Какие требования к серверам, на которых предполагается работа с персональными данными?

Вопрос по теме: Выбор оборудования

Основной документ, регламентирующий обращение с персональными данными – ФЗ №152 от 27.07.2006 «О персональных данных». В действующей редакции (на 05.10.2021) ФЗ №152 не содержит каких-либо требований к станционному оборудованию (серверам, сетевым хранилищам и УРМ), на которых осуществляется обработка и хранение персональных данных. Таким образом, в качестве платформы для работы специального программного обеспечения для работы с персональными данными может выступать любой сервер.

В то же время, указанный ФЗ и Постановление Правительства РФ от 01.11.2012 №1119 возлагают обязанности по определению угроз, разработке и реализации мер защиты персональных данных непосредственно на оператора, организующего и (или) осуществляющего обработку персональных данных. Это означает, что сам заказчик, либо лицо им уполномоченное, обязаны определить угрозы и обеспечить защиту персональных данных. И, в том числе, самостоятельно определить какие-либо дополнительные и специальные требования к станционному оборудованию и уровню защищенности сервера.

Обратить внимание

Даже если заказчик системы, использующей персональные данные (например, в системе управления доступом) не работает с ПО самостоятельно, но при этом тем или иным образом предполагает использование в СКУД персональных данных, то (согласно ч.2 ст.3 Закона о персональных данных) он при этом является оператором, несущим упомянутые выше обязанности.

При определении угроз и мер защиты следует иметь в виду:

  1. Определение типа угроз и уровня защищенности должно быть произведено согласно положениям ПП РФ №1119 от 01.11.2012;

  2. Состав и содержание принимаемых мер относительно уровня защищенности должны соответствовать Приказу ФСТЭК №21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных» от 18.02.2013 (с изменениями от 14.05.2020).

Примеры требований и способов реализации мер защиты персональных данных:

- требование антивирусной защиты (установлено п.8 ч.II Приказа ФСТЭК) может быть обеспечено установкой антивирусного ПО;

- требование обеспечения целостности информационной системы и персональных данных (установлено там же) может быть обеспечено использованием в составе СКУД защищенной СУБД;

- требование защиты машинных носителей (установлено п. 8.4  ч.2 Приказа ФСТЭК) может быть обеспечено путем установки дополнительного ПО, выполняющего шифрование хранимых на носителях (HDD, SSD) данных;

- и другие.

Специалисты Видеомакс консультируют по вопросам реализации требований защиты персональных данных, относящимся к серверам, сетевым хранилищам и УРМ. Обращайтесь с запросами по телефону 8 800 302-55-46 либо направляйте запрос на e-mail: info@videomax.ru.

Другие вопросы по теме «Выбор оборудования»

к списку всех вопросов
Задать вопрос
Нажимая на кнопку, вы даете согласие на обработку персональных данных. Пользовательское соглашение
Мы собираем статистику о посещениях сайта, cookie, данные об IP-адресе и местоположении. Если Вы не хотите, чтобы эти данные обрабатывались нами, Вы должны покинуть сайт.