Polibase FAQ:16062 — различия между версиями

Материал из Cybernetic Systems
Перейти к: навигация, поиск
(Новая страница: «== Как работать с дисконтными картами? == '''ВОПРОС:''' Мы разработали скидочную (дисконтну…»)
 
(Что должно соответствовать требованиям 152-ФЗ)
 
(не показано 47 промежуточных версий этого же участника)
Строка 1: Строка 1:
== Как работать с дисконтными картами? ==
+
= К вопросу о безопасности персональных данных и о федеральном законе №152-ФЗ “Об обработке персональных данных” =
  
  
 
'''ВОПРОС:'''  
 
'''ВОПРОС:'''  
  
Мы разработали скидочную (дисконтную) карту. Как ее использовать в программе CS Polibase? Карты у нас номинальные, то есть на разную сумму разная скидка, на каждой из них номер, номер будет присваиваться пациенту.
+
Добрый день, просим ответить на один важный вопрос:
  
'''ОТВЕТ'''
+
В соответствии с Федеральным законом №152-ФЗ “Об обработке персональных данных” в информационной системе CS Polibase осуществляется обработка специальной категории персональных данных – данных о состоянии здоровья.
  
=== Общая схема работы с дисконтными картами ===
+
В рамках подзаконных актов к закону определены 3 перечня возможных угроз информационных систем обработки ПД:
  
Чтобы использовать дисконтные карты при расчете с пациентами, их нужно сначала зарегистрировать в системе CS Polibase (модуль Документы / Персональные документы), после чего их можно использовать при оформлении счета и регистрации платежной операции. В каждой дисконтной карте указывается коэффициент оплаты (КО) - скидка, которая соответствует данной карте, и этот коэффициент оплаты будет использоваться при расчете суммы оплаты в счете - протоколе, если при регистрации счета мы укажем дисконтную карту.  
+
- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.
  
Дисконтные карты могут использоваться:
+
- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.
  
- Без накопительной системы скидок
+
- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.
  
- С накопительной системой скидок
+
Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ, были приказы этих органов по определению угроз информационных систем.
  
'''Если дисконтные карты используются без накопительной системы скидок''', то КО в каждой карте устанавливается простым редактированием "вручную" в форме  дисконтной карты.
+
Вопрос в следующем: проводились ли Вами какие-либо мероприятия по определению таких угроз и есть ли какие-либо на это документы?
  
'''Если дисконтные карты используются с накопительной системой скидок''', то КО по карте рассчитывается автоматически в зависимости от полученного (накопленного на карте) дохода. Для этого нужно:
+
'''ОТВЕТ'''
 
+
- Настроить шкалу накопительных скидок
+
 
+
- При регистрации платежной операции указывать в ней дисконтную карту для того, чтобы на карте накапливалась сумма дохода.
+
 
+
=== Как настроить работу с дисконтными картами ===
+
 
+
Перед началом работы с дисконтными картами необходимо:
+
 
+
• Открыть ''Документы / Персональные документы''
+
 
+
Зарегистрировать новый тип документов "Дисконтная карта" (наименование типа может быть любым - на ваше усмотрение).
+
 
+
• Открыть ''Настройки общие / Клиенты / Типы документов'' - установить тип "Дисконтная карта" по умолчанию - выбрать зарегистрированный ранее тип документов "Дисконтная карта".
+
 
+
'''Если будет использоваться накопительная система скидок, то:'''
+
 
+
• Открыть ''Справочники / Шаблонные формы'' - задать там шкалу накопительных скидок (в поставочной базе это параметр ''СЛУЖЕБНЫЕ / ШКАЛА НАКОПИТЕЛЬНЫХ СКИДОК''). Шкала накопительных скидок представляет собой таблицу, которая задает зависимости коэффициента оплаты от дохода клиента, например:
+
 
+
{| class="wikitable"
+
|-
+
!Доход|| КО || Комментарий
+
|-
+
|Доход от 0 до 5 000 руб.||1,00 ||(0%)
+
|-
+
|Доход от 5 000 до 10 000 руб.||0,95 ||(5%)
+
|-
+
|Доход от 10 000 до 15 000 руб.||0,90 ||(10%)
+
|-
+
|Доход выше 15 000 руб.||0,85 ||(15%)
+
|}
+
 
+
• Открыть ''Настройки общие / Счета и оплата / параметр "Шкала накопительных скидок"'' - задать шкалу накопительных скидок по умолчанию - выбрать шкалу, которую настраивали в предыдущем пункте (или другую, система CS Polibase позволяет хранить несколько шкал, используя одну из них, указанную в настройках)
+
 
+
=== Как зарегистрировать дисконтную карту ===
+
 
+
Дисконтные карты регистрируются и "выдаются" пациентам в модуле ''Документы / Персональные документы'' или в форме "Карта пациента / Общие сведения / Документы" с помощью стандартных операций "Добавить", "Изменить", "Удалить".
+
  
'''Чтобы зарегистрировать новую дисконтную карту:'''
+
К сожалению, в этом вопросе много неточностей и он демонстрирует типичное недопонимание смысла федерального закона №152-ФЗ “Об обработке персональных данных”. Именно поэтому постараемся на него ответить.
  
• Откройте модуль ''Документы / Персональные документы'', выделите тип (группу) "ДИСКОНТНЫЕ КАРТЫ", перейдите в список "Персональные документы" или форму ''Карта пациента / Общие сведения / раздел Документы''
+
=== Что должно соответствовать требованиям 152-ФЗ ===
  
• Нажмите кнопку "Добавить" (зеленый "крестик")
+
Давайте определимся сначала, ЧТО должно соответствовать требованиям 152-ФЗ?
  
• В открывшейся форме "Документ" заполните все необходимые поля:
+
Сегодня мало кто разрабатывает собственную программную систему автоматизации. На рынке представлено достаточно много тиражируемых программных продуктов, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Заказчики часто спрашивают у производителей, удовлетворяет ли их программное обеспечение требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей <u>''информационной системы персональных данных (ИСПДн)''</u> требованиям закона. Однако следует понимать, что <u>собственно программная информационная система, как тиражируемый программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».</u>
  
- '''Тип документа''': ДИСКОНТНАЯ КАРТА
+
Обратимся опять к определениям, данным в законе: <u>«Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».</u>
  
- '''Серия''', '''Номер''' - серия и номер дисконтной карты
+
<u>Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе.</u> Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. <u>Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных.</u>
  
- '''Штрих-код''' - введите штрих-код вручную или отсканируйте сканером штрих-кода. Чтобы ввести штрих-код со сканера, установите фокус (щелкните мышью) на поле "Штрих-код" и поднесите пластиковую карту со штрих-кодом к ручному сканеру. Штрих-код будет считан в поле формы. Обращаем внимание, что поле "Штрих-код" должно содержать только цифровое значение штрих-кода без символов начала и окончания сканирования (префикса и суффикса). Если при сканировании впереди или сзади значения штрих-кода вставляются префикс или суффикс (например, символ "звездочка" или "№"), то эти символы нужно удалить вручную. Для настройки сканера штрих-кодов см. также раздел: [[Polibase FAQ:12642|Как настроить и использовать сканер штрих-кодов?]]
+
<u>И никакой документ о соответствии программного продукта каким-либо требованиям не решит этой проблемы.</u>
  
- '''Кем выдан''' - выберите свою медицинскую организацию
+
(ответ п.1.1 подготовлен на основе источника cnews.ru)
  
- '''Кому выдан''' - выберите пациента, которому будет принадлежать дисконтная карта
+
=== Кто определяет тип угроз информационной безопасности? ===
  
- '''КО''' - коэффициент оплаты по этой дисконтной карте (например: 1,0 - оплата 100% без скидки; 0,97 - скидка 3%; 0,95 - скидка 5% и т.д.)
+
Вы пишете: “Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ”.
  
- Если вы хотите привязать к этой карте все предыдущие платежи пациента, то после выбора пациента нажмите кнопку ''Привязать все платежи клиента''. Все существующие платежи пациента будут прикреплены к данной дисконтной карте.
+
Это неверное утверждение.
  
- Если вы хотите пересчитать общий доход по карте и коэффициент оплаты по заданной в настройках шкале накопительных скидок, то нажмите кнопку "Пересчитать общий доход по карте и КО". Будет рассчитана общая сумма дохода по всем платежным операциям по данной дисконтной карте и в поле "Общий доход" будет показан общий доход пациента по карте. Также будет рассчитан и показан КО по заданной накопительной шкале скидок.
+
В пункте п. 7 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" явно указано:
  
- Сохраните введенные данные, нажав кнопку ''ОК''.
+
п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, <u>производится оператором</u> с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".
  
=== Как задать автоматический пересчет КО по накопительной шкале скидок ===
+
См. там же:
  
Если вы хотите, чтобы КО у пациента пересчитывался автоматически в зависимости от суммы дохода после регистрации каждой платежной операции, установите опцию в карте пациента:
+
п.3. Безопасность персональных данных при их обработке в информационной системе <u>обеспечивает оператор</u> этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.
  
''Карта пациента / Общие сведения / Параметры оплаты / Пересчитывать автоматически''
+
п.4. Выбор средств защиты информации для системы защиты персональных данных <u>осуществляется оператором</u> в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".
  
=== Как использовать дисконтные карты при регистрации счета - протокола ===
+
=== Некоторые дополнительные юридические разъяснения ===
  
Указание дисконтной карты в счете-протоколе нужно для того, чтобы задать в счете коэффициент оплаты (скидку) из дисконтной карты.
+
Некоторые дополнительные юридические разъяснения, которые, надеемся, будут Вам полезны:
  
- Откройте форму "Счет - протокол лечения"
+
(ответ п.1.3) подготовлен на основе информационного письма фирмы "", опубликованном на сайте http://1c.ru/szi.)
  
- Включите режим чтения штрих-кода дисконтной карты ("галочка" рядом с полем "Дисконтная карта" - справа)
+
''Начало цитаты''
  
- Поднесите пластиковую карту со штрих-кодом к ручному сканеру
+
Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, <u>определяется оператором</u> (уполномоченным лицом).
  
- Дисконтная карта будет распознана с помощью штрих-кода и привязана с счету. Коэффициент оплаты счета в поле ''КО'' будет установлен из дисконтной карты.
+
Следует обратить внимание, что <u>рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО</u>, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ИСПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.
  
Для настройки сканера штрих-кодов см. также раздел: [[Polibase FAQ:12642|Как настроить и использовать сканер штрих-кодов?]]
+
Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.
  
'''Примечание.''' Обращаем внимание, что изменение КО в счете не влечет за собой автоматического перерасчета стоимости уже включенных в счет услуг. Обычно КО в счете устанавливается ПЕРЕД вводом услуг. Это позволяет регистрировать в одном счете услуги с разными коэффициентами оплаты (например, часть услуг может быть без скидки, а другая часть услуг - со скидкой).
+
Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение.
  
=== Как использовать дисконтные карты при приеме оплаты ===
+
Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.
  
Привязка платежной операции к дисконтной карте нужна для того, чтобы накапливать общий доход по карте и рассчитывать коэффициент оплаты по накопительной системе скидок.
+
Таким образом, для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите персональных данных.
  
Если новая платежная операция регистрируется по счету с дисконтной картой, то в платежной операции дисконтная карта будет привязана к операции автоматически.
+
Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности <u>остается открытым</u>.
  
Вы также можете связать с платежной операцией дисконтную карту с помощью сканера штрих-кодов или ввести штрих-код дисконтной карты в форме платежной операции вручную.
+
''Конец цитаты''
  
'''Чтобы привязать дисконтную карту к платежной операции:'''
+
=== Декларация о защите информации от несанкционированного доступа в системе CS Polibase ===
  
• Откройте форму "Платежная операция"
+
В целях обеспечения соблюдения требований законодательства по защите персональных данных в программной системе "CS Polibase" реализован механизм защиты данных от несанкционированного доступа на основе учетных записей пользователей и системы управлениями правами и ограничениями, а также механизм аудита действий пользователей и просмотра сведений о зарегистрированных событиях аудита.
  
• Установите фокус (щелкните мышью) на поле "Дисконтная карта / штрих-код" и поднесите пластиковую карту со штрих-кодом к ручному сканеру.  
+
Кроме этого, поскольку система CS Polibase использует СУБД Oracle, то система защиты информации от несанкционированного доступа CS Polibase в значительной степени использует систему защиты от несанкционированного доступа СУБД Oracle. В частности, процедуры резервного копирования базы данных и ее восстановления используют стандартные процедуры резервного копирования и восстановления СУБД Oracle. Установление индивидуальных паролей СУБД Oracle для системного пользователя и пользователя базы данных CS Polibase, которые защищают базу данных CS Polibase от несанкционированных копирования и восстановления, является целиком и полностью ответственностью оператора (пользователя) системы CS Polibase.
  
Дисконтная карта будет распознана с помощью штрих-кода и привязана с платежной операции.  
+
Мы, как разработчики, декларируем, что программная система "CS Polibase" является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Процедура сертификации, подтверждающая эту декларацию, нами не проводилась в силу достаточной очевидности приведенного утверждения.
  
Если в карте пациента установлена опция ''Карта пациента / Общие сведения / Параметры оплаты / Пересчитывать автоматически'', то после регистрации новой платежной операции, связанной с дисконтной картой, общий доход, коэффициент оплаты по дисконтной карте и коэффициент оплаты, установленный по умолчанию в карте пациента, будут пересчитаны автоматически. При создании нового счета для этого пациента в счете будет автоматически установлен КО из его карты.
+
[[Заглавная страница|Вернуться на заглавную страницу]]

Текущая версия на 11:47, 18 апреля 2019

1 К вопросу о безопасности персональных данных и о федеральном законе №152-ФЗ “Об обработке персональных данных”

ВОПРОС:

Добрый день, просим ответить на один важный вопрос:

В соответствии с Федеральным законом №152-ФЗ “Об обработке персональных данных” в информационной системе CS Polibase осуществляется обработка специальной категории персональных данных – данных о состоянии здоровья.

В рамках подзаконных актов к закону определены 3 перечня возможных угроз информационных систем обработки ПД:

- Угрозы 1-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в системном программном обеспечении, используемом в информационной системе.

- Угрозы 2-го типа актуальны для информационной системы, если для нее в том числе актуальны угрозы, связанные с наличием недокументированных (недекларированных) возможностей в прикладном программном обеспечении, используемом в информационной системе.

- Угрозы 3-го типа актуальны для информационной системы, если для нее актуальны угрозы, не связанные с наличием недокументированных (недекларированных) возможностей в системном и прикладном программном обеспечении, используемом в информационной системе.

Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ, были приказы этих органов по определению угроз информационных систем.

Вопрос в следующем: проводились ли Вами какие-либо мероприятия по определению таких угроз и есть ли какие-либо на это документы?

ОТВЕТ

К сожалению, в этом вопросе много неточностей и он демонстрирует типичное недопонимание смысла федерального закона №152-ФЗ “Об обработке персональных данных”. Именно поэтому постараемся на него ответить.

1.1 Что должно соответствовать требованиям 152-ФЗ

Давайте определимся сначала, ЧТО должно соответствовать требованиям 152-ФЗ?

Сегодня мало кто разрабатывает собственную программную систему автоматизации. На рынке представлено достаточно много тиражируемых программных продуктов, производимых независимыми разработчиками, и заказчики выбирают продукт, наиболее удовлетворяющий требованиям предприятия. Заказчики часто спрашивают у производителей, удовлетворяет ли их программное обеспечение требованиям закона о персональных данных, рассчитывая таким образом решить проблему соответствия своей информационной системы персональных данных (ИСПДн) требованиям закона. Однако следует понимать, что собственно программная информационная система, как тиражируемый программный продукт, не является той ИСПДн, о которой идет речь в законе «О персональных данных».

Обратимся опять к определениям, данным в законе: «Информационная система персональных данных — информационная система, представляющая собой совокупность персональных данных, содержащихся в базе данных, а также информационных технологий и технических средств, позволяющих осуществлять обработку таких персональных данных с использованием средств автоматизации или без использования таких средств».

Таким образом, ИСПДн заказчика — это нечто гораздо большее, чем программный продукт, используемый в ее составе. Если говорить в терминах ГОСТ по информационным технологиям, то ИСПДн — это автоматизированная система, а программный продукт — это часть комплекса технических средств, средство вычислительной техники. Закон требует приведения в соответствие требованиям именно ИСПДн заказчика, как оператора персональных данных.

И никакой документ о соответствии программного продукта каким-либо требованиям не решит этой проблемы.

(ответ п.1.1 подготовлен на основе источника cnews.ru)

1.2 Кто определяет тип угроз информационной безопасности?

Вы пишете: “Если я все правильно помню, то эти угрозы могут определить только разработчики информационных систем исходя из требований ФСТЭК, ФСБ и ФАПСИ”.

Это неверное утверждение.

В пункте п. 7 Постановления Правительства РФ от 01.11.2012 N 1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" явно указано:

п.7. Определение типа угроз безопасности персональных данных, актуальных для информационной системы, производится оператором с учетом оценки возможного вреда, проведенной во исполнение пункта 5 части 1 статьи 18.1 Федерального закона "О персональных данных", и в соответствии с нормативными правовыми актами, принятыми во исполнение части 5 статьи 19 Федерального закона "О персональных данных".

См. там же:

п.3. Безопасность персональных данных при их обработке в информационной системе обеспечивает оператор этой системы, который обрабатывает персональные данные (далее - оператор), или лицо, осуществляющее обработку персональных данных по поручению оператора на основании заключаемого с этим лицом договора (далее - уполномоченное лицо). Договор между оператором и уполномоченным лицом должен предусматривать обязанность уполномоченного лица обеспечить безопасность персональных данных при их обработке в информационной системе.

п.4. Выбор средств защиты информации для системы защиты персональных данных осуществляется оператором в соответствии с нормативными правовыми актами, принятыми Федеральной службой безопасности Российской Федерации и Федеральной службой по техническому и экспортному контролю во исполнение части 4 статьи 19 Федерального закона "О персональных данных".

1.3 Некоторые дополнительные юридические разъяснения

Некоторые дополнительные юридические разъяснения, которые, надеемся, будут Вам полезны:

(ответ п.1.3) подготовлен на основе информационного письма фирмы "1С", опубликованном на сайте http://1c.ru/szi.)

Начало цитаты

Необходимость проведения контроля отсутствия недекларированных возможностей программного обеспечения средств защиты информации, применяемых в информационных системах 2 и 3 классов, определяется оператором (уполномоченным лицом).

Следует обратить внимание, что рассматриваемым приказом ФСТЭК России не определено лицо, обязанное проводить сертификацию ПО, т. е. провести сертификацию может как разработчик ПО, так и непосредственно оператор ИСПДн. То есть в случаях применения программного обеспечения, в отношении которого разработчиком не проведен контроль отсутствия недекларированных возможностей, оператором ИСПДн может быть проведена сертификация в системе ФСТЭК России самостоятельно.

Дополнительно необходимо отметить, что в соответствии с пунктом 2.13 приказа ФСТЭК России № 58: "в зависимости от особенностей обработки персональных данных и структуры информационных систем могут разрабатываться и применяться другие методы защиты информации от несанкционированного доступа, обеспечивающие нейтрализацию угроз безопасности персональных данных". Следовательно, можно и нужно говорить об используемом комплексе программных продуктов, влияющих на обеспечение защиты персональных данных.

Например, во многих организациях будут дополнительно использоваться межсетевые экраны, специализированные средства защиты информации, антивирусные программы и иное программное обеспечение.

Кроме того, необходимо учитывать, что мероприятия по защите персональных данных применением сертифицированных программных продуктов не ограничиваются. Как отмечалось ранее, необходимо проводить комплекс организационно-технических и правовых мероприятий, проводить который может как сама организация при наличии соответствующих специалистов, так и специализированные организации, имеющие соответствующие лицензии ФСТЭК России.

Таким образом, для соблюдения требований Федерального закона № 152-ФЗ недостаточно использовать сертифицированные программные средства - обязательно проведение всего комплекса мероприятий по защите персональных данных.

Напомним, что решением ФСТЭК России от 05.03.2010 года отменен ранее действовавший порядок подтверждения соответствия ИСПДн требованиям безопасности путем проведения сертификации (аттестации) ИСПДн 1 и 2 класса. Соответственно, в данное время вопрос подтверждения соответствия ИСПДн установленным требованиям безопасности остается открытым.

Конец цитаты

1.4 Декларация о защите информации от несанкционированного доступа в системе CS Polibase

В целях обеспечения соблюдения требований законодательства по защите персональных данных в программной системе "CS Polibase" реализован механизм защиты данных от несанкционированного доступа на основе учетных записей пользователей и системы управлениями правами и ограничениями, а также механизм аудита действий пользователей и просмотра сведений о зарегистрированных событиях аудита.

Кроме этого, поскольку система CS Polibase использует СУБД Oracle, то система защиты информации от несанкционированного доступа CS Polibase в значительной степени использует систему защиты от несанкционированного доступа СУБД Oracle. В частности, процедуры резервного копирования базы данных и ее восстановления используют стандартные процедуры резервного копирования и восстановления СУБД Oracle. Установление индивидуальных паролей СУБД Oracle для системного пользователя и пользователя базы данных CS Polibase, которые защищают базу данных CS Polibase от несанкционированных копирования и восстановления, является целиком и полностью ответственностью оператора (пользователя) системы CS Polibase.

Мы, как разработчики, декларируем, что программная система "CS Polibase" является программным средством общего назначения со встроенными средствами защиты от несанкционированного доступа к информации, не содержащей сведения, составляющие государственную тайну. Процедура сертификации, подтверждающая эту декларацию, нами не проводилась в силу достаточной очевидности приведенного утверждения.

Вернуться на заглавную страницу

Источник — «https://www.polibase.ru/wiki/index.php5?title=Polibase_FAQ:16062&oldid=5363»