152-ФЗ без капитальных затрат: когда выгоднее перенести персональные данные в защищённое облако

Выполнить требования 152-ФЗ можно двумя путями.

Первый — построить всё своими силами: определить ИСПДн, уведомить РКН, подготовить организационно-распорядительную и проектную документацию, купить железо, подобрать сертифицированные СЗИ и держать в голове требования РКН, ФСТЭК и ФСБ одновременно. 

Второй — разделить ответственность с подрядчиком и перенести чувствительные данные в защищённое облако. В 2026 году второй вариант выбирают всё чаще: ответственность за ошибки выросла, а сроки реакции сократились.

Разберём, что именно требует закон, сколько может стоить самостоятельное выполнение 152-ФЗ, когда рациональнее справиться самим, а когда — обратиться к подрядчику. 

Что на самом деле требует закон

Самое распространённое заблуждение — считать, что 152-ФЗ сводится к размещению политики обработки данных на сайте и установке галочки под формой обратной связи. На деле закон требует от оператора принять организационные и технические меры. А статья 18.1 добавляет, что оператор (компания) должен определить и реализовать набор мер внутри компании, достаточных для соблюдения закона: локальные акты, процедуры предотвращения нарушений, внутренний контроль.

На практике это означает, что нужно:

• описать, какие персональные данные обрабатываются, для каких целей, по каким правовым основаниям, у каких категорий субъектов, какими действиями и в какие сроки;
• назначить ответственного за организацию обработки персональных данных, который будет вести внутренний контроль, доводить требования до сотрудников и обрабатывать обращения субъектов данных;
• уведомить Роскомнадзор о начале или продолжении обработки персональных данных. Подать уведомление можно на Портале персональных данных или через ЕСИА;
• подготовить организационно-распорядительную документацию (ОРД) — политику обработки, перечень ПДн и ИСПДн и т.д. С полным списком ОРД можно ознакомиться здесь.

После этого начинается инженерная часть. Постановление Правительства № 1119 устанавливает четыре уровня защищённости персональных данных в информационных системах. Приказ ФСТЭК № 21 определяет состав и содержание организационных и технических мер для таких систем, Приказ ФСТЭК № 17 — требования для государственных информационных систем, а порядок аттестации регулирует Приказ ФСТЭК № 77. 

Переводя на язык проекта: сначала определяется тип системы и требуемый уровень защиты, затем проектируются меры, затем они внедряются и проверяются.

И ещё один важный момент. Закон разрешает поручить обработку персональных данных другому лицу на основании договора, но такой договор должен содержать не общие слова в стиле «исполнитель делает всё хорошее», а конкретные вещи: перечень данных, перечень действий, цели обработки, обязанность соблюдать конфиденциальность и требования 152-ФЗ, а также уведомлять оператора об инцидентах. 

При этом ответственность перед субъектом персональных данных за действия обработчика всё равно несёт оператор. То есть облако — это не побег от ответственности, а грамотное перераспределение обязанностей внутри законной модели. 

Где начинаются капитальные затраты

Итак, сколько всё это стоит, если делать самим?

Сертифицированные средства защиты сами по себе формируют заметный бюджет.

• Защита рабочих станций и серверов. Годовая лицензия Secret Net Studio 8 стоит 6 068 рублей, а на 3 года — 15 456 рублей. Отдельный антивирусный модуль — ещё 2 538 рублей за рабочее место в год.
• Защита от несанкционированного доступа. Бессрочная лицензия Dallas Lock 8.0-С Базовый стоит от 8 300 рублей, Dallas Lock 8.0-К — от 7 500 рублей.

Добавим к этому антивирусную защиту и криптографию. 

• Лицензия Kaspersky Endpoint Security для бизнеса (Стандартный, 50–99 узлов) стоит от 2 715,30 рубля за узел в год.
• ViPNet Client 4 для защиты рабочих мест и удалённых пользователей потребует от 11 860 рублей за лицензию.

Сетевой периметр обойдётся ещё дороже. 

• Межсетевой экран Континент 4 IPC-R1000 с сертификатом ФСТЭК стоит от 1 198 064 рублей;
• более производительные модели линейки Континент 4 идут в диапазоне от 1,59 млн до 3,20 млн рублей;
• годовая техподдержка для одной из моделей — 287 970 рублей. 

Если компании нужна отказоустойчивость, один такой шлюз обычно превращается в два.

К оборудованию добавляются услуги, без которых проект редко доходит до результата: 

• аудит соответствия 152-ФЗ — от 250 тыс. рублей;
• аттестация информационной системы — от 250 тыс. рублей;
• аттестация рабочих мест — в среднем 48–70 тыс. рублей за место, встречаются и предложения от 100 тыс. рублей за рабочее место с поставкой и настройкой средств защиты.

Возьмём минимальный сценарий: 50 рабочих мест, 20 удалённых пользователей, один аппаратный межсетевой экран начального корпоративного уровня, средства защиты, антивирус и базовый аудит:

С учётом годовой техподдержки межсетевого экрана сумма превышает 2,4 млн рублей — и это без серверов, СХД, резервного копирования, второй площадки, виртуализации, проектной документации, зарплаты специалистов, обучения сотрудников и самой аттестации контура. 

Когда защищённое облако действительно выгоднее самостоятельной защиты ИСПДн

Защищённое облако выигрывает у собственной инфраструктуры, когда компании нужен законный и предсказуемый контур для обработки персональных данных. Облако обходит собственную сборку по трём параметрам: 

• срок запуска,
• отсутствие крупных разовых вложений,
• снятие операционной нагрузки с команды. 

Это особенно ощутимо, когда штатных специалистов по информационной безопасности немного, ИТ-команда и так загружена, а систему нужно запускать в сжатые сроки.

Если подрядчик уже построил и аттестовал такую инфраструктуру, компания получает её как сервис вместо того, чтобы строить с нуля. Расходы переходят в управляемые операционные затраты.

На стороне оператора остаются правовые основания обработки, локальные акты, уведомление Роскомнадзора, контроль поручения обработчику, работа с обращениями субъектов данных и собственная ответственность перед ними. 

Облако может быть не лучшим выбором, если компания строит штучный технологический проект с повышенными требованиями — например защита по К1. Но для большинства коммерческих ИСПДн вопрос обычно проще: владеть инфраструктурой или владеть результатом.

Как эти задачи решает SafeCloud 152-ФЗ

SafeCloud 152-ФЗ — защищённое облако для хранения и обработки информационных систем персональных данных в соответствии с 152-ФЗ. На практике это означает собранный и сопровождаемый контур с внедрёнными базовыми защитными мерами.

Защищённый сегмент SafeCloud 152-ФЗ подходит для ИСПДн, размещения медицинской тайны, специальных категорий персональных данных, данных несовершеннолетних и биометрических данных.

В сопровождении к SafeCloud 152-ФЗ мы также помогаем с подготовкой документов. ИТ-инфраструктура аттестована по 17 и 21 приказам ФСТЭК, реализованы меры защиты до 2-го уровня и 2-го класса защищенности, доступность сервиса — 99,95%, поддержка и консультации — круглосуточно. 

• Юридическая компания «Тактикум» с помощью SafeCloud 152-ФЗ закрыла 100% требований 152-ФЗ и обеспечила максимальный уровень отказоустойчивости сервисов. 20 минут — время максимальной недоступности под SLA.
• Безбумажный офис F.Doc для медицинских организаций увеличил скорость развития продукта за счет интеграции со сторонними системами, например, ЕСИА — и при выполняет 100% требований регуляторов.
• Сеть клиник «Добрый доктор» закрыла повышенные требования по ИБ для субъектов КИИ и обеспечила непрерывность работы медицинских систем.

Процесс согласования решения о переходе в облако с собственниками затянулся. Но вскоре мы простояли порядка 20 минут без работы нашей медицинской информационной системы, попали в час пик и потеряли сумму, критичную для руководителей. Мы убедились, что больше не можем такого допустить, и обратились к поставщикам услуг

— комментирует Денис Шалгин, замдиректора по ИТ сети клиник «Добрый доктор»

Вывод для руководителей

Обеспечивать соответствие 152-ФЗ в собственном контуре имеет смысл, когда в компании уже есть сильная команда по ИБ, бюджет на инфраструктуру, готовность к капитальным затратам, понятный горизонт развития системы и экономический смысл владеть этим контуром как активом. 

В остальных случаях — особенно когда задача в том, чтобы законно и устойчиво обрабатывать персональные данные, — защищённое облако обычно оказывается дешевле, быстрее и спокойнее. 
Практический критерий простой: если задачу можно решить в рамках защищённого облачного профиля  уровня SafeCloud 152-ФЗ — тратить миллионы на самостоятельную сборку аналогичного контура чаще всего экономически нецелесообразно. 

Заполните форму — мы свяжемся с вами, изучим ваш запрос и рассчитаем стоимость SafeCloud 152-ФЗ под вашу задачу.