Аналіз Законопроекту

«Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень»

Кількома народними депутатами України зареєстровано проект Закону України №4302 від 24.03.2016 «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень». Під «деякими законодавчими актами» законопроект переважно розуміє Закон України «Про захист інформації в інформаційно-телекомунікаційних системах» (далі – Закон). І хоча останній, можливо, далекий від ідеалу, деякі пропозиції щодо змін викликають щонайменше подив. Наведемо лише міркування, отримані за результатами попереднього аналізу документу.

Так, преамбулу Закону пропонується доповнити таким чином, що він регулюватиме відносини у сфері захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, а також в системах хмарних обчислень. Визначення системи хмарних обчислень, яке при цьому наводиться далі у тексті, вочевидь вже підпадає під характеристику інформаційно-телекомунікаційної системи. Тож постає питання, навіщо виокремлювати таку систему з нібито вичерпного переліку систем, інформація в яких підлягає захисту?

Далі, визначення системи хмарних обчислень як системи, в якій реалізується модель забезпечення дистанційного доступу на вимогу до спільної сукупності динамічно розподілюваних та налаштовуваних обчислювальних ресурсів (включаючи внутрішньосистемні мережі, сервери, сховища даних, прикладні програми та послуги), які можуть бути оперативно надані і вивільнені, через глобальні мережі передачі даних із мінімальними управлінськими діями та/або мінімальною взаємодією з надавачем хмарних послуг, передбачає пріоритетне використання саме публічних хмар, а не приватних чи гібридних. Надавачем хмарних послуг, як випливає з відповідного визначення, може бути як резидент, так і нерезидент, причому допускається, що цей нерезидент може бути і фізичною особою, яка відповідно до договору, укладеного з володільцем інформації або власником системи, бере зобов’язання зі здійснення обробки інформації в системі хмарних обчислень. Як ви міркуєте, чи буде прийнятною ситуація, коли житель Британських Віргінських островів чи Королівства Тонга укладе договір, наприклад, з Центральною виборчою комісією, на обробку даних з Державного реєстру виборців?

Цікавим також є абзац, присвячений відносинам користувача і надавача хмарних послуг. В поточній версії Закону власник системи надає користувачеві відомості про правила і режим роботи системи та забезпечує йому доступ до інформації в системі відповідно до визначеного порядку доступу. В законопроекті власник системи чи володілець інформації, який використовує систему хмарних обчислень, з цих відносин випадає. Тепер вже «надавач хмарних послуг надає користувачеві відомості про правила і режим роботи системи хмарних обчислень та забезпечує йому відповідно до визначеного договором порядку доступ до інформації в цій системі».

Відповідальність за забезпечення захисту інформації в системі покладається на власника системи, а в системі хмарних обчислень – на надавача хмарних послуг. Таким чином, власник системи чи володілець інформації, що передає дані до системи хмарних обчислень, автоматично знімає з себе відповідальність за забезпечення її захисту. Стосовно умов обробки та захисту окремих видів інформації в системі хмарних обчислень, що визначаються у договорі, Законопроект відправляє нас до нової статті 91. Це сама цікава частина, про неї нижче.

Стаття 91 «Обробка та захист інформації в системі хмарних обчислень» дозволяє обробляти в системі хмарних обчислень у тому числі інформацію з обмеженим доступом (крім інформації, яка в установленому порядку віднесена до державної таємниці), якою володіють органи державної влади, інші державні органи, органи місцевого самоврядування, органи влади Автономної Республіки Крим, інші суб’єкти, що здійснюють владні управлінські функції відповідно до законодавства та рішення яких є обов’язковими для виконання, державні підприємства, установи та організації. При цьому договір про надання хмарних послуг має містити гарантії надавача хмарних послуг щодо недопущення обробки інформації в системі хмарних обчислень на територіях держав, визнаних Верховною Радою України державами-агресорами, а також держав, щодо яких застосовані санкції відповідно до Закону України “Про санкції”. Цікаво, чим саме можуть бути підтверджені такі «гарантії»? Законопроект при цьому нічого не каже про те, яким законодавством регулюватимуться відносини між надавачем хмарних послуг та володільцем інформації або власником системи.

Що стосується «гарантій» надавача (який, до речі, має право залучення до виконання своїх зобов’язань за договором третіх осіб), то питання лежить не тільки в юридичній площині, а і в технічній. Передбачуваною є ситуація, коли надавач хмарних послуг фізично не зможе відповісти на питання, де саме територіально обробляється конфіденційна інформація органів державної влади України, або чи приймають участь в її обробці громадяни держав-агресорів. Про широту повноважень «третіх осіб» годі й казати.

Звісно, законопроект допускає обробку інформації органів державної влади лише за умови підтвердження належного рівня захисту інформації в системі хмарних обчислень. Проте, «належний рівень захисту інформації в системі хмарних обчислень підтверджується наявністю дійсного сертифіката, що підтверджує відповідність системи менеджменту інформаційною безпекою, що застосовується при обробці інформації в системі хмарних обчислень, вимогам стандарту ISO/IEC 27001 або ДСТУ ISO/IEC 27001, або інших стандартів, якими їх замінено, виданого національним чи іноземним органом або організацією з оцінки відповідності, акредитованими національним органом України з акредитації або іноземним органом з акредитації, який є стороною багатосторонньої угоди про визнання Міжнародного форуму з акредитації (International Accreditation Forum) та/або Європейської кооперації з акредитації (European Co-operation for Accreditation), відповідно до стандарту ISO/IEC 17021 або ДСТУ ISO/IEC 17021, або інших стандартів, якими їх замінено».

Цим положенням процес обробки інформації у системі хмарних обчислень навмисно оминає вимоги чинного законодавства щодо необхідності створення комплексної системи захисту інформації з підтвердженою відповідністю. Абстрагуючись від недосконалості концепції КСЗІ в державі, не можна не констатувати того, що дотримання вимог стандарту ISO/IEC 27001 жодним чином не гарантує захищеності даних чи інфраструктури їх обробки. Залучення ж іноземних (навіть з країн-агресорів) органів акредитації до оцінки «захищеності» інформації українських державних структур викликає щонайменше подив. Неважко уявити ситуацію, коли власники систем, аби уникнути необхідності створення КСЗІ, будуть передавати обробку всієї інформації до систем хмарних обчислень, адже експертиза в сфері ТЗІ/КЗІ в цьому випадку, відповідно до положень законопроекту, вимагатись не буде.

Вельми дивною також є вимога щодо визначення у договорі гарантій надавача хмарних послуг щодо наявності у нього працівників відповідної кваліфікації, які мають достатні знання та досвід, необхідні для надання хмарних послуг. Хто визначає специфікацію та критерії достатності вимог, залишається за кадром.

Ну і нарешті, законопроект визнає прерогативою Національного банку України визначати особливості використання банками систем хмарних обчислень. Цікаво було б дізнатися, як в поточний момент НБУ ставиться до можливості винесення банківської таємниці за межі юрисдикції України. Що стосується державних інформаційних ресурсів, народні обранці вже визначили самі.

Якщо ж від аналізу тексту повернутися до технічних аспектів, то неважко дійти висновку, що захищеність державних інформаційних ресурсів, розміщених у системі хмарних обчислень, еквівалентна захищеності самої такої системи. У разі кібератаки на Україну та її органи влади, припустимою є ситуація, що з метою збереження критичних державних інформаційних ресурсів, окремі ІТС чи навіть цілий український сегмент може бути відключений від зовнішніх глобальних мереж. У випадку ж зламу і компрометації системи хмарних обчислень можуть бути скомпрометовані усі дані в системі, незважаючи на наявні сертифікати, що підтверджують відповідність систем управління інформаційною безпекою. Там само дивним виглядає посилання на вимоги стандарту ISO/IEC 27001 і відсутність жодної згадки про вимоги найбільш авторитетної організації в сфері безпеки хмарних середовищ – CSA (Cloud Security Alliance), яка спеціально з метою класифікації систем хмарних обчислень запровадило власну сертифікацію в рамках реєстру Security, Trust & Assurance Registry (STAR).

В якості висновку слід зазначити, що в поточній редакції Проект Закону України №4302 від 24.03.2016 «Про внесення змін до деяких законодавчих актів України щодо обробки інформації в системах хмарних обчислень» суперечить положенням Стратегії кібербезпеки України і може становити пряму загрозу національній безпеці.

Зрозуміло, що ступінь розвитку інформаційних і комунікаційних технологій вимагає використання хмарних технологій, і український бізнес в повній мірі їх використовує. Чи можна при цьому стверджувати, що відсутність відповідної правової бази стримує розвиток системи електронного урядування? Частково так, але в країні вже не перший рік обговорюється концепція створення «національної хмари», яка є діючою в багатьох країнах світу, що опікуються питаннями власної інформаційної безпеки. Такий варіант, впроваджений фахівцями зі спецслужб та представниками експертного середовища під контролем громадськості, міг би стати компромісом, адже інфраструктуру на своїй території контролювати значно легше, а сконцентровані на реалізації Стратегії кібербезпеки України зусилля держави і приватного сектору могли б забезпечити справді високий рівень як доступності, так і захищеності державних інформаційних ресурсів.