Законодательные и нормативные требования

Раздел рассматривает международные и российские нормативные акты, регулирующие кибербезопасность информационных и операционных технологий в ЦОД. В зарубежной практике основное внимание уделяется защите данных (HIPAA, GDPR) и встроенной безопасности устройств (SB327). В Российской Федерации применяется комплекс федеральных законов и приказов ФСТЭК, определяющих защиту критической информационной инфраструктуры (КИИ), персональных данных и инженерных систем.

Общие положения

Международное регулирование кибербезопасности затрагивает все аспекты цифровой инфраструктуры — от медицинских систем до центров обработки данных. В России эти функции выполняют национальные законы и ведомственные нормативы, ориентированные на защиту КИИ и персональных данных.

Основные группы документов:

HIPAA (США) — защита медицинских данных и требований к отказоустойчивости инфраструктуры;
GDPR (ЕС) — комплексная защита персональных данных граждан Европейского Союза;
SB327 (США, Калифорния) — обязательная встроенная защита IoT- и OT-устройств;
187-ФЗ, 152-ФЗ, 149-ФЗ, приказы ФСТЭК и постановления Правительства РФ — российская нормативная база для защиты КИИ и инженерных систем ЦОД.

HIPAA (США)

Health Insurance Portability and Accountability Act (1996, ред. 2013) и HITECH Act (2009) устанавливают требования к защите электронных медицинских данных (ePHI) и предусматривают штрафы за их компрометацию.

Ключевая норма (Section 164.308(a)(7)(ii)(C)):

Разрабатывать и внедрять процедуры для обеспечения непрерывности критически важных процессов и защиты данных ePHI во время аварийного режима.

Требуется защита данных при любых отказах инфраструктуры. В контексте ЦОД это подразумевает резервирование питания, связи и киберзащиту систем управления, включая SNMP и Modbus. Уязвимости в этих протоколах могут сделать неэффективным даже избыточное резервирование.

Для соответствия HIPAA ЦОД должен обеспечивать:

отказоустойчивое электроснабжение и охлаждение;
шифрование и аутентификацию каналов управления;
сохранность данных при аварийных сценариях и переключениях.

GDPR (ЕС)

General Data Protection Regulation (2018) защищает персональные данные граждан ЕС вне зависимости от местоположения серверов. Любой ЦОД, обрабатывающий такие данные, обязан соблюдать требования GDPR.

Основные положения статьи 32:

поддержание конфиденциальности, целостности, доступности и устойчивости систем обработки;
оценка рисков утраты, утечки или модификации данных;
обеспечение защиты инженерных систем, поддерживающих IT-инфраструктуру.

Нарушение требований влечёт штраф до 4 % мирового оборота компании. Это включает ответственность за компрометацию инженерных и коммуникационных систем, влияющих на доступность данных.

SB327 (США, Калифорния)

California Senate Bill 327 (2018, вступил в силу 2020) требует, чтобы все сетевые устройства (включая OT) имели встроенные средства защиты от несанкционированного доступа.

Основное требование:

Производитель обязан оснастить устройство средствами защиты, предотвращающими несанкционированное изменение, разрушение или раскрытие данных.

Устройства без встроенной защиты (Modbus, BACnet, SNMP без шифрования) не допускаются к применению без внешних средств безопасности. Фактически это запрет на эксплуатацию незащищённых OT-устройств в штатной инфраструктуре.

SB327 стал моделью для новых инициатив в других странах и регионах. Для ЦОД это означает необходимость применения сертифицированных шлюзов и контроллеров, поддерживающих:

шифрованные протоколы (TLS, VPN);
контроль доступа и парольную политику;
ведение журналов действий и событий безопасности.

Российская практика

В Российской Федерации защита OT и ИТ-систем в ЦОД регулируется федеральным законодательством и ведомственными актами. Основные документы формируют систему защиты критической информационной инфраструктуры (КИИ), персональных данных и инженерных сетей.

Ключевые нормативные акты:

187-ФЗ (26.07.2017) — базовый закон о безопасности КИИ (технические, организационные и правовые меры).
ПП РФ №127 (08.02.2018) — порядок категорирования объектов КИИ и критерии их значимости.
Приказ ФСТЭК №239 (25.12.2017) — требования к безопасности значимых объектов КИИ (мониторинг, защита, реагирование).
149-ФЗ (27.07.2006) — «Об информации…»; устанавливает требования к защите информации и локализации данных.
152-ФЗ (27.07.2006) — «О персональных данных»; определяет технические и организационные меры защиты.
Приказ ФСТЭК №17 (11.02.2013) — защита информации в ГИС, включая ЦОД, с разграничением ответственности.
ПП РФ №258 (01.03.2024) — антитеррористическая защищённость промышленных объектов (сертифицированное ПО, физическая и киберзащита).

В отличие от США и ЕС, в России основное внимание уделяется категорированию объектов КИИ и выполнению требований ФСТЭК к значимым системам. Нормативы обеспечивают комплексную защиту — от сетевых атак до несанкционированного физического доступа.

Сравнение подходов

Область	США / ЕС	Российская Федерация	Практическое значение для ЦОД
Персональные данные	GDPR	152-ФЗ, 149-ФЗ	Конфиденциальность, локализация, классы ИСПДн
Критическая инфраструктура (OT)	SB327	187-ФЗ, ПП №127, Приказ №239	Категорирование, меры защиты, реагирование
Непрерывность и отказоустойчивость	HIPAA	Приказ №239, Приказ №17	Планирование аварийных сценариев, резервирование
Физическая и киберзащита	—	ПП №258 (2024)	Комплексная защита промышленных зон и инженерных систем

Ключевые выводы

Зарубежные акты (HIPAA, GDPR, SB327) задают модельные принципы регулирования ИБ в ЦОД, но применимы в юрисдикциях США и ЕС.
В РФ аналогичные функции выполняют 187-ФЗ, 152-ФЗ и приказы ФСТЭК, где упор делается на защиту КИИ и персональных данных.
В отличие от HIPAA, российское регулирование не отраслевое, а функциональное — охватывает любые системы, влияющие на безопасность государства и граждан.
Инженерные сети (OT) входят в контур КИИ и подлежат категорированию при влиянии на IT-сервисы и обработку данных.
Устойчивость и резервирование рассматриваются как часть обеспечения требований к доступности информации.
При проектировании ЦОД важно проводить аудит применимости российских актов и реализовывать меры защиты по уровням значимости.