Все решения

Облако 152-ФЗ

Переносите, храните и обрабатывайте персональные данные сотрудников и клиентов в защищённом облаке на территории РФ.

Yandex.Cloud — готовое решение задачи локализации персональных данных, соответствующее 152-ФЗ. Платформа имеет сертификат безопасности ФСТЭК и выполняет все требования по защите персональных данных при их хранении и обработке в облаке.

Почему эту задачу нужно решать с Yandex.Cloud

Собственные дата-центры
Независимые дата-центры Yandex.Cloud расположены в трёх географически распределённых зонах и объединены собственными каналами связи. Серверы и серверные стойки мы проектируем и производим сами, полностью контролируя этот процесс.
Лёгкая миграция
Многие сервисы Yandex.Cloud предоставляют API, совместимые с популярными облачными платформами. Используйте один и тот же код и легко переносите свои сервисы и приложения без потери функциональности и остановки бизнес-процессов.
Удобное хранение данных
Храните данные любого типа и объема в Object Storage. Используйте наши управляемые базы данных, например, Managed PostgreSQL для работы с платёжными системами или Managed ClickHouse для агрегации данных из разных источников.
Помощь и поддержка
Подробная документация и техническая поддержка 24/7 помогут разобраться в работе сервисов Yandex.Cloud и перенести данные. Если потребуется дополнительная разработка — наши партнёры возьмут на себя интеграцию и задокументируют систему согласно требованиям регулятора.
Прозрачные тарифы
Платите только за фактическое использование ресурсов и полностью контролируйте бюджет. По мере роста активности и объёма данных — гибко масштабируйте решение.
Платформенные сервисы
Выходите за рамки виртуальной инфраструктуры и используйте весь потенциал платформенных сервисов Yandex.Cloud. Развивайте бизнес с нашими управляемыми сервисами, ML‑технологиями и возможностями бессерверных вычислений.

Как начать работать с персональными данными

Шаг 1: тип данных и процессы, в которых они задействованы
Определите, с каким типом данных вы планируете работать. Если это персональные данные, определите их категорию, и в зависимости от неё выберите уровень защищённости. Определите, в рамках каких бизнес-процессов и компонентов приложений будет осуществляться обработка данных.
Шаг 2: инструменты защиты персональных данных
Выберите инструменты для защиты данных: какие из них будут сервисами Yandex.Cloud, какие вы сможете установить из нашего Marketplace, а какие необходимо установить дополнительно. Также вы должны понимать зоны ответственности: свою и сервис-провайдера.
Шаг 3: оценка соответствия 152-ФЗ
Приступайте к миграции инфраструктуры или ее частей в облако. Далее необходимо подготовиться к процедуре оценки соответствия требованиям 152-ФЗ. Убедитесь, что в рамках вашей зоны ответственности всё настроено и правильно работает, а также, что всё оформлено корректно с документальной и юридической точки зрения.
Партнёры Yandex.Cloud приведут вашу информационную систему в соответствие со всеми требованиями 152-ФЗ, окажут услуги по защите инфраструктуры при ее миграции в облако, подскажут, какие компоненты нужно перенести, сформируют документацию и проект по защите локализованной системы.
Б-152 — защита персональных данных и приведение бизнес-процессов в соответствие с 152-ФЗ и GDPR.
Информзащита — ведущий системный интегратор в области информационной безопасности.
InCountry — предоставление и обслуживание решений для корпоративной инфраструктуры.
CardSecurity — реальная и документарная безопасность финансовых, платёжных и персональных данных.
Для работы с персональными данными пациентов нужны высокие стандарты безопасности. Yandex.Cloud соответствует 152-ФЗ, PCI DSS и ISO/ECI 27001 и защищает от DDoS-атак. Это повлияло на наш выбор
Алексей Остроушко,
руководитель информационно‑аналитической службы, Центр молекулярной диагностики (CMD)
Читать историю

Вопросы и ответы

Какие в России требования к хранению и передаче персональных данных?

Персональные данные российских граждан должны храниться на территории РФ. Трансграничная передача данных возможна, только если их владелец дал на это согласие и данные изначально были добавлены в базу на территории России. Также закон предъявляет требования к процессам обработки и технической защите информационной системы, включая её часть, расположенную на территории РФ.

Персональные данные российских граждан должны храниться на территории РФ. Трансграничная передача данных возможна, только если их владелец дал на это согласие и данные изначально были добавлены в базу на территории России. Также закон предъявляет требования к процессам обработки и технической защите информационной системы, включая её часть, расположенную на территории РФ.

Должна ли вся система размещаться на территории РФ?

Такого требования нет. Достаточно разместить базу данных с персональными данными российских граждан и компоненты инфраструктуры, отвечающие за их обработку, на территории РФ.

Такого требования нет. Достаточно разместить базу данных с персональными данными российских граждан и компоненты инфраструктуры, отвечающие за их обработку, на территории РФ.

Как облачная платформа помогает выполнять требования по защите?

Дата-центры Yandex.Cloud расположены на территории РФ, их инфраструктура отвечает всем требованиям 152-ФЗ. Вам только останется обеспечить соответствие прикладной части вашей системы, выстроить ряд процессов и написать документацию. Эти задачи можно поручить нашим партнёрам.

Дата-центры Yandex.Cloud расположены на территории РФ, их инфраструктура отвечает всем требованиям 152-ФЗ. Вам только останется обеспечить соответствие прикладной части вашей системы, выстроить ряд процессов и написать документацию. Эти задачи можно поручить нашим партнёрам.

Какую ответственность по защите персональных данных несёт облачный провайдер?

Ответственность провайдера различается в зависимости от того, какую модель облачных сервисов использует клиент (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга) и имеющихся у облачного провайдера защитных механизмов и политик.

Для IaaS: провайдер отвечает за физическую безопасность и отказоустойчивость самой платформы, защищает сеть, собирает и анализирует события безопасности гипервизоров и других компонентов инфраструктуры.

Для PaaS/SaaS: провайдер обеспечивает защиту компонент PaaS/SaaS-сервисов. Например, провайдер защищает виртуальные машины сервиса, выполняет резервное копирование базы данных и шифрует пользовательские данные, помещённые в облако 152-ФЗ.

Ответственность провайдера различается в зависимости от того, какую модель облачных сервисов использует клиент (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга) и имеющихся у облачного провайдера защитных механизмов и политик.

Для IaaS: провайдер отвечает за физическую безопасность и отказоустойчивость самой платформы, защищает сеть, собирает и анализирует события безопасности гипервизоров и других компонентов инфраструктуры.

Для PaaS/SaaS: провайдер обеспечивает защиту компонент PaaS/SaaS-сервисов. Например, провайдер защищает виртуальные машины сервиса, выполняет резервное копирование базы данных и шифрует пользовательские данные, помещённые в облако 152-ФЗ.

Какую ответственность по защите персональных данных несёт клиент?

Клиент должен контролировать права доступа к ресурсам, управлять ими таким образом, чтобы не допустить несанкционированного доступа. Как в локальных, так и в облачных моделях компании сами несут ответственность за то, чтобы данные были маркированы и правильно классифицированы для выполнения любых обязательств по соответствию нормативным требованиям.

Ответственность клиента также различается в зависимости от модели использования им облачных сервисов (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга). При использовании облачных сервисов по модели IaaS пользователи должны отвечать за безопасность гостевых машин, а также осуществлять резервное копирование виртуальных машин, защищать виртуальную сеть, контролировать доступ к ресурсам и принимать меры по защите учётных записей пользователей облака.

При использовании управляемых сервисов (PaaS/SaaS) клиент обязан классифицировать данные, обеспечить разграничение доступа к данным, настроить процессы для их защиты, а также отвечать за управление своими пользователями и конечными устройствами.

Размещая персональные данные в облаке 152-ФЗ, вы продолжаете оставаться владельцем данных и должны выполнять все обязанности оператора. Например, собирать согласия на обработку персональных данных, уведомлять Роскомнадзор об обработке, моделировать угрозы для своих информационных систем.

Вы можете делать это самостоятельно или с помощью наших партнёров, работающих в сфере информационной безопасности.

Клиент должен контролировать права доступа к ресурсам, управлять ими таким образом, чтобы не допустить несанкционированного доступа. Как в локальных, так и в облачных моделях компании сами несут ответственность за то, чтобы данные были маркированы и правильно классифицированы для выполнения любых обязательств по соответствию нормативным требованиям.

Ответственность клиента также различается в зависимости от модели использования им облачных сервисов (IaaS — инфраструктура как услуга, PaaS — платформа как услуга, SaaS — программное обеспечение как услуга). При использовании облачных сервисов по модели IaaS пользователи должны отвечать за безопасность гостевых машин, а также осуществлять резервное копирование виртуальных машин, защищать виртуальную сеть, контролировать доступ к ресурсам и принимать меры по защите учётных записей пользователей облака.

При использовании управляемых сервисов (PaaS/SaaS) клиент обязан классифицировать данные, обеспечить разграничение доступа к данным, настроить процессы для их защиты, а также отвечать за управление своими пользователями и конечными устройствами.

Размещая персональные данные в облаке 152-ФЗ, вы продолжаете оставаться владельцем данных и должны выполнять все обязанности оператора. Например, собирать согласия на обработку персональных данных, уведомлять Роскомнадзор об обработке, моделировать угрозы для своих информационных систем.

Вы можете делать это самостоятельно или с помощью наших партнёров, работающих в сфере информационной безопасности.