Технологии виртуализации, как и облачные сервисы, активно занимают свою долю рынка и даже обзавелись ГОСТом — Р
Все идет по ГОСТу
Прежде всего надо отметить, что понятия «облачные сервисы» и «облачные услуги» в настоящее время не являются строго определенными, они только начинают проникать в российское законодательство. Все примерно понимают, что они означают, но этого недостаточно для точного регулирования. Как и любое другое новшество, облакам необходимо пройти этап кристаллизации, когда будут четко определены нормы законодательного регулирования этой сферы.
Говорить о стадии кристаллизации норм в России пока рано, однако это не означает, что законодательные ограничения для обеспечения безопасности облачных сервисов отсутствуют. Базовые понятия информационной безопасности в отечественной нормативной базе сформированы так, что они практически не зависят от применяемых частных технологий. Например, если есть базовое требование идентификации и аутентификации субъекта доступа, то оно должно быть выполнено независимо от того, как реализована система — в виде локального компьютера, частной информационной системы или посредством облачных сервисов.
Конечно, использование облачных сервисов привносит определенные особенности в процесс реализации систем безопасности, но какой-либо острой необходимости «затачивать» законы и подзаконные акты непосредственно под облачные «высоты» нет. Конечно, в отношении безопасности облачных сервисов есть законодательные преграды и ограничения. Но это общие нормы и правила, которые не нацелены конкретно на сферу предоставления облачных услуг.
Бюрократия и в цифре, и в облаке
Бизнес и потребитель — это две неразрывные сущности. Любые ограничения бизнеса — это ограничение возможностей его клиента. Даже когда государство, казалось бы, защищает права потребителя, оно на самом деле ограничивает его возможности. Например, требование лицензировать бизнес или сертифицировать продукт ограничивает возможность потребителя получать продукт более низкого качества, но по более низкой цене. В настоящий момент, поскольку специфичного регулирования облачных сервисов у государства пока нет, возможности потребителя не сильно ограничены.
Специфика законодательной деятельности такова, что поводом для более пристального внимания государства и, как следствие, большей зарегулированности отрасли может стать угроза, вызванная политической конъюнктурой.
Активное регулирование в сфере информационной безопасности началось в начале
Если сами облака пока регулируются мало, то вот безопасность данных — это направление, в котором нормативная база уже сложилась. У нас есть не менее четырех систем сертификации — ФСТЭК России, ФСБ России, Службы внешней разведки и Министерства обороны России. Если вы делаете, например, средство защиты информации (СЗИ), то вы должны получить соответствующую лицензию на такую деятельность и сертификат на СЗИ. Если СЗИ будет защищать персональные данные в банке или в органе власти, то лицензия и сертификат должны быть от ФСТЭК России, если СЗИ является криптографическим — от ФСБ России, если применяется в воинской части — от МО России, а если, например, ваше СЗИ работает в Верховном Суде — то опять должен быть сертификат и лицензия от ФСБ России.
Это достаточно сложная система. Скажем, вы строите ГИС первого класса защищенности и должны применять сертифицированные по ФСТЭК средства доверенной загрузки. Но одновременно на компьютере у вас установлено криптографическое средство, и по правилам ФСБ вы тоже должны использовать сертифицированное средство доверенной загрузки, но сертифицированное уже ФСБ. Одновременное получение двух сертификаций, очевидно, несколько усложняет рабочий процесс.
Большие пользовательские данные
Гармонизация и упрощение требований регуляторов, казалось бы, должны положительно сказаться на отрасли, но не все так просто. С формальной точки зрения, задача государства состоит в том, чтобы обеспечить безопасность данных рядовых пользователей. Существует федеральный закон «О персональных данных», огромная масса подзаконных актов, а регуляторы выставляют требования, которые вынуждают бизнес тратить астрономические суммы на закупку сертифицированных средств защиты информации и другие мероприятия по защите персональных данных. При этом ежедневно каждый человек сталкивается со звонками с неизвестных номеров, предлагающих купить, пройти опрос, срочно сообщить дополнительные сведения о держателе карты. Ситуация с защищенностью персональных и других данных практически не меняется с развитием законодательной базы, и это проблема глобальная, не только российская. Да, конечно, ряд компаний пренебрегают технической защитой информации, и ГОСТы и нормативы призваны их вычислить и наказать. Но, помимо технических систем защиты данных, должна развиваться и культура работы с ними. И тут проблема уже скорее в образовании, развитии навыка «цифровой гигиены» среди обычных пользователей, а не в недостатке регулирования.
В целях на будущее
В сложившихся условиях ГОСТы облакам и виртуализации не помеха. В России сегодня достаточно крупных и средних компаний, работающих и с СЗИ, и с облачными сервисами. Эти компании динамично развиваются и уже работают на высоком международном уровне.
Интересен другой вопрос: а насколько глубоко облака сейчас проникли в правовые документы? Здесь надо отметить, что понятие «облачные вычисления» («облачные сервисы») содержится в «Стратегии развития информационного общества в Российской Федерации на
