152-ФЗ и локальные копии БД / веб-приложений

Question

[Matsarello]

Здравствуйте.

Возникла необходимость устанавливать электронный школьный дневник на локальные сервера в школах. В связи с этим возник вопрос — как быть с защитой персональных данных по 152 закону? Если хостинг привести в соответствие не составляет особых трудов, то как быть с такими разбросанными серверами? Версии дневника почти полноценные, с небольшими изменениями — локальная БД со всеми персональными данными будет дублироваться.

Варианта развертывания 2:
— на компьютеры размещающей организации;
— на компьютеры школы.

Может кто-нибудь сталкивался с похожей задачей?

Answer 1

[Alexander Yankovskiy]

Для удовлетворения требований ФЗ надо использовать шифрованные носители, крайне ограничить доступ к телу сервера, так же ограничить доступ к консолям доступа на сервер. Всё делается по инструкциям штатными средствами любой ОС.

Если на компьютер с консолью доступа попадает копия части бд, то она должна быть зашифрована и раскрываться только для сеанса доступа из консоли.

По крайней мере, от нас проверка на соответствие ФЗ ушла удовлетворённой при таком порядке регулирования оборта ПД.

Comments

[Matsarello]

Спасибо, будем думать как лучше сделать.

А если копия сайта(код + веб-сервер + кусок БД, относящийся к этой школе) будут устанавливаться на компьютеры школы, есть ли необходимость делать все по 152 закону или это уже задача школы?

[Alexander Yankovskiy]

Я узнаю дополнительно, но мне помнится, что у муниципальных учреждений есть какой-то свой, особый порядок обращения с ПД. Полагаю, что достаточно будет просто удалённого запароленного доступа на консоль компьютера, имеющего доступ к БД.

Answer 2

[lesha_penguin]

Есть еще достаточно простой способ. Все кто по долгу службы имеет прямой доступ в БД подписывает договор о неразглашении. Кстати, такое решение хорошо, не только в связи с «соблюдением ФЗ 152» но и вообще как адекватная мера информбезопасности.