Добро пожаловать в ООН
Язык:
  1. Первая страница
  2. Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год)

Комментарии по основным вопросам, связанным с договорами об облачных вычислениях (подготовлено секретариатом Комиссии Организации Объединенных Наций по праву международной торговли, 2019 год)

Часть первая. Основные аспекты
до заключения договора

B. ОЦЕНКА РИСКОВ ДО ЗАКЛЮЧЕНИЯ ДОГОВОРА

Императивные нормы применимого законодательства могут предусматривать проведение оценки рисков в качестве предварительного условия заключения договора об облачных вычислениях. Даже в отсутствие установленных законом требований стороны могут принять решение о проведении оценки рисков, которая может помочь им определить стратегии снижения рисков, включая согласование соответствующих договорных положений.

Не все риски, вытекающие из договоров об облачных вычислениях, характерны исключительно для облачных технологий. Некоторые из них могут возникать вне сферы действия договора об облачных вычислениях (например, риски, связанные с нарушением онлайновой связи), и не все риски можно преодолеть с приемлемыми издержками (например, ущерб репутации). Кроме того, оценка рисков не является разовым мероприятием, предшествующим заключению договора. Оценка рисков должна быть процессом, который будет происходить постоянно на протяжениивсег о срока действия договора и результаты которого могут потребовать внесения в договор поправок или его прекращения.

Проверка информации о конкретной услуге облачных вычислений и о выбранном партнере по договору

При рассмотрении сторонами вопроса об использовании конкретной услуги облачных вычислений и выборе партнера по договору важной для них может быть следующая информация:

a) лицензии на использование прав ИС, необходимые для использования конкретной услуги облачных вычислений;
b) действующая политика в области обеспечения неприкосновенности, конфиденциальности и защиты данных, в частности в отношении предупреждения несанкционированного доступа, использования, изме-
нения или уничтожения данных при их обработке, транзите или передаче с использованием инфраструктуры облачных вычислений;
c) действующие меры по обеспечению постоянного доступа к метаданным, контрольным записям и другим журналам, свидетельствующим о принятии мер по обеспечению безопасности;
d) наличие плана восстановления в случае аварий и обязательств поуведомлен ию в случае нарушения безопасности или сбоя в работе системы;
e) действующая политика в отношении оказания помощи при миграции в облако и окончании обслуживания, а также функциональной совместимости и возможности переноса данных;
f) принимаемые меры для проверки и обучения работников, субподрядчиков и других третьих сторон, участвующих в предоставлении услуг облачных вычислений;

g) статистические данные по инцидентам, связанным с нарушением безопасности, и информация о реализованных в прошлом процедурах восстановления в случае аварий;
h) сертификация независимой третьей стороной на предмет соблюдения технических стандартов;
i) информация о регулярности и масштабах проверок, проводимых независимым органом;
j) финансовая жизнеспособность;
k) политика в области страхования;
l) возможная коллизия интересов;
m) степень использования субподряда и многоуровневых услуг облачных вычислений;
n) степень изоляции данных и другого контента в инфраструктуре облачных вычислений; и
o) ожидаемые взаимные функции и солидарная ответственность сторон за меры безопасности.

Риски нарушения прав ИС

Риски нарушения прав ИС могут возникать, например, в тех случаях, когда поставщик не является владельцем или разработчиком ресурса, который он предоставляет своим клиентам, а выступает в качестве его пользователя по соглашению о лицензии на использование ИС с третьей стороной. Риски нарушения прав ИС могут также возникать, если для осуществления договора клиент обязан предоставить поставщику лицензию на использование контента, который этот клиент намерен разместить в облаке. В некоторых юрисдикционных системах хранение контента в облаке — даже в целях создания резервной копии — может квалифицироваться как воспроизведение и потребовать предварительного разрешения на это со стороны обладателя прав ИС.

Обе стороны заинтересованы в том, чтобы удостовериться до заключения договора, что использование услуг облачных вычислений не будет являться нарушением прав ИС и основанием для отзыва лицензий на использование ИС, выданных той или иной стороне. Издержки, связанные с нарушением прав ИС, могут оказаться весьма высокими. Возможно потребуется получить право на сублицензию или же заключить прямое соглашение о лицензировании с соответствующей третьей стороной-лицензиаром, в соответствии с которым будет предоставлено право на использование лицензий третьих сторон. Использование программного обеспечения или другого контента с открытыми исходными кодамиможет потребовать получения предварительного согласия от третьих сторон, а также раскрытия исходного кода с любыми изменениями, внесенными в программное обеспечение или другой контент с открытыми исходными кодами.

Риски в плане безопасности, целостности, конфиденциальности и неприкосновенности данных

Миграция всех или части данных в облако приводит к утрате клиентом исключительного контроля над этими данными и возможности принимать необходимые меры для гарантирования целостности и конфиденциальности данных или проверки того, осуществляется ли обработка и хранение данных надлежащим образом. Степень утраты контроля будет зависеть от вида услуг облачных вычислений.

Такие особенности услуг облачных вычислений, как широкий сетевой доступ, коллективная аренда и объединение ресурсов, могут потребовать от сторон принятия дополнительных мер предосторожности для предотвращения перехвата сообщений и других кибератак, которые могут привести к утрате или повреждению регистрационных данных для доступа к услугам облачных вычислений, потере данных и другим нарушениям безопасности. Надлежащая изоляция ресурсов и разделение данных, а также надежные процедуры обеспечения безопасности имеют особенно важное значение в такой общей среде, как облачные вычисления.

В условиях облачных вычислений стороны будут нести солидарную ответственность за принятие мер безопасности независимо от вида используемых услуг. Оценка рисков до заключения договора дает сторонам возможность устранить любую неясность в определении их функций и обязанностей, связанных с обеспечением безопасности, целостности, конфиденциальности и неприкосновенности данных. Договорные положения будут играть важную роль в отражении договоренности сторон относительно распределения между ними рисков и ответственности в связи с этими и другими аспектами предоставления услуг облачных вычислений. (Читать далее по этой теме.) Эти положения не могут иметь преимущественную силу по сравнению с императивными положениями законодательства. 

Тесты на проникновение, проверки и посещение объектов

На этапе, предшествующем заключению договора, можно предпринять шаги для проверки адекватности изоляции ресурсов, разделения данных, процедур идентификации и других мер безопасности. Они должны быть направлены на определение возможных дополнительных мер предосторожности, которые могут потребоваться сторонам для предотвращения нарушений безопасности данных и других сбоев при предоставлении клиенту услуг облачных вычислений.

Законодательство и нормативные акты могут предусматривать проведение проверок, тестов на проникновение и физических инспекций центров данных, участвующих в предоставлении услуг облачных вычислений, в частности для установления того, отвечает ли их местонахождение предусмотренным законом требованиям в отношении локализации данных (см. выше). Сторонам необходимо будет договориться об условиях проведения таких мероприятий, включая время их проведения, распределение расходов и предоставление возмещения за любой возможный ущерб, причиненный в результате этих мероприятий.

Риски обособленности

Одним из наиболее важных соображений для сторон может быть избежание или снижение рисков обособленности, часто возникающих из-за отсутствия функциональной совместимости и возможности переноса данных. Более высокие риски обособленности могут возникать в случае долгосрочных договоров и автоматически возобновляемых краткосрочных и среднесрочных договоров.

Риски обособленности прикладных программ и данных особенно высоки в случае ОкУ и ПкУ. Данные могут существовать в форматах, которые используются только в одной облачной системе и не могут
использоваться в других системах. Кроме того, использование патентованной прикладной программы или системы для организации данных может потребовать корректировки условий лицензирования для обеспечения возможности работать в другой сети. Возможно, потребуется переписать программы для взаимодействия с интерфейсами прикладных программ (ППИ), с тем чтобы учесть ППИ новой системы. Высокие затраты при переходе на другую систему могут быть также обусловлены необходимостью переподготовки конечных пользователей.

В случае ПкУ также может существовать потребность в синхронизации среды исполнения, поскольку рабочие программы (т.е. программное обеспечение, предназначенное для поддержки работы компьютерных программ, написанных на определенном языке программирования) часто носят сугубо индивидуальный характер (например, в таких аспектах, как выделение или освобождение памяти, отладка программ и т.д.). В случае ИкУ обособленность зависит от конкретных потребляемых инфраструктурных услуг. Как и в случае ПкУ, некоторые инфраструктурные услуги также могут привести к обособленности прикладных программ, если конкретная услуга зависит от специфических основных функций (например, контроль доступа). Некоторые инфраструктурные услуги могут также привести к обособленности данных, если для хранения в облако переносится все больше данных.

На этапе, предшествующем заключению договора, могут быть проведены тесты для проверки возможности экспортировать в другую систему и использовать там данные и другой контент. Может потребоваться синхронизация облачной платформы с платформой собственной системы и создание копии данных в другом месте. Заключение сделок с несколькими сторонами и сочетание различных видов услуг облачных вычислений и их моделей развертывания (т.е. диверсификация поставщиков) хотя и могут быть сопряжены с дополнительными расходами и другими последствиями, но могут стать важными элементами стратегии, направленной на смягчение рисков обособленности. Смягчению таких рисков могут также способствовать положения договора. (Читать далее по этой теме.)

Риски прерывания деятельности

У сторон могут вызывать озабоченность риски прерывания деятельности не только в преддверии запланированного окончания действия договора, но и в связи с его возможным односторонним приостановлением или досрочным прекращением, включая случаи, когда одна из сторон может прекратить коммерческую деятельность. Законодательство может содержать требование о заблаговременной разработке соответствующей стратегии для обеспечения непрерывности деятельности, в частности в целях недопущения негативных последствий прекращения или приостановления предоставления услуг облачных вычислений для конечных пользователей. Смягчению рисков прерывания деятельности также могут способствовать договорные положения. (Читать далее по этой теме.)

Стратегии выхода

Для успешного осуществления стратегий выхода сторонам, возможно, необходимо будет с самого начала уточнить: a) какой контент будет подлежать выводу (например, только данные, размещенные клиентом в облаке, или также производные данные услуг облачных вычислений); b) какие поправки потребуется внести в лицензии на использование ИС, с тем чтобы этот контент можно было использовать в другой системе; c) порядок осуществления контроля за ключами шифрования и предоставления доступа к ним; и d) срок, необходимый для завершения выхода. Договоренность сторон по этим вопросам обычно находит отражение в положениях договора, касающихся окончания обслуживания.  (Читать далее по этой теме.)

Tермины в Глоссарии, относящиеся к данному разделу

Услуги облачных вычислений: онлайновые услуги, характерными особенностями которых являются:
a) широкий сетевой доступ, означающий, что услуги могут быть доступны через сеть из любой точки, где эта сеть присутствует (например, через Интернет), с использованием различных средств, таких как мобильные телефоны, планшеты и портативные компьютеры;
b) измеряемый объем предоставления, допускающий осуществление контроля за использованием ресурсов и взимание платы с учетом уровня использования (оплата по мере оказания услуг);

c) коллективная аренда, означающая, что физические и виртуальные ресурсы предоставляются многочисленным пользователям, данные
которых изолированы и недоступны для других пользователей;
d) самообслуживание по требованию, означающее, что услуги используются клиентом по мере необходимости, автоматически либо при минимальном взаимодействии с поставщиком;
e) эластичность и масштабируемость, означающие способность быстро расширять или сокращать масштабы потребления услуг в соответствии с потребностями клиента, включая типичные общие колебания в потреблении ресурса (например, сезонные изменения);
f) объединение ресурсов, означающее, что физические и виртуальные ресурсы могут быть агрегированы поставщиком, с тем чтобы осуществлять обслуживание одного или более клиентов без контроля или осведомленности с их стороны в отношении используемых процессов;
g) широкий спектр услуг от предоставления и использования услуг по простому сетевому подключению и базовым вычислениям (например, хранение данных, электронная почта и офисные прикладные программы) до предоставления и использования широкого спектра средств физической инфраструктуры информационно-коммуникационных технологий (ИТ) (например, серверов и центров данных) и виртуальных ресурсов, необходимых клиенту для формирования своих собственных платформ информационно-коммуникационных технологий или же развертывания, организации и использования созданных или приобретенных клиентом прикладных программ или программного или программного обеспечения. Разновидностями услуг облачных вычислений являются
инфраструктура как услуга (ИкУ), платформа как услуга (ПкУ) или программное обеспечение как услуга (ОкУ).
 

Производные данные услуг облачных вычислений: находящиеся под контролем поставщика данные, полученные в результате использования
клиентом услуг облачных вычислений этого поставщика. Они включают метаданные и любые другие учетные данные, созданные поставщиком
и содержащие информацию о том, кому услуги были оказаны, в какое время и какие при этом использовались функции и виды данных. Они
могут также включать информацию об уполномоченных пользователях, их идентификаторах и о любой конфигурации, изменении с учетом
потребностей или модификации.

Функциональная совместимость: способность двух или более систем или прикладных программ производить обмен информацией и осуществлять взаимное использование информации, которой они обмениваются.

Многоуровневые услуги облачных вычислений: услуги, при предоставлении которых поставщик не является владельцем всех или является владельцем отдельных компьютерных ресурсов, которые он использует для предоставления услуг облачных вычислений для своих клиентов, а сам выступает в качестве клиента всех или отдельных услуг облачных вычислений. Например, поставщик услуг платформа как услуга (ПкУ) или программное обеспечение как услуга (ОкУ) может использовать инфраструктуру для хранения данных и инфраструктуру серверов (цен-тры данных, серверы баз данных), принадлежащие другой организации или предоставляемые другой организацией. В результате в предоставлении клиенту услуг облачных вычислений может участвовать один или более субпоставщиков. Клиент может не знать, какие из уровней в тот или иной момент времени задействованы в предоставлении услуг, что затрудняет идентификацию и управление рисками. Многоуровневые услуги облачных вычислений особенно характерны для ОкУ.

Обособленность: зависимость клиента от отдельного поставщика из-за высоких издержек, связанных с переходом к другому поставщику. Издержки в этом контексте следует понимать в самом широком смысле как охватывающие не только финансовые затраты, но также и усилия, время и другие смежные аспекты.

Переносимость: возможность переноса данных, прикладных программ и другого контента из одной системы в другую без каких-либо затруднений (т.е. без значительных затрат, с минимальными неудобствами и без необходимости повторного введения данных, перестройки процессов или перепрограммирования приложений). Это достижимо в том случае, если данные можно извлечь в формате, приемлемом для другой системы, или в результате простого и прямого преобразования с использованием общедоступных средств. В соглашении об уровне обслуживания (СУО) могут быть указаны параметры производительности, касающиеся переносимости, например, что данные клиента могут быть извлечены клиентом через единую ссылку для загрузки или интерфейсы прикладных программ (ППИ); или что формат данных имеет структуру и описание, позволяющие клиенту использовать его повторно или, по желанию, преобразовать его в другой формат данных.

•    На главную страницу
•    К другим преддоговорным аспектам
•    К договорным аспектам
•    К другим терминам в Глоссарии