Rambler's Top100
Статьи
Павел НОВОЖИЛОВ  27 июня 2018

Является ли субъектом КИИ облачный провайдер?

В настоящий момент четкие критерии отнесения организаций к субъектам КИИ в соответствии с ФЗ-187 отсутствуют. В ряде случаев помощь может оказать рассмотрение классификаторов деятельности ОКВЭД-2.

В соответствии с ФЗ-187 «О безопасности критической информационной инфраструктуры» к субъектам КИИ относятся организации из тринадцати отраслей экономики, в том числе из сферы связи. Последнее порождает много вопросов о том, можно ли относить к субъектам КИИ дата-центры облачных провайдеров. Основные типы таких организаций:

Павел Новожилов

-       облачные провайдеры, которые являются операторами связи;

-       облачные провайдеры, оказывающие услуги по схеме IaaS, PaaS, SaaS;

-       дата-центры, предоставляющие сервис сolocation.

Для того чтобы определить, является ли организация субъектом КИИ, нужно руководствоваться уставом, лицензиями на оказание услуг, а также классификатором деятельности ОКВЭД-2 (размещен на сайте http://оквэд-2.рф).

Облачный провайдер, являющийся оператором связи, к субъектам КИИ относится однозначно. В случае с операторами IaaS-, PaaS- и SaaS-услуг нужно обратить внимание на код ОКВЭД-2 63.11 «Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность», который входит в раздел «Деятельность в области информации и связи». Использование кода ОКВЭД-2 может быть основанием для отнесения облачного провайдера к субъектам КИИ. Дата-центры, ориентированные на сolocation-сервисы, могут быть операторами связи либо размещать у себя оборудование клиентов без предоставления дополнительных услуг – в первом случае они являются субъектами КИИ, во втором – нет.  

Однако такой подход нельзя назвать однозначно верным. В настоящий момент отсутствуют четкие критерии отнесения организаций к субъектам КИИ в соответствии с ФЗ-187: сам закон и подзаконные акты к нему появились не так давно, и правоприменительная практика еще не сформирована. В частности, проблемы возникают у организаций, деятельность которых находится на границе отраслей, описанных в ФЗ-187.

Пользуясь услугами провайдеров по схеме IaaS, PaaS, SaaS либо сервисом colocation, субъекты КИИ могут выдвигать требования по защите информации в соответствии с ФЗ-187 и подзаконными актами (например, ФСТЭК), которые включаются в договор с облачным провайдером или дата-центром.

Облачным провайдерам необходимо заранее обратить внимание на требования по обеспечению ИБ (в первую очередь, на приказы ФСТЭК № 235 от 21.12.2007  и № 239 от 25.12.2017), выполнение которых может потребовать дополнительных затрат, в том числе и временных (например, в случае размещения субъекта КИИ с самой высокой категорией значимости).

Павел Новожилов, ведущий консультант Центра информационной безопасности компании «Инфосистемы Джет»

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!