Если говорить простым языком:
КИИ можно размещать только в облаке, которое полностью контролируется субъектом КИИ, расположено в РФ, не зависит от иностранных поставщиков, не передаёт данные за рубеж и обеспечивает выполнение всех требований ФСТЭК и ФСБ.
То есть подходящие варианты — это либо частное (on-premise) облако, либо специализированные российские облачные площадки, соответствующие требованиям регуляторов.
Что говорит законодательство
Федеральный закон № 187-ФЗ
Закон требует, чтобы субъект КИИ:
- обеспечивал устойчивость и безопасность объектов КИИ,
- предотвращал передачу управления объектами третьим лицам,
- минимизировал внешние зависимости.
Это уже ограничивает большинству облаков возможность размещать КИИ, т.к. субъект теряет полный контроль над инфраструктурой.
Приказ ФСТЭК № 239 (меры безопасности ЗОКИИ)
Ключевые ограничения:
- запрет передачи администрирования и доступа третьим лицам, в том числе иностранным;
- необходимость полного контроля за инфраструктурой, на которой размещён объект КИИ;
- требование обеспечить контроль целостности, конфигураций, сегментацию, журналирование, что сложно выполнить в облаках общего пользования;
- необходимость исключить зависимость от внешних сервисов и поставщиков.
Облачный провайдер должен соответствовать требованиям ФСТЭК по уровню защищённости, иначе ЗОКИИ размещать там нельзя.
ПП РФ № 1912 (доверенные ПАК)
Этот документ усилил требования:
- значимые объекты КИИ должны работать на доверенных отечественных программно-аппаратных комплексах;
- иностранные облака и платформы автоматически не подходят под критерии доверенности;
- облачный провайдер должен использовать российское ПО и оборудование, включённое в перечень.
Большинство коммерческих облаков не соответствует этим требованиям.
ФЗ № 58-ФЗ + требования импортозамещения
Для значимых объектов:
- использование иностранного ПО в инфраструктуре запрещено, кроме случаев отсутствия аналогов;
- облако должно обеспечивать работу на российском ПО из реестра.
Иностранные облака, даже если они находятся в РФ, не подходят: Azure, AWS, Google Cloud и т. д.
Закон 152-ФЗ (если обрабатываются персональные данные)
Требует:
- хранить ПДн на территории РФ;
- исключить трансграничную передачу, если нет оснований;
- обеспечивать сертифицированные СЗИ.
При размещении КИИ в облаке необходимо соблюдать и эти требования.
Как это работает на практике
- Иностранные облачные сервисы использовать нельзя
Причины:
- нарушение требований по локализации и управляемости;
- невозможность выполнения мер № 239;
- доступ иностранных администраторов;
- отсутствие доверенных ПАК.
Сюда относятся: AWS, Azure, GCP, Oracle Cloud, Alibaba Cloud и т. д.
- Публичные облака общего пользования почти всегда несовместимы с КИИ
Проблемы:
- нет полного контроля над инфраструктурой;
- общая платформа для множества клиентов;
- невозможность обеспечить требуемую изоляцию;
- отсутствие сертифицированных средств защиты по нужным классам.
- Размещение КИИ возможно только в облаках специального типа
Разрешённые варианты:
- частное (on-premises) облако самой организации — лучший вариант;
- облако локального оператора, имеющего сертификацию ФСТЭК/ФСБ, использующего доверенные ПАК и российское ПО;
- специальные отраслевые облака, например для энергетики или связи.
- Значимые объекты КИИ нельзя размещать вне России
Требования регуляторов полностью исключают зарубежные дата-центры.
Выводы и рекомендации
Законодательство прямо не запрещает размещать КИИ в облаке, но фактически накладывает такие требования, что:
- иностранные облака использовать нельзя;
- публичные облака общего пользования — почти всегда нельзя;
- КИИ должен размещаться только в инфраструктуре, полностью контролируемой субъектом и соответствующей требованиям ФСТЭК и ФСБ;
- значимый объект КИИ должен работать на доверенном отечественном ПО и ПАК;
- хранение данных и администрирование должны быть локализованы исключительно в РФ.
Практический вывод:
У 99% организаций единственный реальный вариант — размещать КИИ в собственном частном облаке или на выделенной защищённой площадке российского провайдера, сертифицированного под нужные требования.
