Вступил в силу запрет на иностранные облачные сервисы для госструктур

С 1 сентября 2024 года вступил в силу запрет на использование иностранных хостингов в информационных системах госструктур. По новым правилам, для таких информационных систем могут использоваться только отечественные подрядчики из числа хостинг-провайдеров, включенных в реестр Минцифры, соответствующие установленным требованиям.

Кроме того, по общему правилу, при создании и эксплуатации таких информационных систем, а также при «осуществлении взаимодействия в электронной форме» госструктурам больше нельзя будет использовать иностранные информационные системы и облачные сервисы независимо от типа (IaaS, PaaS, SaaS).

На что распространяется запрет?

ФЗ «Об информации, информационных технологиях и о защите информации» от 27 июля 2006 года № 149-ФЗ («Закон») в новой редакцииПод новой редакцией понимаются положения ФЗ «О внесении изменений в Федеральный закон «Об информации, информационных технологиях и о защите информации» и Федеральный закон «О связи» от 31 июля 2023 года № 406-ФЗ («Закон о хостинг-провайдерах»), вступающие в силу с 1 сентября 2024 года. распространяет вышеуказанный запрет на любые «информационные системы» («ИС») — в Законе они достаточно широко определены как «совокупность содержащейся в базах данных информации и обеспечивающих ее обработку информационных технологий и технических средств».

Под «провайдером хостинга» Закон понимает любое «лицо, осуществляющее деятельность по предоставлению вычислительной мощности для размещения информации в информационной системе, постоянно подключенной к сети Интернет».

Запрет распространяется на:

• государственные (федеральные и региональные) и муниципальные ИС; и
• ИС государственных и муниципальных предприятий и учреждений.

Услуги хостинга

Указанные выше категории заказчиков смогут пользоваться только услугами хостинг-провайдеров, сведения о которых включены в специальный реестр Минцифры (утвержден Постановлением Правительства от 24 августа 2024 года № 1144), и которые отвечают следующим требованиям:

• отсутствует запись о недостоверности сведений о юридическом лице в ЕГРЮЛ и такое юридическое лицо находится под контролем, в том числе, Российской Федерации (субъектов, муниципальных образований) и/или граждан РФ, не имеющих иностранного гражданства (для юридических лиц);
• обеспечиваются применимые требования о защите информации;
• серверное оборудование находится на территории РФ; и
• провайдеры включены в реестр хостинг-провайдеров Роскомнадзора.

Облачные сервисы

Помимо ограничений в сфере хостинга, частью 2.4 статьи 13 Закона устанавливается ограничение для госструктур на использование ИС и программного обеспечения, принадлежащих иностранным юридическим и физическим лицам, если их «функционирование осуществляется посредством сети Интернет».

Мы полагаем, что такая достаточно широкая формулировка Закона устанавливает запрет на любые иностранные облачные сервисы, независимо от их типа (IaaS, PaaS, SaaS).

Краткая справка в отношении предшествующих требований Закона

Напоминаем, что первая часть ограничений в отношении хостинг-провайдеров в рамках Закона о хостинг-провайдерах уже вступила в силу с 1 декабря 2023 года.

Изменениями, среди прочего, устанавливались:

• требования к информационной безопасности (в том числе обязательство хранить данные только в России);
• обязанность выполнять требования контролирующих органов об устранении нарушений требований Закона о хостинг-провайдерах;
• обязанность взаимодействовать с ФСБ России по вопросам проведения оперативно-розыскных мероприятий; и
• обязанность хостинг-провайдеров взаимодействовать с Государственной системой обнаружения, предупреждения и ликвидации последствий компьютерных атак (ГосСОПКА).

Кроме того, оказывать услуги хостинга в соответствии с Законом о хостинг-провайдерах можно только лицам, прошедшим идентификацию.

Наконец, Роскомнадзором был запущен специальный реестр хостинг-провайдеров — с 1 февраля 2024 года деятельность хостинг-провайдеров, не включенных в реестр, не допускается.