Аттестация инфраструктуры хостинг-провайдера: регуляторные требования и руководство к действию

В условиях цифровизации государственных услуг и ужесточения требований к информационной безопасности (ИБ) хостинг-провайдеры все чаще сталкиваются с необходимостью обеспечения соответствия своей инфраструктуры нормативным актам РФ. Термин «аттестация хостинг-провайдера» в законодательстве отсутствует, однако на практике под ним понимается подготовка инфраструктуры центра обработки данных (ЦОД) к размещению государственных информационных систем (ГИС) или систем, обрабатывающих конфиденциальную информацию.

Данная статья поможет разобраться в нормативной базе и предложит пошаговый алгоритм действий для обеспечения соответствия (compliance) без рекламных обещаний, опираясь на действующие законодательные акты по состоянию на 2026 год.

---

1. Нормативный фундамент

Деятельность хостинг-провайдера, работающего с государственными заказчиками или конфиденциальными данными, регулируется следующими ключевыми документами:

Документ	Ссылка
Федеральный закон от 04.05.2011 № 99-ФЗ «О лицензировании отдельных видов деятельности»	consultant.ru
Постановление Правительства РФ от 03.02.2012 № 79 «О лицензировании деятельности по технической защите конфиденциальной информации»	fstec.ru
Приказ ФСТЭК России от 11.02.2013 № 17 «Требования о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»	fstec.ru
Приказ ФСБ России от 24.10.2022 № 524 «Требования о защите информации в ГИС с использованием СКЗИ»	minjust.consultant.ru
Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»	consultant.ru
Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»	consultant.ru
Постановление Правительства РФ от 01.11.2012 № 1119 «Требования к защите персональных данных»	consultant.ru
Федеральный закон от 26.07.2017 № 187-ФЗ «О безопасности критической информационной инфраструктуры РФ»	consultant.ru

---

2. Когда требуется соответствие регуляторным требованиям?

Хостинг-провайдеру необходимо обращать внимание на регуляторику в следующих случаях:

• Размещение ГИС. Если заказчиком выступает государственный орган, и информационная система классифицируется как государственная.
• Обработка конфиденциальной информации. Если система содержит информацию ограниченного доступа (не государственная тайна), защищаемую в соответствии с законодательством.
• Оказание услуг по защите информации. Если провайдер не просто предоставляет «розетку и канал», но и берет на себя функции по защите (мониторинг, администрирование средств защиты, аттестационные испытания).

---

3. Лицензирование деятельности (ПП РФ № 79 и 99-ФЗ)

Согласно ст. 12 Федерального закона № 99-ФЗ, лицензированию подлежит деятельность по технической защите конфиденциальной информации (п. 5 ч. 1).

Нужна ли лицензия хостинг-провайдеру?

Сама по себе услуга предоставления вычислительных мощностей (IaaS) не лицензируется. Однако, согласно Постановлению № 79 (п. 4), лицензированию подлежат конкретные услуги, которые провайдер может оказывать в рамках хостинга:

• Услуги по контролю защищенности (мониторинг ИБ).
• Работы по аттестационным испытаниям.
• Услуги по установке, монтажу, наладке средств защиты информации (СЗИ).
• Проектирование в защищенном исполнении.

Руководство к действию:

1. Аудит услуг. Проверьте договоры с заказчиками. Если вы берете на себя настройку межсетевых экранов, антивирусную защиту, мониторинг инцидентов ИБ как отдельную услугу — требуется лицензия ФСТЭК.
2. Проверка требований. Для получения лицензии необходимо выполнить требования Постановления № 79 (п. 5):

• Наличие в штате специалистов с профильным образованием и стажем (руководитель + минимум 2 инженера).
• Наличие помещений (не жилых), оборудованных для обсуждения информации ограниченного доступа.
• Наличие поверенного измерительного оборудования и сертифицированных СЗИ.
• Наличие технической документации и методических документов ФСТЭК.

Важно: Иностранным юридическим лицам осуществление данной деятельности на территории РФ не допускается (Постановление № 79, п. 1).

Полезные ресурсы:

• Положение по аттестации объектов информатизации
• Порядок проведения сертификации (приказ ФСТЭК № 240 от 01.12.2023)

---

4. Требования ФСТЭК к инфраструктуре (Приказ № 17)

Это ключевой документ для хостинга государственных систем. Согласно п. 4 Приказа № 17, лицо, предоставляющее вычислительные ресурсы по договору (уполномоченное лицо), обеспечивает защиту информации в соответствии с этими Требованиями.

Ключевые положения для провайдера:

1. Аттестация инфраструктуры. Согласно п. 17.6, если ГИС создается на базе инфраструктуры ЦОД уполномоченного лица (хостинг-провайдера), такая инфраструктура должна быть аттестована на соответствие Требованиям № 17.
2. Распределение ответственности. П. 22.1 допускает, что если меры защиты, реализованные в инфраструктуре ЦОД, блокируют угрозы для ГИС, то дополнительные меры в самой ГИС могут не требоваться. Полномочия должны быть четко распределены в договоре.
3. Класс защищенности. Инфраструктура должна соответствовать классу защищенности ГИС (К1, К2, К3), который определяется по Приложению № 1 в зависимости от уровня значимости информации и масштаба системы (федеральный, региональный, объектовый).

Пошаговый план подготовки инфраструктуры:

Шаг 1. Классификация.
Определите, для систем какого класса защищенности (К1–К3) готова ваша инфраструктура. Это зависит от уровня значимости информации заказчиков (высокий, средний, низкий) и масштаба (федеральный, региональный, объектовый).

Шаг 2. Выбор мер защиты.
Используя Приложение № 2 к Приказу № 17, сформируйте базовый набор мер защиты для соответствующего класса.

• Пример для К1 (высокая значимость): Требуется защита от нарушителей с высоким потенциалом, средства защиты не ниже 4 класса, средства вычислительной техники не ниже 5 класса (п. 26).
• Обязательные меры: Идентификация и аутентификация, управление доступом, антивирусная защита, регистрация событий безопасности, контроль целостности.

Шаг 3. Физическая защита.
Обеспечьте организацию контролируемой зоны (п. 20.12, ЗТС.2). Доступ к серверам и средствам защиты должен быть физически ограничен.

Шаг 4. Аттестационные испытания.
Проведите аттестацию инфраструктуры. Согласно п. 17, аттестация включает комплекс организационных и технических мероприятий.

• Разработайте модель угроз для инфраструктуры.
• Проведите испытания на соответствие требованиям.
• Получите Аттестат соответствия на инфраструктуру ЦОД. Этот документ станет основанием для заказчиков ГИС размещать у вас системы без повторной аттестации «железа» и помещения.

Шаг 5. Эксплуатация.
Внедрите процессы управления инцидентами, обновлениями и конфигурациями (п. 18). Периодичность контроля защищенности для систем 1 класса — не реже 1 раза в год, для 2 и 3 классов — не реже 1 раза в два года (п. 18.7).

Полезные ресурсы:

• Методический документ «Меры защиты информации в государственных информационных системах» (ФСТЭК, 11.02.2014)
• Методический документ «Состав и содержание мероприятий и мер по защите информации» (ФСТЭК, 12.04.2026)
• ГОСТ Р 51583-2014 «Защита информации. Порядок создания автоматизированных систем в защищенном исполнении»

---

5. Криптографическая защита (Приказ ФСБ № 524)

Если ГИС, размещаемая на хостинге, требует использования шифровальных средств (СКЗИ) для защиты каналов связи или хранения данных, вступают в силу требования Приказа ФСБ № 524.

Требования к помещениям и средствам:

1. Сертификация СКЗИ. Допускается использование только СКЗИ, сертифицированных ФСБ России (п. 3).
2. Класс СКЗИ. Определяется по таблице в Приложении к Приказу № 524 в зависимости от уровня значимости информации и масштаба ГИС (классы КС1, КС2, КС3, КВ, КА).
3. Физическая безопасность помещений. В помещениях, где хранятся СКЗИ и носители ключевой информации, должен быть обеспечен режим, препятствующий неконтролируемому проникновению (п. 6):

• Для систем высокого уровня значимости (федеральный/региональный масштаб): окна на первых/последних этажах должны быть оборудованы решетками или сигнализацией.
• Двери и окна серверных должны быть защищены от проникновения.

1. Экспертиза среды функционирования. Перед использованием СКЗИ должна быть проведена оценка влияния среды функционирования (технических средств, с которыми взаимодействует СКЗИ). Результаты проходят экспертизу в ФСБ России (п. 5).

Руководство к действию:

• Если вы планируете оказывать услуги криптографической защиты (например, предоставление удостоверяющего центра или шифрованных каналов), вам потребуется лицензия ФСБ на деятельность по шифрованию (ст. 12 № 99-ФЗ, п. 1).
• Если вы лишь предоставляете помещение для оборудования заказчика с СКЗИ, убедитесь, что ваши помещения соответствуют требованиям п. 6 Приказа № 524, чтобы заказчик мог успешно пройти аттестацию своей системы.

Полезные ресурсы:

• Приказ ФСБ России от 09.02.2005 № 66 «Положение ПКЗ-2005»
• Система сертификации ФСБ России

---

6. Модель угроз: основа для выбора мер защиты

Корректная модель угроз — фундамент для построения системы защиты. При её разработке следует использовать:

• «Базовая модель угроз безопасности персональных данных» (ФСТЭК, 15.02.2008) — fstec.ru
• «Методика определения актуальных угроз безопасности персональных данных» (ФСТЭК, 14.02.2008) — fstec.ru
• «Методика оценки угроз безопасности информации» (ФСТЭК, 05.02.2021) — normativ.kontur.ru
• Банк данных угроз ФСТЭК (BDU) — bdu.fstec.ru

Модель угроз должна актуализироваться при изменении инфраструктуры, появлении новых уязвимостей или изменении класса защищенности системы.

---

7. Профили защиты средств: практические ориентиры

При выборе и настройке средств защиты информации рекомендуется руководствоваться методическими документами ФСТЭК, устанавливающими профили защиты для различных классов СЗИ:

Профиль защиты	Ссылка
Межсетевые экраны	fstec.ru
Операционные системы типов Б и В	fstec.ru
Системы обнаружения вторжений	fstec.ru
Средства антивирусной защиты	fstec.ru
Средства доверенной загрузки	fstec.ru
Средства контроля съемных носителей	fstec.ru

Эти документы помогают обосновать выбор конкретных средств защиты при аттестации и снизить риски несоответствия требованиям регуляторов.

---

8. Типичные ошибки и риски

1. Подмена понятий. Аттестуется не компания-провайдер, а информационная система или инфраструктура ЦОД как часть ГИС. Наличие сертификатов ISO у провайдера не заменяет аттестат ФСТЭК.
2. Отсутствие разграничения ответственности. В договоре SLA должно быть четко прописано, какие меры защиты реализует провайдер (физическая охрана, СЗИ периметра), а какие — заказчик (СЗИ на уровне ОС, прикладном уровне). Без этого аттестация ГИС невозможна (п. 22.1 Приказа № 17).
3. Игнорирование лицензирования. Оказание услуг по «настройке безопасности» без лицензии ФСТЭК (Постановление № 79) влечет административную ответственность и аннулирование договоров с государством.
4. Неактуальная модель угроз. Модель угроз должна актуализироваться при изменении инфраструктуры. Использование устаревшей модели — основание для отказа в аттестации.
5. Некорректный выбор класса СКЗИ. Ошибки в определении класса шифровальных средств по Приказу ФСБ № 524 могут привести к невозможности аттестации ГИС.

---

9. Резюме: чек-лист для хостинг-провайдера

Для готовности к работе с государственным сектором и защищенными системами в 2026 году необходимо:

1. [ ] Определить статус: Являетесь ли вы оператором ГИС или уполномоченным лицом (провайдером ресурсов).
2. [ ] Проверить лицензии: Есть ли лицензия ФСТЭК на техническую защиту конфиденциальной информации (если оказываете соответствующие услуги). Есть ли лицензия ФСБ (если работаете с криптографией).
3. [ ] Аттестовать инфраструктуру: Провести аттестацию ЦОД по Приказу ФСТЭК № 17 и получить аттестат соответствия.
4. [ ] Обеспечить физическую защиту: Соответствие помещений требованиям ФСТЭК и ФСБ (контроль доступа, охрана, инженерная защита).
5. [ ] Подготовить документацию: Модель угроз, техническое задание, организационно-распорядительные документы (приказы, инструкции).
6. [ ] Настроить процессы: Внедрить мониторинг ИБ, управление инцидентами и регулярный контроль защищенности.
7. [ ] Актуализировать источники угроз: Использовать Банк данных угроз ФСТЭК и методические документы для своевременного обновления модели угроз.
8. [ ] Контролировать изменения в регулировании: Отслеживать информационные сообщения ФСТЭК (например, от 26.04.2024 № 240/24/1958).

Дополнительные ресурсы для мониторинга регуляторики:

• Официальный сайт ФСТЭК России
• Сайт Роскомнадзора
• Реестр операторов персональных данных

---

Соблюдение этих требований позволяет хостинг-провайдеру легально размещать государственные информационные системы и работать с конфиденциальными данными, минимизируя риски штрафов и приостановления деятельности.

Примечание: Настоящая статья носит информационный характер и не является юридической консультацией. При подготовке документов и проведении аттестации рекомендуется привлекать организации, имеющие лицензию ФСТЭК на деятельность по технической защите конфиденциальной информации.