Как правильно хранить базу данных клиентов компании, чтобы было безопасно?
ЮриспруденцияПраво+3
Михаил Быков - юрист-практикАнтиСпам
· 4,4 K
Разработка документов для IT-проектов, в т.ч. по 152-ФЗ, GDPR, DPA и CCPA, регистрация... · 23 окт 2021 · shewzov.ru
ОтвечаетМихаил Шевцов
Технически не существует ни одного стопроцентно безопасного способа хранения базы данных.
Даже если хранить ее на компьютере, не подключенном к сети, то всегда будет человеческий фактор (жажда заработать на слитой базе, еще и эксклюзивной, ведь ее 100% нет в сети).
Однако базы данных как правило хранятся все же на компьютерах, подключенных к сети, как минимум локальной корпоративной, а как максимум к сети Интернет.
В таком случае к базам с персональными данными будет применяться Закон № 152-ФЗ.
По Закону № 152-ФЗ установлено, что обеспечение безопасности персональных данных (в том числе хранимых в соответствующих базах данных) достигается, в частности:
- определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
- применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
- применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
- оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
- учетом машинных носителей персональных данных;
- обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
- восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
- установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
- контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Также Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
- уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
- требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
- требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
По вопросам защищенности персональных данных рекомендую ознакомиться со следующими документами, в которых довольно подробно расписаны требования к каждому из уровней защищенности информационных систем, обрабатывающих персональные данные:
- Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
- Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
В безопасности есть понятие «бегом от медведя» - не стоит бежать намного быстрее, чем самый медленный убегающий. Не стоит тратить на безопасность больше денег и усилий, чем такая же компания, которую взломали в прошлом году. Изучайте инциденты в своей области и весовой категории и тратте чуть больше. Однозначного ответа не даст ни один профессионал . Если, конечно он профессионал.
Человек который увлекается когнитивной психологией, в попытках понять себя и окружающий... · 12 сент 2021
Если Ваша компания не располагает своим дата центром, то только путем распределения ответственности.
Облачный сервис, который может дать Вам гарантии и обязательства оформленные в договорной форме по сохранности Ваших данных, и если есть возможность, страховка, покрывающая убытки от утечки данных.
Методы социально инженерии ни кто не отменял, так же как ни кто не... Читать далее
Методы социальной инженерии никто не отменял ...Вы что всерьез верите что методы сработают. Не вводите читателей в... Читать дальше
Финансовый консультант-методист(Санкт-Петербург): моя идея -"давать УДОЧКУ, а не РЫБУ."- h... · 12 сент 2021 ·
id
Если мы говорим о хранении - то я бы держала ее на компьютере, не подключенном к сети. Конечно, под паролем, но это не строгая защита-если украдут железо- вскроют. Вообще же, "живая" база фигурирует в бухгалтерских программах. Я еще использую пароли на открытие файлов но в век высоких технологий ничего абсолютно безопасного нет.
Нахождение цели. Методы накопления для вас - здесь и сейчас. Консультация 
Перейти на t.me/FinPsyOK113
безопасно хранить может только человек, который в этом разбирается. остальное- демагогия.
ну допустим фтп сервер... Читать дальше