О проекте изменений в 149-ФЗ «Об информации, информационных технологиях и о защите информации» - два понятия

            Поговорим о терминологии, из-за неточности или несогласованности в которой возникают путаница и противоречия при практической реализации различных систем, при оценке отношений, связанных с их деятельностью.

           27 августа 2020 года был опубликован проект внесения изменений в Федеральный законы «О связи» и «Об информации, информационных технологиях и о защите информации», подготовленный Минкомсвязи.

          В частности, предлагается ввести понятия «центр обработки и хранения данных» и «оператор центра хранения и обработки данных», поскольку, по мнению разработчиков, «в настоящее время данные объекты и субъекты не введены в правовое поле» (дополнить статью 2 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) «Об информации, информационных технологиях и о защите информации» пунктами 21 и 22).

            Есть ли необходимость вводить понятие «центр обработки и хранения данных» (ЦХОД), когда в стандартах, которые должны являться источниками терминов и определений в предметной области, уже есть определения «ЦОД» и «обработка информации»?

            И хотя в статье 2 вышеуказанного закона говорится, что «информационные технологии - процессы, методы поиска, сбора, хранения, обработки, предоставления, распространения информации и способы осуществления таких процессов и методов», в ряде стандартов понятие «хранение информации» является частью понятия «обработка информации» (или являлось ранее).

            Например, в межгосударственном стандарте «обработка информации» (Information processing) - это «совокупность операций, связанных с хранением, поиском, анализом, оценкой, воспроизведением информации с целью представления ее в виде данных, удобных для использования потребителями» [п.3.2.1.3 ГОСТ 7.0.-99 СИБИД].

            В ИСО/МЭК 2382-1 и ГОСТ Р 52292-2004 (п.7.1.1) «обработка информации» – это «систематическое осуществление операций над данными», а в ГОСТ 15971-90 Системы обработки информации. Термины и определения – «Систематическое выполнение операций над данными, представляющими предназначенную для обработки информацию».

            Ранее в ГОСТ Р 51275-99 «обработка информации (Information processing)» также включала в себя «хранение» как «совокупность операций сбора, накопления, ввода, вывода, приема, передачи, записи, хранения, регистрации, уничтожения, преобразования, отображения информации» [п. 2.1 (7) ГОСТ Р 51275-99], но в пришедшем ему на смену ГОСТ Р 51275-2006 термины и определения «обработка» и «хранение» отсутствуют.

            В рекомендациях по стандартизации Р 50.1.053-2005 Информационные технологии. Основные термины и определения в области технической защиты информации эти термины и определения также отсутствуют, а в определениях «3.1.1 защищаемая автоматизированная информационная система» и «3.1.3 защищаемая информационная технология» понятия «хранения» и «обработка» приводятся через запятую, т.е. как равноправные.

            Что касается определения «центр обработки данных» (ЦОД) - в России первого августа этого года введены в действие два национальных стандарта, разработанных некоммерческой организацией "Ассоциация участников отрасли центров обработки данных" и внесенных ТК 120 «Центры обработки данных»:

• ГОСТ Р 58811-2020 Центры обработки данных. Инженерная инфраструктура. Стадии создания;
• ГОСТ Р 58812-2020 Центры обработки данных. Инженерная инфраструктура. Операционная модель эксплуатации. Спецификация.

            В этих стандартах дано определение: «3.1.13 центр обработки данных; ЦОД: Специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным».

            В то время как в законопроекте про ЦХОД написано: «21) центр хранения и обработки данных – специализированный объект с собственными инженерными системами для размещения оборудования, обеспечивающего хранение, обработку и доступ к данным, с гарантированными уровнями доступности, безопасности и управляемости».

            То есть в определении указано назначение объекта, а также требования к условиям доступности, безопасности и управляемости.

            Для исключения противоречий между понятиями ЦОД и ЦХОД предлагается

1. Дополнить статью 2 Федерального закона от 27.07.2006 N 149-ФЗ (ред. от 03.04.2020) «Об информации, информационных технологиях и о защите информации» пунктами 21 и 22 следующего содержания:

21) обработка информации - совокупность операций, связанных с хранением, поиском, анализом, оценкой, воспроизведением информации с целью представления ее в виде данных, удобных для использования потребителями;

22) центр обработки данных - специализированный объект, представляющий собой связанную систему ИТ-инфраструктуры и инженерной инфраструктуры, оборудование и части которых размещены в здании или помещении, подключенном к внешним сетям, как инженерным, так и телекоммуникационным, и предназначены для обработки и доступа к данным, с гарантированными уровнями доступности, безопасности и управляемости.

2. Далее по тексту законопроекта понятия «центр хранения и обработки данных» и «оператор центра хранения и обработки данных» заменить на «центр обработки данных» и «оператор центра обработки данных» соответственно.

            Антикоррупционная экспертиза предлагаемого законопроекта продлится до 16 сентября.