| ||||||||||||||||||||||||||||||||||||||||||||||||||
Владимир Канашевский. Юридические проблемы использования Российскими банками облачных услуг зарубежных провайдеровАвтор: Канашевский Владимир Александрович, д.ю.н., профессор, Московский государственный юридический университет им. О.Е. Кутафина (МГЮА) Источник: Lex Rossica. N 3 (148) март 2019. С. 108-115 В настоящее время многие финансовые организации в России стремятся сократить расходы на программное обеспечение и инфраструктуру за счет обращения к облачным решениям. Об этом свидетельствуют многочисленные исследования и данные статистики. Так, по оценкам компании Gartner Group, сегодня более 50% банковских транзакций по всему миру осуществляется посредством облачной инфраструктуры [3, с.3]. Внедрение технологий облачных вычислений позволяет существенно сократить расходы и повысить уровень обслуживания. Наиболее популярными и востребованными на рынке являются облачные решения, предоставляемые зарубежными провайдерами, такими как Microsoft (например, Microsoft Azure), Google (например, Google Cloud Platform), Amazon (например, Amazon Web Services) и др. Одним из главных препятствий для использования зарубежных облачных решений российскими банками являются требования российского законодательства к обеспечению информационной безопасности. Облачные решения зарубежных провайдеров предполагают передачу информации в центры обработки данных, как правило находящиеся на территории иностранного государства. Как верно отмечается в литературе, предоставление банковских услуг на основе облачных технологий характеризуется возросшим количеством уязвимостей и внешних угроз, что обусловлено использованием открытых каналов связи, а сбои при предоставлении банковских сервисов и разглашение банковской информации могут нанести значительный экономический ущерб банку или его клиентам [3, с.3]. Препятствием для использования банками услуг зарубежных облачных провайдеров являются также требования законодательства о локализации баз персональных данных, локализации электронных баз данных банков, локализации информации, распространяемой по сети Интернет и др. Выполнение требований соответствующих нормативных актов приводит к необходимости передачи информации в "первичные" базы данных, расположенные на территории России [2]. Вопрос о гражданско‑правовой природе отношений между провайдером облачных решений и пользователями является дискуссионным [5]. Следует согласиться с мнением, что отношения по использованию облачных решений могут быть квалифицированы как смешанные, имеющие признаки лицензионного договора и договора оказания услуг, причем черты последнего преобладают. Один из основных аргументов против лицензионно‑правовой природы облачных решений состоит в том, что "используемый клиентом “облачный” сервис может рассматриваться в качестве информационной системы… <…> Предоставление лицензии на информационную систему в целом, в том числе на использование информационных технологий и технических средств, невозможно, поскольку данные объекты не могут выступать объектом лицензионного договора" [5]. В настоящее время в России отсутствует какой‑либо нормативный акт, регулирующий предоставление услуг облачных вычислений, в том числе услуг зарубежных облачных провайдеров. Согласно планам Правительства РФ, к концу 2015 г. должны были быть разработаны проекты нормативных актов, направленные на развитие и внедрение технологий облачных вычислений, которые до настоящего времени еще не приняты (См.: План мероприятий ("дорожная карта") "Развитие отрасли информационных технологий", утв. распоряжением Правительства РФ N 2602‑р от 30.12.2013 (в ред. от 05.12.2014) // СПС "Консультант-Плюс".). В 2014-2017 гг. опубликованы проекты федеральных законов касательно технологий облачных вычислений. Перспективы указанных законопроектов в настоящее время неясны. Проект Закона об облачных вычислениях 2014 г. предлагает ввести ограничения на использование облачных сервисов органами и организациями государственного и муниципального секторов. В частности, проект исходит из того, что только российские юридические лица, которые имеют свою облачную инфраструктуру в России, могут предоставлять облачные услуги для государственного и муниципального секторов. В литературе высказано мнение, что требование законопроекта о наличии у провайдера облачных услуг лицензий в области обеспечения информационной безопасности, выданных Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности РФ (ФСБ), а также о наличии аттестата по требованиям безопасности на облачную инфраструктуру означает фактический запрет зарубежным облачным провайдерам предоставлять свои услуги российским государственным (муниципальным) органам и не позволяет это делать многим российским облачным провайдерам, которые используют зарубежные сервисы в качестве платформы IaaS или резервной площадки [4]. В 2016 г. 10 и в 2017 г. 11 были опубликованы еще два проекта федеральных законов, ориентированные главным образом на создание государственной инфраструктуры облачных вычислений для использования органами государственной власти, местного самоуправления, государственными и муниципальными предприятиями и учреждениями. Законопроекты 2016 и 2017 гг. не регулируют использование услуг облачных вычислений, предоставляемых иными (то есть негосударственными, немуниципальными и пр.) провайдерами. В частности, в законопроекте 2016 г. отмечается: "В целях создания экономически обоснованных условий для сосредоточения вычислительных ресурсов, а также хранения и обработки персональных данных граждан РФ на территории РФ систему центров обработки данных целесообразно создавать в виде сети федеральных и региональных центров обработки данных, связанных резервированными магистральными каналами связи высокой пропускной способности в единый катастрофоустойчивый кластер. Защита от компьютерных атак должна быть реализована с использованием надежных программно‑аппаратных средств и соблюдением принципа невыхода трафика указанного кластера за пределы Российской Федерации". Думается, что законодатель (разработчиком законопроектов выступило Министерство связи и массовых коммуникаций РФ) в качестве своей главной стратегии принял курс на создание в России "государственной инфраструктуры облачных вычислений", услугами которой будут пользоваться как государственные и муниципальные органы и организации, так и третьи лица ("электронные коммерческие услуги"). Об услугах зарубежных облачных провайдеров законопроекты умалчивают. В последнее время в действующее законодательство были внесены существенные изменения, в том числе направленные на расширение полномочий регулирующих органов по осуществлению контроля над информационным содержанием ("контентом"), распространяемым в сети Интернет, и предусматривающие обязательства по хранению данных на территории России. Однако эти изменения напрямую не запрещают передачу контента зарубежным провайдерам облачных сервисов и хранение такой информации в центрах обработки данных за пределами Российской Федерации. Федеральным агентством по техническому регулированию и метрологии (Росстандарт) принят ГОСТ ISO/IEC 17788‑2016 "Информационные технологии. Облачные вычисления. Общие положения и терминология", который был разработан на основе международного стандарта ISO/IEC 17788:2014 "Information technology - Cloud computing - Overview and vocabulary" и применяется с 1 ноября 2017 г. Продвижению в России технологий облачных вычислений могли бы существенно поспособствовать разработка и принятие в России национальных стандартов по использованию облачных решений на основе стандартов Международной организации по стандартизации (ISO/IEC 27001, BS ISO/IEC 27017, ISO/IEC 27018). Перед принятием решения об использовании зарубежных облачных решений российским финансовым организациям необходимо выделить "чувствительную" (конфиденциальную) информацию, которая может быть передана в зарубежное облако только при соблюдения определенных условий. Примерный список такой чувствительной (конфиденциальной) информации включает финансовую информацию, информацию о технической и информационной безопасности, внутренние корпоративные документы, банковскую тайну, персональные данные, информацию о кредитной истории, налоговую информацию, тайну страхования и тайну ломбарда, а также иную информацию, признанную финансовой организацией в качестве "конфиденциальной" (см. прил. А к рекомендациям Банка России в области стандартизации РС БР ИББС‑2.9‑2016). При хранении и обработке чувствительной (конфиденциальной) информации облачный провайдер должен принять определенные меры по защите переданной ему информации, которые (методы) описываются в ряде нормативных актов (см. Положение о защите информации в платежной системе (утв. постановлением Правительства РФ от 13.06.2012 N 584); положение Банка России N 382‑П (утв. Банком России 09.06.2012, с послед. изменениями); указание Банка России от 09.06.2012 N 2831‑У (с послед. изменениями); стандарты Банка России, касающиеся информационной безопасности (СТО БР ИББС‑1.0‑2014; СТО БР ИББС‑1.2‑2014); рекомендации Банка России (РС БР ИББС‑2.5‑2014; РС БР ИББС‑2.2‑2009; РС БР ИББС‑2.7‑2015; РС БР ИББС‑2.8‑2015; РС БР ИББС‑2.9‑2016)). Кроме того, применение средств шифрования для защиты ПДн предусмотрено Методическими рекомендациями ФСБ N 149/7/2/6‑432 от 31.03.2015. Что касается обязательного шифрования кредитными организациями данных (когда такое шифрование обязательно согласно российскому законодательству), то следует указать следующее. Во‑первых, в России деятельность по шифрованию данных является лицензируемой и при шифровании может использоваться лишь то программное обеспечение и те аппаратные устройства, которые сертифицированы ФСБ (См.: постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…" (в ред. 18.05.2017)). Очевидно, что указанные требования к шифрованию применимы только к российским организациям, поскольку российские регуляторы (ФСБ и др.) не вправе сертифицировать шифровальные средства иностранных организаций (зарегистрированных и действующих за рубежом), а лицензию на шифрование вправе получить лишь российская организация. Во‑вторых, если зарубежный облачный провайдер в рамках оказания им облачных услуг использует информационную систему и меры защиты информации, которые предусматривают такой же уровень защиты информационных систем и такие же меры информационной защиты (включая шифрование данных), которые соответствуют общим техническим и организационным требованиям российского законодательства (либо его меры выше тех требований, которые предъявляются российскими регуляторами), то можно заключить, что данный облачный провайдер вправе осуществлять деятельность по работе с соответствующей информацией (поскольку цель обеспечения информационной безопасности достигнута). Данный вывод находит поддержку в некоторых нормативных актах. Так, согласно приказу ФСТЭК РФ от 18.02.2013 N 21 при невозможности технической реализации отдельных мер по обеспечению безопасности ПДн, предусмотренных постановлением Правительства РФ N 1119, оператор вправе принимать другие (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в обязательном порядке проводится надлежащее обоснование применения таких компенсирующих мер (п. 10). С учетом вышеизложенного оператор ПДн обязан обеспечить принятие зарубежным облачным провайдером всех необходимых организационных и технических мер, предусмотренных постановлением Правительства РФ N 1119 и приказом ФСТЭК РФ N 21, для надлежащей защиты обрабатываемых ПДн. Согласно ГОСТ Р 57580.1‑2017 "при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации. В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации" (п. 6.4). При этом финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не установлено нормативными актами, актами Банка России, стандартами профессиональной деятельности или правилами платежной системы. В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности (п. 6.12). Таким образом, ГОСТ Р 57580.1‑2017 не исключает использования финансовой организацией СКЗИ иностранного производителя, хотя прямо и не разрешает это делать. Согласно п. 6.13 ГОСТ Р 57580.1‑2017 "юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению защиты информации, должны иметь лицензию на деятельность по технической защите конфиденциальной информации". Наконец, Банк России принял рекомендации (например, РС БР ИББС‑2.2‑2009 и РС БР ИББС‑2.9‑2016), которые хотя и не носят обязательного характера, но применяются банками в силу авторитета Банка России. Эти рекомендации подразумевают, что кредитные организации должны хранить в России определенную чувствительную информацию (которая определена в рекомендациях очень широко и включает в числе прочего любые ПДн). В отсутствие прямого законодательного запрета на размещение большинства данных в инфраструктуре зарубежного облачного провайдера можно заключить, что данные рекомендации Банка России служат наиболее существенным препятствием для передачи банками данных зарубежному облачному провайдеру. Согласно Стандарту финансовая организация должна определить критерии, в том числе основанные на законодательстве РФ о лицензировании отдельных видов деятельности. В частности, у поставщика услуг должны быть лицензия на осуществление деятельности по технической защите конфиденциальной информации, выданная ФСТЭК (Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (в ред. 15.06.2016)), и лицензия на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, выданная ФСБ РФ (Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…"). В случае несоответствия поставщика услуг данным критериям ему не могут передаваться на выполнение существенные функции (п. 6.5). Отметим, что указанные лицензии могут получить лишь российские юридические лица. Это обстоятельство служит препятствием для зарубежных облачных провайдеров к выполнению функции поставщиков аутсорсинговых услуг. Стандарт указывает, что финансовой организации при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении ряда требований законодательства РФ: о трансграничной передаче ПДн, включая обязанность обработки и хранения ПДн на территории РФ; о локализации электронных баз данных банков на территории РФ; о лицензировании деятельности по технической защите конфиденциальной информации и работе с шифровальными средствами; об обеспечении безопасности критической информационной инфраструктуры. В случае наличия у поставщика услуг подразделений и (или) дочерних предприятий за пределами РФ, а также при использовании самим поставщиком услуг аутсорсинга поставщик услуг должен предоставить финансовой организации информацию о таких подразделениях, предприятиях или аутсорсинговых субподрядчиках. Трансграничная передача информации, составляющей банковскую тайну, допускается в обезличенной обобщенной (агрегированной) форме, за исключением случаев, установленных законодательством РФ (п. 6.9). Таким образом, не исключена возможность использования финансовыми организациями аутсорсинговых услуг зарубежных операторов, привлекаемых российскими поставщиками через свои зарубежные структуры. Однако на поставщике услуг остается обязанность обеспечить соблюдение субподрядчиком требований к защите информации, в том числе в области лицензирования отдельных видов деятельности (п.10.3 Стандарта СТО БР ИББС‑1.4‑2018). Однако наличие данных требований не означает запрет для зарубежных поставщиков предоставлять облачные услуги российским финансовым организациям. Они вправе это делать при соблюдении следующих условий: 1) соответствующие облачные решения не включают аутсорсинг бизнес‑функции целиком; Библиография 1. Канашевский В. А. Банковская тайна и использование банками услуг аутсорсинга информационной безопасности // Lex Russica. - 2018. - N 7. Реклама
|
|
|
|