Михаил Яненко: «Адекватное законодательное регулирование — «скелет», на котором держится зрелый рынок ЦОД»

2 часа назад

Михаил Яненко
Директор компании K2-9b Group «Инферит Безопасность» (кластер «СФ Тех» ГК Softline)

Директор компании K2-9b Group «Инферит Безопасность» (кластер «СФ Тех» ГК Softline) поделился с журналом RUБЕЖ анализом правовой среды в развитии высокотехнологичного рынка центров обработки данных (ЦОД). Он подчеркивает, что законодательное регулирование, хоть и имеет свои риски избыточного давления, является основой для зрелого и стабильного рынка.

RU: Какие стандарты вы закладываете при проектировании?

Михаил Яненко: Наша компания сосредоточена на проектировании и внедрении систем защиты информации крупных информационных систем, в том числе ЦОД.

Если говорить об этой части проектирования ЦОД, то здесь актуален ГОСТ Р 70139-2022 «Центры обработки данных. Инженерная инфраструктура. Классификация», а также 149-ФЗ, 152-ФЗ, 187-ФЗ, приказы ФСТЭК России, ФСБ России и соответствующие ГОСТы в сфере защиты информации.

Вопросы безопасности мы разделяем на два контура.

1. Физическая безопасность:

• защита периметра и разграничение доступа: проектирование и внедрение многоуровневых систем контроля и управления доступом (СКУД) с биометрической верификацией для особо важных зон (серверный зал, кроссовая);
• инженерная защита: контроль микроклимата, пожаротушение, резервирование электропитания;
• мониторинг пространств ЦОД.

2. Информационная безопасность (защита данных и инфраструктуры):

• сетевая безопасность: сегментация сетей, применение межсетевых экранов (NGFW), систем предотвращения вторжений (IPS/IPS), VPN-шлюзов;
• защита виртуальной среды: так как подавляющее большинство клиентов используют виртуализацию, мы применяем специализированные средства защиты виртуальной инфраструктуры;
• шифрование: обеспечиваем возможность шифрования данных на дисковых массивах (для клиентов, которые этого требуют) и каналов связи;
• мониторинг событий (SIEM): внедряем централизованный сбор и корреляцию событий безопасности от всех систем (сетевое оборудование, серверы, инженерные системы) для раннего обнаружения атак и инцидентов.

 - Как вы оцениваете текущую нормативную базу в области безопасности ЦОД и необходимость государственного регулирования?

М. Яненко: Только в 2025 году в российском законодательстве было закреплено понятие ЦОД. Так, Федеральным законом от 23 июля 2025 г. № 244-ФЗ «О внесении изменений в статьи 2 и 6 Федерального закона «О связи» и отдельные законодательные акты Российской Федерации» было введено определение понятия «центра обработки данных», под которым понимается совокупность зданий, частей зданий или помещений, объединенных единым назначением, включающих комплекс систем инженерно-технического обеспечения, спроектированных и используемых для размещения оборудования, обеспечивающего обработку и (или) хранение данных.

Кроме того, указанным Федеральным законом Минцифры России наделяется полномочием по ведению реестра центров обработки данных, расположенных на территории РФ. Постановлением Правительства РФ от 28 ноября 2025 г. №1932 утверждены правила формирования и ведения реестра центров обработки данных, расположенных на территории РФ.

Наряду с этим закон не допускает майнинг цифровой валюты и размещение майнинговой инфраструктуры в ЦОД, расположенных на территории Российской Федерации и включенных в указанный реестр.

В целом на сегодняшний день отрасль нельзя назвать сильно зарегулированной. Есть требования законодательства в сферах строительства, энергетики, пожарной и физической безопасности, актуальные как для ЦОД, так и для иных промышленных зданий и сооружений.

Если оператор ЦОД ставит перед собой целью продажу своих сервисов государственным и муниципальным органам и учреждениям, государственным унитарным предприятиям, промышленным предприятиям, то для него актуальны требования законодательства РФ в сфере безопасности информации в государственных информационных системах, информационных системах персональных данных и на объектах критической информационной инфраструктуры.

Так, в соответствии с п. 8 приказа ФСТЭК России от 11 апреля 2025 г. № 117 «Об утверждении требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений», функционирование информационных систем на базе ЦОД допускается при условии обеспечения защиты информационно-телекоммуникационной инфраструктуры в соответствии с указанными требованиями ФСТЭК России, что подразумевает наличие у ЦОД аттестата соответствия по требованию защиты информации.

Аналогичные требования предъявляются к объектам критической информационной инфраструктуры.

Для реализации данных требований оператор ЦОД должен изначально закладывать применение у себя в инфраструктуре таких классов средств защиты информации, как средства мониторинга информационной безопасности, межсетевые экраны и средства криптографической защиты информации, средства анализа сетевого трафика, анализа уязвимостей, средства резервного копирования информации, оператор ЦОД должен обеспечивать сегментацию и разграничение прав доступа.

Если говорить о необходимости государственного регулирования, это всегда палка о двух концах. В целом такая необходимость определенно есть. Адекватное законодательное регулирование — это именно тот «скелет», на котором держится зрелый рынок. Прозрачность, стандарты безопасности, одинаковые понятные правила для инвесторов и иных участников рынка, возможность государственной поддержки — это то, что выводит отрасль из серой зоны и позволяет ей расти.

С другой стороны, риск всегда заключается в избыточном давлении. Если требования окажутся слишком жесткими или затратными для средних и малых игроков, это ускорит консолидацию рынка до уровня монополии.

- Назовите драйверы, возможности, вызовы рынка ЦОД в ближайшие 1-2 года.

М. Яненко: Российский рынок ЦОД в последние годы показывает устойчивый рост с точки зрения создания стойко-мест. По разным оценкам, этот рост составляет 10–20% в год. Можно выделить следующие драйверы рынка, которые сохранят свою актуальность и в ближайшие 1-2 года:

• рост общего уровня цифровизации;
• развитие облачных сервисов — аналитики прогнозируют рост этого сегмента в 2026 году до 30%. Для операторов ЦОД это шанс монетизировать не столько «квадратные метры», сколько высокомаржинальные сервисы — SaaS, платформы для разработчиков;
• повсеместное внедрение ИИ, который уже является реальным фактором, влияющим на рост бизнеса и его производительность;
• цифровой суверенитет и требования к КИИ. Государство и крупный бизнес вынуждены ускоренно строить собственную инфраструктуру или арендовать мощности в коммерческих ЦОД, чтобы хранить данные, соблюдая требования законодательства.

Тенденция последних лет — перевод критической инфраструктуры на отечественные решения и локальные площадки, и это подстегивает спрос на аттестованные по требованиям безопасности информации ЦОД. При этом в индустрии есть и ограничивающие факторы. К ним относятся ограниченный доступ и высокая стоимость технологий, серверного и инфраструктурного оборудования; растущая себестоимость строительства. Также наблюдается сложность привлечения доступных заемных средств. Высокая ключевая ставка и, как следствие, дорогие кредиты делают долгосрочные инвестиции (срок окупаемости ЦОД — до 10 лет) крайне рискованными и дорогими. Дополнительные вызовы — увеличивающееся потребление электроэнергии и дефицит доступных мощностей, а также нехватка квалифицированных кадров по проектированию, эксплуатации и обслуживанию объектов. Рынку не хватает высококвалифицированных инженеров, способных проектировать и обслуживать ЦОД с высокоплотными стойками, жидкостным охлаждением и другими сложными инженерными системами. Потолок компетенций может тормозить внедрение технологий.