Банки и Информационные технологии

Появление новых технологий часто приводят к необходимости поправок к существующему законодательству или даже к появлению новых законов. Это вполне понятно – появляются новые риски, нужно вводить новые правила игры. Это вполне справедливо и для облачных вычислений. Где и какую информацию можно размещать в облаках, кто и в каких пределах отвечает за ее безопасность, сколько ее нужно хранить и как можно использовать – это далеко не полный перечень вопросов, которые встают перед провайдерами облачных услуг, разработчиками систем и конечными пользователями.

Пока облачные технологии практически никак не регулируются российским законодательством. Конечно, уже есть законы, которые непосредственно влияют на развитие облачных технологий. Например, закон «О персональных данных» обязал хранить персональные данные россиян на территории России. Или принятый Госдумой «антитеррористический пакет» поправок к ФЗ «Об информации, информационных технологиях и о защите информации», согласно которому интернет-сервисы электронной почты и обмена мгновенными сообщениями будут обязаны обеспечивать хранение данных об активности своих пользователей в течение полугода и обязательно на территории России.

Слабо проработаны вопросы применения облачной электронной подписи. Разработчикам приходится ориентироваться на требования к серверу подписи, разработанные Европейским комитетом по стандартизации (CEN), что, конечно, не нормально.

Конечно, нужно разрабатывать законодательство, определяющее зоны ответственности при использовании облачных вычислений.  В 2012 году были попытки провести через Госдуму закон «Об облачных вычислениях». Противники закона возразили, что облачные вычисления – «это всего лишь технологический уклад, а не новый способ ведения бизнеса», и что «излишнее госрегулирование в некоторых случаях может стать фактором, замедляющим развитие», приводя в пример интернет-телефонию.  В итоге закон не прошел. Но проблема осталась.

Потом появилось обсуждение проекта “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”.

Сейчас  идет публичное обсуждение внесений в закон  «Об информации, информационных технологиях и о защите информации» положений, касающихся облачных вычислений.

Предлагается внести новые определения, такие как «облачные вычисления» и «облачная инфраструктура». Поставщиком облачных услуг для государственных органов сможет быть только российское юрлицо или ИП, а сама облачная инфраструктура должна будет находиться на территории России. Причем, провайдер облачных услуг должен будет пройти аккредитацию, правила которой будут разработаны Правительством РФ.

После принятий поправок будет выпущено отдельное Постановление Правительства,  которое определит требования и порядок предоставления услуг облачных вычислений. В общем, работа над законодательством идет. И обсуждается общественностью.

В связи с этим хотелось бы остановиться на последнем варианте обсуждаемого документа http://regulation.gov.ru/project/17954.html?point=view_project&stage=2&stage_id=12947

Как уже было сказано, в нем впервые в российском законодательстве вводится термин «облачные вычисления».

1) статью 2 дополнить пунктами 20-22 следующего содержания:

«20) услуги облачных вычислений – услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети;

На мой взгляд, это уж слишком широкое определение. Под него подходит и обычный терминальный доступ к серверу в серверной предприятия (кто скажет, что ЛВС это не «информационно-телекомуникационная сеть») и даже ваш расшаренный домашний компьютер, выставленный в общий доступ в Интернет. Может не изобретать велосипед, а взять уже сложившиеся обязательные характеристики облачных вычислений, зафиксированные Национальным институтом стандартов и технологий США :

• Самообслуживание по требованию — потребитель самостоятельно определяет и изменяет вычислительные потребности, такие как серверное время, скорости доступа и обработки данных, объём хранимых данных без взаимодействия с представителем поставщика услуг;
• Универсальный доступ по сети — услуги доступны потребителям по сети передачи данных вне зависимости от используемого терминального устройства;
• Объединение ресурсов — поставщик услуг объединяет ресурсы для обслуживания большого числа потребителей в единый пул для динамического перераспределения мощностей между потребителями в условиях постоянного изменения спроса на мощности; при этом потребители контролируют только основные параметры услуги (например, объём данных, скорость доступа), но фактическое распределение ресурсов, предоставляемых потребителю, осуществляет поставщик (в некоторых случаях потребители всё-таки могут управлять некоторыми физическими параметрами перераспределения, например, указывать желаемый центр обработки данных из соображений географической близости);
• Эластичность — услуги могут быть предоставлены, расширены, сужены в любой момент времени, без дополнительных издержек на взаимодействие с поставщиком, как правило, в автоматическом режиме;
• Учёт потребления — поставщик услуг автоматически исчисляет потреблённые ресурсы на определённом уровне абстракции (например, объём хранимых данных, пропускная способность, количество пользователей, количество транзакций), и на основе этих данных оценивает объём предоставленных потребителям услуг.

Или как минимум дополнить приведенное определение как–то так

«20) услуги облачных вычислений – услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети, при которых поставщик услуг объединяет ресурсы для обслуживания большого числа потребителей в единый пул для динамического перераспределения мощностей между потребителями

Второе замечание к поправкам к закону – в них говорится только о госструктурах. А что, коммерческие структуры не могут пользоваться облачными технологиями?

В общем, думаю, этот документ надо еще дорабатывать. Хотя сам по себе он, конечно, шаг в правильном направлении.

Николай Носов