Надо ли доверять аттестованным ЦОД?

Аттестация ЦОД (добровольная) - это прежде всего маркетинговая акция для отстройки от конкурентов и создания добавленной стоимости. Аттестующая организация не гарантирует защиту размещаемых в ЦОД систем или их соответствие каким-либо требованиям и никакой ответственности за это не несет. При аттестации проверяется выполнение требований конкретных нормативных документов в отношении предоставленного для аттестации конкретного оборудования, СЗИ, ПО (конкретных конфигураций), помещений и документов. Даже если серверная часть защищена, но сверху установить дырявое приложение с доступом из интернет, то очевидно, что система в целом (приложение + сервер + каналы связи + ...) не защищена и никаким требованиям не соответствует. Другими словами, то что у ЦОД имеется некий аттестат по УЗ3 или УЗ2 не означает, что размещаемые там ИС автоматически становятся защищены по УЗ3 или УЗ2, а оператор этих систем выполнил требования регуляторов.

Имеет смысл посмотреть, что написано в аттестате (область аттестации, нормативные документы, условия действия аттестата, сроки, исключения и т.д.). Может статься, что размещаемая в ЦОД система вообще никак не связана ни физически, ни логически с аттестованными объектами ЦОД. Также надо посмотреть, что написано в договоре с ЦОД и в SLA. Как определена область ответственности ЦОД в части реализации защитных мер, чем она ограничивается и чем обеспечивается. Если это четко в договоре не определено, то ответственность ЦОД ничем не отличается от ответственности обычного хостинг-провайдера, т.е. близка к нулю и укладывается в рамки действующего тарифа за обслуживание.

Передача части ответственности за ИБ контрагентам - это стандартная практика в наше время, когда ИТ/ИБ - это в основном внешние сервисы, кем-то предоставляемые. Наша цель - минимизация рисков ИБ. Для оператора ПДн - это риски, связанные с возможными инцидентами, либо риски невыполнения регуляторных требований. Минимизация этих рисков в данном случае осуществляется совместными усилиями оператора, (в ряде случаев) его сервис-провайдера и ЦОД. В случае реализации риска (недоступность системы, утечка или искажение данных, претензии регуляторов и т.п.) убытки ложатся на оператора, который перекладывает часть этих убытков на сервис-провайдера, опираясь на договор с этим провайдером (если инцидент находится в зоне ответственности провайдера), налагает на него штрафы и компенсации доказанных потерь. Сервис-провайдер со своей стороны также поступает в отношении ЦОД.

В любом случае ответственность за выполнение требований нормативной базы (мер обеспечения ИБ) в отношении защищаемой системы с оператора ПДн никто не снимает, т.к. именно он организует процесс сбора и обработки ПДн и принимает на себя все связанные с этим риски. Поэтому в подобных схемах разделения ответственности должно быть определено какие требования/меры кем реализуются, на основании какого договора и чем обеспечивается выполнение данных обязательств. При проектирование системы защиты вопросы распределения ответственности должны быть отражение в проектной документации и ОРД. При заключении сервисных договоров эти вопросы должны быть в них подробно прописаны с конкретизацией по мерам ИБ, видам инцидентов, с указанием размеров штрафов и порядка компенсации ушерба. Если этого не сделано, то весь контроль за обработкой ПДн оказывается в руках провайдера и/или ЦОД, а вся ответственность и риски остаются к сожалению на операторе ПДн.