оказания услуг определяемого гл. 39 ГК РФ.
Согласно положениям ст. 158 ГК РФ сделки совершаются устно или в письменной форме, причем сделка, которая может быть совершена устно, считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку. Нормы ст. 434 ГК РФ связывают форму договора с формой сделки.
Понятие электронного документа определяется п.11.1 ст.2 ФЗ «Об информации, информационных технологиях и о защите информации» и раскрывается как документированная информация, представленная в электронной форме, то есть в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.
Сделка в форме электронного документа законодательно не предусмотрена, а значит, может послу-
жить формальным основанием для признания сделки недействительной.
Более того, ст. 6 ФЗ «Об электронной подписи» определяет условия, при соблюдении которых электронные документы, подписанные электронной подписью признаются равнозначными документам на бумажном носителе, подписанным собственноручной подписью. В том случае, если условия электронной подписи не выполнены, - соответственно не признаются.
Имеет место противоречие с требованиями международного права, поскольку с точки зрения международного права информация не может быть лишена юридической силы, действительности или исковой силы на том лишь основании, что она составлена в форме сообщения данных. При этом Типовой закон ЮНСИТРАЛ «Об электронной торговле» [15] под сообщением данных понимает информацию, подготовленную, отправленную, полученную или хранимую с помощью электронных, оптических или аналогичных средств, включая электронный обмен данными (ЭДИ), электронную почту, телеграмму, телекс или телефакс, и иные средства. Кроме того Закон ЮНСИТРАЛ строит отношения в сфере электронной торговли на основе обмена электронными документами и сообщениями.
Существует обоснованное мнение, о возможности акцептации публичной оферты электронными средствами с использованием возможностей, предоставляемых российским законодательством. Однако указанное заключение договора путем связан с рядом обстоятельств, требующих особо пристального внимания: в частности, оферта, как предложение заключить договор должна быть адресована конкретному лицу (лицам), быть достаточно определенной, выражать намерение сделавшего его лица заключить договор с адресатом, которым будет принято предложение, а также содержать указание на существенные условия, на которых предлагается заключить договор (ст. 435 ГК РФ).
Особое внимание обращает на себя необходимость отличать оферту от иной информации, не содержащей предложения к заключению договора (реклама, предложение делать оферты и т.д.) Акцепт, т.е. ответ лица, которому была направлена оферта, о принятии ее условий, должен быть полным и безоговорочным (ст. 438 ГК). Письменная форма акцепта может быть выражена также в виде сообщение по факсу, с помощью телеграфа и других средств связи.
Отсутствие фактического контакта между участниками интернет-отношений порождает проблему, которую можно охарактеризовать как «анонимность субъекта», и которая выражается следующим образом:
Достоверная идентификация участника интернет-отношений возможна только по применении
ип
субъектом усиленной электронной подписи. Собственно, требованиями ст.5 ФЗ «Об ЭП» понятие усиленной подписи раскрывается через возможность определения лица, подписавшего документ. Во всех остальных случаях: применения простой ЭП, 1Р- адреса, доменного имени, логинов и паролей, - идентификация лица, участвующего в данных отношениях является недостоверной, что ряд авторов относит не просто к свойствам информационных технологий, но и определяет одним из его достоинств.
Проблема защиты информации ограниченного доступа
В Российской Федерации отношения, возникающие при применении информационных технологий осуществляется на основании ряда положений Конституции Российской Федерации, ФЗ «Об информации, информационных технологиях и о защите информации», ряда других федеральных законов.
ФЗ «Об информации» подразделяет информацию на общедоступную и ограниченного доступа, причем к последней категории информация может быть отнесена только на основании положений федерального законодательства.
В основу отнесения информации к категории ограниченного доступа относится законодательное ограничение доступа к ней. В настоящее время в РФ существует, по крайней мере, свыше 40 категорий информации ограниченного доступа.
В настоящее время прослеживается классификация информации ограниченного доступа на государственную тайну (в основу правового режима которой положен Закон «О государственной тайне»), 6 категорий сведений конфиденциального характера (перечень которых утвержден Указом Президента РФ № 188) и иную информацию ограниченного доступа (не вошедшую в первые две категории).
Обработка ряда категорий информации ограниченного доступа выходит за рамки частно- правовых отношений и требует соблюдения дополнительных регламентов. Кроме того, следует иметь в виду, что нарушения в сфере данных правоотношений влечет за собой не только гражданскую, но также административную и уголовную ответственность [16], что лишний раз доказывается богатейшей судебной практикой по данному вопросу.
Существующие в российском законодательстве требования к защите информации ограниченного доступа сами по себе не препятствуют предоставлению облачных сервисов, накладывая лишь определенные ограничения в отношении некоторых категорий информации ограниченного доступа (вопрос об обработке которых следует разрешать в каждом конкретном случае).
Заключение
В российском законодательстве не существует специальных норм правового регулирования «облачных» сервисов, в связи с чем существенные условия подлежат отражению в SLA-договорах, которые формально не противоречат действующему российскому законодательству, однако требуют тщательной «проработки» вопросов, связанных с субъектами правоотношения, предметом договора, его содержанием, объемом оказываемых услуг. Также, при заключении данной категории договоров необходимо разрешить либо в основном договоре, либо в дополнительном соглашении вопросы обеспечения безопасности и защиты информации, контроле за деятельностью исполнителя, защите прав на результаты интеллектуальной деятельности, электронного документооборота и электронной подписи.
При этом особое внимание следует обращать на совокупность прав и обязанностей участников правоотношения, ответственность сторон не только за неисполнение обязанностей по договору, но также за недобросовестность осуществления информационных процессов.
При определении предмета договора следует иметь в виду соотнесение положений ст. ст. 715 ГК РФ (о праве заказчика во всякое время проверять ход и качество работы, выполняемой подрядчиком, не вмешиваясь в деятельность последнего) и практику заключения SLA - соглашений о методах и параметрах контроля уровня предоставляемого сервиса.
Содержание соглашения должно включать в себя: определение предоставляемого сервиса в терминологии российского права; время предоставления сервиса, включая тестирование, поддержку и модернизацию; характеристики пользователей и оборудования для данного сервиса; описание рисков и механизмов реагирования при возникновении угроз информационной безопасности; характеристики отчетов о проблемах, их критериях, условиях эскалации проблемы на следующий уровень; спецификации целевых уровней качества сервиса; минимальная доступность для каждого пользователя, среднее время отклика сервиса, максимальное время отклика для каждого пользователя, средняя пропускная способность; ответственность сторон при использовании сервиса (подготовка, поддержка соответствующих конфигураций оборудования, программного обеспечения).
В договоре также должны отражаться: характер информации и объем сведений, предоставляемых провайдеру, отражены вопросы правового режима и обеспечения защиты информации ограниченного доступа.
□а
Список литературы
1. Распоряжение Правительства РФ от 15 апреля 2014 г. № 313. «Об утверждении Государственной программы «Информационное общество (2011 - 2020 годы)» // СПС «Консультант плюс».
2. Распоряжение Правительства РФ от 01.11.2013. № 2036-р. «Об утверждении Стратегии развития отрасли информационных технологий в Российской Федерации на 2014 - 2020 годы и на перспективу до 2025 года» // Собрание законодательства РФ, 18.11.2013. № 46. ст. 5954
3. Распоряжение Правительства РФ от 20.07.2011. № 1275-р. «О Концепции создания и развития государственной интегрированной информационной системы управления общественными финансами «Электронный бюджет»» // Собрание законодательства РФ, 01.08.2011. № 31. ст. 4773.
4. Постановление Правительства РФ от 27.12.2012. № 1406. «О федеральной целевой программе «Развитие судебной системы России на 2013 - 2020 годы» // Собрание законодательства РФ, 07.01.2013. № 1. ст. 13.; Распоряжение Правительства РФ от 20.09.2012. № 1735-р. «Об утверждении Концепции федеральной целевой программы «Развитие судебной системы России на 2013 - 2020 годы» // Свод Законов РФ, 07.01.2013. № 1. ст. 13.
5. Ефимова С., Пешкова Т., Коник Н., Рытик С. Аутсорсинг // Управление персоналом. 2006.
6. Cloud Security Guide for SMEs// https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/ security-for-smes/cloud-security-guide-for-smes
7. Cloud computing security risks and opportunities for SMEs // European Union Agency for Network and Information Security. April, 2015.
8. Баранов А.П. Можно ли защитить в «облаке» конфиденциальную информацию // Системы высокой доступности. 2012. Т. 8. №. 2. P. 12-15.
9. Райзберг Б.А., Лозовский Л.Ш., Стародубцева Е.Б. Современный экономический словарь. М.: ИНФРА-М, 2006.
10. Directive on Certain Legal Aspects of Information Society Services, in particular Electronic Commerce, in the Internal Market, Jul 17, 2000, 2000/31/EC
11. Директива об электронной торговле Европейского Союза от 17.07.2000 № 2000/31/EC
12. Cloud computing security risks and opportunities for SMEs // European Union Agency for Network and Information Security. April 2015.
13. Жарова А.К. Информация. Правовое регулирование обращения информации в интернет: монография. М., 2006. С. 51-53.
14. Федеральный закон от 28.07.2012. № 139-ФЗ. «О внесении изменений в Федеральный закон «О защите детей от информации, причиняющей вред их здоровью и развитию» и отдельные законодательные акты Российской Федерации» // Свод Законов РФ, 30.07.2012. № 31. ст. 4328.
15. Model law on electronic commerce of the United Nations commission on international trade law // Принят в г. Нью-Йорке 28.05.1996 - 14.06.1996. на 29-ой сессии ЮНСИТРАЛ, одобрен 16.12.1996. Резолюцией 51/162 на 85-ом пленарном заседании Генеральной Ассамблеи ООН // Комиссия ООН по праву международной торговли. Ежегодник. 1996 год. Т. XXVII. Нью-Йорк: Организация Объединенных Наций, 1998. С. 319 - 323.
16. Гл. 13 Кодекса об административных правонарушениях РФ, ст.ст. 274, 275, 276, 283, 284, 137, 138, 183 УК РФ.
Reference list
1. The Decree of the Government of the Russian Federation dated 15th of April, 2014 № 313. "On approving the state program "Information Society" (2011-2020)" // Reference Legal System "Consultant Plus".
2. The Decree of the Government of the Russian Federation dated 01.11.2013. № 2036-d."0n approving of development strategy of information technologies branch in the Russian Federation for 2014 - 2020 and on prospect until 2025" // "Collection of legislation of the Russian Federation", 18.11.2013. №. 46. Art. 5954.
3. The Decree of the Government of the Russian Federation dated 20.07.2011. №. 1275-d. "About the conception of creation and development of the state integrated information system of public finance management "Electronic Budget" // Collection of legislation of the Russian Federation, 01.08.2011. №. 31, Art. 4773.
4. Resolution of the Government of the Russian Federation of 27.12.2012. № 1406. "About the federal target program "Development of the Judicial System of Russia for 2013-2020" // Collection of legislation of the Russian Federation, 07.01.2013. №. 1. Art. 13.; The Decree of the Government of the Russian Federation from 20.09.2012 № 1735-d. "On approving the conception of the federal target program "Development of Judicial System of Russia for 2013-2020" // Code of laws of the Russian Federation, 07.01.2013. №. 1. Art. 13.
5. Efimova S., Peshkova T., Konik N., Rytik S. Outsourcing // HR Management. 2006.
6. Cloud Security Guide for SMEs// https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/ security-for-smes/cloud-security-guide-for-smes
7. Cloud Computing Security Risks and Opportunities for SMEs // European Union Agency for Network and Information Security. April, 2015.
8. Baranov A. Is it possible to protect a confidential information in the "cloud" // High Availability Systems. 2012. Vol. 8. №. 2. P. 12-15.
DO
9. Rayzberg B., Lozovskiy L., Starodubtseva E. Modern economic dictionary. INFRA-M, 2006.
10. Directive on Certain Legal Aspects of Information Society Services, in Particular Electronic Commerce, in the Internal Market, Jul 17, 2000, 2000/31/EC
11. The Directive on Electronic Commerce of the European Union from 17.07.2000 № 2000/31/EC
12. Cloud Computing Security Risks and Opportunities for SMEs // European Union Agency for Network and Information Security. April, 2015.
13. Zharova A. Information. Legal regulation of information circulation in the Internet: Monograph. M., 2006. P. 51-53.
14. Federal Law of 28.07.2012 №. 139-FL "On amendments to the Federal Law "On protection of children from information harmful to their health and development" and certain legislative acts of the Russian Federation" // Code of laws of the Russian Federation of 30.07.2012. № 31. Art. 4328.
15. Model Law on Electronic Commerce of the United Nations Commission on International Trade Law // Adopted in New York from 28.05.1996. to 14.06.1996 at the 29th Session of UNCITRAL, It has approved by the Resolution 51/162 at the 85th Plenary Meeting of the UN General Assembly, 16.12.1996 // The UN Commission on International Trade Law. Yearbook. 1996. Vol. XXVII. New York: United Nations, 1998. P. 319 -323.
16. The Chapter 13 of the Code of Administrative Offences of the Russian Federation, Articles 274, 275, 276, 283, 284, 137, 138, 183 of the Criminal Code.