Невзирая на самые разные сложности, наше государство продолжает развиваться в сфере информационных технологий. ЦОДостроительство в последнее время – вообще «в ударе», растут и масштабы объектов, и их количество, и распространение по территории государства. Однако вопрос подтверждения качества и надежности услуг ЦОД по-прежнему находится вне юридического поля, несмотря на всё возрастающую его актуальность для большинства участников.
Недавно попалось на глаза выступление на околоцодовской тусовке г-на Дмитрия Никитина, директора Департамента развития отрасли ИТ из Минцифры РФ. В котором этот самый господин заявил, что не сегодня-завтра, как только депутаты утвердят поправки к закону о связи – Минцифры тут же предъявит миру некую модель классификации ЦОД и механизм ее реализации.
Помнится, год назад мы касались этого вопроса (см. 1 и 2), и обсуждавшееся тогда АНО КС ЦОД грозилось помочь Минцифре в реализации сей важной задачи. Соответственно, посмотрел, что там у них поменялось в открытом доступе – и вуаля: всего то за 4 года с момента регистрации – смогли-таки выпустить один документ, касающийся ЦОД. Гордо именуемый «Модель классификации ЦОДов».
Буков там много, и мы, конечно, разберем их повнимательнее позже. Ибо истории про Какао и прочие характерные для ЦОДов ништяки – мы помним (кто подзабыл – у меня в блоге можно освежить). Но сейчас речь пока не об этом: всё же запали в душу слова того самого директора департамента, коий грозился такую самую модель выпустить силами Минцифры. Так что смотрим докУмент с этой точки зрения.
1.2. Назначение документа
Настоящий документ описывает модель классификации ЦОДов применительно к их уровню готовности и физической защищенности и дает рекомендации по организации подобных объектов для обеспечения нужд государственных и частных компаний, использующих информационные системы разного уровня критичности.
Настоящий документ разработан в целях обеспечения единого унифицированного подхода к организации ЦОДов, служащих для работы государственных информационных систем (ГИС) и иных информационных ресурсов.
Основания для разработки: Законопроект № 1195296-7 «О внесении изменений в Федеральный закон «О связи»» (в части регулирования деятельности центров обработки данных). Принят Государственной Думой в первом чтении 6 апреля 2022 года.
Таким образом, АНО КС ЦОД свое обещание вроде как сдержали: выпустили документ (предположительно) по поручению Минцифры РФ. Ибо в качестве основания для разработки – стоит не хухры-мухры, а конкретный законопроект, продвигаемый Минцифрой.
Мы, конечно же, помним, что разработчики, представляющие интересы вроде как - частных структур, данным документом пытаются определить некие требования к ЦОДам в том числе - для государственных нужд, «служащих для работы государственных информационных систем».
Проблема не в факте такого предложения помощи, а в отсутствии при таком подходе понимания – кто при этом защищает интересы государства? Ибо дело в некотором роде – государственное, касающееся много чего, а каким образом государственные структуры поучаствовали в разработке решения, и каким образом были учтены государственные интересы – ну никак не понятно.
Кстати, в тексте того самого законопроекта № 1195296-7 «О внесении изменений в Федеральный закон «О связи»» говорится:
в статье 21:
а) пункт 1 дополнить абзацем следующего содержания:
"Правительство Российской Федерации утверждает классификацию центров обработки данных и критерии такой классификации.";
И мы все теперь понимаем, кто реально будет готовить классификацию ЦОД для утверждения Правительством РФ – это, конечно же АНО КС ЦОД Минцифры.
Продолжим.
2.1. Критерии соответствия
….
Оценка соответствия ЦОДа указанным критериям классификации проводится уполномоченными (аккредитованными) организациями в соответствии с порядком проведения технического аудита центров обработки данных с целью определения их класса согласно программе и методике проведения оценки.
А вот это – уже интересно. То есть будут какие-то уполномоченные (аккредитованные) организации. И кто же это будет то?
Смотрим дальше.
8. Порядок проведения технического аудита ЦОДов с целью определения их класса
1. Для обеспечения независимой оценки с целью определения классов центров обработки данных федеральный орган исполнительной власти в области связи определяет некоммерческую организацию, осуществляющую функции технического аудита ЦОДов.
Ах, вот оно как, Петрович! То есть выбор этой самой уполномоченной (аккредитованной) организации – осуществляет Минцифры. Причем – исключительно из состава НКО. Эва! Но и это еще не всё!
17. В качестве некоммерческой организации, осуществляющей функции технического аудита ЦОДов, может быть определена некоммерческая организация, соответствующая в совокупности следующим требованиям:
17.1. некоммерческая организация не основана на членстве;
17.2. в состав учредителей некоммерческой организации не входят иностранные граждане, иностранные организации или международные организации.
Какие строгие критерии, не находите? Кстати, формулировка – она весьма интересна, рекомендуем ее прочим структурам: «не входят иностранные граждане, иностранные организации или международные организации». И нафига только Минюст изобретал каких-то там «иноагентов», да? Можно то было всего-то – отловить и пометить всех иностранцев, а они парятся там чего-то, требования и ограничения по признанию иноагентом изобретают, списки формируют...
Ну и вишенкой на торте – следующий пункт:
19. Срок полномочий некоммерческой организации, осуществляющей функции технического аудита ЦОДов, составляет 10 лет.
Не, вы такое в нашей стране часто встречали? Могли бы вообще, как у судей написать – «пожизненно», но поскромничали, видать.
А теперь – внимание, следите за руками – тот пункт, ради которого и городился весь этот огород:
12. Некоммерческая организация, осуществляющая функции технического аудита ЦОДов:
12.1. Разрабатывает и согласовывает с федеральным органом исполнительной власти в области связи методику технического аудита ЦОДов (включающую требования к составу и квалификации экспертов, привлекаемых к осуществлению технического аудита), форму договора на проведение технического аудита, порядок определения договорной стоимости технического аудита, форму заключения по результатам технического аудита;
12.2. Заключает договоры на проведение технического аудита ЦОДов, организует проведение технического аудита, в том числе с привлечением субподрядных организаций в случаях необходимости мероприятий, требующих специальных познаний и навыков в области техники и технологий, а также необходимости непосредственного обследования территориально удаленных объектов. Если некоммерческая организация, осуществляющая функции технического аудита ЦОДов, привлекает к проведению технического аудита субподрядные организации, указанным организациям не могут быть переданы функции по принятию решения об отнесении ЦОДа к определенному классу;
То есть, во-первых, сама придумывает методику оценки, а, во-вторых – имеет право привлекать каких угодно субподрядчиков. Нда… Как говорится - и тут ему карта пошла. А вот и подтверждение догадки:
24. В качестве экспертов для проведения технического аудита ЦОДа могут выступать лица, обладающие специальными знаниями в области функционирования ЦОДов и доказанным многолетним опытом по профилю экспертизы, при этом указанные лица не должны одновременно быть работниками (в том числе на основании гражданско-правового договора) оператора проверяемого ЦОДа.
Ну, вы всё поняли? Чтобы быть экспертом – надо обладать какими-то знаниями и доказать наличие опыта. Ни какими именно знаниями обладать, ни как доказывать опыт – не важно от слова совсем.
И, на последок - а как же Минцифры избавиться от этого самого технического аудитора, если он плохо работает? А вот - никак, оказывается! Не шучу - читаем соответствующий пункт:
20. Полномочия некоммерческой организации, осуществляющей функции технического аудита ЦОДов, могут быть прекращены на основании решения федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий, досрочно по заявлению некоммерческой организации, осуществляющей функции технического аудита ЦОДов, а также в случае выявления несоответствия некоммерческой организации, осуществляющей функции технического аудита ЦОДов, требованиям, установленным пунктом 17 настоящего Порядка. Решение о прекращении полномочий некоммерческой организации, осуществляющей функции технического аудита ЦОДов, не позднее семи дней со дня его принятия направляется такой некоммерческой организации и размещается на сайте федерального органа исполнительной власти в области связи в информационно-телекоммуникационной сети «Интернет».
Всего два основания: собственное желание - и нарушение требований о виде НКО и наличии иностранцев-акционеров. Всё. И ЦОДы, случай чего - могут жаловаться куда угодно: Минцифры даже если будет согласно с их претензиями - никак не сможет уволить НКО-аудитора, пока 10 лет не пройдут. Вот он, государственный подход! (на самом деле - нет)
UPD. В комментариях подсказали, что прочтение сей замысловатой фразы может быть и несколько иным, и вроде как Минцифры просто своим решением может прекратить полномочия. Наверное, в этом есть определенная правда. Однако замысловатость формулировки зачем - не понятно. На всякий случай - вдруг пригодится?
Кстати, тут еще один казус: назначал то НКО - технического аудитора "федеральный орган исполнительной власти в области связи", а вот увольнять предлагается решением "федерального органа исполнительной власти, осуществляющего функции по выработке и реализации государственной политики и нормативно-правовому регулированию в сфере информационных технологий". Как так то? Спешили, видать, писатели...
Я, честно говоря, откровенно порадовался и за наше Минцифры, и за АНО КС ЦОД. Это же надо – как всё просто и гениально! Вот осталось только протащить это всё через Правительственное решение – и – вуаля, жизнь то удалась!
Предлагаем по шагам еще раз проговорить сию гениальную схему, чтобы она отложилась более четко. Итак,
- Минцифры курирует тему ЦОДов в госпрограмме «Цифровая экономика»
- там указана необходимость формирования национальной системы классификации и сертификации ЦОД
- срочно создается некое НКО для легитимного получения госсредств по данной программе
- НКО изначально наделяется правом привлечения любых соисполнителей по своему усмотрению
- НКО рисует некий регламент, который дает право министерству самостоятельно назначить это самое НКО исполнителем функции аудитора на 10 лет
- дабы изобразить некоторую заботу о государстве – в качестве требований к НКО рисуется только отсутствие среди его учредителей иностранцев
- а чтобы не пролезли реально что-то понимающие – ставится барьер в виде запрета выбора в качестве аудитора НКО, основанного на членстве
- профит для всех участников схемы (ибо эксперты же ведь они все, не так ли?)
Интересно, они реально считают всех идиотами, включая Правительство РФ, которое должно этот бред утвердить?
Вот лишь некоторые вопросы, которые следовало бы задать сему преступному сообществу, дабы подсветить абсурдность и коррупционность схемы:
1. Действующим законодательством (см. напр, «Закон о техническом регулировании») определен порядок подтверждения соответствия продукции и услуг требованиям. Почему в случае реально значимых и критичных услуг, к которым относятся услуги ЦОД, предлагается не исполнять действующее законодательство?
2. С какой целью организация – технический аудитор ЦОД должна быть именно НКО? В отношении финансового аудита (который не менее критичен) – такого рода требования отсутствуют.
3. Почему к организации – техническому аудитору ЦОД не предъявляются никакие квалификационные требования? Достаточно всего лишь быть любым НКО не на членстве и без иностранцев среди учредителей (среди бенефициаров, партнеров и прочих участников НКО - можно).
4. Почему требованиями к организации – техническому аудитору ЦОД не учтено, кто реально принимает решения в организации? В частности, среди учредителей и прочих участников и партнеров АНО КС ЦОД - ряд организаций полностью подконтрольны структурам из недружественных стран (США, Великобритании и др.)
5. Почему организация – технический аудитор ЦОД наделяется правом для исполнения своих функций привлечения субподрядчиков без какого-либо согласования с кем бы то ни было? И при этом - привлекать можно реально кого угодно, включая и иностранцев (такое право явно прописано в уставе АНО КС ЦОД).
6. Почему не предусмотрена никакая ответственность организации – технического аудитора ЦОД за ложную оценку? То есть пока предусмотрен только такой вариант: госструктуры будут доверять оценке аудитора – ЦОД грохнется – и аудитор ну вообще не при делах и никаких к нему претензий.
7. Почему не предусмотрена возможность отказа от организации – технического аудитора ЦОД за нарушения при исполнении возложенных обязанностей? Вот выбрали на 10 лет - и всё: работает или не работает, хорошо работает или плохо - всё это не имеет значения. Если сама организация не захочет уйти - убрать принудительно шансов нет.
8. С какой целью в модель классификации включать весь это бред о порядке выбора аудитора? Не для того ли, чтобы Правительство РФ утвердило не только саму классификацию (что прописано в поправках к закону), но и эту левую схему слива всех денег по теме на ближайшие 10 лет на конкретное НКО?
Можно и дальше продолжать. Но, видать, господа хорошо понимают, что делают, и не слишком опасаются вопросов, коль городят сплошные ляпы.
До определенного момента в Минцифре эта тема была в зоне ответственности г-на М.Паршина (а упоминаемый в начале материала Д.Никитин – был его подчиненным). Но вот в июне 2023 года с Паршиным случилась неприятность, и он с тех пор за тему не отвечает.
Тем не менее, содержательная часть этой самой неприятности – должна была бы навести господ на определенные размышления, однако пока, судя по всему, нет.
Комментарии
опять израильтянин рулит
Да фиг их поймешь - кто конкретно рулит то...
Ой, да все просто: вот вы же не пытаетесь рулить? Значит рулить будут за вас, те, кому это не лень
Эпизод из биографии сэра Генри [Форда] помните?
А когда мичиганский ирландец стал сэром? Он - мистер. Или это "проброс" на железный крест от рейха 1939 года и тождественность режимов рейха и островитян? Я забыл когда Лиза позировала в нацистском костюме...
"Мастер ключей" ;)
По роже видно что блатной.
Очередная хупца хупценосителей. Роснано умер - да здравствует аудит ЦОД.
Ну, до масштабов Роснано тут, конечно, далековато будет. Но цинизм схемы - он да, соответствует.
Это следующая за капитализмом общественная формация - мозголюбизм
И утвердят... Эта НКО кого надо НКО
Ну, судя по имеющимся данным - оно вроде бы не совсем "кого надо". Скорее, это просто отдельные средней руки управленцы на дурня хотят пролезть, без воли старших. Потому и криво всё так.
так я не понял, кого они собрались прийти инспектировать то?? частные цоды? Лицензирование уже ввели для этого вида деятельности? (там слаботочка, размещение оборудования связи и передачи данных, но это все мимо кассы).. Чего ради мышевая возня?
Любые ЦОДы. Для ЦОДов основная цель - легально утянуть на себя государственные ИС, попутно забанив неугодных.
Про лицензирование - пока молчат. А возня - она чтобы десять лет легально брать деньги со всех ЦОДов, и ни за что при этом не отвечать. Аудит ведь можно и ежегодно проводить, да и тарифом - сами рулят...
ЦОД - это сервера.
Сервер( реализация на сегодняшний день в России ) - это hardware implemented backdoors:
1)Intel processor
2)UEFI BIOS
3)BMC processor
И предлагать такое гос структурам - это даже не знаю как назвать. Ну коммерсы сами себе злобные буратины.
В Китае( huawei ) на серверах хотя BMC свой. Начет BIOS и main processor - не знаю.
Нет, ЦОДы здесь - это здания плюс инженера. А серверы - это ИТ-нагрузка.
нет. цель построения ЦОД - одна. а вот реализация может быть разная. ЦОД без серверов - это что?
Это колокейшЫн.
ЦОД без серверов - это ЦОД, в котором пока не разместили серверы.
Поясняю в чем прикол. Серверы - штука мобильная, и их можно переставить в другой ЦОД. И владельцы серверов регулярно подыскивают ЦОД для их размещения. И когда они занимаются таким поиском - из как раз и интересуют ЦОДы без серверов.
Доходчиво?
Вы не поняли. Какова цель создания ЦОД? Что еще можно разместить в ЦОД? Если там можно разместить цеха по производству к примеру автомобилей, тогда да ЦОД и сервера не служат одной цели.
И какое отношение к теме материала имеет это ваше заявление?
Хорошо. Тогда так. Если и так как ЦОД нужен для серверов, а сервера[дырявые] нужны в том числе и гос структурам, то за потерю важных данных из ЦОД кто будет нести ответсвенность?
Когда будем обсуждать оценку ИТ- инфраструктуры - дадим ответ и на этот вопрос. А сейчас пока тема - уровень зданий и инженерки с телекомом.
Да без проблем.
Коллега, спасибо за прекрасный анализ!
Те, кто утверждают документы, даже не читают их, а отправляют всяческим экспертам, которые могут иметь ангажированность. А по поводу схемы от Остапа - вспомните эпопею с онлайн кассами и ОФД. Та же история, что и тут, практически.
Ну, и да - и нет. Мнение всяческих экспертов, конечно же, необходимо. Но за явный бред то - отвечать случай чего придется не экспертам, а подписанту. Так что голову иногда включать всё же приходится.
Количество ответивших за свои подписи явно не сильно велико. И степень ответственности довольно низкая. Хорошие идеи обросли хитрыми схемами: "Платон", онлайн-кассы, "Честный знак", если копнуть - увидите много интересного.
Да, чудеса присутствуют. Как быть?
Предавать гласности, как это делаете вы и прочие неравнодушные. Может-таки исправят
В революцию очень неохота
Писать запросы в профильные министерства и Госдуму, чтобы разъяснили.
Для начала, понять круг соучастников и заказчиков.
Мне одному кажется, что в связи с окончанием приватизации материальных активов остапы перешли к растаскиванию нематериальных, к обретению контроля за вентилями и клапанами?
Именно. Некоторые вопросы гос структуры действительно отдают коммерсам. Вот с BMC как раз так. Странно.
Дельный разбор
Рекомендую Брекотину Сергею, как в случае с оглаской схемы вывода капитала компании "Марс" - заняться данной темой и, возможно, снять видео-расследование
Это еще не всё. На днях и про сами "критерии" посмотрим. Там тоже смешно.
Ну, защищу Остапа -он все же выдумывал, творчески подходил к ситуациям, а здесь налицо просто применение шаблона, отработанного на других отраслях. Надеяться на ответственность подписантов - такое, никогда особо не отвечали, чего сейчас будут. Разве што - перейдут, в наказание, в соответствующую НКО...
Будем посмотреть. Не хотелось бы, чтобы вы уж настолько оказались правы...
критика это хорошо, а где рекомендации? я бы к примеру сделал сильно проще:
1. Нужно лицо (консорциум), разрабатывающее и обновляющее регламент сертификации, по законодательству, по консультациям с ФСБ, возможно ведомственные требования как дополнения к подклассам сертификации. это вот типа НКО. никакой другой деятельности.
2. Минцифры, как орган регулярно проверяющий и утверждающий оный регламент.
3. Процесс аккредитации аудиторов, третий орган(-ы), возможно коммерческая организация(-ии), проверямая Минцифры на регулярной основе (с квалификационными результатами и репозиторием лицезиатов), с проверкой квалификации и выдачей лицензий на право проведения подобных аудитов. вместе с лицензией прилагается ответственность аудитора за его результат по схеме нотариата, со страховым покрытием в случае исков.
4. все, кто желает предложить подобные услуги кому-либо, должны быть аккредитованы как аудиторы. исключается аудит самих себя либо аффилированных организаций.
имеем весь необходимый контроль, отсутствие конфликта интересов и возможности для бизнеса, для всех заинтересованных. никаких привязок, ограничений, заморочек и т.д.
добавлю. необходимость аудита, его тип и частота может и должна регулироваться законодательными и ведомственными актами, для организаций, которым это необходимо.
Ну, во-первых, то, что вы предлагаете - не проще, и напоминает очередное творчество. Зачем?
Во-вторых, рекомендации прозвучали - использовать действующий законный порядок подтверждения соответствия, обозначенный в Законе о техническом регулировании. Там есть почти всё, что вы предлагаете, но, возможно - выглядит немного иначе.
ну хорошо тогда, раз так. я просто пишу из собственного опыта, как создать структуру, работающую без конфликта интересов и вовлечь в её деятельность всех, кого возможно, не создавая ничего подобного закрытому клубу "избранных".
А какой конфликт интересов вы узрели в рамках исполнения Закона о техническом регулировании в части подтверждения соответствия?
я не узрел, я просто не знаком с этим законом, сижу вот читаю, по твой наводке. но я знаком с европейской стороной вопроса, и даже принимал(-ю) участие в подобном.
Пост весьма полезный.
Но я спросил себя "А будет ли прок в инфо пространстве от освещения "тёмных уголков" ?"
Ответ однозначный - освещение или подсветка только на АШ ни какого прока не породит.
Это должны быть не "выстрелы по воробьям", а прицельное бомбометание. Цель?
Цель такая: "Полная безответственность IT в части несения гарантий, доработок, ремонтопригодности продукта, эффективности через срок".
Проблема мирового масштаба, между прочим. Деньги сосутся, а реальных окупаемых плодов от силы 20%. Если вычесть игрушки, соцсети и прочий ширпотреб- 3% !!! от начатых с помпой "проектов".
Одна эта отрасль с масштабом безответственности за потраченные инвестиции может порушить экономику средней страны.
Т.е. если изначально тему не курирует пристрастно и внимательно Совмин, Дума или администрация ВВП (ещё правильней - все), вопрос "заболтается" и потеря огромных гос.инвестиций неминуема.
Как с русской википедией (10 лет), как с Рутубом (10 лет), и т.д. и т.п.
штурмовики Верхнего Ларса замерли фшоке. каг жи таг? за что ты так с наме? ломяешь наше уютненькое АйТи, с рекламой, бложекаме и СММ-ами!
"Всякий долгий путь начинается с первого шага..."
Да, как и обречённое на смерть блуждание, если шаги, много и тупо, сделаны не в ТУ сторону.
Что бы сделал я на месте М.Мишустина?
"Ператрах па-беларуску" всего руководства отрасли (конспекты от белорусского бацькi) Минцифры.
Настоящая проблема отрасли в управленцах, как правило, успешно маскирующихся "взрослых подростках".
Поэтому выглядывают, куда не кинь взгляд "уши" такой наивной и неприкрытой аферистичности поступков, что прихватизаторы 90х скоро преместятся с первого места "ворья Российских ресурсов" значительно ниже.
Думаю, они работают с теми кадрами, которые есть. Ну вот если разогнать всех - кого набрать то? И чем новые будут лучше?
Правильнее, если создаются рамки и механизмы ответственности за нарушения.
Бред о незаменимости?
Читайте историю кадровых решений в СССР 20-40 годы. 100 лет прошло.
Боже упаси! Какая нафиг незаменимость? Тупо туда идти никто не хочет...
"НИКТО" из родственников Московской либерастни, подрощенной для данной отрасли?
Оооохххххх, это да, это реально проблема.
Там ответственность всё же, плюс уровни оплаты - не так чтобы высокие.
Простите, камрад. Позволь утверждать, что Вы пишете сейчас бред. Так бредят инфецированные либерастией.
P.S.
На основе честного управленческого 20 летнего опыта в совершенно разных отраслях.
Судя по высказанной вами оценке - опыт у вас немного дефективный. И уж точно знаний о работе органов власти РФ - маловато.
P.S. Не рекомендую продолжать ставить личностные оценки во избежание санкций.
Страницы