Коротко: требований РКН/ФСТЭК — два — (1) на сервере должны быть реализованы требуемые меры защиты в соответствии с уровнем персональных данных и (2) часть мер должна выполняться сертифицированными средствами (в том числе антивирусными). Практически самозанятым обычно помогают один из трёх путей:
Варианты, которые используют чаще всего
- Купить сертифицированный продукт, оформленный на физическое лицо. Многие вендоры продают лицензии не только юрлицам — достаточно ИНН/паспортных данных. Уточните у вендора возможность выписки лицензии на физлицо/самозанятого.
- Включить сертифицированную защиту через хостера/VPS-провайдера. Многие провайдеры предлагают «комплаенс»-образ или управляемую защиту (антивирус, EDR) и дают подтверждающие документы — это самый удобный путь для тех, кто не хочет заниматься закупкой и администрированием. В этом случае антивирус стоит у провайдера, а вы получаете подтверждение его наличия.
- Использовать облачный/SaaS-сервис с готовой поддержкой работы с персональными данными (провайдер берет на себя требования безопасности). Тогда ваши данные хранятся и обрабатываются на стороне сервиса, соответствие обеспечивается провайдером.
Практические шаги, что сделать сейчас
1. Определите уровень персональных данных, которые вы обрабатываете (от этого зависит набор требуемых мер ФСТЭК/РКН).
2. Посмотрите реестр сертифицированных средств защиты ФСТЭК (по запросу «реестр ФСТЭК средства защиты информации») и найдите антивирусные продукты с актуальной сертификацией.
3. Свяжитесь с выбранными вендорами и уточните две вещи: можно ли купить лицензию и получить документы (счет, лицензионный договор, акт) на физическое лицо / самозанятого; какие документы они выдают для подтверждения установки сертифицированного СЗИ.
4. Параллельно запросите у вашего VPS‑провайдера: предлагают ли они сертифицированные антивирусы/EDR как опцию; могут ли они выдать акт об оказании услуг / справку/техническую документацию для подтверждения мер безопасности.
5. Задокументируйте: какие средства установлены, версии, конфигурации, журналы обновлений и сканирований — это пригодится при уведомлении/проверке.
Некоторые уточнения и подводные камни
- Наличие «сертифицированного антивируса» важно, но одно лишь его наличие не равнозначно защите: нужно также настроить обновления, журналы, резервирование, контроль доступа и прочие меры, указанные в нормативке.
- Некоторые вендоры действительно ориентированы на корпоративных клиентов и запрашивают реквизиты юрлица; но часто они дают опции для частных лиц — просто уточните у продажи.
- Если вендор отказывает в продаже физлицу и провайдер не предоставляет опцию — практичный выход для многих самозанятых: взять управляемый VPS/хостинг у провайдера, который имеет готовые решения для обработки персональных данных.
Что спросить у вендора/провайдера (шаблон)
- Есть ли у продукта (название) действующая сертификация ФСТЭК? Можете выслать сертификат/запись из реестра?
- Можете ли вы выписать лицензию/счет и сопутствующие документы на физическое лицо (самозанятого)? Какие данные при этом требуются?
- Какие подтверждающие документы вы выдаёте об установке и работе СЗИ (акты, журналы, справки)?
Юридическая оговорка
Я не юрист. Для окончательной уверенности в соблюдении нормативных требований (и при подготовке уведомления/политики безопасности) лучше проконсультироваться с профильным специалистом по защите персональных данных.
Если хотите — пришлите, пожалуйста, список вендоров, с которыми вы уже говорили (например, Доктор Веб), и я помогу составить запросы или подберу альтернативы по реестру ФСТЭК.