Нужно ли хранить персональные данные на сервере с паролем?

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Да, хранение персональных данных на сервере без пароля является нарушением требований ФЗ-152. Использование паролей — это базовая мера защиты, направленная на предотвращение несанкционированного доступа к информации. Сервер, содержащий ПДн, обязан быть защищён средствами аутентификации и другими техническими мерами, закреплёнными в локальных актах организации.

Почему пароль обязателен:

• обеспечивает разграничение доступа к данным;
• фиксирует действия пользователей (через учётные записи);
• минимизирует риск утечки данных в случае подключения к сети;
• является минимальным уровнем защиты, на котором настаивают Роскомнадзор и ФСТЭК.

Какие дополнительные меры требуются:

• настройка антивирусной и антиспам-защиты;
• шифрование при передаче и хранении (по уровню угроз, определённых категорированием ПДн);
• регулярная смена паролей и запрет на использование общих учётных записей;
• резервное копирование данных с контролем доступа.

Обоснование по законодательству

• Ст. 19 ФЗ-152 — оператор обязан принимать необходимые меры для защиты ПДн от неправомерного доступа.
• Приказ ФСТЭК России № 21 — предусматривает организацию разграничения доступа и обязательное использование аутентификации (пароли, ключи).
• Методические рекомендации Роскомнадзора — серверы с ПДн должны иметь защищённые каналы доступа и использовать средства идентификации пользователей.

Практика и позиция Роскомнадзора

Роскомнадзор в ходе проверок отмечает отсутствие паролей или использование общих «универсальных» паролей как нарушение режима защиты ПДн.

Пример: в одной организации сотрудники пользовались единой учётной записью «admin» без пароля для доступа к базе с ПДн. Проверка зафиксировала нарушение, так как невозможно было ограничить круг лиц, имевших доступ, и вести учёт действий.

В другом случае база сотрудников хранилась на сервере, доступ к которому был открыт внутри локальной сети без пароля. Роскомнадзор обязал немедленно внедрить систему разграничения доступа и назначить ответственного за администрирование.

Важный момент для организаций

Пароль сам по себе не гарантирует безопасности, но его отсутствие трактуется как грубое нарушение. Организации необходимо сочетать парольную защиту с другими средствами безопасности: политикой паролей, антивирусами, шифрованием, журналированием действий.

Рекомендации и выводы

Да, хранить ПДн на сервере нужно только с паролем и другими средствами защиты. Чтобы соответствовать закону:

1. Настройте систему учётных записей и паролей для всех сотрудников.
2. Обеспечьте регулярную смену паролей и контроль их сложности.
3. Используйте разграничение прав доступа — только для тех, кому данные реально нужны.
4. Зафиксируйте правила защиты в комплекте документов по ФЗ-152.
5. Проведите инструктаж сотрудников по работе с ПДн.

Компания ICTech поможет вашей организации выстроить систему хранения ПДн, а также подготовить необходимые документы с соблюдением всех требований ФЗ-152.

Хотите защитить себя от проверок и штрафов?

Подготовим документы по 152-ФЗ

Разработаем полный пакет документации по обработке персональных данных для вашей организации.

Заказать

О услуге