Привет, Хабр! С вами Анастасия Ильханова, я работаю юристом в Cloud.ru и постоянно сталкиваюсь с тем, что клиенты спрашивают о безопасности хранения данных в облаке, запрашивают лицензии, просят разъяснить положения договора и т. д. Моя задача в этой статье — разложить по полочкам ответы на основные вопросы клиентов и подытожить их в виде понятного чек-листа для компаний, ИП и отдельных разработчиков, которые готовятся использованию облаков.

Некоторые не доверяют облаку, потому что не считают его безопасным: «насколько хорошо защищен сервер?», «не сможет ли кто-то посторонний подключиться к нему и скачать то, что ему не принадлежит?», «…а если сервер упадет из-за DDoS-атаки и хакеры просто удалят все данные?». Отзывы рядовых потребителей в интернете или на непрофильных сайтах (не здесь, на Хабре) лишь укрепляют этот скепсис (везде ведь не оставишь комментарий, что использование облака для личных целей или его построение с помощью NAS без специальных знаний не равно использование облаков enterprise-уровня): нередко страхи частных пользователей переносятся на корпоративных — данные исчезнут или доступ к ним по каким-то причинам пропадет.

DISCLAMER: ни в коем случае не обесцениваю ничьи опасения и не отвергаю важность безопасности: я — специалист другой области. Цель статьи — помочь разобраться именно в юридической стороне вопроса, какие требования к провайдерам есть и как понять, что выбранный провайдер им соответствует.

Какие данные можно хранить в облаке? Фактически, — самые разные: от договоров с клиентами до медицинских карт пациентов. Немного особняком тут держится банковская тайна: есть проект закона на эту тему, и, по-хорошему, это предмет отдельной статьи. Федеральный закон «Об информации, информационных технологиях и о защите информации» устанавливает основные принципы защиты информации независимо от ее категории, формы и способа передачи.

Какие бы данные вы ни планировали размещать в облаке, есть конкретные аспекты, которые стоит проанализировать при выборе провайдера.

Проверяем уровень безопасности дата-центра

В России пока нет отдельного закона или постановления, которое устанавливало бы конкретные требования к центрам обработки данных (ЦОД). Есть только официальный запрет на размещение в них майнинговой инфраструктуры. Поэтому провайдеры в качестве подтверждения уровня надежности дата-центра ссылаются на общепринятый международный стандарт Tier — он определяет уровень надежности ЦОД по четырем уровням.

У конкретного провайдера есть свои внутренние стандарты архитектуры, которые часто устанавливают необходимость использования ЦОД не ниже определенного уровня.

Соответствие ЦОД уровню Tier III означает, что в нем есть своя территория, одно или несколько зданий, охрана, все необходимые системы и коммуникации, система охлаждения, дизель–генераторная установка на случай аварий энергосети, работает система противопожарной безопасности (раннего оповещения, противодымной вентиляции, установок газового пожаротушения). Дата-центр считается надежным, если он получил все три сертификата от Uptime Institute: дизайна, соответствия проекту и операционной устойчивости.

Не всегда и не всякому бизнесу строго необходим ЦОД именно III или IV уровня, кому-то может подойти и II уровень. Чтобы принять верное решение, в каждом случае клиенту необходимо анализировать свой кейс совместно с провайдером.

Еще важно помнить, что один и тот же провайдер может использовать инфраструктуру, которая сертифицирована по-разному: могут использоваться ЦОД и уровня Tier II, и уровня Tier III.

Важный момент, который стоит учитывать: дата-центр может иметь ЦОД полностью соответствующий определенному уровню Tier, но не получить сертификат ввиду того, что он находится под санкциями. Такие дата-центры в нашей стране есть, и это вовсе не характеризует их ЦОДы как ненадежные.

Есть еще один документ, который говорит о соответствии ЦОД повышенным требованиям в части системы контроля физического доступа, в том числе в части идентификации работников и посетителей, — это сертификат соответствия стандарту PCI DSS версии 4.0. Но эти требования важны только для финансовых организаций и участников платежных систем: подавляющему большинству бизнесов в это погружаться нет смысла.

Другой важный момент — расположение дата-центров. В России действует законодательство в области защиты персональных данных, согласно которому базы данных, содержащие персональные данные российских граждан, должны первично размещаться и обрабатываться только на территории нашей страны. Клиент, которому важно нахождение ЦОД в России (хотя далеко не всегда это связано именно с персональными данными), может обратиться к провайдеру с просьбой предоставить официальное письмо-подтверждение с указанием конкретного российского адреса дата-центра или прописать это условие в договоре.

Обычно информацию о расположении и сертификации ЦОД можно найти на сайте облачного провайдера. Проверить подлинность сертификата Tier можно на сайте Uptime Institute.

Разбираемся с информационной безопасностью

Есть большой перечень подзаконных актов и документов, определяющих конкретные меры защиты информации, которые должен соблюдать провайдер. Основные из них:

• Нормативные акты ФСТЭК, устанавливающие требования в сфере защиты информации (в частности, Приказ ФСТЭК России от 18.02.2013 №21 «Об утверждении состава и содержания организационных и технических мер по обеспечению безопасности ПДн при их обработке в ИСПДн»);

• Приказ ФСБ от 18.03.2025 № 117 «Об утверждении Требований о защите информации, содержащейся в государственных информационных системах, иных информационных системах государственных органов, государственных унитарных предприятий, государственных учреждений, с использованием шифровальных (криптографических) средств».

Соблюдение требований указанных документов подтверждается наличием у провайдера следующих Лицензий (Роскомнадзора[КН1] [КН2] [КН3] , ФСТЭК и ФСБ):

• на оказание услуг связи по предоставлению каналов связи;

• на услуги связи по передаче данных;

• на оказание телематических услуг связи;

• на разработку, производство, распространение шифровальных (криптографических) средств, информационных систем и телекоммуникационных систем, защищенных с использованием шифровальных (криптографических) средств, выполнение работ, оказание услуг в области шифрования информации и проч.

• на деятельность по технической защите конфиденциальной информации, а также на деятельность по разработке и производству средств защиты конфиденциальной информации.

Наличие лицензий ФСБ и ФСТЭК у облачного провайдера позволяет клиенту размещать в облаке конфиденциальную информацию. Не обманитесь, вам может требоваться наличие собственной лицензии ФСТЭК, например, если ваша компания создает ПО или технические средства для защиты данных (антивирусное ПО, межсетевые экраны и др.), занимается хранением информации, которая считается государственной тайной, или создает ПО для ее хранения.

Проверить наличие лицензий можно в выписке из Единого государственного реестра юридических лиц на сайте ФНС России, а также в реестрах лицензий ФСТЭК, ФСБ и Роскомнадзора соответственно.

Анализируем соответствие провайдера для целей обработки и хранения персональных данных по 152-ФЗ

Если клиент собирает персональные данные (ПДн) и собирается хранить их в облаке, то именно он, а не облачный провайдер, будет оператором персональных данных по смыслу законодательства. Именно пользователь облака определяет политику обработки ПДн, получает от своих клиентов подписанные согласия на обработку и так далее. Провайдер же помогает оператору тем, что обеспечивает соответствие требованиям закона облачной инфраструктуры, в которой размещаются данные.

Иногда облачный провайдер прямо указывает в договоре, что он не является оператором персональных данных. Имеется ввиду, что отсутствие хранения персональных данных провайдером презюмируется, пока стороны не подписали поручение на обработку персональных данных, как того требует закон.

Тем не менее, для организации защиты персональных данных в облаке провайдер должен выполнить требования законодательства и подтвердить это аттестатом соответствия 152-ФЗ. Этот аттестат выдается контролирующими органами и подтверждает, что инфраструктура облака соответствует приказам ФСТЭК, а информация надежно защищена.

Оператор персональных данных может и не прибегать к услугам облачного провайдера, а самостоятельно обеспечить соответствие ФЗ «О персональных данных», но оценку соответствия в таком случае будет проходить и инфраструктура, и документация, и все процессы, касающиеся персональных данных.

Ответственность провайдера в соответствии с договором и ее ограничения

Как и любой хороший договор, договор с облачным провайдером должен содержать в себе внятную «матрицу» ответственности[КН1] [ИА2] : договор должен содержать перечень возможных нарушений с обеих сторон и мер ответственности, в том числе порядок и объем уплаты компенсаций за нарушения. Ответственность должна быть сбалансированной: не должно быть такого, что одна сторона договора отвечает за все, а другая — ни за что.

Подавляющее большинство провайдеров включают в договор подробные SLA (Service Level Agreement — соглашение об уровне предоставления услуг) по каждой услуге, в которых прописывают меры ответственности за недоступность серверов, инциденты и прочее. За каждое нарушение предусмотрена компенсация.

В договорах прописывают и ограничения ответственности. Например, провайдер готов возмещать убытки (непосредственный ущерб и расходы, которые клиент понес или понесет в результате недоступности данных, утечек и прочее) и уплатить штраф, а упущенную выгоду нет. Это стандартная практика и не является чем-то исключительным.

Говоря о договоре, нельзя не упомянуть о дополнительных услугах для защиты данных в облаке от DDoS-атак. Провайдер может предлагать специальные сервисы: межсетевые экраны, инструменты фильтрации трафика, защита от взломов. Обычно сами провайдеры не разрабатывают такие сервисы, а предлагают партнерские решения, например StormWall, Curator или Bi.Zone.

Зоны ответственности клиента и провайдера. Кибербезопасность

Кибербезопасность — это защита от атак злоумышленников, несанкционированного доступа, утечек данных и т.д. Кибербезопасность и информационная безопасность — это не одно и то же, потому что кибербезопасность — это только про защиту цифровой информации.

Ответственность за обеспечение кибербезопасности всегда является обоюдной для провайдера и клиента. Есть аспекты кибербезопасности, которые являются ответственностью только самого клиента. Обычно облачный провайдер прописывает эти моменты в отдельном приложении к договору, посвященном кибербезопасности. Так, например, управление доступом внутри тенанта клиента (совокупности его  вычислительных ресурсов) является всегда зоной ответственности клиента. Провайдер отвечает за регистрацию и аннулирование регистрации учетных записей или администраторов клиента. Плюс он обеспечивает защиту персональных данных администраторов и ответственных лиц клиента. То есть, если данные учетной записи по вине клиента будут скомпрометированы, провайдер не будет нести ответственность за последствия.

Итоги. Чек — лист безопасного облачного провайдера

Подводя итоги, хочу собрать все вышесказанное в один небольшой чек-лист «Как выбрать надежного облачного провайдера»:

• узнайте, в каких ЦОД провайдер хранит информацию клиентов, сертифицированы ли они и где конкретно располагаются;

• запросите лицензии Роскомнадзора, ФСТЭК, ФСБ, проверьте их подлинность;

• внимательно изучите проект договора с провайдером, в частности, разделы, посвященные ответственности сторон, а также SLA;

•  изучите условия договора с провайдером, регулирующие кибербезопасность и порядок действий при инцидентах.