====== Законодательные и нормативные требования ====== Раздел рассматривает международные и российские нормативные акты, регулирующие кибербезопасность информационных и операционных технологий в ЦОД. В зарубежной практике основное внимание уделяется защите данных (HIPAA, GDPR) и встроенной безопасности устройств (SB327). В Российской Федерации применяется комплекс федеральных законов и приказов ФСТЭК, определяющих защиту критической информационной инфраструктуры (КИИ), персональных данных и инженерных систем. ===== Общие положения ===== Международное регулирование кибербезопасности затрагивает все аспекты цифровой инфраструктуры — от медицинских систем до центров обработки данных. В России эти функции выполняют национальные законы и ведомственные нормативы, ориентированные на защиту КИИ и персональных данных. Основные группы документов: * **HIPAA (США)** — защита медицинских данных и требований к отказоустойчивости инфраструктуры; * **GDPR (ЕС)** — комплексная защита персональных данных граждан Европейского Союза; * **SB327 (США, Калифорния)** — обязательная встроенная защита IoT- и OT-устройств; * **187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и постановления Правительства РФ** — российская нормативная база для защиты КИИ и инженерных систем ЦОД. ===== HIPAA (США) ===== **Health Insurance Portability and Accountability Act (1996, ред. 2013)** и **HITECH Act (2009)** устанавливают требования к защите электронных медицинских данных (ePHI) и предусматривают штрафы за их компрометацию. Ключевая норма (Section 164.308(a)(7)(ii)(C)): > Разрабатывать и внедрять процедуры для обеспечения непрерывности критически важных процессов и защиты данных ePHI во время аварийного режима. Требуется защита данных при любых отказах инфраструктуры. В контексте ЦОД это подразумевает резервирование питания, связи и киберзащиту систем управления, включая SNMP и Modbus. Уязвимости в этих протоколах могут сделать неэффективным даже избыточное резервирование. Для соответствия HIPAA ЦОД должен обеспечивать: * отказоустойчивое электроснабжение и охлаждение; * шифрование и аутентификацию каналов управления; * сохранность данных при аварийных сценариях и переключениях. ===== GDPR (ЕС) ===== **General Data Protection Regulation (2018)** защищает персональные данные граждан ЕС вне зависимости от местоположения серверов. Любой ЦОД, обрабатывающий такие данные, обязан соблюдать требования GDPR. Основные положения статьи 32: * поддержание **конфиденциальности, целостности, доступности и устойчивости** систем обработки; * оценка рисков утраты, утечки или модификации данных; * обеспечение защиты инженерных систем, поддерживающих IT-инфраструктуру. Нарушение требований влечёт штраф до **4 % мирового оборота** компании. Это включает ответственность за компрометацию инженерных и коммуникационных систем, влияющих на доступность данных. ===== SB327 (США, Калифорния) ===== **California Senate Bill 327 (2018, вступил в силу 2020)** требует, чтобы все сетевые устройства (включая OT) имели встроенные средства защиты от несанкционированного доступа. Основное требование: > Производитель обязан оснастить устройство средствами защиты, предотвращающими несанкционированное изменение, разрушение или раскрытие данных. Устройства без встроенной защиты (Modbus, BACnet, SNMP без шифрования) **не допускаются к применению** без внешних средств безопасности. Фактически это запрет на эксплуатацию незащищённых OT-устройств в штатной инфраструктуре. SB327 стал моделью для новых инициатив в других странах и регионах. Для ЦОД это означает необходимость применения сертифицированных шлюзов и контроллеров, поддерживающих: * шифрованные протоколы (TLS, VPN); * контроль доступа и парольную политику; * ведение журналов действий и событий безопасности. ===== Российская практика ===== В Российской Федерации защита OT и ИТ-систем в ЦОД регулируется федеральным законодательством и ведомственными актами. Основные документы формируют систему защиты критической информационной инфраструктуры (КИИ), персональных данных и инженерных сетей. Ключевые нормативные акты: * **187-ФЗ (26.07.2017)** — базовый закон о безопасности КИИ (технические, организационные и правовые меры). * **ПП РФ №127 (08.02.2018)** — порядок категорирования объектов КИИ и критерии их значимости. * **Приказ ФСТЭК №239 (25.12.2017)** — требования к безопасности значимых объектов КИИ (мониторинг, защита, реагирование). * **149-ФЗ (27.07.2006)** — «Об информации…»; устанавливает требования к защите информации и локализации данных. * **152-ФЗ (27.07.2006)** — «О персональных данных»; определяет технические и организационные меры защиты. * **Приказ ФСТЭК №17 (11.02.2013)** — защита информации в ГИС, включая ЦОД, с разграничением ответственности. * **ПП РФ №258 (01.03.2024)** — антитеррористическая защищённость промышленных объектов (сертифицированное ПО, физическая и киберзащита). В отличие от США и ЕС, в России основное внимание уделяется **категорированию объектов КИИ** и выполнению требований ФСТЭК к значимым системам. Нормативы обеспечивают комплексную защиту — от сетевых атак до несанкционированного физического доступа. ===== Сравнение подходов ===== ^ Область ^ США / ЕС ^ Российская Федерация ^ Практическое значение для ЦОД ^ | Персональные данные | GDPR | 152-ФЗ, 149-ФЗ | Конфиденциальность, локализация, классы ИСПДн | | Критическая инфраструктура (OT) | SB327 | 187-ФЗ, ПП №127, Приказ №239 | Категорирование, меры защиты, реагирование | | Непрерывность и отказоустойчивость | HIPAA | Приказ №239, Приказ №17 | Планирование аварийных сценариев, резервирование | | Физическая и киберзащита | — | ПП №258 (2024) | Комплексная защита промышленных зон и инженерных систем | ===== Ключевые выводы ===== * Зарубежные акты (HIPAA, GDPR, SB327) задают модельные принципы регулирования ИБ в ЦОД, но применимы в юрисдикциях США и ЕС. * В РФ аналогичные функции выполняют 187-ФЗ, 152-ФЗ и приказы ФСТЭК, где упор делается на защиту КИИ и персональных данных. * В отличие от HIPAA, российское регулирование не отраслевое, а функциональное — охватывает любые системы, влияющие на безопасность государства и граждан. * Инженерные сети (OT) входят в контур КИИ и подлежат категорированию при влиянии на IT-сервисы и обработку данных. * Устойчивость и резервирование рассматриваются как часть обеспечения требований к **доступности информации**. * При проектировании ЦОД важно проводить аудит применимости российских актов и реализовывать меры защиты по уровням значимости.