Фраза «витать в облаках» постепенно перестает быть иронической с мечтательным привкусом. Облачные технологии постепенно входят в жизнь интернет-обывателя. Почтовые сервисы, социальные сети — это малая толика информации, хранящейся в клауде. И это только начало…

Чем больше информации переносится на облачные сервисы, тем больше возникает вопросов с правовым регулированием, с защитой персональных данных, интеллектуальной собственности. 17 апреля с.г. Комитет Ассоциации юристов Украины по вопросам телекоммуникаций, информационных технологий и Интернета провел заседание, посвященное облачным технологиям.

Право в облаке

Что же такое облачные вычисления? Директор по развитию бизнеса «Датацентр «Парковый» Александр Кариченский отметил, что облачные вычисления — это концепция, методология, при которой применяется набор определенных подходов, технологий. Это программно-аппаратный комплекс, предоставляющий доступ к определенному пулу ресурсов, которым может пользоваться большое количество клиентов. Общепринятое определение облачных вычислений звучит так: информационно-технологическая концепция, подразумевающая обеспечение повсемест­ного и удобного сетевого доступа по требованию к общему пулу конфигурируемых вычислительных ресурсов (например, сетям передачи данных, серверам, устройствам хранения данных, приложениям и сервисам — как вместе, так и по отдельности), которые могут быть оперативно предоставлены и освобождены с минимальными эксплуатационными затратами или обращениями к провайдеру.

Юридические аспекты облака проанализировала юридический советник «Майкрософт Украина» Ольга Прокопович. Она отметила, что в целом нет специфического отраслевого правового регулирования облачных технологий. Однако к ним применимы нормы различных отраслей, таких как защита персональных данных, информационная безопасность, регулирование предоставления услуг.

Остановимся на персональных данных. Европейский и американский подход к защите данных несколько отличаются. В ЕС используется термин data protection, в Америке это privacy. Ольга Прокопович поделилась наблюдением: в Европе право человека на защиту персональной жизни — неотъемлемое право, которое не может быть ограничено законом; американцы считают, что privacy — это право человека, но оно может быть ограничено в интересах государства и других лиц.

Г-жа Прокопович выделила два аспекта относительно данных: это защита и безопасность. Защита предусматривает применение правил, регулирующих обработку персональных данных, а безопасность данных — применение правил, направленных на защиту информации.

Четыре модели

Существует четыре модели защиты данных в мире: детальная (европейская), секторная (США), совместное регулирование (Австралия, Новая Зеландия), отсутствие отдельного регулирования (Китай и несколько стран Азии). По словам Ольги Прокопович, детальная модель регулируется Директивой ЕС о защите данных (EU Data Protection Directive) и касается различных нюансов, в том числе осуществления передачи данных, возможности передачи данных между ЕС и Америкой (U.S. Safe Harbor) и пр.

В Америке (секторная модель) действует федеральное законодательство и законодательство штатов. Федеральные законы регулируют базовые принципы приватности, но в конкретных индустриях отдельные законы регулируют, например, обеспечение безопасности данных онлайн, передачу или сбор данных от несовершеннолетних до 13 лет, передачу или сбор данных пациентов. Отдельные штаты могут иметь более строгие механизмы реагирования на те или иные процессы. К примеру, в Калифорнии позаботились о сборе идентификационных данных. Теперь за кражу «личной жизни» суд в Калифорнии может посадить на 100 лет, в то время как в Канзасе санкция за такое преступление не такая суровая.

В Австралии (совместное регулирование) действует Australia’s Federal Privacy Act от 1988 года. В то время он распространялся только на государственные органы, впоследствии нормативный документ дополнялся новыми разделами — по разным индустриям (финансы, медицина). Модель совместного регулирования предусматривает общие принципы, заложенные в национальном законодательстве, и детальное регулирование — в подзаконных актах, секторных положениях, инструкциях.

Ольга Прокопович ознакомила с последними новинками судебных перипетий корпорации Microsoft. «Идет судебное дело в Нью-Йорке. Ситуация следующая: физическое лицо, гражданин Ирландии, по каким-то причинам попал на радар ФБР. ФБР получило решение нью-йоркского суда, обязывающее корпорацию Microsoft, как материнскую компанию ирландской корпорации, выдать данные из ирландского дата-центра. Корпорация Microsoft такое решение оспорила. Основные аргументы — существование договора о взаимной правовой помощи и недопустимости обхода правовых инструментов, предусмотренных договором. Контраргумент ФБР: «Это же ваша компания, обяжите ее выдать данные». Да, ирландская компания принадлежит корпорации Microsoft, но субъект персональных данных — ирландский, поэтому, согласно контракту, корпорация обязана уведомить заказчика о том, что эти данные кто-то ищет, а ФБР в суде должно доказать, что не смогло связаться с заказчиком, поэтому обошло другие существующие правовые механизмы. Следующее заседание суда апелляционной инстанции будет в июле, мы получили поддержку мировой общественности. Это ключевое решение, ведь как только будет разрешена подобная выдача данных, можно потерять доверие заказчиков», — поделилась юрист.

Виды информации

О видах информации по порядку доступа рассказал координатор ІТ-практики ЮФ Sayenko Kharenko Никита Полатайко. В частности, он напомнил, что информация бывает открытой и с ограниченным доступом. К информации с ограниченным доступом относится тайная информация (составляющая государственную, банковскую, адвокатскую тайну, тайну нотариальных действий, тайну усыновления, врачебную тайну и др.), служебная и конфиденциальная (коммерческая тайна, персональные данные и т.д.).

К служебной информации относятся материалы оперативно-розыскной деятельности, контрразведки, внутренняя служебная корреспонденция — если они не составляют государственную тайну. «Интересно следующее: если вы передаете свою коммерческую тайну банку, на нее распространяется два режима охраны: как на коммерческую тайну и как на банковскую. Но если государство определило вашу информацию как государственную тайну, то изымает ее», — прокомментировал г-н Полатайко.

«Законодательством установлены несколько типов информации с ограниченным доступом, но нормативное регулирование обеспечения защиты такой информации достаточно фрагментарное», — продолжила тему Ирина Калита, член рабочей группы по разработке законопроекта «О внесении изменений в некоторые Законы Украины относительно обработки информации в системе облачных вычислений» (законопроект). Она напомнила, что Закон Украины «О защите информации в информационно-телекоммуникационных системах» предусматривает для государственных информационных ресурсов определенный режим защиты — соответствующая информация должна обрабатываться в системе с применением комплексной системы защиты. Государственные информационные ресурсы — очень широкое понятие, оно может включать и открытую информацию, которая обрабатывается не только государственными органами, но и государственными предприятиями.

Даже работникам государственных предприятий для обработки информации нужно получить большое количество разрешений, сертификатов. «Такой уровень защиты для открытой информации неоправдан, — считает Ирина Калита, — и государственные органы все чаще признают, что стоит разработать диверсифицированный режим защиты информации».

По ее словам, существующий подход делает невозможным использование облачных технологий не только государственными органами, но и государственными предприятиями. Нет прямого запрета использовать клауд, но нет и четкого разрешения, а, как известно, государственные органы в своей работе от инструкций не отступают.

Государство — в клауд

Так появилась идея в некоторых случаях разрешить государственным органам использовать облачные технологии. Общая идея законопроекта — разрешить обрабатывать в облачных технологиях открытую информацию, принадлежащую государственным информационным ресурсам. Дальше — создать упрощенные подходы к обработке и защите открытой информации и тайной, не составляющей государственную тайну.

Согласно законопроекту, система облачных вычислений — система, включающая как клиентское, так и серверное программное и/или аппаратное обеспечение, с помощью чего открывается доступ по требованию к общей совокупности динамично распределенных настроенных вычислительных ресурсов (включая сети, серверы, хранилища данных, приложения и услуги), которые могут быть оперативно предоставлены через глобальные сети передачи данных с минимальными управленческими мерами и/или минимальным взаимодействием с органом, предоставляющим доступ к системе облачных вычислений.

Также законопроект определяет, что поставщик доступа к системе облачных вычислений — это физическое или юридическое лицо, ответственное за осуществление обработки информации в системе облачных вычислений в соответствии с договором, заключенным с владельцем информации.

Предлагается установить перечень информации, которая может обрабатываться в системе облачных вычислений по упрощенной процедуре: это открытая информация, относящаяся к государственным информационным ресурсам, а также конфиденциальная информация и секретная информация, не составляющая государственную тайну, в том числе и та, которая относится к государственным информационным ресурсам.

Ирина Калита подчеркнула, что законопроект не отменяет комплексной системы защиты информации, но предусматривает разработку специального упрощенного режима обработки открытой информации.

Предлагается установить требования относительно уровня информации в системе облачных вычислений. Во-первых, наличие у системы действительного сертификата соответствия требованиям международного и национального стандарта в области защиты информации, выданного аккредитованным отечественным или иностранным органом сертификации. Во-вторых, наличие договора, заключенного между поставщиком доступа к системе облачных вычислений и владельцем информации, содержащего обязательства поставщика по обеспечению защиты информации от несанкционированных действий, которые могут привести к ее случайному или умышленному изменению, потере или уничтожению.

Такой подход, по словам г-жи Калиты, в перспективе позволит уменьшить расходы государственного бюджета на создание вычислительной и телекоммуникационной инфраструктуры, обслуживание государственных информационных ресурсов.

Подобные клауд-стратегии, как отметил Александр Кариченский, государственные органы в Европе рассматривают не только как возможность сэкономить и эффективнее использовать государственные средства, но и как поддержку малого и среднего инновационного бизнеса, развивающего облачные технологии в странах Европейского Союза.

Ольга Прокопович подчеркнула, что количество данных, обрабатываемых государственными органами, ежемесячно растет в геометрической прогрессии во всем мире. Поэтому переход к облачным технологиям — вопрос времени», — резюмировала юрист.