Использование публичных облачных решений в деятельности российских финансовых организаций (ноябрь 2017 года, русск. яз.)

Настоящая статья посвящена анализу регулирования технологий облачных вычислений в России, в особенности регулирования использования публичных облачных решений в деятельности российских финансовых организаций. Термин “российские финансовые организации”, используемый в настоящей статье, означает: (a) “кредитные организации” – банки и небанковские кредитные организации; и (b) “некредитные финансовые организации” (НФО) – страховые компании, микрофинансовые организации, ломбарды, другие организации, указанные в российских законах.[1]

1. Общие положения кас. регулирования облачных услуг

          A) Текущее состояние нормативного регулирования облачных услуг в России

В настоящее время в России отсутствует какой-либо универсальный закон или иной нормативный акт, регулирующий предоставление облачных услуг (услуг облачных вычислений) в Российской Федерации. Однако хранение (размещение) информации в публичном облаке per se (само по себе) не запрещено и, следовательно, разрешено при условии соблюдения отдельных нормативных требований и ограничений, предусмотренных общеприменимыми законами и отраслевыми стандартами. Несмотря на тот факт, что в последнее время в действующее законодательство были внесены существенные изменения, в том числе направленные на расширение полномочий регулирующих органов по осуществлению контроля над контентом, распространяемым в сети Интернет, и предусматривающие обязательства по хранению данных на территории России, эти изменения напрямую не запрещают передачу контента зарубежным провайдерам облачных сервисов, и хранение такого контента в центрах обработки данных за пределами Российской Федерации.

Согласно планам Правительства РФ к концу 2015 г. должны были быть разработаны проекты нормативных актов, направленные на развитие и внедрение технологий облачных вычислений.[2] Однако до настоящего времени такие нормативные акты не приняты. Вместе с тем, в 2016 г.[3] и в 2017 г.[4] были опубликованы проекты федеральных законов касательно регулирования облачных вычислений. Проекты ориентированы, главным образом, на создание государственной инфраструктуры облачных вычислений и регулирование использования указанных услуг в деятельности органов государственной власти, органов местного самоуправления, государственных и муниципальных предприятий и учреждений. Перспективы указанных законопроектов в настоящее время не ясны.

          B) Хранение персональных данных в зарубежном облаке

Закон о персональных данных[5] (Закон о ПД) не запрещает трансграничную передачу персональных данных (далее – “ПД”) граждан России; такая передача на практике может означать также их обработку в зарубежных центрах обработки данных. Однако, такая передача и хранение может иметь место только при условии соблюдения определенных требований и ограничений, а именно соблюдения обязанностей по обязательному хранению ПД на территории РФ. Согласно недавним изменениям в Закон о ПД[6] при сборе ПД, в том числе посредством сети Интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление или изменение) и извлечение ПД граждан России с использованием баз данных, находящихся на территории России, за исключением случаев, указанных в Законе о ПД. Вышеупомянутые положения нередко толкуются как запрет на передачу за рубеж и последующее хранение там ПД граждан России. Такая трактовка может быть признана необоснованной, исходя из следующих умозаключений. Во-первых, Закон о ПД (в действующей редакции) по-прежнему включает целый раздел, посвященный трансграничной передаче ПД. Тот факт, что вышеназванный раздел Закона о ПД не утратил силу после внесения соответствующих изменений, дает основание полагать, что законодатель не ставил перед собой цель полностью запретить передачу ПД граждан России за пределы России. И хотя нововведения предусматривают обязательную первоочередную запись и обработку ПД в базах данных, находящихся на территории Российской Федерации, закон не запрещает дублирование полученных и записанных ПД (т.е. создание резервных копий) с последующей обработкой таких ПД за пределами России. Сопоставимый порядок применяется и к процедуре обновления сохраненных данных: ПД, сохраненные в базе данных на территории России, обновляются в первую очередь, после чего обновление может быть внесено и базы данных, находящиеся за рубежом. Таким образом, база данных, находящаяся на территории России, является первичной, тогда как база данных, расположенная за рубежом – вторичной. Верность такого толкования Закона о ПД подтверждена надзорным органом – Министерством связи и массовых коммуникаций РФ, в соответствующих разъяснениях.[7] Можно предположить, что зарубежные провайдеры облачных решений должны принять меры к тому, чтобы выполнить вышеуказанное требование закона по локализации ПД в своих предложениях об оказании облачных услуг для того, чтобы иметь возможность продолжить оказание соответствующих услуг (поскольку изменения Закона о ПД уже вступили в силу в 2015 г.). Однако, анализ технической и практической возможности принятия провайдерами таких мер выходит за рамки настоящей статьи.

Закон о ПД предусматривает заключение (в обязательном порядке) соглашения между оператором и обработчиком (т.е. провайдером облачного сервиса) ПД, в котором будут перечислены все меры по обеспечению безопасности, принимаемые провайдером облачного сервиса, а также возложение на провайдера обязательства по неразглашению конфиденциальной информации. Такие меры могут фиксироваться в договорах и могут включать, в частности, шифрование и анонимизацию ПД.[8]

Также рекомендуется предоставить операторам ПД и/или клиентам возможность выбрать место расположения базы данных для хранения и обработки ПД; в этом случае оператор ПД по сути получает возможность выбрать страну из числа государств, в которых приняты адекватные меры по защите ПД.

          C) Хранение конфиденциальной информации в зарубежном облаке

Примерный список чувствительной/конфиденциальной информации включает финансовую информацию, информацию о технической и информационной безопасности, внутренние корпоративные документы, банковскую тайну, ПД, информацию о кредитной истории, налоговую информацию, тайну страхования и тайну ломбарда, а также иную информацию, признанную финансовой организацией в качестве “конфиденциальной”.[9] По общему правилу, хранение в облаке конфиденциальной информации допускается при условии соблюдения ряда требований и ограничений, предусмотренных действующим законодательством и внутренними актами владельцев конфиденциальной информации.

К нечувствительной информации (открытой информации) относится вся иная информация, которая не относится к информации конфиденциального характера. Такая информация может быть передана в зарубежное публичное облако без каких-либо ограничений.

При хранении чувствительной информации облачный провайдер должен предпринять определенные меры по защите переданной ему информации. Общие требования к обеспечению безопасности информации, а также специальные меры обеспечения безопасности, которые должны быть приняты облачным провайдером для защиты чувствительной информации в облаке, описываются в ряде нормативных актов.[10]

2. Регулирование использования облачных услуг кредитными организациями

          A) Локализация электронных баз данных российских банков

Одно из главных ограничений по размещению банками информации за рубежом установлено Положением № 397-П[11], согласно которому кредитная организация обязана обеспечивать размещение электронных баз данных на территории Российской Федерации (п.1.2.).[12] Эта норма часто интерпретируется как запрет на размещение банком информации в электронных базах данных за пределами России. Однако, ни Положение № 397-П, ни какой-либо другой акт не разъясняют данной нормы. В отсутствие прямого запрета на размещение соответствующей информации за пределами России, можно настаивать на умеренно строгом толковании данного положения, согласно которому кредитные организации вправе размещать соответствующую информацию в зарубежном облаке при условии, что: (i) такая же информация будет изначально размещена в электронных базах данных на территории РФ; (ii) зарубежный облачный провайдер предпринял соответствующие меры по защите информации, предусмотренные Положением № 397-П (в частности: электронные базы данных поддерживаются в актуальном состоянии; обеспечена возможность восстановления информации; исключены условия возникновения повреждения, утраты и т.д. информации; обеспечено резервное копирование данных; и др.). В пользу вышеуказанного умеренно-строгого толкования положений о территориальной локализации электронных баз данных свидетельствует и тот факт, что соответствующее изменение в Положение № 397-П было внесено в связи с изменениями в Закон о ПД, согласно которым хранение ПД российских граждан за рубежом не запрещено при условии, что такие ПД были первоначально зафиксированы (сохранены) в российских базах данных. Если толковать Положение № 397-П по аналогии с Законом о ПД, то последующее копирование и передача кредитными организациями информации в электронные базы данных, расположенные за рубежом, по общему правилу, также допустимо (при условии, что такая же информация была изначально размещена в электронных базах данных на территории РФ). Насколько такое последующее копирование (хранение) данных совместимо с сущностью того или иного облачного решения – вопрос, требующий отдельного обсуждения.

          B) Лицензионные и сертификационные требования

Кроме того, хранение и обработка определенной информации кредитных организаций облачными провайдерами может вызвать вопросы лицензирования и сертификации (лицензирование шифровальной деятельности, сертификация информационных систем, используемых для хранения и обработки данных и др.). На практике только российские организации могут соответствовать всем требованиям российского законодательства в данной области, и это обстоятельство может служить практическим препятствием для зарубежного облачного провайдера. Например, согласно Постановлению Правительства РФ № 1119[13] ПД подлежат шифрованию в обязательном порядке, если соответствующая информационная система, используемая для обработки ПД, относится к системам одного из четырех уровней защищенности, определенных Постановлением Правительства РФ № 1119 (уровень защищенности присваивается в зависимости от угроз безопасности ПД). Оценку угроз безопасности проводит оператор ПД (т.е. клиент). Кроме того, применение средств шифрования для защиты ПД предусмотрено Методическими рекомендациями ФСБ №149/7/2/6-432 от 31.03.2015 г.)[14].

Однако для решения вопросов с обязательным шифрованием кредитными организациями данных (когда такое шифрование обязательно согласно российскому законодательству) может быть использована следующая аргументация: Во-первых, в России деятельность по шифрованию данных является лицензируемой и при шифровании могут использоваться лишь то программное обеспечение и те аппаратные устройства, которые сертифицированы ФСБ. Очевидно, что указанные требования к шифрованию применимы только к российским организациям, поскольку российские регуляторы (ФСБ и др.) не вправе сертифицировать шифровальные средства иностранных организаций (зарегистрированных и действующих за рубежом), а лицензию на шифрование вправе получить лишь российская организация. Во-вторых, если зарубежный облачный провайдер в рамках оказания им облачных услуг использует информационную систему и меры защиты информации, которые предусматривают такой же уровень защиты информационных систем и такие же меры информационной защиты (включая шифрование данных), которые соответствуют общим техническим и организационным требованиям российского законодательства (либо его меры выше тех требований, которые предъявляются российскими регуляторами), то можно заключить, что данный облачный провайдер вправе осуществлять деятельность по работе с соответствующей информацией (поскольку цель обеспечения информационной безопасности достигнута).

Данный вывод находит поддержку в некоторых нормативных актах. Так, согласно Приказу ФСТЭК РФ № 21 от 18.02.2013 г.[15], при невозможности технической реализации отдельных мер по обеспечению безопасности ПД, предусмотренных Постановлением Правительства РФ № 1119, оператор вправе принимать другие (компенсирующие) меры, направленные на нейтрализацию актуальных угроз безопасности ПД. В этом случае в обязательном порядке проводится надлежащее обоснование применения таких компенсирующих мер (п. 10). С учетом вышеизложенного, оператор ПД обязан обеспечить принятие зарубежным облачным провайдером всех необходимых организационных и технических мер, предусмотренных Постановлением Правительства № 1119 и Приказом ФСТЭК № 21, для надлежащей защиты обрабатываемых ПД.

Специальные правила, касающиеся перевода денежных средств и хранения за рубежом информации о таких переводах и платежах, не оказывают влияние на те стандартные облачные решения (SaaS), которые не используются для перевода денежных средств (например, Microsoft Office 365).

Наконец, Банк России принял рекомендации (например, Рекомендации РС БР ИББС-2.2-2009 и Рекомендации РС БР ИББС-2.9-2016), которые хотя и не носят обязательного характера, но применяются банками в силу авторитета Банка России. Эти Рекомендации подразумевают, что кредитные организации должны хранить в России определенную чувствительную информацию (которая определена в Рекомендациях очень широко и включает, в числе прочего, любые ПД). В отсутствие прямого законодательного запрета на размещение большинства данных в инфраструктуре зарубежного облачного провайдера можно заключить, что данные рекомендации Банка России служат наиболее существенным препятствием для передачи банками данных зарубежному облачному провайдеру.

3. Регулирование использования облачных услуг некредитными финансовыми организациями (НФО)

Законодательство об отдельных видах НФО (страховые компании, микрофинансовые организации, ломбарды и другие) не содержит положений о возможности/невозможности использования отдельными видами НФО сервиса публичных облаков (в том числе услуг зарубежных облачных провайдеров). В основном законы об отдельных видах НФО регулируют различные формальные вопросы, в частности: содержат перечень документов, необходимых НФО для заключения соответствующего договора; определяют форму договора и указывают на возможность его подписания сторонами с использованием аналога собственноручной подписи; устанавливают положения о необходимости соблюдения НФО законодательства о ПД, конфиденциальности информации и/или профессиональной тайне.

Отсутствие в законодательстве РФ прямых запретов на использование отдельными НФО публичных облачных решений дает основание для вывода о том, что НФО вправе использовать сервисы публичных облаков, в том числе предоставляемых иностранными провайдерами при соблюдении определенных требований и ограничений.

Методические рекомендации Банка России не запрещают НФО использовать зарубежный облачный сервис при условии, что операторами зарубежного облачного сервиса приняты меры для обеспечения непрерывности собственной деятельности и (или) что соответствующие облачные сервисы в критической ситуации могут быть оперативно предоставлены другими организациями. Так, согласно Методическим рекомендациям № 28-МР[16] всем НФО рекомендуется обеспечить непрерывность деятельности, т.е. обеспечить режим повседневного функционирования внутренних критически важных процессов НФО, а именно: определить перечень информационных систем и информации, используемых для обслуживания критически важных процессов; обеспечить внедрение программно-технических средств, обеспечивающих защиту информационных систем; разработать политику информационной безопасности; проводить мониторинг состояния информационных систем и их программно-технических средств и принимать меры по устранению недостатков.

В отличие от кредитных организаций, регулятором – Банком России пока не введены в действие стандарты и рекомендации, касающиеся обеспечения информационной безопасности НФО (за исключением методических рекомендаций, касающихся обеспечения непрерывности деятельности). Распространение документов в области информационной безопасности на все организации – участники финансового рынка (т.е. как на кредитные организации, так и на НФО) было запланировано на I квартал 2017 г. До введения специального регулирования в данной области в отношении НФО, к их деятельности могут быть по аналогии применены действующие стандарты и рекомендации, предназначенные для организаций банковского сектора. О стремлении распространить действующие стандарты информационной безопасности банковского сектора на НФО свидетельствуют опубликованные проекты стандартов и рекомендаций Банка России.[17]

 

Владимир Канашевский, консультант Pierstone

vladimir.kanashevsky@pierstone.com

 

[1]     См. ст. 76.1 ФЗ “О Центральном банке Российской Федерации (Банке России)” № 86-ФЗ от 10.07.2002 г. (в ред. от 28.03.2017 г.)

[2]     См. План мероприятий (“дорожной карты”) “Развитие отрасли информационных технологий” (утв. Распоряжением Правительства РФ № 2602-р от 30.12.2013 г., в ред. от 05.12.2014 г.).

[3]     Проект доступен на Федеральном портале проектов нормативных правовых актов // http://regulation.gov.ru/projects#npa=59054

[4]     Проект доступен на Федеральном портале проектов нормативных правовых актов // http://regulation.gov.ru/projects#npa=67812

[5]     ФЗ «О персональных данных» № 152-ФЗ от 27.07.2006 г. (в ред. от 22.02.2017 г.)

[6]     Данные изменения Закона о персональных данных вступили в силу 1.09.2015 г.

[7]     См. официальный сайт Минкомсвязи РФ // http://minsvyaz.ru/ru/personaldata/

[8]     См. Приказ Роскомнадзора “Об утверждении требований и методов по обезличиванию персональных данных” от 05.09.2013 г. № 996; Методические рекомендации по применению Приказа Роскомнадзора № 996 (утв. Роскомнадзором 13.12.2013 г.)

[9]     Примерный состав категорий информации, рекомендуемых для включения в класс “информация конфиденциального характера”, см. в Приложении А (справочное) к Рекомендациям Банка России в области стандартизации РС БР ИББС-2.9-2016 “Обеспечение информационной безопасности организаций банковской системы РФ. Предотвращение утечек информации”.

[10]    См. Положение о защите информации в платежной системе (утв. Постановлением Правительства РФ № 584 от 13.06.2012 г.); Положение Банка России № 382-П (утв. Банком России 09.06.2012 г., с послед. изменениями); Указание Банка России № 2831-У от 09.06.2012 г. (с послед. изменениями); Стандарты Банка России, касающиеся информационной безопасности (СТО БР ИББС-1.0-2014; СТО БР ИББС-1.2-2014); Рекомендации Банка России (РС БР ИББС-2.5-2014; РС БР ИББС-2.2-2009; РС БР ИББС-2.7-2015; РС БР ИББС-2.8-2015; РС БР ИББС-2.9-2016)

[11]    Положение о порядке создания, ведения и хранения баз данных на электронных носителях, утв. Банком России 21.02.2013 г. № 397-П ( в ред. от 14.09.2016 г.)

[12]             Эта норма была внесена в Положение № 397-П в августе 2015 г.

[13]    Постановление Правительства РФ от 01.11.2012 г. N 1119 “Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных”

[14]    См. Методические рекомендации по разработке нормативных правовых актов, определяющих угрозы безопасности ПД, актуальные при обработке ПД в информационных системах ПД, эксплуатируемых при осуществлении соответствующих видов деятельности №149/7/2/6-432 (утв. ФСБ России 31.03.2015 г.).

[15]    Приказ ФСТЭК РФ “Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных” от 18.02.2013 г. № 21

[16]    Методические рекомендации по обеспечению непрерывности деятельности некредитных финансовых организаций, утв. Банком России 18.08.2016 г. № 28-МР

[17]    На настоящий момент проекты таких стандартов опубликованы Росстандартом (Технический комитет № 122). См. http://tk122.ru/