Три модели хранения персональных данных по 152-ФЗ: где теряются деньги и где — безопасность
Выбор модели хранения персональных данных — это не IT-решение, это юридическое и финансовое решение. Ошибка здесь стоит не только штрафа по 152-ФЗ, но и репутационных потерь, которые в 2026 году измеряются отказом клиентов от сервиса…
Почему выбор модели хранения — это вопрос именно 152-ФЗ, а не только архитектуры
Закон о персональных данных требует, чтобы первичная запись и обновление ПДн российских граждан происходили на серверах, расположенных в России. Это требование статьи 18.1 и позиция Роскомнадзора, которая в 2026 году окончательно оформилась в правоприменительной практике: важна не только «прописка» сервера, но и контроль оператора над инфраструктурой, механизмы логирования доступа и процедуры реагирования на инциденты.
Три основные модели, которые используют российские компании: on-premise (собственный дата-центр или серверная комната), российское облако (аттестованная по ГОСТ инфраструктура IaaS/PaaS-провайдера) и гибридная схема (часть данных — локально, часть — в облаке с разграничением по классификации). Разберём каждую с точки зрения соответствия 152-ФЗ, стоимости владения и операционных рисков.
On-premise: полный контроль с полной ответственностью
Собственная инфраструктура — исторически «дефолтный» выбор крупных операторов ПДн: банков, телекомов, госструктур. Плюсы очевидны: вы физически контролируете оборудование, можете настроить любой уровень изоляции, не зависите от политики стороннего провайдера. Для обработки ПДн высших категорий (биометрия, здоровье, судимости) это нередко единственная практически реализуемая модель с точки зрения требований регулятора.
Минусы, которые часто недооценивают на этапе выбора. Во-первых, стоимость соответствия растёт быстрее, чем инфляция: аттестация ИСПДн, регулярный аудит, сертифицированные СЗИ, обучение персонала — это живой бюджет, а не разовые расходы. Во-вторых, on-premise не защищает автоматически от утечек: по статистике инцидентов, большинство реальных утечек происходит не из-за взлома извне, а из-за неправильно настроенных прав доступа и человеческого фактора внутри периметра. В-третьих, масштабирование под всплески нагрузки (например, в период маркетинговых кампаний) требует избыточного железа, которое простаивает в обычное время.
Вывод по модели: on-premise оправдан, если у вас есть собственная команда ИБ, объём ПДн стабилен и вы обрабатываете данные, для которых облачная аттестация невозможна по требованиям вашей отрасли.
Российское облако: скорость и гибкость vs. вопросы к аттестации
Аттестованные российские облачные платформы закрывают многие формальные требования 152-ФЗ «из коробки»: локализация данных подтверждена договором, провайдер несёт часть ответственности как «третье лицо» по статье 6 закона, инфраструктура периодически проходит проверки. Для стартапов, SaaS-продуктов и компаний с переменной нагрузкой это экономически привлекательно: платите за фактическое потребление, не нужно держать команду системных администраторов.
Ключевые риски, которые нельзя игнорировать. Первый — разграничение ответственности. Провайдер отвечает за физическую безопасность и базовую инфраструктуру, но за настройку доступа, шифрование на уровне приложения и реагирование на инциденты отвечаете вы как оператор. Второй — уровень аттестации. Не всякое «российское облако» имеет аттестацию под нужный класс защищённости ИСПДн: УЗ-3 и УЗ-1 — принципиально разные требования. Перед подписанием договора необходимо запросить актуальный аттестат и убедиться, что он распространяется именно на ту услугу и тот ЦОД, который вы будете использовать. Третий риск — lock-in: перенос данных между провайдерами болезнен технически и требует переоформления документации об обработке ПДн.
Вывод по модели: облако подходит для операторов, обрабатывающих ПДн низших и средних категорий (УЗ-3, УЗ-4), при условии тщательного выбора провайдера и чёткого разграничения ответственности в договоре.
Гибридная модель: разумный компромисс или двойная сложность?
Гибридная схема предполагает классификацию данных по чувствительности и разнесение их по разным контурам. Например: биометрия и медицинские данные — on-premise в аттестованном серверном помещении, обезличенные аналитические данные и маркетинговые профили — в российском облаке. Такой подход позволяет оптимизировать затраты и при этом соответствовать требованиям для каждой категории ПДн.
Плюсы очевидны: вы платите за дорогостоящую on-premise инфраструктуру только там, где это действительно необходимо, и получаете гибкость облака для менее чувствительных данных. Модель хорошо ложится на продуктовые компании, у которых несколько сервисов с разной природой данных. Именно такую архитектуру используют зрелые AI-платформы: модели обучаются на обезличенных данных в облаке, а персонифицированные профили хранятся локально.
Минусы — в операционной сложности. Вам нужна чёткая и постоянно актуальная карта потоков данных (data map): что, куда, зачем передаётся, кто имеет доступ на каждом переходе. Без этого документа гибридная модель превращается в источник нарушений, которые труднее всего отследить и объяснить регулятору. Кроме того, интеграция между контурами должна быть зашифрована и залогирована — это дополнительный слой разработки и аудита. Итог: гибрид — правильный выбор для зрелых команд с выстроенными процессами ИБ и документооборотом по ПДн.
Как выбрать модель: практический чеклист
Прежде чем принимать архитектурное решение, ответьте на четыре вопроса. Первый: какие категории ПДн вы обрабатываете — специальные (здоровье, биометрия, убеждения) или общие? Специальные требуют более строгого контура. Второй: каков ваш класс ИСПДн по актуальной методике ФСТЭК? Это определяет набор обязательных мер защиты. Третий: есть ли у вас ресурс для самостоятельной поддержки ИБ-периметра или вы готовы делегировать это провайдеру с фиксацией ответственности в договоре? Четвёртый: насколько предсказуем объём и характер данных — если он меняется, on-premise с высокой вероятностью создаст либо избыток мощностей, либо дефицит.
Дополнительный фактор 2026 года — требования к трансграничной передаче. Если ваш продукт работает с пользователями из других стран или использует зарубежные AI-сервисы для обработки данных, схема усложняется: нужно уведомление РКН, оценка третьей страны и договорные гарантии. Это отдельный пласт работы, который лучше закладывать в архитектуру заранее, а не решать «задним числом».
Вывод
Нет универсально «правильной» модели хранения ПДн по 152-ФЗ — есть модель, которая соответствует вашему профилю данных, зрелости команды и бизнес-задачам. On-premise даёт максимальный контроль ценой максимальных затрат. Облако — скорость и экономию ценой зависимости от провайдера и риска недостаточной аттестации. Гибрид — оптимальный баланс, но только если у вас есть процессы для его поддержки.
В Tech Wave мы сталкиваемся с этим выбором и при разработке собственных продуктов — «Умный цикл» и «Государыня» — и при работе с заказчиками на проектах по внедрению AI. Если вам нужно разобраться, какая модель подойдёт именно вашему проекту, и как выстроить защиту ПДн без избыточных затрат — приходите обсудить: у нас есть экспертиза и в технической архитектуре, и в compliance-аудите.