Юридичні основи роботи дата-центрів

З кожним днем у світі генерується все більше й більше інформації. Щоб зберегти дані від втрати й уникнути простою в роботі, власники бізнесу переносять критичні для бізнесу сервіси й обладнання у спеціальні дата-центри (центри обробки даних, далі — ЦОД) або ж у хмарну інфраструктуру.

Але чи є достатнім і прозорим правове регулювання цих рішень в Україні?

Читайте більше про юридичні основи роботи ЦОД у статті Максима Курочко, керуючого партнера MK Legal Service, та Олексія Ільющенкова, старшого юриста компанії.

Що таке центри обробки даних

Сьогодні немає єдиного закону, який би регулював створення ЦОД і послуги, які вони надають за допомогою своєї інфраструктури, і вимоги до їхньої якості. Ці питання закріплені в Законах України «Про телекомунікації», «Про захист інформації в інформаційно-телекомунікаційних системах» і постановах НБУ. Також застосовуються загальні положення приватного права з принципом «дозволено все, що прямо не заборонено законом».

Більш того, немає навіть нормативно закріпленого визначення дата-центру або центру обробки даних. Цю прогалину має частково врегулювати Закон України «Про хмарні послуги». У його проєкті від 20.12.2019 № 2655 пропонується така дефініція:

«центр обробки даних — спеціалізований технічний майданчик, що складається з інженерної (системи безперебійного електроживлення, вентиляції, охолодження та регулювання вологості, пожежної безпеки, фізичної охорони), інформаційної, електронної комунікаційної та програмно-апаратної інфраструктури, засоби якого забезпечують або реалізують надання послуг зберігання та обробки даних, в тому числі, але не обмежуючи: надання хмарних послуг, резервного копіювання даних, передачі даних, оренди (колокейшн) комунікаційних стійок, послуг хостингу».

Стандарти ЦОД

Формально, будь-хто може обладнати на власний розсуд приміщення для розміщення обладнання та назвати це ЦОД.

Фактично ж, як це часто буває, коли правове регулювання не встигає за розвитком суспільних відносин, роль норм виконують сталі галузеві стандарти.

У сфері ЦОД це два найпоширеніші стандарти:

1. TIA-942 (від Telecommunications Industry Association) — містить інженерно-технічні вимоги до інфраструктури ЦОД

2. Uptime Institute — містить технічні й організаційно-управлінські вимоги (показники TIER).

У цій оглядовій статті зазначаємо лише вимоги до рівня відмовостійкості ЦОД відповідно до показників TIER:

1. TIER I (допустимий простій — 99,671% на рік або 29 годин);

2. TIER II (допустимий простій — 99,749% на рік або 22 години);
3. TIER III (допустимий простій — 99,982% на рік або 96 хвилин);
4. TIER IV (допустимий простій — 99,995% на рік або 26 хвилин).

Орієнтуючись на ці рівні, у договорі на розміщення обладнання в ЦОД варто деталізувати узгоджені сторонами вимоги щодо якості послуг.

На що ще варто звернути увагу?

Крім послуг суто з розміщення обладнання в ЦОД, дата-центр може пропонувати телекомунікаційні послуги (електронні комунікаційні послуги за законопроєктом від 05.02.2020 № 3014):

🔵 доступ до мережі Інтернет,
🔵 передачу даних,
🔵 комутацію тощо.

Для їх надання суб’єкт господарювання повинен:

🔵 мати статус оператора, провайдера телекомунікацій відповідно до вимог Закону України «Про телекомунікації» і

🔵 знаходитись у реєстрі операторів, провайдерів телекомунікацій.

Перевірити цю інформацію можна на сайті НКРЗІ .

У ЦОД може розміщуватися обладнання, на якому буде зберігатися або оброблятися інформація з обмеженим доступом або державні інформаційні ресурси, крім певних винятків. Стаття 9 Закону України «Про захист інформації в інформаційно-телекомунікаційних системах», покладає відповідальність за забезпечення захисту інформації в системі на власника («телекомунікаційної») системи. Перевагою при виборі ЦОД для бізнесу є наявність усіх або частини умов обробки цієї інформації в системі.

Ключові умови обробки такої інформації:

🔵 застосування комплексної системи захисту інформації (КСЗІ) при обробленні інформації в системі;

🔵 наявність системи управління інформаційної безпеки (СУІБ);

🔵 можливість запропонувати як додаткову послугу засоби криптографічного захисту інформації, підтверджені позитивним експертним висновком за результатами державної експертизи у сфері криптографічного захисту інформації;

🔵 розміщення всіх елементів ЦОД на території України, яка контролюється органами державної влади України.

Окремі вимоги до ЦОД для банків

Постанова НБУ від 24.07.2007 № 243 передбачила вимоги до екранованих шаф або екранованих приміщень, у яких будуть оброблятися електронні банківські документи:

🔵 отримання сертифікатів відповідності на шафи;

🔵 вимірювання приміщень, яке проведене особою з ліцензією ДССЗЗІ;

🔵 наявність проєктної документації.

Постанова НБУ від 28.09.2017 № 95 передбачає наявність системи управління інформаційної безпеки (СУІБ) згідно з ДСТУ ISO/IEC 27001:2015 (розроблений на підставі стандарту ISO/IEC 27001:2013) для цієї сфери застосування.

Якщо ЦОД додатково надає банку телекомунікаційні послуги, постанова НБУ від 07.07.2018 № 75 ставить вимоги до оброблення інформації з обмеженим доступом у такій системі із застосуванням комплексної системи захисту інформації (КСЗІ). Для підтвердження такої системи потрібно отримати атестат відповідності ДССЗЗІ з експертним висновком до нього.

Висновки для бізнесу

Як бачимо, чинне законодавство щодо ЦОД:

🔵 передбачає широку свободу регулювання у випадку надання послуг приватним особам;

🔵 встановлює окремі обов’язкові вимоги для регулювання надання послуг у випадку розміщення в ЦОД обладнання, на якому буде зберігатися або оброблятися інформація з обмеженим доступом або державні інформаційні ресурси.

Висновок 1:

чітко визначати в договорі на розміщення обладнання в ЦОД умови його розміщення, стандарти та вимоги до якості послуг, які забезпечує ЦОД:

🔵 час відмовостійкості;

🔵 вимоги до систем енергопостачання та його резервування;

🔵 вимоги до систем охолодження, пожежогасіння, безпеки, моніторингу та контролю.

Орієнтуватися варто на рівень показників TIER, якому відповідає обраний ЦОД. Від цього ж буде залежати відповідальність ЦОД у разі порушення умов розміщення обладнання.

Висновок 2:

запитувати в ЦОД підтвердження:

🔵 досвіду ЦОД з надання послуг органам державної влади України;

🔵 дотримання додаткових стандартів якості з розміщення обладнання;

🔵 наявності документів системи управління інформаційної безпеки (СУІБ) згідно з ISO/IEC 27001:2013.

Якщо власник ЦОД має чинний сертифікат ISO/IEC 27001:2013 у відповідній сфері та пройшов ресертифікаційний аудит, такий ЦОД має перевагу в дотриманні інформаційної безпеки та захисті даних клієнтів.

Висновок 3:

перевіряти наявність інформації про суб’єкт господарювання в реєстрі операторів, провайдерів телекомунікацій, якщо ЦОД пропонує до розміщення обладнання надання додаткових телекомунікаційних послуг.

Хочете отримати детальну практичну інформацію про переваги використання ЦОД?

Звертайтеся за консультацією до MK Legal Service за адресою mk@mklegalservice.com.

Ми підготуємо індивідуальний висновок з повним аналізом та оцінкою всіх ризиків і перспектив застосування ЦОД у вашому бізнесі.