Аутсорсинг затрудняет поддержание целостности и конфиденциальности данных, обеспечение доступности данных и готовности сервиса, а также демонстрацию соответствия нормативным требованиям, поскольку клиентская организация передает поставщику облачных сервисов значительную часть контроля над данными и операциями. Даже такие базовые задачи, как установка пакетов с исправлениями и конфигурирование межсетевых экранов, могут стать обязанностью поставщика облачных сервисов, а не конечного пользователя. Все это ведет к тому, что клиентам облаков приходится налаживать со своими поставщиками неформальные доверительные отношения и оценивать риски того, как эти поставщики осуществляют от их имени внедрение и развертывание средств безопасности, а также управление ими. В то же время именно клиенты, а не поставщики облаков несут окончательную ответственность за нормативное соответствие и защиту своих критических данных.
Национальные особенности лицензирования
С точки зрения лицензирования предоставление облачных ИТ-сервисов ничем не отличается от «традиционных» услуг хостинга, считает Владимир Стрельников, директор по развитию «Гарант-Парк-Интернет» (торговая марка Parking.ru). Каждый провайдер должен иметь лицензию Минкомсвязи РФ на предоставление телематических услуг связи. Телекоммуникационный узел, на базе которого оказываются услуги, должен быть «сдан» Россвязьнадзору. Кроме того, если провайдер собирается предоставлять услуги хостинга систем, обрабатывающих персональные данные, равно как и определенных государственных информационных ресурсов, то он обязательно должен иметь лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации. В ряде случаев требуются и лицензии ФСБ на деятельность по техническому обслуживанию шифровальных средств, и применение сертифицированных ФСТЭК средств защиты, и обязательная аттестация информационных систем на соответствие определенному уровню информационной безопасности. Для обслуживания информационных систем, обрабатывающих данные, составляющие гостайну, необходимо соответствовать еще более многочисленным — и более жестким — требованиям регулирующих органов.
«Стоит отметить особенность лицензирования деятельности по перепродаже на местном рынке услуг зарубежных облачных сервисов, например, Google или Amazon. Если продавец действует исключительно как агент, то есть заключает агентский договор от имени зарубежного поставщика услуг и лишь осуществляет сбор платежей за использование его сервисов, то никакие лицензии не нужны, — поясняет Стрельников. — Но если компания перепродает услуги зарубежных облаков от своего имени, действуя как реселлер, заключая с конечными пользователями собственные договоры на оказание услуг, то в ее отношении действуют требования, общие для всех российских провайдеров хостинга».
Лицензирование и сертификация облачных вычислений должны сопутствовать и не противоречить существующей финансовой модели разработчика решения, убежден Сергей Никифоров, глава представительства компании CA Technologies в России и странах СНГ. Производителю необходимо лицензировать и сертифицировать свои продукты и решения тем способом, который позволяет потребителю приобретать, использовать, сертифицировать и оплачивать согласно использованным ресурсам.
«Вся привлекательность облачных технологий в том, что вместо капитализации отдельных технологических составляющих мы приобретаем компьютерные услуги и вычислительные мощности исходя из реального потребления, — добавляет Никифоров. — Если исходить из потребления по факту, то списание затрат на облачные решения попадает в категорию текущих расходов и не капитализируется, что позволяет серьезным образом изменить ситуацию с капитализацией затрат на ИТ-сферу внутри компании. Большинство же компаний предпочитают капитализировать только те активы, которые прямым способом сопутствуют их роду деятельности».
В России формирование практики и порядка лицензирования в сфере облачных вычислений произойдет параллельно с их адаптацией, считает Никифоров. Единственный момент состоит в том, что компании должны обращать внимание на целостность своих облачных решений, то, какими способами она гарантируется и как обеспечивается территориальность нахождения информации. Это мало чем отличается от западных методик лицензирования аутсорсинговых моделей, хорошо отработанных облачными провайдерами. Чтобы зарубежные облачные провайдеры могли правильно предлагать свои решения для регулируемых организаций, они были должны четко описать, какими способами гарантируется целостность, неприкосновенность и территориальность информации.
Технологии опережают законодательство
Как известно, существует два вида облаков: частные облака, которые используются внутри организации, и внешние, публичные облака, доступные широкому кругу клиентов. В случае с внутренними облаками купленный сервис предоставляется только собственным подразделениям и сотрудникам, с вендором заключается соответствующее лицензионное соглашение, при этом предприятие или организация выступает и поставщиком, и потребителем облачных сервисов. В случае с внешними поставщик облаков сам (без участия потребителей облаков) заключает лицензионное соглашение с правообладателем (вероятнее всего, с вендором), вполне возможно вступая при этом с ним в конкуренцию.
«Правовая основа этих отношений практически полностью зависит от политики вендора. Услуги внешних облаков лицензированию, на мой взгляд, не подлежат», — считает Алексей Анисимов, генеральный директор компании «Открытые операционные системы».
Сергей Мехоношин, директор компании SolverMate, поясняет: «Облачные ИТ-сервисы предоставляются как услуги, то есть это можно сравнить с арендой офиса: вы подписываете договор или акцептируете оферту с определенными условиями предоставления услуг, никаких дополнительных документов, лицензий и т.д. не оформляется и не требуется. А далее — в случае работы по обычной системе налогообложения — как по любому договору на услуги, ежемесячно оформляется акт, счет-фактура».
В нашей стране нет правовой базы применения облачных сервисов, поскольку технологии значительно опережают законодательство, уверен Анисимов. В частности, закон о персональных данных в его текущей редакции сформулирован таким образом, что под понятие о персональных данных может попасть что угодно. Имя, фамилия человека, номер его кредитной карты, остаток на счете и т.д. могут быть признаны персональными, а это значит, что обрабатывающая их система должна быть соответствующим образом сертифицирована. Так говорит закон, но следовать ему в некоторых случаях просто невозможно. Например, Google, популярные облачные сервисы которого, такие как корпоративная почта Gmail или Google Docs, содержат массу персональных данных, а значит, в соответствии с законодательством подлежат обязательной сертификации. Российские регуляторы, однако, ничего проверить не могут, так как фактически Google находится на территории другого государства. Отношения клиента с провайдером облачных сервисов не зафиксированы нигде, кроме двусторонних соглашений. В случае с Google это открытое соглашение типа оферты, которое существует только в Интернете.
«В нашей компании мы используем корпоративный сервис Gmail, который оплачиваем через кредитную карту одного из сотрудников, компенсируя ему эти затраты, — рассказал Анисимов. — У нас нет контракта непосредственно с Google, и подобный контракт в текущих правовых условиях невозможен, поскольку Google принимает оплату только от частных лиц. Тем не менее мы используем этот сервис как корпоративный. С точки зрения бизнеса это риск: нет контракта — значит нет соглашения об уровне обслуживания, следовательно, не к кому предъявлять претензии в случае ухудшения его качества».
«Наша компания сейчас не предлагает своим клиентам облачные сервисы, однако в будущем какие-то из наших предложений могут быть востребованы именно в таком варианте», — поделился своими планами Анисимов.
«Наше законодательство в части лицензирования ПО в принципе несовершенно, — сожалеет Антон Антич, глава представительства компании VMware в России и СНГ. — Чего стоит вся ситуация с “передачей прав”! Это понятие в принципе невозможно объяснить европейским или американским юристам и финансистам, так как в процессе этой “передачи” появляются права на использование у всех участников цепочки. В случае с предоставлением услуг на базе ПО ситуация еще более запутывается. Но, мне думается, все проблемы преодолимы — вопрос лишь в количестве шишек, которые набьют первопроходцы».
По словам Владимира Стрельникова, директора по развитию компании «Гарант-Парк-Интернет», с точки зрения налогообложения облачные сервисы имеют существенное отличие от «традиционных» хостинговых услуг. Облачная модель предполагает потребление сервиса на условиях аренды, включая и инфраструктуру и программное обеспечение, в отличие от традиционной, в которой зачастую предполагается изначальное приобретение заказчиком оборудования и ПО с последующей установкой в удаленный центр обработки данных, где лишь оказываются услуги по техническому сопровождению системы. Приобретение оборудования и ПО в собственность осуществляется из прибыли заказчика, облагаясь налогом на прибыль в размере 20%, включение этих затрат в себестоимость ограничено обязательным сроком амортизации (типичный срок — около трех лет). Таким образом, организация, закупая оборудование или ПО, сразу уплачивает налог на прибыль со стоимости приобретения и имеет возможность его уменьшить лишь незначительно, соразмерно накопившемуся в отчетном периоде размеру амортизации. Потребляя же облачные сервисы, компания полностью включает все затраты на них в себестоимость и с самого начала использования получает выгоду от экономии по налогу на прибыль. Никаких специальных ограничений на объем потребляемых и включаемых в себестоимость затрат на облачные сервисы законодательством не предусмотрено.
«В отличие от приобретения оборудования в собственность, дающего разовую возможность «зачета» НДС в размере 18% стоимости покупки, использование аналогичного оборудования в облаке дает прогнозируемый и постоянный НДС “к зачету” соразмерно месячной стоимости аренды, что удобнее, а в некоторых случаях и выгоднее, — подчеркнул Стрельников. — При оценке важно также не упустить существенное отличие при обложении НДС программного обеспечения. При приобретении ПО в собственность в большинстве случаев приобретение не облагается НДС. Однако при потреблении комплексных облачных сервисов (например, по модели SaaS) с использованием того же самого ПО услуги обязательно будут облагаться НДС, так как в данном случае права на ПО не передаются заказчику — он лишь получает право на использование сервиса, а лицензиатом выступает провайдер. Таким образом, аренда ПО также дает заказчику постоянный, прогнозируемый НДС “к зачету”».
Наконец, использование облачных сервисов по сравнению с приобретением в собственность избавляет и от уплаты налога на имущество, но в силу его небольшого размера (по сравнению c НДС и налогом на прибыль) этот фактор играет заметную роль в принятии решения только при весьма высокой стоимости предмета покупки или аренды.