ГЛАВНАЯ ТЕМА

О проекте создания национальной системы классификации и сертификации ЦОД



МАТЕРИАЛЫ

Изменение законодательства РФ в 2017 году

В 2017 году был введен в действие ряд федеральных законов, устанавливающих требования к безопасности критической информационной инфраструктуры и вносящих изменения в Уголовный кодекс РФ в части ответственности за нарушение безопасности критической информационной инфраструктуры

Ответственность за нарушение безопасности критической информационной инфраструктуры Российской Федерации ложится как организации и должностные лица, оказывающие услуги государственным организациям, но и на должностных лиц госорганов.

В отсутствии в нормативно-технических документах Российской Федерации (технические регламенты, стандарты, своды правил и т.п.) четких требований и определений для построения систем центров обработки данных, исключающих или снижающих риски нарушения безопасности критической информационной инфраструктуры Российской Федерации, исполнение норм Федерального закона от 26 июля 2017 г. № 187-ФЗ “О безопасности критической информационной инфраструктуры Российской Федерации” представляется затруднительным.

 

Программа “Цифровая экономика Российской Федерации”,
направление “Информационная инфраструктура”

Для снижения рисков, описанных выше, в плане мероприятий по направлению “Информационная инфраструктура” программы “Цифровая экономика Российской Федерации” (утверждена Правительственной комиссией по использованию информационных технологий для улучшения качества жизни и условий ведения предпринимательской деятельности (протокол от 18 декабря 2017 г. № 2)) добавлены следующие мероприятия:

 

Раздел 04.02.013. Усовершенствовать техническое регулирование центров обработки данных в целях обеспечения устойчивости, безопасности и экономической эффективности их функционирования.

Мероприятие №04.02.013.001.001. Разработка отечественной модели классификации типов ЦОД (в том числе в зависимости от типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) с учетом требований по информационной безопасности (ответственные исполнители: федеральные органы – Минкомсвязь России, ФСБ России, ФСТЭК России, Банк России; организация исполнитель – Ассоциация участников отрасли ЦОД, ПАО “Ростелеком”)

Контрольные события: проект модели классификации типов ЦОД (в том числе в зависимости от типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) с учетом требований по информационной безопасности, утвержден решением Правления Ассоциации участников отрасли ЦОД.

Мероприятие №04.02.013.001.002. Согласование и утверждение модели классификации ЦОД (в том числе в зависимости типа хранимой и обрабатываемой информации и/или субъекта-владельца информации), а также требований по применению модели федеральными органами исполнительной власти и подведомственными учреждениями (ответственные исполнители: Минкомсвязь России).

Контрольные события: Распоряжение Правительства Российской Федерации об утверждении модели классификации ЦОД (в том числе в зависимости типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) и требований по ее применению федеральными органами исполнительной власти и подведомственными учреждениями.

 

Раздел 04.02.013.001. Установлены требования по классификации ЦОД, обеспечению устойчивости и безопасности их функционирования.

Мероприятие №04.02.013.002.001. Разработка проекта национального стандарта классификации ЦОД (в том числе в зависимости от типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) (ответственные исполнители: федеральные органы – Минкомсвязь России, Росстандарт, Россвязь; организация исполнитель – Организации, отобранные по конкурсу, или определенные актом Правительства Российской Федерации)

Контрольные события: Проект национального стандарта классификации ЦОД (в том числе в зависимости типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) подготовлен ответственным исполнителем и направлен в Минкомсвязь России.

Мероприятие №04.02.013.002.002. Разработка проектов требований, предъявляемых к уровню качества предоставляемых сервисов (SLA) ЦОД, и требований к инфраструктуре ЦОД, используемых федеральными органами исполнительной власти и подведомственными им учреждениями (ответственные исполнители: федеральные органы – Минкомсвязь России, Россвязь, ФСБ России, ФСТЭК России, Банк России; организация исполнитель – Ассоциация участников отрасли ЦОД, ПАО “Ростелеком”).

Контрольные события: Проекты требований, предъявляемых к уровню качества предоставляемых сервисов (SLA) ЦОД и требований к инфраструктуре ЦОД, используемых федеральными органами исполнительной власти и подведомственными учреждениями подготовлены ответственным исполнителем и направлены в Минкомсвязь России.

Мероприятие №04.02.013.002.003. Разработка проекта методики сертификации ЦОД, используемых федеральными органами исполнительной власти и подведомственными им учреждениями, на соответствие требованиям, разработанным в рамках мероприятия 04.02.013.002.002 (ответственные исполнители: федеральные органы – Россвязь, Минкомсвязь России, ФСБ России, ФСТЭК России, Банк России; организация исполнитель – Ассоциация участников отрасли ЦОД, ПАО “Ростелеком”).

Контрольные события: Проект методики сертификации ЦОД, используемых федеральными органами исполнительной власти и подведомственными учреждениями, на соответствие предъявляемым требованиям одобрен Подкомиссией по цифровой экономике (протокол).

Мероприятие №04.02.013.002.004. Согласование и утверждение проекта национального стандарта классификации ЦОД (в том числе в зависимости типа хранимой и обрабатываемой информации и/или субъекта-владельца информации) (ответственные исполнители: федеральные органы – Росстандарт, Минкомсвязь России, Россвязь).

Контрольные события: Приказ Росстандарта об утверждении национального стандарта классификации ЦОД (в том числе в зависимости типа хранимой и обрабатываемой информации и/или субъекта-владельца информации)

Мероприятие №04.02.013.002.005. Согласование и утверждение проектов нормативных правовых актов об использовании федеральными органами исполнительной власти и подведомственными им учреждениями услуг ЦОД, сертифицированных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов (SLA) ЦОД, и требованиям к инфраструктуре ЦОД, а также аттестованных по требованиям информационной безопасности (ответственные исполнители: федеральные органы – Минкомсвязь России, ФСБ России, ФСТЭК России, Банк России).

Контрольные события: Акт Правительства Российской Федерации, определяющий необходимость использования федеральными органами исполнительной власти и подведомственными им учреждениями услуг ЦОД, сертифицированных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов (SLA) ЦОД и требованиям к инфраструктуре ЦОД, а также аттестованных по требованиям информационной безопасности.

Мероприятие №04.02.013.002. Создана система сертификации ЦОД, способствующая обеспечению устойчивости, безопасности и экономической эффективности их функционирования.

Ожидаемые результаты:
1. Разработаны требования, предъявляемые к уровню качества предоставляемых сервисов (SLA) ЦОД, и требования к инфраструктуре ЦОД, используемых федеральными органами исполнительной власти и подведомственными им учреждениями.
2. Разработана методика сертификации ЦОД, используемых федеральными органами исполнительной власти и подведомственными им учреждениями, на соответствие утвержденным требованиям.
3. Утвержден национальный стандарт классификации ЦОД (в том числе в зависимости от типа хранимой и обрабатываемой информации и/или субъекта-владельца информации).
4. Необходимость использования федеральными органами исполнительной власти и подведомственными им учреждениями услуг ЦОД, сертифицированных на соответствие требованиям, предъявляемым к уровню качества предоставляемых сервисов (SLA) ЦОД и требованиям к инфраструктуре ЦОД, а также аттестованных по требованиям информационной безопасности, утверждена актом Правительства Российской Федерации.

* * *

В феврале 2018 года Ассоциация участников отрасли ЦОД организовала рабочую группу по разработке модели классификации ЦОД.

В июне 2018 года была подготовлена рабочая версия модели классификации ЦОД и направлена на изучение и комментирование заинтересованным организациям и ведомствам. В июле 2018 года модель классификации ЦОД версии 0.5 была утверждена Правлением Ассоциации.

В настоящий момент планируются мероприятия по разработке на базе подготовленной Ассоциацией участников отрасли ЦОД модели национального стандарта Российской Федерации по классификации центров обработки данных.