Облака и 152‑ФЗ: Яндекс Облако, договоры и безопасность
Введение: зачем переносить ИСПДн в облако
Облачные платформы позволяют быстро масштабировать инфраструктуру, сокращать капитальные затраты и внедрять современные практики безопасности. Но при обработке персональных данных (ИСПДн) ключевым становится соответствие 152‑ФЗ: закон определяет цели и принципы обработки, правовые основания, обязанности оператора и набор организационно‑технических мер. Краткий обзор базовых требований и терминов смотрите в материалах: о законе 152‑ФЗ, структура и статьи, ст. 3 — термины, ст. 19 — безопасность.
Если вы выбираете Яндекс Облако (Yandex Cloud), вопрос «yandex cloud 152 фз» упирается в три оси: юридическая модель (договоры), техническая реализация (архитектура, меры), доказуемость (артефакты для проверок). Разберем каждую по порядку.
Роли и ответственность: оператор, облачный провайдер, интегратор
По 152‑ФЗ оператором остается ваша компания — вы определяете цели/состав данных, получаете согласия, ведете политики и отвечаете перед субъектами ПДн и Роскомнадзором. Облачный провайдер выступает лицом, осуществляющим обработку по поручению (обработчиком). Иногда участвует интегратор/подрядчик, создающий и обслуживающий решение.
Таблица разграничения обязанностей (обобщенная модель):
| Задача |
Оператор (вы) |
Облачный провайдер (Yandex Cloud) |
Интегратор/подрядчик |
| Правовое основание, согласия, политика |
Да |
Нет |
Нет |
| Уведомление в реестр операторов |
Да (реестр) |
Нет |
Нет |
| Поручение обработки, DPA |
Да (инициирует/подписывает) |
Да (свой шаблон) |
При необходимости |
| Модель угроз, уровень защиты |
Да (определяет) |
Предоставляет сведения о сервисах |
Помогает разработать |
| Организационные меры, обучение |
Да (внутренний контроль) |
Свои внутренние |
Могут обучать |
| Сетевые меры (VPC, Segmentation) |
Совместно |
Инструменты |
Реализует |
| Управление доступами (IAM) |
Да |
Инструменты (IAM) |
Настраивает |
| Шифрование, ключи |
Да (выбор политики) |
Инструменты (KMS/Lockbox) |
Настраивает |
| Логи, аудит |
Да (хранит/анализирует) |
Инструменты (Audit Trails/Logging) |
Настраивает |
| Резервное копирование, DR |
Да (требования) |
Инструменты/опции |
Реализует |
| Инциденты, уведомления РКН |
Да (инциденты) |
Уведомляет клиента о сбоях |
Помогает расследовать |
Важно: ответственность оператора по 152‑ФЗ не «переезжает» в облако. Облако — инструмент, а не замена требованиям закона.
Соответствие 152‑ФЗ в Yandex Cloud: что реально дает провайдер
Яндекс Облако размещено в российских ЦОД и предоставляет функции для построения защищенных сред. Однако «сертифицированное облако» само по себе не освобождает оператора. Вы подтверждаете соответствие собственной ИСПДн, даже если она работает на базовых сервисах провайдера.
Практически это означает:
- Запросите у провайдера сведения о дата-центрах, сегментации, журналах, средствах шифрования и административных процедурах. Материал по инфраструктуре см. в разделе серверы, хостинг, ЦОД.
- Убедитесь, что портфель сервисов, которые вы используете, допускает реализацию мер из ст. 19 и требований ФСТЭК/ФСБ.
- Закрепите разграничение ответственности за меры безопасности в договоре (см. ниже).
Так вы превращаете абстрактное «облако фз 152» в конкретную систему управления рисками и доказательную базу.
Договоры: поручение обработки (DPA), SLA и разграничение ответственности
Ключевые документы, если вы планируете «яндекс облако 152 фз»:
- Поручение обработки ПДн (Data Processing Agreement): определяет предмет, цели, перечень операций, категории ПДн, меры безопасности, порядок субобработчиков, инциденты и возврат/уничтожение данных. Подробнее — поручение обработки ПДн.
- Основной договор/оферта + SLA: сроки доступности, отказоустойчивость, резервные копии, уведомления о работах, точка ответственности за сетевые/аппаратные сбои.
- Приложение о разграничении мер: какие меры выполняет оператор, какие — провайдер/подрядчик (см. таблицу выше).
- Локализация: подтверждение размещения первичной БД в РФ (ст. 18.5 152‑ФЗ).
- Доступы сторон: протоколирование административных действий, двухфакторная аутентификация, порядок выдачи/отзыва доступов.
Юридические документы на вашей стороне: политика обработки ПДн, реестр процессов, пакет документов 152‑ФЗ. Следите за новыми нормами — см. изменения 2025.
Безопасность ИСПДн: уровень защищенности, ФСТЭК/ФСБ и модель угроз
Определите уровень защищенности вашей ИСПДн (1–4) — от него зависят обязательные меры. Краткий ориентир и методику см. в разделе уровни защищенности ИСПДн. Далее разработайте модель угроз с учетом архитектуры облака и возможных векторов (компрометация учетных записей, межсегментные перемещения, атаки на API, уязвимости контейнеров и пр.).
Набор мер должен соответствовать требованиям ФСТЭК и ФСБ: организация доступа, сетевое экранирование, контроль целостности, антивирусная защита, криптографические средства, журналирование и реагирование на инциденты. Практический перечень см. в меры безопасности ПДн.
Архитектура и сервисы Yandex Cloud под 152‑ФЗ
![Схема архитектуры размещения ИСПДн в Yandex Cloud — placeholder]()
Примерный паттерн для cloud 152 фз:
- Выделенный VPC с подсетями «публичная» (балансировщики/шлюзы) и «приватная» (БД, сервисы обработки).
- Bastion‑хост/Jump‑server для администрирования. Двухфакторная аутентификация и ограничение по IP.
- WAF/ACL и групповые политики безопасности на уровне сервисов.
- Секреты и ключи вынесены в сервис секретов, данные «на диске» и «в канале» шифруются.
- Централизованное логирование: системные, сетевые, аутентификационные, API‑логи.
- Резервное копирование в отдельный сегмент/аккаунт, регулярные тесты восстановления.
Пример соответствия сервисов возможным мерам:
| Сервис/функция Yandex Cloud |
Назначение |
Замечания по 152‑ФЗ |
| VPC + Security Groups |
Сегментация, фильтрация трафика |
Реализуйте принцип наименьших привилегий и deny‑by‑default |
| IAM |
Управление доступом, роли |
Обязательна MFA, ротация ключей, раздельные роли админа/эксплуатации |
| KMS / Lockbox |
Управление ключами и секретами |
Определите жизненный цикл ключей, разграничьте доступ и логируйте операции |
| Object Storage / Disks |
Хранение данных и бэкапов |
Включайте шифрование, настройте политики хранения и удаления |
| Managed Databases |
Реляционные/NoSQL БД |
Включайте шифрование в покое/полете, журналируйте запросы, ограничьте доступ по сети |
| Audit Trails / Logging |
Журналы действий и API |
Централизуйте сбор, храните в неизменяемом виде, используйте ретеншн-политику |
Совет: составляйте «атлас сервисов» вашей ИСПДн — перечень облачных сервисов и связанных рисков/контролей. Это упрощает доказуемость соответствия и взаимодействие с аудиторами.
Шифрование и управление доступом
Криптография — ключевой элемент для ИСПДн. Внедрите TLS для внешних и внутренних соединений, отслеживайте конфигурации и сроки действия сертификатов. Подробности — в разделе криптография и шифрование и про веб — SSL/HTTPS и 152‑ФЗ.
Рекомендации:
- Разделите административные и пользовательские роли. Включите MFA и запретите вход с общих учетных записей.
- Используйте KMS для управления ключами шифрования дисков, БД и объектного хранилища. Введите регламент ротации.
- Храните секреты (пароли, API‑токены) в Lockbox/секрет‑менеджере, а не в коде/переменных окружения.
- Включите журналирование всех административных операций и действий по ключам. Логи защищайте от изменения, выгружайте в неизменяемое хранилище.
Локализация и трансграничная передача
Персональные данные россиян должны храниться на территории РФ (ст. 18.5 152‑ФЗ). Это означает, что первичная база — в российских ЦОД. Если вы передаете данные за рубеж (например, для резервирования или аналитики), применяются правила трансграничной передачи ПДн: оценка уровня защиты в стране получателя, правовые основания, уведомление субъекта в ряде случаев.
Для проектов с международными интеграциями полезно сверить дополнительные требования см. связанные законы: 149‑ФЗ, 187‑ФЗ, 63‑ФЗ, 98‑ФЗ.
Доказуемость соответствия и взаимодействие с Роскомнадзором
Даже идеальная архитектура должна быть «доказываемой». Что готовить:
- Уведомление и записи в реестре операторов.
- Политики и регламенты: доступ, резервное копирование, управление ключами, обработка инцидентов, уничтожение/блокировка ПДн (уничижтожение и блокировка).
- Материалы по угрозам/уровню защиты: модель угроз, акт определения уровня (уровни защищенности).
- Договорная база: DPA/поручение, SLA, распределение мер.
- Журналы: аутентификация, изменения конфигураций, сетевые события, операции с ключами.
- Технические отчеты: результаты тестов восстановления, отчеты уязвимостей, сценарии реагирования.
При проверках ориентируйтесь на раздел проверки Роскомнадзора и подготовьтесь заранее — подготовка к проверке, чек‑лист. Практику полезно сверять с судебной практикой.
Типичные ошибки и практические советы
- Неверная роль в договоре: провайдер обозначен как «оператор». Исправляйте — он обработчик. См. поручение обработки ПДн.
- MFA только для части админов. Требуйте для всех, включая аккаунты провайдера/подрядчика.
- «Глухие» S3‑корзины без версиирования и WORM‑хранилища — журналирование может быть подвержено удалению.
- Открытые админ‑порты из интернета. Используйте bastion/VPN и списки доверенных IP.
- Нет регламента уничтожения данных у провайдера после расторжения договора.
- Веб‑форма на сайте отправляет ПДн в сторонние сервисы без информирования и согласий. Сверьтесь с требованиями к сайту и материалом Яндекс Метрика и 152‑ФЗ. Документы — для сайта.
- Отсутствует план реагирования и контактная схема для инцидентов — см. инциденты и утечки.
Краткий чек‑лист запуска ИСПДн в облаке
- Определите правовые основания, цели и состав ПДн; оформите согласия/уведомления.
- Оцените уровень защищенности и подготовьте модель угроз.
- Выберите сервисы облака и составьте «атлас сервисов» с рисками и мерами.
- Заключите DPA/поручение, пропишите распределение мер и локализацию.
- Постройте архитектуру: VPC‑сегментация, WAF/ACL, IAM с MFA, шифрование в покое/полете.
- Настройте логи и мониторинг, резервное копирование и тесты восстановления.
- Проведите обучение сотрудников и назначьте ответственного за ПДн.
- Подготовьте комплект документов и артефактов для проверок. Используйте аудит соответствия и наш генератор политики и согласий.
Это превращает абстрактный «yandex cloud 152 фз» в управляемый проект с измеряемым прогрессом.
Заключение и следующий шаг
Разместить ИСПДн в Yandex Cloud можно в полном соответствии с 152‑ФЗ: для этого нужны корректная правовая модель (оператор ↔ обработчик), технически выверенная архитектура и доказательная база. Если вам нужна практическая помощь — от проверки договоров до построения безопасной инфраструктуры «под ключ», обратитесь к нашим экспертам: аудит соответствия 152‑ФЗ и консалтинг и документы под ключ. Мы поможем превратить «облако фз 152» в конкурентное преимущество бизнеса.
