Rambler's Top100
Статьи
Андрис ВАЛАЙНИС  11 июля 2018

Безопасность КИИ и дата-центр. Что говорят законы

Если в дата-центре размещена критическая информационная инфраструктура, то он является субьектом КИИ. Это справедливо и для облачного провайдера.

Чтобы решить вопрос о принадлежности дата-центра к субъектам КИИ, следует обратиться к определениям, содержащихся в федеральных законах «О безопасности критической информационной инфраструктуры Российской Федерации» (№ 187-ФЗ) и «Об информации, информационных технологиях и о защите информации» (№ 149-ФЗ).

Пункт 8 ст. 2 закона 187-ФЗ устанавливает, что «субъекты критической информационной инфраструктуры – государственные органы, государственные учреждения, российские юридические лица и (или) индивидуальные предприниматели, которым на праве собственности, аренды или на ином законном основании принадлежат информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления, функционирующие в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, российские юридические лица и (или) индивидуальные предприниматели, которые обеспечивают взаимодействие указанных систем или сетей».

Пункт 7 ст. 2 закона 187-ФЗ гласит, что «объекты критической информационной инфраструктуры – информационные системы, информационно-телекоммуникационные сети, автоматизированные системы управления субъектов критической информационной инфраструктуры».

В свою очередь, пункт 3 ст. 2 закона 149-ФЗ определяет, что «информационная система – совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

Из приведенных выше определений следует, что дата-центр, которому на праве собственности, аренды или на ином законном основании принадлежат информационные технологии и технические средства, которые по отдельности или в совокупности с другими составными частями информационной системы могут быть задействованы при обработке баз данных и при условии того, что вся информационная система в целом задействована в сфере здравоохранения, науки, транспорта, связи, энергетики, банковской сфере и иных сферах финансового рынка, топливно-энергетического комплекса, в области атомной энергии, оборонной, ракетно-космической, горнодобывающей, металлургической и химической промышленности, будет являться субъектом критической информационной инфраструктуры (КИИ).

С точки зрения закона нет разницы в том, какие технологии -- облачные или другие – привлекаются для обеспечения работоспособности информационной системы, являющейся объектом КИИ. Закон не устанавливает исключений на этот счет. Поэтому, если в качестве информационной технологии, задействуемой для обеспечения работоспособности информационной системы, являющейся объектом критической информационной инфраструктуры, используется технология виртуализации, то на такую информационную систему действие федеральных законов № 187-ФЗ и № 149-ФЗ будет распространяться в полном объеме.

Андрис Валайнис, юрист, DEAC
Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!