Вчера в Фейсбуке прошла небольшая дискуссия на тему, является ли облачный провайдер субъектом КИИ, если он обрабатывает данные или хостит системы субъекта КИИ? Вопрос не праздный, так как сегодня многие организации с целью фокусировки на своем основном бизнесе отдают часть своей инфраструктуры или данных внешним провайдерам. А они в свою очередь должны соблюдать требования действующего законодательства. С выполнением ФЗ-152 проблем я не вижу - оператором ПДн является любая организация, обрабатывающая ПДн и устанавливающая цели и задачи обработки. Обработчик ПДн не должен выполнять некоторых обязанностей, присущих оператору, но, например, обеспечивать защиту должен в любом случае. С ФЗ-187 ситуация иная - понятие субъекта очень размытое и не всегда понятно, кто же под него попадает. Вот и давайте попробуем разобраться с этим применительно к облачным провайдерам и субъектам КИИ.
Самая простая ситуация, когда облачный провайдер является одновременно оператором связи. Тогда он просто по определению из ФЗ-187 становится субъектом КИИ и на него распространяются все или часть требований закона (в зависимости от наличия значимых объектов). А вот что делать, например, с облачным провайдером, не имеющим лицензии в области связи, но которому какая-либо финансовая организация, являющаяся субъектом КИИ, доверила обработку каких-либо данных?
Как мне кажется (это мое оценочное суждение) надо внимательно посмотреть определение субъекта КИИ. В рассматриваемом варианте с банком и облаком это юрлицо, которому на праве собственности, аренды или на ином законном основании принадлежит информационная система, функционирующая в банковской сфере. Принадлежит ли банку облачная ИС на праве аренды? В зависимости от модели (IaaS, PaaS или SaaS) да. А есть ли у облачного провайдера ИС, функционирующая в банковской сфере? А вот тут надо смотреть более внимательно. В случае с моделями IaaS и PaaS, я думаю, что нет. А вот в случае с SaaS надо изучать уже функционал конкретной системы. Хотя как мне кажется, даже этот случай не попадает под определение в законе. Иначе придется признать, что разработчик АБС или MS Word, проданного в банк, тоже является субъектом КИИ, а это нонсенс. Мне можно возразить, что в отличие от разработчика АБС, который выпускает только ПО, у облачного провайдера еще и данные обрабатываются. Верно, но ФЗ-187 никак не связан с охраняемой законом информацией. Объектом КИИ является только информационная система, АСУ или сеть связи. Иными словами, получается, что облачный провайдер не является субъектом КИИ, если у него нет лицензии или он не обеспечивает взаимодействие разных систем субъектов КИИ.
Значит ли то, что облачный провайдер - не субъект КИИ, что он не должен выполнять требования к субъектам КИИ? А вот это правильный вопрос. Если банк передает часть своих данных в облако, то это не снимает с него обязанности обеспечить защиту этих данных по требованиям 382-П, 21-го приказа ФСТЭК или ФЗ-187. Это обязанность, от которой нельзя отказаться и нельзя ни на кого переложить - ответственность за нарушение все равно ляжет на банк. Вспомните ФЗ-152. Вы могли привлечь сколь угодно много обработчиков ПДн, но ответственность за утечку ПДн лежала все равно на вас, а не на них. То есть субсидиарная ответственность в данном случае отсутствует и привлечь обработчика ПДн к ответственности можно только, если в договоре с ним прописаны требования, нарушение которых и привело к утечке и данный факт был доказан.
Аналогичная ситуация и с ФЗ-187. Субъект КИИ для облегчения свой жизни может привлекать кого угодно, но ответственность за нарушение ФЗ-187 все равно лежит на нем. Чтобы соблюсти все требования закона банк должен выставить соответствующие требования из подзаконных актов ФСТЭК (если у него есть значимые объекты) облачному провайдеру в рамках договора (если провайдер согласится). И тогда облачный провайдер должен будет соблюдать все требования ФСТЭК, но не потому, что он субъект КИИ, а потому что так написано в договоре между ним и банком.
Отдельно хочется остановиться на вопросе с присоединением облачного провайдера, выполняющего работы для банка, к ГосСОПКЕ. Эта тема вскользь была поднята во время выступления на Уральском форуме Алексея Новикова из Positive Technologies, рассказывающего о расследовании инцидентов в облачной инфраструктуре. Я ему задал вопрос, как он считает, как выполнить требование об отправке данных об инцидентах, произошедших в инфраструктуре облачного провайдера, работающего по договору с банком? К сожалению, он не смог сходу предложить пути решения этой непростой задачи. Я их тоже не вижу. Ответственность за отправку данных лежат на банке, как субъекте КИИ. Требования ФСБ (пока проекты) не подразумевают делегирования этой функции никому, кроме ведомственного или корпоративного центра ГосСОПКИ. Получается, что облачный провайдер должен направлять данные об инцидентах обратно банку, а он уже отправляет их в ГосСОПКУ. Да, это можно полностью автоматизировать, но все равно, цепочка получается непростая.
Вот такие рассуждения получились. Не претендую на истину в последней инстанции; допускаю, что у других специалистов может быть иное мнение. Но возможно какие-то идеи в этой заметке будут полезны. Ну и не забываем, что можно направить свои вопросы ФСТЭК. Хотя законодатели исключили из полномочий ФСТЭК право трактовать ФЗ-187, я думаю, ФСТЭК все равно будет получать множество вопросов о том, кто относится к субъектам КИИ и они будут высказывать свою позицию по данному вопросу.
А если все-таки регулятор решит, что облачный провайдер, работающий с субъектом КИИ, тоже субъект КИИ? Ну тогда мы попадем в ад, когда такими субъектами КИИ будут признаны аутсорсинговые Call Center, ЧОПы, кейтеринговые и клининговые компании, бизнес-центры, фитнесс-центры и т.п. организации, обслуживающие субъектов КИИ и предоставляющие им доступ к своим ИС.
Самая простая ситуация, когда облачный провайдер является одновременно оператором связи. Тогда он просто по определению из ФЗ-187 становится субъектом КИИ и на него распространяются все или часть требований закона (в зависимости от наличия значимых объектов). А вот что делать, например, с облачным провайдером, не имеющим лицензии в области связи, но которому какая-либо финансовая организация, являющаяся субъектом КИИ, доверила обработку каких-либо данных?
Как мне кажется (это мое оценочное суждение) надо внимательно посмотреть определение субъекта КИИ. В рассматриваемом варианте с банком и облаком это юрлицо, которому на праве собственности, аренды или на ином законном основании принадлежит информационная система, функционирующая в банковской сфере. Принадлежит ли банку облачная ИС на праве аренды? В зависимости от модели (IaaS, PaaS или SaaS) да. А есть ли у облачного провайдера ИС, функционирующая в банковской сфере? А вот тут надо смотреть более внимательно. В случае с моделями IaaS и PaaS, я думаю, что нет. А вот в случае с SaaS надо изучать уже функционал конкретной системы. Хотя как мне кажется, даже этот случай не попадает под определение в законе. Иначе придется признать, что разработчик АБС или MS Word, проданного в банк, тоже является субъектом КИИ, а это нонсенс. Мне можно возразить, что в отличие от разработчика АБС, который выпускает только ПО, у облачного провайдера еще и данные обрабатываются. Верно, но ФЗ-187 никак не связан с охраняемой законом информацией. Объектом КИИ является только информационная система, АСУ или сеть связи. Иными словами, получается, что облачный провайдер не является субъектом КИИ, если у него нет лицензии или он не обеспечивает взаимодействие разных систем субъектов КИИ.
Значит ли то, что облачный провайдер - не субъект КИИ, что он не должен выполнять требования к субъектам КИИ? А вот это правильный вопрос. Если банк передает часть своих данных в облако, то это не снимает с него обязанности обеспечить защиту этих данных по требованиям 382-П, 21-го приказа ФСТЭК или ФЗ-187. Это обязанность, от которой нельзя отказаться и нельзя ни на кого переложить - ответственность за нарушение все равно ляжет на банк. Вспомните ФЗ-152. Вы могли привлечь сколь угодно много обработчиков ПДн, но ответственность за утечку ПДн лежала все равно на вас, а не на них. То есть субсидиарная ответственность в данном случае отсутствует и привлечь обработчика ПДн к ответственности можно только, если в договоре с ним прописаны требования, нарушение которых и привело к утечке и данный факт был доказан.
Аналогичная ситуация и с ФЗ-187. Субъект КИИ для облегчения свой жизни может привлекать кого угодно, но ответственность за нарушение ФЗ-187 все равно лежит на нем. Чтобы соблюсти все требования закона банк должен выставить соответствующие требования из подзаконных актов ФСТЭК (если у него есть значимые объекты) облачному провайдеру в рамках договора (если провайдер согласится). И тогда облачный провайдер должен будет соблюдать все требования ФСТЭК, но не потому, что он субъект КИИ, а потому что так написано в договоре между ним и банком.
Отдельно хочется остановиться на вопросе с присоединением облачного провайдера, выполняющего работы для банка, к ГосСОПКЕ. Эта тема вскользь была поднята во время выступления на Уральском форуме Алексея Новикова из Positive Technologies, рассказывающего о расследовании инцидентов в облачной инфраструктуре. Я ему задал вопрос, как он считает, как выполнить требование об отправке данных об инцидентах, произошедших в инфраструктуре облачного провайдера, работающего по договору с банком? К сожалению, он не смог сходу предложить пути решения этой непростой задачи. Я их тоже не вижу. Ответственность за отправку данных лежат на банке, как субъекте КИИ. Требования ФСБ (пока проекты) не подразумевают делегирования этой функции никому, кроме ведомственного или корпоративного центра ГосСОПКИ. Получается, что облачный провайдер должен направлять данные об инцидентах обратно банку, а он уже отправляет их в ГосСОПКУ. Да, это можно полностью автоматизировать, но все равно, цепочка получается непростая.
Вот такие рассуждения получились. Не претендую на истину в последней инстанции; допускаю, что у других специалистов может быть иное мнение. Но возможно какие-то идеи в этой заметке будут полезны. Ну и не забываем, что можно направить свои вопросы ФСТЭК. Хотя законодатели исключили из полномочий ФСТЭК право трактовать ФЗ-187, я думаю, ФСТЭК все равно будет получать множество вопросов о том, кто относится к субъектам КИИ и они будут высказывать свою позицию по данному вопросу.
А если все-таки регулятор решит, что облачный провайдер, работающий с субъектом КИИ, тоже субъект КИИ? Ну тогда мы попадем в ад, когда такими субъектами КИИ будут признаны аутсорсинговые Call Center, ЧОПы, кейтеринговые и клининговые компании, бизнес-центры, фитнесс-центры и т.п. организации, обслуживающие субъектов КИИ и предоставляющие им доступ к своим ИС.