В том же исследовании подчеркивается, что интерес заказчиков к решениям IaaS будет по-прежнему динамично расти, соответственно и средний ежегодный рост этого сегмента рынка составит около 40%, и к концу 2016 года его объем достигнет 15,8 млрд руб.
Вместе с тем успешное формирование всего рынка облачных сервисов, и в частности IaaS, сдерживается рядом факторов, не последним из которых являются недостатки правового регулирования в данной сфере. Основным законом, регулирующим обязанности облачного провайдера, остается Федеральный закон № 152 «О персональных данных», который не охватывает – да и не может охватить – весь круг мер, которые позволяют заказчикам получить действительно безопасные облака.
Облако по лицензии
На сегодняшний день, как уточнил заместитель генерального директора, руководитель направления ЦОД и облачных вычислений компании «Крок» Руслан Заединов, если в облаке размещаются системы, содержащие в себе персональные данные, то работа облачного сервиса должна удовлетворять требованиям закона «О персональных данных». Кроме того, поскольку компания, предоставляющая услуги облака, так или иначе выступает оператором связи по отношению к своему заказчику, возникает потребность в получении соответствующей лицензии. И если поставщик услуг не соответствует требованиям Россвязьнадзора, к нему вполне могут быть применены санкции, которые, естественно, отразятся и на заказчике.
Ни в одном законодательном акте нет определения облачных технологий как отправной точки в формулировании сути сервисов и правил их регулирования, отметил руководитель направления «Облачные сервисы и инфраструктурные решения» компании «Сервионика» (ГК «Ай-Теко») Ярослав Фаробин. Приведение законодательства в соответствие с международными нормами и практикой рынка можно считать одной из важнейших задач в этой области, так как многих пугает сложность и непрозрачность юрисдикций и законодательных требований по защите публичных облаков, полагает он.
Как считает руководитель отдела маркетинга компании Cloud4y Заур Абуталимов, на настоящий момент должным образом не урегулированы требования к обеспечению конфиденциальности и безопасности данных, передаваемых поставщику облачных услуг, а также не прописаны нормы, определяющие его административную и гражданско-правовую ответственность.
Также тормозят развитие облаков особенности межкорпоративного взаимодействия в отечественном правовом поле, добавил Заединов. Отношения двух юридических лиц обязательно должны сопровождаться наличием бумажного договора с подписями и печатями, что, по мнению Заединова, совсем не подходит для использования ресурсов облака, так как это динамичная система, позволяющая заказчику потреблять то количество услуг, которое ему необходимо в настоящий момент. К тому же бумажная форма документооборота в этой ситуации влечет за собой значительное повышение объема документации, а значит, увеличение штата компании-провайдера и, как следствие, рост стоимости услуги.
Персонально ответственный
Уже упомянутый закон «О персональных данных» в его текущей редакции сформулирован так, что большая часть требований относится к документальному оформлению работы с персональными данными, а не к их фактической защите, считает Абуталимов. Кроме того, по его мнению, под закон попадает слишком много информации, которая может быть признана персональной, а это требует сертификации абсолютно всех систем, работающих с этими данными. Например, в законе под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Таким образом, получается, что к персональным данным можно отнести практически все, начиная от ФИО человека и заканчивая его биографическими данными и номером кредитной карты, которой он осуществляет покупки в Интернете. Это означает, что сертифицированы должны быть все без исключения сервисы, где будут обрабатываться или использоваться данные, подытожил Абуталимов.
Российские требования в области обработки персональных данных, в отличие от европейских норм, во многом избыточны, считает руководитель отдела продаж ICT компании T-Systems Всеволод Егупов. В Европе, уточнил он, достаточно общего согласия на передачу информации «третьим лицам». Ответственность перед пользователями несет оператор персональных данных, то есть работодатель, субъект своим согласием полностью доверяет ему обработку своих данных.
В российском же соглашении между провайдером и заказчиком должны быть прописаны все цели и действия по обработке персональных данных, а также все без исключения юридические лица, обрабатывающие персональные данные: генподрядчик и субподрядчики. По словам Егупова, это зачастую вызывает определенные сложности, поскольку юридические лица могут закрываться, создаваться вновь, переименовываться, что усложняет задачу. В итоге положения закона «О персональных данных» из-за избытка вышеуказанных требований зачастую соблюдаются формально, заключил Егупов.
Более того, по словам Егупова, в истории компании T-Systems были случаи, когда жесткие законодательные требования, которые очень сложно полностью учесть в договоре, являлись причиной срыва сделок с крупными заказчиками.
Защита по стандарту
Поскольку заказчику необходима аттестация систем на работу с определенным классом персональных данных, провайдер должен применять сертифицированные технические средства. Таким образом, чтобы соответствовать требованиям закона, любое предлагаемое решение должно быть интегрировано с тем или иным сертифицированным ФСБ и ФСТЭК средством защиты данных, объяснил Заединов. Однако работа над созданием государственных стандартов, позволяющих предотвратить утечку информации и обеспечить безопасность использования облаков, еще не завершена.
В 2013-2014 годах планируется введение ГОСТов, обозначающих требования к сфере облачных вычислений, сказал Фаробин. Среди них «Требования по защите информации в информационных системах, построенных с использованием технологии виртуализации. Общие положения», «Требования по защите информации, обрабатываемой с использованием технологий облачных вычислений. Общие положения» и «Требования по защите информации в информационных системах, построенных с использованием суперкомпьютерных и грид-технологий».
Вместе с этим облачная инфраструктура любого провайдера довольно неоднородная и разветвленная, и существующие сертифицированные средства не в состоянии обеспечить защиту всех точек системы, в которых может произойти утечка информации, считает Заединов. Например, такой точкой может служить гипервизор виртуализации, а инструментом нападения – средства типа rootkit, с помощью которых может быть совершена попытка проникновения на системный уровень в облачной инфраструктуре. Дальнейшее развитие такой атаки зависит от тех полномочий, которые атакующий сможет получить, в частности возможна кража образов виртуальных машин и других данных.
Кроме того, под безопасностью в области IaaS зачастую подразумевается степень проникновения персонала провайдера в инфраструктуру заказчика, уточнил Заединов. Чтобы минимизировать риски еще на этапе подписания договора на оказание услуг, в силу вступают определенные организационные ограничения, которые делают инфраструктуру заказчика более защищенной. В частности, можно организовать контроль и вести централизованный журнал действий пользователей, предупреждая тем самым их несанкционированные действия, а также создав эффективный инструмент для проведения расследований.
Трансграничная передача
Главный вопрос, который возникает при использовании IaaS, — это «в чьей сфере ответственности находится облако», считает Фаробин, отмечая, что вариантов здесь может быть множество. Например, в США компании, ведущие свою деятельность на территории других стран, должны соблюдать американское законодательство и требования американских регуляторов. Но и доступ к информации американские регуляторы могут запросить в любой момент без уведомления пользователя.
Регулирование защиты данных должно быть реализовано и на межгосударственном уровне, уверен Егупов. По его словам, когда речь идет о частных и гибридных облаках, все предельно прозрачно: есть клиент и есть защищенная среда. Когда речь идет о публичных облаках, доступ к которым предоставляется через незащищенные каналы, все усложняется. Пользователь не знает, кто и где обрабатывает данные и кто отвечает за их безопасность. Недавний скандал с Эдвардом Сноуденом показал, что никто не гарантирует полную защиту данных, напомнил Егупов.
Сейчас в России встает вопрос о приведении законодательства в соответствие с Конвенцией Совета Европы «О защите физических лиц при автоматизированной обработке персональных данных» и разработке списка «адекватных» стран для трансграничной передачи данных, полагает Фаробин. По его мнению, принятие на международном уровне необходимых законодательных актов упростит и унифицирует трансграничную передачу персональных данных, что важно для развития локальных и глобальных рынков.
Международные нормы в облачной сфере вряд ли применимы, возражает Заединов. Если облака используются для государственных нужд, как это происходит, например, в Великобритании и США, то регулирующие безопасность нормы будут индивидуальны и, скорее всего, секретны, так как раскрытие подобных документов может стать угрозой для всей системы.
В коммерческих целях, по мнению Заединова, международные нормы так же вряд ли применимы, поскольку услуги облачных вычислений публично доступны и, принимая решение об их использовании, заказчик автоматически соглашается с определенными правилами игры, установленными провайдером и прописанными в SLA (соглашении об уровне услуг), а не определенными международными нормами. Например, если провайдер ориентируется на массовый сервис, как Amazon, то в SLA будет указано, что услуги предоставляются на условиях «как есть», без гарантий, а если же речь идет о корпоративном заказчике, то и SLA у него будет с обязательствами и гарантиями, заключил Заединов.