На днях на портале regulation.gov.ru выложили очередную реинкарнацию законопроекта по облакам. Когда я ее скачивал, я предвкушал возможность прокомментировать там многие вещи. Все-таки к майской версии законопроекта было немало вопросов. Каково же было мое удивление, когда я увидел не только совершенно иной текст, но и совершенно иное название законопроекта.
Первоначально речь шла о законопроекте под названием “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, инициатором которого был Минкомсвязь. Он до сих пор лежит на портале regulation.gov.ru. Выложенный же 26-го сентября законопроект «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и среди его разработчиков значится не только Минкомсвязь, но и ФСО, ФСБ и ФСТЭК России. Оно и понятно, изменения в трехглавый закон мимо них не проходят. Чтоже мы видим в этом «замечательном» законопроекте:
- Вводится 3 новых определения, включая и «услуги облачных вычислений». Правда, это определение касается только госорганов. А вот для коммерческих организаций или физлиц услуг облачных вычислений по версии Минкомсвязи не бывает. Аналогичная ситуация и с термином «облачная инфраструктура» — она тоже может быть только для госов.
- Поставщику облачных услуг явно отказывается в праве считаться обладателем информации, созданной госорганами в облачной инфраструктуре.
- При предоставлении услуг облачных вычислений должны быть соблюдены всего два условия — доступность информации и возможность ее обработки, включая и ее удаление. Все!
- Надо ждать выхода отдельного Постановления Правительства, которое определит требования и порядок предоставления услуг облачных вычислений. Думаю, оно появится не позже шести месяцев с момента принятия законопроекта.
- Поставщик облачных услуг может быть только российским юрлицом или ИП, а сама облачная инфраструктура должна находиться только на территории России. При этом не каждый отечественный облачный провайдер сможет претендовать на право выноса государственного мозга в облако, — только аккредитованные провайдеры удостоятся этой чести. Правила аккредитации должно разработать Правительство РФ.
- Ответственность за нарушение достоверности, целостности, подлинности и конфиденциальности информации, в случае, если таковое последовало по причине ненадлежащего функционирования и управления облачной инфраструктурой поставщика услуг облачных вычислений, несет поставщик услуг облачных вычислений. Во всех иных случаях ответственность несут госорганы.
- Вступить закон должен в силу с 1-го января 2016-го года.
Вот и все требования. По сравнению с майским проектом — небо и земля. Убрали и муниципальные органы, и требования к коммерческим облакам, и требования лицензирования по требованиям ИБ, аттестации и использования сертифицированных средств защиты. Возможно, последние три пункта войдут в упомянутые ранее Постановления Правительства. По крайней мере, выглядело бы это логичным. Это на уровне отдельного законопроекта, такие вопросы стоило внести в него. А в трехглавом законе, где и так часть вопросов уже описана (та же сертификация), эти повторения без надобности. А вот вынести их на уровень Постановления Правительства — вполне логичная идея. И вот там уже могут появиться и требования лицензирования, и требования аттестации, и требования оценки соответствия используемых средств защиты информации, владельцем которой является государство.
Если отследить логику насчет "облачные вычисления — только госструктуры", то "поставщик облачных вычислений только на территории РФ" выглядит вполне логично.
Но вот что делать не госструктурам со своими облаками? Переименовать их? Или ждать изменений в законодательстве…
Думаю, не ждать