Вчера в Фейсбуке прошла небольшая дискуссия на тему, является ли облачный провайдер субъектом КИИ, если он обрабатывает данные или хостит системы субъекта КИИ? Вопрос не праздный, так как сегодня многие организации с целью фокусировки на своем основном бизнесе отдают часть своей инфраструктуры или данных внешним провайдерам. А они в свою очередь должны соблюдать требования действующего законодательства. С выполнением ФЗ-152 проблем я не вижу - оператором ПДн является любая организация, обрабатывающая ПДн и устанавливающая цели и задачи обработки. Обработчик ПДн не должен выполнять некоторых обязанностей, присущих оператору, но, например, обеспечивать защиту должен в любом случае. С ФЗ-187 ситуация иная - понятие субъекта очень размытое и не всегда понятно, кто же под него попадает. Вот и давайте попробуем разобраться с этим применительно к облачным провайдерам и субъектам КИИ.
Самая простая ситуация, когда облачный провайдер является одновременно оператором связи. Тогда он просто по определению из ФЗ-187 становится субъектом КИИ и на него распространяются все или часть требований закона (в зависимости от наличия значимых объектов). А вот что делать, например, с облачным провайдером, не имеющим лицензии в области связи, но которому какая-либо финансовая организация, являющаяся субъектом КИИ, доверила обработку каких-либо данных?
Как мне кажется (это мое оценочное суждение) надо внимательно посмотреть определение субъекта КИИ. В рассматриваемом варианте с банком и облаком это юрлицо, которому на праве собственности, аренды или на ином законном основании принадлежит информационная система, функционирующая в банковской сфере. Принадлежит ли банку облачная ИС на праве аренды? В зависимости от модели (IaaS, PaaS или SaaS) да. А есть ли у облачного провайдера ИС, функционирующая в банковской сфере? А вот тут надо смотреть более внимательно. В случае с моделями IaaS и PaaS, я думаю, что нет. А вот в случае с SaaS надо изучать уже функционал конкретной системы. Хотя как мне кажется, даже этот случай не попадает под определение в законе. Иначе придется признать, что разработчик АБС или MS Word, проданного в банк, тоже является субъектом КИИ, а это нонсенс. Мне можно возразить, что в отличие от разработчика АБС, который выпускает только ПО, у облачного провайдера еще и данные обрабатываются. Верно, но ФЗ-187 никак не связан с охраняемой законом информацией. Объектом КИИ является только информационная система, АСУ или сеть связи. Иными словами, получается, что облачный провайдер не является субъектом КИИ, если у него нет лицензии или он не обеспечивает взаимодействие разных систем субъектов КИИ.
Значит ли то, что облачный провайдер - не субъект КИИ, что он не должен выполнять требования к субъектам КИИ? А вот это правильный вопрос. Если банк передает часть своих данных в облако, то это не снимает с него обязанности обеспечить защиту этих данных по требованиям 382-П, 21-го приказа ФСТЭК или ФЗ-187. Это обязанность, от которой нельзя отказаться и нельзя ни на кого переложить - ответственность за нарушение все равно ляжет на банк. Вспомните ФЗ-152. Вы могли привлечь сколь угодно много обработчиков ПДн, но ответственность за утечку ПДн лежала все равно на вас, а не на них. То есть субсидиарная ответственность в данном случае отсутствует и привлечь обработчика ПДн к ответственности можно только, если в договоре с ним прописаны требования, нарушение которых и привело к утечке и данный факт был доказан.
Аналогичная ситуация и с ФЗ-187. Субъект КИИ для облегчения свой жизни может привлекать кого угодно, но ответственность за нарушение ФЗ-187 все равно лежит на нем. Чтобы соблюсти все требования закона банк должен выставить соответствующие требования из подзаконных актов ФСТЭК (если у него есть значимые объекты) облачному провайдеру в рамках договора (если провайдер согласится). И тогда облачный провайдер должен будет соблюдать все требования ФСТЭК, но не потому, что он субъект КИИ, а потому что так написано в договоре между ним и банком.
Отдельно хочется остановиться на вопросе с присоединением облачного провайдера, выполняющего работы для банка, к ГосСОПКЕ. Эта тема вскользь была поднята во время выступления на Уральском форуме Алексея Новикова из Positive Technologies, рассказывающего о расследовании инцидентов в облачной инфраструктуре. Я ему задал вопрос, как он считает, как выполнить требование об отправке данных об инцидентах, произошедших в инфраструктуре облачного провайдера, работающего по договору с банком? К сожалению, он не смог сходу предложить пути решения этой непростой задачи. Я их тоже не вижу. Ответственность за отправку данных лежат на банке, как субъекте КИИ. Требования ФСБ (пока проекты) не подразумевают делегирования этой функции никому, кроме ведомственного или корпоративного центра ГосСОПКИ. Получается, что облачный провайдер должен направлять данные об инцидентах обратно банку, а он уже отправляет их в ГосСОПКУ. Да, это можно полностью автоматизировать, но все равно, цепочка получается непростая.
Вот такие рассуждения получились. Не претендую на истину в последней инстанции; допускаю, что у других специалистов может быть иное мнение. Но возможно какие-то идеи в этой заметке будут полезны. Ну и не забываем, что можно направить свои вопросы ФСТЭК. Хотя законодатели исключили из полномочий ФСТЭК право трактовать ФЗ-187, я думаю, ФСТЭК все равно будет получать множество вопросов о том, кто относится к субъектам КИИ и они будут высказывать свою позицию по данному вопросу.
А если все-таки регулятор решит, что облачный провайдер, работающий с субъектом КИИ, тоже субъект КИИ? Ну тогда мы попадем в ад, когда такими субъектами КИИ будут признаны аутсорсинговые Call Center, ЧОПы, кейтеринговые и клининговые компании, бизнес-центры, фитнесс-центры и т.п. организации, обслуживающие субъектов КИИ и предоставляющие им доступ к своим ИС.
UPDATE: Заметка вызвала некоторую дискуссию в Фейсбуке и Валерий Комаров обратил внимание на следующий момент. Как правильно, отметила Елена Торбенко на конференции, при определении того, является ли организация субъектом КИИ или нет, надо руководствоваться различными классификаторами деятельности. Одним из них является ОКВЭД 2, в котором есть класс 63.11 "Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность". Этот класс ОКВЭД относится к разделу J "Деятельность в области информации и связи". То есть получается, что мои рассуждения не совсем верны. Облачный провайдер сам по себе является субъектом КИИ, работающим в сфере информации и связи, не взирая на то, кто с ним заключает договор и какие услуги он оказывает по договору. Лично для меня это неожиданный поворот, который показывает, что процедура категорирования не так проста, как казалось сначала :-( Я поторопился с выводами. Тут, конечно, можно сказать, что в ФЗ-187 говорится только о сфере связи, а облачный провайдер - это в первую очередь сфера информации, но это уже совсем иная дискуссия, более сложная и долгая. Попробовать пойти по этому пути можно, но с непредсказуемыми последствиями.
Самая простая ситуация, когда облачный провайдер является одновременно оператором связи. Тогда он просто по определению из ФЗ-187 становится субъектом КИИ и на него распространяются все или часть требований закона (в зависимости от наличия значимых объектов). А вот что делать, например, с облачным провайдером, не имеющим лицензии в области связи, но которому какая-либо финансовая организация, являющаяся субъектом КИИ, доверила обработку каких-либо данных?
Как мне кажется (это мое оценочное суждение) надо внимательно посмотреть определение субъекта КИИ. В рассматриваемом варианте с банком и облаком это юрлицо, которому на праве собственности, аренды или на ином законном основании принадлежит информационная система, функционирующая в банковской сфере. Принадлежит ли банку облачная ИС на праве аренды? В зависимости от модели (IaaS, PaaS или SaaS) да. А есть ли у облачного провайдера ИС, функционирующая в банковской сфере? А вот тут надо смотреть более внимательно. В случае с моделями IaaS и PaaS, я думаю, что нет. А вот в случае с SaaS надо изучать уже функционал конкретной системы. Хотя как мне кажется, даже этот случай не попадает под определение в законе. Иначе придется признать, что разработчик АБС или MS Word, проданного в банк, тоже является субъектом КИИ, а это нонсенс. Мне можно возразить, что в отличие от разработчика АБС, который выпускает только ПО, у облачного провайдера еще и данные обрабатываются. Верно, но ФЗ-187 никак не связан с охраняемой законом информацией. Объектом КИИ является только информационная система, АСУ или сеть связи. Иными словами, получается, что облачный провайдер не является субъектом КИИ, если у него нет лицензии или он не обеспечивает взаимодействие разных систем субъектов КИИ.
Значит ли то, что облачный провайдер - не субъект КИИ, что он не должен выполнять требования к субъектам КИИ? А вот это правильный вопрос. Если банк передает часть своих данных в облако, то это не снимает с него обязанности обеспечить защиту этих данных по требованиям 382-П, 21-го приказа ФСТЭК или ФЗ-187. Это обязанность, от которой нельзя отказаться и нельзя ни на кого переложить - ответственность за нарушение все равно ляжет на банк. Вспомните ФЗ-152. Вы могли привлечь сколь угодно много обработчиков ПДн, но ответственность за утечку ПДн лежала все равно на вас, а не на них. То есть субсидиарная ответственность в данном случае отсутствует и привлечь обработчика ПДн к ответственности можно только, если в договоре с ним прописаны требования, нарушение которых и привело к утечке и данный факт был доказан.
Аналогичная ситуация и с ФЗ-187. Субъект КИИ для облегчения свой жизни может привлекать кого угодно, но ответственность за нарушение ФЗ-187 все равно лежит на нем. Чтобы соблюсти все требования закона банк должен выставить соответствующие требования из подзаконных актов ФСТЭК (если у него есть значимые объекты) облачному провайдеру в рамках договора (если провайдер согласится). И тогда облачный провайдер должен будет соблюдать все требования ФСТЭК, но не потому, что он субъект КИИ, а потому что так написано в договоре между ним и банком.
Отдельно хочется остановиться на вопросе с присоединением облачного провайдера, выполняющего работы для банка, к ГосСОПКЕ. Эта тема вскользь была поднята во время выступления на Уральском форуме Алексея Новикова из Positive Technologies, рассказывающего о расследовании инцидентов в облачной инфраструктуре. Я ему задал вопрос, как он считает, как выполнить требование об отправке данных об инцидентах, произошедших в инфраструктуре облачного провайдера, работающего по договору с банком? К сожалению, он не смог сходу предложить пути решения этой непростой задачи. Я их тоже не вижу. Ответственность за отправку данных лежат на банке, как субъекте КИИ. Требования ФСБ (пока проекты) не подразумевают делегирования этой функции никому, кроме ведомственного или корпоративного центра ГосСОПКИ. Получается, что облачный провайдер должен направлять данные об инцидентах обратно банку, а он уже отправляет их в ГосСОПКУ. Да, это можно полностью автоматизировать, но все равно, цепочка получается непростая.
Вот такие рассуждения получились. Не претендую на истину в последней инстанции; допускаю, что у других специалистов может быть иное мнение. Но возможно какие-то идеи в этой заметке будут полезны. Ну и не забываем, что можно направить свои вопросы ФСТЭК. Хотя законодатели исключили из полномочий ФСТЭК право трактовать ФЗ-187, я думаю, ФСТЭК все равно будет получать множество вопросов о том, кто относится к субъектам КИИ и они будут высказывать свою позицию по данному вопросу.
А если все-таки регулятор решит, что облачный провайдер, работающий с субъектом КИИ, тоже субъект КИИ? Ну тогда мы попадем в ад, когда такими субъектами КИИ будут признаны аутсорсинговые Call Center, ЧОПы, кейтеринговые и клининговые компании, бизнес-центры, фитнесс-центры и т.п. организации, обслуживающие субъектов КИИ и предоставляющие им доступ к своим ИС.
UPDATE: Заметка вызвала некоторую дискуссию в Фейсбуке и Валерий Комаров обратил внимание на следующий момент. Как правильно, отметила Елена Торбенко на конференции, при определении того, является ли организация субъектом КИИ или нет, надо руководствоваться различными классификаторами деятельности. Одним из них является ОКВЭД 2, в котором есть класс 63.11 "Деятельность по обработке данных, предоставление услуг по размещению информации и связанная с этим деятельность". Этот класс ОКВЭД относится к разделу J "Деятельность в области информации и связи". То есть получается, что мои рассуждения не совсем верны. Облачный провайдер сам по себе является субъектом КИИ, работающим в сфере информации и связи, не взирая на то, кто с ним заключает договор и какие услуги он оказывает по договору. Лично для меня это неожиданный поворот, который показывает, что процедура категорирования не так проста, как казалось сначала :-( Я поторопился с выводами. Тут, конечно, можно сказать, что в ФЗ-187 говорится только о сфере связи, а облачный провайдер - это в первую очередь сфера информации, но это уже совсем иная дискуссия, более сложная и долгая. Попробовать пойти по этому пути можно, но с непредсказуемыми последствиями.
7 коммент.:
Ни один регулятор не станет вникать в такие тонкости и размышлять, кто там субъект, а кто не субъект. Регулятор отталкивается просто от факта эксплуатации системы в определённых целях. Если цель эксплуатации системы как-то связана с деятельностью объекта КИИ - облачный провайдер превратится в субъекта КИИ. Не согласен - пусть подает в суд. На ФСБ или на прокуратуру :)
Александр Германович по-моему прав. Мало грамотных спецов у регуляторов, а палочную систему никто не отменял. Говорят так: "Я считаю что это КИИ! (Ну это в данном случае) А если у вас другое мнение и нет ответов в ФЗ, то встречаемся в суде." И выписывает постановление...
Регулятор не захочет взваливать на себя дополнительную головную боль
Голова будет болеть у облачного провайдера. После выдачи предписания это будут его проблемы. Регулятору-то что?
Да ну на...., у нас тоже есть этот оквэд....все ИП, ООО, АО, госы и муны подпадают под КИИ? независимо от размера итд...а зачем тогда все эти критерии, таблицы итд итп...посмотрел оквэд и вот-ты приплыл.
До вот этих вот красных буковок я был спокоен...теперь вот опять...никогда такого не было и вот опять (с).
Пишите запрос в ФСТЭК
"Внесут изменения в закон..." - это ооооочень непросто
Отправить комментарий