Персональные данные + хостинг = минимум затрат?

Question

[Иван Стрельцов]

Кратко опишу суть автоматизированной системы (АС):

1. Ветеринарные клиники в автоматическом режиме выгружают на удаленный сервер следующие данные:
   - ФИО владельца,
   - Адрес владельца,
   - Телефон владельца
   - Номер чипа, клеймо и др.
   
2. Сервер принимает данные и вносит их в БД
   
3. По мере необходимости, например нужно найти владельца по чипу в животном, специально обученный человек под своим логином и паролем подключается к удаленному серверу и через веб-интерфейс АС ищет владельца в базе
   

Согласно документу "ПОСТАНОВЛЕНИЕ от 1 ноября 2012 г. N 1119" я определил, что необходимо обеспечение 1-го уровня защищенности персональных данных. И следует принять меры:

а) автоматическая регистрация в электронном журнале безопасности изменения полномочий сотрудника оператора по доступу к персональным данным, содержащимся в информационной системе;
б) создание структурного подразделения, ответственного за обеспечение безопасности персональных данных в информационной системе, либо возложение на одно из структурных подразделений функций по обеспечению такой безопасности.

На этом все? Не надо сервер ставить под замок и контролировать доступ к нему? Можно ли арендовать сервер или даже виртуальный хостинг? Или необходим свой со средствами защиты информации?

Answer 1

[NETChaser]

Нет нельзя.
4 уровень защищенности.
Приказ ФСТЭК России №21 от 18.02.2013 г.

8.4. Меры по защите машинных носителей персональных данных (средств обработки (хранения) персональных данных, съемных машинных носителей персональных данных) должны исключать возможность несанкционированного доступа к машинным носителям и хранящимся на них персональным данным, а также
несанкционированное использование съемных машинных носителей персональных данных.

Comments

[Иван Стрельцов]

Разве хостинг не обеспечивает защиту от несанкционированного доступа к серверу?

[NETChaser]

Иван Стрельцов: В большинстве случаев нет. Есть специальный хостинг, но он дороже. Но имейте в виду что Вы защищаете информационную систему целиком, а не только сервер. То есть на рабочие места и каналы связи эти правила тоже распространяются.

Answer 2

[Антон Нагаец]

Толкование ст.8 ФЗ.152 В принципе позволяет использовать хостинги при условии

В общедоступные источники персональных данных с письменного согласия субъекта персональных данных могут включаться его фамилия, имя, отчество, год и место рождения, адрес, абонентский номер, сведения о профессии и иные персональные данные, сообщаемые субъектом персональных данных.

Если вы не собираете и не обрабатываете более приватные данные как СНИЛС, паспортные данные человека, историю болезни, то можно. В иных случаях ставить свой сервер и сертифицировать его по ФСТЕК

Comments

[NETChaser]

С помощью письменного согласия, можно сделать всё что угодно. А через 1 час с помощью заявления он попросит прекратить хранить и обрабатывать свои ПД.

[Антон Нагаец]

NETChaser: Увы и ах это уже мировая тенденция. Защита персональных данных. Но заявление это уже бюрократическая волокита. И на практике крайне малый % подает такие бумаги. По факту в указании имени и контакта нет ничего такого что позволит через час подать такую бумагу. Да и никто не мешает вам поиграть с терминологией Например подменить понятие "Имени" на например "Как вас удобно называть" - технически он укажет имя, юридически он укажет информацию которая может не является именем. По поводу контактов можно также вылезти.

[NETChaser]

Антон Нагаец: Вообще по опыту могу сказать что реальное решение заданного вопроса лежит совсем в другой плоскости и оно гораздо дешевле чем хостинг. Заявления да... подают мало, но юридическая грамотность населения растет, и никто не мешает Вам к примеру явиться в поликлинику с таким заявлением. А парадокс в том что они будут обязаны по закону это сделать. А всякие объявления о внутренних приказах, что карты больным не выдаются уже противоречат ФЗ. Играться с определениями можно, только что это даст? С какой стати юристы и бухгалтерия будут оформлять договор можно на ник? Кто тогда деньги будет платить? Никто на это не пойдет.

Answer 3

[Вадим Шандринов]

Все сложно Как обеспечить защиту обрабатываемых нами персональных данных на сервере Linux+Apache+MySQL+Django?
По факту все решается административными бумажками с печатями, их штук 20 наверно, но надо уметь их составить...