Я — Оксана Пастернак, старший юрисконсульт компании Cloud.ru. Мы предоставляем облачные сервисы и взаимодействуем с Роскомнадзором (РКН) по вопросам защиты персональных данных и соответствия требованиям законодательства. Изнутри вижу, как важно выстроить процессы так, чтобы облако оставалось безопасным и проверку можно было пройти спокойно.
Облачная безопасность — тема, которая становится все более актуальной для бизнеса. Компании переходят в облако, размещают там рабочие среды, базы клиентов и персональные данные сотрудников. Но вместе с удобством растет и ответственность: любая ошибка в настройках доступа, неактуальная политика безопасности или задержка с уведомлением регулятора может закончиться штрафом.
Материал будет полезен тем, кто размещает данные и рабочие процессы в облаке и хочет быть уверенным, что проверка Роскомнадзора не застанет врасплох.
В этой статье расскажу: что входит в понятие облачной безопасности; как пройти аудит без стресса и штрафов; приложу чек-лист подготовки для тех, кто отвечает за безопасность или юридическую сторону облачных решений.
Оглавление
Что такое облачная безопасность
Понятие облачная безопасность включает в себя технологии, политики, процедуры и контроль, которые направленны на защиту данных, приложений и сервисов, размещенных в облачных вычислительных средах. Как отмечает Kaspersky, ее цель простая — сохранить конфиденциальность, целостность и доступность данных при их хранении и обработке.
Один из самых частых вопросов при работе с облаком — кто отвечает за безопасность? Многие компании ошибочно полагают, что раз данные хранятся у провайдера, то и вся ответственность лежит на нем. В реальности в облаке действует принцип разделенной ответственности: провайдер защищает инфраструктуру, а клиент отвечает за настройки, доступы и порядок в документах. Если коротко, разделение выглядит так:
Зона ответственности |
Что делает облачный провайдер |
Что делает пользователь облака |
Физическая инфраструктура |
Защищает дата-центры от сбоев, атак и незаконного доступа |
Выбирает надежного провайдера |
Сетевая безопасность |
Настраивает маршрутизацию сетей |
Управляет сетевыми политиками виртуальных машин, контролирует доступ |
Гипервизор и виртуализация |
Безопасность гипервизора, регулярные обновления платформы |
Устанавливает патчи, следит за безопасностью собственных ОС |
Хранение данных |
Защищает физические носители, обеспечивает резервное копирование и отказоустойчивость |
Шифрует данные, выбирает место хранения и управляет доступами |
Доступ и аутентификация |
Предоставляет инструменты по доступу и аутентификации |
Назначает роли и права сотрудникам, контролирует пароли |
Мониторинг и реагирование |
Ведет мониторинг инфраструктуры, реагирует на инциденты |
Отслеживает активность внутри своей учетной записи, сообщает о нарушениях |
Соответствие требованиям |
Соблюдает требования ФСТЭК, ФСБ и международных стандартов |
Обеспечивает соответствие 152-ФЗ и внутренним политикам |
Ошибка в настройках или использование слабых паролей могут свести на нет все усилия провайдера.
Инциденты могут быть связаны с человеческим фактором и неправильной конфигурацией сервисов. Например, при неправильной настройке публичных S3-бакетов данные становятся доступными из интернета, что уже не раз приводило к масштабным утечкам. Другие распространенные угрозы — взлом учетных записей, фишинговые атаки и несоблюдение принципа минимально необходимого доступа.
Современная концепция защиты — Zero Trust: никому не доверять доступ по умолчанию, проверять каждое действие и каждую сессию и ограничивать права до минимально необходимых.
Что может произойти при нарушении безопасности
Ошибки конфигурации или взлома учетных записей могут привести к утечке персональных данных. Это сразу подпадает под ст. 13.11 КоАП РФ и грозит штрафами до 15 млн. рублей в зависимости от объема утерянных данных.
Злоумышленник может получить доступ к внутренним системам, базе клиентов, платежным данным или исходному коду. Как итог — потеря доверия со стороны партнеров и пользователей.
Кроме классических утечек компании часто сталкиваются с DDoS-атаками или шифровальщиками. В таком случае облачные сервисы могут перестать работать, а клиенты — временно потерять доступ клиентов к продуктам.
Даже единичный инцидент безопасности способен вызвать резонанс в СМИ, потерю клиентов и снижение стоимости бренда.
И, конечно, Роскомнадзор может провести внеплановую проверку, выдать предписание, наложить штрафы, а иногда даже приостановить деятельность.
Как подготовиться к аудиту Роскомнадзора
Вопросы по проведению проверок РКН в 2025 году стали наиболее актуальны, так как во много раз были увеличены штрафы за нарушение законов в области персональных данных.
Роскомнадзор проводит проверки операторов ПДн согласно Федеральному закону № 152-ФЗ и подзаконным актам. Проверка может быть:
плановой — по графику на сайте rkn.gov.ru;
внеплановой — по жалобе субъекта или факту утечки;
профилактической — новая форма контроля. С 2025 года РКН активнее использует этот формат.
Важно заранее подготовиться под разные типы проверок: и к запросам «на стол», и к визиту.
Также стоит помнить модель shared responsibility: облачный провайдер отвечает за инфраструктуру, физические меры, сеть и др., но вы как клиент (ваши пользователи, компании-клиенты) несете ответственность за конфигурации, доступ, данные и интерфейсы. Это распределение ответственности нужно четко фиксировать в договорах и показывать при аудите.
Юридическая готовность
Первое, что смотрит РКН, — документы. Если они неактуальны или противоречат друг другу, проверка сразу усложняется. Лучше заранее провести «ревизию бумаг» и убедиться, что все оформлено корректно. Что важно проверить:
Актуальность локальных актов по обработке персональных данных: политика, регламенты доступа, инструкции, положения об уничтожении, обработке, об ответственных лицах.
Соответствуют текущим требованиям политика конфиденциальности и форма согласия (в т. ч. формулировки, права субъектов).
Приказ о назначении ответственного за обработку ПДн (DPO / лицо, ответственное за ПДн) должен быть оформлен официально. Эти моменты упоминаются в методических рекомендациях РКН.
Регистрация (или актуализация) в реестре операторов и уведомление в РКН об обработке ПДн — они проверяются обязательно.
Документы, регламентирующие поручение обработки третьим лицам: контракты с субподрядчиками, соглашения о конфиденциальности, требования к уровню безопасности. РКН в рекомендациях прямо указывает, что даже если данные переданы третьим лицам, ответственность остается у оператора.
Акты уничтожения данных, журналы учета доступа и действий, журналы инцидентов, внутренние акты о контроле и аудите — все это пригодится при запросах инспекторов.
Чтобы не искать документы в последний момент, рекомендую заранее собирать их в цифровом формате и иметь структурированные каталоги, например: «Политики», «Договоры», «Журналы», «Инструкции», «Акты». При аудите инспектор попросит доступ к папкам — пусть они будут сразу на виду. Для аудита важно показать не только «что есть», но и историю изменений, поэтому полезен реестр версий документов.
Перед официальной проверкой проверьте себя «изнутри». Это поможет выявить слабые места и исправить их заранее. Проведите внутренний аудит процессов обработки ПДн: от сбора данных до удаления или архивации. Проверьте соответствие действующим локальным актам. Проверьте формы на сайте: формы обратной связи, поля регистрации, виджеты, скрипты. Убедитесь, что они сопровождаются разрешительными соглашениями и чекбоксами на согласие (без предустановленных галок). Если используете внешние аналитические сервисы, убедитесь, что данные сначала обрабатываются в РФ, иначе это может быть нарушением.
Проведите тесты на восстановление данных, инцидентные сценарии, проверку разграничения доступа, попытки несанкционированных операций — все это можно документировать как доказательство зрелости безопасности.
Техническая готовность
Технические меры — это то, что подтверждает, что политика безопасности работает не только на бумаге. Вот, что здесь важно:
Используйте шифрование при хранении и передаче.
Внедрите MFA (Multi-Factor Authentication), ротацию паролей, принцип минимально необходимых прав. MFA – это процесс установки и настройки системы многофакторной аутентификации для защиты учетных записей и систем.
Настройте централизованный сбор логов и ретенцию не менее 6 месяцев.
Тестируйте резервное копирование и восстановление (DR-тесты).
Обеспечьте сегментацию сетей, WAF и DDoS-защиту.
Документируйте доказательства: политики, отчеты, логи, скриншоты.
Организационные меры
Эти меры помогают убедиться, что компания готова к проверке и избежать хаоса внутри:
Проведите внутренний аудит за 30 дней до проверки.
Назначьте контактное лицо для взаимодействия с инспектором.
Храните документы в цифровом виде: политика, договоры, журналы, акты.
При получении предписания РКН — действуйте быстро: подготовьте ответ и доказательства устранения нарушений.
На что клиенту облачного провайдера важно обратить внимание
Часть требований безопасности лежит на клиентах облачных услуг, поэтому важно заранее убедиться, что у провайдера есть базовые меры защиты, а у вас — необходимые инструменты управления своей зоной ответственности. Что стоит проверить:
Наличие у провайдера доказательства того, что облачная инфраструктура (ЦОД, гипервизоры, сеть) сертифицирована и соответствует стандартам ISO, ФСТЭК.
Поскольку часть ответственности ложится на вас как на клиента, должен быть механизм разграничения ответственности (договоры, SLA, интерфейсы, документация).
Процесс реагирования на инциденты, включая уведомления клиентов и регуляторов, должен быть задокументирован.
Поскольку облако — это масштабируемая система, провайдер должен проводить регулярные аудиты инфраструктурных изменений: CI/CD, обновления, изменения конфигураций.
Подготовка к аудиту РКН — это сочетание юридической, организационной и технической готовности. Если вы заранее проведете внутренний аудит, оформите документы, подготовите техническую часть, пробежитесь по сценарию аудита и будете готовы к коммуникации с инспекторами, шансы пройти проверку без штрафов значительно возрастают.
Примеры из судебной практики
Ниже — реальные судебные кейсы, которые показывают, к чему приводит несоблюдение базовых требований при обработке персональных данных. Вот три блока — то, с чего стоит начать подготовку к аудиту Роскомнадзора:
уведомление регулятора, назначение ответственного лица и утверждение политики обработки персональных данных.
Уведомление Роскомнадзора
Компания не отправила уведомление в РКН и не направила обоснование, почему обрабатывает данные без него. Итог — предупреждение (ст. 19.7 КоАП РФ).
Руководитель пытался оспорить привлечение к ответственности, но суд указал, что даже использование Ф.И.О., адресов, паспортных данных работников, сбор анкет кандидатов, передачу данных страховым компаниям, банкам и военкоматам подпадает под понятие обработки (п. 3 ст. 3 ФЗ-152). Следовательно, организация обязана направить уведомление об обработке персональных данных в Роскомнадзор.
Постановление Первого кассационного суда общей юрисдикции от 14.03.2022 по делу № 16-1309/2022.
Назначение ответственного лица
При проверке РКН выявил, что работодатель:
не утвердил локальные акты по работе с персональными данными;
не назначил ответственное лицо за организацию обработки ПДн.
Суд обязал компанию в течение двух месяцев утвердить локальные акты и назначить ответственного. В решении подчеркивается, что если в компании не будут приняты локальные акты и не будет назначено ответственное лицо, то это создаст риски неправомерного использования данных и нарушения конфиденциальности.
Решение Шарлыкского районного суда Оренбургской области от 05.11.2019 по делу № 2а-534/2019.
Если ответственное лицо не назначено, суды часто признают виновным руководителя организации лично.
Постановление мирового судьи судебного участка № 57 Ленинского района г. Красноярска от 14.03.2023 по делу № 05-0253/57/2023.
Кроме того, отсутствие назначенного ответственного также усложняет и процесс уведомления Роскомнадзора — просто некому готовить и подписывать документы от имени оператора.
Политика обработки персональных данных
Детская школа искусств собирала данные пользователей через форму обратной связи на сайте, но не разместила политику обработки персональных данных.
Суд указал, что оператор обязан обеспечить публичный доступ к этому документу (ч. 2 ст. 18.1 ФЗ-152). Отсутствие такой информации на сайте — нарушение.
Итог: директор школы привлечена к ответственности по ч. 3 ст. 13.11 КоАП РФ, вынесено предупреждение.
Эти кейсы демонстрируют, что даже без крупных утечек данные нарушения фиксируются и наказываются. Формальные требования — уведомление РКН, назначение ответственного и публичная политика обработки — это база, с которой начинается любая проверка. При аудите именно эти документы проверяют первыми, и их отсутствие часто ведет к штрафу или предписанию.
300 ГБ утекших данных и штрафы: разбор реального кейса
В 2022 году у «Гемотеста» произошла крупная утечка — порядка 300 ГБ персональных данных клиентов оказались в руках злоумышленников. Мировой суд оштрафовал компанию за массовую утечку данных клиентов на 60 000 ₽.
Этот кейс показывает, что даже крупные игроки не застрахованы от внеплановой проверки и административной ответственности по ст.13.11 КоАП при факте утечки. И если раньше нарушения в сфере персональных данных воспринимались скорее, как репутационный риск — штрафы были незначительными, — то теперь это и финансовая угроза: суммы взысканий выросли в разы. Теперь за утечку персональных данных можно получить штраф до 15 млн рублей.
Почему внедренные средства безопасности могут не сработать в критический момент
Даже если в компании внедрены современные средства безопасности, уязвимости все равно появляются. Обычно причины лежат в нескольких областях:
Человеческий фактор и доступы. Причинами могут быть либо ошибка конфигурации прав доступа, либо злоупотребление полномочиями сотрудника (отсутствие сегрегации прав и слабая ротация учетных записей).
Недостаточный мониторинг и логирование. Без централизованных логов и механизмов автоматического поиска аномалий утечку часто выявляют постфактум, когда украденная информация уже выставлена на продажу.
Отсутствие шифрования и управления ключами. Если данные хранятся нешифрованными или ключи плохо защищены — компрометация становится катастрофичной.
Ошибка в цепочке поставщиков. Если для хранения использовались внешние сервисы или ба́кеты с неправильными политиками доступа — это прямой путь к массовому экспорту данных.
Что нужно было сделать технически и организационно
Вот набор мер, которые помогли бы избежать штрафа:
Настроить IAM с least privilege, внедрить MFA для административных и сервисных учетных записей, регулярно аудитировать роли и ключи.
Централизованно собирать логи, настроить их хранение и средства автоматического поиска аномалий; иметь четкий, заранее подготовленный и отработанный план действий по инцидентам и регламент оповещения РКН и клиентов.
Шифровать данные at-rest и in-transit, управлять ключами через KMS с аудированием доступа.
Внедрить автоматизированный мониторинг конфигураций облачных бакетов (S3 или аналоги) для немедленного выявления непредусмотренного публичного доступа и устаревших правил ACL в целях минимизации рисков несанкционированного распространения персональных данных.
Провести DLP-оценку и сегментацию данных, минимизировать хранение лишних персональных полей.
Реализация этих мер значительно снижает риск масштабных утечек и дает аргументы при проверке РКН (логи, отчеты тестов, акты обновлений).
5 этапов к подготовке к аудиту Роскомнадзора
1 этап. Проверьте документы, связанные с обработкой персональных данных
Начните с базовой гигиены документации:
Обновите Политику обработки ПДн, чтобы она соответствовала ст.18.1 ФЗ-152.
Проверьте наличие Положения о защите ПДн и поручений на обработку с субобработчиками.
Убедитесь, что в договоре с облачным провайдером четко распределены обязанности и меры защиты. Например, как указано у нас в разделе 8 по ссылке.
Законодательство в области персональных данных меняется, процессы в вашей компании тоже могут меняться (например, появляются новые сборы данных) и если данные документы будут устаревшими, то это будет нарушением обработки персональных данных.
2 этап. Проведите внутренний аудит
Инвентаризация — фундамент любой подготовки. Проверьте:
где физически хранятся данные.
какие технические меры защиты работают: шифрование, антивирусы, контроль доступа, резервное копирование.
ведутся ли журналы событий, кто отвечает за мониторинг и реагирование.
Это нужно сделать чтобы, во-первых, знать, что защищать, а без инвентаризации это сложно понять. Во-вторых, если произойдет инцидент, то мы должны быстро знать какие именно системы и данные затронуты, чтобы заблокировать утечку. В -третьих, проверить соответствуют ли меры защиты требованиям ФЗ-152.
3 этап. Подготовьте сотрудников
Даже идеальная документация не поможет, если сотрудники теряются при проверке, поэтому:
Проведите обучение персонала по политике ПДн.
Проверьте наличие подписей о неразглашении и инструктажей.
Назначьте ответственного за ИБ и ПДн приказом.
Данный этап нужен для того, чтобы при проверке сотрудники не растерялись, знали свои обязанности и могли ответить на базовые вопросы проверяющих, например:
Есть ли у вас политика обработки персональных данных?
Какие категории персональных данных вы обрабатываете и с какими целями?
Запрашиваете ли вы согласие на обработку у субъектов?
4 этап. Проверьте готовность документов
Соберите и обновите всю ключевую документацию:
Политика ПДн
Модель угроз
Перечень ИСПДн
Приказы о назначении ответственных
Акты инструктажей
Планы реагирования на инциденты
Акты аудитов и тестов защиты
Эти документы необходимо проверять чтобы убедиться в том, что наша доказательная база готова и мы можем ее предъявить проверяющим. Что данные документы соответствуют требованиям законодательства.
5 этап. Проведите репетицию аудита
За 1–2 недели до проверки проведите внутреннюю оценку. Проверьте:
соответствие процессов требованиям 152-ФЗ;
корректность уведомления РКН об обработке ПДн;
готовность предоставления документов в течение 3 рабочих дней.
Проведение репетиции аудита поможет выявить и исправить какие-то мелочи или недостатки в документах, к которым может придраться проверяющий и которые в итоге могут стать большими проблемами.
Мини-анкета для оценки облачного провайдера
Перед работой в облаке убедитесь, что провайдер соответствует базовым требованиям безопасности. Ответьте себе на вопросы:
Есть ли у провайдера аттестаты ФСТЭК / ISO 27001?
Где физически расположены серверы?
Как обеспечивается защита от DDoS и утечек?
Как долго хранятся журналы событий?
Как обеспечивается резервное копирование?
Кто несет ответственность за инциденты?
Как уведомляют о нарушениях безопасности?
Заключение
Я уверена: облачная безопасность — это не про галочки и формальные документы, а про доверие. Доверие клиентов, партнеров, государства — и даже внутри команды.
Когда компании системно подходят к защите данных — от распределения ответственности до автоматизации аудитов — они не просто избегают штрафов. Они строят зрелую культуру безопасности, где инциденты становятся редкостью, а проверки Роскомнадзора проходят спокойно, без паники и пожаров.
Из практики вижу: сильные компании начинают не с реакций на проверку, а с внутренней дисциплины: назначают ответственного, регулярно обновляют политику, тестируют резервные сценарии и документируют каждое изменение. Эти шаги кажутся рутиной, но именно они спасают, когда что-то идет не по плану.
Облачная безопасность — это командная игра. Провайдер отвечает за надежность инфраструктуры, клиент — за то, как он ею пользуется. И только в тандеме можно построить действительно безопасное цифровое пространство.
А теперь хочу передать слово вам. Какие трудности при подготовке к аудиту РКН встречались у вас? Какие меры сработали, а какие, наоборот, оказались бесполезными?
Поделитесь в комментариях опытом — интересно услышать ваше мнение.
alex_Cl
Не знаю как в России , но в одной гордой стране ближнего зарубежья если проверка не нашла нарушений , приезжает поверка вышестоящего уровня и находит нарушения как у проверяемого субъекта, так и у первых проверяющих. А потом в воздухе начинает витать мысли о коррупционной составляющей первичной проверки. В сухом остатке нарушения находят у всех, за исключением если по ошибке заехали к "непростым компаниям". И суть подготовки к проверке сводится лишь к минимизации последствий . Как говорят проверяющие - как минимум им нужно отработать свою зарплату.
JBFW
"Советы бывалых:"
- оставь два нарушения, для проверяющих: одно серьезное, но быстро исправляемое, и второе незначительное - чтобы они могли отчитаться
- заготовь "план устранения недостатков, выявленных в ходе проверки" - не придется выдумывать на ходу
- один недостаток "нет пожарного ведра" лучше, чем несколько "пожарное ведро ржавое, кривое, протекает, не покрашено"
- сразу до и после проверки сфотографируй новое, исправное "пожарное ведро" на своем месте: если что, можно будет ссылаться на необьективность проверяющих.
Ну и еще что-то такое же было.