Безопасность данных в облаке по 152-ФЗ

152-ФЗ пугает многих, но на практике требования закона вполне выполнимы. Разбираем, что именно нужно сделать, чтобы хранить персональные данные в облаке легально.

Что на самом деле требует закон

152-ФЗ «О персональных данных» существует с 2006 года, но до сих пор вызывает вопросы. Главная причина — закон написан в терминах принципов, а не конкретных технических требований. Конкретика появляется в подзаконных актах: постановлении правительства №1119 и приказах ФСТЭК №17 и №21.

Если упростить, то закон требует, чтобы персональные данные россиян хранились на серверах в России, чтобы доступ к ним был защищен, а сама система обработки данных соответствовала одному из уровней защищенности (УЗ-1 — УЗ-4). Уровень зависит от категории данных и их объема.

Четыре уровня защищенности и как определить свой

УЗ-4 — самый мягкий, УЗ-1 — самый строгий. Большинство коммерческих компаний работают с УЗ-3 или УЗ-4. УЗ-1 и УЗ-2 встречаются в медицине, госсекторе и там, где обрабатываются биометрические данные.

Ваш уровень определяют три параметра:

Категория данных — специальные (здоровье, религия, судимости), биометрические, общедоступные или иные
Объем субъектов — до 100 тысяч человек или более
Тип угроз — актуальность угроз 1-го, 2-го или 3-го типа (связана с наличием недокументированных возможностей в ПО)

💡 Пример. Интернет-магазин с базой покупателей (ФИО, email, адрес доставки) — как правило, УЗ-3. CRM медицинской клиники с диагнозами — минимум УЗ-2.

Что дает аттестованное облако

Здесь начинается самая интересная часть с точки зрения экономии. Если вы храните ИСПДн в аттестованном сегменте облачного провайдера, то вам не нужно проходить аттестацию. Провайдер уже прошел все необходимые процедуры, и вы получаете защиту в рамках его аттестата.

На практике это означает следующее: вы заключаете с провайдером договор на обработку персональных данных (он становится вашим оператором ПДн), размещаете данные в аттестованном сегменте — и требования регулятора выполняются.

⚠️ Важно. Аттестат провайдера покрывает только инфраструктуру. Ваше приложение, которое работает поверх этой инфраструктуры, — ваша ответственность. Если в коде есть уязвимости, это не снимается аттестатом провайдера.

Организационные требования, про которые забывают

Технические меры защиты — это только половина требований. Закон одинаково строго смотрит на организационную сторону. Что нужно сделать вне зависимости от облака:

Назначить ответственного за обработку ПДн (это может быть сотрудник, а не отдел)
Разработать и утвердить Политику обработки персональных данных — она должна быть опубликована на сайте
Зарегистрироваться в реестре операторов Роскомнадзора
Получить согласие субъектов на обработку данных в той форме, которую требует закон
Установить порядок реагирования на инциденты и уведомления РКН об утечках

С 2023 года требования по уведомлению об утечках ужесточились. Оператор обязан уведомить Роскомнадзор в течение 24 часов с момента обнаружения инцидента, а итоговый отчет — в течение 72 часов. Штрафы за нарушение выросли и продолжают расти.

Типичные ошибки при работе с ПДн в облаке

Хранение ПДн на зарубежных серверах
Это является прямым нарушение статьи 18.1 закона о персональных данных. Первичная база данных должна находиться в России, без вариантов.
Например, компания подключает зарубежный CRM или helpdesk и не проверяет, где физически лежат данные. Если информация о российских пользователях хранится за пределами РФ, это уже риск. Даже если сервис удобный и «все так делают».
Если используете иностранное решение, то заранее уточните, есть ли российский регион или размещение на сервере в РФ. Зафиксируйте это в договоре или технической документации.

Расширенное согласие на обработку
Форма согласия должна быть конкретной. Необходимо указать какие данные вы собираете, с какой целью, на какой срок и кому передаете. Общая формулировка при проверке может быть признана недействительной.

Отсутствие учета носителей
Персональные данные – это не только база в продакшн-системе. Это еще и Excel-файлы на ноутбуках сотрудников, выгрузки для аналитики, списки клиентов в папке «Документы».
Типовая ситуация, когда менеджер выгрузил базу в Excel, сохранил на рабочем столе и формально это уже отдельный носитель ПДн. Если его не учитывают и не защищают, компания нарушает требования закона. Контур обработки нужно видеть целиком.

С чего начать прямо сейчас

Если вы никогда не занимались этим системно, вот минимальный список первых шагов. Составьте реестр всех персональных данных, которые обрабатывает компания. Определите уровень защищенности для каждой информационной системы. Проверьте, где физически хранятся данные — все ли в России. Подпишите договор поручения обработки ПДн с облачным провайдером. Опубликуйте актуальную Политику конфиденциальности на сайте.

Это не быстро, но и не катастрофически сложно. Большинство компаний проходят первичный аудит и приводят документы в порядок за 1–2 месяца.