Инфраструктура, соответствующая требованиям ФЗ-152 и ФЗ-242

Инфраструктура, соответствующая требованиям ФЗ-152 и ФЗ-242

Содержание

Физическое размещение серверов и правила локализации персональных данных

Федеральный закон № 152-ФЗ «О персональных данных» и федеральный закон № 242-ФЗ, уточнивший требования к локализации, обязывают операторов обеспечивать запись, систематизацию, накопление, хранение и извлечение персональных данных граждан Российской Федерации с использованием баз данных, расположенных на территории страны. Это означает, что первичная обработка, фиксирующая сведения в структурированном хранилище, должна осуществляться на физическом сервере, находящемся в российском сегменте информационной сети. При этом последующая передача копий за рубеж допускается только при условии, что оригинальная база остаётся в РФ и обеспечивается адекватный уровень защиты прав субъектов.

Практическая реализация данного требования исключает размещение продуктивных серверов баз данных за пределами государства, если они выступают хранилищем первичных сведений. Критичным параметром становится геолокация узла, на котором развёрнута система управления базами данных. Подтверждение адреса, зафиксированное в договорах аренды стоек или облачных услуг, таких как https://iiii-tech.com/services/cloud/cloud-152/, актах приёма-передачи оборудования и логах работы информационной системы, формирует доказательную основу для взаимодействия с надзорными органами.

Условия размещения первичных баз данных на территории РФ

Первичной базой данных считается структурированный массив, в который исходно заносятся сведения о субъекте в момент сбора. Если этот массив развёрнут на сервере за границей, оператор не выполняет требования по локализации, даже если позднее данные реплицируются на российский узел. Следовательно, инфраструктурное решение должно предусматривать размещение продуктивных серверов, осуществляющих функции создания и первичного обновления записей, в дата-центрах, расположенных в пределах РФ. При этом использование геораспределённых кластеров требует явного выделения роли «ведущего» узла, принимающего запись, на российской площадке, а реплики для чтения могут размещаться иначе при условии трансграничной передачи в соответствии с процедурами, установленными статьёй 12 152-ФЗ.

Методы документального подтверждения географического расположения инфраструктуры

Надёжным подтверждением локализации служат несколько типов документов. Во-первых, это договоры с оператором дата-центра или арендодателем площадки с указанием конкретного адреса размещения оборудования. Во-вторых, инвентаризационные акты, фиксирующие расположение сервера с серийными номерами аппаратных компонентов. В-третьих, логи информационной системы, отражающие IP-адреса серверов, регистрируемые в российских диапазонах. Для облачных инфраструктур (IaaS) необходимо получить от провайдера гарантии, что виртуальные машины, обрабатывающие первичные базы, не мигрируют за пределы РФ без ведома оператора, и закрепить это условие в соглашении об уровне обслуживания, а также получить структуру зон доступности, привязанную к физическим адресам центров обработки данных.

Классификация информационных систем и принципы создания защищённой архитектуры

Состав и сложность защищённой инфраструктуры определяются категорией обрабатываемых персональных данных и уровнем защищённости информационной системы (ИСПДн). Постановление Правительства РФ от 1 ноября 2012 г. № 1119 устанавливает четыре уровня защищённости (с 1-го по 4-й) в зависимости от типа актуальных угроз и категорий данных. Тип угрозы, в свою очередь, бывает трёх видов: 1-й тип — недокументированные возможности системного ПО, 2-й — недокументированные возможности прикладного ПО, 3-й — угрозы, не связанные с недокументированными возможностями.

Зависимость состава инфраструктуры от уровня защищённости и модели угроз

Для ИСПДн 1-го уровня защищённости, к которым отнесены системы, обрабатывающие специальные категории данных или биометрические сведения при актуальных угрозах 1-го типа, нормативная база ФСТЭК России (приказы №№ 17, 21) предписывает максимальный набор мер, включая сертифицированные средства криптографической защиты информации (СКЗИ) класса не ниже КС2 или КС3, межсетевые экраны с функцией глубокого анализа пакетов, а также средства доверенной загрузки операционной системы. Сетевой периметр должен строиться на основе демилитаризованной зоны с обязательным разделением фронтальных серверов приложений и backend-серверов баз данных физическими или логическими межсетевыми экранами. При снижении уровня до 3-го или 4-го допустимо использование СКЗИ класса КС1 и менее жёстких требований к сегментации, однако ключевые узлы всё равно должны находиться в пределах контролируемой зоны.

Контролируемая зона, сегментация сети и шифрование каналов передачи данных

Контролируемая зона — это охраняемое пространство, в пределах которого исключено неконтролируемое пребывание посторонних лиц. Она ограничивает несанкционированный физический доступ к серверному и сетевому оборудованию. Границы контролируемой зоны, как правило, совпадают с периметром помещения, оснащённого системами контроля и управления доступом, охранной сигнализацией и видеонаблюдением. Сегментация внутри зоны реализуется с помощью VLAN и списков контроля доступа на коммутаторах, разграничивающих трафик сегментов серверов приложений, баз данных и рабочих мест администраторов. Шифрование каналов передачи данных через общедоступные сети осуществляется с использованием протоколов IPsec в туннельном режиме или TLS 1.2 и выше с обязательным применением сертифицированных СКЗИ. Для каналов, передающих данные через границы сегментов разного уровня доверия, предъявляются требования к использованию ГОСТ-овых алгоритмов шифрования (ГОСТ 34.12-2018, ГОСТ 34.13-2018) и процедурам аутентификации на основе российской национальной криптосистемы.

Формирование доказательной базы и организация логирования событий обработки

Наличие развитой системы логирования — обязательное техническое требование, зафиксированное в приказе ФСТЭК № 21. Логи должны охватывать события аутентификации, доступа к записям базы данных, изменения конфигураций безопасности и попытки нарушения политик. Хранение журналов событий в неизменяемом виде необходимо для ретроспективного анализа инцидентов и демонстрации соблюдения принципов локализации в ходе проверок Роскомнадзора.

Фиксация действий с персональными данными для инспекционных проверок

Контролирующие органы запрашивают записи, показывающие, что первичная обработка велась на территории РФ. Для этого система логирования должна фиксировать каждый факт обращения к первичной базе с указанием геопривязки IP-адреса обрабатывающего узла, временной метки и идентификатора действия. При использовании облачных ресурсов необходимо настроить аудит на уровне гипервизора и систем оркестрации, чтобы подтвердить, что виртуальная машина, выполняющая запись, не стартовала в зарубежном дата-центре. Срок хранения таких логов, как правило, не может быть менее шести месяцев, а для сложных систем рекомендуется год.

Документальное закрепление процедур сбора и обновления информации

Организационно-распорядительные документы оператора (положение о защите персональных данных, политика обработки, приказы о составе ИСПДн и перечне лиц, допущенных к обработке) должны прямо коррелировать с конфигурациями технических средств. Прописанные процедуры первичного сбора, актуализации и удаления записей обязаны содержать указание на конкретные программные компоненты инфраструктуры, реализующие эти операции. Например, в приказе о вводе ИСПДн в эксплуатацию фиксируется наименование сервера базы данных, его физический адрес и перечень сертификатов соответствия на установленные средства защиты.

Гибридные схемы обработки данных и последствия несоответствия нормативам

При использовании арендованных вычислительных ресурсов (IaaS, частные облака) оператор не снимает с себя обязанности по локализации. Зоны ответственности между оператором и провайдером должны быть чётко разделены в договоре: провайдер отвечает за физическую инфраструктуру дата-центра, а оператор — за конфигурацию виртуальной сети, межсетевое экранирование, установку СКЗИ и управление доступом к гостевым операционным системам.

Разграничение ответственности при использовании арендованных вычислительных ресурсов

Модель ответственности в облачной среде требует от оператора реализации мер защиты на уровне виртуальных машин и выше (Paas, Saas компоненты), в то время как провайдер обеспечивает безопасность гипервизора, физических хостов и сетевой инфраструктуры дата-центра. Акт разграничения ответственности должен явно указывать, что провайдер гарантирует нахождение металлических стоек в РФ и не переносит виртуальные ресурсы без согласования. Оператор, в свою очередь, конфигурирует шифрование vNIC и размещает ключевую информацию в аппаратных модулях безопасности, расположенных в российской юрисдикции.

Санкции и репутационные риски вследствие некорректного проектирования инфраструктуры

Непринятие мер по локализации может повлечь административную ответственность по статье 13.11 КоАП РФ, а при повторном нарушении сумма штрафа для юридического лица способна достигать восемнадцати миллионов рублей. Кроме того, Роскомнадзор на основании части 3 статьи 15.5 Федерального закона «Об информации, информационных технологиях и о защите информации» вправе направить оператору связи требование об ограничении доступа к ресурсам, размещённым с нарушениями. Техническими последствиями ошибок в архитектуре становятся незапланированная миграция данных, простой сервисов и утрата доверия партнёров, поскольку публичные утечки сведений о локализации часто наносят репутационный ущерб, сопоставимый с прямыми финансовыми потерями.