Сьогодні немає єдиного закону, який би регулював створення ЦОД і послуги, які вони надають за допомогою своєї інфраструктури, і вимоги до їхньої якості. Ці питання закріплені в Законах України «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах» і постановах НБУ. Також застосовуються загальні положення приватного права з принципом «дозволено все, що прямо не заборонено законом».
Більш того, немає навіть нормативно закріпленого визначення дата-центру або центру обробки даних. Цю прогалину має частково врегулювати Закон України «Про хмарні послуги». У його проєкті від 20.12.2019 № 2655 пропонується така дефініція:
«центр обробки даних — спеціалізований технічний майданчик, що складається з інженерної (системи безперебійного електроживлення, вентиляції, охолодження та регулювання вологості, пожежної безпеки, фізичної охорони), інформаційної, електронної комунікаційної та програмно-апаратної інфраструктури, засоби якого забезпечують або реалізують надання послуг зберігання та обробки даних, в тому числі, але не обмежуючи: надання хмарних послуг, резервного копіювання даних, передачі даних, оренди (колокейшн) комунікаційних стійок, послуг хостингу».
Формально, будь-хто може обладнати на власний розсуд приміщення для розміщення обладнання та назвати це ЦОД.
Фактично ж, як це часто буває, коли правове регулювання не встигає за розвитком суспільних відносин, роль норм виконують сталі галузеві стандарти.
У сфері ЦОД це два найпоширеніші стандарти:
2. Uptime Institute — містить технічні й організаційно-управлінські вимоги (показники TIER).
У цій оглядовій статті зазначаємо лише вимоги до рівня відмовостійкості ЦОД відповідно до показників TIER:
2. TIER II (допустимий простій — 99,749% на рік або 22 години);
3. TIER III (допустимий простій — 99,982% на рік або 96 хвилин);
4. TIER IV (допустимий простій — 99,995% на рік або 26 хвилин).
Орієнтуючись на ці рівні, у договорі на розміщення обладнання в ЦОД варто деталізувати узгоджені сторонами вимоги щодо якості послуг.
Крім послуг суто з розміщення обладнання в ЦОД, дата-центр може пропонувати телекомунікаційні послуги (електронні комунікаційні послуги за законопроєктом від 05.02.2020 № 3014):
🔵 доступ до мережі Інтернет,
🔵 передачу даних,
🔵 комутацію тощо.
🔵 мати статус оператора, провайдера телекомунікацій відповідно до вимог Закону України «Про телекомунікації» і
🔵 знаходитись у реєстрі операторів, провайдерів телекомунікацій.
Перевірити цю інформацію можна на сайті НКРЗІ .
У ЦОД може розміщуватися обладнання, на якому буде зберігатися або оброблятися інформація з обмеженим доступом або державні інформаційні ресурси, крім певних винятків. Стаття 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», покладає відповідальність за забезпечення захисту інформації в системі на власника («телекомунікаційної») системи. Перевагою при виборі ЦОД для бізнесу є наявність усіх або частини умов обробки цієї інформації в системі.
🔵 застосування комплексної системи захисту інформації (КСЗІ) при обробленні інформації в системі;
🔵 наявність системи управління інформаційної безпеки (СУІБ);
🔵 можливість запропонувати як додаткову послугу засоби криптографічного захисту інформації, підтверджені позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації;
🔵 розміщення всіх елементів ЦОД на території України, яка контролюється органами державної влади України.
передбачила вимоги до екранованих шаф або екранованих приміщень, у яких будуть оброблятися електронні банківські документи:
🔵 отримання сертифікатів відповідності на шафи;
🔵 вимірювання приміщень, яке проведене особою з ліцензією ДССЗЗІ;
🔵 наявність проєктної документації.
Постанова НБУ від 28.09.2017 № 95 передбачає наявність системи управління інформаційної безпеки (СУІБ) згідно з ДСТУ ISO/IEC 27001:2015 (розроблений на підставі стандарту ISO/IEC 27001:2013) для цієї сфери застосування.
Якщо ЦОД додатково надає банку телекомунікаційні послуги, постанова НБУ від 07.07.2018 № 75 ставить вимоги до оброблення інформації з обмеженим доступом у такій системі із застосуванням комплексної системи захисту інформації (КСЗІ). Для підтвердження такої системи потрібно отримати атестат відповідності ДССЗЗІ з експертним висновком до нього.
Як бачимо, чинне законодавство щодо ЦОД:
🔵 передбачає широку свободу регулювання у випадку надання послуг приватним особам;
🔵 встановлює окремі обов’язкові вимоги для регулювання надання послуг у випадку розміщення в ЦОД обладнання, на якому буде зберігатися або оброблятися інформація з обмеженим доступом або державні інформаційні ресурси.
🔵 час відмовостійкості;
🔵 вимоги до систем енергопостачання та його резервування;
🔵 вимоги до систем охолодження, пожежогасіння, безпеки, моніторингу та контролю.
Орієнтуватися варто на рівень показників TIER, якому відповідає обраний ЦОД. Від цього ж буде залежати відповідальність ЦОД у разі порушення умов розміщення обладнання.
🔵 досвіду ЦОД з надання послуг органам державної влади України;
🔵 дотримання додаткових стандартів якості з розміщення обладнання;
🔵 наявності документів системи управління інформаційної безпеки (СУІБ) згідно з ISO/IEC 27001:2013.
Якщо власник ЦОД має чинний сертифікат ISO/IEC 27001:2013 у відповідній сфері та пройшов ресертифікаційний аудит, такий ЦОД має перевагу в дотриманні інформаційної безпеки та захисті даних клієнтів.
в реєстрі операторів, провайдерів телекомунікацій, якщо ЦОД пропонує до розміщення обладнання надання додаткових телекомунікаційних послуг.
Хочете отримати детальну практичну інформацію про переваги використання ЦОД?
Звертайтеся за консультацією до MK Legal Service за адресою mk@mklegalservice.com.
Ми підготуємо індивідуальний висновок з повним аналізом та оцінкою всіх ризиків і перспектив застосування ЦОД у вашому бізнесі.