03.10.2014

Законопроект по гособлаку представлен общественности

На днях на портале regulation.gov.ru выложили очередную реинкарнацию законопроекта по облакам. Когда я ее скачивал, я предвкушал возможность прокомментировать там многие вещи. Все-таки к майской версии законопроекта было немало вопросов. Каково же было мое удивление, когда я увидел не только совершенно иной текст, но и совершенно иное название законопроекта.

Первоначально речь шла о законопроекте под названием “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, инициатором которого был Минкомсвязь. Он до сих пор лежит на портале regulation.gov.ru. Выложенный же 26-го сентября законопроект "О внесении изменений в Федеральный закон "Об информации, информационных технологиях и о защите информации" и среди его разработчиков значится не только Минкомсвязь, но и ФСО, ФСБ и ФСТЭК России. Оно и понятно, изменения в трехглавый закон мимо них не проходят. Чтоже мы видим в этом "замечательном" законопроекте:

  • Вводится 3 новых определения, включая и "услуги облачных вычислений". Правда, это определение касается только госорганов. А вот для коммерческих организаций или физлиц услуг облачных вычислений по версии Минкомсвязи не бывает. Аналогичная ситуация и с термином "облачная инфраструктура" - она тоже может быть только для госов.
  • Поставщику облачных услуг явно отказывается в праве считаться обладателем информации, созданной госорганами в облачной инфраструктуре.
  • При предоставлении услуг облачных вычислений должны быть соблюдены всего два условия - доступность информации и возможность ее обработки, включая и ее удаление. Все!
  • Надо ждать выхода отдельного Постановления Правительства, которое определит требования и порядок предоставления услуг облачных вычислений. Думаю, оно появится не позже шести месяцев с момента принятия законопроекта.
  • Поставщик облачных услуг может быть только российским юрлицом или ИП, а сама облачная инфраструктура должна находиться только на территории России. При этом не каждый отечественный облачный провайдер сможет претендовать на право выноса государственного мозга в облако, - только аккредитованные провайдеры удостоятся этой чести. Правила аккредитации должно разработать Правительство РФ.
  • Ответственность за нарушение достоверности, целостности, подлинности и конфиденциальности информации, в случае, если таковое последовало по причине ненадлежащего функционирования и управления облачной инфраструктурой поставщика услуг облачных вычислений, несет поставщик услуг облачных вычислений. Во всех иных случаях ответственность несут госорганы.
  • Вступить закон должен в силу с 1-го января 2016-го года.
Вот и все требования. По сравнению с майским проектом - небо и земля. Убрали и муниципальные органы, и требования к коммерческим облакам, и требования лицензирования по требованиям ИБ, аттестации и использования сертифицированных средств защиты. Возможно, последние три пункта войдут в упомянутые ранее Постановления Правительства. По крайней мере, выглядело бы это логичным. Это на уровне отдельного законопроекта, такие вопросы стоило внести в него. А в трехглавом законе, где и так часть вопросов уже описана (та же сертификация), эти повторения без надобности. А вот вынести их на уровень Постановления Правительства - вполне логичная идея. И вот там уже могут появиться и требования лицензирования, и требования аттестации, и требования оценки соответствия используемых средств защиты информации, владельцем которой является государство.


2 коммент.:

Alexey Kozlenko комментирует...

Если отследить логику насчет "облачные вычисления - только госструктуры", то "поставщик облачных вычислений только на территории РФ" выглядит вполне логично.
Но вот что делать не госструктурам со своими облаками? Переименовать их? Или ждать изменений в законодательстве...

Алексей Лукацкий комментирует...

Думаю, не ждать