В прошлом году мировые расходы на публичные облачные сервисы достигли $678,8 млрд, а общий объем инвестиций в облачную инфраструктуру впервые превысил $1 трлн. Аналитики IDC и J’son & Partners Consulting прогнозируют, что к 2025 году объем облачного рынка в России приблизится к 300 млрд рублей при темпах роста около 30% в год. Но сейчас в индустрии идет волна новых регуляторных требований: ужесточается контроль за хранением и обработкой данных, вводятся ограничения на использование облачных сервисов и усиливаются стандарты кибербезопасности — как в России, так и за рубежом. Вместе с Сергеем Сженовым, директором департамента развития продуктов EdgeЦентр, разбираемся, как нормативные изменения влияют на использование облачных технологий и как бизнесу адаптироваться к новым требованиям.
Зарубежные регуляторные изменения
Ужесточение требований к защите данных носит глобальных характер: страны внедряют элементы локализации данных, с 2024 году законы о защите данных и конфиденциальности потребителей действуют в 138 странах.
В ЕС обновленный GDPR усилил механизм «единого окна», а штрафы за нарушения выросли на 15–25%. Одновременно вступил в силу Digital Services Act (DSA), обязавший облачных провайдеров публиковать детализированные отчеты о запросах данных и автоматизированных блокировках контента — например, Cloudflare в 2024 году впервые раскрыл среднее время реакции на инциденты (2,7 часа) и долю ложных срабатываний (12%).
В США расширили CCPA: компании обязаны проводить ежегодные аудиты кибербезопасности и оценивать риски использования ИИ-алгоритмов. Параллельно ISO/IEC 27701:2024 трансформировался в самостоятельный стандарт управления приватностью, добавив требования к облачным сервисам — например, обязательное шифрование данных в multi-cloud.
Глобализация последние десятилетия помогала странам договариваться об общих стандартах и упрощала процессы. Но теперь локализация данных разворачивает этот процесс в обратную сторону, заставляя компании подстраиваться под правила каждой отдельной страны.
Нормативные требования в России
С этого года вступил в силу полный запрет на использование иностранного ПО для объектов критической информационной инфраструктуры (КИИ) и госструктур. Исключения допустимы только при отсутствии российских аналогов и согласовании с профильными ведомствами. Параллельно началась обязательная регистрация хостинг-провайдеров в Роскомнадзоре, госорганам запрещено использовать иностранные хостинги — данные должны храниться исключительно на территории РФ с участием в системе ГосСОПКА, а Минцифры ужесточило требования к организациям, подключающимся к инфраструктуре электронного правительства. Новые ГОСТы предписывают обязательное резервное копирование данных, непрерывный мониторинг угроз и автоматизированное реагирование на инциденты.
Свыше половины российских предприятий уже начали внедрять отечественные облачные решения, однако полностью отказались от иностранного ПО лишь 13%. Исследование EdgeЦентр показывает, что лишь 40% участников опроса уверены в конкурентоспособности российских ИТ-решений по сравнению с западными аналогами. При этом с марта 2025 года за нарушения в обработке персональных данных (ст. 13.11 КоАП) бизнесу грозят серьезные санкции. Это создает дополнительную мотивацию для инвестиций в кибербезопасность и локализацию цифровой инфраструктуры.
Как адаптироваться бизнесу
Необходимо начать с детального анализа своей облачной инфраструктуры. Это не только технический аудит, но и оценка бизнес-процессов, связанных с хранением и обработкой данных. Важно понять, где именно хранятся критичные данные, кто и каким образом к ним получает доступ, и какие внешние сервисы и провайдеры вовлечены в инфраструктуру.
На практике аудит обычно включает проверку актуальности используемого ПО, оценку уязвимостей, анализ политик доступа и процессов резервного копирования. Особое внимание стоит уделить соответствию требованиям по локализации данных и наличию инструментов для быстрого реагирования на инциденты.
После выявления слабых мест разрабатывается план по их устранению: внедряется шифрование данных как при хранении, так и при передаче. Сегментация сети позволяет ограничить доступ к данным только для тех сотрудников и сервисов, которым это действительно необходимо, что снижает вероятность внутренних угроз. Дополнительно рекомендуется реализовать многофакторную аутентификацию для всех критичных сервисов.
Как привести облачную инфраструктуру в соответствие требованиям
В первую очередь, необходимо внедрить процессы управления рисками информационной безопасности: это включает регулярную идентификацию, оценку и ранжирование потенциальных угроз для данных и сервисов, а также разработку и реализацию мер по их снижению. Регулярное тестирование на уязвимости — как автоматизированное, так и ручное — позволяет выявлять слабые места в приложениях, виртуальных машинах и сетевой инфраструктуре. По результатам тестов формируются планы по устранению уязвимостей и повышению защищенности.
Мониторинг событий информационной безопасности должен осуществляться в режиме 24/7 с использованием SIEM-систем и средств корреляции инцидентов. Это позволяет быстро обнаруживать подозрительную активность, проводить расследование инцидентов и минимизировать последствия возможных нарушений.
Дополнительно важно обеспечить регулярное резервное копирование критичных данных и систем и тестировать процедуры восстановления. Это не только требование законодательства (например, ГОСТ Р 57580.1-2017 и рекомендации ФСТЭК), но и практическая мера для снижения рисков потери информации из-за сбоев, атак или человеческого фактора.
Стек полезных инструментов и сервисов
На рынке доступно множество инструментов и сервисов, которые могут помочь в управлении соответствием. Например, AWS Artifact, Azure Policy или Google Cloud Compliance Center предоставляют возможности для управления соответствием в облаке. Инструменты управления безопасностью, такие как Tenable.io, Qualys или Splunk, помогают в обнаружении и устранении угроз. Сервисы по аудиту и мониторингу, такие как CloudTrail, Log Analytics и Security Hub, обеспечивают прозрачность и контроль за происходящими в облаке процессами.
На российском рынке нет прямых аналогов зарубежных систем, способных полностью закрыть все сценарии анализа и оценки соответствия в сфере кибербезопасности. Вместо универсальных решений, существуют отдельные российские продукты, специализирующиеся на конкретных задачах. К ним относятся Check Point Security Compliance, SIEM-системы, такие как MaxPatrol SIEM от Positive Technologies и KUMA от Лаборатории Касперского, а также InfoWatch Traffic Monitor. Для обнаружения и предотвращения атак и вторжений (IDS/IPS) используются решения от UserGate.
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе всех новостей и событий Рунета.