CC BY
450
Полякова Татьяна Анатольевна
доктор юридических наук, профессор Химченко Алексей Игоревич
Правовые проблемы обеспечения информационной безопасности при использовании облачных технологий
Аннотация: рассматривается понятие «виртуализация», исследуются правовые особенности использования облачных вычислений, в том числе, связанные с обработкой персональных данных провайдерами облачных сервисов, а также возникающие при этом правовые проблемы, и зарубежный опыт формирования национальных облачных стратегий и правового регулирования в этой сфере.
Ключевые слова: облачные вычисления; Конвенция Совета Европы № 108; Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»; трансграничная передача персональных данных; Национальная облачная программа; государственная программа «Информационное общество (2011 - 2020)»; Государственная программа города Москвы «Информационный город (2012-2016 годы)»; федеральная целевая программа «Развитие судебной системы России на 2013 -2020 годы»; национальные облачные стратегии.
Актуальность использования сегодня облачных вычислений очевидна, рост их возможностей в самых различных сферах данных технологий становится всё более популярным трендом, а сами облачные вычисления уже выделяются в отдельную область рынка информационных технологий. При этом очевидно, что пропорционально стремительному росту их использования и их очевидным преимуществам, растёт также количество новых рисков и угроз, технологического, организационного и правового характера, нуждающихся в научных исследованиях. Неслучайно эти вопросы нашли отражение и в Программе фундаментальных научных исследований, утвержденной Правительством Российской Федерации в декабре 2012 года.
Вместе с тем особую остроту приобретает вопрос обеспечения безопасности, включая защиту информации при использовании облачных технологий. В связи с этим следует отметить сделанное в конце 2012 года заявление компании Trend Micro, одного из лидеров среди поставщи-
ков комплексных средств защиты «облаков», о том, что имеющиеся в настоящее время средства безопасности пока не способны обеспечить защиту данных в облачных инфраструктурах.
Одной из ключевых компаний на международном рынке программного обеспечения в области информационной безопасности и антивирусов корпорацией Symantec, сделан вывод о том, что 77% компаний испытывают сложности из-за самовольного использования персоналом облачных решений в обход корпоративных правил, что приводит к нарушениям целостности либо утрате конфиденциальной информации.
В связи с этим особого внимания заслуживают правовые аспекты использования облачных вычислений и возникающих при этом рисках.
Как показывают результаты исследования, проведённого в 2012 году Ассоциацией производителей программного обеспечения (BSA) Российская Федерация занимает 16 место среди 24 стран в новом рейтинге государственного регу-
лирования, влияющего на рост облачных вычислений, что подтверждает необходимость фундаментальной проработки правовых вопросов, связанных с использованием облачных вычислений.
Сфера отношений между провайдерами и потребителями облачных услуг, не позволяет цивилизованно разрешать конфликты, неизбежно возникающие при стремительном развитии облачных технологий, и их использовании, в процессе которого аккумулируются огромные массивы информации, содержащей персональные данные граждан и иные виды информации ограниченного доступа, включая коммерческую тайну.
Одной из наиболее актуальных проблем является недостаточно изученная сфера отношений между провайдерами и потребителями облачных услуг, которая не позволяет сегодня цивилизованно разрешать конфликты, неизбежно возникающие при стремительном развитии облачных технологий, и их использовании, при этом аккумулируются огромные массивы информации, содержащей персональные данные граждан и иные виды информации ограниченного доступа, включая коммерческую тайну. В настоящее время отсутствует единая точка входа в облачные сервисы, с связи с чем в случае передачи в «облако» бизнес-процессов организация вынуждена передавать информацию сразу и во внешние компании, в результате чего повышаются риски нарушения целостности и конфиденциальности информации. Крупные компании в определенной степени решают данную проблему строительством частных облаков, в то время как компании малой и средней капитализации, использующие в основном публичные сервисы, не имеют соответствующих правовых инструментов для защиты своих прав.
Следует отметить, что проблема усугубляется ещё и тем, что размещая информацию в публичном облачном сервисе, организация не имеет возможности контролировать уровень обеспечения её безопасности, ввиду того, что провайдеры облачных сервисов не предоставляют клиентам возможность проведения аудита защищённости своих сервисов. В связи с этим требует дополнительных исследований вопрос о целесообразности введения института аудиторов, которые бы специализировались на проведении независимых проверок обеспечения защиты информации, переданной в публичные облачные сервисы, наряду, безусловно, с институтом сертификации, направленным на определение уровня информационной безопасности проверяемых
сервисов, что также нуждается в проведении соответствующей правовой экспертизы.
Кроме того, важность проблемы обеспечения информационной безопасности при использовании облачных вычислений, определяется также как отсутствием установленных стандартов безопасности облачных сред, так и инструментов измерения уровня рисков и угроз.
Для правового обеспечения широкого применения облачных сервисов сегодня важны их научные исследования, что подтверждается включением в Программу фундаментальных научных исследований в Российской Федерации на долгосрочный период (2013 - 2020 годы) [1], предусматривающей фундаментальные исследования в области информационно-коммуникационных технологий и систем, стратегических компьютерных технологий и программ.
По мнению авторов, установление в виртуальных средах ответственности участников отношений, возникающих в процессе предоставления услуг, это вопрос, который нуждается в законодательном урегулировании в самое ближайшее время, так как использование облачной среды для реализации функций государственного управления, развития судебной системы и некоторых других проектов определены в качестве приоритетных задач в указанных сферах.
В рамках исследования данного вопроса важно отметить «Национальную облачную платформу», как один из наиболее масштабных государственных проектов, запущенных в мае 2012 года ОАО «Ростелеком», создающуюся в рамках государственной программы «Информационное общество (2011 - 2020)» [2]. Национальная облачная платформа представляет собой комплекс интегрированных информационных систем, предназначенный для предоставления органам исполнительной власти различного уровня, органам местного самоуправления, коммерческим организациям и физическим лицам услуг по модели облачных вычислений. Сервисы Национальной облачной платформы призваны решить сразу несколько глобальных задач: для государства и граждан, это информатизация основных социальных сфер, таких как здравоохранение, образование, жилищно-коммунальное хозяйство и безопасность. В то же время коммерческие и бюджетные организации с помощью применения облачных вычислений смогут автоматизировать большинство процессов, снизив тем самым затраты на содержание собственной инфраструктуры.
Необходимо отметить, что использование «облачных» технологий также предусмотрено Государственной программой города Москвы «Информационный город (2012 - 2016 годы)» [3]. Так, под программой «Формирование общедоступной информационно-коммуникационной среды» предусматривается централизованное размещение городских информационных систем и ресурсов на базе единого центра обработки данных (далее - ЦОД), реализация чего позволит оптимизировать эксплуатацию информационных систем, ресурсов и аппаратных средств органов исполнительной власти города Москвы и учреждений города Москвы. В рамках ЦОД должна быть, в том числе создана инфраструктура для предоставления сервисов на базе «облачных» технологий органам государственной власти города Москвы, бизнесу и гражданам. Активное использование «облачных вычислений» предусмотрено в перспективе также и в судебной системе, и соответствующие положения содержатся в Федеральной целевой программе «Развитие судебной системы России на 2013 -2020 годы», утвержденной постановлением Правительства Российской Федерации от 27 декабря 2012 года № 1406 [4].
Вместе с тем необходимо отметить, что в Высшем арбитражном суде Российской Федерации, в настоящее время уже активно используются «облачные» решения.
Анализ зарубежного опыта в этой сфере позволяет сделать вывод, что наиболее развитая политика в области облачных вычислений сформировалась уже в Японии, Австралии, Германии, США и Франции, где создана фундаментальная правовая база, позволяющая поддерживать и развивать практику применения облачных вычислений.
Следует отметить, активное внедрение и использование облачных сервисов в США, где в 2011 году была разработана Стратегия Правительства США в области облачных технологий
[5], определившая не только понятие облачных вычислений, а также преимущества этой технологии и планы их внедрения в государственные учреждения США.
В соответствии с указанной Стратегией, государственному учреждению перед размещением 1Т-сервиса в облачной среде предписывается обеспечить достаточный уровень безопасности по нескольким аспектам. Среди них следует выделить соответствие требованиям законов штата, подзаконных актов и внутриведомственных нормативных документов; определение ха-
рактера данных с целью выяснения конкретных требований по безопасности, предъявленных к данным такого типа; обеспечение приватности и конфиденциальности с целью защиты против случайного либо умышленного доступа к информации; обеспечение целостности данных, в том числе авторизации, полноты и точности; определение политики контроля и доступа к данным, позволяющей определить дозволенное географическое расположение данных; организация адекватного управления данными, подразумевающей достаточную прозрачность поставщиков облачных услуг, предоставление ими адекватных средств обеспечения безопасности и контроля, а также предоставление доступа к информации, необходимой для независимого мониторинга эффективности этих средств. Вместе с тем по прогнозам разработчиков указанной Стратегии с переходом на облачные технологии коэффициент использования существующих ресурсов должен повыситься почти в 2 раза.
Одним из заслуживающих внимания примеров использования облачных вычислений в государственных учреждениях является облачная платформа NASA Nebula, позволившая учёным организовать космические исследования в течение рекордно короткого времени, перевод Федерального Казначейства США на облачную платформу Amazon EC2, создание Министерством внутренней безопасности США
[6] облака, содержащего 100 000 электронных адресов сотрудников различных подразделений Министерства, а также перевод на в облачную инфраструктуру 120 000 электронных адресов Министерства сельского хозяйства США [7].
Следует также отметить, что в 2012 году корпорацией Google был разработан набор облачных сервисов, предназначенных специально для применения в Федеральном Правительстве США, ведомствах и агентствах. Впервые в истории Правительство США сертифицировало набор программ для использования в государственных учреждениях, доступ к которым осуществляется через Интернет, при этом сервис Google стал первым облачным сервисом, прошедшим сертификацию на соответствие требованиям Федеральной программы по информационной безопасности [8].
Значительное внимание к правовому регулированию процессов, связанных с облачными вычислениями, отмечается и в Евросоюзе, о чём свидетельствует разработка и принятие целого ряда документов. Так, в 2009 году Евро-
пейским агентством сетей и информационной безопасности [9] был опубликован отчёт о рисках и преимуществах облачных вычислений в сфере информационной безопасности. В 2011 году также был опубликован доклад «Безопасность и отказоустойчивость в государственных облаках». Еврокомиссией в 2010 году были разработаны: «План цифрового развития для Европы» - разработка стратегии в сфере облачных вычислений к 2012 году, «Анализ вызовов в области безопасности и приватности в Облаке», Оценка экономического эффекта облачных вычислений, а в мае 2011 года были опубликованы Планы слушаний по вопросу законодательного регулирования в сфере облачных вычислений.
Кроме того, в октябре 2012 года Европейской комиссией была представлена стратегия развития облачных вычислений, направленная на повышение производительности европейского бизнеса и госсектора, получившая название «Раскрытие потенциала облачных вычислений в Европе» [10]. Согласно программному документу Евросоюза новая стратегия предусматривает следующие основные направления развития: повышение интероперабельности, переносимости данных и обратимости путем разработки четких технических стандартов (суть которых будет определена в течение 2013 года); общеевропейская сертификация надежных поставщиков облачных услуг; развитие «безопасных и справедливых» условий для облачных контрактов, включая соглашения об уровне обслуживания (SLA) и другие.
Следует также отметить открытие в 2011 году Корпорацией Microsoft в Брюсселе Европейского цента облачных технологий и интероперабельности [11], где организовано более 50 демонстраций новейших решений для государственного и корпоративного сектора, а также обычных потребителей в таких разнообразных сферах, как электронное правительство, здравоохранение, окружающая среда, образование, оборона и национальная безопасность. Особое внимание уделяется интероперабельности и облачным решениям для правительств.
Так, партнерство правительств стран ЕС с облачной индустрией для повышения покупательной способности государственного сектора и формирования европейского облачного рынка направлено на стимулирование роста облачной индустрии Евросоюза. При этом ЕС рассчитывает, что предоставление госзаказов на поставку услуг электронного правительства позволит европейским вендорам активно развиваться, результатом чего в свою очередь должно стать
увеличение до 2,5 млн. дополнительных рабочих мест по всей Европе к 2020 году и повышение ВВП до 250 млрд. в год [12].
Анализ международного и зарубежного опыта свидетельствует о том, что, на основе фундаментальных научных исследований в этой области в Российской Федерации также необходима разработка стратегического документа, направленного на систематизацию и упорядочение тех видов деятельности, в основе которых лежат «облачные» технологии, поскольку использование и развитие облачных вычислений происходит пока стихийно ввиду отсутствия стандартов в этой области.
Необходимо определиться также с созданием «дорожной карты», т.е. определить приоритеты на федеральном уровне, включая и формирование правовой базы и обеспечение соответствующего контроля со стороны регулирующих органов.
Таким образом, представляется, что необходимость правового регулирования облачных вычислений уже не вызывает сомнений и многими государствами предприняты конкретные действия по дальнейшему системному развитию облачных вычислений в соответствии с современным развитием технологий и общества, а также нейтрализации существующих рисков и угроз. Однако в условиях глобализации очевидна необходимость разработки международных правовых норм, отсутствие которых отрицательно влияет на развитие облачного направления в целом, хотя в большей степени, по мнению отраслевых специалистов, это отражается на сегменте публичных «облаков». Принятие на международном уровне соответствующих правовых актов необходимо для обеспечения информационной безопасности и системного развития облачных технологий.
Литература
1. Распоряжение Правительства Российской Федерации от 27 декабря 2012 г. № 2538-р, www. government.ru/media/2012/12/27/54214/ file/2538.doc.
2. Распоряжение Правительства Российской Федерации от 2 декабря 2011 года № 2161-р, www.government.ru/gov/results/17448.
3. Постановление Правительства Москвы от 9 августа 2011 г. № 349-ПП, www.dit.mos.ru/ legislation/lawacts/document35.
4. www.government.ru/media/2013/1 /9/54338/ file/1406.doc.
5. Federal Cloud Computing Strategy.
6. U.S. Department of Homeland Security.
7. U.S. Department of Agriculture.
8. Federal Information Security Management Act, FISMA.
9. The European Network and Information Security Agency (ENISA).
10. Unleashing the potential of cloud computing in Europe.
11. Cloud and Interoperability Centre, CIC.
12. Согласно исследованиям проведённым международной аналитической компанией International Data Corporation по заказу Еврокомиссии.
