Блог Руцентра
Утечка или несанкционированный доступ к персональным данным могут повлечь не только репутационные и финансовые, но и юридические риски для бизнеса. Компании, работающие с чувствительной информацией, обязаны соблюдать требования Федерального закона № 152-ФЗ, и размещать информационные системы в безопасной ИТ-инфраструктуре.
Разбираем, в каких ситуациях это необходимо и как можно организовать такую инфраструктуру.
Защищенный хостинг для хранения персональных данных
Компания по управлению онлайн-активами Руцентр запустила платформу защищенного хостинга, соответствующую требованиям Федерального закона 152-ФЗ. Решение ориентировано для организаций, прежде всего, работающих с чувствительными данными. Сервис предназначен для размещения ИТ-систем, обрабатывающих информацию с максимальным уровнем защищенности.
Согласно Федеральному закону 152-ФЗ, все операторы персональных данных — юридические и физические лица, самостоятельно или совместно с другими участниками обрабатывающие персональные данные — обязаны соблюдать меры по защите информации. Уровень защищенности определяется на основе категории данных, количества субъектов и типа актуальных угроз. Всего предусмотрено четыре уровня: от минимального 4УЗ до максимального 1УЗ.
Хостинговая платформа Руцентра прошла аттестацию по высшему уровню защищенности (1УЗ) и подходит для размещения информационных систем, обрабатывающих персональные данные, например, биометрию, медицинские сведения и любые другие социальные данные. Сервис обеспечивает физическую и логическую изоляцию ресурсов, систему обнаружения вторжений, защищенный доступ и безопасную работу с файлами и базами данных.
В отдельной изолированной инфраструктуре Руцентра используются сертифицированные средства защиты информации, операционные системы и программное обеспечение. Платформа представляет собой готовую среду, в которой можно разворачивать ИТ-системы без необходимости создания отдельной собственной инфраструктуры. В состав новой услуги также входит предоставление полного комплекта документации, необходимого для подтверждения соответствия законодательным нормам.
С мая 2025 года требования к обработке персональных данных стали строже: операторы обязаны не только обеспечивать техническую защиту, но и соблюдать ряд организационных мер. Законодательство становится более детализированным, а выполнение требований — обязательным для всех участников, работающих с чувствительной информацией. Мы видим этот тренд и последовательно развиваем направление защищенных решений, чтобы предоставлять организациям ИТ-инфраструктуру, соответствующую регуляторным нововведениям и ожиданиям рынка.
Сергей Журило, директор по информационной безопасности Руцентра
Руцентр продолжает усиливать экспертизу в информационной безопасности. В 2025 году компания прошла криптографическое лицензирование ФСБ, сертификацию ISO по контролю защищенности конфиденциальной информации. Руцентр последовательно развивает продуктовую линейку специализированных решений, соответствующих требованиям российского законодательства в области информационной безопасности. Инфраструктура создается с прицелом на долгосрочную поддержку бизнеса и госсектора, которым важны соблюдение норм и надежная защита данных.
Почему не каждый хостинг подходит для работы с персональными данными
Основной принцип закона 152-ФЗ — персональные данные должны обрабатываться с соблюдением конфиденциальности, целостности и доступности информации. При этом организация обязана:
- определить уровень защищенности обрабатываемых данных;
- использовать средства защиты информации (СЗИ), прошедшие в установленном порядке процедуру оценки соответствия;
- размещать данные на технических средствах, расположенных в РФ;
- обеспечивать контроль доступа, защиту от несанкционированного доступа и аудит действий пользователей;
- подтвердить выполнение требований в формате оценки эффективности принятых мер защиты.
Федеральный закон № 152-ФЗ и подзаконные акты, включая Приказ ФСТЭК № 21, устанавливают особые требования к безопасности при работе с персональными данными. В том числе — к условиям хранения, уровню защищенности, контролю доступа и отчетности. Эти нормы касаются не только госсектора, но и любых организаций, которые собирают данные пользователей, особенно крупного и среднего бизнеса, — например, через формы обратной связи, регистрацию, онлайн-заказ или авторизацию.
Распространенные традиционные хостинговые решения, как правило, не предусматривают встроенных механизмов защиты на специально защищенном уровне: трафик не изолирован, контроль доступа не формализован, а средства защиты информации — не сертифицированы, или вовсе отсутствуют. Даже если компания использует шифрование, это не освобождает ее от обязанности обеспечивать комплексную защиту.
Так, на публичных платформах, не предназначенных для размещения персональных данных, как правило:
- отсутствуют сертифицированные СЗИ;
- не реализована модель угроз и не соблюдены методические рекомендации ФСТЭК;
- ресурсы не изолированы логически и физически;
- невозможно провести аттестацию информационной системы без доработок платформы и оформления документации.
Для государственных компаний и бизнеса, работающих с госсектором, это означает невозможность выполнять условия контрактов или участвовать в закупках. Для других организаций — риск штрафов, предписаний и даже приостановки деятельности при проверке со стороны контролирующих органов.
Как функционирует защищенный хостинг
Чтобы избежать рисков, операторы персональных данных используют аттестованные платформы, соответствующие требованиям закона. Такие решения строятся на базе сертифицированных средств защиты информации и обеспечивают изоляцию виртуальной инфраструктуры, шифрование каналов связи, контроль доступа и событий, наличие аттестата соответствия и строго регламентированных процессов по управлению информационной безопасностью.
На таких платформах можно легально и безопасно разворачивать инфраструктуру для обработки персональных данных. Хотя подтверждение в установленном порядке реализованных мер защиты остается в зоне ответственности заказчика, платформа уже соответствует ключевым требованиям, поэтому у компаний есть готовая база, на которой проще и быстрее пройти собственные процедуры и подтвердить соответствие регулятору.
Аттестованный хостинг актуален для компаний, обрабатывающих персональные данные, независимо от отрасли и формы собственности, например, если организация:
- внедряет решения в сфере медицины, образования, транспорта, ЖКХ, связи;
- реализует внутренние или клиентские системы, обрабатывающие персональные данные, включая биометрию.
Это могут быть ритейл-сети и онлайн-сервисы, страховые организации и банки, логистические и телеком-компании, органы власти и подведомственные учреждения. Чем чувствительнее данные и выше риски, тем строже требования к инфраструктуре. В ряде случаев использование аттестованной платформы становится необходимым условием соблюдения законодательства.
Хранение и обработка персональных данных требуют строгого соблюдения законодательства. Защищенный хостинг предоставляет заказчику инфраструктуру, где уже реализованы ключевые меры защиты, соответствующие требованиям 152-ФЗ. Даже если компания проводит собственную оценку или аттестацию, значительная часть требований уже реализована силами Руцентра — это упрощает подготовку, снижает затраты и ускоряет весь процесс.
Сергей Журило, директор по информационной безопасности Руцентра
