ФСТЭК России — орган исполнительной власти, подчинённый Министерству обороны РФ. Служба устанавливает требования к защите информации, не составляющей государственную тайну: персональные данные, коммерческая тайна, сведения в государственных информационных системах (ГИС). Для хостинг-провайдеров и операторов дата-центров, работающих с такими данными, требования ФСТЭК обязательны.
Что регулирует ФСТЭК
В сфере хостинга ФСТЭК затрагивает несколько направлений:
- Лицензирование — провайдеры, оказывающие услуги по технической защите конфиденциальной информации (ТЗКИ), обязаны получить лицензию ФСТЭК.
- Сертификация средств защиты — WAF, IDS/IPS, антивирусное ПО, используемое для защиты ГИС, должны иметь сертификат ФСТЭК.
- Аттестация информационных систем — ИС, обрабатывающие персональные данные (ПДн) по 152-ФЗ или ГИС по Приказу ФСТЭК №17, проходят аттестацию с подтверждением соответствия требованиям защиты.
- Реестр хостинг-провайдеров — с 2023 года Минцифры ведёт реестр; для включения в него хостер подтверждает выполнение требований информационной безопасности, в том числе относящихся к компетенции ФСТЭК.
Классы защиты для ГИС по Приказу №17: К1 (высший), К2, К3. Класс определяется значимостью информации и масштабом системы. Большинство хостеров, работающих с ГИС, аттестуются по классу К3.
История
ФСТЭК создана в 2004 году на базе упразднённой Государственной технической комиссии (Гостехкомиссии) при Президенте РФ, существовавшей с 1992 года. Гостехкомиссия занималась преимущественно защитой государственной тайны; ФСТЭК расширила полномочия на сферу технического и экспортного контроля, а также защиту конфиденциальной информации. Ключевые нормативные акты для хостинга: Приказ №17 (2013) — требования к ГИС, Приказ №21 (2013) — требования к защите ПДн, Приказ №239 (2017) — требования к объектам КИИ.
На что обращать внимание
Если ваш проект обрабатывает персональные данные граждан РФ, уточните у хостера наличие аттестата соответствия ФСТЭК или статуса оператора ПДн с необходимым уровнем защищённости. Лицензия ФСТЭК на ТЗКИ требуется самому хостеру только если он оказывает услуги по защите информации как таковые — большинство провайдеров предлагают инфраструктуру, а защиту информации строит сам клиент. Для объектов критической информационной инфраструктуры (КИИ) действуют требования Приказа ФСТЭК №239, независимо от того, где размещена система — на собственных серверах или в облаке.
История ФСТЭК и сертификация хостинга
ФСТЭК России (Федеральная служба по техническому и экспортному контролю) образована в 2003 году Указом Президента РФ. Основной регулятор в области защиты информации, не составляющей государственную тайну. Приказ ФСТЭК № 17 (2013) — требования к государственным информационным системам (ГИС). Приказ ФСТЭК № 21 (2013) — требования к защите персональных данных (ИСПДн). В 2020 году ФСТЭК ввёл требования к облачным сервисам для госструктур. Аттестация хостинга по требованиям ФСТЭК необходима для размещения государственных порталов и систем с персональными данными.
Уровни защищённости по требованиям ФСТЭК
| Класс ГИС / Уровень ЗПД | Требования | Для каких систем |
|---|---|---|
| K3 / УЗ 3-4 | базовые меры | публичные сайты, HR-системы |
| K2 / УЗ 2 | усиленные меры | медицинские данные, финансы |
| K1 / УЗ 1 | строгие меры | биометрия, гостайна |
На что обращать внимание при выборе хостинга с ФСТЭК
Для государственных клиентов и компаний, работающих с персональными данными, хостинг должен иметь аттестат соответствия ФСТЭК. Проверяйте: наличие действующего аттестата, его класс защищённости, срок действия. Российские провайдеры с ФСТЭК-аттестацией: Ростелеком-Солар, VK Cloud, ГК «Астра». IaaS-платформы должны обеспечивать физическое расположение серверов в РФ.