Инфраструктура риска: как облака становятся частью КИИ

Март 2026 г. стал переломным в оценке рисков нарушения работы объектов информационной инфраструктуры: дата-центр глобального облачного провайдера впервые был поврежден в результате военного воздействия. После массированных иранских ударов по американским объектам в Персидском заливе загорелся ЦОД Amazon Web Services в ОАЭ. Атаки повредили две из трех зон доступности AWS в регионе, и отказоустойчивости ИТ-систем, рассчитанной на потерю одной зоны, оказалось недостаточно. Пострадали около 60 облачных сервисов, а один из крупнейших банков ОАЭ — Abu Dhabi Commercial Bank — сообщил о полной недоступности мобильного приложения и платформ. Инцидент зафиксировал новую реальность: облака стали полноценной частью критической инфраструктуры. И риски у них не только цифровые.

В мире облака активно используются государственными организациями, банками, промышленными и транспортными предприятиями, в здравоохранении и т.д. для размещения критической информационной инфраструктуры (КИИ), несмотря на требуемый для этих систем высокий уровень безопасности. Использование облачных инфраструктур имеет ряд очевидных преимуществ: быстрое развертывание без капитальных затрат, простоту масштабирования ресурсов, высокую отказоустойчивость. Крупные провайдеры инвестируют значительные средства в системы информационной безопасности и мониторинга, что позволяет повысить уровень защищенности по сравнению с локальной инфраструктурой многих организаций. Да и само ИТ-оборудование клиентам зачастую достать непросто, особенно в условиях санкций.

Но есть и недостатки, первый из которых — уменьшение прозрачности инфраструктуры для владельца информационной системы. Ему трудно контролировать операторов дата-центров, отвечающих за работоспособность инженерной инфраструктуры, и облачных провайдеров, предоставляющих физическую и виртуальную ИТ-инфраструктуру. При этом часть функций обеспечения безопасности клиент вынужден делегировать облачному провайдеру. 

Необходимо точное разграничение ответственности. Иначе в случае инцидента будет неясно, кто именно должен реагировать и устранять последствия.

Второй недостаток использования облаков — непропорциональное распределение ответственности. В приведенном выше примере причиной проблем стала недоступность облачных сервисов AWS, но ответственность гиперскейлера ограничивалась рамками соглашения об уровне сервиса (SLA) — компенсацией за недоступность услуг. В типовых договорах AWS — это максимум сумма, которую клиент заплатил за сервис за последний месяц использования. Причем он получит не «живые» деньги, а скидку на облачные услуги в будущем.

Такая компенсация вряд ли будет заметна на фоне бизнес-потерь банка, который юридически является поставщиком услуги и несет ответственность перед клиентами и регуляторами за доступность банковских сервисов. Банк обязан обеспечивать непрерывность бизнеса, в том числе за счет архитектурных решений и правильного выбора ЦОДов и облаков.

Помочь в правильном выборе могут системы сертификации — проверки отдельных компонентов на соответствие стандартам — и аттестации, которая оценивает защищенность системы в целом.

В разных юрисдикциях вопрос доверия к облакам решается по-разному, но логика везде схожая: инфраструктура должна быть проверяема.

В США ключевую роль играет сертификация. Программа FedRAMP формирует перечень доверенных облаков для государственных систем. Для отдельных отраслей действуют собственные стандарты — например, NERC CIP для энергетики или рекомендации FFIEC для банков. Облако должно доказать, что способно обеспечить выполнение отраслевых требований.

В Европе подход иной: директива NIS2 делает акцент на управлении рисками. Ответственность распространяется на всю цепочку поставщиков, включая облачных провайдеров и операторов дата-центров. Хотя при этом в ряде стран параллельно существует и система сертификации, без которой облачный провайдер может не попасть в сегмент высококритичных. Например, во Франции есть SecNumCloud (сертификация ANSSI), в Германии — C5 (Cloud Computing Compliance Controls Catalogue). Многие страны ЕС используют гибридный подход: сертификация плюс управление рисками. 

В Китае облака становятся частью государственной инфраструктуры — элементом цифрового суверенитета. Законы Cybersecurity Law и Data Security Law требуют обязательной локализации данных, сертификации платформ и использования национальных технологий. Рынок разделен на «государственные облака», управляемые государственными предприятиями (например, China Telecom, E Cloud), и коммерческие облака (Alibaba, Tencent), которые хотя и проходят сертификацию, имеют ограничения в доступе к чувствительным государственным данным.

В России подход ближе к европейскому — объект КИИ относится к категории значимых только в том случае, если нарушение его работы может привести к существенным негативным последствиям. То есть используется риск-ориентированный подход. При этом базовый закон — «О безопасности КИИ» от 26.07.2017 № 187-ФЗ — определяет, что защищать нужно не только данные, но и функционирование систем.

Ключевой инструмент защиты функционирования — аттестация. В отличие от сертификации, которая касается продукта, аттестация подтверждает защищенность конкретной информационной системы в ее текущей конфигурации. Это напрямую влияет на облака. Если в облаке размещается значимый объект КИИ (ЗОКИИ), сама инфраструктура должна соответствовать требованиям ФСТЭК. Причем не только ИТ-система, но и инженерная инфраструктура. 

Приказ ФСТЭК от 25.12.2017 № 239 «Об утверждении требований по обеспечению безопасности ЗОКИИ РФ» прямо говорит, что помещения, где размещается ИТ-оборудование (серверные, ЦОДы), необходимо защищать (в том числе от краж и физического вмешательства) и контролировать доступ в них. Есть требования и к обеспечению доступности систем: созданию условий для бесперебойной работы систем электропитания, кондиционирования, вентиляции, пожаротушения. Также должны быть реализованы меры по предотвращению воздействий на компоненты ИТ-системы через инженерные сети (например, электромагнитное воздействие, аварии в инженерных сетях). Если в облаке планируется размещать ЗОКИИ, то соответствующие требования, например, по физическому доступу к инфраструктуре, предъявляются и к ЦОДу.

Схемы разделения ответственности при размещении значимого объекта КИИ в облаке описала бизнес-партнер по кибербезопасности Cloud.ru Юлия Липатникова:

Также нужно предусмотреть:

Приказ ФСТЭК России № 239 выдвигает требования и к виртуальной инфраструктуре ЗОКИИ, включая применение сертифицированных средств защиты информации (СЗИ), разделение сетей, контроль целостности и мониторинг событий. Ключевые меры включают обязательную защиту гипервизора, использование доверенных контейнеров, защиту виртуальных машин и сетевого взаимодействия между ними. Когда клиент размещает ИТ-инфраструктуру ЗОКИИ в облаке, то требования автоматически распространяются и на инфраструктуру провайдера.

Отдавая ИТ-инфраструктуру на аутсорсинг, клиент во многом теряет контроль за обеспечением ее безопасности. При этом как субъект ЗОКИИ он несет ответственность, вплоть до уголовной, за функционирование своих критических информационных систем. Снизить риски может использование аттестованных на соответствие требованиям законодательства по КИИ облаков.

Такие платформы уже появились на российском рынке. В настоящее время конкурентную борьбу ведут четыре компании, и каждый из представленных продуктов имеет свои особенности.

В октябре 2024 г. компания «РТК-ЦОД» вывела на рынок решение «Облако КИИ». По сути — это управляемое провайдером закрытое облако сообщества (Community Cloud). Аттестат соответствия требованиям Приказа ФСТЭК № 239 распространяется на всю облачную платформу и позволяет размещать в облаке ЗОКИИ до второй категории значимости.

В качестве облачной платформы используется платформа серверной виртуализации Basis Dynamix, входящая в Единый реестр российских программ (ЕРРП). Важно, что аппаратное обеспечение тоже российское. Согласно Постановлению Правительства PФ от 14.11.2023 № 1912, к 1 января 2030 г. все ЗОКИИ должны работать на российских доверенных программно-аппаратных комплексах (ПАК), и планы перехода тщательно контролируются регулятором. Так что использование доверенных ПАК будет конкурентным преимуществом «РТК-ЦОД».

Компания Cloud.ru предлагает субъекту ЗОКИИ защищенное частное облако (Private Cloud). Доверенные ПАК не используются, но пока это необязательно, а облачная платформа Cloud.ru Evolution Stack находится в ЕРРП. 

По сути, «Облако для КИИ» — это набор аттестованных инфраструктур для размещения информационных систем заказчика вплоть до 1 категории ЗОКИИ, ГИС К1, УЗ-1. Причем для каждого клиента создается изолированный на аппаратном уровне контур.

Одно из конкурентных преимуществ — развитые сервисы PaaS. Отдельно стоит выделить сервисы, связанные с модным сейчас искусственным интеллектом. Основной конкурент в этой области, «Яндекс», на рынке облаков для КИИ играть не планирует, а перед остальными наличие таких сервисов представляет большое преимущество хотя бы за счет суперкомпьютеров.

Вопрос ответственности провайдера тоже решается по-разному. Некоторые провайдеры пытаются снять с себя ответственность путем включения соответствующих формулировок в договоры с заказчиками. Но если само облако прошло категорирование и стало ЗОКИИ, ответственности облачный провайдер не избежит. Чтобы повысить доверие клиентов, компания «T1 Облако» не только провела аттестацию, но и категорировала свое публичное облако, присвоив ему первую категорию значимости.

Необходимость категорирования облака как объекта КИИ — спорный вопрос. «Компьютер, на котором обрабатывается информация, составляющая гостайну, сам гостайной не является, он — оргтехника, в отношении которой есть жесткие требования эксплуатации. Так же и с облаком для КИИ, для которого нужно четкое выполнения требований регуляторов», — пояснил свой подход к категорированию генеральный директор компании Nubes Василий Степаненко.

Облако «Туча» для КИИ от Nubes появилось на рынке в феврале 2026 г. Субъекты КИИ могут получить либо выделенные серверы для их нужд в облаке, либо мощности общих серверов, а управление в этом случае осуществляется из единого защищенного центра Nubes. В отличие от конкурентов компания в качестве облачной платформы использует партнерское решение — входящий в ЕРРП программный комплекс СВ «Брест» ГК «Астра» (Astra Infrastructure Cloud). 

«Туча» аттестована на соответствие требованиям ФСТЭК России, предъявляемым к ЗОКИИ первой категории значимости. Клиентам предоставляется не только облако, но и сервисы ИБ, включая NGFW, PAM и SIEM, а также поддержка по категорированию и другим вопросам обеспечения соответствия. 

* * *

Рынок облаков для КИИ только формируется, и субъекты КИИ только начинают сознавать их преимущества. Появляются новые игроки: облачная платформа VK Secure Cloud от VK Tech, аттестованная для ГИС и систем с повышенными требованиями к безопасности, находится сейчас в процессе аттестации для размещения КИИ; создание своего облака для КИИ анонсировала «Атомдата». Основная борьба за доверие к инфраструктуре еще впереди, но перспективы рынка многообещающие.

Заметили неточность или опечатку в тексте? Выделите её мышкой и нажмите: Ctrl + Enter. Спасибо!