ЦОД — это центр обработки данных, специализированное помещение для размещения серверного оборудования и систем хранения информации. В российской практике аббревиатуру часто используют в контексте персональных данных, потому что 152-ФЗ устанавливает жёсткие требования к месту обработки ПД. Собственный ЦОД отличается от аренды облачных мощностей полным контролем над инфраструктурой, физическим доступом и возможностью выполнить все требования регуляторов без зависимости от провайдера.
В статье разбираем, что такое собственный ЦОД, как он связан с законодательством о персональных данных и чем отличается от облачных решений.
Что такое ЦОД: расшифровка и базовые компоненты
ЦОД расшифровывается как «центр обработки данных». Это инфраструктурный объект, который объединяет серверное оборудование, системы хранения данных, сетевые устройства и инженерные системы — электропитание, охлаждение, пожаротушение. Основная функция ЦОД — обеспечить бесперебойную работу IT-систем компании.
Ключевые элементы ЦОД
Любой центр обработки данных строится на нескольких обязательных компонентах:
- Серверное оборудование. Серверы выполняют вычислительные задачи — обрабатывают запросы пользователей, хранят базы данных, запускают приложения. Для собственного ЦОД часто выбирают стоечные модели — они занимают меньше места и позволяют масштабировать инфраструктуру блоками.
- Системы хранения данных. СХД или внутренние диски серверов сохраняют информацию и обеспечивают быстрый доступ к ней. Архитектура хранения зависит от объёма данных и требований к скорости.
- Сетевое оборудование. Коммутаторы, маршрутизаторы, сетевые карты и адаптеры связывают серверы между собой и с внешним миром. От качества сети зависит скорость передачи данных и задержки.
- Системы бесперебойного питания (ИБП). Защищают оборудование от скачков напряжения и обеспечивают работу при отключении электричества. Критично для непрерывности бизнеса.
- Системы охлаждения. Охлаждение поддерживает рабочую температуру серверов — перегрев приводит к сбоям и выходу из строя компонентов. В небольших ЦОД используют кондиционеры, в крупных — промышленные системы.
- Системы пожаротушения и физической безопасности. Датчики дыма, автоматические системы подавления огня, контроль доступа. Обязательные элементы для защиты активов.
Размер ЦОД измеряется в юнитах (1U = 44,45 мм высоты в стойке) или в квадратных метрах серверного зала. Малый корпоративный ЦОД может занимать одну-две стойки, крупные коммерческие центры — несколько тысяч квадратных метров.
Классификация по уровню надёжности: Tier I–IV
Международная классификация Uptime Institute делит ЦОД на четыре уровня надёжности — Tier I, II, III, IV. Чем выше уровень, тем больше дублирование критичных систем и тем меньше допустимое время простоя.
| Уровень | Доступность (% в год) | Время простоя (часов в год) | Основные характеристики |
|---|---|---|---|
| Tier I | 99,671% | 28,8 | Один канал питания, без резервирования компонентов. Подходит для некритичных задач. |
| Tier II | 99,741% | 22,0 | Один канал питания с резервными компонентами (ИБП, генераторы). Частично избыточная инфраструктура. |
| Tier III | 99,982% | 1,6 | Два независимых канала питания и охлаждения, возможность обслуживания без остановки. Наиболее частый выбор для корпоративных ЦОД. |
| Tier IV | 99,995% | 0,4 | Полное дублирование всех систем, защита от любой единичной точки отказа. Для критически важных приложений. |
Для большинства российских компаний, обрабатывающих персональные данные, достаточно уровня Tier II–III. Tier IV требуется банкам, телекоммуникационным операторам и государственным структурам.
Собственный ЦОД vs облачная инфраструктура: ключевые различия
Собственный ЦОД — это оборудование, которое принадлежит компании и физически находится на её территории или в арендованном машинном зале. Облачная инфраструктура — это мощности, которые компания арендует у провайдера: серверы, хранилища, сеть предоставляются как сервис.
Контроль над инфраструктурой
В собственном ЦОД компания полностью управляет железом, сетью и доступом. Это критично для соблюдения требований 152-ФЗ — вы можете физически разграничить доступ к серверам с персональными данными, установить специализированные средства защиты, провести независимый аудит безопасности.
В облаке физический контроль у провайдера. Вы управляете виртуальными машинами, но не знаете, на каких серверах они запущены, кто имеет доступ к оборудованию и какие ещё арендаторы используют те же физические ресурсы. Для обработки ПД это создаёт риски — требуется детальное изучение договора с провайдером и его сертификатов.
Требования к локализации данных
152-ФЗ требует, чтобы обработка персональных данных граждан России велась на территории РФ. В собственном ЦОД вы точно знаете, где физически находятся серверы и диски. В облаке нужно убедиться, что провайдер размещает оборудование в России и не передаёт данные за границу для обработки или резервного копирования.
Некоторые западные облачные платформы формально имеют дата-центры в России, но юридически управляются из-за рубежа. Это создаёт риски при проверках Роскомнадзора — регулятор может посчитать такую схему нарушением закона.
Экономика: капитальные vs операционные расходы
Собственный ЦОД — это капитальные затраты (CAPEX). Нужно купить серверы, системы хранения, сетевое оборудование, подготовить помещение, обеспечить бесперебойное питание и охлаждение. Окупаемость наступает через 2-4 года в зависимости от масштаба.
Облако работает на модели операционных расходов (OPEX) — вы платите ежемесячно за использованные ресурсы. Нет стартовых вложений, но долгосрочная аренда обходится дороже покупки железа.
| Критерий | Собственный ЦОД | Облачная инфраструктура |
|---|---|---|
| Контроль над железом | Полный — выбираете конфигурацию, управляете обновлениями | Ограниченный — провайдер управляет оборудованием |
| Физический доступ к данным | У компании | У провайдера |
| Соответствие 152-ФЗ | Легко доказать регулятору | Требуется изучение договора и сертификатов провайдера |
| Стоимость запуска | Высокая (CAPEX) | Низкая (OPEX) |
| Долгосрочные расходы | Ниже при стабильной нагрузке | Выше, особенно при круглосуточной работе |
| Масштабируемость | Требует закупки нового железа | Мгновенная — добавили ресурсы через панель управления |
| Ответственность за отказы | На компании | На провайдере (по SLA) |
Гибридная модель: когда нужны оба подхода
Многие компании используют гибридную инфраструктуру: критичные данные и системы с персональными данными размещают в собственном ЦОД, а вспомогательные сервисы — в облаке. Например, база клиентов работает на локальных серверах, а система мониторинга или тестовая среда — в облаке.
Такая схема даёт контроль над ПД и одновременно снижает капитальные затраты на некритичные задачи.
Роль ЦОД в работе с персональными данными: требования законодательства
Федеральный закон №152-ФЗ «О персональных данных» обязывает компании защищать информацию о гражданах России. Центр обработки данных — это физическое место, где выполняется обработка, и регулятор проверяет его на соответствие требованиям.
Что считается обработкой персональных данных
Обработка — это любое действие с данными: сбор, запись, систематизация, хранение, изменение, извлечение, использование, передача, блокирование, удаление. Если ваша компания ведёт CRM, обрабатывает заказы, хранит кадровые документы — вы попадаете под действие 152-ФЗ.
Закон требует обрабатывать ПД на серверах, физически расположенных в России. Это относится как к собственным ЦОД, так и к арендованным мощностям.
Технические требования к ЦОД с персональными данными
Для соблюдения 152-ФЗ и требований ФСТЭК России (приказ №21) инфраструктура должна обеспечивать:
- Контроль доступа. Физический доступ к серверам должен быть ограничен — электронные пропуска, видеонаблюдение, журналы посещений. Доступ к данным на уровне ОС и приложений — через систему ролей и логирование действий.
- Защиту от несанкционированного доступа (НСД). Межсетевые экраны, системы обнаружения вторжений (IDS/IPS), антивирусы, шифрование дисков. Список зависит от категории ПД — для биометрии или медицинских данных требования строже.
- Резервное копирование. Регулярное создание резервных копий и их хранение на отдельных носителях. При утрате данных компания должна восстановить информацию в сроки, указанные в политике обработки ПД.
- Аудит и мониторинг. Логирование доступа к серверам, анализ событий безопасности, регулярные проверки на уязвимости.
- Аттестацию по требованиям ФСТЭК. Для государственных систем и критичных инфраструктур ЦОД проходит обязательную аттестацию — независимая организация проверяет соответствие техническим требованиям.
В облаке часть этих мер реализует провайдер, но ответственность за соблюдение закона остаётся на заказчике. Поэтому компании часто выбирают собственный ЦОД — проще контролировать все аспекты безопасности.
Категории персональных данных и уровни защиты
152-ФЗ делит ПД на несколько категорий по степени важности. Чем выше категория, тем жёстче требования к инфраструктуре ЦОД.
| Категория ПД | Примеры данных | Уровень защищённости (по ФСТЭК) |
|---|---|---|
| Общедоступные | ФИО, должность (с согласия субъекта) | Требования минимальны |
| Иные (обычные) | Адрес, телефон, email, данные заказов | УЗ-3 (до 100 000 субъектов) или УЗ-2 (свыше) |
| Специальные | Национальность, вероисповедание, членство в профсоюзе | УЗ-2 или УЗ-1 (в зависимости от объёма) |
| Биометрические | Отпечатки пальцев, сетчатка глаза, голос | УЗ-2 или УЗ-1 |
| Медицинские / судимости | Диагнозы, история болезней, судебные решения | УЗ-1 (самые строгие требования) |
Для уровня УЗ-1 требуется сертифицированное средство защиты информации, раздельное хранение баз данных, усиленное логирование и регулярные аудиты. Построить такую инфраструктуру в облаке сложно — нужно убедиться, что провайдер имеет соответствующие аттестаты.
Штрафы за нарушение 152-ФЗ
Роскомнадзор штрафует за необработку данных на территории РФ, отсутствие средств защиты или утечки информации. Размер штрафа зависит от тяжести нарушения:
- Для должностных лиц — от 10 000 до 20 000 рублей
- Для юридических лиц — от 30 000 до 100 000 рублей (за первичное нарушение) или до 500 000 рублей (за повторное)
- За утечку данных — до 500 000 рублей для компаний и до 50 000 рублей для должностных лиц
Помимо штрафов, компания рискует потерять лицензию (для финансовых организаций, медицинских учреждений) или получить предписание на приостановку обработки ПД — фактическую остановку бизнеса.
Когда бизнесу нужен собственный ЦОД
Построение собственного ЦОД требует бюджета, времени и квалифицированной команды. Эта инвестиция оправдана в нескольких сценариях.
Обработка больших объёмов персональных данных
Если компания обрабатывает данные сотен тысяч клиентов или сотрудников, затраты на аренду облака становятся сопоставимы с покупкой оборудования. Собственный ЦОД позволяет контролировать инфраструктуру и не зависеть от тарифов провайдера.
Примеры: банки, страховые компании, интернет-магазины с большой базой покупателей, HR-системы крупных холдингов.
Высокие требования к безопасности и конфиденциальности
Если данные особо ценные (медицинские карты, финансовые транзакции, государственные реестры), компания заинтересована в полном контроле над доступом и физической защитой серверов. Облачный провайдер может иметь сертификаты, но в собственном ЦОД вы сами выбираете средства защиты и проводите аудиты.
Необходимость выполнить требования регуляторов
Некоторые отрасли обязаны строить собственные ЦОД по прямому требованию закона — например, операторы связи, банки, государственные органы. В этих случаях облако не подходит, даже если провайдер сертифицирован.
Стабильная и предсказуемая нагрузка
Облако выгодно при резких скачках нагрузки — можно быстро добавить ресурсы и так же быстро отключить. Если ваша инфраструктура работает круглосуточно с примерно одинаковой нагрузкой (корпоративные приложения, базы данных), дешевле купить железо один раз и эксплуатировать несколько лет.
Географическая распределённость
Для компаний с филиалами в разных регионах собственный ЦОД в центральном офисе позволяет централизовать управление данными. Филиалы подключаются к ЦОД по защищённым каналам, все ПД хранятся в одной точке под контролем головной организации.
Этапы создания собственного ЦОД для обработки ПД
Построение ЦОД — это проект, который включает техническую, юридическую и организационную части.
1. Определение требований и выбор уровня надёжности
Сначала оцениваете объём данных, количество пользователей, требования к доступности. Определяете категорию обрабатываемых ПД и уровень защищённости по ФСТЭК. Эти параметры задают конфигурацию оборудования и бюджет проекта.
2. Подготовка помещения
ЦОД размещают в выделенном помещении с контролируемым доступом. Требования:
- Усиленные полы под стойки (нагрузка до 1000 кг на квадратный метр)
- Система электроснабжения с резервированием — ИБП и дизель-генератор
- Промышленное охлаждение — кондиционеры или фреоновые системы
- Система пожаротушения (газовая или порошковая, водяная для серверов не подходит)
- Контроль температуры и влажности
- Система контроля доступа (СКУД), видеонаблюдение
Для небольших ЦОД допустимо использовать специализированные серверные шкафы с встроенным охлаждением и ИБП.
3. Закупка и установка оборудования
Выбираете серверы, СХД, сетевое оборудование. Для работы с ПД часто используют стоечные серверы — их легко масштабировать и обслуживать. Если не уверены в конфигурации, можно воспользоваться конфигуратором серверов — он подберёт комплектующие под задачи.
Устанавливаете серверы в стойки, прокладываете кабели, подключаете системы питания и охлаждения. На этом этапе важно соблюсти правила организации серверных — разделить горячий и холодный коридоры, обеспечить запас портов для масштабирования.
4. Настройка сетевой инфраструктуры и систем защиты
Настраиваете внутреннюю сеть, VLAN для разделения трафика, межсетевые экраны, системы обнаружения вторжений. Устанавливаете средства защиты информации — антивирусы, DLP-системы, SIEM для мониторинга событий безопасности.
Для соответствия ФСТЭК требуется использовать сертифицированные средства — например, Secret Net, Dallas Lock, UserGate.
5. Разработка организационных документов
Создаёте политику обработки персональных данных, положение о ЦОД, регламенты доступа, инструкции по резервному копированию и восстановлению. Эти документы проверяет Роскомнадзор при аудите.
6. Тестирование и ввод в эксплуатацию
Проводите нагрузочные тесты, проверяете системы резервирования (отключаете основное питание и смотрите, как работают ИБП и генератор), тестируете процедуры восстановления данных. После успешных испытаний переносите рабочие системы в ЦОД.
7. Аттестация (если требуется)
Для государственных информационных систем и критической инфраструктуры ЦОД проходит аттестацию в аккредитованной организации. Эксперты проверяют соответствие помещения, оборудования и документов требованиям ФСТЭК, выдают аттестат соответствия.
Эксплуатация и обслуживание собственного ЦОД
После запуска ЦОД требует постоянного контроля и регулярного обслуживания.
Мониторинг состояния оборудования
Критично отслеживать температуру, загрузку процессоров, состояние дисков, утилизацию сети. Системы мониторинга (Zabbix, Nagios, PRTG) собирают метрики и отправляют алерты при превышении порогов. Это позволяет предотвратить отказы — например, вовремя заменить диск с признаками деградации.
Резервное копирование и архивирование
Регулярное резервное копирование обязательно по 152-ФЗ. Настраиваете автоматические бэкапы критичных систем (ежедневно или чаще), храните копии на отдельных носителях или в удалённой площадке. Периодически проверяете процедуру восстановления — резервная копия бесполезна, если из неё нельзя развернуть систему.
Обновление программного обеспечения и микрокода
Производители регулярно выпускают обновления ПО, патчи безопасности, новые версии прошивок для серверов и сетевого оборудования. Своевременная установка обновлений закрывает уязвимости и повышает стабильность.
Физическое обслуживание
Раз в год (или чаще) проводите профилактику — чистку серверов от пыли, проверку креплений, диагностику блоков питания и систем охлаждения. Пыль снижает эффективность охлаждения и может привести к перегреву.
Управление доступом и журналирование
Ведёте журнал физического доступа в серверную комнату, логируете все подключения к серверам, регулярно проверяете права пользователей. Роскомнадзор при проверке запрашивает логи — они должны храниться не менее 6 месяцев.
Альтернативы собственному ЦОД: когда облако подходит для ПД
Не всегда нужно строить собственный ЦОД. Облачные провайдеры предлагают инфраструктуру, соответствующую 152-ФЗ, если они:
- Размещают серверы в России
- Имеют сертификаты ФСТЭК и лицензии на деятельность по защите информации
- Предоставляют SLA с гарантиями доступности и безопасности
- Предлагают инструменты для шифрования, контроля доступа, резервного копирования
Примеры сертифицированных российских провайдеров: Yandex Cloud (для некоторых категорий ПД), VK Cloud, Selectel. Перед выбором изучите договор, уточните, где физически размещены серверы, какие средства защиты используются.
Облако подходит, если:
- Компания обрабатывает небольшой объём ПД (до 10 000 субъектов)
- Данные относятся к категории «иные» (обычные), а не специальные или биометрические
- Нагрузка непредсказуема — бывают пиковые периоды
- Нет бюджета на CAPEX, но есть возможность платить ежемесячно
Частые вопросы о собственном ЦОД и персональных данных
Что такое ЦОД в контексте персональных данных?
ЦОД (центр обработки данных) — это инфраструктурный объект, где физически размещены серверы и системы хранения, обрабатывающие персональные данные. 152-ФЗ требует, чтобы ПД граждан России обрабатывались на оборудовании, расположенном на территории РФ. Собственный ЦОД позволяет компании полностью контролировать физический доступ к серверам, применять необходимые средства защиты и доказывать соответствие требованиям регулятора.
Чем собственный ЦОД отличается от аренды облака для работы с ПД?
В собственном ЦОД компания владеет оборудованием, управляет доступом, выбирает средства защиты и точно знает, где физически находятся данные. В облаке физическую инфраструктуру контролирует провайдер — вы арендуете виртуальные машины, но не управляете железом. Для соблюдения 152-ФЗ в облаке нужно убедиться, что провайдер имеет сертификаты ФСТЭК и размещает серверы в России. Собственный ЦОД даёт больше контроля, но требует капитальных вложений и команды для обслуживания.
Какие требования к ЦОД для обработки персональных данных?
ЦОД должен обеспечивать: контроль физического и логического доступа (СКУД, видеонаблюдение, ролевая модель в ОС), защиту от несанкционированного доступа (межсетевые экраны, IDS/IPS, сертифицированные СЗИ), резервное копирование данных, мониторинг событий безопасности и логирование действий пользователей. Уровень защиты зависит от категории ПД — для обычных данных достаточно УЗ-3, для специальных или биометрических требуется УЗ-2 или УЗ-1. Помещение должно иметь системы бесперебойного питания, охлаждения, пожаротушения.
Когда компании выгоднее строить собственный ЦОД вместо использования облака?
Собственный ЦОД выгоден при обработке больших объёмов ПД (сотни тысяч субъектов), стабильной круглосуточной нагрузке, высоких требованиях к безопасности и конфиденциальности. Также он необходим, если компания обязана соблюдать отраслевые требования (банки, телеком, государственные органы). Окупаемость наступает через 2-4 года — если инфраструктура эксплуатируется дольше, собственный ЦОД дешевле долгосрочной аренды облака. Облако подходит для малых объёмов данных, непредсказуемой нагрузки или при отсутствии бюджета на капитальные затраты.
Что будет, если не соблюдать требования 152-ФЗ при обработке ПД в ЦОД?
Роскомнадзор штрафует компании за обработку ПД вне территории РФ, отсутствие средств защиты или утечки данных. Штрафы для юридических лиц — от 30 000 до 500 000 рублей в зависимости от тяжести нарушения. Помимо денежных санкций, компания может потерять лицензию (для банков, медучреждений), получить предписание на приостановку обработки ПД или судебный иск от пострадавших граждан. Для избежания рисков нужно размещать данные в России, использовать сертифицированные средства защиты, вести логи доступа и регулярно проводить аудиты безопасности.