О компании Услуги Ситуации Отрасли Органы Блог Отзывы F.A.Q. Кейсы Контакты
+7 (901) 499-39-49
Главная
Блог
Google Drive и другие облака: как учесть в ИСПДн по 152-ФЗ

Google Drive и другие облака: как учесть в ИСПДн по 152-ФЗ

+7 (495) 134-80-68

Зарубежные и облачные системы: считать ли их в реестре ИСПДн?

Google Drive, Dropbox, Notion — сотрудникам удобно, ИБ‑шникам ночные кошмары. Вопрос «нужно ли учитывать такие сервисы в документации по 152‑ФЗ?» звучит всё чаще. Короткий ответ: да. А теперь разложим, почему и как.

1. Почему облако = ИСПДн

  • Персональные данные хранятся? — да.
  • Данные обрабатываются автоматически? — конечно.
  • Значит, по статье 3 ФЗ‑152 это полноценная информационная система персональных данных, даже если папка называется «Shared».

2. Что говорит закон о «зарубежном» облаке

  1. Ст. 18.1 ФЗ‑152 + Закон 242‑ФЗ: первичная запись ПДн граждан РФ — на территории РФ. Google Drive не имеет дата‑центров в России → условие не выполняется.
  2. Ст. 12 ФЗ‑152: трансграничная передача разрешена только в «адекватные» страны или при отдельном согласии. США не «адекватны».
  3. ПП РФ № 1119: уровень защищённости нельзя определить, пока не знаете, где физически крутится диск.

Итог: хранить ПДн на чистом Google Drive без костылей — нарушение.

3. Но мы всё равно используем облака. Что делать?

Сценарий

Можно?

Что нужно добавить?

Google Drive

⚠ Только после локальной записи в РФ + шифрование + отдельное согласие + уведомление о трансграничке

VPN‑шлюз в РФ, КриптоПро, пункт в согласии «США»

Yandex Disk (RU)

✅ Да

Указать в реестре ИСПДн, настроить доступ по ролям

MS OneDrive (EU)

⚠ ЕС в перечне «адекватных» → можно без отдельного уведомления, но локализация обязательна

Локальный сервер‑кэш + политика удаления

Хранилище в VK Cloud (РФ)

✅ Да

Стандартные меры: шифр, журнал, резерв

Лайфхак: если нельзя отказаться от Google, сделайте гибрид: первичная загрузка на сервер в РФ, автоматический бэкап в Drive через крипто‑контейнер. Тогда 18.1 не нарушаете.

4. Как правильно «учесть» облако в документах

  1. Добавьте сервис отдельной строкой в Акт классификации ИСПДн.
  2. В Политике ПДн пропишите: «облака с транзитным шифрованием, перечень сервисов – Приложение № …».
  3. В реестре операций ПДн отметьте тип передачи: «трансграничная в США, на основании согласия, шифрование AES‑256».
  4. В уведомлении РКН укажите страну, если облако зарубежное.

5. Чек‑лист для директора IT

  1. Карта потоков данных готова — схематично видно, какие облака принимают ПДн и откуда.
  2. Юрисдикция дата‑центров подтверждена — письма/SLA с адресами площадок.
  3. Первичная запись и суточный бэкап находятся в РФ — две независимые локации.
  4. Выгрузка за рубеж только через ГОСТ‑контейнер; ключ хранится в российском HSM.
  5. MFA + IP‑фильтр + ролевой доступ для админских учёток и API‑ключей.
  6. Журналы действий подписаны ЭП и хранятся ≥ 12 месяцев.
  7. DPA/ДСПДн подписан — прописаны шифрование, сроки удаления, аудит, инцидент‑репорт ≤ 24 ч.
  8. Согласия субъектов и уведомления РКН актуальны — трансграничка перечислена.
  9. Life‑cycle политика включена — авто‑удаление устаревших файлов, очистка CDN/кэшей.
  10. Тестовый restore бэкапов проходит раз в квартал; протоколы сохранены.
  11. План «B»: перенос в российский IaaS ≤ 48 ч; тест «катастрофа» успешно пройден.
  12. Ответственный за облака назначен приказом; KPI «0 утечек» и контакт в реестре РКН.

6. Ошибки, которые «ловит» проверка

  • «Это просто резервная копия» — РКН отвечает: трансграничка без локализации.
  • Шифрование Thinks «по умолчанию» — материнское шифрование Google не является сертифицированным СКЗИ.
  • Доступ разработчика из Сербии — привет, передача третьим лицам без согласия.

Любое облако = ИСПДн, если там лежат персональные данные. Для зарубежных сервисов нужен гибрид или отказ. АУП‑Консалтинг поможет настроить локализацию, шифровать и оформить документы. Применяем комплексный подход — и облако станет вашим союзником, а не источником штрафа.

Оставить заявку

Возврат к списку