Одной из проблем перехода к широкому использованию облачных ИТ-моделей является необходимость адаптации нормативно-законодательной базы (НЗБ), регулирующей отношения между поставщиками и заказчиками в соответствии с новыми ИТ-реалиями. В несколько упрощенном виде суть происходящей трансформации ИТ заключается в замене традиционной схемы приобретения продукта на модель аренды вычислительных ресурсов, а это означает, что отношения потребителя и поставщика переходят их разряда разовых сделок в категорию долгосрочных отношений. Тут нужно отметить, что в традиционной «продуктовой» модели на основе принципа «как есть» формальное взаимодействие покупателя с продавцом фактически заканчивается в момент приобретений товара: далее вся ответственность за его использование лежит на пользователе. Конечно, на практике давно существуют механизмы обновления и поддержки продуктов со стороны производителя, но в общем случае (без наличия специальных договоренностей) они рассматриваются как «жест доброй воли» со стороны вендора, не подкрепленный юридическими обязательствами. В случае же облачного взаимодействия вполне понятно, что сервис-провайдер должен брать на себя долгосрочные обязательства.
Более того, использование облачных моделей наглядным образом демонстрирует глобальных характер современного ИТ-мира и то, что отношения в нем выходят за обычные рамки национальной юрисдикции. Если при продуктовой схеме все деловые операции между покупателем и продавцом выполнялись локально, в физических и юридических границах одной страны, то в случае облаков они могут становиться трансграничными, при этом сложность ситуации заключается в том, что взаимодействующие стороны могут находиться в зонах разной юрисдикции. Получается, что для реализации полноценных облачных схем нужно создание международной законодательной базы.
Особое значение облачная проблематика имеет для государственного сектора рынка (хотя сразу отметим, что понятие «государственный сектор» является весьма общим и неоднородным: тут есть несколько слоев, например органы власти, бюджетные организации и коммерческие компании, принадлежащие государству, федеральные, региональные и муниципальные структуры), поскольку он во многом является просто отдельным рынком, со своим собственным законодательным регулированием. Это хорошо видно на примере США, которые с одной стороны придерживаются самых либеральных методов управления рынком (минимальное регулирование и господдержка), а с другой — формируют очень четкую систему нормативного регулирования «правительственной» сферы использования ИТ. Если посмотреть на НЗБ США, то нетрудно увидеть, что в подавляющем большинстве она формально нацелена именно на правительственный сегмент, но при этом она часто используется в качестве стандартов де-факто всеми участниками рынка. Например, в США уже давно существуют такие документы, как Federal Risk and Authorization Management Program (FedRAMP) и Federal Information Security Management Act (FISMA), формирующие правительственные требования к ИТ-продуктам и ИТ-услугам (в том числе облачным) и регулирующие отношения между госпотребителями и поставщиками ИТ.
К сожалению, тема формирования национальной НЗБ в области ИТ-облаков находится в России в некотором зачаточном состоянии, и, по мнению отраслевых экспертов, это является реальным препятствием на пути широкого использования облачных моделей на рынке в целом, и в государственном секторе особенно. Высказывания на этот счет стали звучать еще в начале года, и потому ИТ-общественность с энтузиазмом восприняла появившуюся в мае этого года новость о намерении Минкомсвязи подготовить законопроект, направленный по регулированию облачных отношений на рынке. Однако после того анонса никакой официальной информации о работе по этому закону не было, представители министерства ограничивались лишь общими комментариями «работа идет». На сегодня известно лишь то, что эти предложения пока еще только готовятся для внесения на рассмотрение правительства (для последующей передачи в Госдуму), но осенью все же появился текст проекта этого документа для его возможного обсуждения. Что мы сейчас и постараемся сделать.
Майский вариант облачного законопроекта
В том варианте документ назывался «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений» и имел объем в 14 печатных (через два интервала) страниц текста. Из его заключительной статьи 3 видно, что авторы предполагали достаточно оперативное его принятие в Госдуме и введение в действие уже с 1 января 2015 г. Основное содержание текста состояло из статьи 1, в которой содержались изменения и дополнения к действующему закону
Предлагалось дополнить базовый закон такими понятиями, как интернет-провайдер, облачные услуги, поставщик облачных услуг, потребитель облачных услуг, облачная инфраструктура и гарантирующий поставщик облачных услуг. Согласно этим определениями, потребителем является физическое или юридическое лицо, в том числе госорганы (включая органы местного самоуправления и органы управления государственным внебюджетными фондами). Поставщиком облачных услуг могло быть любое юридическое лицо, а интернет-провайдером — просто «лицо» (т. е. и физическое), а вот «гарантирующим поставщиком» — только «российское юридическое лицо», причем, как это прописано в проекте, такой поставщик обязан заключить договор на обслуживание с любым обратившимся к нему госорганом. Последнее требования является в реализации крайне сложным, так как получается, что «гарантирующий поставщик» должен быть готовым к обслуживанию всего госаппарата страны. Но далее по тексту говорилось, что статус поставщика присваивается правительством страны, он может быть один или несколько на страну.
Далее в статьях 15.4 и 15.5 шло перечисление довольно общих требований к облачному поставщику, но что принципиально важно: в поле зрения требований попадала фактически только «информация потребителя». Так, в статье 17, говорящей о разграничении ответственности поставщика и потребителя, упоминалось исключительно о «достоверности, целостности, подлинности и конфиденциальности информации», но не об ИТ-ресурсах в целом (в том числе в плане надежности, доступности, безопасности).
В статье 15.6 описывалась организация предоставления облачных услуг госорганам. Там говорилось о двух видах услуг: типовых (ПО и сервисы) и вычислительных мощностей. При этом законопроектом предполагалось создание Каталога типовых услуг, ведением которого должен заниматься «федеральный органом исполнительной власти, уполномоченный в сфере информационных технологий» (проще говоря, Минкомсвязи), который сам же должен разработать и утвердить порядок ведения Каталога. Выбор поставщика облачных услуг для госорганов должен выполняться с помощью контрактной системы госзакупок, но специальные требования к таким контрактам и договорам утверждает все то же Минкомсвязи. В статье 15.7 говорилось от том, что Федеральная антимонопольная служба устанавливает предельные тарифы для услуг для госорганов.
И, наконец, самые важные положения законопроекта содержались в статье 15.9, где говорилось о требованиях к поставщику облачных услуг для госорганов. Кратко перечислим их:
• только российские юридические лица;
• облачная инфраструктура должна находиться на территории России;
• финансовая устойчивость (методика определения устойчивости определяется Минкомсвязью);
• наличие лицензий на такие услуги от ФСТЭК;
• наличие не менее двух ЦОДов (на правах собственности или на правах долгосрочной аренды, не менее 49 лет), имеющих лицензии ФСТЭК;
• наличие аттестата на объекты информатизации по требованиям безопасности информации, которые используются в облачной инфраструктуре поставщика услуг облачных вычислений (смысл этого требования остается не очень понятным).
Текущий, осенний вариант законопроекта
Публикация майского проекта была замечена российской облачной общественностью, обсуждения прошли в рамках ряда мероприятий, в социальных сетях. В целом, реакцию можно охарактеризовать двумя тезисами: 1) очень хорошо, что регулятор озаботился этой актуальной темой; 2) законопроект нуждается в серьезном обсуждении с последующей доработкой, поскольку некоторые вещи там являются спорными, многие вопросы прописаны не очень понятными образом, а некоторые актуальные темы там не затронуты вовсе.
Возможно, с учетом этой реакции Минкомсвязи в начале июля объявило о создании министерского экспертного совета по облачной тематике, подчеркнув при этом, что одной из его первоочередных задач является как раз участие представителей отрасли в доработке закона. Однако по состоянию на текущий момент этот совет, по сведениям людей, включенных в его состав, так ни разу и не собирался, обсуждений закона в других форматах с внешними экспертами не проводилось. Тем не менее, осенью появилась новая версия законопроекта, сначала в предварительном варианте, а потом и в окончательном. Дальнейшая судьба этого документа на сегодняшний день неизвестна, в Минкомсвязи не смогли прокомментировать этот момент, но, по нашим сведениям, он еще не передан в правительство для рассмотрения и для последующей передачи в Госдуму. Однако именно этот официально опубликованный документ сегодня формально является последней актуальной версией законопроекта.
Сразу отметим видимые отличия этого варианта от майского: из названия исчезло уточнение «в части использования облачных вычислений» (т. е. об общей нацеленности закона можно узнать, только прочитав его), предлагаемый срок его введения переносится на один год (с 1 января 2016 г.), а сам текст сократился в три раза: с 14 до 5 страниц.
Фактически законопроект полностью свелся к вопросам регулирования предоставления услуг госорганам, но при этом из текста убраны практически все вопросы требований к поставщикам, они перенесены с уровня закона на уровень подзаконных актов, которые будут самостоятельно приниматься правительством и Минкомсвязью
Вот что говорится в основных статьях законопроекта.
• «Предоставление услуг ...[госорганам]... осуществляется в соответствии с требованиями и порядком, установленными Правительством»;
• «Требования к государственным контрактам и договорам в сфере оказания услуг ... [госорганам]... утверждаются... [Минкомсвязью]»;
• «Государственная аккредитация поставщиков услуг ... осуществляется [Минкомсвязью] в, в порядке, установленном Правительством».
То есть суть данного варианта законопроекта сводится к законодательному закреплению простого положения: все вопросы предоставления облачных услуг для госорганов регулируются правительственными актами, в том числе уровня министерства.
В качестве скорее уже курьеза стоит обратить внимание на то, что из описания основных понятий исчезло понятие «потребитель услуг» (хотя «поставщик» остался), а также «интернет-провайдер», при том, что облачные услуги предоставляются именно через Интернет.
«Сухой остаток» и критические предложения
Простой анализ документа показывает, что фактически законопроект никак не решает многочисленных вопросов, связанных с предоставлением услуг облачных вычислений на российском рынке. Его положения посвящены исключительно вопросам регулирования отношений поставщиков с госорганами, все остальные ИТ-потребители (как юридические, так и физические лица) в документе даже не упоминаются.
В отношении услуг для госорганов закреплены три основных положения:
• Поставщик услуг не получает право собственности на переданную ему потребителем информацию, но отвечает за ее безопасность и доступность. Но это относится только к потребителям-госорганам и только к информации (никакой ответственности за собственно ИТ-ресурсы — аппаратные средства, ПО, сети — поставщик не несет).
• Поставщик услуг для госорганов должен быть российским юрлицом (или индивидуальным предпринимателем), его облачная инфраструктура должна находиться на территории России.
• Решение всех остальных вопросов регулирования этой сферы переносится на уровень Минкомсвязи. Причем фактическое решение вопросов откладывается, как минимум, на 2016 г. (как известно, подготовка подзаконных актов у нас часто требует много больше времени, чем самих законов).
Насколько такой закон (если он все же дойдет до законодателей) удовлетворяет потребностям рынка (как потребителей, так и поставщиков облачных услуг) в плане возможности эффективного использования современных ИТ заказчиками и развития российской ИТ-отрасли?
Вот ответ одного из известных экспертов по облачной тематике, полученный в частном порядке: «Для рынка реальных облачных услуг, которые создаются российскими поставщиками для российских клиентов (коммерческих, частных лиц) по сути ничего не изменится. А закон нужен именно им — российским разработчикам, российским поставщикам и их российским клиентам. Потому что иностранные поставщики счастливы существовать в этом правовом вакууме, где вопросов и претензий к ним меньше, чем к своим. Увы».
В частных беседах специалисты, знакомые с проектом законопроекта, высказывают мнение, что законопроект требует радикальной и достаточно быстрой переработки, поскольку он должен решить накапливающиеся в этой сфере проблемы. Попробуем сформулировать некоторые основные «недоуменные вопросы» по данному проекту и пожелания по тому, какие вопросы должны быть решены.
1. Вполне возможно, такой нормативный акт должен быть реализован в виде отдельного закона, а не дополнений к
2. В законе должны быть описаны положения по регулированию всего рынка облачных услуг, причем как для физических, так и для частных лиц.
3. Особое внимание должно быть уделено публичным облачным сервисам, поскольку там используются типовые договора (нет возможности заключение отдельных договоров, прописывающих детали отношения сторон).
4. В законе должны быть в явном виде прописаны ключевые положения оказания услуг госорганам, чтобы исключить возможность произвольной трактовки закона на ведомственном уровне.
5. Закон должен описывать общие принципы разграничения зон ответственности между заказчиками и поставщиками при использовании облачных услуг в плане всех задействованных в них ресурсов (а не только информации, как сегодня). Возможно, в законе нужно прописать некоторый минимальный набор требований в формулировке SLA (соглашения об уровне сервиса).
6. В определении «облачные услуги» должно быть в явном виде указано, что они предоставляются через сетевые коммуникации (Интернет). Дело в том, что в предоставлении таких услуг есть еще третья сторона — сетевой провайдер, роль и зона ответственности которого в законе также должны быть определены.
7. В законе должно быть сказано о варианте трансграничного предоставления облачных услуг и описаны общие принципы их организации, распределения зон ответственности участников и подходы к решению юридических конфликтов в случае их возникновения. Причем должны быть описаны как случай «российский потребитель» — «зарубежный поставщик», так и вариант «российский поставщик» — «зарубежный потребитель».
8. Необходимо ускорить принятие соответствующих законодательных актов, поскольку имеющийся сегодня нормативный вакуум негативно влияет на развитие этого направления ИТ-рынка. Для качественной и быстрой подготовки этих документов необходимо использовать потенциал отраслевого экспертного сообщества.