, причем их влияние может быть столь же велико, как и законодательных требований и норм. Тем не менее обеспечение должного соответствия им, а также сертификация остаются коммерческим делом каждого провайдера, если нет соответствующего требования регулятора. Ключевую роль в принятии необходимых стандартов и развитии рынка может играть правительство — потенциально наиболее крупный потребитель облачных сервисов.

 

Поддержка облачных вычислений предполагает принятие множества различных стандартов, что — с учетом наличия десятков органов по стандартизации — чревато их фрагментарностью, несогласованностью и взаимным дублированием. В свое время Европейская комиссия даже выразила озабоченность по этому поводу, назвав «мешанину стандартов» главным препятствием на пути перехода к облакам, которое тормозит развитие рынка.

Наибольшее опасение вызывало то, что отрасль не сможет прийти к согласию относительно интероперабельности сервисов и переносимости данных. Каждый крупный игрок стремится к доминированию на рынке, а потому, по мнению комиссии, не заинтересован в стандартизации. В результате заказчики могут оказаться привязанными к конкретному провайдеру, не имея возможности его сменить. Кроме того, комиссия выразила тревогу по поводу отсутствия стандартов для обеспечения безопасности данных, в соответствии с которыми можно было бы сертифицировать провайдеров облачных услуг, их инфраструктуру и сервисы, что позволило бы гарантировать сохранность пользовательских данных и помогло отрасли развиваться.

Однако в отчете Группы по координации облачных стандартов (Cloud Standard Coordination, CSC) Европейского института телекоммуникационных стандартов (European Telecommunications Standards Institute, ETSI) эти опасения Европейской комиссии были признаны чрезмерными: ситуация в области облачных стандартов характеризуется как сложная, но «динамичная». По мнению ETSI, проблема заключается не в путанице, а в необходимости интенсификации работы над техническими стандартами, где до сих пор остаются пробелы. Кроме того, отсутствие стандартов интероперабельности признается менее существенным по сравнению с потребностью в стандартах безопасности и конфиденциальности данных.

Такое изобилие норм, стандартов и спецификаций вовсе не свидетельствует о проблемах на рынке облачных вычислений. Скорее, оно отражает разнообразие и комплексный характер используемых технологий. К тому же ситуация с техническими стандартами намного лучше, чем с другими — в частности, с сертификационными, для принятия которых требуется больше времени, поскольку они должны быть встроены в существующее правовое поле.

Ключевую роль в принятии необходимых стандартов способно сыграть правительство — потенциально наиболее крупный потребитель облачных сервисов. Через своих представителей оно может либо напрямую участвовать в разработке стандарта, либо устанавливать регулирующие или законодательные нормы, куда включаются уже имеющиеся стандарты. В некоторых государствах вводятся обязательные стандарты, необходимые для функционирования облачного рынка. Так, в Сингапуре действует спецификация на многоуровневую защиту облачных сервисов (Specification for multi-tiered cloud computing security, MTCC SS). В большинстве же стран правительства не занимаются разработкой стандартов, поддерживая развитие облаков посредством соответствующих стратегических инициатив.

АКТУАЛЬНЫЕ СТАНДАРТЫ БЕЗОПАСНОСТИ ДЛЯ ПРОВАЙДЕРОВ

Релевантные стандарты, прежде всего в области информационной безопасности, были рассмотрены в докладе Дмитрия Григоровича, старшего менеджера KMPG, во время проведения открытого заседания бизнес-клуба ассоциации «АСТРА», где обсуждались актуальные проблемы развития облачных вычислений в России. Требования к информационной безопасности отражены во множестве стандартов — международных и национальных, общих и отраслевых. К их числу относятся ISO 22301, ITIL, TIER, SSAE, ISAE, NIST, 152-ФЗ, 382-П, SOX-4, HIPAA и еще десятки других, принятых различными законодательными и нормативными органами. К счастью, как отмечает эксперт KMPG, локальные стандарты и акты обычно базируются на международных нормативах, так что применение передовых практик позволяет удовлетворить если не все, то большинство требований. К тому же многие из перечисленных стандартов предназначены для узкого сегмента информационной безопасности.

Количество выданных сертификатов ISO/IEC 27001 в разных странах мира
Количество выданных сертификатов ISO/IEC 27001 в разных странах мира

 

На Западе «практически обязательной» для провайдеров является сертификация по ISO 27001:2013 на системы менеджмента информационной безопасности (соответствующий российский ГОСТ Р ИСО/МЭК 27001-2006 базируется на версии этого стандарта от 2006 года). Только в странах ЕС ежегодно выдается более 8000 сертификатов на ISO 27001. В России, несмотря на наличие ГОСТа, этот стандарт мало распространен — каждый год его получают всего несколько десятков компаний. По мнению Дмитрия Григоровича, такое положение дел можно объяснить «сфокусированностью стандарта на общих подходах к управлению ИБ, а не на эффективности отдельных элементов управления, недоверием к другим сертификатам ISO и дороговизной получения сертификата». Тем не менее он ожидает, что востребованность сертификата будет расти.

Другими релевантными для провайдеров стандартами ISO из группы 27000 являются ISO 27002 на методы и средства информационной безопасности и ISO 27005 на управление рисками в области информационной безопасности. В первом более подробно рассматриваются средства управления, перечисляемые в приложении к ISO 27001. Оба стандарта (27002 и 27005) являются рекомендательными, сертификация на соответствие им не предполагается. Тем не менее провайдер может заказать независимую оценку, чтобы проверить, в какой мере соблюдаются предложенные рекомендации. Как указывает Дмитрий Григорович, некоторые заказчики запрашивают такую оценку вместо сертификации по 27001. Все три стандарта не являются специфичными для провайдеров. Между тем летом 2014 года ISO опубликовала стандарт ISO 27018:2015 о защите персональных данных в облаке, а в конце 2015 года — ISO 27017:2015 о средствах контроля информационной безопасности для облачных решений.

В ISO 27017 предусматриваются дополнительные элементы безопасности для облака, отсутствующие в ISO 27002. Полное официальное название этого стандарта: «Свод правил для средств управления информационной безопасностью на базе ISO/IEC 27002 для облачных сервисов» («Code of practice for information security controls based on ISO/IEC 27002 for cloud services»). Несмотря на то что его финальная редакция была опубликована лишь 30 ноября 2015 года, Amazon Web Services уже имеет соответствующий сертификат, полученный еще в октябре 2015-го. Между тем, являясь дополнением к ISO 27002, новый стандарт не предполагает сертификации, однако ввиду его популярности многие органы сертификации планируют это делать: вероятно, будут выдавать «свидетельства о соответствии». Во всяком случае, на данный вопрос еще нет ясного ответа.

Конкретные рекомендации применительно к облачным сервисам даются к 37 из более чем сотни средств управления безопасностью, которые определены в ISO 27002. Они адресованы не только провайдерам облачных услуг, но и заказчикам, чем подчеркивается их взаимная ответственность за безопасность сервисов: заказчик должен разработать политику использования облачных сервисов, а провайдер — предоставить ему необходимую информацию. Наибольшие изменения касаются раздела, посвященного контролю доступа: рассматриваются регистрация и выход пользователя, предоставление доступа, управление привилегированным доступом, ограничение доступа к информации и использование привилегированных служебных программ. Кроме того, вводятся семь новых элементов управления:

  • общие роли и ответственность в облачной среде;
  • удаление и возврат активов клиента облачных сервисов;
  • сегрегация в виртуальных вычислительных средах;
  • усиление виртуальных машин;
  • операционная безопасность администратора;
  • мониторинг облачных сервисов;
  • согласование управления безопасностью для виртуальных и физических сред.

Конечно, это далеко не все стандарты, даже если ограничиться только информационной безопасностью. Чем их больше, тем труднее в них разобраться. Как бы то ни было, ISO 27001 представляется наилучшим базовым стандартом для всех компаний, желающих защитить свою информацию (и единственным из серии стандартов информационной безопасности ISO, на который выдается реальный сертификат). Оставляя в стороне вопрос о защите персональных данных (ISO 27018 и/или 152-ФЗ), можно сказать, что реализованный поставщиком облачных услуг комплекс рекомендаций ISO 20001 и 20017 является необходимым «джентльменским набором» в области информационной безопасности, если провайдер хочет рассеять сомнения заказчика в безопасности облачных сервисов.

Однако, как следует из ISO 20017, даже следование провайдером его рекомендациям не снимает ответственности с клиента, который должен выполнить свою часть домашнего задания и также тщательно следовать рекомендациям стандарта. Например, согласно требованиям контроля доступа A.9.4.1, он должен ограничить доступ к информации в облаке в соответствии со своей корпоративной политикой.

ОБЛАЧНЫМ ПРОВАЙДЕРАМ ЗАКОН НЕ ПИСАН?

Стандарты могут оказывать столь же значительное влияние на рыночную ситуацию, как и введение законодательных требований и норм. Тем не менее при отсутствии официальных требований обеспечение соответствия тем или иным стандартам, а также сертификация — это коммерческое дело каждого провайдера. В большинстве стран деятельность облачных провайдеров государством никак специальным образом не регулируется. До недавнего времени ни в одной стране мира не было отдельных законов, посвященных облакам. В прошлом году первопроходцем на этом пути стала Южная Корея (см. раздел «Впереди планеты всей»).

В техническом задании Минкомсвязи на выполнение научно-исследовательской работы по теме «Нормативно-правовое обеспечение возможности использования облачных технологий органами государственной власти и органами местного самоуправления» ставилась задача проработать среди прочего вопрос о «необходимости и целесо-образности дополнительного государственного регулирования использования облачных технологий, в том числе… принятия отдельного федерального закона об использовании облачных технологий». Однако никакой официальной информации о результатах выполнения этого задания с момента его публикации весной 2013 года не появлялось. Тем временем в августе 2014 года министерство подготовило поправки к «Закону об информации, информационных технологиях и о защите информации», где вводилось понятие облачных сервисов, из чего следует, что отдельного «облачного закона», по-видимому, не будет (см. подробнее раздел «Определение облачных услуг в законе об информации»).

Согласно оценке Business Software Alliance, среди 24 стран, на которые приходится 80% мирового рынка ИКТ, Россия занимает 16-е место по уровню «готовности к росту облачных вычислений», опережая даже Китай (BSA Global Cloud Computing Scorecard 2013). Однако по показателю «поддержка отраслевых стандартов и международных гармонизирующих норм» она находится лишь на 22-м месте. В отчете, в частности, указывается, что пробелы в законодательстве и практике защиты интеллектуальной собственности могут представлять риск для развития облачных сервисов. Вместе с тем отмечается, что подписание Россией — наряду с другими странами — конвенции ООН о контрактной системе в области электронной торговли (UN Convention on Electronic Contracting) способствует гармонизации электронной торговли в международном масштабе, а законы и нормы в части общих требований к информационной безопасности для провайдеров облачных услуг охарактеризованы как «проработанные».

ПЕРСОНАЛЬНЫЕ ДАННЫЕ В ОБЛАКЕ

В соответствии с «Концепцией перевода обработки и хранения государственных информационных ресурсов, не содержащих сведений, составляющих государственную тайну, в систему федеральных и региональных центров обработки данных» до конца 2015 года должны были быть приняты необходимые правовые акты по урегулированию использования облачных технологий при осуществлении государственного управления. Однако на данный момент специальные нормативно-правовые акты, где бы устанавливались правила оказания облачных услуг, отсутствуют. Тем не менее, как отметил партнер московского офиса «Уайт энд Кейс» Николай Феоктистов в своей презентации «Правовые аспекты облачных услуг: актуальные вопросы законодательства и правоприменения», в России очень много законов, в которых и к заказчикам, и к поставщикам услуг предъявляются довольно специфические и детальные требования. Главные из них — Гражданский кодекс (ГК), а также законы об информации и персональных данных.

Основные ограничения в части обработки информации касаются персональных данных (ПДн). С юридической точки зрения в отношениях, формирующихся в связи с использованием облачных услуг, участвуют три стороны: субъекты данных, заказчики и провайдеры, — причем заказчик является также оператором данных для тех субъектов данных, информацию о которых он собирает и затем передает в облако. При буквальном чтении закона о персональных данных провайдер может классифицироваться как оператор ПДн в зависимости от объема предоставляемой облачной услуги. В таком случае возникает необходимость соответствовать огромному количеству критериев, в числе которых — регистрация в специальном реестре регулятора и ответственность перед субъектом персональных данных, находящихся в облаке, что увеличивает нагрузку на провайдера и его затраты.

Чтобы избежать этой ситуации, Николай Феоктистов советует провайдерам воспользоваться особым режимом обработки данных — обработкой по поручению. Он избавляет от необходимости получать согласие на обработку ПДн у субъектов и позволяет избежать ответственности непосредственно перед ними: отношения провайдера по поводу соблюдения законодательства о ПДн будут ограничены его контрактом с заказчиком — разбираться с теми или иными претензиями конкретных субъектов данных будет сам заказчик, он же оператор данных. Для этого в договоре с провайдером должны быть прописаны следующие условия:

  • перечень действий по обработке ПДн, которые будут совершаться провайдером, а также цели обработки;
  • обязательство провайдера соблюдать конфиденциальность ПДн и обеспечить их безопасность в ходе обработки;
  • перечень требований к провайдеру по защите обрабатываемых ПДн.

При отсутствии в договоре этих условий провайдер рискует нарушить множество статей закона о ПДн, а при их наличии он хотя и освобождается от непосредственной ответственности перед субъектом данных, но отвечает за несоблюдение предусмотренных договором мер по защите ПДн.

Много вопросов вызывало требование закона о локализации, указывающее на то, что персональные данные российских граждан должны обрабатываться с использованием баз данных, находящихся в РФ, и — согласно «жесткой трактовке» — исключительно на отечественных серверах. Однако в итоге Минкомсвязи выбрало более мягкий вариант: обработка данных российских граждан возможна и на зарубежных серверах, если эти данные содержатся также в базах данных, расположенных на территории РФ, при этом не допускается наличия за пределами страны ПДн, которые отсутствуют в российской базе данных. Как отмечает Николай Феоктистов, данное разъяснение не отвечает на целый ряд вопросов, например: если новые данные создаются за рубежом и они доступны пользователю в России, то должны ли они тут же реплицироваться в российскую базу данных и какова ответственность провайдера в тот период времени, пока эта репликация происходит?

ОПРЕДЕЛЕНИЕ ОБЛАЧНЫХ УСЛУГ В ЗАКОНЕ ОБ ИНФОРМАЦИИ

С 1 января 2016 года должны были вступить в силу поправки к федеральному закону «Об информации, информационных технологиях и о защите информации», где впервые в российской законодательной практике дается определение облачных услуг (на момент написания статьи они находились на этапе «Подготовка заключения об ОРВ»). Изначально была предложена следующая формулировка: «Услуги облачных вычислений — услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации органов государственной власти, органов местного самоуправления, органов управления государственными внебюджетными фондами с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети».

Фактически в этом определении облачные сервисы рассматривались как услуги исключительно для государственных структур, поэтому после обсуждения экспертов упоминание про органы государственной власти и иже с ними было исключено (к слову, было подано всего одно предложение по внесению изменения, текст которого, к сожалению, недоступен; насколько можно судить по приводимым адресам электронной почты, текст поправок рассылался на экспертизу в основном представителям бизнес-сообщества): «Услуги облачных вычислений — услуги по предоставлению вычислительных мощностей, включая технические средства и права использования программ для электронных вычислительных машин в целях обработки и хранения информации с использованием технических средств, взаимодействующих через информационно-телекоммуникационные сети».

Однако текущая формулировка по-прежнему носит слишком общий характер (например, под данное определение подходят услуги аутсорсинга вычислительной инфраструктуры, когда оператор не только обслуживает ведомственную сеть, но и предоставляет в аренду оборудование. Кроме того, она не отражает специфики облачных сервисов: оперативное получение услуг при минимальном участии провайдера, оплату за фактическое использование и другие особенности. Далее, не только не проводится явного различия между разными моделями предоставления облачных сервисов («инфраструктура как сервис» и «ПО как сервис»), но они фактически смешиваются — «предоставление вычислительных мощностей (IaaS), включая… права использования программ (SaaS)». (И наконец, исключительно редакторское замечание — после «вычислительных машин» необходима запятая, иначе получается неудобоваримая фраза про «технические средства … с использованием технических средств».)

В поправках даются определения не только облачных сервисов, но также облачной инфраструктуры и поставщика услуг облачных вычислений, которые по сути носят тавтологический характер: облачная инфраструктура — это инфраструктура для предоставления облачных сервисов. Впрочем, если подходить формально, из определения не вполне ясно, входят ли в нее сети доступа или только сети внутри ЦОДа, поскольку передача информации (предоставление ее клиенту) не упоминается в числе операций с данными: «облачная инфраструктура — совокупность программно-технических средств и информационно-телекоммуникационных сетей, обеспечивающих обработку и хранение информации в целях оказания услуг облачных вычислений».

В качестве провайдеров могут выступать как юридические лица, так и индивидуальные предприниматели. К ним предъявляются три основных требования: поставщик должен обеспечить доступность информации и программного обеспечения, возможность обработки данных (включая полное удаление) и, наконец, защиту информации (в соответствии с требованиями ст. 16 из 5-й части закона об информации). Отдельно оговаривается, что поставщик не имеет никаких прав на информацию (не является ее обладателем). Осуществлять поставку облачных услуг государственным и муниципальным органам могут только российские компании (и даже индивидуальные предприниматели), а их облачная инфраструктура должна находиться на территории РФ. Провайдерам необходимо будет получить аккредитацию в Минкомсвязи. Кроме того, министерство обязано разработать требования к контрактам и договорам на оказание облачных услуг. Порядок предоставления услуг определит правительство РФ.

ВПЕРЕДИ ПЛАНЕТЫ ВСЕЙ

Первый закон об облаках был принят в Южной Корее. Его полное название — «Закон о развитии облачных вычислений и защите пользователей» («Act on the Development of Cloud Computing and Protection of Users», сокращенно — Korean Cloud Act). Государство решилось на дерегулирование отрасли, поскольку Южная Корея была одной из немногих стран, где общественным институтам запрещалось арендовать облачные серверы у частных провайдеров. Главной причиной запрета было опасение относительно возможных угроз информационной безопасности, которой, как явствует из названия, в законе уделяется особое внимание.

На разработку и принятие этого документа ушло около полутора лет (постановление правительства было одобрено в сентябре 2013 года, а закон принят в марте 2015-го и вступил в силу в сентябре того же года). Причем поначалу комитет по науке, ИКТ, будущему планированию и коммуникациям не торопился с его рассмотрением, считая более важным решение других задач, в частности принятие закона о вещании.

Закон распространяется на все общественные институты — центральное правительство, общественные организации, учреждения здравоохранения и образования — и призван стимулировать первоочередное использование облачных сервисов для повышения продуктивности и конкурентоспособности.

Местный рынок облачных вычислений относительно невелик и неразвит по сравнению с локальным ИТ-рынком, в этом отношении он схож с российским. По оценкам института экономических исследований Digieco, в 2014 году его объем составил 863 млн долларов, что сопоставимо с размером российского облачного рынка (до обесценения рубля). Как ожидается, его ежегодный рост должен составить 30% за счет следующих мер:

  • наращивание инвестиций в развитие облачного рынка и расширение поддержки, прежде всего со стороны правительства;
  • разрешение и поощрение повсеместного использования облачных сервисов, включая публичные сервисы;
  • введение мер по обеспечению безопасности со стороны провайдеров облачных услуг.

Корейское Министерство науки, ИТ и перспективного планирования предоставляет и ряд стимулирующих преференций, адресованных прежде всего небольшим разработчикам облачного программного обеспечения: налоговые вычеты и техническую помощь. Кроме того, такие компании получат приоритет при проведении государственных тендеров на реализацию научно-исследовательских проектов в сфере облачных технологий.

Вся ответственность за защиту данных переносится с клиента на провайдера облачных сервисов. Как утверждается, это сделано для того, чтобы компаниям без опыта работы в ИТ не приходилось дополнительно тратиться на безопасность, и тогда облачные сервисы станут для них более привлекательными. Владельцы данных должны подписать соглашение с провайдером и указать, какая хранимая в облаке информация может быть раскрыта, а какая нет.

Первоначально предполагалось, что контроль за соответствием требованиям безопасности станет осуществлять Национальное агентство разведки (НАР). В частности, провайдеры должны были бы сообщать НАР

обо всех инцидентах безопасности с облачными сервисами. Однако опасения в отношении того, что НАР получит неограниченный контроль за облачными сервисами и персональными данными, привело к общественным протестам, и эта статья была изъята из итогового текста. Согласно закону об инцидентах провайдер должен сообщать о подозрительных случаях в отраслевое министерство, и именно оно будет инициировать проверку (подробнее о том, каким требованиям должен отвечать провайдер, см. во врезке «Требования к облачным провайдерам»).

 

Требования к облачным провайдерам

При выборе провайдера клиенты должны выяснить его соответствие требованиям закона об облаках. Согласно новому южнокорейскому законодательству, на провайдеров облачных услуг возлагается ряд обязательств:

  • провайдер обязан сообщить о факте утечки информации, если таковой имел место, своим клиентам и в профильное министерство; последнее может провести расследование инцидента;
  • провайдер не должен предоставлять принадлежащую клиентам информацию третьей стороне или использовать ее для иных, отличных от оговоренных, целей без согласия клиента;
  • провайдер должен вернуть или удалить данные клиента после окончания срока контракта об оказании облачных услуг;
  • при размещении информации за пределами Южной Кореи клиент может потребовать от провайдера раскрыть ее местонахождение;
  • если клиент понес потери вследствие намеренных действий провайдера или из-за его халатности и нарушения закона об облаках, то клиент может потребовать возмещения от провайдера, который должен сам доказывать свою невиновность;
  • подзаконными актами министерства будут детализированы требования к качеству/функциональности облачных сервисов и надлежащим уровням обслуживания, а также стандарты для защиты информации;
  • помимо этого, планируется введение системы сертификации облачных сервисов и стандартизованных контрактов на использование облачных сервисов.

В законе об облаках пока нет какой-либо привязки к международным стандартам. В ряде стран для оценки провайдера облачных услуг регулирующие органы ориентируются, например, на рекомендации ISO/IEC 27001 и ISO/IEC 27018. Предусмотренные последним инструменты контроля отвечают многим положениям южнокорейского закона (и даже предъявляют более жесткие требования), поэтому у тех провайдеров, которые уже обеспечили соответствие ISO/IEC 27018, не должно возникать каких-либо проблем с его выполнением.

 

Как надеются в Южной Корее, принятие этого закона, с одной стороны, активизирует развитие смежных отраслей, а с другой, будет мотивировать негосударственные компании к использованию облачных сервисов. Развитие необходимой инфраструктуры для предоставления облачных сервисов должно способствовать росту таких связанных отраслей, как телемедицина, финансовые услуги и Интернет вещей. А как показывает опыт Китая, который в данном случае служит примером, внедрение облачных услуг в государственном секторе способствует их популяризации в частном секторе.

Дмитрий Ганьжа — главный редактор «Журнала сетевых решений/LAN». С ним можно связаться по адресу: diga@lanmag.ru.