Новости

Минцифры расширяет требования безопасности для хостинг-провайдеров

Минцифры

Хостинг для государственных систем может попасть под более жёсткие правила безопасности, а часть провайдеров получит новые расходы на криптографию, аттестацию и перестройку инфраструктуры. Минцифры готовит требования для компаний, размещающих государственные, муниципальные и другие информационные системы, а Торгово-промышленная палата предупредила о рисках для бизнеса, который раньше работал с менее крупными проектами.

Как пишет «Коммерсантъ», замечания ТПП касаются проекта приказа Минцифры о защите данных у хостинг-провайдеров, работающих с государственными информационными системами, муниципальными и другими госсистемами. Сейчас строгие требования распространяются только на семь провайдеров, допущенных к основным государственным ИТ-системам. Новый порядок расширит круг участников и затронет компании, обслуживающие муниципальные и менее крупные системы.

Проект требует от провайдеров использовать средства криптографической защиты информации, предоставлять вычислительные мощности для технических средств, применяемых при оперативно-разыскных мероприятиях, а также взаимодействовать с ГосСОПКА, государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак. Отзыв ТПП опубликован на regulation.ru 24 июня, проект приказа Минцифры появился 25 мая.

В ТПП считают, что проект несёт риски для хостинг-провайдеров: требования, изначально рассчитанные на операторов государственных информационных систем, предлагают распространить на провайдеров без адаптации. Такой подход может привести либо к формальному выполнению новых правил, либо к фактическому неисполнению требований.

Палата также предупреждает о возможном росте затрат на анализ, внедрение и встраивание новых правил в работу компаний. ТПП предлагает разделить требования по уровню значимости и классу защищенности информационной системы, размещаемой у провайдера, а также дать рынку переходный период не менее 12 месяцев. При сохранении нынешней редакции приказ вступит в силу 1 сентября 2026 года.

Регулирование хостинг-провайдеров в России появилось в 2023 году. Компании должны входить в специальный реестр Роскомнадзора, без включения в реестр провайдер не вправе работать в стране. Для провайдеров государственных информационных систем действуют дополнительные требования. По открытым данным, в реестре хостинг-провайдеров сейчас числятся 567 компаний.

Минцифры связывает проект с поправками к закону «Об информации», которые расширяют перечень систем, обязанных соблюдать требования к защите информации для операторов ГИС. Поправки вступают в силу 1 сентября, а проект приказа актуализирует нормы с учетом расширенного круга организаций. В ведомстве считают, что большинство хостинг-провайдеров уже соблюдают необходимые требования и обладают нужной инфраструктурой, поэтому затраты отрасли вырастут незначительно.

Для включения в профильный реестр провайдеры приводят инфраструктуру и организационные процессы в соответствие с повышенными требованиями к защите информации, после чего могут претендовать на статус поставщика вычислительных мощностей для госсектора. Участники рынка указывают, что инженерная и ИТ-архитектура дата-центров различается, поэтому выполнение новых норм может потребовать существенных затрат.

Отдельной нагрузкой может стать аттестация или переаттестация инфраструктуры. Для разных классов защищенности данных нужны разные процедуры, подготовка может занять минимум шесть месяцев, а в отдельных случаях больше года. По оценкам рынка, аттестация даже небольшого объема инфраструктуры начинается от пяти млн руб., переаттестация обходится дешевле, но масштаб работ остаётся сопоставимым.

Дополнительную сложность создают сертифицированные криптографические средства защиты. Современный хостинг часто строится на гибкой технологической инфраструктуре, а внедрение классических средств защиты может потребовать глубокой перестройки архитектуры или создания отдельных защищенных зон под государственные системы. Главный спор вокруг проекта сводится к тому, должны ли небольшие муниципальные системы размещаться по тем же правилам, что и крупные государственные платформы.

Ранее сообщалось, что Минцифры уже предлагало обязать разработчиков информационных систем для госорганов и муниципальных учреждений соблюдать единые требования к защите данных, включая применение криптографических средств, с 1 сентября 2026 года. Кроме того, Роскомнадзор расширял контроль над хостинг-провайдерами: ведомство планировало получать сведения о вычислительной мощности инфраструктуры и клиентах провайдеров, а работа без включения в специальный реестр в России запрещена с февраля 2024 года.