понедельник, 20 июля 2020 г.

ЦОД как объект КИИ v.2


 По личному разгильдяйству техническим причинам была удалена из блога заметка про ЦОД. С учетом итогов ее активного обсуждения, подготовил обновленную версию. С момента публикации 187-ФЗ идут споры об отнесении центров обработки данных (далее - ЦОД) к объектам КИИ. И если ЦОД это ОКИИ, то какого типа (ИС/АСУ/ИТКС)? Единой позиции не сформировано до настоящего момента. Подведем итоги за прошедшие три года.


     Основная проблема - отсутствие четкого определения "Центр обработки данных" в законодательстве страны.

   Распоряжение Правительства РФ от 24.04.2007 № 516-р "О Концепции создания государственной автоматизированной системы информационного обеспечения управления приоритетными национальными проектами"
"центр обработки данных - информационно-технологический и программно-технический комплекс, обеспечивающий автоматизацию процедур формирования, ведения, хранения и оперативного представления различным группам пользователей полной и достоверной информации, содержащейся в системе"

    Распоряжение Правительства РФ от 07.10.2015 № 1995-р
"Об утверждении Концепции перевода обработки и хранения государственных информационных ресурсов, не содержащих сведения, составляющие государственную тайну, в систему федеральных и региональных центров обработки данных" (утратило силу - август 2019 года))
"центр обработки данных - здание или часть здания, предназначенные для размещения технических и технологических средств, обеспечивающих обработку данных"

    Приказ Минкомсвязи России от 30.04.2019 № 178
"Об утверждении методик расчета целевых показателей национальной программы "Цифровая экономика Российской Федерации"
"Центр обработки данных <1> (ЦОД, дата-центр) - специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным. ЦОД является комплексным объектом информатизации, в котором могут размещаться как государственные, так и сторонние (коммерческие) ИТ-инфраструктуры автоматизированных и информационных систем различного назначения. 
Коммерческий ЦОД <2> - это выделенный в отдельное юридическое лицо центр обработки данных, нацеленный на получение прибыли от продажи услуг физическим и юридическим лицам."

      ГОСТ Р ИСО/МЭК 30134-1-2018 «Информационные технологии. Центры обработки данных. Ключевые показатели эффективности. Часть 1. Основные положения и общие требования» приведено следующее определение центра обработки данных:
       Структура или группа структур, предназначенных для централизованного размещения, организации взаимодействия и эксплуатации ИТ-систем, сетевого и телекоммуникационного оборудования, обеспечивающих возможность оказания услуг в области хранения, обработки и передачи данных, а также все объекты и инфраструктуры, используемые для распределения электроэнергии и контроля среды в сочетании со средствами обеспечения требуемой устойчивости и безопасности для достижения желаемого уровня доступности оказываемых услуг.
Примечание. Структура может состоять из нескольких зданий и (или) зон, выполняющих вспомогательные функции для поддержки основной.
    ГОСТ Р 58811-2020. "Национальный стандарт Российской Федерации. Центры обработки данных. Инженерная инфраструктура. Стадии создания"
(утв. и введен в действие Приказом Росстандарта от 19.02.2020 N 67-ст)
информационно-технологическая инфраструктура центра обработки данных; ИТ-инфраструктура; инфраструктура ИТ ЦОД: Совокупность комплексов аппаратных, программных и телекоммуникационных средств автоматизированных информационных систем, размещенных в центре обработки данных и обеспечивающих предоставление информационных, вычислительных и телекоммуникационных ресурсов, возможностей и услуг потребителям.

центр обработки данных; ЦОД: Специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным.

   Еще один ГОСТ очень хорошо показывает,что ЦОД не может быть объектом КИИ.
ЦОД - это огромное количество инженерных систем, капитальных сооружений и т.д!

"ГОСТ Р 58812-2020. Национальный стандарт Российской Федерации. Центры обработки данных. Инженерная инфраструктура. Операционная модель эксплуатации. Спецификация"
в состав центра обработки данных, содержит:
здания и сооружения:
- технологическая зона,
- административно-бытовой корпус,
- автомобильный контрольно-пропускной пункт,
- контрольно-пропускной пункт,
- здание электростанции/электроподстанции,
- здание станции водоснабжения и канализации,
- ограждения территории объекта;
инженерно-технические системы:
- система электроснабжения,
- холодоснабжения,
- отопления, вентиляции и кондиционирования воздуха,
- пожарной сигнализации,
- раннего обнаружения пожара,
- газового пожаротушения,
- структурированная кабельная система,
- система кабеленесущих конструкций,
- водоснабжения,
- водоотведения,
- охранно-тревожная сигнализация,
- система контроля доступа,
- видеонаблюдения,
- охранного телевидения,
- видеоконференцсвязи,
- телефонной связи,
- регистрации переговоров,
- голосового оповещения,
- радиосвязи,
- электрочасофикации,
- сбора и отображения информации,
- автоматизированная система диспетчеризации и управления;
инженерные сети:
- электрические сети,
- водопровод и канализация,
- тепловые сети,
- газовые сети.
    То есть, по этому ГОСТ, к информационно-технологической инфраструктуре ЦОД не относятся АСУ диспетчера или СКУД.
   А что показывает опыт защиты информации в рамках 149-ФЗ? Может там есть ответы на вопрос по отнесению ЦОД к ОКИИ? Может ЦОД это ИС или ИТКС?
   Распоряжение Правительства РФ от 28.08.2019 № 1911-р
"Об утверждении Концепции создания государственной единой облачной платформы"
Объекты инфраструктуры, входящие в государственную единую облачную платформу, должны быть сертифицированы на соответствие требованиям, предъявляемым к уровню предоставления услуг центрами обработки данных, требованиям к инфраструктуре центров обработки данных, аттестованы по требованиям информационной безопасности, а также должны отвечать следующим ключевым требованиям:
обеспечение полного соответствия нормативным требованиям в области безопасности информации, в том числе на объектах информатизации;
аттестация объектов информатизации по требованиям безопасности информации по классу не ниже чем класс защиты размещаемых государственных информационных систем, систем обработки персональных данных, а также исходя из критериев значимости объектов критической информационной инфраструктуры;
к наличию необходимых лицензий для оказания услуг, в том числе Федеральной службы безопасности Российской Федерации и Федеральной службы по техническому и экспортному контролю;
к подтверждению выполнения требований к защите информации (наличие аттестатов соответствия требованиям безопасности информации на информационно-телекоммуникационную инфраструктуру центров обработки данных поставщиков услуг).

   17 приказ ФСТЭК
"Класс защищенности информационной системы, функционирование которой предполагается на базе информационно-телекоммуникационной инфраструктуры центра обработки данных, <1> не должен быть выше класса защищенности информационно-телекоммуникационной инфраструктуры центра обработки данных."
<1> Пункт 5.3 Методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры, утвержденных приказом Минкомсвязи России от 31 мая 2013 г. N 127 (зарегистрирован Минюстом России 5 ноября 2013 г., регистрационный N 30318), с учетом изменений, внесенных приказом Минкомсвязи России от 15 июня 2016 г. N 266 (зарегистрирован Минюстом России 14 июля 2016 г., регистрационный N 42853). (сноска введена Приказом ФСТЭК России от 28.05.2019 N 106)
   Приказ Министерства связи и массовых коммуникаций РФ от 31 мая 2013 г. N 127 "Об утверждении методических указаний по осуществлению учета информационных систем и компонентов информационно-телекоммуникационной инфраструктуры"
"5.3. Центр обработки данных (далее - ЦОД) - технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы)."
   Проект Методики ФСТЭК по моделированию угроз (2020 год)
  Угрозы безопасности информации, актуальные для арендуемых
компонентов информационно-телекоммуникационной инфраструктуры центра
обработки данных или облачной инфраструктуры, определяются поставщиком
услуг в модели угроз безопасности информации информационнотелекоммуникационной инфраструктуры центра обработки данных (облачной
инфраструктуры). Указанная модель угроз безопасности информации
предоставляется оператору для использования в ходе моделирования угроз
безопасности информации в принадлежащих ему системах и сетях.
   Поставщик услуг информационно-телекоммуникационной инфраструктуры
центра обработки данных или облачной инфраструктуры информирует оператора
об изменении угроз безопасности информации в его информационнотелекоммуникационной инфраструктуре.
   Если поставщик услуг не определил угрозы безопасности информации для
информационно-телекоммуникационной инфраструктуры центра обработки
данных (облачной инфраструктуры), размещение на базе такой инфраструктуры
систем и сетей не рекомендуется.

   Видим, что ФСТЭК оперирует понятием информационно-телекоммуникационная инфраструктура ЦОД. Именно она подлежит защите и аттестации.

   Напомню, что в 187-ФЗ не упоминается ни "информационно-технологическая инфраструктура", ни "информационно-телекоммуникационная инфраструктура". В 187-ФЗ используют определение из 149-ФЗ "информационно-телекоммуникационные сети"
"информационно-телекоммуникационная сеть - технологическая система, предназначенная для передачи по линиям связи информации, доступ к которой осуществляется с использованием средств вычислительной техники;".
    Что такое информационно-телекоммуникационная инфраструктура?
    Нашел только определение для компонентов ИТКИ

Постановление Правительства РФ от 24.05.2010 № 365 (ред. от 02.02.2019)
"О координации мероприятий по использованию информационно-коммуникационных технологий в деятельности государственных органов"
"компоненты информационно-телекоммуникационной инфраструктуры" - совместно используемые информационными системами программно-технические комплексы и средства, выполняющие общие технологические функции и обеспечивающие основу функционирования указанных информационных систем, в том числе обеспечивающие их информационно-технологическое взаимодействие;"

Постановление Правительства РФ от 26.06.2012 N 644 "О федеральной государственной информационной системе учета информационных систем, создаваемых и приобретаемых за счет средств федерального бюджета и бюджетов государственных внебюджетных фондов"
"компоненты информационно-телекоммуникационной инфраструктуры" - информационные технологии, технические и программные средства, информационно-телекоммуникационные сети, предназначенные как непосредственно для целей реализации полномочий государственных органов, так и для обеспечения функционирования информационных систем;

  А Минкомсвязь оперирует другим понятием "Информационно-коммуникационная инфраструктура" https://digital.gov.ru/ru/documents/3464/

   Выводы:

    1. ЦОД в первую очередь инженерная инфраструктура и капитальные строения, организация машзала. В этом его главное отличие от "серверной". На ЦОДы хорошо ложилось законодательство о КВО с КСИИ. Но мы пошли другим путем.
   2. В составе ЦОД могут быть ОКИИ, а могут и не быть. Владелец ЦОД не становится автоматом субъектом КИИ просто за владение ЦОД..
   3. Единственное официальное определение ЦОД в официальных документах ФСТЭК,  - технологически и территориально обособленные серверные комплексы, включая рабочие станции, предназначенные для обслуживающего персонала, и технологическое оборудование, обеспечивающие функционирование серверов (стойки, источники бесперебойного питания, коммутационное оборудование и кабельные системы). Это не очень похоже на опредление объектов КИИ.
   4. Про отнесение ЦОД к ОКИИ через "организацию взаимодействия" отмечу, что это основание дано в определении СУБЪЕКТ КИИ, а не объект. Владелец ЦОД не подписывается под оказанием услуг по обеспечению взаимодействия ОКИИ Заказчика. Общие проблемы с этим "взаимодействием" описывал ранее -  https://valerykomarov.blogspot.com/2019/07/blog-post_16.html
   5. От размещения в ЦОД объектов КИИ Заказчика ничего в статусе ЦОДа не меняется. Да, ИТКИ ЦОД вошла в состав ОКИИ Заказчика. Если это ЗОКИИ, то Заказчик может предъявить требования о выполнении части из 235/239 приказов ФСТЭК и части приказов ФСБ. Владелец ЦОД может согласится,а может и отказаться (как Яндекс). Это проблема на стороне субъекта КИИ, а не владельца ЦОД.
   6. Часть владельцев ЦОД станет субъектами КИИ через операторские лицензии в сфере связи. Но объектами КИИ у них будет совсем не инфраструктура на которой размещают ОКИИ Заказчика. Вполне может оказаться, что выстроенная юридическая структура ЦОД вообще разделит ИТКИ ЦОД между несколькими юрлицами.
   7. 187-ФЗ требуется доработок. За три года уже достаточно вскрыто недостатков в понятийном аппарате и логике законодательства.Дальнейшее развитие облачных технологий, особенно с государственным участием ("гособлако") требует однозначных трактовок и определений объектов защиты, соответствующих современным технологиям.
   8. Аналогия с 152-ФЗ не подходит (когда владелец ЦОД становится автоматически оператором ПДн Заказчика). Если в мою ИС попали ПДн из другой ИСПДн, то она сама становится ИСПДн. А в КИИ это не так. От того, что в мою ИС (не ОКИИ) попала информация из другого ОКИИ, она не становится ОКИИ.

P.S.  Если от вас требуют отнести ваш ЦОД к ОКИИ, то всегда уточняйте следующие моменты:
1. К какому типу ОКИИ следует отнести ЦОД? В 187-ФЗ всего три типа - ИС/АСУ/ИТКС.
2. В какой сфере функционирует ЦОД как выбранный тип ОКИИ?
3. Где границы ЦОД как объекта КИИ?
    И это не от вредности. Не имея ответов на эти вопросы, вы не сможете выполнить 187-ФЗ.
Если вы получили четкие и аргументированные ответы, то -да, ваш ЦОД -это объект КИИ в заданных границах.

* Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

*** YouTube - канал блога

**** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

***** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite

3 комментария:

  1. Обновил и дополнил заметку про отнесение ЦОД к объектам КИИ по результатам обсуждения. И в продолжение дискуссии еще вопрос для обсуждения. В ЦОД разместили ЗОКИИ, кроме 235/239 приказов ФСТЭК, Заказчик потребует от ЦОД выполнение приказов ФСБ по выявлению и реагированию на компьютерные инциденты на ЗОКИИ. Я вижу два варианта: ЦОД имеет собственное соглашение с НКЦКИ и ЦОД уведомляет Заказчика о КИ на инфраструктуре, задействованной для размещения ЗОКИИ Заказчика. У владельца ЦОД должна быть лицензия ФСТЭК на "в) услуги по мониторингу информационной безопасности средств и систем информатизации;" для размещения ЗОКИИ?

    ОтветитьУдалить
  2. Вопрос поставлен изначально неверно - вопрос равнозначен:"является ли завод ОКИИ?" Правильнее было бы спросить "а есть ли в составе центра обработки данных ИС, АСУ и ИТКС, которые могут являться ОКИИ?"
    А вообще это из разряда вредных советов "как достать гаишника". Зачастую гаишнику просто лень связываться...

    ОтветитьУдалить
    Ответы
    1. Именно определению границ ЦОД как потенциального ОКИИ и написана заметка. К сожалению, на практике встречаю даже не вопрос в такой провакационной форме, а утверждение.

      Удалить