Серверы, ЦОД и хостинг под 152‑ФЗ: требования и выбор

Table of contents

• Кому нужен «хостинг 152‑ФЗ» и с чего начать
• Правовая база: что требует закон от серверов и ЦОД
• Варианты размещения: сервер, ЦОД, VPS/VDS, выделенный и облако
• Чек‑лист: требования к ЦОД и провайдеру
• Уровни защищенности, СЗИ и криптография
• Локализация и «облако ФЗ‑152»: Yandex Cloud и другие
• Договоры и документы: что закрепить с провайдером
• Практические настройки безопасности на хостинге
• Что проверяет Роскомнадзор
• FAQ: частые вопросы
• Итоги и что делать дальше

Кому нужен «хостинг 152‑ФЗ» и с чего начать

Если ваш сайт, приложение или корпоративная система собирает, хранит или обрабатывает персональные данные (ПДн) граждан РФ, вы являетесь оператором ПДн и обязаны обеспечить соответствие Федеральному закону 152‑ФЗ. Начните с инвентаризации обработки — определите, есть ли у вас ИСПДн (информационная система ПДн), ее цели и состав. Полезные материалы:

• Что такое ИСПДн и базовые требования: ИСПДн — определение и требования
• Общая рамка закона: О законе 152‑ФЗ, Текст (последняя редакция), Изменения 2025
• Если ПДн собираются на сайте: Требования к сайту, SSL/HTTPS, Cookie и баннеры, Формы и согласие, Яндекс.Метрика и 152‑ФЗ

Ключевой вопрос для серверов и ЦОД — где располагаются данные и как обеспечиваются меры защиты. Именно это определяет, подходит ли выбранный вами хостинг под 152‑ФЗ.

Правовая база: что требует закон от серверов и ЦОД

152‑ФЗ предъявляет к «серверам 152‑ФЗ» и размещению ИСПДн следующие базовые требования:

• Локализация ПДн граждан РФ на территории РФ (размещение первичной базы данных в России).
• Обязательные организационные и технические меры защиты по ст. 19 и смежным подзаконным актам.
• Законность и минимизация обработки, правовые основания, соблюдение прав субъектов ПДн (см. принципы и цели обработки).
• Поручение обработки третьим лицам (например, хостинг‑провайдеру) — только по договору с описанием мер защиты: Поручение обработки ПДн.
• Трансграничная передача — по правилам и только в страны с достаточной защитой или при наличии исключений: Трансграничная передача ПДн.
• В ряде случаев — уведомление Роскомнадзора: Уведомление Роскомнадзор.

Дополнительно учитывайте смежные режимы и законы: связанные законы 149‑ФЗ, 187‑ФЗ, 63‑ФЗ, 98‑ФЗ. Для специальных категорий (биометрия, здоровье, дети) действуют усиленные требования: специальные категории, биометрические, медицинские, дети.

Варианты размещения: сервер, ЦОД, VPS/VDS, выделенный и облако

Ниже — краткое сравнение распространенных вариантов «хостинга 152‑ФЗ».

Вариант	Плюсы	Риски/минусы	На что смотреть для 152‑ФЗ
Собственный сервер в офисе	Полный контроль	Физическая безопасность, отказоустойчивость; высокая TCO	Система защиты (СЗИ), сегментация, ограничение доступа, резервирование питания и каналов
Colocation в ЦОД (цод фз 152)	Инженерная надежность ЦОД, связь	Стоимость, управление на вашей стороне	Сертифицированные СЗИ, договор поручения, размещение в РФ, SLA, физохрана
VPS/VDS	Быстрый старт, цена	«Соседи», shared‑риски	Изоляция гипервизора, журналы, расположение РФ, бэкапы, DDoS‑защита
Выделенный сервер (dedicated)	Изоляция, производительность	Управление и обновления на вас	SLA, доступ по VPN, журналирование, СЗИ, локализация
Облако (IaaS/PaaS)	Масштабирование, геораспределение	Риски регионов/субпроцессоров	Регион РФ, договор поручения, ключи шифрования, журнал действий, облако ФЗ‑152

Важно: «облако ФЗ‑152» — это не отдельный юридический термин, а настройка процесса обработки ПДн в облачной среде, соответствующая требованиям закона.

Чек‑лист: требования к ЦОД и провайдеру

Выбирая ЦОД/хостинг под 152‑ФЗ, проверьте следующее:

• Территория и юрисдикция: площадка и бэкапы — в РФ; субподрядчики — под вашей осведомленностью и контролем.
• Договорная часть: условия локализации, перечень и уровень СЗИ, уведомление об инцидентах, порядок уничтожения/возврата данных.
• Физическая безопасность ЦОД: допуск по пропускам, видеонаблюдение, охрана, контроль доступа в стойку.
• Инженерная устойчивость: резервирование питания/охлаждения/каналов (Tier III/IV как ориентир), SLA по доступности.
• Сетевые меры: сегментация, изоляция трафика, firewall/WAF, DDoS‑защита, VPN IPsec/GRE.
• Криптография: TLS 1.2+, поддержка ГОСТ‑крипто при необходимости, управление ключами: Криптография/шифрование.
• Сертифицированные средства защиты (ФСТЭК/ФСБ) по уровню угроз и УЗ ИСПДн: Требования ФСТЭК и ФСБ.
• Журналирование и мониторинг: сбор логов, экспорт в SIEM, уведомления об инцидентах: Инциденты и утечки.
• Резервное копирование и DR: политика RPO/RTO, шифрование бэкапов, расположение копий.

Уровни защищенности, СЗИ и криптография

Требования к «серверам 152‑ФЗ» зависят от уровня защищенности вашей ИСПДн (УЗ) и актуальной модели угроз. Базовые шаги:

1. Классифицируйте ИСПДн и определите УЗ: Уровни защищенности ИСПДн.
2. Составьте модель угроз и подберите меры: Модель угроз ИСПДн, Меры безопасности ПДн.
3. Применяйте СЗИ, сертифицированные по профилю угроз; контролируйте обновления и настройки.

Шифрование — must‑have на канале и «на диске» (VPN, TLS, шифрование томов). Для каналов к реестрам/госинтеграции нередко требуются сертифицированные средства криптографической защиты. Подробнее — в Криптография/шифрование 152‑ФЗ.

Локализация и «облако ФЗ‑152»: Yandex Cloud и другие

«Облако ФЗ‑152» — это использование облачной инфраструктуры с локализацией ПДн в РФ и соблюдением мер из ст. 19. При выборе облака:

• Размещайте сервисы и хранилища в регионах РФ. Заприте создание ресурсов вне РФ политиками.
• Проверьте, где хранятся бэкапы, снимки дисков, логи и метаданные.
• Управляйте ключами шифрования: желательно KMS в РФ и/или customer‑managed keys.

Yandex Cloud 152‑ФЗ: в нем можно строить решения, соответствующие 152‑ФЗ, при условии корректной архитектуры (регионы РФ, шифрование, изоляция, договор поручения, журналирование). Смотрите наш отдельный разбор: Облака и Yandex Cloud под 152‑ФЗ.

Если участвует иностранный провайдер или происходит трансграничная передача (например, CDN, внешние аналитики) — соблюдайте правила: Трансграничная передача ПДн. Для международных проектов учитывайте также GDPR и 152‑ФЗ.

Договоры и документы: что закрепить с провайдером

Чтобы «хостинг 152‑ФЗ» работал на практике, в договорах и локальных актах закрепите:

• Поручение обработки ПДн хостеру/облаку с перечнем действий, мер защиты, сроков, ответственности: Поручение обработки ПДн.
• Политики и регламенты: Политика обработки ПДн, порядок уничтожения и блокировки, сроки хранения.
• План реагирования на инциденты и уведомление вас/РКН: Инциденты и утечки, Проверки Роскомнадзора.
• Условия возврата/удаления данных при расторжении, уничтожение носителей.
• SLA по доступности, RPO/RTO, порядок плановых работ и окно изменений.

Поможет готовый набор шаблонов: Пакет документов 152‑ФЗ и Шаблоны и формы.

Практические настройки безопасности на хостинге

Минимальный набор для сайта/сервиса в ЦОД/облаке:

• Сеть и доступ: VPN‑доступ, закрытые административные порты, двухфакторная аутентификация, принцип наименьших привилегий.
• Шифрование: HTTPS/TLS 1.2+, HSTS, шифрование дисков/бэкапов, ротация ключей. См. SSL/HTTPS 152‑ФЗ.
• Веб‑защита: WAF, rate‑limit, защита от DDoS, обновления CMS (см. WordPress, Bitrix, Tilda).
• Логи и мониторинг: централизованный сбор, неизменяемое хранилище, сигнатуры, алерты.
• Управление уязвимостями: патчи ОС/СУБД/ПО, бан‑лист модулей, CI/CD‑сканирование.
• Конфиденциальность на фронте: Cookie‑баннер, корректные формы и согласия, метрики — по правилам Яндекс.Метрика и 152‑ФЗ.

Что проверяет Роскомнадзор

На аудитах РКН часто запрашивает и проверяет:

• Где размещены серверы/ЦОД, адреса и юрисдикция, наличие локализации в РФ.
• Договор поручения с провайдером, перечень мер защиты, порядок уведомления об утечках.
• Документацию по ИСПДн: классификация, модель угроз, примененные меры, журналы: Внутренний контроль и обучение, Меры безопасности.
• Технические доказательства: логи, настройки доступа, шифрование, результаты тестов.
• Сайт: наличие политики, корректность форм и согласий, сертификат TLS: Требования к сайту.

Подготовиться помогут: Чек‑лист 152‑ФЗ, Подготовка к проверке, Аудит соответствия. Риски и санкции см.: Ответственность и штрафы и КоАП 13.11.

FAQ: частые вопросы

• Можно ли хранить ПДн в зарубежном облаке? — Для ПДн граждан РФ первичная база должна быть в РФ. Трансграничная передача возможна только по правилам и при соблюдении условий: трансграничная передача.
• Нужна ли «аттестация» ИСПДн? — Требования зависят от уровня защищенности и регуляторов. Часто проводят оценку соответствия/аттестацию по документам ФСТЭК/ФСБ: Требования ФСТЭК и ФСБ.
• VPS/VDS подходит под 152‑ФЗ? — Да, при изоляции, локализации в РФ и выполнении мер ст. 19. Важны договор поручения, логи, шифрование, бэкапы.
• Где хранить бэкапы? — В РФ, с шифрованием и контролем доступа. Закрепите сроки хранения и порядок уничтожения: Сроки хранения, Уничтожение/блокировка.
• Мы используем CDN — это нарушает локализацию? — Зависит от конфигурации. Статический кэш без ПДн обычно допустим, но не кэшируйте персональные данные за пределами РФ; проведите оценку и оформите трансграничную передачу при необходимости.

Итоги и что делать дальше

Выбор «сервера/ЦОД/облака под 152‑ФЗ» — это сочетание: локализация в РФ, корректные договоры с провайдером, реализация мер ст. 19 и постоянный контроль изменений. Для большинства проектов оптимальны colocation в российском ЦОД или облако с режимом «облако ФЗ‑152» (например, Yandex Cloud) при грамотной архитектуре и документации.

Следующий шаг:

• Провести экспресс‑оценку и классификацию ИСПДн.
• Свериться с чек‑листом и закрыть пробелы по договорам и настройкам.
• Подготовить пакет документов и план реагирования на инциденты.

Нужна помощь? Закажите у нас аудит соответствия 152‑ФЗ или консалтинг и документы под ключ — поможем выбрать хостинг, настроить «цод фз 152», внедрить СЗИ и пройти проверку РКН.