Задать вопрос
siasoft
@siasoft
Программист

Персональные данные + хостинг = минимум затрат?

Кратко опишу суть автоматизированной системы (АС):
  1. Ветеринарные клиники в автоматическом режиме выгружают на удаленный сервер следующие данные:
    - ФИО владельца,
    - Адрес владельца,
    - Телефон владельца
    - Номер чипа, клеймо и др.
  2. Сервер принимает данные и вносит их в БД
  3. По мере необходимости, например нужно найти владельца по чипу в животном, специально обученный человек под своим логином и паролем подключается к удаленному серверу и через веб-интерфейс АС ищет владельца в базе

Согласно документу "ПОСТАНОВЛЕНИЕ от 1 ноября 2012 г. N 1119" я определил, что необходимо обеспечение 1-го уровня защищенности персональных данных. И следует принять меры:
а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

На этом все? Не надо сервер ставить под замок и контролировать доступ к нему? Можно ли арендовать сервер или даже виртуальный хостинг? Или необходим свой со средствами защиты информации?
  • Вопрос задан
  • 716 просмотров
Подписаться 1 Оценить Комментировать
Пригласить эксперта
Ответы на вопрос 3
@NETChaser
Нет нельзя.
4 уровень защищенности.
Приказ ФСТЭК России №21 от 18.02.2013 г.

8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также
несанкционированное использование съемных машинных носителей персональных данных.
Ответ написан
gr1mm3r
@gr1mm3r
50% ответа в правильном вопросе. Остальное мануал.
Толкование ст.8 ФЗ.152 В принципе позволяет использовать хостинги при условии
В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Если вы не собираете и не обрабатываете более приватные данные как СНИЛС, паспортные данные человека, историю болезни, то можно. В иных случаях ставить свой сервер и сертифицировать его по ФСТЕК
Ответ написан
suguby
@suguby
программист, python, django, mysql, git, hg, linux
Все сложно Как обеспечить защиту обрабатываемых нами персональных данных на сервере Linux+Apache+MySQL+Django?
По факту все решается административными бумажками с печатями, их штук 20 наверно, но надо уметь их составить...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы