Polibase FAQ:16062 — различия между версиями

Материал из Cybernetic Systems
Перейти к: навигация, поиск
(Новая страница: «== Как работать с дисконтными картами? == '''ВОПРОС:''' Мы разработали скидочную (дисконтну…»)
 
Строка 1: Строка 1:
== Как работать с дисконтными картами? ==
+
== К вопросу о безопасности персональных данных в системе CS Polibase ==
  
  
 
'''ВОПРОС:'''  
 
'''ВОПРОС:'''  
  
Мы разработали скидочную (дисконтную) карту. Как ее использовать в программе CS Polibase? Карты у нас номинальные, то есть на разную сумму разная скидка, на каждой из них номер, номер будет присваиваться пациенту.
+
Добрый день, просим ответить на один важный вопрос:
 +
 
 +
В соответствии с федеральным законом №152-ФЗ “Об обработке персональных данных” в информационной системе Полибейз осуществляется обработка специальной категории персональных данных – данные о состоянии здоровья.
 +
 
 +
В рамках подзаконных актов к закону определены 3 перечня возможных угроз информационных систем обработки ПД:
 +
 
 +
- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
 +
- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
 +
- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
 +
 
 +
Если я все правильно помню на память, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ, были приказы этих органов по определению угроз информационных систем.
 +
 
 +
Вопрос в следующем, проводились ли Вами какие-либо мероприятия по определению таких угроз?
  
 
'''ОТВЕТ'''
 
'''ОТВЕТ'''
  
=== Общая схема работы с дисконтными картами ===
+
В сформулированных вопросах много неточностей и неполного понимания смысла федерального закона №152-ФЗ “Об обработке персональных данных”
 
+
Чтобы использовать дисконтные карты при расчете с пациентами, их нужно сначала зарегистрировать в системе CS Polibase (модуль Документы / Персональные документы), после чего их можно использовать при оформлении счета и регистрации платежной операции. В каждой дисконтной карте указывается коэффициент оплаты (КО) - скидка, которая соответствует данной карте, и этот коэффициент оплаты будет использоваться при расчете суммы оплаты в счете - протоколе, если при регистрации счета мы укажем дисконтную карту.
+
 
+
Дисконтные карты могут использоваться:
+
 
+
- Без накопительной системы скидок
+
 
+
- С накопительной системой скидок
+
 
+
'''Если дисконтные карты используются без накопительной системы скидок''', то КО в каждой карте устанавливается простым редактированием "вручную" в форме  дисконтной карты.
+
 
+
'''Если дисконтные карты используются с накопительной системой скидок''', то КО по карте рассчитывается автоматически в зависимости от полученного (накопленного на карте) дохода. Для этого нужно:
+
 
+
- Настроить шкалу накопительных скидок
+
 
+
- При регистрации платежной операции указывать в ней дисконтную карту для того, чтобы на карте накапливалась сумма дохода.
+
 
+
=== Как настроить работу с дисконтными картами ===
+
 
+
Перед началом работы с дисконтными картами необходимо:
+
 
+
• Открыть ''Документы / Персональные документы''
+
 
+
Зарегистрировать новый тип документов "Дисконтная карта" (наименование типа может быть любым - на ваше усмотрение).
+
 
+
• Открыть ''Настройки общие / Клиенты / Типы документов'' - установить тип "Дисконтная карта" по умолчанию - выбрать зарегистрированный ранее тип документов "Дисконтная карта".
+
 
+
'''Если будет использоваться накопительная система скидок, то:'''
+
 
+
• Открыть ''Справочники / Шаблонные формы'' - задать там шкалу накопительных скидок (в поставочной базе это параметр ''СЛУЖЕБНЫЕ / ШКАЛА НАКОПИТЕЛЬНЫХ СКИДОК''). Шкала накопительных скидок представляет собой таблицу, которая задает зависимости коэффициента оплаты от дохода клиента, например:
+
 
+
{| class="wikitable"
+
|-
+
!Доход|| КО || Комментарий
+
|-
+
|Доход от 0 до 5 000 руб.||1,00 ||(0%)
+
|-
+
|Доход от 5 000 до 10 000 руб.||0,95 ||(5%)
+
|-
+
|Доход от 10 000 до 15 000 руб.||0,90 ||(10%)
+
|-
+
|Доход выше 15 000 руб.||0,85 ||(15%)
+
|}
+
 
+
• Открыть ''Настройки общие / Счета и оплата / параметр "Шкала накопительных скидок"'' - задать шкалу накопительных скидок по умолчанию - выбрать шкалу, которую настраивали в предыдущем пункте (или другую, система CS Polibase позволяет хранить несколько шкал, используя одну из них, указанную в настройках)
+
 
+
=== Как зарегистрировать дисконтную карту ===
+
 
+
Дисконтные карты регистрируются и "выдаются" пациентам в модуле ''Документы / Персональные документы'' или в форме "Карта пациента / Общие сведения / Документы" с помощью стандартных операций "Добавить", "Изменить", "Удалить".
+
 
+
'''Чтобы зарегистрировать новую дисконтную карту:'''
+
 
+
• Откройте модуль ''Документы / Персональные документы'', выделите тип (группу) "ДИСКОНТНЫЕ КАРТЫ", перейдите в список "Персональные документы" или форму ''Карта пациента / Общие сведения / раздел Документы''
+
 
+
• Нажмите кнопку "Добавить" (зеленый "крестик")
+
 
+
• В открывшейся форме "Документ" заполните все необходимые поля:
+
 
+
- '''Тип документа''': ДИСКОНТНАЯ КАРТА
+
 
+
- '''Серия''', '''Номер''' - серия и номер дисконтной карты
+
 
+
- '''Штрих-код''' - введите штрих-код вручную или отсканируйте сканером штрих-кода. Чтобы ввести штрих-код со сканера, установите фокус (щелкните мышью) на поле "Штрих-код" и поднесите пластиковую карту со штрих-кодом к ручному сканеру. Штрих-код будет считан в поле формы. Обращаем внимание, что поле "Штрих-код" должно содержать только цифровое значение штрих-кода без символов начала и окончания сканирования (префикса и суффикса). Если при сканировании впереди или сзади значения штрих-кода вставляются префикс или суффикс (например, символ "звездочка" или "№"), то эти символы нужно удалить вручную. Для настройки сканера штрих-кодов см. также раздел: [[Polibase FAQ:12642|Как настроить и использовать сканер штрих-кодов?]]
+
 
+
- '''Кем выдан''' - выберите свою медицинскую организацию
+
 
+
- '''Кому выдан''' - выберите пациента, которому будет принадлежать дисконтная карта
+
 
+
- '''КО''' - коэффициент оплаты по этой дисконтной карте (например: 1,0 - оплата 100% без скидки; 0,97 - скидка 3%; 0,95 - скидка 5% и т.д.)
+
 
+
- Если вы хотите привязать к этой карте все предыдущие платежи пациента, то после выбора пациента нажмите кнопку ''Привязать все платежи клиента''. Все существующие платежи пациента будут прикреплены к данной дисконтной карте.
+
 
+
- Если вы хотите пересчитать общий доход по карте и коэффициент оплаты по заданной в настройках шкале накопительных скидок, то нажмите кнопку "Пересчитать общий доход по карте и КО". Будет рассчитана общая сумма дохода по всем платежным операциям по данной дисконтной карте и в поле "Общий доход" будет показан общий доход пациента по карте. Также будет рассчитан и показан КО по заданной накопительной шкале скидок.
+
 
+
- Сохраните введенные данные, нажав кнопку ''ОК''.
+
 
+
=== Как задать автоматический пересчет КО по накопительной шкале скидок ===
+
 
+
Если вы хотите, чтобы КО у пациента пересчитывался автоматически в зависимости от суммы дохода после регистрации каждой платежной операции, установите опцию в карте пациента:
+
 
+
''Карта пациента / Общие сведения / Параметры оплаты / Пересчитывать автоматически''
+
 
+
=== Как использовать дисконтные карты при регистрации счета - протокола ===
+
 
+
Указание дисконтной карты в счете-протоколе нужно для того, чтобы задать в счете коэффициент оплаты (скидку) из дисконтной карты.
+
 
+
- Откройте форму "Счет - протокол лечения"
+
 
+
- Включите режим чтения штрих-кода дисконтной карты ("галочка" рядом с полем "Дисконтная карта" - справа)
+
 
+
- Поднесите пластиковую карту со штрих-кодом к ручному сканеру
+
 
+
- Дисконтная карта будет распознана с помощью штрих-кода и привязана с счету. Коэффициент оплаты счета в поле ''КО'' будет установлен из дисконтной карты.
+
 
+
Для настройки сканера штрих-кодов см. также раздел: [[Polibase FAQ:12642|Как настроить и использовать сканер штрих-кодов?]]
+
 
+
'''Примечание.''' Обращаем внимание, что изменение КО в счете не влечет за собой автоматического перерасчета стоимости уже включенных в счет услуг. Обычно КО в счете устанавливается ПЕРЕД вводом услуг. Это позволяет регистрировать в одном счете услуги с разными коэффициентами оплаты (например, часть услуг может быть без скидки, а другая часть услуг - со скидкой).
+
 
+
=== Как использовать дисконтные карты при приеме оплаты ===
+
 
+
Привязка платежной операции к дисконтной карте нужна для того, чтобы накапливать общий доход по карте и рассчитывать коэффициент оплаты по накопительной системе скидок.
+
  
Если новая платежная операция регистрируется по счету с дисконтной картой, то в платежной операции дисконтная карта будет привязана к операции автоматически.
+
1) Давайте определимся сначала, что должно соответствовать требованиям 152-ФЗ?
  
Вы также можете связать с платежной операцией дисконтную карту с помощью сканера штрих-кодов или ввести штрих-код дисконтной карты в форме платежной операции вручную.
+
Сегодня мало кто разрабатывает собственную программную систему автоматизации. На рынке представлено достаточно много тиражируемых программных продуктов, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Заказчики часто спрашивают у производителей, удовлетворяет ли их программное обеспечение требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей (информационной системы персональных данных) ИСПДн требованиям закона. Однако следует понимать, что собственно программная информационная система, как тиражируемый программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».  
  
'''Чтобы привязать дисконтную карту к платежной операции:'''
+
Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.
  
• Откройте форму "Платежная операция"
+
(подготовлено на основе источника cnews.ru)
 +
 
 +
2) Вы пишете: “Если я все правильно помню на память, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ”.
 +
 
 +
Это неверное утверждение.
 +
 
 +
В пункте п. 7 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" явно указано:
 +
 
 +
п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
 +
 
 +
См. там же:
 +
 
 +
п.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
  
• Установите фокус (щелкните мышью) на поле "Дисконтная карта / штрих-код" и поднесите пластиковую карту со штрих-кодом к ручному сканеру.  
+
п.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
 +
 
 +
3) Декларация о защите информации от несанкционированного доступа в системе CS Polibase
  
Дисконтная карта будет распознана с помощью штрих-кода и привязана с платежной операции.  
+
В целях обеспечения соблюдения требований законодательства по защите персональных данных в программной системе "CS Polibase" реализованы механизм защиты данных от несанкционированного доступа на основе учетных записей пользователей и системы управлениями правами и ограничениями, а также механизм аудита действий пользователей и просмотра сведений о зарегистрированных событиях аудита.
 +
 
 +
Поскольку система CS Polibase использует СУБД Oracle, то система защита информации от несанкционированного доступа CS Polibase в значительной степени использует систему защиты от несанкционированного доступа СУБД Oracle. В частности, защита от копирования базы данных использует процедуру резервного копирования СУБД Oracle. В частности, установление индивидуального пароля СУБД Oracle для пользователя базы данных CS Polibase является целиком и полностью ответственностью оператора (пользователя) системы CS Polibase.
 +
 
 +
Мы, как разработчики, декларируем, что программная система "CS Polibase" является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Процедура сертификации, подтверждающая эту декларацию, нами не проводилась.
 +
 
 +
4) Некоторые дополнительные юридические разъяснения (материал взят из интернета), которые, надеемся, будут Вам полезны:
 +
 
 +
Начало цитаты
 +
 
 +
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).
 +
 
 +
Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
 +
 
 +
Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.
 +
 
 +
Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.
  
Если в карте пациента установлена опция ''Карта пациента / Общие сведения / Параметры оплаты / Пересчитывать автоматически'', то после регистрации новой платежной операции, связанной с дисконтной картой, общий доход, коэффициент оплаты по дисконтной карте и коэффициент оплаты, установленный по умолчанию в карте пациента, будут пересчитаны автоматически. При создании нового счета для этого пациента в счете будет автоматически установлен КО из его карты.
+
Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение.
 +
 
 +
Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.
 +
...
 +
Для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите перс. данных.
 +
...
 +
Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.
 +
 
 +
Конец цитаты

Версия 15:09, 4 июня 2016

К вопросу о безопасности персональных данных в системе CS Polibase

ВОПРОС:

Добрый день, просим ответить на один важный вопрос:   В соответствии с федеральным законом №152-ФЗ “Об обработке персональных данных” в информационной системе Полибейз осуществляется обработка специальной категории персональных данных – данные о состоянии здоровья.   В рамках подзаконных актов к закону определены 3 перечня возможных угроз информационных систем обработки ПД:

- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе. - Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе. - Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.   Если я все правильно помню на память, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ, были приказы этих органов по определению угроз информационных систем.   Вопрос в следующем, проводились ли Вами какие-либо мероприятия по определению таких угроз?

ОТВЕТ

В сформулированных вопросах много неточностей и неполного понимания смысла федерального закона №152-ФЗ “Об обработке персональных данных”

1) Давайте определимся сначала, что должно соответствовать требованиям 152-ФЗ?

Сегодня мало кто разрабатывает собственную программную систему автоматизации. На рынке представлено достаточно много тиражируемых программных продуктов, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Заказчики часто спрашивают у производителей, удовлетворяет ли их программное обеспечение требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей (информационной системы персональных данных) ИСПДн требованиям закона. Однако следует понимать, что собственно программная информационная система, как тиражируемый программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».

Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств». Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных. И никакой документ о соответствии программного продукта СЭД каким-либо требованиям не решит этой проблемы.

(подготовлено на основе источника cnews.ru)   2) Вы пишете: “Если я все правильно помню на память, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ”.   Это неверное утверждение.   В пункте п. 7 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" явно указано:   п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".   См. там же:   п.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

п.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".   3) Декларация о защите информации от несанкционированного доступа в системе CS Polibase

В целях обеспечения соблюдения требований законодательства по защите персональных данных в программной системе "CS Polibase" реализованы механизм защиты данных от несанкционированного доступа на основе учетных записей пользователей и системы управлениями правами и ограничениями, а также механизм аудита действий пользователей и просмотра сведений о зарегистрированных событиях аудита.   Поскольку система CS Polibase использует СУБД Oracle, то система защита информации от несанкционированного доступа CS Polibase в значительной степени использует систему защиты от несанкционированного доступа СУБД Oracle. В частности, защита от копирования базы данных использует процедуру резервного копирования СУБД Oracle. В частности, установление индивидуального пароля СУБД Oracle для пользователя базы данных CS Polibase является целиком и полностью ответственностью оператора (пользователя) системы CS Polibase.   Мы, как разработчики, декларируем, что программная система "CS Polibase" является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Процедура сертификации, подтверждающая эту декларацию, нами не проводилась.   4) Некоторые дополнительные юридические разъяснения (материал взят из интернета), которые, надеемся, будут Вам полезны:   Начало цитаты   Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).   Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".   Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.   Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.

Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение.   Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России. ... Для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите перс. данных. ... Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.   Конец цитаты

Источник — «https://www.polibase.ru/wiki/index.php5?title=Polibase_FAQ:16062&oldid=1144»