Часть 1. Ключевые требования 152-ФЗ к облачным средам

Прежде чем перейти к обзору платформ, напомним три столпа, на которых держится compliance в РФ:

1. Локализация (ст. 18, ч. 5): С 1 июля 2025 года действует новая редакция закона, которая прямо запрещает при сборе ПДн осуществлять их запись, систематизацию, накопление и хранение с использованием баз данных, находящихся за пределами РФ. Исключений немного (международные договоры, правосудие, СМИ). Первичная база данных обязательно должна быть на российской территории.

2. Уровни защищенности (УЗ): Закон (Постановление № 1119 и Приказ ФСТЭК № 21) делит информационные системы персональных данных (ИСПДн) на 4 уровня защищенности. Для бизнеса критично, чтобы провайдер предоставлял услуги начиная с УЗ-3 и выше, а для банков, медицины и гостайн нужен УЗ-1.

3. Поручение на обработку (ст. 6): Если вы передаете данные в облако (третьему лицу), с провайдером должен быть заключен договор поручения на обработку ПДн, где четко прописаны цели, способы обработки и обязанности сторон.

Часть 2. Зарубежные облачные экосистемы (AWS, Microsoft Azure, Google Cloud)

Зарубежные облака по-прежнему предлагают лучшую функциональность, масштабируемость и AI-инструменты. Однако с точки зрения российского законодательства ситуация для них крайне неоднозначна, а после июля 2025 года — фактически тупиковая.

Amazon Web Services (AWS)

AWS — крупнейший облачный провайдер в мире с огромным парком сервисов. Однако AWS не имеет физических дата-центров на территории России. Прямое использование AWS (US-East, EU-Frankfurt) для хранения ПДн россиян является прямым нарушением ч. 5 ст. 18 152-ФЗ. Косвенные схемы (например, аренда облака AWS у российского партнера) не снимают с компании-оператора ответственности за первичную локализацию базы. Технически AWS не предоставляет аттестатов ФСТЭК России, так как не подпадает под юрисдикцию РФ.

Вывод для российского бизнеса: Использование AWS для хранения ПДн граждан РФ с 2025 года сопряжено с катастрофическими рисками (блокировка сайта, штрафы до 6-18 млн руб.). Платформа подходит только для обработки обезличенных данных или технической аналитики без ПДн.

Microsoft Azure

Microsoft официально заявляет, что их основные облачные сервисы (Azure, Microsoft 365, Dynamics 365) предоставляются из ЦОД, расположенных за пределами РФ. В официальных рекомендациях Microsoft предлагает клиентам рассмотреть использование услуг через локального CSP-партнера, но прямо указывает, что ответственность за соблюдение локализации и оценку достаточности мер безопасности целиком лежит на клиенте-операторе. При этом Azure предоставляет мощные инструменты шифрования (AES 256-bit, FIPS 140-2) и управления доступом (Entra ID), которые помогают защитить данные в пути, но не решают проблему физического места хранения базы.

Вывод для российского бизнеса: Microsoft Azure — "серый" инструмент с точки зрения 152-ФЗ. Строго юридически хранение персональных данных в публичном Azure Cloud является нарушением. Допустимо использование для иностранных юрлиц или для данных, не подпадающих под определение ПДн (хотя это рискованно).

Google Cloud

Позиция Google аналогична позиции AWS. Все публичные облачные сервисы Google (включая Google Workspace, Google Forms, Firebase, BigQuery) по умолчанию обрабатывают данные на глобальной инфраструктуре за пределами РФ. С 1 июля 2025 года регуляторы (Роскомнадзор) особенно активно штрафуют компании за использование Google Forms для сбора ПДн, так как данные уходят на сервера в США или Финляндию, минуя российскую локализацию. Новая версия ст. 18 прямо запрещает использование таких зарубежных баз для записи и систематизации.

Вывод для российского бизнеса: Полностью нелегитимен для обработки ПДн граждан РФ. Любое использование Google Cloud в операторских целях (сбор анкет, хранение клиентской базы) является грубым нарушением закона и влечет административную, а при повторности — блокировку ресурса.

Часть 3. Российские облачные экосистемы: соответствие 152-ФЗ

Отечественные провайдеры за последние 3 года совершили рывок в части compliance. Большинство из них прошли аттестацию ФСТЭК, разместили ЦОД на территории РФ и готовы подписывать договоры поручения.

1. Yandex Cloud

Статус: Аттестованная платформа. Yandex Cloud имеет аттестат соответствия ИСПДн требованиям 152-ФЗ (Уровень защищенности — УЗ-1). Это максимальный уровень, позволяющий обрабатывать любые данные, включая биометрию и спецкатегории.

Особенности:

• География: Три зоны доступности в разных дата-центрах РФ, что позволяет строить отказоустойчивые системы без нарушения локализации.
• Международные стандарты: Платформа сертифицирована по ISO 27001, ISO 27017, ISO 27018, а также PCI DSS (для платежных данных).
• Договорная база: Yandex Cloud предлагает отдельное соглашение об обработке данных (DPA), где фиксируется поручение на обработку.

Риски: Несмотря на высокий уровень защиты, часть ответственности за настройку прав доступа и шифрования на уровне приложения лежит на клиенте.

2. VK Cloud

Статус: Сертифицирован ФСТЭК России. Подтвержден первый уровень защищенности (УЗ-1) для обрабатываемых персональных данных.

Особенности:

• Инструментарий: Есть специализированное решение «Облако 152-ФЗ», которое размещает ПДн на защищенных и аттестованных серверах.
• Прозрачность: VK Cloud обязуется уведомлять клиента в течение 72 часов о любых юридически обязывающих запросах на раскрытие ПДн со стороны госорганов.
• Разделение ответственности: Четко документировано, что клиент отвечает за логику сбора и согласия, а провайдер — за физическую безопасность носителя.

3. SberCloud (SberCloud.Advanced)

Хотя в открытых источниках меньше деталей по сертификации, чем у лидеров, SberCloud позиционируется как решение для корпоративного и госсектора. Особенность: Благодаря интеграции с экосистемой Сбера, платформа обеспечивает высокий уровень соответствия требованиям 152-ФЗ и 187-ФЗ (КИИ). Используется для обработки данных банковского уровня, что априори предполагает соблюдение УЗ-1 и ГОСТ Р 57580. Нюанс: Часть мощностей может строиться на оборудовании и софте, требующем проверки на предмет импортозамещения.

4. Selectel

Статус: Прямое соответствие 152-ФЗ. Облачные серверы, диски и базы данных Selectel соответствуют требованиям закона, позволяя хранить и обрабатывать ПДн вплоть до УЗ-1.

Особенности:

• Гибкость: Selectel активно продвигает гибридные сценарии, где приватное облако (on-premises) сочетается с мощностями провайдера.
• Методологическая помощь: Selectel предоставляет развернутые статьи и методологию по настройке защиты ИСПДн в облаке.

5. Cloud.ru (ранее SberCloud) и MTS Cloud

• Cloud.ru: Ориентирован на крупный бизнес. Предлагает не просто IaaS, а готовые платформенные решения. Соответствие 152-ФЗ реализовано на уровне инфраструктуры, но требует уточнения по каждому конкретному сервису (SaaS vs IaaS). Имеет необходимые лицензии ФСТЭК на ТЗКИ.
• MTS Cloud: Получил аттестацию УЗ-1 для своей платформы MWS Cloud, что позволяет размещать любые типы персональных данных, включая медицинские и биометрические.

Часть 4. Сравнительная таблица

Часть 5. Вопросы ответственности и штрафов

Многие заблуждаются, думая, что если у облачного провайдера есть лицензия ФСТЭК, то оператор ПДн автоматически защищен. Это не так. Согласно поправкам 2025 года (ст. 13.11 КоАП РФ), размеры штрафов за нарушения выросли кратно:

• За отсутствие локализации: Для юрлиц до 6 млн рублей за первое нарушение, до 18 млн рублей за повторное (или приостановка деятельности до 90 суток).
• За утечку ПДн: Штрафы могут достигать 15–20 млн рублей, если нарушены требования к защите информации.

Роскомнадзор с 2025 года активно использует автоматизированные боты для сканирования сайтов и выявления фактов передачи данных на зарубежные сервера (например, при использовании Google Fonts, Yandex Metrics или старых форм захвата email).

Часть 6. Рекомендации по выбору провайдера

1. Проверьте акт аттестации: Требуйте от провайдера действующий аттестат соответствия требованиям ФСТЭК (Приказ № 21). Не верьте на слово маркетинговым лозунгам «соответствует 152-ФЗ».
2. Заключите договор поручения: Обязательный документ, если провайдер что-то делает с данными (хранит, бэкапит, реплицирует). В нем должны быть указаны конкретные меры защиты.
3. Локализация в первую очередь: Убедитесь, что первичный сбор данных (запись в БД) происходит строго на сервере в РФ. Если у вас есть репликация за границу (для бэкапов или аналитики), это допустимо только после того, как данные оказались в РФ и при условии уведомления РКН.
4. Следите за 187-ФЗ: Если вы субъект КИИ, запрещено использовать иностранное ПО и облака без сертификации ФСТЭК. Вам подходят только российские платформы из реестра.

Заключение

С июля 2025 года российское законодательство перешло от лояльной политики «храните копию в РФ» к жесткому запрету на использование иностранных баз данных. Amazon, Google и Microsoft в публичной модели больше не являются легитимной средой для обработки персональных данных граждан России.

Единственным безопасным путем для российского бизнеса и госсектора является миграция на отечественные облачные платформы (Yandex Cloud, VK Cloud, Selectel, MTS Cloud, SberCloud), которые имеют необходимые аттестаты, физическую локацию и правовую базу для работы с 152-ФЗ. При этом важно помнить, что облачный провайдер снимает с вас только технические риски; юридическая ответственность за получение согласий и уведомление РКН остается на вас как на операторе.