С момента публикации 187-ФЗ идут споры об отнесении центров обработки данных (далее - ЦОД) к объектам КИИ. И если ЦОД это ОКИИ, то какого типа (ИС/АСУ/ИТКС)? Единой позиции не сформировано до настоящего момента. Подведем итоги за прошедшие три года.
name='more'>
Основная проблема - отсутствие четкого определения "Центр обработки данных" в законодательстве страны.
Распоряжение Правительства РФ от 07.10.2015 № 1995-р
"Об утверждении Концепции перевода обработки и хранения государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных" (утратило силу - август 2019 года))
"центр обработки данных - здание или часть здания, предназначенные для размещения технических и технологических средств, обеспечивающих обработку данных"
Приказ Минкомсвязи России от 30.04.2019 № 178
"Об утверждении методик расчета целевых показателей национальной программы "Цифровая экономика Российской Федерации"
"Центр обработки данных <1> (ЦОД, дата-центр) - специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным. ЦОД является комплексным объектом информатизации, в котором могут размещаться как государственные, так и сторонние (коммерческие) ИТ-инфраструктуры автоматизированных и информационных систем различного назначения.
Коммерческий ЦОД <2> - это выделенный в отдельное юридическое лицо центр обработки данных, нацеленный на получение прибыли от продажи услуг физическим и юридическим лицам."
Структура или группа структур, предназначенных для централизованного размещения, организации взаимодействия и эксплуатации ИТ-систем, сетевого и телекоммуникационного оборудования, обеспечивающих возможность оказания услуг в области хранения, обработки и передачи данных, а также все объекты и инфраструктуры, используемые для распределения электроэнергии и контроля среды в сочетании со средствами обеспечения требуемой устойчивости и безопасности для достижения желаемого уровня доступности оказываемых услуг.
Примечание. Структура может состоять из нескольких зданий и (или) зон, выполняющих вспомогательные функции для поддержки основной.
ГОСТ Р 58811-2020. "Национальный стандарт Российской Федерации. Центры обработки данных. Инженерная инфраструктура. Стадии создания"(утв. и введен в действие Приказом Росстандарта от 19.02.2020 N 67-ст)
информационно-технологическая инфраструктура центра обработки данных; ИТ-инфраструктура; инфраструктура ИТ ЦОД: Совокупность комплексов аппаратных, программных и телекоммуникационных средств автоматизированных информационных систем, размещенных в центре обработки данных и обеспечивающих предоставление информационных, вычислительных и телекоммуникационных ресурсов, возможностей и услуг потребителям.
центр обработки данных; ЦОД: Специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным.
Еще один ГОСТ очень хорошо показывает,что ЦОД не может быть объектом КИИ.
ЦОД - это огромное количество инженерных систем, капитальных сооружений и т.д!
"ГОСТ Р 58812-2020. Национальный стандарт Российской Федерации. Центры обработки данных. Инженерная инфраструктура. Операционная модель эксплуатации. Спецификация"
в состав центра обработки данных, содержит:
здания и сооружения:
- технологическая зона,
- административно-бытовой корпус,
- автомобильный контрольно-пропускной пункт,
- контрольно-пропускной пункт,
- здание электростанции/электроподстанции,
- здание станции водоснабжения и канализации,
- ограждения территории объекта;
инженерно-технические системы:
- система электроснабжения,
- холодоснабжения,
- отопления, вентиляции и кондиционирования воздуха,
- пожарной сигнализации,
- раннего обнаружения пожара,
- газового пожаротушения,
- структурированная кабельная система,
- система кабеленесущих конструкций,
- водоснабжения,
- водоотведения,
- охранно-тревожная сигнализация,
- система контроля доступа,
- видеонаблюдения,
- охранного телевидения,
- видеоконференцсвязи,
- телефонной связи,
- регистрации переговоров,
- голосового оповещения,
- радиосвязи,
- электрочасофикации,
- сбора и отображения информации,
- автоматизированная система диспетчеризации и управления;
инженерные сети:
- электрические сети,
- водопровод и канализация,
- тепловые сети,
- газовые сети.
То есть, по этому ГОСТ, к информационно-технологической инфраструктуре ЦОД не относятся АСУ диспетчера или СКУД.
А что показывает опыт защиты информации в рамках 149-ФЗ? Может там есть ответы на вопрос по отнесению ЦОД к ОКИИ? Может ЦОД это ИС или ИТКС?
Распоряжение Правительства РФ от 28.08.2019 № 1911-р
"Об утверждении Концепции создания государственной единой облачной платформы"
Объекты инфраструктуры, входящие в государственную единую облачную платформу, должны быть сертифицированы на соответствие требованиям, предъявляемым к уровню предоставления услуг центрами обработки данных, требованиям к инфраструктуре центров обработки данных, аттестованы по требованиям информационной безопасности, а также должны отвечать следующим ключевым требованиям:
обеспечение полного соответствия нормативным требованиям в области безопасности информации, в том числе на объектах информатизации;
аттестация объектов информатизации по требованиям безопасности информации по классу не ниже чем класс защиты размещаемых государственных информационных систем, систем обработки персональных данных, а также исходя из критериев значимости объектов критической информационной инфраструктуры;
к наличию необходимых лицензий для оказания услуг, в том числе Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю;
к подтверждению выполнения требований к защите информации (наличие аттестатов соответствия требованиям безопасности информации на информационно-телекоммуникационную инфраструктуру центров обработки данных поставщиков услуг).
17 приказ ФСТЭК
"Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, <1> не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных."
Проект Методики ФСТЭК по моделированию угроз (2020 год)
Угрозы безопасности информации, актуальные для арендуемых
компонентов информационно-телекоммуникационной инфраструктуры центра
обработки данных или облачной инфраструктуры, определяются поставщиком
услуг в модели угроз безопасности информации информационнотелекоммуникационной инфраструктуры центра обработки данных (облачной
инфраструктуры). Указанная модель угроз безопасности информации
предоставляется оператору для использования в ходе моделирования угроз
безопасности информации в принадлежащих ему системах и сетях.
Поставщик услуг информационно-телекоммуникационной инфраструктуры
центра обработки данных или облачной инфраструктуры информирует оператора
об изменении угроз безопасности информации в его информационнотелекоммуникационной инфраструктуре.
Если поставщик услуг не определил угрозы безопасности информации для
информационно-телекоммуникационной инфраструктуры центра обработки
данных (облачной инфраструктуры), размещение на базе такой инфраструктуры
систем и сетей не рекомендуется.
Видим, что ФСТЭК оперирует понятием информационно-телекоммуникационная инфраструктура ЦОД. Именно она подлежит защите и аттестации.
Напомню, что в 187-ФЗ не упоминается ни "информационно-технологическая инфраструктура", ни "информационно-телекоммуникационная инфраструктура". В 187-ФЗ используют определение из 149-ФЗ "информационно-телекоммуникационные сети"
"информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;".
Что такое информационно-телекоммуникационная инфраструктура?
Нашел только определение для компонентов ИТКИ
Постановление Правительства РФ от 24.05.2010 № 365 (ред. от 02.02.2019)
"О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов"
"компоненты информационно-телекоммуникационной инфраструктуры" - совместно используемые информационными системами программно-технические комплексы и средства, выполняющие общие технологические функции и обеспечивающие основу функционирования указанных информационных систем, в том числе обеспечивающие их информационно-технологическое взаимодействие;"
А Минкомсвязь оперирует другим понятием "Информационно-коммуникационная инфраструктура" https://digital.gov.ru/ru/documents/3464/
Выводы:
1. ЦОД в первую очередь инженерная инфраструктура и капитальные строения, организация машзала. В этом его главное отличие от "серверной". На ЦОДы хорошо ложилось законодательство о КВО с КСИИ. Но мы пошли другим путем.
2. В составе ЦОД могут быть ОКИИ, а могут и не быть. Владелец ЦОД не становится автоматом субъектом КИИ за это.
3. Действующие требования к ФСТЭК к объекту аттестации в ЦОДе не позволяют отнести ИТКИ ЦОД к объектам КИИ. Аттестация ИТКИ ЦОД проводится ДО размещения ИС Заказчика. На момент аттестации в ИТКИ ЦОД отсутствует главное - информация (это не ИС/АСУ/ИТКС в 13 сферах КИИ). С учетом разных моделей оказания услуг ЦОД, у нас зоопарк с определением этого объекта информатизации. С "облаками" вообще беда при таком подходе. И касается это не только КИИ, но и ГИС.
4. Про отнесение ЦОД к ОКИИ через "организацию взаимодействия" отмечу, что это основание дано в определении СУБЪЕКТ КИИ, а не объект. Владелец ЦОД не подписывается под оказанием услуг по обеспечению взаимодействия ОКИИ Заказчика. Общие проблемы с этим "взаимодействием" описывал ранее - https://valerykomarov.blogspot.com/2019/07/blog-post_16.html
5. От размещения в ЦОД объектов КИИ Заказчика ничего в статусе ЦОДа не меняется. Да, ИТКИ ЦОД вошла в состав ОКИИ Заказчика. Если это ЗОКИИ, то Заказчик может предъявить требования о выполнении части из 235/239 приказов ФСТЭК и части приказов ФСБ. Владелец ЦОД может согласится,а может и отказаться (как Яндекс). Это проблема на стороне субъекта КИИ, а не владельца ЦОД.
6. Часть владельцев ЦОД станет субъектами КИИ через операторские лицензии в сфере связи. Но объектами КИИ у них будет совсем не инфраструктура на которой размещают ОКИИ Заказчика. Вполне может оказаться, что выстроенная юридическая структура ЦОД вообще разделит ИТКИ ЦОД между несколькими юрлицами.
7. 187-ФЗ требуется доработок. За три года уже достаточно вскрыто недостатков в понятийном аппарате и логике законодательства.Дальнейшее развитие облачных технологий, особенно с государственным участием ("гособлако") требует однозначных трактовок и определений объектов защиты, соответствующих современным технологиям.
P.S. Если от вас требуют отнести ваш ЦОД к ОКИИ, то всегда уточняйте следующие моменты:
1. К какому типу ОКИИ следует отнести ЦОД? В 187-ФЗ всего три типа - ИС/АСУ/ИТКС.
2. В какой сфере функционирует ЦОД как выбранный тип ОКИИ?
3. Где границы ЦОД как объекта КИИ?
И это не от вредности. Не имея ответов на эти вопросы, вы не сможете выполнить 187-ФЗ.
Если вы получили четкие и аргументированные ответы, то -да, ваш ЦОД -это объект КИИ в заданных границах.
** Все новости блога на публичном Telegram-канале t.me/ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
*** YouTube - канал блога
**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1
***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite
