СОИБ. Анализ. Законопроект про облачные вычисления

08.05.2014 был опубликован дляпубличного обсуждения проект ФЗ «О внесении изменений в отдельные законодательные акты Российской Федерации в части использования облачных вычислений».

В данной заметке сделаю обзор основных моментов документа, а так-же приведу некоторые замечания.

1) Первым делом дается определение новых терминов
·       интернет-провайдер
·       услуги облачных вычислений
·       поставщик услуг облачных вычислений
·       гарантирующий поставщик услуг облачных вычислений
·       потребитель услуг облачных вычислений
·       облачная инфраструктура
Определение терминов - это правильное дело.
Но к термину “интернет-провайдер” есть замечания.
“20) интернет-провайдер – лицо, оказывающее услуги по передаче информации в информационно-телекоммуникационных сетях;”

(Замечание 1) Стоит ли вводить такой термин, если он используется только 1 раз в ФЗ. При этом по тексту ФЗ так-же используется другой – “оператором связи, оказывающим услуги по предоставлению доступа к информационно-телекоммуникационной сети "Интернет" “. В других ФЗ так-же широко используется определение оператора связи и явно надо было ссылаться на него в определении интернет-провайдера.

Так-же не понятно на какие информационно-телекоммуникационных сетях распространяется определение? Только Интернет или на любые другие?

2) В облачные вычисления попадают любые услуги по предоставлению:
·       программного обеспечения (в инфраструктуре поставщика услуг)
·       платформы (поставщика услуг для размещения ПО потребителя)
·       инфраструктуры (поставщика услуг)





3) Поставщикам облачных услуг предъявляются следующие общие требования:
·       абсолютная доступность информации
“доступность информации, переданной поставщику услуг облачных вычислений … в любое время.”
·       обеспечение потребителю возможности участвовать в обработке информации, в том числе полного удаления информации
·       разграничение доступа к информации

Правда последнее требование можно только домыслить, потому что язык у авторов заплелся и две фразы перемешались в одной.
“разграничение по доступу, безопасности информации потребителя услуг облачных вычислений от информации других лиц.”

(Замечание 2) изложить в виде “ограничение доступа к информации потребителя услуг облачных вычислений со стороны других лиц” либо “разграничение информации потребителя услуг облачных вычислений от информации других лиц” либо “обеспечение безопасности информации потребителя услуг облачных вычислений”.

По поводу абсолютной доступности. Такого я раньше ещё не видел в законодательстве.
В документах ЦБ по бесперебойности НПС – “уровень бесперебойности”, “планы восстановления”, ”информирование о сбоях”.
В ПП 424 “восстановление информации в течении не более 8 часов”
В Приказе Минкомсвязи №104 от 25.08.2009 “устойчивость функционирования ИС общего пользования”, “способности ... возвращаться в исходное состояние”
В приказе ФСТЭК/ФСБ №416/489 “поддержание доступности информации”

А в данном законопроекте сразу “доступность информации … в любое время”. Даже если обеспечить полное дублирование и кластеризацию всего что можно, всё равно остается некоторый % вероятности отсутствия доступа. Те же DDoS атаки. По настоящему бороться с мощными дорогими DDoS атаками не получится в режиме 100% доступности.

(Замечание 3) Из требования “доступность информации, переданной поставщику услуг облачных вычислений … в любое время.” убрать фразу “в любое время”

4) Услуги облачных вычислений для Гос-ов делятся на 2 типа:
·       Типовые услуги (для управления персоналом, финансами, материальными и нематериальными активами, обеспечения деятельности по организации информационного взаимодействия – в том числе размещение сайта с информацией общего пользования)
·       Специальные услуги (предоставление госуслуг, исполнение гос. функций)
Для меня пока вопрос, какие именно облачные сервисы попадут в типовые (хостинг публичного сайта, госзакупки, портал техподдержки). Но так как требования для них не различаются, то пока не критично.
Каталог типовых услуг формирует Роскомнадзор.
А дальше опять каламбур.
“5. При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги по предоставлению сертифицированных в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, средств защиты информации.”
Это что получается. В каталог типовых услуг попадает только аренда СЗИ? При чем тут тогда управление персоналом или финансами?

(Замечание 4) Изложить в виде “При формировании Каталога услуг в части типовых услуг, в него могут включаться услуги по предоставлению средств защиты информации,  только сертифицированных в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации.”
либо
“При формировании Каталога услуг в части типовых услуг, в него подлежат включению только услуги, безопасность информации в которых обеспечивается сертифицированными в установленном порядке федеральным органом исполнительной власти в области обеспечения безопасности и федеральным органом исполнительной власти, уполномоченным в области противодействия техническим разведкам и технической защиты информации, средствами защиты информации.”

5) РКН утверждает требования в госконтрактах и договорах связанных с облачными вычислениями. И как раньше до этого не додумывались? Это же реальный инструмент для продвижения “правильных” облаков.
вопросы ценообразования пропускаю …

6) К поставщикам услуг облачных вычислений для Гос-ов предъявляются дополнительные требования:
·       Только российские юр. лица, вся облачная инфраструктура которых в РФ
Отпадают все иностранные поставщики, а так-же российские поставщики, арендующие инфраструктуру у западных компаний. Плюс этого пункта – сразу отпадают все вопросы о не действии  требований РФ на инфраструктуру, размещенную в других странах
·       Финансовая устойчивость (по непонятной пока формуле)
Явно будут отпадать небольшие поставщики
·       Наличие лицензий на ТЗКИ и СКЗИ
Не соглашусь с коллегами, что это требование было раньше. Это требование было актуально для услуг, в которых обрабатывались персональные данные или другая информация ограниченного доступа либо применялись СКЗИ. Если же обрабатывалась не охраняемая законом информация, какая-нибудь мало значимая информация – сбор статистики, опросы, дистанционное обучение и т.п., в таких случаях лицензию на ТЗКИ иметь не обязательно.
·       Наличие двух аттестованных ФСТЭКом ЦОД (в собственности или на правах долгосрочной аренды>49 лет)
Явно будут отпадать небольшие и средние поставщики услуг. Если поставщик услуг сам арендовал пару стоек в крупном дата центре либо если один из ЦОДов не в долгосрочной аренде – под требования не подходит.
На соответствие каким требованиям будет аттестоваться помещение ЦОДа пока не понятно. Но эта аттестация явно затруднит поэтапное наращивание инфраструктуры.
Придется сразу строить и аттестовать облачную инфраструктуру с запасом на несколько лет, что под силу только крупным поставщикам. А как же поддержка малого и среднего бизнеса и требование 94-ФЗ?
”государственные заказчики, … обязаны осуществлять размещение заказов у субъектов малого предпринимательства в размере пятнадцати процентов общего объема поставок товаров, выполнения работ, оказания услуг”
·       Аттестованная АС, включающая облачную инфраструктуру
Так-же пока не понятно на соответствие каким требованиям будет аттестоваться АС. Их ещё предстоит разработать ФСТЭК-у. Но в любом виде аттестация затруднит поэтапное наращивание инфраструктуры.

7) (Замечание 5) В тесте имеется противоречие по выбору поставщиков услуг ОВ.
Статья 15.6….7. Определение поставщика услуг облачных вычислений осуществляется государственными органами в порядке, установленном законодательством Российской Федерации о контрактной системе в сфере закупок товаров, работ, услуг для обеспечения государственных и муниципальных нужд с учетом требований, установленных настоящим Федеральным законом.”
Статья 15.9…. 7. Правительством Российской Федерации устанавливается порядок и условия отбора поставщиков услуг облачных вычислений для оказания услуг облачных вычислений органам государственной власти, органам управления государственными внебюджетными фондами, органам местного самоуправления. По результатам отбора поставщиков услуг облачных вычислений Правительством Российской Федерации определяется перечень таких операторов.”
Надо четко зафиксировать, кто определяет подходящих поставщиков услуг ОВ? Либо потребитель вносит требования к поставщику в конкурс, а потом оценивает конкурсные предложения. Либо все проверки делает Правительство РФ и отдает уже готовый проверенный список поставщиков ОВ из которого можно брать любого.

8)  ФЗ вступает в силу 1 января 2015 года.
Ниже привожу структуру новых подзаконных актов по облакам, которые должны быть разработаны во исполнение данного ФЗ.

Учитывая обычные сроки разработки нормативных актов и дополнительного времени, необходимого поставщикам услуг ОВ для выполнения этих актов – разработчики ФЗ ошиблись на год со проком.

(Замечание 6) Необходимо указать реальный срок вступления ФЗ в силу. Изложить пункт в виде “Настоящий Федеральный закон вступает в силу с 1 января 2016 года.”


Резюме:
1.       ФЗ явно предназначен для лоббирования интересов крупных Российских поставщиков услуг облачных вычислений для Гос. (вероятно Ростелеком, МТС)
2.       Проект ФЗ содержит ряд явных ошибок, которые могут быть и должны быть исправлены
3.   В общей части терминология и подходы законопроекта к облачным вычислениям соответствуют лучшим современным стандартам, таким как NIST

PS: за бортом похоже от Гос. остаются такие сервисы как http://rvision.pro/, https://www.docshell.ru/
PPS: Обзор данного законопроекта от Алексея Лукацкого


Комментарии

Анонимный написал(а)…
"за бортом похоже от Гос. остаются такие сервисы как http://rvision.pro/, https://www.docshell.ru/"

Сергей, мы ни в коем случае не являемся никаким сервисом ! Система RVision - это программный продукт, который может быть развернуть как в облаке, так и внутри, в инфраструктуре Заказчика. Так что нам этот законопроект никак не повредит.
Сергей Борисов написал(а)…
ПО у заказчика - то согласен, не попадает.
Если ПО как сервис (а этот вариант - одно из маркетинговых преимуществ ISM перед классическими решениями поИБ) то как раз попадает в облака.

Популярные сообщения из этого блога

СКЗИ. НПА. Некоторые вопросы применения криптографии

КИИ. ОКВЭД vs 187-ФЗ

Модель угроз безопасности клиента финансовой организации