Новости УМКО-2019 Итоги УМКО-2019 Доклады УМКО-2019 О Конференции УМКО-2019 Участники Подготовка к УМКО-2019 Конкурсы УМКО-2019 Библиотека УМКО-2019 Организаторы и партнёры Рейтинг университетов Тест-сектор Календарь мероприятий
Вход в тест-сектор
Логин:
Пароль:



Телефоны для связи: +7 (908) 636 82 68, +7 (912) 284 18 48

Владимир Канашевский. Юридические проблемы использования Российскими банками облачных услуг зарубежных провайдеров

Автор: Канашевский Владимир Александрович, д.ю.н., профессор, Московский государственный юридический университет им. О.Е. Кутафина (МГЮА)

Источник: Lex Rossica. N 3 (148) март 2019. С. 108-115

В настоящее время многие финансовые организации в России стремятся сократить расходы на программное обеспечение и инфраструктуру за счет обращения к облачным решениям. Об этом свидетельствуют многочисленные исследования и данные статистики. Так, по оценкам компании Gartner Group, сегодня более 50% банковских транзакций по всему миру осуществляется посредством облачной инфраструктуры [3, с.3]. Внедрение технологий облачных вычислений позволяет существенно сократить расходы и повысить уровень обслуживания.

Наиболее популярными и востребованными на рынке являются облачные решения, предоставляемые зарубежными провайдерами, такими как Microsoft (например, Microsoft Azure), Google (например, Google Cloud Platform), Amazon (например, Amazon Web Services) и др.

Одним из главных препятствий для использования зарубежных облачных решений российскими банками являются требования российского законодательства к обеспечению информационной безопасности. Облачные решения зарубежных провайдеров предполагают передачу информации в центры обработки данных, как правило находящиеся на территории иностранного государства. Как верно отмечается в литературе, предоставление банковских услуг на основе облачных технологий характеризуется возросшим количеством уязвимостей и внешних угроз, что обусловлено использованием открытых каналов связи, а сбои при предоставлении банковских сервисов и разглашение банковской информации могут нанести значительный экономический ущерб банку или его клиентам [3, с.3].

Препятствием для использования банками услуг зарубежных облачных провайдеров являются также требования законодательства о локализации баз персональных данных, локализации электронных баз данных банков, локализации информации, распространяемой по сети Интернет и др. Выполнение требований соответствующих нормативных актов приводит к необходимости передачи информации в "первичные" базы данных, расположенные на территории России [2].

Вопрос о гражданско‑правовой природе отношений между провайдером облачных решений и пользователями является дискуссионным [5]. Следует согласиться с мнением, что отношения по использованию облачных решений могут быть квалифицированы как смешанные, имеющие признаки лицензионного договора и договора оказания услуг, причем черты последнего преобладают. Один из основных аргументов против лицензионно‑правовой природы облачных решений состоит в том, что "используемый клиентом “облачный” сервис может рассматриваться в качестве информационной системы… <…> Предоставление лицензии на информационную систему в целом, в том числе на использование информационных технологий и технических средств, невозможно, поскольку данные объекты не могут выступать объектом лицензионного договора" [5].

В настоящее время в России отсутствует какой‑либо нормативный акт, регулирующий предоставление услуг облачных вычислений, в том числе услуг зарубежных облачных провайдеров. Согласно планам Правительства РФ, к концу 2015 г. должны были быть разработаны проекты нормативных актов, направленные на развитие и внедрение технологий облачных вычислений, которые до настоящего времени еще не приняты (См.: План мероприятий ("дорожная карта") "Развитие отрасли информационных технологий", утв. распоряжением Правительства РФ N 2602‑р от 30.12.2013 (в ред. от 05.12.2014) // СПС "Консультант-Плюс".). В 2014-2017 гг. опубликованы проекты федеральных законов касательно технологий облачных вычислений. Перспективы указанных законопроектов в настоящее время неясны.

Проект Закона об облачных вычислениях 2014 г. предлагает ввести ограничения на использование облачных сервисов органами и организациями государственного и муниципального секторов. В частности, проект исходит из того, что только российские юридические лица, которые имеют свою облачную инфраструктуру в России, могут предоставлять облачные услуги для государственного и муниципального секторов. В литературе высказано мнение, что требование законопроекта о наличии у провайдера облачных услуг лицензий в области обеспечения информационной безопасности, выданных Федеральной службой по техническому и экспортному контролю (ФСТЭК) и Федеральной службой безопасности РФ (ФСБ), а также о наличии аттестата по требованиям безопасности на облачную инфраструктуру означает фактический запрет зарубежным облачным провайдерам предоставлять свои услуги российским государственным (муниципальным) органам и не позволяет это делать многим российским облачным провайдерам, которые используют зарубежные сервисы в качестве платформы IaaS или резервной площадки [4].

В 2016 г. 10 и в 2017 г. 11 были опубликованы еще два проекта федеральных законов, ориентированные главным образом на создание государственной инфраструктуры облачных вычислений для использования органами государственной власти, местного самоуправления, государственными и муниципальными предприятиями и учреждениями. Законопроекты 2016 и 2017 гг. не регулируют использование услуг облачных вычислений, предоставляемых иными (то есть негосударственными, немуниципальными и пр.) провайдерами. В частности, в законопроекте 2016 г. отмечается: "В целях создания экономически обоснованных условий для сосредоточения вычислительных ресурсов, а также хранения и обработки персональных данных граждан РФ на территории РФ систему центров обработки данных целесообразно создавать в виде сети федеральных и региональных центров обработки данных, связанных резервированными магистральными каналами связи высокой пропускной способности в единый катастрофоустойчивый кластер. Защита от компьютерных атак должна быть реализована с использованием надежных программно‑аппаратных средств и соблюдением принципа невыхода трафика указанного кластера за пределы Российской Федерации". Думается, что законодатель (разработчиком законопроектов выступило Министерство связи и массовых коммуникаций РФ) в качестве своей главной стратегии принял курс на создание в России "государственной инфраструктуры облачных вычислений", услугами которой будут пользоваться как государственные и муниципальные органы и организации, так и третьи лица ("электронные коммерческие услуги"). Об услугах зарубежных облачных провайдеров законопроекты умалчивают.

В последнее время в действующее законодательство были внесены существенные изменения, в том числе направленные на расширение полномочий регулирующих органов по осуществлению контроля над информационным содержанием ("контентом"), распространяемым в сети Интернет, и предусматривающие обязательства по хранению данных на территории России. Однако эти изменения напрямую не запрещают передачу контента зарубежным провайдерам облачных сервисов и хранение такой информации в центрах обработки данных за пределами Российской Федерации.
Несмотря на отсутствие специального законодательства, можно отметить, что хранение (размещение) информации в зарубежном публичном облаке per se (само по себе) не запрещено и, следовательно, разрешено при условии соблюдения отдельных требований и ограничений, предусмотренных законами и отраслевыми стандартами.

Федеральным агентством по техническому регулированию и метрологии (Росстандарт) принят ГОСТ ISO/IEC 17788‑2016 "Информационные технологии. Облачные вычисления. Общие положения и терминология", который был разработан на основе международного стандарта ISO/IEC 17788:2014 "Information technology - Cloud computing - Overview and vocabulary" и применяется с 1 ноября 2017 г. Продвижению в России технологий облачных вычислений могли бы существенно поспособствовать разработка и принятие в России национальных стандартов по использованию облачных решений на основе стандартов Международной организации по стандартизации (ISO/IEC 27001, BS ISO/IEC 27017, ISO/IEC 27018).

Перед принятием решения об использовании зарубежных облачных решений российским финансовым организациям необходимо выделить "чувствительную" (конфиденциальную) информацию, которая может быть передана в зарубежное облако только при соблюдения определенных условий. Примерный список такой чувствительной (конфиденциальной) информации включает финансовую информацию, информацию о технической и информационной безопасности, внутренние корпоративные документы, банковскую тайну, персональные данные, информацию о кредитной истории, налоговую информацию, тайну страхования и тайну ломбарда, а также иную информацию, признанную финансовой организацией в качестве "конфиденциальной" (см. прил. А к рекомендациям Банка России в области стандартизации РС БР ИББС‑2.9‑2016). При хранении и обработке чувствительной (конфиденциальной) информации облачный провайдер должен принять определенные меры по защите переданной ему информации, которые (методы) описываются в ряде нормативных актов (см. Положение о защите информации в платежной системе (утв. постановлением Правительства РФ от 13.06.2012 N 584); положение Банка России N 382‑П (утв. Банком России 09.06.2012, с послед. изменениями); указание Банка России от 09.06.2012 N 2831‑У (с послед. изменениями); стандарты Банка России, касающиеся информационной безопасности (СТО БР ИББС‑1.0‑2014; СТО БР ИББС‑1.2‑2014); рекомендации Банка России (РС БР ИББС‑2.5‑2014; РС БР ИББС‑2.2‑2009; РС БР ИББС‑2.7‑2015; РС БР ИББС‑2.8‑2015; РС БР ИББС‑2.9‑2016)).
К нечувствительной (открытой) информации относится вся иная информация, которая не относится к информации конфиденциального характера. Она может передаваться и обрабатываться в зарубежном публичном облаке без каких‑либо ограничений.
Хранение и обработка определенной информации кредитных организаций облачными провайдерами может вызвать также вопросы лицензирования и сертификации (лицензирование шифровальной деятельности, сертификация информационных систем, используемых для хранения и обработки данных и др.). На практике только российские организации могут соответствовать всем требованиям российского законодательства в данной области, и это обстоятельство может служить практическим препятствием для использования услуг зарубежного облачного провайдера. Например, согласно постановлению Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" персональные данные (далее - ПДн) подлежат шифрованию в обязательном порядке, если соответствующая информационная система, используемая для обработки ПДн, относится к системам одного из четырех уровней защищенности, определенных постановлением Правительства РФ N 1119 (уровень защищенности присваивается в зависимости от угроз безопасности ПДн). Оценку угроз безопасности проводит оператор ПДн (то есть сам банк).

Кроме того, применение средств шифрования для защиты ПДн предусмотрено Методическими рекомендациями ФСБ N 149/7/2/6‑432 от 31.03.2015. Что касается обязательного шифрования кредитными организациями данных (когда такое шифрование обязательно согласно российскому законодательству), то следует указать следующее.

Во‑первых, в России деятельность по шифрованию данных является лицензируемой и при шифровании может использоваться лишь то программное обеспечение и те аппаратные устройства, которые сертифицированы ФСБ (См.: постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…" (в ред. 18.05.2017)). Очевидно, что указанные требования к шифрованию применимы только к российским организациям, поскольку российские регуляторы (ФСБ и др.) не вправе сертифицировать шифровальные средства иностранных организаций (зарегистрированных и действующих за рубежом), а лицензию на шифрование вправе получить лишь российская организация.

Во‑вторых, если зарубежный облачный провайдер в рамках оказания им облачных услуг использует информационную систему и меры защиты информации, которые предусматривают такой же уровень защиты информационных систем и такие же меры информационной защиты (включая шифрование данных), которые соответствуют общим техническим и организационным требованиям российского законодательства (либо его меры выше тех требований, которые предъявляются российскими регуляторами), то можно заключить, что данный облачный провайдер вправе осуществлять деятельность по работе с соответствующей информацией (поскольку цель обеспечения информационной безопасности достигнута).

Данный вывод находит поддержку в некоторых нормативных актах. Так, согласно приказу ФСТЭК РФ от 18.02.2013 N 21 при невозможности технической реализации отдельных мер по обеспечению безопасности ПДн, предусмотренных постановлением Правительства РФ N 1119, оператор вправе принимать другие (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПДн. В этом случае в обязательном порядке проводится надлежащее обоснование применения таких компенсирующих мер (п. 10). С учетом вышеизложенного оператор ПДн обязан обеспечить принятие зарубежным облачным провайдером всех необходимых организационных и технических мер, предусмотренных постановлением Правительства РФ N 1119 и приказом ФСТЭК РФ N 21, для надлежащей защиты обрабатываемых ПДн.

Согласно ГОСТ Р 57580.1‑2017 "при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности на этапах адаптации (уточнения) базового состава мер могут разрабатываться иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации, определенных в модели угроз, и нарушителей безопасности информации финансовой организации. В этом случае финансовой организацией должно быть проведено обоснование применения компенсирующих мер защиты информации" (п. 6.4). При этом финансовая организация самостоятельно определяет необходимость использования средств криптографической защиты информации (СКЗИ), если иное не установлено нормативными актами, актами Банка России, стандартами профессиональной деятельности или правилами платежной системы.

В случае если финансовая организация применяет СКЗИ российского производителя, указанные СКЗИ должны иметь сертификаты или разрешения федерального органа, уполномоченного в области обеспечения безопасности (п. 6.12). Таким образом, ГОСТ Р 57580.1‑2017 не исключает использования финансовой организацией СКЗИ иностранного производителя, хотя прямо и не разрешает это делать.

Согласно п. 6.13 ГОСТ Р 57580.1‑2017 "юридические лица или индивидуальные предприниматели, привлекаемые финансовой организацией для проведения работ по обеспечению защиты информации, должны иметь лицензию на деятельность по технической защите конфиденциальной информации".

Наконец, Банк России принял рекомендации (например, РС БР ИББС‑2.2‑2009 и РС БР ИББС‑2.9‑2016), которые хотя и не носят обязательного характера, но применяются банками в силу авторитета Банка России. Эти рекомендации подразумевают, что кредитные организации должны хранить в России определенную чувствительную информацию (которая определена в рекомендациях очень широко и включает в числе прочего любые ПДн). В отсутствие прямого законодательного запрета на размещение большинства данных в инфраструктуре зарубежного облачного провайдера можно заключить, что данные рекомендации Банка России служат наиболее существенным препятствием для передачи банками данных зарубежному облачному провайдеру.
В частности, согласно Стандарту Банка России об управлении риском нарушения информационной безопасности при аутсорсинге (СТО БР ИББС‑1.4‑2018) допускается передача на аутсорсинг функций, связанных с хранением и обработкой информации, в том числе на внешних центрах обработки данных и облачных сервисах (облачных службах). Стандарт прямо допускает возможность аутсорсинга бизнес‑функций, при выполнении которых осуществляется обработка защищаемой информации (в том числе сведений, относящихся к банковской тайне, ПДн и другой конфиденциальной информации). Примерами бизнес‑функций, которые могут быть переданы на аутсорсинг, являются, в частности: аутсорсинг центров обработки данных; облачные вычисления (по модели предоставления сервисов SaaS, PaaS, IaaS); обслуживание информационных (автоматизированных) систем организации банковской системы РФ.

Согласно Стандарту финансовая организация должна определить критерии, в том числе основанные на законодательстве РФ о лицензировании отдельных видов деятельности. В частности, у поставщика услуг должны быть лицензия на осуществление деятельности по технической защите конфиденциальной информации, выданная ФСТЭК (Постановление Правительства РФ от 03.02.2012 N 79 "О лицензировании деятельности по технической защите конфиденциальной информации" (в ред. 15.06.2016)), и лицензия на осуществление деятельности по разработке, производству, распространению шифровальных (криптографических) средств, выданная ФСБ РФ (Постановление Правительства РФ от 16.04.2012 N 313 "Об утверждении Положения о лицензировании деятельности по разработке, производству, распространению шифровальных (криптографических) средств…"). В случае несоответствия поставщика услуг данным критериям ему не могут передаваться на выполнение существенные функции (п. 6.5). Отметим, что указанные лицензии могут получить лишь российские юридические лица. Это обстоятельство служит препятствием для зарубежных облачных провайдеров к выполнению функции поставщиков аутсорсинговых услуг.

Стандарт указывает, что финансовой организации при принятии решения об аутсорсинге существенных функций, при котором предполагается трансграничная передача защищаемой информации, следует убедиться в соблюдении ряда требований законодательства РФ: о трансграничной передаче ПДн, включая обязанность обработки и хранения ПДн на территории РФ; о локализации электронных баз данных банков на территории РФ; о лицензировании деятельности по технической защите конфиденциальной информации и работе с шифровальными средствами; об обеспечении безопасности критической информационной инфраструктуры. В случае наличия у поставщика услуг подразделений и (или) дочерних предприятий за пределами РФ, а также при использовании самим поставщиком услуг аутсорсинга поставщик услуг должен предоставить финансовой организации информацию о таких подразделениях, предприятиях или аутсорсинговых субподрядчиках. Трансграничная передача информации, составляющей банковскую тайну, допускается в обезличенной обобщенной (агрегированной) форме, за исключением случаев, установленных законодательством РФ (п. 6.9).

Таким образом, не исключена возможность использования финансовыми организациями аутсорсинговых услуг зарубежных операторов, привлекаемых российскими поставщиками через свои зарубежные структуры. Однако на поставщике услуг остается обязанность обеспечить соблюдение субподрядчиком требований к защите информации, в том числе в области лицензирования отдельных видов деятельности (п.10.3 Стандарта СТО БР ИББС‑1.4‑2018). Однако наличие данных требований не означает запрет для зарубежных поставщиков предоставлять облачные услуги российским финансовым организациям. Они вправе это делать при соблюдении следующих условий:

1) соответствующие облачные решения не включают аутсорсинг бизнес‑функции целиком;
2) зарубежный облачный провайдер принял меры к охране защищаемой информации, в том числе посредством разработки и реализации компенсирующих мер, направленных на нейтрализацию угроз безопасности информации финансовой организации;
3) трансграничная передача ПДн и информации, относящейся к банковской тайне, должна осуществляться в обезличенном виде;
4) передача в зарубежное облако ПДн и банковской информации должна происходить при условии соблюдения требования локализации ПДн и электронных баз данных банков;
5) в соответствующих случаях необходимо обеспечить размещение ПДн в том центре обработки данных, который находится в стране, обеспечивающей адекватную защиту ПДн, либо банк должен получить согласие субъектов ПДн на трансграничную передачу ПДн;
6) сведения, относящиеся к банковской тайне, могут быть переданы в зарубежное облако, если кредитная организация сохраняет контроль за облачной инфраструктурой и у облачного провайдера отсутствует возможность доступа к соответствующим сведениям [1];
7) облачные решения зарубежных провайдеров не должны предполагать производство внутренних (внутрироссийских) переводов денежных средств / платежей;
8) при заведении учетных записей в публичном облаке должна соблюдаться процедура анонимизации ПДн или их шифрования;
9) при невозможности технической реализации отдельных выбранных мер защиты информации, а также с учетом экономической целесообразности финансовая организация совместно с зарубежным провайдером вправе разрабатывать иные (компенсирующие) меры, направленные на нейтрализацию угроз безопасности информации финансовой организации.
Как видим, вышеприведенные требования вполне выполнимы и могут быть соблюдены зарубежными поставщиками при предоставлении финансовым организациям широкого круга облачных решений. А значит, вывод о запрете зарубежным поставщикам предоставлять облачные услуги финансовым организациям является неверным и подлежит корректировке.

Библиография

1. Канашевский В. А. Банковская тайна и использование банками услуг аутсорсинга информационной безопасности // Lex Russica. - 2018. - N 7.
2. Канашевский В. А. Об обязательном хранении информации на территории России (требование локализации) // Международное публичное и частное право. - 2017. - N 6.
3. Кораблев А. В. Идентификация информационных рисков использования облачных технологий в банковской деятельности : дис. … канд. экон. наук. - Самара, 2017.
4. Савельев А. И. Комментарий к Федеральному закону от 27.07.2006 N 149‑ФЗ "Об информации, информационных технологиях и защите информации" (постатейный). - М. : Статут, 2015.
5. Савельев А. И. Правовая природа "облачных" сервисов: свобода договора, авторское право и высокие технологии // Вестник гражданского права. - 2015. - N 5.


Реклама