Минюст зарегистрировал приказ Минцифры №1106, утверждающий требования к обеспечению ИБ при предоставлении облачных услуг через государственную единую облачную платформу (ГЕОП).
Таким образом, документ признан нормативным правовым актом и после публикации станет обязательным для применения. Государство формирует единый стандарт безопасности для облаков, работающих с госинформсистемами, а конкретно новый текст устанавливает комплекс требований к поставщикам облачных услуг, инфраструктура которых будет использоваться в рамках ГЕОП.
Приказ напрямую ссылается на требования ФСТЭК и ФСБ по защите информации, включая обязательное применение сертифицированных средств криптографической защиты и выполнение требований по защите ГИС и ПДн.
Одно из ключевых положений документа — требование использовать программные и аппаратные компоненты, включённые в реестры российского ПО и российской радиоэлектронной продукции. Фактически Минцифры закрепляет курс на технологический суверенитет уже на уровне архитектуры «гособлаков». Для поставщиков инфраструктуры это означает необходимость не только импортозамещения программного стека, но и подтверждения происхождения серверного оборудования, систем хранения данных и других компонентов.
Документ также требует размещения технических средств, средств защиты информации и ЦОДов исключительно на территории РФ. Кроме того, облачная инфраструктура должна проходить аттестацию на соответствие требованиям безопасности информации.
Существенный блок требований касается мониторинга ИБ-инцидентов: поставщики облачных услуг обязаны организовать процессы обнаружения, предупреждения и ликвидации последствий компьютерных атак, а также взаимодействовать с ГосСОПКА. По сути, регулятор формирует обязательный уровень зрелости SOC-функций для операторов «гособлаков».
Для рынка коммерческих ЦОДов и облаков приказ может стать важным драйвером трансформации. Как правило, требования, вводимые для государственных информационных систем, со временем начинают использоваться и корпоративным сектором. Поэтому новые нормы способны увеличить спрос на аттестованные площадки, сертифицированные облачные сервисы и инфраструктуру, соответствующую требованиям ФСТЭК и ФСБ.
Наличие сертифицированной инфраструктуры, российских платформ виртуализации, встроенных средств ИБ и готовности к аттестации становится не просто конкурентным преимуществом, а фактически условием доступа к государственным и окологосударственным проектам. Новые требования могут повысить порог входа для небольших облачных провайдеров. Выполнение требований по сертификации, интеграции с государственными системами мониторинга ИБ и использованию отечественного оборудования потребует значительных инвестиций. Это может усилить консолидацию рынка вокруг крупных игроков, уже инвестировавших в импортонезависимые решения и создание защищённых облачных платформ.
Стоимость входа на рынок ГЕОП выросла бы ещё больше, если бы проект приняли в первоначальном виде. В финальной согласованной версии, которая прошла межведомственные согласования и правовую экспертизу, оставлены только обязательные рамочные нормы, не требующие обязательного использования полноценных SOC и PAM-систем.
Регулятор ускоряет движение рынка к модели «суверенных облаков», где ключевыми конкурентными факторами являются не только цена и масштаб инфраструктуры, но и уровень регуляторного соответствия. Для отрасли ЦОДов и облаков приказ Минцифры — сигнал о том, что государство переходит от точечного регулирования к формированию полноценной нормативной модели доверенной облачной инфраструктуры.