Теперь Кью работает в режиме чтения

Мы сохранили весь контент, но добавить что-то новое уже нельзя

Как правильно хранить базу данных клиентов компании, чтобы было безопасно?

ЮриспруденцияПраво+3
Михаил Быков - юрист-практик  ·   · 4,2 K
IT-юристы Шевцов.ру
Разработка документов для IT-проектов, в т.ч. по...  · 23 окт 2021  · shewzov.ru
Отвечает
Михаил Шевцов
Технически не существует ни одного стопроцентно безопасного способа хранения базы данных.
Даже если хранить ее на компьютере, не подключенном к сети, то всегда будет человеческий фактор (жажда заработать на слитой базе, еще и эксклюзивной, ведь ее 100% нет в сети).
Однако базы данных как правило хранятся все же на компьютерах, подключенных к сети, как минимум локальной корпоративной, а как максимум к сети Интернет.
В таком случае к базам с персональными данными будет применяться Закон № 152-ФЗ.
По Закону № 152-ФЗ установлено, что обеспечение безопасности персональных данных (в том числе хранимых в соответствующих базах данных) достигается, в частности:
  1. определением угроз безопасности персональных данных при их обработке в информационных системах персональных данных;
  2. применением организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных, необходимых для выполнения требований к защите персональных данных, исполнение которых обеспечивает установленные Правительством Российской Федерации уровни защищенности персональных данных;
  3. применением прошедших в установленном порядке процедуру оценки соответствия средств защиты информации;
  4. оценкой эффективности принимаемых мер по обеспечению безопасности персональных данных до ввода в эксплуатацию информационной системы персональных данных;
  5. учетом машинных носителей персональных данных;
  6. обнаружением фактов несанкционированного доступа к персональным данным и принятием мер, в том числе мер по обнаружению, предупреждению и ликвидации последствий компьютерных атак на информационные системы персональных данных и по реагированию на компьютерные инциденты в них;
  7. восстановлением персональных данных, модифицированных или уничтоженных вследствие несанкционированного доступа к ним;
  8. установлением правил доступа к персональным данным, обрабатываемым в информационной системе персональных данных, а также обеспечением регистрации и учета всех действий, совершаемых с персональными данными в информационной системе персональных данных;
  9. контролем за принимаемыми мерами по обеспечению безопасности персональных данных и уровня защищенности информационных систем персональных данных.
Также Правительство Российской Федерации с учетом возможного вреда субъекту персональных данных, объема и содержания обрабатываемых персональных данных, вида деятельности, при осуществлении которого обрабатываются персональные данные, актуальности угроз безопасности персональных данных устанавливает:
  1. уровни защищенности персональных данных при их обработке в информационных системах персональных данных в зависимости от угроз безопасности этих данных;
  2. требования к защите персональных данных при их обработке в информационных системах персональных данных, исполнение которых обеспечивает установленные уровни защищенности персональных данных;
  3. требования к материальным носителям биометрических персональных данных и технологиям хранения таких данных вне информационных систем персональных данных.
По вопросам защищенности персональных данных рекомендую ознакомиться со следующими документами, в которых довольно подробно расписаны требования к каждому из уровней защищенности информационных систем, обрабатывающих персональные данные:
  • Постановление Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных";
  • Приказ ФСТЭК России от 18.02.2013 N 21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных";
  • Приказ ФСБ России от 10.07.2014 N 378 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных с использованием средств криптографической защиты информации, необходимых для выполнения установленных Правительством Российской Федерации требований к защите персональных данных для каждого из уровней защищенности".
Юристы по IP и IT-сферамПерейти на shewzov.ru​
Александр Ивлев
Специалист по обучению  · 23 окт 2021  · ivlev.ru
В безопасности есть понятие «бегом от медведя» - не стоит бежать намного быстрее, чем самый медленный убегающий. Не стоит тратить на безопасность больше денег и усилий, чем такая же компания, которую взломали в прошлом году... Читать далее
Слушайте меня ежедневно в подкасте «Доброй ночи, Вьетнам!» Перейти на t.me/GoodNightVietnam
Александр Третьяков
Человек который увлекается когнитивной психологией...  · 12 сент 2021
Если Ваша компания не располагает своим дата центром, то только путем распределения ответственности. Облачный сервис, который может дать Вам гарантии и обязательства оформленные в договорной форме по сохранности Ваших данных, и... Читать далее
алексей петрачков
13 сент 2021
Методы социальной инженерии никто не отменял ...Вы что всерьез верите что методы сработают. Не вводите читателей в... Читать дальше
Ольга Ефимова
Финансовый консультант-методист(Санкт-Петербург):...  · 12 сент 2021  ·
id
Если мы говорим о хранении - то я бы держала ее на компьютере, не подключенном к сети. Конечно, под паролем, но это не строгая защита-если украдут железо- вскроют. Вообще же, "живая" база фигурирует в бухгалтерских программах... Читать далее
Нахождение цели. Методы накопления для вас - здесь и сейчас. Консультация Перейти на t.me/FinPsyOK113
Sergei Grey
16 сент 2021
безопасно хранить может только человек, который в этом разбирается. остальное- демагогия. ну допустим фтп сервер... Читать дальше