ЮрФак: изучение права онлайн

«Облачные» услуги и особенности их правового регулирования в Российской Федерации

Автор: Елин В.М.

Для решения государственных и общественных задач в сфере информатизации в настоящее время все большее распространение получает применение технологий распределенных вычислений, под которыми понимаются в первую очередь "облачные" вычисления, технологии больших данных, технологии блокчейнов. Программа "Цифровая экономика Российской Федерации" [1] прямо заявляет о том, что «облачные» технологии относятся к одному из уровней цифровой экономики, влияющей на жизнь граждан и общества в целом. При этом данная Программа напрямую связана с выполнением положений как Стратегии научно-технологического развития Российской Федерации [2], так и Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы [3].

Положениями Государственной программы "Информационное общество (2011 — 2020 годы)" [4] определен комплекс мер развития информационного общества, мер по созданию национальной платформы «облачных» вычислений. Распоряжением Правительства Российской Федерации определено, что основными точками роста сегмента разработки программного обеспечения на ближайшие годы станут «облачные» технологии, системы автоматизации бизнеса, технологии обработки больших массивов данных и приложения для мобильных устройств [5].

Целесообразность использования "облачных" сервисов в деятельности государственных органов регулируется для бюджетной сферы [6], судебной системы [7, 8] и других отраслей государственного строительства.

Официальное определение "облачных" сервисов дано National Institute of Standards and Technology (NIST, Национальный институт стандартов и технологий США), согласно которому под "облачными" сервисами следует понимать "модель обеспечения повсеместного и удобного сетевого доступа по требованию к вычислительными ресурсным пулам (например, сетям, серверам, системам хранения, приложениям, сервисам), которые могут быть быстро предоставлены или выпущены с минимальными усилиями по управлению и взаимодействию с поставщиком услуг" [9].

В общем случае под "облачными" вычислениями понимают любые услуги, вычислительные мощности, ресурсы, предоставляемые пользователю на расстоянии, через сеть Интернет.

По мнению ряда авторов, "деятельность в IT-сфере напрямую связана с передачей части функций: обслуживания сетевой инфраструктуры, проектирования и планирования автоматизированных бизнес-систем с последующим их развитием и сопровождением, системной интеграции; размещения корпоративных баз данных на серверах специализированных компаний, создания и поддержки публичных WEB-серверов, управления информационными системами, приобретения в лизинг компьютерного оборудования; офшорного программирования и т.д." [10].

В "облаке" предоставляется возможность доступа к ряду услуг, изначально определяемых как сервисы или услуги: "Все как услуга" (EaaS); "Инфраструктура как услуга" (IaaS); "Платформа как услуга" (PaaS); "Программное обеспечение как услуга" (SaaS); "Аппаратное обеспечение как услуга" (HaaS); "Рабочее место как услуга" (WaaS); "Информационное обеспечение как услуга" (DaaS); "Безопасность как сервис" (SecaaS).

Наибольшее распространение получили категории: Infrastructure as a Service, Platform as a Service и Software as a Service.

Инфраструктура как услуга (Infrastructure as a Service) (IaaS) заключается в том, что провайдер поставляет два типа ресурсов: вычислительные мощности (в том числе ресурсы сети) и ресурсы хранения (ресурсы памяти). При оказании Platform as a Service ("Платформа как услуга") (PaaS) провайдер предоставляет платформу (серверы приложений) для клиентов, иногда предоставляет инструмент для разработки программного обеспечения. Область применения Software as a service ("Программное обеспечение как услуга") (SaaS) простирается от почтовых серверов, редакторов документов, систем управления взаимоотношениями с клиентами и т.д.

В настоящее время остро стоит проблема как правового регулирования собственно оказания услуг в сфере "облачных" технологий в целом [11, 12, 13, 14], так и обеспечения информационной безопасности при использовании «облачных» технологий в частности [15].

Однако, по данным исследований European Union Agency for Network and Information Security (ENISA), не существует реальной возможности обеспечить информационную безопасность при оказании облачных сервисов [16]. Несмотря на это [17], международным сообществом предпринимается ряд мер, направленных на обеспечение безопасности в "облаке", к числу которых можно отнести:

— руководство информационной безопасностью при заключении договоров SLA, что включает в себя разработку ряда сервисных контрактов между клиентами и провайдерами "облачных" услуг;

— анализ критических "облачных сервисов" — выражается в анализе и обсуждении с заинтересованными сторонами последствий сбоя "облачных" служб и обстоятельств, при которых "облачные" технологии следует рассматривать как критические информационные инфраструктуры;

— экспертная оценка "облачной" безопасности и устойчивости — включает в себя работу постоянной экспертной группы ENISA Cloud Security and Resilience Expert Group;

— выработка предложений об эффективной практической деятельности для обеспечения безопасности правительственных облаков;

— отчеты об инцидентах "облачных" вычислений — определяют методику предоставления информации об инцидентах "облачной" безопасности в критических секторах и для государственных органов;

— список схем сертификации "облака" (Cloud Certification Schemes List, CCSL), актуальных для потенциальных клиентов "облачных" вычислений;

— сертификация "облачных" Стратегий Евросоюза [18].

В рамках технологического решения по обеспечению безопасности информации при оказании "облачных" услуг и иерархии рисков применяется стандарт ISO/IEC 27017 — Code of practice for information security controls based on ISO/IEC 27002 for cloud services, который определяет совокупность рисков [19]:

Также рекомендуется Вам:

R1: Риск уязвимости программного обеспечения.

R2: Сетевые атаки.

R3: Риск нападения с использованием средств социальной инженерии в режиме онлайн через электронную почту и веб-сайты.

R4: Компромисс интерфейса управления.

R5: Кража или потеря устройств.

R6: Физические опасности.

R7: Перегрузки.

R8: Неожиданные расходы.

R9: Vendor lock-in — невозможность перехода к другому провайдеру "облачных" услуг.

R10: Административные и юридические риски.

R11: Участие иностранных субъектов.

Таким образом, сложилась ситуация, когда "примат прикладной целесообразности отодвигает на второй план вопрос об информационной безопасности системы, собственно данных и устойчивости всей структуры. Определенный фон привносит интенсивная рекламная кампания, которая представляет "облачные" вычисления как нечто принципиально новое, а поэтому вопросы информационной безопасности откладываются на более позднее время" [20].

При рассмотрении правового регулирования как одного из методов обеспечения информационной безопасности обращает на себя внимание практически полное отсутствие национальной нормативно-правовой базы в данной сфере, что, в свою очередь, связано с исключительной новизной правоотношений, комплексностью проблематики правового регулирования и необходимостью применения аналогий.

Так, при оказании "облачных" услуг стороны заключают гражданско-правовой договор на предмет предоставления услуг или выполнения работ, что влечет необходимость применения ст. 421 ГК РФ, регламентирующей свободу заключения договора, в связи с чем стороны могут заключить как предусмотренный, так и не предусмотренный законом и иными правовыми актами договор.

При этом выделяется проблематика предмета договора на оказание "облачных" услуг, субъектов данной категории — отношений, обращения информации ограниченного доступа, права на использование результатов интеллектуальной деятельности и т.д.

При использовании общепринятого подхода клиент подключается к приложению одной из компаний — поставщиков "облачных" сервисов, а "облачный" провайдер выполняет все остальное: управление системой, мониторинг трафика и требований клиентов, хранение и обработку информации. При этом требования клиента могут быть зафиксированы в т.н. SLA-договоре (Service Level Agreement), представляющем собой расширенное соглашение об уровне качества предоставляемых услуг. К существенным условиям SLA обычно относят: определение параметров предоставляемых услуг; методологию мониторинга, включающую в себя характеристики и методику измерения параметров безопасности в режиме реального времени; независимое тестирование; диапазоны параметров, которые вызывают предупреждения Ad-Hoc, реагирования на инциденты или восстановления; регулярные отчеты об уровне обслуживания (зеркальные) и их содержание; пороги реагирования, определяемые в соответствии с профилем риска организации; ответственность сторон и санкции.

При этом сразу возникает вопрос о контрагенте соглашения, его правах и ответственности по российскому законодательству.

Традиционное использование термина "провайдер" применительно к интернет-услугам базируется на применении положений Директивы об электронной торговле Европейского союза [21], согласно которой принято выделять три категории провайдеров — провайдеры содержания (контент), хост-провайдеры и провайдеры доступа.

Услуга провайдеров доступа заключается главным образом в перемещении данных без их постоянного хранения. Хост-провайдеры предоставляют доступ к содержанию третьих сторон и обеспечивают его доступность. Контент-провайдеры, или провайдеры содержания, предоставляют собственное содержание на собственном оборудовании и обеспечивают его доступность третьим лицам. При определении правового статуса провайдеров содержания (контент), хост-провайдеров и провайдеров доступа [22] обращает на себя внимание то, что на контент-провайдеров возлагается ответственность за содержание собственной информации, сохранение содержания на собственной технической базе или под своим контролем, а значит, они могут контролировать доступ к нему. Хост-провайдеры сохраняют содержание, предоставленное клиентами, на собственной или арендованной технической базе. Деятельность провайдеров доступа заключается главным образом в перемещении данных без их постоянного хранения.

Следует иметь в виду, что европейское законодательство четко связывает категорию провайдера с объемом его обязанностей и ответственности. При этом законодательно определены пределы ответственности каждой из категорий провайдеров. Распределение ответственности за причиненный вред напрямую связан с характером предоставляемой услуги [16] (представлено в таблице 1).

Таблица 1. Распределение ответственности при оказании "облачной" услуги

Вид деятельности

IaaS

PaaS

SaaS

Управление учетными записями пользователей, прав доступа пользователей и т.д.

пользователь

пользователь

пользователь

Развертывание, обновление и патч прикладного программного обеспечения

пользователь

пользователь

провайдер

Развертывание, обновление и патч OS

пользователь

провайдер

провайдер

Развертывание, обновление и патч прикладного программного обеспечения

пользователь

провайдер

провайдер

Развертывание и поддержка аппаратных средств (серверные стойки, диски, маршрутизаторы, кабели и т.д.)

провайдер

провайдер

провайдер

Управление и защита поставок и сооружений (электропитание, охлаждение, кабели, охранники и т.д.)

провайдер

провайдер

провайдер

В нашей стране понятие "провайдер хостинга" внесено в Закон "Об информации, информационных технологиях и о защите информации" и определяется как лицо, оказывающее услуги по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети Интернет [23]. Указанное включение позволило определить совокупность полномочий, обязанностей и ответственности субъекта. Данный подход позже стал применяться при включении в Закон иных субъектов: организатора распространения информации в сети Интернет, владельцев программы для электронных вычислительных машин, владельца сайта и (или) страницы сайта в сети Интернет, которые используются для обработки и распространения новостной информации в сети Интернет, владельцев сайта и (или) страницы сайта в сети Интернет, и (или) информационной системы, и (или) программы для ЭВМ и т.д. В настоящее время сложно сказать, насколько целесообразным является подобный подход к классификации субъектов.

Возникновение у субъектов совокупностей прав и обязанностей порождает коллизию между информационным и гражданским правом.

Информация с 1 января 2008 г. исключена из перечня объектов гражданских правоотношений, определенных ст. 128 ГК РФ. Информация не имеет собственника, правовой статус "обладателя" информации фактически не определен. Информация не имеет цены и не может являться предметом гражданского оборота. Запрет на оборотоспособность информации в составе результатов интеллектуальной деятельности прямо зафиксирован в положениях ч. 4 ст. 129 ГК РФ. Оборотоспособными являются только права на результаты и средства, а также материальные носители, в которых выражены соответствующие результаты или средства. Таким образом, применение договора поставки в отношении информации по аналогии — исключается.

Оказание услуг в нашей стране регулируется договорами об оказании услуг, причем нормами ч. 2 ст. 779 ГК РФ определено оказание аудиторских, консультационных, информационных и иных услуг. Сторонами по договору при этом выступают заказчик и исполнитель.

Скорее всего, в вопросе о провайдере IT-услуг имеет место попытка простого перенесения западного правового термина в российское правовое пространство, при этом не уделяется достаточного внимания вопросам понятия субъекта правоотношения, его правового положения и совокупности прав и обязанностей. Вследствие этого возникает терминологическая путаница, подмена одних понятий другими, невозможность стандартного их толкования и т.д. Следует также иметь в виду значительное отставание Российской Федерации от развитых стран в сфере правового регулирования общественных отношений, возникающих при практическом использовании современных информационных технологий [24].

Вне зависимости от применяемого наименования субъекта отношений встает вопрос о разграничении ответственности сторон, что, в свою очередь, связано с рядом обстоятельств:

— обеспечивает ли сторона доступность содержания или только предоставляет доступ к нему;

— является ли содержание собственностью стороны или оно принадлежит третьей стороне;

— знает ли сторона о незаконном содержании;

— имеются ли технические возможности блокировать доступ к информации и есть ли разумные основания ожидать этого.

Различное сочетание указанных признаков порождает основания для привлечения к ответственности участников отношений.

Таким образом, в обязательственных отношениях по поводу оказания "облачных" услуг в российском правовом пространстве не следует злоупотреблять понятием "провайдер" по отношению к субъекту. При этом как содержание договора, так и практикуемое Service Level Agreement должно четко определять круг обязанностей и сферу ответственности каждого из участников договора.

При заключении договора следует иметь в виду, что, поскольку заключение договора представляет собой достижение сторонами в надлежащей форме соглашения по всем существенным условиям договора в порядке, предусмотренном законодательством, постольку сделки совершаются устно или в письменной форме, причем сделка, которая может быть совершена устно, считается совершенной и в том случае, когда из поведения лица явствует его воля совершить сделку. Нормы ст. 434 ГК РФ связывают форму договора с формой сделки.

Понятие электронного документа определяется п. 11.1 ст. 2 ФЗ "Об информации, информационных технологиях и о защите информации" и раскрывается как документированная информация, представленная в электронной форме, т.е. в виде, пригодном для восприятия человеком с использованием электронных вычислительных машин, а также для передачи по информационно-телекоммуникационным сетям или обработки в информационных системах.

Сделка в форме электронного документа законодательно не предусмотрена, а значит, может послужить формальным основанием для признания сделки недействительной.

Более того, ст. 6 ФЗ "Об электронной подписи" (далее — ФЗ "Об ЭП") определяет условия, при соблюдении которых электронные документы, подписанные электронной подписью, признаются равнозначными документам на бумажном носителе, подписанным собственноручной подписью [25]. В том случае, если условия электронной подписи не выполнены, — соответственно не признаются.

Отсутствие фактического контакта между участниками интернет-отношений порождает проблему, которую можно охарактеризовать как "анонимность субъекта" и которая выражается следующим образом.

Достоверная идентификация участника интернет-отношений возможна только по применении субъектом усиленной электронной подписи. Собственно, требованиями ст. 5 ФЗ "Об ЭП" понятие усиленной подписи раскрывается через возможность определения лица, подписавшего документ. Во всех остальных случаях: применения простой ЭП, IP-адреса, доменного имени, логинов и паролей — идентификация лица, участвующего в данных отношениях, является недостоверной, что ряд авторов относит не просто к свойствам информационных технологий, но и определяет одним из его достоинств.

Следует также иметь в виду, что обработка ряда категорий информации ограниченного доступа выходит за рамки частноправовых отношений и требует соблюдения дополнительных регламентов. Кроме того, следует иметь в виду, что нарушения в сфере данных правоотношений влекут за собой не только гражданскую, но также административную и уголовную ответственность [26], что доказывается обширной судебной практикой по данному вопросу.

Существующие в российском законодательстве требования к защите информации ограниченного доступа сами по себе не препятствуют предоставлению "облачных" сервисов, накладывая лишь определенные ограничения в отношении некоторых категорий информации ограниченного доступа (вопрос об обработке которых следует разрешать в каждом конкретном случае).

Таким образом, можно сделать вывод о том, что в российском законодательстве не существует специальных норм правового регулирования "облачных" сервисов, в связи с чем существенные условия подлежат отражению в SLA-договорах, которые формально не противоречат действующему российскому законодательству, однако требуют тщательной проработки вопросов, связанных с субъектами правоотношения, предметом договора, его содержанием, объемом оказываемых услуг. Также при заключении данной категории договоров необходимо разрешить либо в основном договоре, либо в дополнительном соглашении вопросы обеспечения безопасности и защиты информации, контроля за деятельностью исполнителя, защиты прав на результаты интеллектуальной деятельности, электронного документооборота и электронной подписи.

В соглашении должны отражаться: характер информации и объем сведений, предоставляемых провайдеру, вопросы правового режима и обеспечения защиты информации ограниченного доступа.

Содержание соглашения должно включать в себя: определение предоставляемого сервиса в терминологии российского права; время предоставления сервиса, включая тестирование, поддержку и модернизацию; характеристики пользователей и оборудования для данного сервиса; описание рисков и механизмов реагирования при возникновении угроз информационной безопасности; характеристики отчетов о проблемах, их критериях, условиях эскалации проблемы на следующий уровень; спецификации целевых уровней качества сервиса; минимальную доступность для каждого пользователя, среднее время отклика сервиса, максимальное время отклика для каждого пользователя, среднюю пропускную способность; ответственность сторон при использовании сервиса (подготовка, поддержка соответствующих конфигураций оборудования, программного обеспечения).

Литература

1. Распоряжение Правительства РФ от 28.07.2017 N 1632-р "Об утверждении программы "Цифровая экономика Российской Федерации" // СЗ РФ. 2017. N 32. Ст. 5138.

2. Указ Президента РФ от 01.12.2016 N 642 "О Стратегии научно-технологического развития Российской Федерации" // СЗ РФ. 2016. N 49. Ст. 6887.

3. Указ Президента РФ от 09.05.2017 N 203 "О Стратегии развития информационного общества в Российской Федерации на 2017 — 2030 годы" // СЗ РФ. 2017. N 20. Ст. 2901.

4. Распоряжение Правительства РФ от 20 октября 2010 г. N 1815-р "О Государственной программе "Информационное общество (2011 — 2020 годы)" // СЗ РФ. 2014. N 18 (часть II). Ст. 2159.

5. Распоряжение Правительства РФ от 01.11.2013 N 2036-р "Об утверждении Стратегии развития отрасли информационных технологий в Российской Федерации на 2014 — 2020 годы и на перспективу до 2025 года" // СЗ РФ. 2013. N 46. Ст. 5954.

6. Распоряжение Правительства РФ от 20.07.2011 N 1275-р "О Концепции создания и развития государственной интегрированной информационной системы управления общественными финансами "Электронный бюджет" // СЗ РФ. 2011. N 31. Ст. 4773.

7. Постановление Правительства РФ от 27.12.2012 N 1406 "О федеральной целевой программе "Развитие судебной системы России на 2013 — 2020 годы" // СЗ РФ. 2013. N 1. Ст. 13.

8. Распоряжение Правительства РФ от 20.09.2012 N 1735-р "Об утверждении Концепции федеральной целевой программы "Развитие судебной системы России на 2013 — 2020 годы" // СЗ РФ. 2012. N 40. Ст. 5474.

9. Cloud Computing // URL: https://csrc.nist.gov/Projects/Cloud-Computing.

10. Ефимова С. Аутсорсинг / С. Ефимова, Т. Пешкова, Н. Коник, С. Рытик // Управление персоналом. 2006.

11. Turkay Henkoglu and Ozgur Kulcu Evaluation of Conditions Regarding Cloud Computing Applications in Turkey, EU and the USA // 4th International Symposium on Information Management in a Changing World, IMCW 2013, Limerick, Ireland, September 4 — 6, 2013. Revised Selected Papers.

12. Paul T.J., Lin J., Justin M.G. Cloud Computing and Information Policy: Computing in a Policy Cloud? / T.J. Paul, J. Lin, M.G. Justin // Journal of Information Technology and Politics 5, 269 — 283 (2008).

13. He Y.J. Mobile Internet Service Delivery Model Based on Cloud Computing / Y.J. He // Post Design Technology 10, 39 — 42 (2011).

14. Gao F., Zhang Q., Li Z.Q. Cloud Platform Construction of Film and Television Programs Based on Cloud Computing Technology / F. Gao, Q. Zhang, Z.Q. Li. Cloud Computing Application in Broadcast and Television 7, 3 — 38 (2012).

15. Fu X.W. Analysis of the Security Issues in Cloud Computing Mode. Computer CD / X.W. Fu // Software and Applications 5, 106 — 107 (2012).

16. Cloud computing security risks and opportunities for SMEs // European Union Agency for Network and Information Security. April 2015.

17. Incident Reporting for Cloud Computing Published: December 9, 2013. Authors: Marnix Dekker, ENISA, Dimitra Liveri, ENISA, Matina Lakka, ENISA // URL: https://www.enisa.europa.eu/publications/incident-reporting-for-cloud-computing.

18. Cloud Security Guide for SMEs // URL: https://www.enisa.europa.eu/activities/Resilience-and-CIIP/cloud-computing/security-for-smes/cloud-security-guide-for-smes.

19. ISO/IEC 27017 — Code of practice for information security controls based on ISO/IEC 27002 for cloud services // URL: https://www.iso.org/standard/43757.html.

20. Баранов А.П. Можно ли защитить в "облаке" конфиденциальную информацию / А.П. Баранов // Системы высокой доступности. 2012. N 8. С. 12 — 15.

21. Directive 2000/31/EC On Certain Legal Aspects of Information Society Services, in particular Electronic Commerce, in the Internal Market, Jul 17, 2000 — Директива об электронной торговле Европейского союза от 17.07.2000 N 2000/31/ЕС.

22. Жарова А.К. Информация. Правовое регулирование обращения информации в Интернете: Монография / А.К. Жарова. М., 2006. С. 51 — 53.

23. Федеральный закон от 28.07.2012 N 139-ФЗ "О внесении изменений в Федеральный закон "О защите детей от информации, причиняющей вред их здоровью и развитию" и отдельные законодательные акты Российской Федерации" // СЗ РФ. 2012. N 31. Ст. 4328.

24. Елин В.М. Сравнительный анализ правового обеспечения информационной безопасности в России и за рубежом / В.М. Елин; Под общ. ред. А.П. Баранова. М., 2016.

25. Федеральный закон от 06.04.2011 N 63-ФЗ "Об электронной подписи" // СЗ РФ. 2011. N 15. Ст. 2036.

26. Глава 13 Кодекса РФ об административных правонарушениях, ст. ст. 274, 275, 276, 283, 284, 137, 138, 183 УК РФ // СПС "КонсультантПлюс".

Рекомендуется Вам: