Защищать ЦОД как ГИС. Инициатива ФСТЭК по изменению 149-ФЗ. Часть 2.

 

   Начало - https://valerykomarov.blogspot.com/2021/08/149.html

  Что же такое ЦОД и кто будет исполнителем проектных требований от ФСТЭК?

   Проблемы определения ЦОД в законодательстве разбирал ранее - https://valerykomarov.blogspot.com/2020/07/v2.html

   Законодатели приступили к решению задачи радикально – «В перспективе операторы ЦОД, которые в настоящее время вынужденно являются операторами связи, смогут отказаться от лицензий на оказание услуг связи и получить собственный код внешнеэкономической деятельности, введение которого планируется после вступления в силу законопроекта.»

   Проект в Госдуме «О внесении изменений в Федеральный закон «О связи» № 1195296-7 https://sozd.duma.gov.ru/bill/1195296-7

    Из пояснительной записки – «Как указывалось выше, ни центры обработки данных, ни операторы центров обработки данных в законодательстве не определены. Соответственно, исполнение Поручения невозможно до определения в законодательстве данных объектов правового регулирования.» (запомним этот момент, он делает бессмысленным проектные изменения в 149-ФЗ)

б) дополнить подпунктом 132 следующего содержания:

"132) оператор центра обработки данных - юридическое лицо, индивидуальный предприниматель, орган государственной власти или орган местного самоуправления, оказывающие услуги размещения в центре обработки данных оборудования, обеспечивающего обработку и (или) хранение данных, и (или) использующие принадлежащий им центр обработки данных для собственных нужд или обеспечения полномочий органов государственной власти, органов местного самоуправления;";

в) дополнить подпунктом 271 следующего содержания:

"271) центр обработки данных - сооружение связи с комплексом систем инженерно-технического обеспечения, спроектированное и используемое для размещения оборудования, обеспечивающего обработку и (или) хранение данных, и соответствующее утвержденной классификации;";

"Статья 461.      Обязанности оператора центра обработки данных

1. Оператор центра обработки данных, оказывающий услуги размещения в центре обработки данных оборудования, обеспечивающего обработку и (или) хранение данных, и (или) использующий принадлежащий ему центр обработки данных для обеспечения полномочий органов государственной власти, органов местного самоуправления, обязан предоставлять в электронной форме в федеральный орган исполнительной власти в области связи необходимую для реализации его полномочий информацию:

о местоположении центра обработки данных;

о технологической мощности центра обработки данных, в том числе неиспользуемой;

о параметрах электроснабжения центра обработки данных;

о способах и параметрах подключения центра обработки данных

к сети связи общего пользования;

о средней стоимости услуг размещения оборудования, обеспечивающего обработку и (или) хранение данных, в центре обработки данных;

о перспективах развития центра обработки данных на очередной год.

 Итоги:

1.        Обеспечение защиты государственного информационного ресурса, обрабатываемого вне ЦОД государственного органа, не решается предложенной законодательной инициативой ФСТЭК. Изменения в 149-ФЗ не разрабатывать.

2.       Необходимо скоординировать законодательные инициативы Правительства, Минцифры, ФСТЭК и ФСБ по регулированию деятельности оператора ЦОД, включая вопросы защиты информации.

3.       Целесообразно развивать законодательное выделение услуг ЦОД в отдельный вид экономической деятельности и дополнить законопроект «О внесении изменений в Федеральный закон «О связи» № 1195296-7 https://sozd.duma.gov.ru/bill/1195296-7 нормами об обязанности оператора ЦОД обеспечивать защиту информации, обрабатываемой в ЦОД по требованиям законодательства.

4.       Разработать требования по защите обрабатываемой в ЦОД информации, учитывающие специфику деятельности оператора ЦОД. ЦОД – это не ИС, а тем более не ГИС.

5.       Предусмотреть финансово-экономическое обеспечение выполнения требований законодательства по обеспечению защиты информации, обрабатываемой в ЦОД

* Раздел блога "Административная ответственность субъекта КИИ" на главной странице блога.

** Результаты анализа 187-ФЗ и рекомендации по его выполнению размещаются в разделе "ЧаВо по КИИ" на главной странице блога.

*** Все новости блога на публичном Telegram-канале  t.me/ruporsecurite

**** YouTube - канал блога

***** Яндекс.Дзен https://zen.yandex.ru/id/5c7b7864fa818600ae3856a1

****** Публичный ТамТам-канал https://tt.me/blog_ruporsecurite