Невзирая на самые разные сложности, наше государство продолжает развиваться в сфере информационных технологий. ЦОДостроительство в последнее время – вообще «в ударе», растут и масштабы объектов, и их количество, и распространение по территории государства. Однако вопрос подтверждения качества и надежности услуг ЦОД по-прежнему находится вне юридического поля, несмотря на всё возрастающую его актуальность для большинства участников.
Недавно попалось на глаза выступление на околоцодовской тусовке г-на Дмитрия Никитина, директора Департамента развития отрасли ИТ из Минцифры РФ. В котором этот самый господин заявил, что не сегодня-завтра, как только депутаты утвердят поправки к закону о связи – Минцифры тут же предъявит миру некую модель классификации ЦОД и механизм ее реализации.
Помнится, год назад мы касались этого вопроса (см. 1 и 2), и обсуждавшееся тогда АНО КС ЦОД грозилось помочь Минцифре в реализации сей важной задачи. Соответственно, посмотрел, что там у них поменялось в открытом доступе – и вуаля: всего то за 4 года с момента регистрации – смогли-таки выпустить один документ, касающийся ЦОД. Гордо именуемый «Модель классификации ЦОДов».
Буков там много, и мы, конечно, разберем их повнимательнее позже. Ибо истории про Какао и прочие характерные для ЦОДов ништяки – мы помним (кто подзабыл – у меня в блоге можно освежить). Но сейчас речь пока не об этом: всё же запали в душу слова того самого директора департамента, коий грозился такую самую модель выпустить силами Минцифры. Так что смотрим докУмент с этой точки зрения.
1.2. Назначение документаНастоящий документ описывает модель классификации ЦОДов применительно к их уровню готовности и физической защищенности и дает рекомендации по организации подобных объектов для обеспечения нужд государственных и частных компаний, использующих информационные системы разного уровня критичности.Настоящий документ разработан в целях обеспечения единого унифицированного подхода к организации ЦОДов, служащих для работы государственных информационных систем (ГИС) и иных информационных ресурсов.Основания для разработки: Законопроект № 1195296-7 «О внесении изменений в Федеральный закон «О связи»» (в части регулирования деятельности центров обработки данных). Принят Государственной Думой в первом чтении 6 апреля 2022 года.
Таким образом, АНО КС ЦОД свое обещание вроде как сдержали: выпустили документ (предположительно) по поручению Минцифры РФ. Ибо в качестве основания для разработки – стоит не хухры-мухры, а конкретный законопроект, продвигаемый Минцифрой.
Мы, конечно же, помним, что разработчики, представляющие интересы вроде как - частных структур, данным документом пытаются определить некие требования к ЦОДам в том числе - для государственных нужд, «служащих для работы государственных информационных систем».
Проблема не в факте такого предложения помощи, а в отсутствии при таком подходе понимания – кто при этом защищает интересы государства? Ибо дело в некотором роде – государственное, касающееся много чего, а каким образом государственные структуры поучаствовали в разработке решения, и каким образом были учтены государственные интересы – ну никак не понятно.
Кстати, в тексте того самого законопроекта № 1195296-7 «О внесении изменений в Федеральный закон «О связи»» говорится:
в статье 21:а) пункт 1 дополнить абзацем следующего содержания:"Правительство Российской Федерации утверждает классификацию центров обработки данных и критерии такой классификации.";
И мы все теперь понимаем, кто реально будет готовить классификацию ЦОД для утверждения Правительством РФ – это, конечно же АНО КС ЦОД Минцифры.
Продолжим.
2.1. Критерии соответствия….Оценка соответствия ЦОДа указанным критериям классификации проводится уполномоченными (аккредитованными) организациями в соответствии с порядком проведения технического аудита центров обработки данных с целью определения их класса согласно программе и методике проведения оценки.
А вот это – уже интересно. То есть будут какие-то уполномоченные (аккредитованные) организации. И кто же это будет то?
Смотрим дальше.
8. Порядок проведения технического аудита ЦОДов с целью определения их класса1. Для обеспечения независимой оценки с целью определения классов центров обработки данных федеральный орган исполнительной власти в области связи определяет некоммерческую организацию, осуществляющую функции технического аудита ЦОДов.
Ах, вот оно как, Петрович! То есть выбор этой самой уполномоченной (аккредитованной) организации – осуществляет Минцифры. Причем – исключительно из состава НКО. Эва! Но и это еще не всё!
17. В качестве некоммерческой организации, осуществляющей функции технического аудита ЦОДов, может быть определена некоммерческая организация, соответствующая в совокупности следующим требованиям:17.1. некоммерческая организация не основана на членстве;17.2. в состав учредителей некоммерческой организации не входят иностранные граждане, иностранные организации или международные организации.
Какие строгие критерии, не находите? Кстати, формулировка – она весьма интересна, рекомендуем ее прочим структурам: «не входят иностранные граждане, иностранные организации или международные организации». И нафига только Минюст изобретал каких-то там «иноагентов», да? Можно то было всего-то – отловить и пометить всех иностранцев, а они парятся там чего-то, требования и ограничения по признанию иноагентом изобретают, списки формируют...
Ну и вишенкой на торте – следующий пункт:
19. Срок полномочий некоммерческой организации, осуществляющей функции технического аудита ЦОДов, составляет 10 лет.
Не, вы такое в нашей стране часто встречали? Могли бы вообще, как у судей написать – «пожизненно», но поскромничали, видать.
А теперь – внимание, следите за руками – тот пункт, ради которого и городился весь этот огород:
12. Некоммерческая организация, осуществляющая функции технического аудита ЦОДов:12.1. Разрабатывает и согласовывает с федеральным органом исполнительной власти в области связи методику технического аудита ЦОДов (включающую требования к составу и квалификации экспертов, привлекаемых к осуществлению технического аудита), форму договора на проведение технического аудита, порядок определения договорной стоимости технического аудита, форму заключения по результатам технического аудита;12.2. Заключает договоры на проведение технического аудита ЦОДов, организует проведение технического аудита, в том числе с привлечением субподрядных организаций в случаях необходимости мероприятий, требующих специальных познаний и навыков в области техники и технологий, а также необходимости непосредственного обследования территориально удаленных объектов. Если некоммерческая организация, осуществляющая функции технического аудита ЦОДов, привлекает к проведению технического аудита субподрядные организации, указанным организациям не могут быть переданы функции по принятию решения об отнесении ЦОДа к определенному классу;
То есть, во-первых, сама придумывает методику оценки, а, во-вторых – имеет право привлекать каких угодно субподрядчиков. Нда… Как говорится - и тут ему карта пошла. А вот и подтверждение догадки:
24. В качестве экспертов для проведения технического аудита ЦОДа могут выступать лица, обладающие специальными знаниями в области функционирования ЦОДов и доказанным многолетним опытом по профилю экспертизы, при этом указанные лица не должны одновременно быть работниками (в том числе на основании гражданско-правового договора) оператора проверяемого ЦОДа.
Ну, вы всё поняли? Чтобы быть экспертом – надо обладать какими-то знаниями и доказать наличие опыта. Ни какими именно знаниями обладать, ни как доказывать опыт – не важно от слова совсем.
И, на последок - а как же Минцифры избавиться от этого самого технического аудитора, если он плохо работает? А вот - никак, оказывается! Не шучу - читаем соответствующий пункт:
20. Полномочия некоммерческой организации, осуществляющей функции технического аудита ЦОДов, могут быть прекращены на основании решения федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, досрочно по заявлению некоммерческой организации, осуществляющей функции технического аудита ЦОДов, а также в случае выявления несоответствия некоммерческой организации, осуществляющей функции технического аудита ЦОДов, требованиям, установленным пунктом 17 настоящего Порядка. Решение о прекращении полномочий некоммерческой организации, осуществляющей функции технического аудита ЦОДов, не позднее семи дней со дня его принятия направляется такой некоммерческой организации и размещается на сайте федерального органа исполнительной власти в области связи в информационно-телекоммуникационной сети «Интернет».
Всего два основания: собственное желание - и нарушение требований о виде НКО и наличии иностранцев-акционеров. Всё. И ЦОДы, случай чего - могут жаловаться куда угодно: Минцифры даже если будет согласно с их претензиями - никак не сможет уволить НКО-аудитора, пока 10 лет не пройдут. Вот он, государственный подход! (на самом деле - нет)
Кстати, тут еще один казус: назначал то НКО - технического аудитора "федеральный орган исполнительной власти в области связи", а вот увольнять предлагается решением "федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий". Как так то? Спешили, видать, писатели...
Я, честно говоря, откровенно порадовался и за наше Минцифры, и за АНО КС ЦОД. Это же надо – как всё просто и гениально! Вот осталось только протащить это всё через Правительственное решение – и – вуаля, жизнь то удалась!
Предлагаем по шагам еще раз проговорить сию гениальную схему, чтобы она отложилась более четко. Итак,
- Минцифры курирует тему ЦОДов в госпрограмме «Цифровая экономика»
- там указана необходимость формирования национальной системы классификации и сертификации ЦОД
- срочно создается некое НКО для легитимного получения госсредств по данной программе
- НКО изначально наделяется правом привлечения любых соисполнителей по своему усмотрению
- НКО рисует некий регламент, который дает право министерству самостоятельно назначить это самое НКО исполнителем функции аудитора на 10 лет
- дабы изобразить некоторую заботу о государстве – в качестве требований к НКО рисуется только отсутствие среди его учредителей иностранцев
- а чтобы не пролезли реально что-то понимающие – ставится барьер в виде запрета выбора в качестве аудитора НКО, основанного на членстве
- отказаться от услуг НКО в течении 10 лет (по правилам регламента) - фактически невозможно, если оно само не захочет
- профит для всех участников схемы (ибо эксперты же ведь они все, не так ли?)
Интересно, они реально считают всех идиотами, включая Правительство РФ, которое должно этот бред утвердить?
Вот лишь некоторые вопросы, которые следовало бы задать сему преступному сообществу, дабы подсветить абсурдность и коррупционность схемы:
1. Действующим законодательством (см. напр, «Закон о техническом регулировании») определен порядок подтверждения соответствия продукции и услуг требованиям. Почему в случае реально значимых и критичных услуг, к которым относятся услуги ЦОД, предлагается не исполнять действующее законодательство?
2. С какой целью организация – технический аудитор ЦОД должна быть именно НКО? В отношении финансового аудита (который не менее критичен) – такого рода требования отсутствуют.
3. Почему к организации – техническому аудитору ЦОД не предъявляются никакие квалификационные требования? Достаточно всего лишь быть любым НКО не на членстве и без иностранцев среди учредителей (среди бенефициаров, партнеров и прочих участников НКО - можно).
4. Почему требованиями к организации – техническому аудитору ЦОД не учтено, кто реально принимает решения в организации? В частности, среди учредителей и прочих участников и партнеров АНО КС ЦОД - ряд организаций полностью подконтрольны структурам из недружественных стран (США, Великобритании и др.)
5. Почему организация – технический аудитор ЦОД наделяется правом для исполнения своих функций привлечения субподрядчиков без какого-либо согласования с кем бы то ни было? И при этом - привлекать можно реально кого угодно, включая и иностранцев (такое право явно прописано в уставе АНО КС ЦОД).
6. Почему не предусмотрена никакая ответственность организации – технического аудитора ЦОД за ложную оценку? То есть пока предусмотрен только такой вариант: госструктуры будут доверять оценке аудитора – ЦОД грохнется – и аудитор ну вообще не при делах и никаких к нему претензий.
7. Почему не предусмотрена возможность отказа от организации – технического аудитора ЦОД за нарушения при исполнении возложенных обязанностей? Вот выбрали на 10 лет - и всё: работает или не работает, хорошо работает или плохо - всё это не имеет значения. Если сама организация не захочет уйти - убрать принудительно шансов нет.
8. С какой целью в модель классификации включать весь это бред о порядке выбора аудитора? Не для того ли, чтобы Правительство РФ утвердило не только саму классификацию (что прописано в поправках к закону), но и эту левую схему слива всех денег по теме на ближайшие 10 лет на конкретное НКО?
Можно и дальше продолжать. Но, видать, господа хорошо понимают, что делают, и не слишком опасаются вопросов, коль городят сплошные ляпы.
До определенного момента в Минцифре эта тема была в зоне ответственности г-на М.Паршина (а упоминаемый в начале материала Д.Никитин – был его подчиненным). Но вот в июне 2023 года с Паршиным случилась неприятность, и он с тех пор за тему не отвечает.
Тем не менее, содержательная часть этой самой неприятности – должна была бы навести господ на определенные размышления, однако пока, судя по всему, нет.
Автор - Mr.Wolf