Как проверить соответствие облачного провайдера требованиям 152-ФЗ перед миграцией данных

Критерии выбора облачного провайдера для работы с персональными данными

152-ФЗ «О персональных данных» не содержит отдельного списка требований к облачным провайдерам. Основная ответственность лежит на операторе — то есть на вашей компании. Но если провайдер хранит и обрабатывает ПнД, он становится частью вашей инфраструктуры обработки, и его несоответствие автоматически становится вашей проблемой.

Расположение дата-центров

Статья 18.1 152-ФЗ требует, чтобы при сборе персональных данных (включая сбор с интернета) обеспечивалась запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональныхных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.

Практическое действие: запросите у провайдера юридический адрес и физическое расположение каждого дата-центра, в котором будут размещаться ваши данные. Получите сканы или ссылки на документы о праве собственности или аренды помещений. Если провайдер использует субаренду мощностей у другого оператора — запросите цепочку документов до конечного собственника.

Подробнее на эту тему — Тренды BTL и digital-спецпроектов 2025: трансформация рекла….

Провайдеры, которые однозначно размещают данные в РФ: Selectel (дата-центры в Москве и Санкт-Петербурге), Timeweb Cloud (Санкт-Петербург, Москва, Новосибирск), Yandex Cloud (Москва, Владимир, Рязань), VK Cloud (Москва, Санкт-Петербург), Ростелеком-ДЦ (распределённая сеть по РФ). Зарубежные провайдеры — AWS, Google Cloud, Azure — физически хранят данные в своих регионах (Франкфурт, Стокгольм, Хельсинки), и для российского оператора это означает нарушение статьи 18.1.

Сертификация по требованиям ФСТЭК и ФСБ

Для обработки персональных данных необходимы:

• Аттестат соответствия по Приказу ФСТЭК России от 18.02.2013 №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных». Провайдер должен подтвердить, что его инфраструктура соответствует требованиям к защите информации в ИСПДн.

• Лицензия ФСБ на деятельность по технической защите конфиденциальной информации — если используются средства криптографической защиты (шифрование каналов передачи, шифрование на хранении).

• Лицензия ФСТЭК на деятельность по технической защите конфиденциальной информации.

Практическое действие: запросите номер и дату аттестата соответствия ФСТЭК. Проверьте на сайте ФСТЭК в разделе «Реестр аттестатов соответствия». Убедитесь, что аттестат не отозван и его срок действия не истёк (обычно выдаётся на 3 года с момента проведения аттестационных испытаний). На 2025 год у крупных российских провайдеров аттестаты, как правило, действуют: Yandex Cloud — аттестат ФСТЭК, VK Cloud — аттестат ФСТЭК, Selectel — аттестат ФСТЭК.

Подробнее на эту тему — Оценить стоимость владения SaaS-сервисом на 3 года включая….

Уровни защищённости

Постановление Правительства РФ от 01.11.2012 №1119 устанавливает четыре уровня защищённости ИСПДн в зависимости от:

• объёма обрабатываемых персональных данных;

• категорий субъектов персональных данных;

• типа угроз (уровень угроз УЗ1, УЗ2, УЗ3).

Для облачной инфраструктуры критично, чтобы провайдер обеспечивал защиту не ниже требуемого уровня. Большинство провайдеров на рынке работают на УЗ1 или УЗ2. Если вы обрабатываете специальные категории ПнД (биометрия, данные о здоровье), потребуется уровень защиты не ниже УЗ3.

Практическое действие: определите свой уровень защищённости самостоятельно или с привлечением аттестующей организации. Затем запросите у провайдера подтверждение, что его платформа сертифицирована для работы на требуемом уровне.

Средства защиты и логирование

Провайдер должен предоставить:

• Средства криптографической защиты информации (СКЗИ), сертифицированные ФСБ. Шифрование данных при передаче (TLS 1.2+) и при хранении (encryption at rest).

• Средства контроля доступа — разграничение прав, аутентификация, авторизация.

• Средства регистрации и учёта — журналы аудита, логирование всех действий с данными.

• Средства антивирусной защиты — на уровне инфраструктуры провайдера.

• Средства обнаружения и предотвращения вторжений (IDS/IPS).

Проверьте, проводит ли провайдер регулярное тестирование на проникновение и аудит безопасности. Результаты pen-test-отчётов провайдеры, как правило, не раскрывают публично, но факт проведения и цикл (ежегодно / ежеквартально) могут подтвердить.

Сравнение вариантов: таблица проверки

Пояснения к таблице:

• AWS Frankfurt — данные физически находятся в Германии, что напрямую нарушает требование статьи 18.1 152-ФЗ о локализации баз данных на территории РФ. Использование AWS для хранения персональных данных российских граждан допустимо только при наличии зеркалирования в российском дата-центре (что AWS не предоставляет).

• Timeweb Cloud — аттестат ФСТЭК ограничен определёнными сервисами и конфигурациями. Перед миграцией необходимо уточнить конкретные условия у провайдера.

• Цены указаны на май 2025 года для базовых конфигураций и могут отличаться в зависимости от региона и объёма ресурсов.

Когда облачная миграция не подходит: риски и ограничения

Если провайдер не предоставляет документы

Если после официального запроса (рекомендуется направлять письмо на юридический адрес провайдера или через его систему обращений) провайдер не может предоставить:

• аттестат соответствия ФСТЭК или ссылку на запись в реестре;

• перечень мер защиты, реализованных на стороне провайдера;

• договор или допсоглашение, определяющее зону ответственности провайдера за защиту ПнД;

— значит, провайдер не готов работать в режиме 152-ФЗ. Миграция на такого провайдера создаёт риск штрафа до 18 млн рублей за повторное нарушение (ч. 7–8 ст. 13.11 КоАП РФ, действует с 01.10.2023).

Если нужен высокий уровень защищённости, а провайдер сертифицирован только на УЗ1

Некоторые провайдеры получают аттестат только для УЗ1 — минимального уровня защиты. Если ваша организация обрабатывает данные, для которых требуется УЗ2 или УЗ3 (например, кадровые данные в крупных компаниях, данные несовершеннолетних, медицинские данные), такой провайдер не подходит формально.

Решение: запросите у провайдера протокол аттестационных испытаний и уточните, какие уровни угроз покрывает аттестат. Если УЗ2/УЗ3 не покрыт — ищите альтернативу или рассматривайте вариант гибридного размещения с собственным контуром защиты.

Если провайдер использует шифрование без сертифицированных СКЗИ

Некоторые облачные платформы предлагают шифрование данных «из коробки», но используют несертифицированные криптобиблиотеки (например, стандартные реализации AES без обёртки в сертифицированную оболочку). Для 152-ФЗ формально достаточно организационных мер, но если вы обрабатываете данные, для которых требуется криптографическая защита по требованиям ФСТЭК, — нужна сертифицированная СКЗИ.

Типичные ошибки при проверке

1. Проверили только сайт провайдера, не запросили документы. Маркетинговые заявления о «соответствии 152-ФЗ» не заменяют аттестатов и лицензий. Запрашивайте сканы или реестровые номера.

2. Не проверили цепочку субподряда. Провайдер может размещать оборудование в дата-центре третьей стороны. Если эта третья сторона не сертифицирована — звено цепочки сломано.

3. Не учли масштабирование. Провайдер сертифицирован для ограниченного числа серверов или сервисов. При масштабировании вы можете выйти за рамки аттестованной зоны.

4. Проигнорировали пункт о субобработчиках. Если провайдер привлекает субподрядчиков (мониторинг, бэкапы, CDN), каждый из них должен соответствовать требованиям.