14 апреля 2025 г.

Корпоративные заказчики развивают инфраструктуры как по запросам бизнеса, так и для соответствия требованиям регуляторов, в обоих случаях могут помочь cloud-провайдеры. Разумеется, соблюдение регуляторных требований обычно не может быть полностью получено лишь в результате миграции в сертифицированное «облако», но использование соответствующих ресурсов существенно упрощает достижение соответствия действующему законодательству. Предоставлять сертифицированные ресурсы пока могут не все провайдеры; а сервисы, которые позволяют, потребуют дополнительной оплаты, но тема актуальна для огромного количества российских корпоративных заказчиков.

«Облако КИИ» — остро востребованный сервис...

Повышенное внимание государства к объектам КИИ — а к таковым кроме атомной промышленности и энергетики относятся многие другие сегменты, от финансовых организаций до водоканала — требует от заказчиков, попадающих под регуляторные требования, множественных изменений в ИТ-ландшафтах, для чего нужны новые продукты, проведение ре-интеграции и т. д. Перечень изменений, нужных для достижения соответствия требованиям регуляторов, зачастую даже сложно определить, не говоря уже об их выполнении и прохождении последующей аттестации.

Приведение ИТ-рельефа в соответствие с требованиями регуляторов для объектов КИИ и получение аттестата соответствия в среднем занимает около полутора лет, отмечает Алексей Забродин, технический директор компании РТК-ЦОД. Сроки зависят от многих факторов — от размера и особенностей инфраструктуры заказчика до количества и категорирования объектов КИИ.

Даже категоризация объектов КИИ — процесс непростой. Для корректного выполнения требований федерального закона «О безопасности критической информационной инфраструктуры Российской Федерации» от 26.07.2017 № 187-ФЗ субъектам КИИ зачастую приходится привлекать внешних консультантов, обладающих профильной экспертизой и соответствующими компетенциями. Более того, требования к объектам КИИ — к их категоризации и пр. — регуляторы изменяют и совершенствуют, что может привести к необходимости внесения субъектом КИИ некоторых дополнительных изменений в ИТ-ландшафт.

Использование «облаков КИИ» — cloud-платформ, построенных с учетом требований соответствующего закона и подзаконных актов, а также прошедших все полагающиеся процедуры сертификации — существенно упрощает корпоративным заказчикам процессы приведения собственных ИТ-инфраструктур в соответствие требованиям регуляторов. Также важно, что процессы оказываются радикально быстрее: для некоторых типовых решений время, нужное для приведения ИТ-инфраструктуры требованиям регуляторов, можно сократить до 6 (!) рабочих дней, говорит Алексей Забродин, ссылаясь на прецеденты. Важно: при масштабировании инфраструктуры, размещенной в «облаке КИИ» в ряде случаев заказчику уже не нужно будет тратить ресурсы на переаттестацию, что снижает ТСО.

Разумеется, «облако КИИ» не является волшебным средством, на практике все далеко не всегда оказывается настолько просто и быстро — процесс любой миграции технически сложен, при переходе с «on-premise» на «on-cloud» приходится учитывать дополнительные факторы, а при приведении инфраструктуры в соответствие с требованиями регуляторов количество факторов дополнительно возрастает.

...но есть и другие ситуации, связанные с регуляторикой

Заметим, что рассмотренная выше история "облака«/КИИ является не единственной, когда корпоративные заказчики получают от провайдеров сервисы, как решающие ряд технических проблем и уменьшающие ТСО, так и снижающие риски регуляторных (и все это, заметим, с высоким уровнем скорости и гибкости). Наиболее известной до настоящего времени была история, связанная с хранением персданных в соответствии с требованиями федерального закона «О персональных данных» от 27.07.2006 № 152-ФЗ.

Количество компаний, попадающих под закон о персональных данных и нормативных актов, оказывается очень велико — от грандов рынка с бизнесами федерального масштаба до службы доставки «на районе». Если «энтерпрайз» обладает собственными ресурсами для приведения ИТ-инфраструктуры в соответствие с требованиями по хранению и обработки персданных, то для среднего, а тем более для малого бизнеса это представляет большую проблему, которая часто не может быть решена ресурсами, имеющимися в компании. Однако работать с персданными надо, ведь сегодня даже малый бизнес не может эффективно работать без CRM-системы, которая — даже существуя в виде xls-таблицы — хранит персональные данные клиентов, партнеров и поставщиков. Более того, операторами персональных данных сотрудников являются все без исключения организации, как отмечает Григорий Сизоненко, генеральный директор «ИВК». Для СМБ выход в «облако» в таком случае — насущная необходимость.

Персональные данные — только один из примеров чувствительной информации, с которой приходится работать компаниям разного размера. Существует ряд законодательных требований по особым мерам защиты информации, напоминает Владимир Лебедев, директор по развитию бизнеса в M1Cloud, включая различные категории охраняемых данных, такие как персональные данные и другие виды тайн. Бизнес может безопасно хранить такие данные в «облачных» средах, но для этого нужны защищенные cloud-ресурсы с разными уровнями защиты (которых, напомним, согласно действующему законодательству четыре).

Вместо заключения

Рассмотренные примеры показывают, как использование «облака» — а в более широком плане сервисного потребления ИТ — снижает затраты и риски, причем как технические или ИБ-, так и регуляторные. В условиях современной экономики учет рисков и управление ими крайне важны для бизнеса, причем как в финансово-экономическом аспекте, так и в репутационном. Превращение риска в инцидент вполне может привести к настолько значимым потерям, что поставит под вопрос само существование компании. «Облака» в данном случае не «волшебная палочка», но действенный инструмент для минимизации рисков.

Провайдеры в данном случае выступают в качестве вендоров как сервисов, так и зачастую программных решений. «Задача российского вендора — предложить отказоустойчивую инфраструктуру, необходимое ПО и поддержку, а предприятие-заказчик должно рассматривать себя как часть проектной команды, которая не просто ставит задачу, но и профессионально оценивает сроки и этапы, финансирование и т. д. — говорит Дмитрий Грязнов, генеральный директор компании „Инполюс“. — Только при таком сотрудничестве, как показывает практика, не возникает проблем ни с реализацией проектов, ни с выполнением нормативных требований».

Кроме регуляторов специфические требования к ИТ-рельефам компаний предъявляют отраслевые институты.

Окончание следует

Источник: Александр Маляревский, внештатный обозреватель IT Channel News