Никита

Коллеги, АПКШ Континент - это сертифицированное ФСБ и ФСТЭК средство защиты информации, продается только под заказчика. Распространение средств криптографической защиты информации - лицензируемый вид деятельности. По серийнику спец. службы с легкостью вычислят того, кому эта железка была продана, и накажут за то, что СКЗИ было просто так передано физическому лицу.

Не рискуйте :)

РКН в рамках проверки по 242-ФЗ будет проверять наличие договора с дата-центром и указание в нем расположения серверов. На этом в большенстве случаев проверка закончится. Но РКН не глупые, и если у вас компания крупная или средняя, они с легкостью догадаются что на VPS за 20 $ вы свою инфраструктуру не сможете поднять, по-этому начнут копать глубже.
Более подробнее тут

Роскомназдор будет проверять договор с Хостингом, в котором должно быть написано где расположены сервера. При выборе хостера в России спросите, где находятся сервера и попросите включить в типовой договор фразу о том, что сервера находятся в России с указанием месторасположения ЦОДа, хотя сейчас на моей практике большинство ЦОДов ухе в курсе 242 ФЗ и делают какие то шаги в этом направлении. По этому, резюмируя:
1. РКН будет проверять договор
2. Надо включить в договор фразу о месте расположения оборудования.

При таких действиях проблем с РКН не будет

Тут все просто:
1. Самый ваш главный враг - это роскомнадзор. ФСТЭК и ФСБ к вам не придет, можете не переживать. РКН публикует свой план проверок, и поверьте, в него не так просто попасть.

Есть 2 варианта развития событий: 1. Вы попадаете в план проверок. 2. Внеплановая проверка по факту инцидента (утечка ПДн, жалоба субъекта ПДн ...). При этом, РКН может прийти на проверку после 3 лет существования компании, если конечно не произошел какой-либо инцидент.

2. РКН не лезет в техническую часть, т.е. как именно что то настроено, какие средства и почему используются. Они в первую очередь проверяют режимные документы (Политику оператора, инструкции ответственных, заполенные журналы и т.д.) и смотрят наличие Модели угроз и технического проекта.

3. Действительно можно сделать ПДн общедоступными, с согласия субъекта, но это не позволит вам НЕ защищать ПДн, как минимум целостность и доступность необходимо будет обеспечить.

Резюмируя, вам необходимо:
1. Подать уведомление в РКН, что вы являетесь оператором.
2. Разработать комплект режимной документации в соответствии с требованиями нормативки.
3. Написать документы по технической защите. Тут надо понимать, что слово "сертификация" и "аттестация" для вас являются лишними. На эту тему можно не переживать и спокойно работать с чистой совестью.