Любая компания в России, работающая с клиентскими анкетами, договорами с физлицами, заявками через сайт или видеонаблюдением в офисе, фактически обрабатывает персональные данные. Закон №152-ФЗ «О персональных данных» предписывает конкретные технические и организационные меры, которые бизнес обязан соблюдать — независимо от размера компании или объема информации.

Основная сложность — реализовать требования закона с оптимальной нагрузкой на бизнес-процессы.

Многие компании считают, что использование облачных сервисов противоречит требованиям 152-ФЗ. Это не так. На практике IaaS может не только соответствовать закону, но и упростить выполнение его требований: за счет централизованной защиты, шифрования и контроля доступа.

В данной статье проведем анализ требований 152-ФЗ: какие технические меры необходимы, и как выстроить архитектуру без лишних рисков.

Что требует 152-ФЗ от ИТ-систем

Закон №152-ФЗ устанавливает не просто «рамки обработки», а предъявляет конкретные технические и организационные требования к ИТ-инфраструктуре компаний, которые работают с персональными данными. В том числе — при использовании облака. Ниже — ключевые аспекты, которые должны быть реализованы в ИТ-системах.

1. Изолированная обработка и хранение. Система должна обеспечивать разграничение доступа на уровне пользователей, процессов и систем. Недопустимо хранение ПДн в открытом виде в общедоступных хранилищах или без контроля прав доступа.

2. Локализация. Все персональные данные граждан РФ должны храниться и обрабатываться исключительно на территории России — это прямое требование закона (ст.18.1). Использование зарубежных дата-центров, даже временное, формально является нарушением.

3. Контроль доступа. ИТ-системы обязаны обеспечивать:

●       авторизацию по защищенным протоколам,

●       регистрацию всех действий с персональными данными,

●       управление доступом по принципу «минимально необходимого».

4. Защита каналов передачи. Передача данных — только по защищенным каналам. Использование VPN, SSL/TLS, а при необходимости — сертифицированных криптосредств обязательно для соответствия уровню защищенности.

5. Соблюдение уровней защищенности (УЗ). Согласно приказу ФСТЭК №21, для ПДн в ИТ-системах нужно определить УЗ:

●       УЗ-1 — если утечка может привести к угрозе жизни;

●       УЗ-2 — если затрагиваются важные социальные или экономические интересы;

●       УЗ-3 — наиболее распространенный в бизнесе (например, для клиентских баз, CRM и сайтов).

Каждому уровню соответствуют конкретные наборы СЗИ (средств защиты информации) и регламентов.

6. Логирование и аудит. Все действия с персональными данными — включая доступ, изменение, удаление — должны фиксироваться. Это требуется не только для расследования инцидентов, но и для прохождения проверок Роскомнадзора.

7. Резервное копирование с контролем целостности. Бэкапы персональных данных должны:

●       шифроваться,

●       храниться в защищенной среде,

●       регулярно проверяться на доступность и целостность.

Вывод: 152-ФЗ требует от ИТ-систем полной управляемости доступа, защиты каналов, логирования, резервирования и соблюдения требований УЗ. Облако становится законно применимым решением только при соблюдении всего этого технологического минимума.

Облачные технологии и 152-ФЗ: распространенные заблуждения

Бизнес, особенно в сегменте SMB, по-прежнему воспринимает облако как «зону юридического риска» при работе с персональными данными. Многие отказываются от IaaS и SaaS только потому, что опираются на устаревшие представления о требованиях закона. Ниже — типовые заблуждения и почему они не соответствуют практике.

1. Облако = передача третьим лицам = нарушение закона
Реальность:
Закон разрешает передавать обработку ПДн третьим лицам (в том числе облачному провайдеру), если:
– оформлен договор обработки данных (ст.6 и ст.18.1),
– оператор (клиент) контролирует цели и объем обработки,
– провайдер соблюдает требования к защите и локализации.

2. Только физический сервер в офисе гарантирует соответствие 152-ФЗ
Реальность:
Локальный сервер без сертифицированных СЗИ, шифрования и должного разграничения доступа — потенциально более уязвим, чем облачная инфраструктура с соблюдением требований ФСТЭК. Сертифицированная облачная инфраструктура в российском ЦОДе часто обеспечивает более высокий уровень защищенности при меньших затратах на сопровождение.

3. Нельзя использовать облачные бэкапы для ПДн
Реальность:
Размещение резервных копий персональных данных в защищенной облачной среде, расположенной на территории РФ и оснащенной средствами защиты, не только не нарушает закон, но и является частью требований к надежному хранению (включая целостность и доступность). Ключевой критерий — контроль доступа и шифрование.

4. Облако и сертификация ФСТЭК/ФСБ — несовместимы
Реальность:
Многие провайдеры (в том числе Айтеко.Cloud) предоставляют среды, где задействованы сертифицированные СЗИ, выполняются требования по УЗ-3 или выше и возможна сдача системы в эксплуатацию с актами, необходимыми для проверок.

Использование облака при соблюдении регламентов 152-ФЗ не нарушает закон. Наоборот, правильно выбранная облачная инфраструктура — это способ системно закрыть требования по защите, без лишней нагрузки на ИТ-отдел.

Как выбрать облако, совместимое с 152-ФЗ

Соответствие 152-ФЗ требует документально подтвержденных мер защиты. Чтобы облачная инфраструктура могла использоваться для обработки персональных данных, нужно проверить несколько конкретных параметров. Ниже — ключевые критерии, на которые стоит опираться при выборе.

1. Территориальная локализация. Провайдер должен гарантировать физическое размещение данных на территории Российской Федерации. Это обязательное требование закона (ст. 18.1), и его невыполнение автоматически делает использование сервиса незаконным, вне зависимости от уровня защиты.

2. Наличие сертифицированных СЗИ. Платформа должна поддерживать работу с сертифицированными средствами защиты информации (по требованиям ФСТЭК и ФСБ), соответствующими нужному уровню защищенности (чаще всего — УЗ-3).

3. Возможность заключения договора на обработку ПДн. У провайдера должна быть возможность оформить юридически корректный договор, в котором он выступает оператором или уполномоченным лицом на обработку ПДн. В документе должны быть прописаны цели обработки, меры защиты, режим доступа и обязательства сторон.

4. Защищенные каналы связи. Передача данных между клиентскими системами и облаком должна происходить через VPN, TLS или иные механизмы шифрования, допущенные к использованию в инфраструктурах, обрабатывающих ПДн.

5. Аудит и логирование. Платформа должна позволять вести полный журнал действий с данными: доступы, изменения, попытки несанкционированного входа. Это важно как для внутреннего контроля, так и для прохождения проверок со стороны Роскомнадзора.

При выборе облака для обработки персональных данных не стоит ориентироваться на общие заявления о безопасности. Нужно проверять техническую реализацию: изоляцию, сертификацию, наличие юридической базы и возможность адаптации под конкретный уровень защищенности. Только при выполнении этих условий использование IaaS действительно будет законным и безопасным.

Айтеко.Cloud представляет собой облачную платформу, разработанную с учетом требований российского законодательства о персональных данных. Компании, обрабатывающие ПДн, получают готовое решение для безопасного хранения информации.