Минкомсвязи опубликовал для общественного обсуждения законопроект “О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений”, задача которого урегулировать вопросы предоставления облачных услуг для органов государственной власти, органов местного самоуправления и органов управления государственными внебюджетными фондами.
И хотя законопроект распространяется и на организации других форм собственности, основные требования коснулись именно государственных и муниципальных учреждений, который после принятия законопроекта будут обязаны выбирать в качестве поставщика облачных услуг не любую организацию с удовлетворяющими условиями оказания услуг, а только ту, которая выполняет установленные государством требования, которые выполнить смогут не все.
В частности от провайдера облачных услуг требуется наличие двух лицензий в области обеспечения информационной безопасности – от ФСТЭК России и ФСБ России, а также наличие аттестата по требованиям безопасности на облачную инфраструктуру. При этом средства защиты информации обязаны иметь сертификаты соответствия ФСТЭК по требованиям безопасности (ФСБ не упомянута). Учитывая распределенный характер современных облачных архитектур и использование зачастую зарубежных площадок (например, Amazon AWS или Microsoft Azure), предлагаемый законопроект ставит крест не только на возможности предоставления западными облачными провайдерами (Microsoft, Google и т.п.) своих услуг российским госорганам и органам местного самоуправления, но и многие российские облачные провайдеры не смогут выполнить требования проекта закона, т.к. либо изначально хостят свои SaaS-инфраструктуры за рубежом, либо держат там резервную площадку.
Собственно, ничего нового в данном законопроекте нет. Он по сути разжевывает облачным провайдерам то, что и так было написано в том же 149-м ФЗ. Но я уже не раз писал, что у нас поставщики облачных услуг витают где-то в облаках и не считают, что требования по ИБ на них распространяются. Законопроект раскладывает все по полочкам. Предлагаешь услуги по защите? Получи лицензию. Используешь средства защиты информации? Сертифицируй их. Хранишь информациб, владельцем которой является государство? Аттестуй инфраструктуру. Требования, известные по 17-му приказу, СТР-К, ФЗ-149 и куче других нормативных актов, большинству из которых уже скоро 10 лет будет.
Тем самым регулятор продолжает взятый недавно курс на обеспечение национальной безопасности и цифрового суверенитета Российской Федерации, и фактически запрещает хранить и обрабатывать информацию, владельцем которой является государство, за пределами Российской Федерации. Если раньше в ГД был внесен законопроект о запрете хостинга государевых сайтов за пределами РФ, то теперь и облака могут быть только на нашей территории.
ЗЫ. Для облачных провайдеров, ориентированных на коммерческих заказчиков, ситуация с точки зрения ИБ не сильно отличается от текущей.
И хотя законопроект распространяется и на организации других форм собственности, основные требования коснулись именно государственных и муниципальных учреждений, который после принятия законопроекта будут обязаны выбирать в качестве поставщика облачных услуг не любую организацию с удовлетворяющими условиями оказания услуг, а только ту, которая выполняет установленные государством требования, которые выполнить смогут не все.
В частности от провайдера облачных услуг требуется наличие двух лицензий в области обеспечения информационной безопасности – от ФСТЭК России и ФСБ России, а также наличие аттестата по требованиям безопасности на облачную инфраструктуру. При этом средства защиты информации обязаны иметь сертификаты соответствия ФСТЭК по требованиям безопасности (ФСБ не упомянута). Учитывая распределенный характер современных облачных архитектур и использование зачастую зарубежных площадок (например, Amazon AWS или Microsoft Azure), предлагаемый законопроект ставит крест не только на возможности предоставления западными облачными провайдерами (Microsoft, Google и т.п.) своих услуг российским госорганам и органам местного самоуправления, но и многие российские облачные провайдеры не смогут выполнить требования проекта закона, т.к. либо изначально хостят свои SaaS-инфраструктуры за рубежом, либо держат там резервную площадку.
Собственно, ничего нового в данном законопроекте нет. Он по сути разжевывает облачным провайдерам то, что и так было написано в том же 149-м ФЗ. Но я уже не раз писал, что у нас поставщики облачных услуг витают где-то в облаках и не считают, что требования по ИБ на них распространяются. Законопроект раскладывает все по полочкам. Предлагаешь услуги по защите? Получи лицензию. Используешь средства защиты информации? Сертифицируй их. Хранишь информациб, владельцем которой является государство? Аттестуй инфраструктуру. Требования, известные по 17-му приказу, СТР-К, ФЗ-149 и куче других нормативных актов, большинству из которых уже скоро 10 лет будет.
Тем самым регулятор продолжает взятый недавно курс на обеспечение национальной безопасности и цифрового суверенитета Российской Федерации, и фактически запрещает хранить и обрабатывать информацию, владельцем которой является государство, за пределами Российской Федерации. Если раньше в ГД был внесен законопроект о запрете хостинга государевых сайтов за пределами РФ, то теперь и облака могут быть только на нашей территории.
ЗЫ. Для облачных провайдеров, ориентированных на коммерческих заказчиков, ситуация с точки зрения ИБ не сильно отличается от текущей.